WO2018024980A1 - Method for implementing a transaction from an electronic transaction means - Google Patents

Method for implementing a transaction from an electronic transaction means Download PDF

Info

Publication number
WO2018024980A1
WO2018024980A1 PCT/FR2017/052156 FR2017052156W WO2018024980A1 WO 2018024980 A1 WO2018024980 A1 WO 2018024980A1 FR 2017052156 W FR2017052156 W FR 2017052156W WO 2018024980 A1 WO2018024980 A1 WO 2018024980A1
Authority
WO
WIPO (PCT)
Prior art keywords
transaction
module
electronic
beneficiary
list
Prior art date
Application number
PCT/FR2017/052156
Other languages
French (fr)
Inventor
Arnaud BELLEE
Jacques Burger
Original Assignee
Orange
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange filed Critical Orange
Publication of WO2018024980A1 publication Critical patent/WO2018024980A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/02Payment architectures, schemes or protocols involving a neutral party, e.g. certification authority, notary or trusted third party [TTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/20Point-of-sale [POS] network systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/352Contactless payments by cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/36Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes
    • G06Q20/367Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes
    • G06Q20/3674Payment architectures, schemes or protocols characterised by the use of specific devices or networks using electronic wallets or electronic money safes involving electronic purses or money safes involving authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules

Definitions

  • the present invention relates to the field of transactions using mobile terminals or electronic cards.
  • US 2016/132880 A1 discloses rules relating to the authorization of contactless payment transactions. After providing contactless payment information to a merchant, the mobile device receives a request for authorization of the transaction. The details of the transaction in the query are compared to the rules stored on the mobile device. Among these rules, some merchants may be specified, for which the regulation threshold does not apply. However, this system does not eliminate the risk of fraud and the way to select merchants remains problematic. It would therefore be desirable to have a new payment solution per terminal that is more ergonomic but equally secure.
  • the present invention thus relates, according to a first aspect, to a method for implementing a transaction from an electronic transaction means of a user, on which at least one transaction module adapted to authorize is stored. a transaction when activated, the electronic transaction means further comprising a communication unit with a network;
  • the electronic transaction means is chosen from a physical electronic card and a mobile terminal on which said transaction module is associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when it is activated;
  • the electronic transaction means is a mobile terminal comprising a data processing module and a security element on which is stored said transaction module;
  • the security element is either a hardware element chosen from a subscriber identification card and a secure execution space of the terminal's data processing module, or a software element emulated by the data processing module of the terminal; terminal according to the Hosted Card Emulation architecture, HCE;
  • the security element implements said transaction module and a risk module storing said list of recurring transaction beneficiary identifiers
  • the data processing module implements a management module of the transaction module (s); , step (b) comprising interrogating the risk module by the targeted transaction module;
  • Step (a) comprises the reception by the management module of historical data representative of previous transactions, the generation of said list of recurring transaction beneficiary identifiers by the management module from said historical data. representative of previous transactions, and the transmission of said list to the risk module;
  • the electronic transaction means is an electronic payment means, the transaction request being received in step (a) from an electronic payment terminal in wireless communication with the electronic payment means, the transaction authorization being issued in step (d) to the electronic payment terminal;
  • the method further comprises a step (e) of transmitting the transaction authorization to a bank server associated with said bank card via the network; • said authentication procedure of the user of the electronic payment means is determined between a normal procedure and a simplified procedure;
  • said normal procedure includes the verification of a PIN entered by the user and / or the verification of a biometric parameter of the user, and the simplified procedure does not include verification of a PIN entered by the user or checking a user biometric parameter;
  • Step (d) comprises, in the case of a normal procedure, the transmission by the targeted transaction module, addressed to the management module, of a request to present a confidential code associated with the transaction module; management being configured to request and obtain via a terminal interface said confidential code;
  • step (c) comprising:
  • the authentication procedure of the user of the electronic payment means is determined to be the simplified procedure if the received transaction amount is less than or equal to the associated threshold in the list to the received identifier;
  • step (c) comprising:
  • the authentication procedure of the user of the electronic payment means is determined to be the simplified procedure if the transaction amount received is less than or equal to the threshold by default ;
  • the method comprises a step (e) of notifying the authorized transaction to the server so as to update said list of recurring transaction beneficiary identifiers.
