Chargement...

Migration de PSP : toutes les questions que vous vous posez

26 octobre 2020

Business insight

Changer de prestataire de services de paiement n’est pas une décision anodine et soulève légitimement quelques questions ! Nos réponses aux interrogations les plus fréquentes.

Pour quelles raisons changer de prestataire de paiement ?

Insatisfactions quant au service client, besoin de moyens de paiement supplémentaires, d’un      dashboard plus ergonomique, d’une API plus robuste ou de fonctionnalités spécifiques… Il existe de nombreuses raisons pouvant pousser une plateforme à changer de prestataire de paiement. Le déclic est parfois réglementaire : suite à un contrôle de l’ACPR, la plateforme cherche à se mettre en conformité, en se dotant d’un PSP plus rigoureux, capable de lui obtenir le statut d’agent de paiement. Dans d’autres cas, la marketplace ou le site de financement participatif est tout simplement à la recherche d’une solution plus performante et d’un meilleur accompagnement.

Combien de temps dure une migration de PSP ?

La durée d’un projet de migration ne dépend pas seulement du nouveau PSP. Il existe en effet des délais incompressibles du côté des acteurs bancaires. En moyenne, une migration de PSP dure deux mois.

Sachant que les projets de migration s’accompagnent souvent de projets de plus grande envergure, telle qu’une refonte du site internet, un tel projet peut s’inscrire dans un temps plus long. A l’inverse, il peut arriver que face à une urgence réglementaire, nos partenaires souhaitent effectuer une migration de PSP rapidement.

C’était par exemple le cas de l’application EasyTransac, qui permet d’utiliser son téléphone portable comme un terminal de paiement. Soucieuse d’être en conformité totale avec la réglementation, EasyTransac est parvenue à migrer son activité vers Lemonway, en seulement 4 semaines.

Quels sont les pré-requis pour une migration de PSP réussie ?

Le principal critère est de s’assurer que le PSP retenu a déjà effectué avec succès des migrations, depuis plusieurs PSP d’origines différentes. La présentation d’une roadmap claire, avec des process bien définis et jalonnés dans le temps, constitue un cadre rassurant. De votre côté, il n’y a qu’à suivre la procédure indiquée par le nouveau PSP !

Comment se passe concrètement une migration de PSP ?

Une migration se déroule en deux grandes étapes :

  • Préparation à la migration. Wallets, soldes des comptes de paiement, pièces du KYC… il s’agit de collecter l’ensemble des informations sur les données existantes dans l’environnement de paiement de l’ancien PSP, afin de reproduire cette photo à l’instant T dans l’environnement de paiement du nouveau PSP. Cette étape prend généralement deux mois.
  • Migration. Une fois le terrain préparé, il faut envoyer les fonds et transférer les pièces du KYC au nouveau PSP, afin de reproduire exactement le même environnement de paiement dans le nouveau système, en accord avec les procédures de conformité. Cette étape prend seulement 48h.

Changer de PSP implique-t-il une interruption de service ?

Non. Il est tout à fait possible d’effectuer une migration de PSP sans aucune interruption de services. Lemonway a ainsi mené avec succès plusieurs migrations, pour des plateformes qui ne pouvaient pas se permettre d’arrêter de fonctionner.

Récemment, Lemonway a par exemple accompagné Crédit.fr, une plateforme de crowdlending spécialisée dans le financement participatif pour le prêt aux PME, vers une migration sans interruption de service. Avec plus de 10 000 comptes de paiement et des flux de plusieurs dizaines de millions d’euros par an, il était en effet inenvisageable pour cette plateforme de cesser de fonctionner, ne serait-ce que 48h.

Le changement de PSP est-il visible pour les clients finaux ?

Non, dans le sens où la migration n’a pas d’impact sur les utilisateurs finaux de la plateforme. En revanche, pour des raisons réglementaires, il est nécessaire que les utilisateurs acceptent les conditions générales d’utilisation (CGU) du nouveau PSP.

 

Parce que le rôle du PSP est crucial à la bonne marche de votre plateforme, il est parfaitement normal de redouter le moment d’en changer. Pour autant, à condition d’être bien accompagné, la migration de PSP peut se faire sans douleur. C’est pourquoi il est important de choisir un prestataire de paiement aguerri, qui aura déjà anticipé tous les tenants et aboutissants d’un tel projet. Vous envisagez de changer de PSP ? Vous avez d’autres questions sur la migration ? Parlez-nous de votre projet !

