mercredi 15 février 2012

Smartphones et tablettes : comment assurer sa conformité à PCI dans l’univers de la distribution ? - Roger Hockaday, Directeur du Marketing, Aruba Networks, EMEA

L’avènement des smartphones et tablettes au sein des environnements retail est source de multiples avantages, tant pour les enseignes de la distribution que pour leurs clients : ces équipements permettent de tisser des liens plus proches avec les clients, d’offrir un service client de premier rang et de doper la productivité des opérations au sein des magasins.

Mais attention, la généralisation attendue des tablettes et des smartphones dans le monde de la distribution invite à repenser les réseaux sans fil, pour garantir la sécurité des transactions et offrir le niveau de service qu’attendent les clients.

Déployés à l’origine pour faciliter la gestion des stocks et les fonctions de back office plus généralement, les réseaux sans fil ont étendu leur périmètre au cours des dernières années pour s’imposer sur le point de vente, avec, à la clé, la nécessité de respecter les exigences de la norme PCI pour protéger les données des titulaires de cartes et les processus d’authentification. Les réseaux sans fil offrent également aux managers un accès à leur reporting commercial, mais sans le traditionnel « fil à la patte » qui exige qu’ils soient à leur poste de travail pour consulter ces informations. Plus récemment, les acteurs de la distribution ont commencé à équiper leur vendeurs en magasin de tablettes pour qu’ils aident les clients à dénicher l’objet de leur désir, répondent à leurs questions, vérifient l’état des stocks, ou encore passent commande aux côtés du client.

Un réseau sans–fil au sein des magasins prend également en charge les applications mobiles qui permettent aux enseignes de la distribution de séduire toujours davantage le client. Ces applications assurent par exemple un push d’information vers les smartphones et iPads des clients, lorsque ces derniers entrent dans le magasin, leur apportant ainsi un contenu multimédia riche. L’expérience des clients s’enrichit également, une expérience qui bénéficie déjà de la possibilité qu’ont les vendeurs de vérifier la disponibilité d’un produit en stock et de passer commande à partir de la tablette, tout en restant à proximité du client.

Face à un tel état des lieux, le défi, aujourd’hui, est de gérer la prolifération des équipements nomades, le nombre croissant d’utilisateurs, ainsi que les applications actives sur le réseau informatique de chaque magasin.

En Europe, la norme Payment Card Industry Data Security Standard (PCI-DSS) est essentiellement considérée en tant que bonne pratique, plus qu’une norme dont l’application s’impose. PCI-DSS s’intéresse néanmoins à toutes les organisations qui gèrent des données financières ou personnelles de clients et effectuent des transactions bancaires : les acteurs de la grande distribution certes, mais également ceux des soins de santé, des services technologiques, de l’enseignement, de la finance, etc.

Les géants des cartes de paiement (AMEX, VISA et MasterCard) imposent des exigences de conformité différentes selon les volumes de transaction, et l’utilisation du Wi-Fi par une organisation, une enseigne de la grande distribution par exemple, est source de nouvelles contraintes. PCI-DSS présente des exigences qui encadrent l’utilisation de réseaux sans fil, des exigences répertoriées en trois catégories pour simplifier leur identification et leur application.

Les enseignes qui n’utilisent pas de réseaux sans fil doivent se conformer aux exigences de la catégorie 1 : elles doivent surveiller l’absence de points d’accès sans fil indésirables sur leur réseau, par une inspection physique, une analyse de l’environnement radio ou des outils détection/prévention des intrusions en environnement sans fil.

Les enseignes qui disposent d’un réseau sans fil, mais sans transmission de données de paiement via ce réseau, sont invitées à se conformer aux exigences de la catégorie 2. Cette catégorie englobe la catégorie 1, mais exige également un inventaire à jour du réseau sans fil, un pare-feu qui dissocie le réseau sans fil des réseaux filaires, et l’utilisation d’un chiffrement et d’une authentification forts.

Les commerçants qui utilisent un réseau sans fil pour transmettre des données relatives aux porteurs de cartes doivent se conformer aux exigences les plus sévères. La catégorie 3 inclut les deux précédentes catégories, et présente des exigences supplémentaires : l’interdiction d’utiliser des mots de passe ou des configurations par défaut, la mise à jour régulière des patchs, des accès basés sur les rôles et la surveillance de ces accès.

La majorité des enseignes devront relever le défi que leur imposent leurs collaborateurs et clients qui utilisent smartphones et tablettes. Accepter l’utilisation de ces équipements mobile implique de repenser le fonctionnement des réseaux sans fil en magasin.

La mise en œuvre d’accès sur la base de rôle (comme l’exige PCI) peut s’effectuer en dissociant les collaborateurs des clients (ou invités). Mais pour que l’infrastructure reste flexible, il est plus pertinent que les rôles ne soient pas définis uniquement sur la base de profils de personnes (collaborateur, manager, client), mais aussi sur la base des équipements utilisés (iPad, smartphone, scanner portatif) et des applications (point de vente, base de données, accès à Internet). Cette approche plus holistique prend en compte le contexte dans lequel le réseau est utilisé. Cette approche assure un réseau sans fil plus flexible et efficace.

Les notions de sécurité, de capacités et de flexibilité deviendront essentiels pour les réseaux sans fil de nouvelle génération déployés en magasins. La sécurité exige de se conformer aux exigences de PCI DSS. Les capacités sont essentielles pour prendre en compte des collaborateurs et clients toujours plus nombreux à utiliser tablettes et smartphones. Enfin, la flexibilité devient un impératif pour s’adapter à des changements rapides et continuer à progresser dans un environnement concurrentiel. À l’évidence, pour la grande distribution, les réseaux informatiques de demain seront vraiment différents de ceux d’hier.

Publié le mardi 14 février 2012
 
http://www.itrmobiles.com/articles/128978/smartphones-tablettes-assurer-conformite-pci-univers-distribution-roger-hockaday-directeur-marketing-aruba-networks-emea.html?key=862d53eea2c1d2fe

Aucun commentaire:

Enregistrer un commentaire