1、 ISO 2013 Systmes intelligents de transport Exigences pour les transports publics relatives lutilisation dapplications de paiement pour les moyens de perception du prix du voyage Intelligent transport systems Public transport requirements for the use of payment applications for fare media Numro de r
2、frence ISO/TR 14806:2013(F) RAPPORT TECHNIQUE ISO/TR 14806 Premire dition 2013-07-15 ISO/TR 14806:2013(F)ii ISO 2013 Tous droits rservs DOCUMENT PROTG PAR COPYRIGHT ISO 2013 Droits de reproduction rservs. Sauf indication contraire, aucune partie de cette publication ne peut tre reproduite ni utilise
3、 sous quelque forme que ce soit et par aucun procd, lectronique ou mcanique, y compris la photocopie, laffichage sur linternet ou sur un Intranet, sans autorisation crite pralable. Les demandes dautorisation peuvent tre adresses lISO ladresse ci-aprs ou au comit membre de lISO dans le pays du demand
4、eur. ISO copyright office Case postale 56 CH-1211 Geneva 20 Tel. + 41 22 749 01 11 Fax + 41 22 749 09 47 E-mail copyrightiso.org Web www.iso.org Publi en Suisse ISO/TR 14806:2013(F) ISO 2013 Tous droits rservs iii Sommaire Page Avant-propos iv Introduction v 1 Domaine dapplication . 1 2 T ermes et d
5、finitions . 1 3 Symboles et abrviations . 3 3.1 CNP 4 3.2 PDC 4 3.3 PAN 4 3.4 TP 4 3.5 OTP 4 3.6 ZDT 4 3.7 TR . 4 3.8 TVN 4 4 Objectifs et exigences gnraux pour les OTP . 4 5 Cas dutilisation . 5 5.1 Cas dutilisation 1: Achat dun titre pour chargement sur support client 6 5.2 Cas dutilisation 2: Acc
6、s avec les donnes du titre de transport dans lapplication de paiement . 6 5.3 Cas dutilisation 3: Paiement de trajets uniques la validation . 7 5.4 Cas dutilisation 4: Paiement aprs une priode . 8 5.5 Cas dutilisation 5: Authentification du client avec lapplication de paiement 9 6 Exigences pour les
7、 applications de paiement utilises comme billets dans les transports 10 6.1 Options de stockage des applications de paiement .11 6.2 Application de paiement sans aucune donne de transport public .11 6.3 Application de paiement avec journal des transactions de paiement 11 6.4 Applications de paiement
8、 avec zones des donnes de transport (ZDT) 13 6.5 Types de transactions pris en charge .15 7 Correspondance entre cas dutilisation, rgles de validation daccs et types dapplication de paiement 17 7.1 Protection et contrle des titres de transport 20 8 Scurit des applications de paiement 21 9 Conditions
9、 pour lutilisation dans un contexte multi-applicatif 21 9.1 Utiliser une application de paiement dans un support multi-applicatif 21 9.2 Participation de lOTP dans la gestion du cycle de vie des applications de paiement .21 9.3 Slection de lapplication de paiement .21 10 Essai et c ertification des
10、applications de paiement .22 10.1 Facilit dintgration dans les quipements frontaux 22 10.2 Essai du protocole RF .22 10.3 Certification dapplication de paiement (SE) .23 10.4 Certification de terminal dapplication de paiement 23 10.5 Dure des transactions .24 11 Protection des donnes relatives la vi
11、e prive du client .25 Annexe A (informative) Liste de contrle des rgles commerciales pour lutilisation dapplications de paiement 26 Annexe B (informative) Options afin de fournir lint er opr abilit entr e les O TP 32 Bibliographie .34 ISO/TR 14806:2013(F) Avant-propos LISO (Organisation internationa
12、le de normalisation) est une fdration mondiale dorganismes nationaux de normalisation (comits membres de lISO). Llaboration des Normes internationales est en gnral confie aux comits techniques de lISO. Chaque comit membre intress par une tude a le droit de faire partie du comit technique cr cet effe
13、t. Les organisations internationales, gouvernementales et non gouvernementales, en liaison avec lISO participent galement aux travaux. L ISO collabore troitement avec la Commission lectrotechnique internationale (CEI) en ce qui concerne la normalisation lectrotechnique. Les procdures utilises pour l
14、aborer le prsent document et celles destines sa mise jour sont dcrites dans les Directives ISO/CEI, Partie 1. Il convient, en particulier de prendre note des diffrents critres dapprobation requis pour les diffrents types de documents ISO. Le prsent document a t rdig conformment aux rgles de rdaction
15、 donnes dans les Directives ISO/CEI, Partie 2, www.iso. org/directives. Lattention est appele sur le fait que certains des lments du prsent document peuvent faire lobjet de droits de proprit intellectuelle ou de droits analogues. LISO ne saurait tre tenue pour responsable de ne pas avoir identifi de
16、 tels droits de proprit et averti de leur existence. Les dtails concernant les rfrences aux droits de proprit intellectuelle ou autres droits analogues identifis lors de llaboration du document sont indiqus dans lIntroduction et/ou sur la liste ISO des dclarations de brevets reues, www.iso.org/paten