 

La certification PCI DSS ou « Payment Card Industry Data Security Standard » désigne une norme de sécurité mondiale des données bancaires. Il s’agit d’un ensemble d’exigences minimales visant à améliorer la sécurité des données des consommateurs en ligne, afin de favoriser la confiance dans l’écosystème du paiement digital. Quels sont les critères à respecter pour bénéficier de la certification PCI DSS ? Est-ce suffisant pour se prémunir de tout cyber-piratage ? Explications.

Qu’est-ce que le PCI DSS ?

L’avènement du e-commerce et le récent essor des marketplaces s’est accompagné d’un risque croissant de violation des données bancaires. Pour faire face à cette menace, cinq sociétés de cartes de paiement (American Express, Discover, JBC, Mastercard et Visa) ont créé en 2006 le Conseil de sécurité des cartes de paiement : le PCI SSC. Cette démarche a permis d’homogénéiser les différents programmes normatifs de sécurité alors en vigueur, pour créer une norme commune : le PCI DSS. Cette certification est depuis devenue une référence en matière de protection des consommateurs. Du moment où un site implique la manipulation de cartes bancaires, il est crucial que la solution de paiement soit certifiée PCI DSS. En France, le standard PCI DSS n’est pas encore une obligation légale, mais étant donné qu’il est imposé contractuellement par les principaux acteurs du marché, il est vivement conseillé de s’y conformer.

Comment faire pour respecter le PCI DSS ?

La documentation officielle, publiée par le Conseil PCI SSC, comporte quelques 1800 pages qui pourraient se résumer en trois grandes règles :

  1. Collecter et transmettre en toute sécurité les données relatives aux cartes bancaires des utilisateurs (nom du porteur, numéro de carte, date d’expiration, code de sécurité CVV)
  2. Sauvegarder l’ensemble des données de façon sécurisée, notamment grâce aux technologies de chiffrement
  3. Pouvoir garantir que les centaines de contrôles de sécurité décrits dans le PCI DSS sont bien effectués chaque année.

Dans le détail, ces mesures impliquent par exemple de :

  • Disposer d’un pare-feu dans toutes les couches du réseau,
  • Ne pas se contenter d’utiliser les configurations et mots de passe par défaut des fabricants et prestataires, car c’est bien souvent par cette porte qu’un réseau peut être pénétré
  • Rendre illisible ou partiellement masqué le numéro de carte pour protéger les données stockées
  • Chiffrer la transmission des données pour empêcher toute lisibilité par des cybercriminels
  • Se prémunir des logiciels malveillants et des virus en mettant à jour régulièrement les logiciels
  • Maintenir un haut niveau de sécurité de l’infrastructure et des applications associées pour éviter toute faille de sécurité
  • Faire en sorte que chaque strate opérationnelle ait seulement accès aux informations dont elle a besoin pour réaliser sa tâche, afin de restreindre l’accès aux données des porteurs de carte
  • Assurer une forte traçabilité, en attribuant un identifiant unique à chaque acteur de la chaîne de paiement
  • Restreindre l’accès physique aux systèmes d’hébergement des données relatives aux porteurs de cartes
  • Tester et monitorer régulièrement les procédures de sécurité mises en place pour empêcher l’apparition d’une faille de sécurité
  • Former régulièrement ses équipes, afin de garantir le respect d’une politique en matière de sécurité de l’information

En pratique, cela implique pour un site e-commerce ou une marketplace d’investir massivement dans des systèmes de sécurité et d’en assurer la maintenance. Et ce, même si les données bancaires ne transitent que très brièvement sur les serveurs de l’entreprise…

Le PSP, garant du respect de la PCI DSS

Pour éviter d’avoir à traiter les données sensibles relatives aux cartes bancaires et de dépenser d’importantes ressources financières et matérielles, les entreprises ont la possibilité de recourir à un prestataire de services de paiement (PSP). Ce partenaire de confiance prend en charge tous les aspects relatifs à la sécurité des transactions, afin que l’entreprise n’ait plus qu’une poignée de contrôles simples à mettre en œuvre, tels que l’utilisation de mots de passe forts.

Grâce à une technologie robuste et innovante, Lemonway protège et cantonne les fonds de milliers de plateformes depuis 2012. L’hébergement de l’ensemble des données est localisé dans des centres de données répondant au standard PCI DSS, en France. Prestataire de services de paiement agréé, Lemonway garantit un niveau de sécurité maximal à ses utilisateurs. Une question ? Un projet ? Parlez-nous de vos besoins !