  • the invention relates to an electronic transaction means on which is stored at least one transaction module adapted to authorize a transaction when it is activated, and comprising a communication unit with a network,
  • the electronic transaction means being configured for:
  • the electronic transaction means is a mobile terminal, the a transaction module associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when activated.
  • the invention relates to a computer program product comprising code instructions for executing a method according to the first aspect of the invention to implement a transaction from an electronic transaction means. of a user.
  • the invention relates to a storage means readable by a computer equipment on which this computer program product is found.
  • FIG. 1 is a diagram of a general network architecture for the implementation of the invention
  • Figures 2a-2c show three embodiments of implementation of a transaction via the method according to the invention.
  • the limit amount for the payment without a PIN can not be increased globally otherwise fraud will be encouraged, but it is understood that it would be interesting to get rid of it in the case of merchants where the user comes regularly to consume.
  • the user usually always comes to his daily shopping in the same stores, and insurance can be provided by recurrence and proximity.
  • it can be assumed with a very high level of certainty that the user who has paid in the same place a large number of times with the same bank card is trusted, which is not the case if is in a new and remote place.
  • This technique is for example used in the application EP3014542 to check consistency between the current location and said previous locations of the terminal, and where appropriate detect fraudulent transactions.
  • the present invention proposes a solution that differs from the known methods using not geolocation, but a past transaction history, rules defined by learning on this base, and a particular architecture to apply its rules without compromising security.
  • the invention proposes a method for implementing a transaction from an electronic transaction means 1, 10 of a user.
  • electronic transaction means either a physical electronic card 10 (typically a bank card, see more detail on this later) or a mobile terminal 1.
  • the means 1, 10 stores at least one transaction module adapted to authorize a transaction when it is activated.
  • the transaction is implemented either directly by using the physical electronic card 10, or by using such a dematerialized card on the terminal 1, ie by reproducing the use of an electronic card 10.
  • said transaction module is associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when activated.
  • the transaction is typically a payment transaction (that is, the physical card 10 or dematerialized on the terminal 1 is a bank card), in particular a proximity transaction initiated by an electronic payment terminal (EPT) 2 as found in most outlets (eg EFTPOS).
  • EPT electronic payment terminal
  • the TPEs have near field communication means (NFC) intended to interact with a physical bank card 10 having this technology, but also enabling them to interact with a mobile terminal 1.
  • NFC near field communication means
  • a transaction module contains (among other things) an identifier of the dematerialized card, if necessary an additional code (for example the visual cryptogram), and a confidential code (the PIN code of the dematerialized card).
  • a terminal 1 can store a plurality of transaction modules so as to simulate several electronic cards.
  • the present method is not limited to payment transactions, but may relate to any transaction using a physical card 10 or reproduced on a terminal 1, and in particular teletransmissions of care sheets via a vital card, validations of the card. medical procedures via Health Professional Card, etc., provided that the transaction is associated with an amount of said transaction and an identifier of the beneficiary of said transaction
  • the example of the payment transaction will be taken, and the person skilled in the art will be able to translate it to other applications.
  • the electronic transaction means 1, 10 further comprises a communication unit 13 with a network 20 (for example the Internet), in order to communicate with a control server 21 of the network 20.
  • a network 20 for example the Internet
  • the electronic transaction means is a mobile terminal 1
  • it is simply a wireless communication unit with a mobile network 15 (3G, 4G, Wi-Fi, etc.) itself connected to the network 20.
  • the connection via this unit 13 is then distinct from the one in the near field (wireless connection of proximity, in general NFC, but also Wi-Fi or Bluetooth) that the terminal 1 can have with a TPE 2 (it is quite possible that the two connections are active simultaneously).
