5
Plateforme de e-Commerce conforme 3D-Secure Cahier des Charges - Mai 2011 Cahier des Charges pour la mise en place d’une solution inform d’automatisation des encaissements chèques Objectifs du système à mettre en place : Dans le cadre de la mise à niveau de son système de aiement ar inte mettre en lace un système gestion des transactions de aiement en li ar les #metteurs internationau$ %isa &%erified 'y %isa( et Mastercar Ce système devra *tre +as# sur une asserelle de aiement multi-devis et r#ondre au$ e$igences PC, Council &Payment Card ,ndustry( en term Fonctionnalités : a asserelle de gestion des transactions de aiement sur ,nternet doi de la Poste &S,P( et rendre en charge la communication et l.#change Secure &serveur d.annuaire et serveur de contr/le d.accès(! le S,P et transaction) a solution doit offrir les fonctionnalit#s suivantes - estion des marchands affili#s à la oste tunisienne) - estion de la facturation des transactions) - "raitement des demandes de aiement en resectant le rotocole 3D - Maintien d.un log de toutes les transactions trait#es) - ,nt#grer un système de notification ar e-mail et ar SMS aram#t - Poss#der une interface de gestion simle et un contr/le d.accès e - tre multi-marchands et multidevises) Synoptique de la solution à mettre en place : Page 1 sur

Cahier Des Charges Système de ECommerce

Embed Size (px)

DESCRIPTION

Cahier Des Charges Système de ECommerce

Citation preview

Les avantages du projet dautomatisation des paiements par chques

Plateforme de e-Commerce conforme 3D-SecureCahier des Charges - Mai 2011

Cahier des Charges pour la mise en place dune solution informatiquedautomatisation des encaissements chques

Objectifs du systme mettre en place:

Dans le cadre de la mise niveau de son systme de paiement par internet, la Poste Tunisienne vise mettre en place un systme gestion des transactions de paiement en ligne selon le protocole 3D-Secure cr par les metteurs internationaux Visa (Verified By Visa) et Mastercard (Mastercard Secure Code). Ce systme devratre bas sur une passerelle de paiement multi-devises, multi-langues et multi-marchands et rpondre aux exigences PCI Council (Payment Card Industry) en termes de scurit.

Fonctionnalits:

La passerelle de gestion des transactions de paiement sur Internet doit sintgrer entre les marchands et le SI de la Poste (SIP) et prendre en charge la communication et lchange des messages aves les entits 3D-Secure (serveur dannuaire et serveur de contrle daccs), le SIP et le marchand pour le droulement de la transaction.

La solution doit offrir les fonctionnalits suivantes:

Gestion des marchands affilis la poste tunisienne.

Gestion de la facturation des transactions.

Traitement des demandes de paiement en respectant le protocole 3DSecure.

Maintien dun log de toutes les transactions traites.

Intgrer un systme de notification par e-mail et par SMS paramtrable. Possder une interface de gestion simple et un contrle daccs efficace.

tre multi-marchands et multidevises. Synoptique de la solution mettre en place:

Principe de fonctionnement:

La solution demande se compose dune plateforme temps rel qui assure la prise en charge des transactions inities par les internautes en leur faisant subir les contrles dintgrit et de scurit ncessaires, en les inscrivant sur un fichier journal et en les acheminant vers les systmes externes concerns en temps rel.Caractristiquestechniques :

Modes de paiement pris en charge: paiement par cartes bancaires selon le protocole 3D-Secure Solution ligible la certification PA-DSS dans sa dernire version La requte de transaction doit tre valide par la vrification de sa signature numrique La vrification des certificatsdoit se faire en ligne en utilisant le protocole OCSP (Online Certificate Status Protocol). Authentification forte pour les utilisateurs et les administrateurs du systme

Pour la communication avec les systmes externes, la plateforme doit offrir ses services via des WEB services scuriss

Des alertes paramtrables doivent pouvoir tre dclenches via SMS et e-mail en cas dexpiration ou de rvocation des certificats.

La synchronisation avec des serveurs de tempsNTP (Network Time Protocol) doit tre intgre dans la solution. Assurer une gestion multitche des requtes de transaction et dadministration. Produire des tats priodiques (journaliers, hebdomadaires, ) permettant au back-office deffectuer les oprations de contrle et de rapprochement automatiquement (relevs dtaills des transactions, archivage et consultation des transactions) La solution doit tre homologue par une instance nationalesuivant les lois et dcrets en vigueur. La solution doit tre dorigine Tunisienne. Le soumissionnaire devra produire un certificat dorigine dlivr par la Chambre de Commerce et dIndustrie.

Consistance de la demande :

Sachant que la plateforme informatique (matriels et logiciels systme) tant fournie par la Poste Tunisienne, le soumissionnaire doit proposer une solution comprenant :

Le progiciel applicatif,

La formation du personnel de la Poste, Les services daccompagnement et dassistance au dmarrage,

La maintenance corrective du systme pour une priode de 1 an compter de la date de la rception provisoire.Offre technique :

Le soumissionnaire doit dtailler dans son offre technique le Plan dassurance Qualit du projet (PAQ) comprenant:

larchitecture physique et logique de la solution,

les prrequisen hardware et software systme, en quipements rseau et firewalls, pour les scnarios de dploiement suivants:

Scnario 1: Un systme de production SP (un serveur) et un systme de tests et de qualifications (STQ) scuriss

Scnario 2: Un SP en haute disponibilit et un STQ scuriss

Scnario 3: Un SP en haute disponibilit, un site de backup (SB) et un STQ scuriss le plan de formation du personnel,

le planning de ralisation pour le scnario 1,

la constitution de lquipe. Loffre doit tre accompagne:

dune proposition de contrat de maintenance dune dure de 5 ans aprs la priode de garantie,

dun certificat dorigine remis par lautorit comptente prouvant lorigine Tunisienne du progiciel,

dune attestation dhomologation du progiciel conformment la lgislation en vigueur,

tous autres documents officiels pouvant servir de justificatifs fonctionnels et/ou rglementaires. Le soumissionnaire doit mettre la disposition de la Poste Tunisienne une plateforme de tests qui servira la vrification de la conformit de la solution par rapport aux exigences de ce cahier des charges.

