Évaluations de la sécurité de l'EMVCo SBMP

Qu'est-ce que l'évaluation EMVCo SBMP et comment fonctionne-t-elle ?

Applus+ Laboratories est accrédité par EMVCo pour évaluer les solutions de paiement basées sur HCE (Host Card Emulation), ainsi que les composants qui permettent la transaction et assurent une sécurité suffisante contre les attaques connues.

L'introduction de l'HCE a révolutionné le paiement mobile en permettant la mise en œuvre de solutions de paiement sécurisées basées sur des logiciels. Aujourd'hui, la plupart des marques de paiement disposent de leur propre système de certification pour les applications mobiles et portefeuilles basés sur HCE.

Pour faciliter le développement de ces applications de paiement, EMVCo a lancé son système de certification pour les paiements mobiles basés sur des logiciels (SBMP). Ce système vise à certifier non seulement les applications de paiement et les kits de développement logiciel (SDK), mais également les éléments logiciels et outils qui permettent la transaction et renforcent la sécurité. Les fournisseurs de produits comme les TEE, biométries ou outils de protection logicielle peuvent évaluer leur solution dans un laboratoire accrédité.

Familles de produits évalués dans le cadre du SBMP EMVCo

CDCVM (Consumer Device Card-holder Verification Methods) : L'adoption des technologies biométriques (empreintes digitales, reconnaissance faciale, reconnaissance d'iris) a permis d'offrir une alternative au code PIN. En certifiant leurs solutions, les fournisseurs de biométrie facilitent le processus de certification pour les applications de paiement fonctionnant sur des appareils mobiles.
TEE (Trusted Execution Environment) : Les environnements d'exécution sécurisés permettent de protéger les actifs sensibles en isolant les transactions. Les fournisseurs de TEE peuvent certifier leur solution, simplifiant ainsi les évaluations futures.
Outils de protection logicielle : Ces outils protègent les applications de paiement mobile contre les attaques statiques et dynamiques. Ils incluent des mécanismes tels que les bibliothèques cryptographiques (Crypto White Box), la détection de falsification, les techniques d'obfuscation et les vérifications d'environnement.
Autres éléments : Mécanismes d’attestation, gestion sécurisée à distance, pilotes, et mécanismes de liaison des appareils.
SDK et applications de paiement : Les SDK et applications de paiement peuvent également être certifiés, avec une méthodologie acceptée par les principales marques de paiement.

Étapes de l'évaluation EMVCo SBMP

Examen de la documentation
Analyse du code source
Analyse des vulnérabilités
Tests de pénétration

Options de certification pour les systèmes de paiement

La plupart des marques de paiement disposent de leur propre programme de conformité pour les paiements mobiles basés sur des logiciels. Applus+ Laboratories est accrédité pour effectuer les évaluations nécessaires afin de répondre aux exigences de sécurité des principales marques telles que Visa, Amex, Discover et Mastercard.

CONTACTEZ-NOUS

Applus+ utilise des cookies propres et de tiers à des fins d’analyse, et afin de vous montrer de la publicité personnalisée en fonction d’un profil élaboré à partir de vos habitudes de navigation (par exemple, les pages que vous avez visitées). Vous pouvez accepter tous les cookies en appuyant sur le bouton "Accepter" ou configurer ou refuser leur utilisation. Consultez notre Politique de cookies pour plus d'informations.

Panneau de configuration de cookies

Cookies techniques

Ils permettent le fonctionnement du Web, de charger le contenu multimédia et de protéger votre sécurité. Consultez les cookies que nous stockons dans notre Politique en matière de cookies.

Toujours actifs
Cookies d’analyse

Ils nous permettent de connaître vos interactions avec le Web, le nombre de visites dans les différentes sections et d’établir des statistiques afin d’améliorer nos pratiques commerciales. Consultez les cookies que nous stockons dans notre Politique en matière de cookies.