  • this card is an advanced card having a communication unit of the same type as that of a mobile terminal, or the unit 13 is merged with the means of field communications near, and then the TPE 2 is configured to allow the card 10 some particular connections with the network 20.
  • the TPE 2 is in all cases first connected via a wireless link (NFC, but also Wi-Fi or Bluetooth) by means of electronic transaction 1, 10, and secondly connected to the least one bank server 3 via the network 20, but in general the access of the TPE 2 to the network 20 is restricted, so that the TPE can not have access to other equipment than the bank servers 3 and vice versa.
  • a wireless link NFC, but also Wi-Fi or Bluetooth
  • the transaction means is a physical card 10 which has no communication unit 13 other than that adapted to communicate in the near field with the TPE 2, the latter is configured to allow a communication with the control server 21 of the network 20, in addition to the communication with the bank servers 3. It will be understood that in embodiment, the TPE 2 remains limited to connections to the bank servers 3 and the control server 20 so to avoid security breaches.
  • the electronic transaction means is a mobile terminal 1
  • the latter can be of any type, in particular smartphone or touch tablets. It comprises a data processing module 11 (a processor), a data storage module (a memory), an interface user (HMI) 14 comprising for example input means and display means (for example a touch screen).
  • a data processing module 11 a processor
  • a data storage module a memory
  • an interface user (HMI) 14 comprising for example input means and display means (for example a touch screen).
  • the terminal 1 also advantageously comprises a security element 12 for storing said transaction module.
  • a security element 12 for storing said transaction module.
  • it is an element adapted to allow a connection of the terminal 1 to a mobile communication network, in particular a subscriber identification card.
  • subscriber identification card is meant any integrated circuit capable of performing the functions of identifying a subscriber to a network by means of data stored therein, and more particularly a "SIM” card (of the English “Subscriber Identity Module”), or an "e-UICC” card (“embedded”) comprising data processing means in the form of a microcontroller and the memory of type "EEPROM” (for "Electrically-Erasable Programmable Read-Only Memory”), or flash.
  • SIM subscriber Identity Module
  • e-UICC embedded
  • EEPROM Electrically-Erasable Programmable Read-Only Memory
  • the security element 12 is a secure memory area of the mobile terminal such as a "TEE” (Trusted Execution Environment) component embedded in the data processing module 11. , or a dedicated hardware element of the terminal 1 (for example a microcontroller, an "eSE” chip for "(embedded) -Secure Element” or any “Secure Component GP (GlobalPIatform)”), or even a removable component of type microSD ("SD” for Secure Digital).
  • TEE Trusteon Environment
  • the data processing module 1 1 (“non-secure” processor) may have a Host Card Emulation (HCE) feature, which enables it to "Emulate” a security element, and manage directly and securely the transaction module.
  • HCE Host Card Emulation
  • the mobile terminal 1 still comprises a security element 12, but that it is purely software.
  • the data processing module 1 1 of the terminal 1 implements preferably a "wallet” type management module, ie an electronic wallet application.
  • a wallet ie an electronic wallet application.
  • the user wants to use one of his dematerialized electronic cards for a transaction, he just has to open the wallet as the only payment application, and the latter offers him to choose between the cards (and more particularly between the modules). card transactions) that he wants to use, he just has to enter (if necessary, see below) the associated PIN.
  • Wallets also provide additional features such as PIN code change.
  • This wallet can be cleverly completed by a "wallet companion", i.e. an authentication module as described in the application FR1562797.
  • the bank server 3 of the network 20 designates a transaction management platform, and comprises a data processing module 31, for example a processor and a data storage module 32 such as a hard disk or, preferably, an HSM (for "Hardware Security Module”).
  • a data processing module 31 for example a processor
  • a data storage module 32 such as a hard disk or, preferably, an HSM (for "Hardware Security Module”).