Dlais :

Les dlais de ralisation sont au maximum de 60 jours pour la mise en place de la solution et les tests de bon fonctionnement.

Le dploiement de la solution dans le contexte de production sera constat dans un PV de rception provisoire sign par les deux parties. La date de ce PV dtermine le dmarrage de la priode de 1 an de garantie.Tableau des exigences techniques et fonctionnellesCaractristiques gnrales

FonctionnalitsExigences liminatoires

Conformit au protocole 3DSecureLa plateforme doit respecter la norme 3DSecure dans lacheminement des transactions de paiement sur Internet. Tous les tests inclus dans le document3-D Secure Production Integration Testing (PIT) - Test Plan Guide Version 2.2 doivent tre conclus avec succs.

Compatibilit avec VISA et MasterCardLa solution doit prendre en charge les cartes VISA et MasterCard.

Prise en charge des transactions sur Internet par carte bancaireLes transactions Card not present doivent tre prises en charge par la plateforme.

Communication avec le systme dinformation de la posteLa solution doit tre capable de communiquer avec le SIP via des WEB Services scuriss

Communication avec les processeurs nationaux et internationauxLa solution doit supporter les protocoles BASE 24 et ISO 8583 pour la communication avec les processeurs.

Interface de Gestion La gestion des comptes partenaires (Inscription, mise jour des certificats, activation et dsactivation du compte, ) doit se faire via une interface et non par le biais des fichiers scripts; assurant, ainsi, la journalisation de toutes les actions opres sur la plateforme.

Prise en charge du protocole NTP La synchronisation avec des serveurs de tempsNTP (Network Time Protocol) doit tre intgre dans la solution.

Fonctionnement multitches et multithread Assurer une gestion multitche multithread des requtes de transaction et dadministration.

Multi-marchands et multidevises La solution doit prendre en charge tous les marchands affilis dans toutes les devises.

Origine La solution doit tre dorigine Tunisienne. Le soumissionnaire devra produire un certificat dorigine dlivr par lautorit comptente en la matire.

Possibilit dextension vers dautres mcanismes de paiement par carte bancaireLa plateforme doit pouvoir stendre pour intgrer dautres modes de paiement soit par chque ou par les terminaux de paiement (PIN Entry Device, TPE)

ScuritConformit la rglementation internationale selon les recommandations du PCI CouncilLa solution doit tre ligible la certification PA-DSS dans sa dernire version.

Gestion des requtes Les donnes relatives la transaction et inities par le site marchand doivent rester chiffres tout le long du processus de paiement: Le porteur de la carte ne doit, en aucun cas, accder aux donnes changes entre le systme dinformation du marchand et la plateforme. Selon le protocole 3DSecure, la vrification de la signature de rponse de la banque mettrice et obligatoire.

Protocoles de communicationsLa plateforme ne doit accepter que les connexions scurises (TLS V1.0.).

Vrification des certificats des marchands affilisLa vrification des certificatsdoit se faire en ligne en utilisant le protocole OCSP (Online Certificate Status Protocol).

Contrle daccs pour les utilisateurs et administrateurs du systmeLauthentification des utilisateurs voulant grer la plateforme doit se faire par un jeton PKCS11 dont la partie publique doit tre enregistre sur la passerelle.

Alertes paramtrablesDes alertes paramtrables doivent pouvoir tre dclenches en temps rel via SMS et e-mail en cas dexpiration ou de rvocation des certificats.

Homologation de lANCELa solution doit tre homologue par lANCE (Agence Nationale de Certification Electronique) conformment la rglementation en vigueur.

Gestion des marchands affilisGestion des marchands affilis la posteGestion des contrats, tarifications, rglements commerants, statistiques, gestion des terminaux lis au commerant

Journalisation des vnementsToutes les transactions (abouties ou non) doivent tre enregistres avec les dtails ncessaires (nom du commerant, identifiant du terminal, lempreinte du numro de la carte)

Gestion de la facturation des transactionsLa plateforme doit comprendre un systme de facturation complet pour les marchands.

Calcul paramtrable des commissionsLa solution doit offrir la possibilit de rgler la facturation en se basant sur un systme de profils (taux de TVA, frais sur les transactions).

Fichiers des transactionsLa passerelle doit offrir pour les marchands la possibilit de rcuprer leurs logs.

Etats et statistiquesLe systme doit produire des tats priodiques (journaliers, hebdomadaires, ) permettant au back-office deffectuer les oprations de contrle et de rapprochement automatiquement (relevs dtaills des transactions, archivage et consultation des transactions).

Mise jour des devisesLa mise jour du taux de change doit se faire automatiquement partir du SIP.

Page 1 sur 4Page 1 sur 5