WORLDLINE_DOCUMENT_REFERENCE_2017

Facteurs de risques Assurances et gestion des risques

F.5.2.2

Politique de lutte contre le blanchiment d’argent Worldline SA/NV dispose d’une politique de lutte contre le blanchiment d’argent mise en place depuis 2011. Cette politique s’applique également aux sociétés Paysquare et KB SmartPay dont le Groupe a pris le contrôle en 2016. Elle définit les principes généraux de lutte contre le blanchiment d’argent, le principe Know Your Customer (KYC) – en français, « Connais ton client ») et la répartition des responsabilités entre la division « Sales & Marketing » et la division Service Clients. Gestiondes risques de sécurité au seinduGroupe Le Groupe a mis en place au sein de son département de contrôle interne une fonction dédiée à la gestion des risques de sécurité. Cette fonction intègre les problématiques relatives à la sensibilisation aux questions de sécurité, à la gestion des identités et des accès (examen de l’accès aux systèmes de production et aux données et fonctionnalités, accès aux données des titulaires de cartes par les banques et gestion de clés cryptographiques) ainsi que les politiques et solutions de sécurité. Les mesures prises en matière de gestion des risques de sécurité concernent notamment les activités suivantes : Mesures physiques : contrôles d’entrées à l’installation pour ● limiter et surveiller les accès physiques, caméras vidéo et mécanismes de contrôle d’accès, stockages de fichiers de back-up media dans des emplacements sécurisés, contrôle sur la distribution interne ou externe de tout type de médias et de stockage et d’accessibilité des médias ; Réseau : des normes et des procédures de configuration de ● pare-feu et de routeur sont conçus et déployés pour la protection contre les accès non autorisés depuis des réseaux non fiables ; Sécurité des systèmes : application stricte de mesures ● renforcées, révisées régulièrement et clairement définies pour éviter l’exploitation des mots de passe et des configurations des systèmes fixés par défaut ; Protection des données des porteurs de cartes : stockage ● réduit à minima avec rétention de données et de politiques de suppression de données, des protocoles de cryptographie et de sécurité renforcés, des logiciels antivirus déployés et mis à jour régulièrement sur tous les systèmes ; Systèmes et applications sécurisés : installation des correctifs ● « patch » de sécurité la plus récente fournis par les fournisseurs, identification et évaluation des vulnérabilités en matière de sécurité, des guides d’encodage sécurisé pour éviter l’introduction de vulnérabilités dans le processus de développement des logiciels. De surcroît, une revue du code source avant la production ou le lancement de produits ou de services aux clients pour identifier toute vulnérabilité potentielle en matière d’encodage ; Accès logique : pour s’assurer que les données critiques ● peuvent être accédées seulement par le personnel autorisé, le Groupe a mis en place des systèmes et des procédures pour limiter les accès en fonction des besoins d’accès et des responsabilités de chacun compte tenu de sa position au sein du Groupe ;

L’organisation de la gestion des risques et du processus Rainbow

Les processus de contrôle et d’approbation des phases de proposition et de contractualisation des offres sont regroupés sous la supervision d’un Senior Vice-Président Groupe en charge du Contrôle des Propositions et de la Gestion des Risques Métier, permettant l’identification et le suivi des risques depuis la proposition jusqu’à la mise en œuvre du projet. La Direction du Contrôle des Propositions et de la Gestion des Risques Métier reporte directement au Directeur Financier Groupe. Les Directeurs de Risques des Entités Opérationnelles et des divisions globales reportent directement au Senior Vice-Président en charge du Contrôle des Propositions et de la Gestion des Risques Métier, réduisant ainsi les niveaux de prise de décision. Un Comité de Gestion des Risques du Groupe se réunit mensuellement pour examiner les contrats les plus significatifs et les plus sensibles. Ce comité est placé sous la responsabilité du Directeur Financier Groupe et dirigé opérationnellement par le Senior Vice-Président Groupe en charge du Contrôle des Propositions et de la Gestion des Risques Métier. Les membres permanents du comité comptent les Vice-Présidents exécutifs en charge des divisions globales et plusieurs autres représentants des fonctions globales dont la Direction Financière et la Direction Juridique. Le Comité des Comptes effectue chaque trimestre une revue détaillée de tous les contrats importants en situation de risque. Un suivi en continu est réalisé par les divisions globales et les gestionnaires de risques pour les contrats déviant de leur plan initial. Le Comité de Gestion des Risques F.5.2.3 du Groupe Gestiondes risques de fraude Le Groupe, en tant que processeur de cartes de paiement, a pris à sa connaissance toutes les mesures requises (dont l’obtention de la certification PCI) pour minimiser les risques relatifs à la protection des données. Dans le cadre de ses activités d’acquisition commerçants, le Groupe doit assurer sa conformité aux règles de sécurisation des paiements fixées par les organismes délivrant la certification PCI, et faire face au risque de blanchiment d’argent. Le département Gestion des Risques de Fraude du Groupe a mis en place des politiques et des procédures spécifiques afin de faire face à ces risques. Le Groupe a développé l’application « Détection et Résolution de Fraudes » (Fraud Detection and Reaction ou FD&R) permettant la détection de fraudes de paiement en quasi temps réel à partir d’une application d’analyse de données. Les procédures de réduction de risques du Groupe ont été améliorées avec des fonctions supplémentaires afin de limiter les risques résiduels, telles que le geo-blocking, le blocage en temps réel, la désactivation de secours et les systèmes de back-up. Activités de gestion des risques F.5.2.4 spécifiques

F

281

Worldline Document de Référence 2017