17、ts. Les ventuelles appellations commerciales utilises dans le prsent document sont donnes pour information lintention des utilisateurs et ne constituent pas une approbation ou une recommandation. Le comit charg de llaboration du prsent document est lISO/TC 204, Systmes intelligents de transport.iv I
18、SO 2013 Tous droits rservs ISO/TR 14806:2013(F) Introduction Depuis plusieurs annes, les tablissements de paiement ont entrepris le dploiement lchelle mondiale de cartes de paiement sans contact. Ces cartes prennent en charge une interface sans contact en plus dune interface contact ou bande magntiq
19、ue. Une fois mises disposition par les metteurs dapplication de paiement, ces cartes pourraient tre utilises par le secteur des transports publics afin de permettre laccs aux rseaux de transport pour des cas dutilisation et des groupes de clients spcifiques. Afin de faciliter lutilisation dapplicati
20、ons de paiement, le secteur des transports publics pourra tirer avantage du stockage de donnes dans ces applications. Toutefois, cette capacit stocker des donnes nest pas une condition sine qua non, tant donn que certains oprateurs de transports publics commenceront accepter des applications de paie
21、ment dpourvues de telles fonctionnalits de stockage de donnes. Le prsent Rapport technique (TR) dcrit ltat actuel des techniques dans un domaine qui volue rapidement. Il convient de ne pas lutiliser en tant que seule base pour lacquisition de systmes. Il dcrit les exigences des oprateurs de transpor
22、ts publics (OTP), relatifs la manire dont les cartes de paiement ou, plus exactement, les applications de paiement voir Nota Bene ci-dessous peuvent tre utilises par ces OTP pour rpondre des besoins clients spcifiques. Les exigences transport des OTP figurant dans le prsent TR visent sappliquer aux
23、spcifications de tout schma/marque de paiement pour les cas dutilisation qui sont numrs dans ce TR (et uniquement ceux-ci). En ce qui concerne les cas dutilisation fonds sur les interfaces sans contact, ce TR dcrit les fonctions dont a besoin le secteur des transports publics et fournit des exigence
24、s transport mis par les OTP ladresse de lindustrie du paiement. Il est noter que les exigences transport des OTP ne sont pas tous disponibles actuellement et certains dentre eux ncessiteront dtre dbattus de manire plus approfondie par lindustrie du paiement et les OTP, ce qui pourra mener de nouveau
25、x dveloppements concernant la disponibilit et lutilisation de fonctions lies des applications de paiement. Ce TR sera mis jour conformment aux procdures de lISO afin de reflter lvolution des exigences transport des OTP et le niveau de fonctionnalit correspondant permis par lindustrie du paiement. Il
26、 part du principe que tout espace de stockage de donnes disponible permettra uniquement le stockage dinformations limites et sera susceptible de ne pas pouvoir supporter les titres tarifaires tels quils existent aujourdhui pour des applications billettiques (par exemple il ne serait pas judicieux de
27、 stocker un abonnement dans un enregistrement qui pourrait tre cras). Le prsent Rapport technique a t conu pour fournir une dfinition claire des options dutilisation disponibles partir des applications de paiement, lintention des concepteurs de systmes billettique et de paiement qui souhaitent autor
28、iser ces applications. Il dcrit linterface fonctionnelle lie lapplication de paiement, dans le but de faciliter la conception et lacquisition de systmes billettique transport. Les Annexes A et B fournissent galement: une liste de contrle des questions commerciales qui doivent tre abordes par les tra
29、nsports publics (TP), habituellement dans le cadre dun contrat pass avec une banque offrant des services dacquisition aux commerants; des options afin de permettre linteroprabilit entre les schmas billettiques recourant des applications de paiement mises par des banques, notamment des propositions r
30、elatives toute modification concomitante de ces applications de paiement et des rgles du schma de paiement associ. NOTA BENE: Le terme Application de paiement employ dans le prsent document peut se rfrer soit une application intgre une carte de paiement conventionnelle, soit une application charge d
31、ans un support client multi-applicatif (tel que dcrit dans lISO/TR 24014-3 3 ). ISO 2013 Tous droits rservs v Systmes intelligents de transport Exigences pour les transports publics relatives lutilisation dapplications de paiement pour les moyens de perception du prix du voyage 1 Domaine dapplicatio
32、n Le prsent Rapport technique dfinit les exigences du secteur des transports publics vis-vis des metteurs dapplications de paiement afin quils puissent spcifier leurs applications de faon quelles soient utilisables comme un outil permettant daccder aux rseaux de transport, au moyen de systmes billet