  • server 3 may include a plurality of separate banking servers connected and adapted to communicate together.
  • the control server 21 is typically a server of an operator electronic transaction means 1, 10 and will allow as we will see to trace transaction control data. There may be several, and particularly one per type of means 1, 10 and / or one per payment network.
  • FIGS. 2a-c Three embodiments of the present method according to the invention will be described. It will be understood that these examples are illustrative only.
  • FIGS. 2a and 2b there is in the case of a terminal 1 having a separate security element 12 of the SIM card type
  • FIG. 2c it is in the case where there is no element of FIG. distinct security, which is typically the case of a mobile terminal 1 said HCE (Host Card Emulation), where the security element is emulated by the data processing module 1 1 (we will consider that there is always an element 12, but that it is part of the processing module 1 1).
  • HCE Home Card Emulation
  • the terminal 1 obtains (directly or indirectly) from the control server 21 of the network 20 via the communication unit 13 (typically via a mobile network 15 in the case of the terminal 1) a list of recurring transaction beneficiary identifiers.
  • This data can indicate for each merchant (the recipients of transactions) the number of transactions with them for a certain period of time and / or the associated amounts.
  • the geolocation is not involved.
  • the list can be summary and simply list the merchants for whom it is considered that the user has a "recurrent" use in the sense of a predetermined criterion, for example "at least four expenses in the previous month for a total of 'at least EUR 100', or may associate to each merchant a payment threshold in simplified procedure as will be explained below.
  • the idea is that the presence of a merchant in the list defines a low level of risk associated with the use of a transaction module of the terminal 1 for a transaction with this merchant, and thus allows a simplified authentication procedure the user of the electronic payment means 1, 10 (without user authentication, that is to say typically without PIN code entry) for amounts higher than usual.
  • This step can be implemented regularly, or at the beginning of the transaction (particularly in the case where the electronic transaction means 1, 10 is a physical card that can communicate with the server 21 only via a TPE 2).
  • a step (b) the security element 12 receives a transaction request for a transaction module of said plurality, for example transmitted from a TPE 2 in connection with the terminal 1, in particular once the user has reported wanting to implement a transaction via a card from payment dematerialized he chose for example on his wallet.
  • This step is referenced 1. in Figures 2a-2c.
  • the request includes at least one amount of said transaction and an identifier of the beneficiary of said transaction (merchant identifier).
  • the TPE 2 can in this step query the matrix of active payment means, so as to select (using a filter) the instance (the transaction module) that will be in charge of the transaction.
  • a step (c) is determined by the security element 12, in particular by interrogation of the risk module, a user authentication procedure among a plurality of procedures according to said amount and identifier of the beneficiary of said transaction, and said list of recurring transaction recipient IDs.
  • This step is referenced 2. in FIGS. 2a-2c.
  • said authentication procedure of the user of the electronic payment means 1, 10 is determined between a normal procedure and a simplified procedure, but more than two types of procedures can be envisaged if additional authentications were requested. for very high value transactions for example.
  • said normal procedure comprises the verification of a confidential code entered by the user and / or a biometric parameter of the user, such as his fingerprint (but preferably only the verification of the code confidential), whereas the simplified procedure does not include verification of a PIN entered by the user ("fast" procedure usually without contact).
  • the simplified procedure does not include any authentication of the user other than the possession of the transaction means 1, 10.
  • the risk level defines a transaction amount threshold for transition to simplified procedure, ie the maximum amount for which the entry of the PIN code of the user (or any other authentication procedure such as a biometric measurement) is not required to activate the transaction module.
  • the choice between simplified procedure and normal procedure is determined by comparing the amount of the transaction with a threshold, this threshold being lower for a non-recurring merchant (who is not in the list and whose transaction is considered normal risk), for a recurring merchant (in the list and therefore the transaction is considered low risk).
  • a threshold said by default is used, corresponding advantageously to the regulation threshold (today € 20), and in the simplified procedure at least a specific threshold greater than the first threshold is used, for example € 50.
