Certificats DigiCert et Entrust (Passerelle Moneris et passerelle VoIP) Moneris mettra à jour ses certificats de sécurité en matière de communication Internet le 13 mars 2018 pour Passerelle Moneris et le 9 avril 2018 pour les passerelles VoIP. Cette pratique obligatoire a lieu tous les deux ou trois ans et n’aura aucune incidence sur la majorité de nos commerçants qui mettent leurs certificats à jour régulièrement. Moneris fera passer son certificat Verisign à un certificat DigiCert. Les entreprises qui n’ont pas mis à jour leur certificat numérique ou dont le certificat Verisign existant est figé dans le code pourront avoir des difficultés à traiter les paiements. En tant qu’entreprise qui utilise Passerelle Moneris pour votre commerce électronique ainsi que vos commandes postales et téléphoniques, ou qui utilise une passerelle VoIP comme solution de paiement intégrée en magasin, nous vous demandons de veiller à ce que votre magasin de certificats ou votre liste de certificats de confiance contiennent les certificats de sécurité les plus récents, notamment ceux de Verisign, de DigiCert et d’Entrust. Pour ce faire, testez votre connexion dans les environnements d’assurance de la qualité indiqués plus bas. Les entreprises dont les certificats racines Verisign, DigiCert et Entrust sont déjà enregistrés ne seront pas touchées. Ce que vous devez faire : Veuillez tester votre connexion sécurisée dans les environnements d’assurance de la qualité au moyen des URL ci-dessous. Si vous n’éprouvez aucun problème, votre entreprise est prête pour la mise à jour des certificats numériques, et vous n’avez aucune mesure à prendre. Si vous n’êtes pas en mesure de vous connecter aux environnements d’assurance de la qualité, veuillez télécharger les progiciels ci-dessous et les ajouter à votre magasin de certificats ou à votre liste de certificats de confiance. Les développeurs Web qui ont figé notre certificat Verisign actuel dans le code devront ajouter manuellement les nouveaux certificats à leur code. URL d’assurance de la qualité et de production Les commerçants qui utilisent une solution intégrée ou de commerce électronique peuvent tester leur connexion sécurisée au moyen des URL suivantes : ipgt1.moneris.comipgt2.moneris.com ipgtpr1.moneris.com ipgtpr2.moneris.com sslqa.moneris.com ssltestpr.moneris.com URL de production actives : ipg1.moneris.com ipg2.moneris.com ipgpr1.moneris.com ipgpr2.moneris.com DigiCert Vous trouverez l’ensemble complet du certificat Digicert à cette adresse : https://knowledge.symantec.com/support/mpki-for-ssl-support/index?page=content&id=INFO4655 Entrust Vous trouverez l’ensemble complet du certificat racine Entrust à cette adresse : https://www.entrustdatacard.com/pages/root-certificates-download Personnes-ressources Afin de minimiser la portée de ces changements, nous encourageons les commerçants à communiquer avec les équipes de soutien appropriées, notamment : votre service des TI interne (réseau, sécurité, administrateur système, etc.); l’entreprise qui héberge votre solution; l’entreprise qui a configuré le réseau de votre site Web ou de votre système. Les entreprises qui n’installent pas les certificats Verisign, DigiCert et Entrust avant le 13 mars 2018 peuvent éprouver des difficultés de traitement des paiements à compter de cette date. Mise à jour de la sécurité des données Conformément aux recommandations de la National Institute of Standards and Technology, les normes de chiffrement pour le transport des données ont été remplacées par de nouvelles normes en vigueur à l’échelle de l’industrie afin d’assurer une protection acceptable des données. Moneris migrera vers le protocole de sécurité de la couche transport (« TLS ») et l’algorithme de hachage sécurisé (« SHA »). Le protocole TLS est utilisé pour chiffrer les données entre le point de connexion de votre passerelle de paiement et Moneris pour assurer la sécurité des données; SHA est un algorithme de hachage utilisé pour signer des certificats numériques. Pour obtenir de plus amples renseignements au sujet du protocole TLS et de l’algorithme SHA, consultez les articles de la National Institute of Standards and Technology suivants : http://www.nist.gov/itl/csd/tls-043014.cfm et http://csrc.nist.gov/groups/ST/hash/policy.html. Novembre 2015 Interac impose l’acceptation de la technologie EMV Avis : Interac exige que, à compter du 31 décembre 2015, toutes les solutions de points de vente (PDV) canadiennes acceptant les cartes de débit Interac acceptent les cartes EMV avec puce et NIP. Si votre PDV actuel n’est pas conforme à cette exigence, veuillez contacter Moneris au 1-866-319-7450 pour de l’assistance. Le défaut de vous conformer à cette exigence d’ici la date limite du mois de décembre pourrait avoir une incidence sur votre capacité à accepter les cartes de débit Interac jusqu’à ce que la