12 Aug
2014
12 Aug
'14
4:38 a.m.
Le 11.08.2014 11:19, Gilles Massen a écrit :
C'est pour ça que je précise bien que cette info
n'est pas nécessaire
pour effectuer un _remboursement_.
Par ailleurs, étant commerçant capable de recevoir des payements par
carte de crédit, je peux t'assurer que ce code _n'est pas nécessaire_.
Je peux te le prouver si tu veux me donner ton numéro de carte + date de
fin de validité...
C'est une règle générale pour les cartes de crédit au
niveau mondial:
encore une fois, étant commerçant, j'ai du lire et signer les contrats
avec l'acquéreur (la banque qui va me payer les montants): on _doit_
s'engager à ne pas facturer le service d'acceptation des cartes. Pas
fous, les vendeurs de ces services veulent en faire payer le coût par
_l'ensemble_ des clients, y compris ceux qui payent par d'autres moyens.
Sinon, le coût est très faible pour le commerçant et proportionnel au
montant débité (0,17% dans mon cas). Je ne comprend d'ailleurs pas
pourquoi il y en a qui exigent un montant minimum pour l'utilisation des
cartes. L'intérêt du système est évident lorsqu'on pense au risque et au
temps perdu à aller porter la caisse régulièrement à la banque, sachant
qu'on peut être tué pour moins de 200€...
Bonjour Brent,
Bon email - et bien de l'avoir écrit. D'ailleurs l'administration des
impôts a également diffusé une note à ce sujet.
Je me permets de te donner quelques précisions techniques:
Il y a des
plugins pour Firefox qui affichent automatiquement la
localisation géographique du site sur lequel on se trouve. Toujours utile.
Si j'ai un doute, je vérifie toujours ce genre de chose. Même si le
certificat n'est "plus valide", si on connaît l'émetteur et qu'on
le
sait, ça joue son rôle.
Ce que je trouve le pire, c'est que le domaine "impot.lu" n'utilise
même
pas le système SPF, qui permettrait de bloquer facilement le mail de
fishing initial...
3) Dans un cas de page https, vérifier
l'identité du serveur (cliquer
sur le cadenas, demander de voir le certificat, vérifier qui en est le
certificateur, ...) suivant votre navigateur web.
Optimiste :) 5) Ne _jamais_
renseigner votre "Card verification code" ou "Password 3D
secure" sur une page autre qu'appartenant à _une banque_, avec
certificat de la banque, et liaison http*s*.
Un vendeur doit demander le CVC pour
ces transactions, et il faut bien
le transmettre via le site d'un vendeur (sauf vendeur qui utilise un
'payment provider'). Seul particularité: le vendeur n'a pas le droit de
stocker cette donnée. Le "3D 'secure'" est seulement à
donner à la banque - sauf qu'au
Luxembourg (avec Cetrel) celà se traduit pour l'essentiel des banques
par une page provenant de 'acs.netcetera.ch'. A part la phrase choisie
lors de la mise en place de 3dsecure, rien n'identifie la transaction de
façon fiable (ou ne relie le site à la banque). D'un point de vue
sécurité technique c'est lamentable, mais pour l'utilisateur celà ouvre
une voie de défense en cas de problèmes....
C'est pas pire que Luxtrust...
6) Ne _jamais_
donner d'informations autres que votre numéro de carte
pour tout remboursement, et préférer les remboursements via virements
bancaires. Nous sommes en Union Européenne. Les virements européens
(SEPA) sont au même prix que les remboursements locaux _partout en
Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte
de crédit.
Au Luxembourg il n'y a typiquement pas de frais liés aux
transactions
par carte de crédit - pour le titulaire au moins. Que ce soit
remboursement ou non. D'ailleurs il faut bien une date
d'expiration pour un remboursement -
d'un côté pour éviter de faire une opération avec une carte expirée,
donc hors contrat, et de l'autre parce que le le set "nom, numéro, date"
est souvent atomique dans les applications (mêmes fournies par les
banques). Pour les terminaux c'est à nouveau différent.
En pratique, j'ai
pas absolument besoin du nom.
En fait, tout renseignement supplémentaire apporte plus de garantie pour
le commerçant d'être payé. La garantie absolue étant l'introduction de
la carte dans le terminal + code PIN vérifié on-line.
La date de fin de validité est nécessaire pour s'assurer que le numéro
de la carte n'a pas été falsifié (je suppose qu'on peut générer des
numéros "valides") mais aussi parce que certaines banques renouvellent
des cartes avec un même numéro. Le commerçant, pour être assuré d'être
payé, _doit_ (par contrat) vérifier la date de fin de validité, ce qui
permet aussi de s'assurer que des cartes "perdues" finiront par être
inutilisables.
Mon expérience: étant bloqué à une barrière de péage sur autoroute en
France au mois de septembre, ayant tenté de payer avec _toutes_ les
cartes à ma disposition (8 cartes en tout) sans succès (cartes
"illisibles"), j'ai été obligé d'insérer une carte expirée qui
traînait
dans le cendrier (laissée là depuis le 1er janvier, fin de sa validité),
et ça a parfaitement fonctionné. Et j'ai effectivement payé le péage via
un débit exceptionnel (avec lettre d'accompagnement de la part de Visa)
quelques semaines plus tard. Ils sont très au point.
Cordialement,
Gilles
Idem.
12 Aug
12 Aug
6:17 a.m.
New subject: Parfait exemple de "fishing"
On 08/12/2014 06:38 AM, Brent Frère wrote:
Le 11.08.2014 11:19, Gilles Massen a écrit :
> Bonjour Brent,
>
Ce que je trouve le pire, c'est que le domaine
"impot.lu" n'utilise même
pas le système SPF, qui permettrait de bloquer facilement le mail de
fishing initial...
