17 mai 2022 • Paiements
Les 6 premiers chiffres du Primary Account Number (PAN) des cartes de crédit, de débit et prépayées sont appelés le Bank Identification Number (BIN). Le BIN est généralement utilisé pour identifier le réseau et les émetteurs de cartes. D’autres informations de paiement telles que le pays d’émission ou le type de carte peuvent être déterminées de manière fiable via ce qu’on appelle les “Account Ranges”. Ce sont tout simplement les 9 premiers chiffres du PAN pour Visa et les 11 premiers chiffres pour MasterCard. Le BIN fait en sorte que les cartes de paiement commercialisées soient en conformité avec la réglementation bancaire et des paiements. Les institutions financières détenant un BIN Sponsor ont plusieurs responsabilités comme détenir des capitaux propres élevés, être en conformité vis-à-vis des autorités réglementaires, être membre d’un réseau cartes (Mastercard ou Visa par exemple) et contrôler la conformité des programmes de cartes auprès des réseaux appelés “Scheme”.
La croissance massive des émetteurs de cartes de crédit au cours des dernières années a entraîné une pénurie de Bank Identification Numbers (BIN) disponibles. En raison de la demande croissante par les émetteurs, l’Organisation Internationale de Normalisation (ISO) a introduit une nouvelle norme pour étendre le BIN de 6 à 8 chiffres. La longueur globale de numéro de carte (par exemple, de 16 à 19 chiffres pour Visa et MasterCard en Europe) ne changera pas. Visa et MasterCard ont mis en œuvre la nouvelle norme à 8 chiffres depuis avril 2022.
En réponse à une forte augmentation du nombre d’émetteurs de cartes, l’Organisation Internationale de Normalisation (ISO) a annoncé une pénurie attendue de nouvelles combinaisons pour les numéros d’identification d’émetteur (INN - Issuer Identification Numbers), communément appelés dans l’industrie le ”Bank Identification Number” (BIN). En révisant ses directives officielles (ISO/IEC 7812-1), l’ISO demande maintenant une extension du BIN émetteur de six à huit chiffres. Alors que la longueur du Primary Account Number (PAN) restera variable - allant de 10 à 19 chiffres - le changement d’émissions du BIN nécessitera une action dans l’ensemble du secteur des paiements, y compris les banques, les processeurs, les fintechs et les fournisseurs tiers de services qui les soutiennent.
Et bien que nous soyons en mai 2022 (un mois après la date de lancement officiel des premiers BIN à huit chiffres), il existe toujours un risque important pour les organismes de paiement qui n’ont pas réussi à parvenir à mettre en place un plan maintenant.
Alors que la pandémie du COVID-19 et le climat économique actuel entraînent des pressions sur les coûts pour les institutions financières, certains organismes de paiement pourraient être tentés de continuer à reporter leurs efforts de préparation. Cependant, un manque d’urgence dans la détermination de l'ampleur des impacts potentiels peut ne pas laisser suffisamment de temps pour mettre en œuvre les changements nécessaires. L’expansion de l’émission de BIN nécessite une évaluation complète de l’utilisation de l’émission de BIN dans les systèmes, les processus et les fournisseurs technologiques des acteurs du paiement.
Visa et Mastercard ont confirmé leur soutien aux directives révisées de l’ISO et ont adopté la nouvelle norme depuis avril 2022. Les deux réseaux ont déclaré que les acquéreurs et les processeurs acquéreurs doivent être prêts à prendre en charge des BIN à 8 chiffres. Depuis avril 2022, Visa n'attribue que des BIN à huit chiffres pour les nouvelles demandes et l’émission de nouveaux BIN à six chiffres ne sera plus possible. Mastercard a adopté la norme ISO à huit chiffres et a commencé à attribuer ces nouveaux BIN aux émetteurs depuis avril 2022 aussi. Pour aider à assurer la préparation de l’écosystème, les Schemes avaient exigé des acquéreurs et des processeurs qu’ils soient en mesure de prendre en charge les “Account Ranges” de 9 à 11 chiffres avec la nouvelle norme BIN à huit chiffres d’içi la fin du mois d’avril 2022. Les acquéreurs sont d’ailleurs responsables de s’assurer que les marchands, les passerelles de paiement, les fournisseurs tiers et d’autres services soient en mesure de traiter ces nouvelles “Account Ranges”. Les émetteurs pourront convertir les BIN à six chiffres existants en BIN à huit chiffres, mais les réseaux n’ont pas encore imposé la conversion des BIN d’émission existants.
D’autres grands réseaux, dont American Express, Diners Club/Discover et China Union Pay, n’ont pas annoncé de calendrier pour l’adoption du nouveau BIN à 8 chiffres.
Depuis avril 2022, le secteur des paiements fonctionne avec des BIN à 6 et 8 chiffres. La plupart des organisations de paiement devront mettre à jour les processus et les systèmes pour prendre en charge la nouvelle longueur des BIN d’émissions et éviter de compromettre le service client et la protection des titulaires de cartes. Le niveau de préparation variera considérablement en fonction de la manière dont le BIN émetteur est utilisé, allant d'ajustements limités à de vastes changements dans plusieurs domaines fonctionnels et systèmes informatiques.