33、tique transport dont larchitecture est oriente soit sur le support, soit sur larrire-guichet, pour les utilisateurs non locaux et occasionnels comme pour les utilisateurs rguliers. Le prsent Rapport technique dfinit les exigences requises, quelles soient dordre technique ou non. Quatre lments princi
34、paux ont t identifis: Divergences entre les rgles des schmas de paiement existants et les attentes des OTP. Dfinition dune zone de stockage court cycle de vie (mmoire bloc-notes) permettant de supporter un accs avec validation en entre/sortie et les processus de contrle. Dfinition dune zone de stock
35、age long cycle de vie (zone de titres) pour stocker des titres de transport et dautres titres dans lapplication de paiement. Conditions pour une utilisation dans un contexte multi-applicatif, lorsque diffrentes applications de paiement et de transport sont mises en uvre dans le mme support. Le prsen
36、t Rapport technique dcrit les exigences lies au niveau de scurit et au modle de confiance associ, aux conditions pour lutilisation de la zone de stockage spcifique et lcrasement des titres ou des donnes, Le prsent Rapport technique ne dcrit pas les questions commerciales, qui sont dfinir pour une mi
37、se en uvre et peuvent tre diffrentes dun endroit lautre, par exemple: Du propritaire du support au client; Du propritaire du support aux propritaires dapplication; Du propritaire dapplication de paiement aux clients; Du propritaire dapplication de paiement aux transports publics; Des transports publ
38、ics au client. Les premiers cas traits par le prsent Rapport technique seront les applications sans contact EMV et leurs drivs (non strictement conforme EMV) avec stockage dapplication. Toutes les autres applications de paiement (par exemple, mulation de bande magntique sans contact) seront potentie
39、llement traites dans une version ultrieure du prsent Rapport technique. 2 T ermes et dfinitio ns Pour les besoins du prsent document, les termes et dfinitions suivants sappliquent. RAPPORT TECHNIQUE ISO/TR 14806:2013(F) ISO 2013 Tous droits rservs 1 ISO/TR 14806:2013(F) 2.1 acqureur banque acqureur
40、institution de paiement ayant un contrat avec le commerant pour prendre en charge le paiement et le rglement des titres de transport facturs aux clients qui utilisent le rseau de transport Note 1 larticle: loprateur de transports publics, dans le prsent TR) Note 2 larticle: L acqureur peut accepter
41、les paiements effectus au moyen dapplications de paiement provenant dun ou plusieurs metteurs dapplication de paiement, et/ou pour un ou plusieurs mcanismes/marques dapplications de paiement. 2.2 porteur de carte porteur de lapplication de paiement Note 1 larticle: Le porteur de carte a un contrat a
42、vec lmetteur de son application de paiement. Le support hbergeant lapplication de paiement nest pas ncessairement une carte. 2.3 c e r t i f ic at ion certification qui sapplique lapplication de paiement, au moyens de paiement et aux terminaux de paiement, comme exig par les parties prenantes de lin
43、dustrie bancaire, par exemple EMVCo, schmas de paiement 2.4 transaction carte non prsente transaction CNP transaction de paiement o ni la carte ni le porteur de carte ne sont prsents au point de vente Note 1 larticle: Commandes par tlphone, fax ou Internet. 2.5 application sans contact EMV mcanisme
44、dfini dapplications de paiement reposant sur la technologie EMV Note 1 larticle: Par opposition au mcanisme dapplications de paiement reposant sur lmulation de bande magntique. Note 2 larticle: Il sagit du type dapplication de paiement. 2.6 metteur metteur de lapplication de paiement institution de
45、paiement ayant un contrat avec le porteur de carte et mettant lapplication de paiement sur un support sans contact Note 1 larticle: Lmetteur met des applications de paiement telles que des cartes de crdit ou de dbit et garantit le paiement des transactions dment autorises, effectues laide de lapplic
46、ation de paiement. 2.7 commerant Eentit disposant de lquipement terminal ncessaire pour prendre en charge les transactions de paiement des points de contrle Note 1 larticle: Les commerants sont les oprateurs de transports publics dans le prsent TR. 2.8 application de paiement application intgre une
47、carte de paiement conventionnelle ou application charge dans un support multi-applicatif du client Note 1 larticle: Tel que dcrit dans lISO/TR 24014-3. 32 ISO 2013 Tous droits rservs ISO/TR 14806:2013(F) 2.9 interoprabilit du paiement acceptation de lapplication de paiement au point de vente du commerant, quel que soit lmetteur de cette application de paiement et quel que soit lacqureur du commerant Note 1 larticle: Linteroprabilit du paiement est garantie par des rgles et des processus de certification appliqus au niveau du chaque sch