Ceux que j'ai reçu provenaient d'une adresse @administration-directes.lu
- domaine inexistant.
>> 5) Ne _jamais_ renseigner votre "Card
verification code" ou "Password 3D
>> secure" sur une page autre qu'appartenant à _une banque_, avec
>> certificat de la banque, et liaison http*s*.
> Un vendeur doit demander le CVC pour ces
transactions, et il faut bien
> le transmettre via le site d'un vendeur (sauf vendeur qui utilise un
> 'payment provider'). Seul particularité: le vendeur n'a pas le droit
de
> stocker cette donnée.
C'est pour ça que je précise bien que cette info
n'est pas nécessaire
pour effectuer un _remboursement_.
Alors entièrement d'accord. J'avais lu cette partie du mail comme étant
des 'généralités' s'appliquant au payement.
Par ailleurs, étant commerçant capable de recevoir des
payements par
carte de crédit, je peux t'assurer que ce code _n'est pas nécessaire_.
Je peux te le prouver si tu veux me donner ton numéro de carte + date de
fin de validité...
Je n'ai plus le détail de nos contrats en tête - mais j'ai certainement
déjà vu des sites ne demandant pas le CVC. Je présume que le vendeur
doit assumer plus de risques en cas de fraude, s'il ne se sert pas de
tous les éléments disponibles.
> Le "3D 'secure'" est seulement
à donner à la banque - sauf qu'au
> Luxembourg (avec Cetrel) celà se traduit pour l'essentiel des banques
> par une page provenant de 'acs.netcetera.ch'. A part la phrase choisie
> lors de la mise en place de 3dsecure, rien n'identifie la transaction de
> façon fiable (ou ne relie le site à la banque). D'un point de vue
> sécurité technique c'est lamentable, mais pour l'utilisateur celà ouvre
> une voie de défense en cas de problèmes....
C'est pas pire que Luxtrust...
Sans commentaire.
> Au Luxembourg il n'y a typiquement pas de
frais liés aux transactions
> par carte de crédit - pour le titulaire au moins. Que ce soit
> remboursement ou non.
C'est une règle générale pour les cartes de
crédit au niveau mondial:
encore une fois, étant commerçant, j'ai du lire et signer les contrats
avec l'acquéreur (la banque qui va me payer les montants): on _doit_
s'engager à ne pas facturer le service d'acceptation des cartes. Pas
fous, les vendeurs de ces services veulent en faire payer le coût par
_l'ensemble_ des clients, y compris ceux qui payent par d'autres moyens.
Encore une fois d'accord, du point de vue du commerçant - mais j'avais
le côté client en tête. Là les modalités sont réglées par le contrat
avec la banque - et p.ex. en France les prix sont en partie exorbitants
pour payement à l'étranger (devenus des payement en dehors de la zone
euro, heureusement). (Tableau:
http://www.cbanque.com/tarif-bancaire/comparatif/achat-carte-bancaire-etran…
)
Sinon, le coût est très faible pour le commerçant et
proportionnel au
montant débité (0,17% dans mon cas). Je ne comprend d'ailleurs pas
pourquoi il y en a qui exigent un montant minimum pour l'utilisation des
cartes. L'intérêt du système est évident lorsqu'on pense au risque et au
temps perdu à aller porter la caisse régulièrement à la banque, sachant
qu'on peut être tué pour moins de 200€...
Les conditions particulières de chaque commerçant ne sont pas
identiques. Il me semble que nous payons considérablement plus. Je ne
serais surpris de voir une taxe (ou minimum) par transaction en France
(pour garder l'exemple). Ce qui est certain c'est que le pourcentage
varie en fonction du risque perçu pour un vendeur et des méthodes
acceptées (p.ex. terminal seul vs payements en ligne), et que au moins
dans un passé raisonnablement récent l'acceptation de cartes étrangères
était plus cher que celle des carte nationales.
[...] Le commerçant, pour être assuré d'être
payé, _doit_ (par contrat) vérifier la date de fin de validité, ce qui
permet aussi de s'assurer que des cartes "perdues" finiront par être
inutilisables.
Mon expérience: étant bloqué à une barrière de péage sur autoroute en
France au mois de septembre, ayant tenté de payer avec _toutes_ les
cartes à ma disposition (8 cartes en tout) sans succès (cartes
"illisibles"), j'ai été obligé d'insérer une carte expirée qui
traînait
dans le cendrier (laissée là depuis le 1er janvier, fin de sa validité),
et ça a parfaitement fonctionné. Et j'ai effectivement payé le péage via
un débit exceptionnel (avec lettre d'accompagnement de la part de Visa)
quelques semaines plus tard. Ils sont très au point.
J'ignore ce qui m'impression plus: la société des autoroutes qui accepte
une carte expirée (ce qui impliquerait qu'ils considèrent le 'risque'
d'un ennui au péage supérieur à celui de ne pas être payé) ou Visa qui
fait ces démarches exceptionnelles (donc coûteuses). Les contrats entre
Visa et les sociétés d'autoroutes sont probablement négociés de plus
près que ceux d'un vendeur quelconque...
Gilles
--
Fondation RESTENA - DNS-LU
6, rue Coudenhove-Kalergi
L-1359 Luxembourg
tel: (+352) 424409
fax: (+352) 422473
3568
days inactive
3568
days old
1 comments
2 participants
participants (2)
-
Brent Frère -
Gilles Massen