Par exemple, certaines banques acquéreuses utilisent le BIN émetteur pour router les transactions pour la valider les demandes d'autorisation. Pour tenir compte de la longueur du BIN émetteur, les banques acquéreurs doivent tenir compte d’une série d'impacts potentiels, notamment : l’émission de tables de références des BIN, le codage et la configuration des applications sous-jacentes et les systèmes de points de vente.
Bien que le niveau de préparation varie, la participation à l'écosystème des paiements depuis avril 2022 nécessite une capacité à traiter des BIN à 8 chiffres. Toutes les organisations du secteur des paiements doivent commencer par mener une évaluation d’impact complète sur l’ensemble de l’organisation et de la suite d’applications de support pour aider à atténuer les risques et informer de la portée, des besoins en ressources et du calendrier de mise en œuvre des changements nécessaires.
Le Bank Identification Number (BIN) émetteur est composé des 6 premiers chiffres - et avec ce changement des 8 chiffres, du Primary Account Number (PAN), situé sur les cartes de crédit, de débit et prépayé. Le BIN émetteur est utilisé globalement pour identifier la banque qui a émis la carte. Les banques émettrices peuvent avoir plus d’un BIN émetteur (la plupart en ont), mais chaque BIN émetteur unique ne peut être autorisé que par une seule banque émettrice.
À mesure que de plus en plus de parties prenantes adoptent des BIN à 8 chiffres, il ne sera plus possible de se fier uniquement aux six premiers chiffres du PAN pour l’autorisation, le routage et la compensation des transactions. Il est important de noter que tous les risques ne se produiront pas immédiatement, mais s’intensifieront à mesure que de plus en plus de nouveaux initiateurs de paiement utiliseront la nouvelle norme de BIN à huit chiffres. Les points de défaillance et la gravité varient en fonction de l’utilisation spécifique du BIN émetteur et de la configuration de la technologie.
Si vous utilisez des BIN à six chiffres pour les activités suivantes, vous devrez déterminer l’impact de l’extension du BIN sur vos systèmes dorsaux. Voici les éléments impactés par un BIN à huit chiffres :
Les marchands qui ne parviennent pas à apporter les modifications à huit chiffres pourraient rencontrer des problèmes majeurs entraînant un routage incorrect des transactions, des programmes de cashback fournis aux titulaires de cartes non qualifiés, l’incapacité d’identifier les participants à des programmes de fidélité et d’avantages exclusifs entraînant des impacts négatifs pour les titulaires de cartes, l’incapacité à fournir des rapports de transactions fiables par rapport à l'activité POS.
La plupart des changements requis pour les marchands et acteurs de l’industrie des paiements sont spécifiques à leurs propres systèmes internes ou propriétaires. Chaque commerçant doit évaluer les impacts de ce changement avec ses acquéreurs, processeurs, vendeurs, agents tiers et tout autre partenaire qui prend en charge ses activités de processing, de routage et toutes les activités en aval des transactions. Les marchands doivent s’engager activement et évaluer les impacts au sein de leur organisation dès que possible afin de maximiser leur efficacité et éviter les mauvaises surprises.
Toute logique spécifique au BIN à six chiffres qui a été implémentée dans les systèmes de processing doivent être modifiés, en particulier si vous :
PCI-DSS permet d’exposer les six premiers chiffres et les quatre autres chiffres d’un PAN comme seule méthode de protection des données de cartes, au repos. Si un marchand souhaite exposer un BIN complet à huit chiffres ainsi que les quatre derniers chiffres, il devra ajouter une ou plusieurs méthodes de protection des données, telles que le cryptage, l’hashing ou encore la tokenization. Les marchands doivent consulter leur Qualified Security Assessor (QSA) avant une mise en œuvre. Les modifications requises par les systèmes en aval et lors du processing pour un marchand peuvent nécessiter des délais prolongés.
Le secteur des paiements évolue et se réinvente constamment, mais la nature large et mondiale de l’expansion du BIN à 8 chiffres le rend différent de la plupart des changements de l’industrie. Chaque organisation qui utilise des BIN émetteurs sera impactée, et tous les acteurs de l’industrie doivent agir maintenant pour comprendre les risques et se préparer à ce changement important. Suite à notre partenariat avec Marqeta, Skaleet propose un Core Banking Platform aux institutions financières et aux établissements de paiement avec la capacité d’émettre des BIN à huit chiffres pour leurs cartes de paiement, gérer les autorisations de paiement et le processing des cartes tout en respectant les nouvelles normes et règles émises par les réseaux cartes MasterCard et Visa. Ce partenariat “Best-of-Breed” permet d'accélérer le time-to-market, réduire les ressources techniques, d’accéder à une solution conforme et évolutive face aux nouvelles normes réglementaires et un coût réduit pour lancer votre programme de cartes de paiement.
Innovation. FinTech. Banque Digitale. Néo-banque. Open Banking. Core Banking. Cloud.
12 mai 2022 • Paiements
Skaleet cherchait un partenaire capable d'offrir une solution d'émission et de processing de cartes.
