Si, comme moi, vous passez commande sur le site AuchanDirect.fr, vous devrez, pour valider votre achat, enregistrer les coordonnées de votre carte bancaire. Jusque-là, et même si on préférerait avoir le choix de saisir ces informations à chaque transaction, la pratique est relativement habituelle. Mais, en l'occurrence, vous devrez aussi saisir le numéro de contrôle de votre carte (CVV) et, selon toutes les apparences, il sera stocké avec les autres données fournies, par la banque Accord :
Si on peut comprendre l'objectif du distributeur de n'encaisser le règlement qu'après livraison, le moyen adopté est tout à fait inacceptable et, en tous cas, prohibé par le standard de sécurité des cartes de paiement (PCI-DSS) et ce, même avec chiffrement des données (voir le "PCI Quick Reference Guide", page 15). Le jour où des pirates réussiront à s'introduire dans les systèmes de la banque, leurs efforts seront particulièrement bien récompensés...
Quand un grand commerçant français et sa filiale bancaire ignorent ainsi non seulement les règles "imposées" par l'industrie mais aussi la sécurité des informations de paiement de leurs clients, il n'est pas étonnant que des affaires graves de vol de données éclatent presque quotidiennement. Si un minimum de prudence était en vigueur chez tous les acteurs, la fraude serait déjà mieux contrôlée.
L'innovation (ici, le paiement après livraison) ne doit JAMAIS se faire au détriment de la sécurité, lorsque sont en jeu des informations sensibles, en particulier dans le secteur financier.