  • the user's PIN will be requested only from non-recurring merchants. More specifically, the "fast" contactless payment will be allowed at the recurring merchant (because it is below the second threshold of 50 €), while it will be refused at the non-recurring merchant (because we are above first threshold of 20 €) and he will be asked to enter his PIN code (in the case of a physical card 10, it will be inserted into the reader).
  • each merchant in the list is associated with a threshold calculated by the server 21 or by the wallet management module (i.e. by the data processing module 1 1).
  • Each threshold of said list is greater than the default threshold for the process to be of interest.
  • step (c) then comprises:
  • the authentication procedure of the user of the electronic payment means 1, 10 is determined to be the simplified procedure if the transaction amount received is less than or equal to associated threshold in the list to the received identifier;
  • the authentication procedure of the user of the electronic payment means 1, 10 is determined as being the simplified procedure if the amount of transaction received is less than or equal to the default threshold;
  • step (c) is managed by a risk module stored in the security element 12.
  • Such a security element such as a subscriber identification card, is a physical device of trust that is almost impossible to infect with a Trojan horse, because the installation of applications in these cards is limited to well-defined entities. identified, and controlled by the operator and / or the issuer of the service in relation to the manufacturer of the security element 12.
  • the determined authentication procedure must then be completed, so that in a step (d) said transaction module can be activated if said determined authentication procedure is completed, in order to issue a transaction authorization in response to said transaction request.
  • step (d) comprises, in the case of a normal procedure, the transmission by the targeted transaction module, intended for the management module, of a request to present a confidential code associated with the transaction module, the management module being configured to request and obtain via the interface 14 of the mobile terminal 1 said confidential code (or on an interface of the TPE 2 in the case where the electronic transaction means is a physical electronic card 10), step noted 3. in Figures 2a-2c.
  • the wallet On receipt of the valid PIN (otherwise it returns an error message, and preferably hangs after three errors) the wallet is activated, and it activates the targeted transaction module (step 4. of the figures), so that the latter ultimately issues the transaction authorization in response to said transaction request.
  • the wallet management module transmits the confidential code entered to the targeted transaction module.
  • the wallet issues an activation command of the targeted transaction module (rather than the code alone) in response, which further improves the security of one step. Any interception of requests and manipulation of the security element 12 becomes impossible.
  • the activated transaction module can then finish the implementation of the transaction in a conventional manner.
  • the method further comprises a step (d) of transmitting the transaction authorization to a bank server 3 associated with said card electronic (physical or virtualized) via the network 20.
  • step 5 the payment authorization is transferred to the TPE 2 so that the latter can report to the server 3 in a step 6.
  • said list of recurring transaction beneficiary identifiers dynamically evolves.
  • the method advantageously comprises a subsequent step (e) of notification of the authorized transaction to the server 21 so as to update said list of recurring transaction beneficiary identifiers (more precisely historical data representative of previous transactions ).
  • the server 21 can in turn notify the wallet module.
  • the first transaction at a given merchant is always managed vis-à-vis the regulation threshold, then if a certain number and / or amount of transaction is reached for this merchant he joins the list so to facilitate simplified procedures. Note that this may be subject to the authorization of the user. It can for example be notified (via the wallet) that a merchant can join the list of recurring merchants, and therefore a new payment threshold without authentication is offered if he accepts.
  • the threshold associated with a recurring merchant may change over time, up or down, depending on the transaction history. It can even be expected that it will leave the list if a certain periods without transactions with it elapses.
  • the server 21 may be in contact with the merchants, they may or may not accept the new payment threshold. Specifically, it can be expected that all interested merchants send their identifier to the server 21, and only those who have done so can be included in the list of recurring merchants. For others, the threshold will remain at the regulation threshold in all cases.
  • the invention relates to the electronic transaction means 1, 10 for the implementation of the method according to the first aspect.
  • On this means 1, 10 is stored at least one transaction module adapted to allow a transaction when it is activated (in particular on a security element 12), and comprising a communication unit 13 with a network 20.
