12 Aug
2014
12 Aug
'14
4:38 a.m.
Le 11.08.2014 11:19, Gilles Massen a écrit :
C'est pour ça que je précise bien que cette info
n'est pas nécessaire
pour effectuer un _remboursement_.
Par ailleurs, étant commerçant capable de recevoir des payements par
carte de crédit, je peux t'assurer que ce code _n'est pas nécessaire_.
Je peux te le prouver si tu veux me donner ton numéro de carte + date de
fin de validité...
C'est une règle générale pour les cartes de crédit au
niveau mondial:
encore une fois, étant commerçant, j'ai du lire et signer les contrats
avec l'acquéreur (la banque qui va me payer les montants): on _doit_
s'engager à ne pas facturer le service d'acceptation des cartes. Pas
fous, les vendeurs de ces services veulent en faire payer le coût par
_l'ensemble_ des clients, y compris ceux qui payent par d'autres moyens.
Sinon, le coût est très faible pour le commerçant et proportionnel au
montant débité (0,17% dans mon cas). Je ne comprend d'ailleurs pas
pourquoi il y en a qui exigent un montant minimum pour l'utilisation des
cartes. L'intérêt du système est évident lorsqu'on pense au risque et au
temps perdu à aller porter la caisse régulièrement à la banque, sachant
qu'on peut être tué pour moins de 200€...
Bonjour Brent,
Bon email - et bien de l'avoir écrit. D'ailleurs l'administration des
impôts a également diffusé une note à ce sujet.
Je me permets de te donner quelques précisions techniques:
Il y a des
plugins pour Firefox qui affichent automatiquement la
localisation géographique du site sur lequel on se trouve. Toujours utile.
Si j'ai un doute, je vérifie toujours ce genre de chose. Même si le
certificat n'est "plus valide", si on connaît l'émetteur et qu'on
le
sait, ça joue son rôle.
Ce que je trouve le pire, c'est que le domaine "impot.lu" n'utilise
même
pas le système SPF, qui permettrait de bloquer facilement le mail de
fishing initial...
3) Dans un cas de page https, vérifier
l'identité du serveur (cliquer
sur le cadenas, demander de voir le certificat, vérifier qui en est le
certificateur, ...) suivant votre navigateur web.
Optimiste :) 5) Ne _jamais_
renseigner votre "Card verification code" ou "Password 3D
secure" sur une page autre qu'appartenant à _une banque_, avec
certificat de la banque, et liaison http*s*.
Un vendeur doit demander le CVC pour
ces transactions, et il faut bien
le transmettre via le site d'un vendeur (sauf vendeur qui utilise un
'payment provider'). Seul particularité: le vendeur n'a pas le droit de
stocker cette donnée. Le "3D 'secure'" est seulement à
donner à la banque - sauf qu'au
Luxembourg (avec Cetrel) celà se traduit pour l'essentiel des banques
par une page provenant de 'acs.netcetera.ch'. A part la phrase choisie
lors de la mise en place de 3dsecure, rien n'identifie la transaction de
façon fiable (ou ne relie le site à la banque). D'un point de vue
sécurité technique c'est lamentable, mais pour l'utilisateur celà ouvre
une voie de défense en cas de problèmes....
C'est pas pire que Luxtrust...
6) Ne _jamais_
donner d'informations autres que votre numéro de carte
pour tout remboursement, et préférer les remboursements via virements
bancaires. Nous sommes en Union Européenne. Les virements européens
(SEPA) sont au même prix que les remboursements locaux _partout en
Europe_ (c'est la loi) et bien moins chers qu'un remboursement sur carte
de crédit.
Au Luxembourg il n'y a typiquement pas de frais liés aux
transactions
par carte de crédit - pour le titulaire au moins. Que ce soit
remboursement ou non. D'ailleurs il faut bien une date
d'expiration pour un remboursement -
d'un côté pour éviter de faire une opération avec une carte expirée,
donc hors contrat, et de l'autre parce que le le set "nom, numéro, date"
est souvent atomique dans les applications (mêmes fournies par les
banques). Pour les terminaux c'est à nouveau différent.
En pratique, j'ai
pas absolument besoin du nom.
En fait, tout renseignement supplémentaire apporte plus de garantie pour
le commerçant d'être payé. La garantie absolue étant l'introduction de
la carte dans le terminal + code PIN vérifié on-line.
La date de fin de validité est nécessaire pour s'assurer que le numéro
de la carte n'a pas été falsifié (je suppose qu'on peut générer des
numéros "valides") mais aussi parce que certaines banques renouvellent
des cartes avec un même numéro. Le commerçant, pour être assuré d'être
payé, _doit_ (par contrat) vérifier la date de fin de validité, ce qui
permet aussi de s'assurer que des cartes "perdues" finiront par être
inutilisables.
Mon expérience: étant bloqué à une barrière de péage sur autoroute en
France au mois de septembre, ayant tenté de payer avec _toutes_ les
cartes à ma disposition (8 cartes en tout) sans succès (cartes
"illisibles"), j'ai été obligé d'insérer une carte expirée qui
traînait
dans le cendrier (laissée là depuis le 1er janvier, fin de sa validité),
et ça a parfaitement fonctionné. Et j'ai effectivement payé le péage via
un débit exceptionnel (avec lettre d'accompagnement de la part de Visa)
quelques semaines plus tard. Ils sont très au point.
Cordialement,
Gilles
Idem.