4

Facteurs de risque

Assurances et gestion des risques

27

Worldline

Document de Référence 2016

spécifiques

Activités de gestion des risques

4.5.2.3

Gestiondes risques de fraude

organismes délivrant la certification PCI, et faire face au risque

aux règles de sécurisation des paiements fixées par les

de Fraude du Groupe a mis en place des politiques et des

de blanchiment d’argent. Le département Gestion des Risques

procédures spécifiques afin de faire face à ces risques.

de la certification

PCI) pour minimiser les risques relatifs à la

à sa connaissance toutes les mesures requises (dont l’obtention

d’acquisition commerçants, le Groupe doit assurer sa conformité

protection des données. Dans le cadre de ses activités

Le Groupe, en tant que processeur de cartes de paiement, a pris

réel à partir d’une application d’analyse de données.

permettant la détection de fraudes de paiement en quasi temps

de Fraudes

» (Fraud Detection and Reaction ou FD&R)

Le Groupe a développé l’application «

Détection et Résolution

temps réel, la désactivation de secours et les systèmes de

les risques résiduels, telles que le geo-blocking, le blocage en

back-up.

améliorées avec des fonctions supplémentaires afin de limiter

Les procédures de réduction de risques du Groupe ont été

Politique de lutte contre le blanchiment d’argent

division

«

Sales & Marketing

» et la division Service Clients.

principes généraux de lutte contre le blanchiment d’argent, le

dont le Groupe a pris le contrôle en 2016. Elle définit les

client

») et la répartition des responsabilités entre la

principe Know Your Customer (KYC) - en français, «

Connais ton

Worldline SA/NV dispose d’une politique de lutte contre le

s’applique également aux sociétés Paysquare et KB SmartPay

blanchiment d’argent mise en place depuis 2011. Cette politique

Gestiondes risques de sécurité au seinduGroupe

sécurité.

contrôle interne une fonction dédiée à la gestion des risques de

Le Groupe a mis en place au sein de son département de

et fonctionnalités, accès aux données des titulaires de cartes par

(examen de l’accès aux systèmes de production et aux données

politiques et solutions de sécurité.

les banques et gestion de clés cryptographiques) ainsi que les

sensibilisation aux questions de sécurité, au service de sécurité

Cette fonction intègre les problématiques relatives à la

Les mesures prises en matière de gestion des risques de

sécurité concernent notamment les activités suivantes

:

back-up media dans des emplacements sécurisés, contrôle

mécanismes de contrôle d’accès, stockages de fichiers

et de stockage et d’accessibilité des médias

;

sur la distribution interne ou externe de tout type de médias

limiter et surveiller les accès physiques, caméras vidéo et

Mesures physiques

: contrôles d’entrées à l’installation pour

●

réseaux non fiables

;

pare-feu et routeur sont conçues et déployées pour la

Réseau

: des normes et des procédures de configuration

●

protection contre les accès non autorisés depuis des

configurations des systèmes fixés par défaut

;

Sécurité des systèmes

: application stricte de mesures

●

pour éviter l’exploitation des mots de passe et des

renforcées, révisées régulièrement et clairement définies

anti-virus déployés et mis à jour régulièrement sur tous les

cryptographie et de sécurité renforcés, des logiciels

Protection des données des porteurs de cartes

: stockage

●

de suppression de données, des protocoles de

réduit à minima avec rétention de données et de politiques

systèmes

;

potentielle en matière d’encodage

;

développement des logiciels. De surcroît, une revue du code

éviter l’introduction de vulnérabilités dans le processus de

de services aux clients pour identifier toute vulnérabilité

source avant la production ou le lancement de produits ou

«

patch

» de sécurité les plus récents fournis par les

Systèmes et applications sécurisés

: installation des correctifs

●

matière de sécurité, des guides d’encodage sécurisé pour

fournisseurs, identification et évaluation les vulnérabilités en

pour limiter les accès en fonction des besoins d’accès et des

le Groupe a mis en place des systèmes et des procédures

sein du Groupe

;

responsabilités de chacun compte tenu de sa position au

peuvent être accédées seulement par le personnel autorisé,

Accès logique

: pour s’assurer que les données critiques

●

journaux et la capacité à enregistrer les activités des

Historique et surveillance

: les mécanismes de collecte de

●

minimiser l’impact d’une atteinte à la protection des

utilisateurs sont essentiels pour prévenir, détecter ou

données. Par conséquent, la présence de journaux dans

d’analyser les activités en cas de problèmes

;

tous les environnements permet d’enregistrer, de notifier et

surveillance d’intégrité de fichiers.

systèmes de détection d’intrusion et les outils de

sécurité sont effectuées de manière régulière, notamment la

Systèmes de sécurité et tests des processus

: des tests de

●

rapports de vulnérabilité sur le réseau interne et externe, les

détection des points d’accès sans fil non autorisés, des

Le processus annuel de gestion des risques opérationnels du

analyse les menaces et les vulnérabilités relatives à la sécurité

Groupe, supervisé par la division «

Contrôle Opérationnel

»,

désirée.

pour éviter une augmentation de l’exposition aux risques non

ont lu et compris la politique et les procédures de sécurité du

Groupe doivent assister à ce programme et reconnaître qu’ils

sécurité a été maintenu pour que tout le personnel soit

Un programme formel de sensibilisation aux questions de

porteurs de cartes. Sur une base annuelle, tous les employés du

conscient de l’importance de la sécurité des données des

Groupe.

déployés pour permettre au Groupe de répondre

Les plans de réponses aux incidents ont été développés et

immédiatement en cas d’atteinte au système.