mise à niveau soit effectuée. Merci. Vous avez besoin de connaître les dernières tendances en matière de fraude? Le fait de se tenir au courant des nouvelles manœuvres frauduleuses ou de celles qui réapparaissent peut diminuer considérablement ou prévenir les pertes éventuelles subies par votre établissement. Solutions Moneris s'engage à vous informer continuellement au sujet de ces tendances, lorsqu'on les constate. Vérifiez régulièrement la section « Centre d’alertes aux commerçants ». Bash « Shellshock » Bug Dans les derniers jours, les médias ont beaucoup parlé du bogue Shellshock du système d’invite de commande Bash. Moneris tient à assurer à sa clientèle que la sécurité des données de ses clients n'a pas été compromise par ce bogue. Notre équipe de sécurité de l’information a exécuté tous les correctifs de sécurité récents visant l’ensemble des versions du système Bash. Nous continuerons de surveiller nos systèmes et exécuterons les correctifs à mesure qu’ils seront disponibles pour éviter tout impact sur notre infrastructure de paiement. Heartbleed (CVE-2014-0160) Dans les derniers jours, les médias ont beaucoup parlé du bogue Heartbleed (CVE-2014-0160) qui s’attaque au logiciel OpenSSL. Moneris aimerait rassurer ses clients : nous avons mené une enquête et déterminé que notre infrastructure de paiement, dans son état actuel, n’est pas à risque. Dans nos systèmes, la sécurité des données de vos clients n’a pas été compromise par ce bogue. Le réseau conforme à la norme PCI de Moneris tourne sous une version d’OpenSSL qui n’est pas vulnérable à Heartbleed. Alertes de hameçonnage Octobre 2013 Nous avons récemment appris que certains de nos clients reçoivent des courriels hameçons frauduleux ayant pour but de les amener à transmettre les renseignements sur leur compte Moneris et leur demandant d’installer des fichiers frauduleux dans leur système. Voici quelques caractéristiques possibles de ces courriels: Ils peuvent provenir d’une adresse fictive, comme security@moneris.ca. Ils contiennent des renseignements faux indiquant aux clients que le certificat SSL pour leur terminal virtuel est expiré. Un lien vers un site Web est fourni, et on demande aux clients de mettre à jour leur certificat numérique en cliquant sur ce lien. Une fois le lien ouvert, on demande aux clients d'installer un fichier frauduleux. Ce lien dirige les clients vers une page Web ressemblant à une page de service Moneris, comme les pages d'ouverture de session Marchand Direct ou eSELECT plus. Si vous avez reçu un de ces courriels hameçons, veuillez suivre les étapes énoncées ci-dessous : Veuillez supprimer le courriel immédiatement. Ne cliquez pas sur le lien et n’entrez aucun renseignement d’ouverture de session Moneris. Nous vous prions de n'installer aucun fichier joint. Si vous avez cliqué sur le lien et téléchargé le fichier, veuillez suivre les étapes énoncées ci-dessous : Ouvrez une session de votre compte Moneris et changez votre mot de passe. Pour les clients Marchand Direct, veuillez aller au: https://www.moneris.com/monmarchanddirect Pour les clients eSELECT plus, veuillez aller au: https://www3.moneris.com/mpg/index.php Communiquez avec votre service des TI pour que votre système soit balayé à la recherche de tout nouveau virus. Lancez votre application antivirus. Si vous n’avez pas cliqué sur le lien, veuillez supprimer le courriel immédiatement. Qu’est-ce que le « hameçonnage »? L’hameçonnage est un type de fraude où l’on utilise les courriels, les pages Web et les messages texte pour recueillir des renseignements personnels, financiers et sensibles aux fins de vol d’identité. Les utilisateurs reçoivent généralement un courriel, un message texte ou une fenêtre contextuelle semblant venir d’une entreprise honnête où on leur demande de confirmer ou de fournir des renseignements personnels comme un mot de passe ou leurs numéros d’assurance sociale, de carte de crédit ou de compte. Comment pouvez-vous défendre votre entreprise contre des menaces en ligne comme le hameçonnage? Soyez au courant des risques potentiels et renseignez-vous ainsi que votre personnel sur les façons de les gérer. Interrogez-vous sur la source de tous les courriels que vous recevez et appelez-nous pour confirmer la source des courriels ou des communications qui vous préoccupent. Intégrez à votre routine une période servant à évaluer vos procédures de sécurité et à les mettre à jour. Solutions Moneris ne demande pas à ses commerçants de fournir, de confirmer ou de mettre à jour leur dossier par courriel. Nous n’enverrons pas de courriel à partir de l’adresse d’un tiers ou de lien vers le site Web de tierces parties. Nous nous engageons à vous tenir au courant des dernières tendances en matière de fraude et à protéger votre entreprise. Si vous avez des préoccupations, veuillez communiquer avec nous au 1 866 319 7450.