  • the means 1, 10 is either a physical electronic card 10 or a mobile terminal 1 also comprising a data processing module 11 (a processor).
  • the transaction module is associated with a "virtualized" electronic card, and adapted to authorize a transaction on behalf of this electronic card when it is activated.
  • Its security element 12 is advantageously in the form of a subscriber identification card, but also in the form of an area of the data processing module 11 or an optionally removable external component, etc.
  • the electronic transaction means 1, 10 (and more precisely its security element 12 if it is a mobile terminal 1, although it will be understood that a physical electronic card 10 constitutes an element security by definition) is configured to:
  • a transaction request for said transaction module (for example from a TPE 2), the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction;
  • the invention relates to a computer program product comprising code instructions for execution (in particular on the security element 12 of the terminal 1 or on a physical card 10) of a method according to the first aspect of the invention for implementing a transaction from an electronic transaction means 1, 10 of a user, as well as storage means readable by a computer equipment (a memory of the security 12) on which we find this product computer program.

Landscapes

  • Business, Economics & Management (AREA)
  • Engineering & Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

The present invention relates to a method for implementing a transaction from an electronic transaction means (1, 10) of a user, on which is stored at least one transaction module capable of authorising a transaction when it is activated, the electronic transaction means (1, 10) further comprising a communication unit (13) for communicating with a network (20); the method being characterised in that it comprises implementing by the electronic payment means (1, 10) of steps of: (a) obtaining from a server (21) of the network (20) via the communication unit (13), a list of identifiers of beneficiaries of recurring transactions; (b) receiving a transaction request intended for said transaction module, the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction; (c) determining an authentication procedure of the user of the electronic payment means (1, 10) from a plurality of procedures depending on the amount and identifier of the beneficiary of said received transaction, and on the list of identifiers of beneficiaries of recurring transactions; (d) if said determined authentication procedure is completed, activating said transaction module, and sending a transaction authorisation in response to said transaction request.

Description

Procédé de mise en œuvre d'une transaction depuis un moyen de transaction électronique  Method for implementing a transaction from an electronic transaction means
DOMAINE TECHNIQUE GENERAL GENERAL TECHNICAL FIELD
La présente invention concerne le domaine des transactions au moyen de terminaux mobiles ou cartes électroniques. The present invention relates to the field of transactions using mobile terminals or electronic cards.
Plus précisément, elle concerne un procédé pour la mise en œuvre d'une transaction depuis un moyen de transaction électronique d'un utilisateur.  More specifically, it relates to a method for implementing a transaction from an electronic transaction means of a user.
ETAT DE L'ART STATE OF THE ART
Il est aujourd'hui possible de procéder à une transaction au niveau d'une borne de paiement via une carte bancaire physique ou dématérialisée (ou « virtualisés ») c'est-à-dire simulée par un support électronique, par exemple un terminal mobile. It is now possible to conduct a transaction at a payment terminal via a physical or dematerialized bank card (or "virtualized") that is to say simulated by an electronic medium, for example a mobile terminal. .
Dans une cas comme dans l'autre, il est prévu pour des petits montants (moins de 20€, seuil dit « de régulation ») d'éviter la saisie d'un code de carte bancaire (le PIN bancaire) notamment en mettant en œuvre un paiement sans contact avec une borne de paiement par exemple de type NFC. Cela permet de diminuer fortement les manipulations et le temps nécessaire à la transaction car l'utilisateur n'a qu'à approcher sa carte ou son smartphone de la borne pour payer, et donc d'éviter aux consommateurs de faire la queue aux caisses.  In one case as in the other, it is planned for small amounts (less than 20 €, threshold called "regulation") to avoid entering a credit card code (the bank PIN) including putting in a contactless payment with a payment terminal, for example of the NFC type. This greatly reduces the handling and the time required for the transaction because the user only has to approach his card or smartphone from the terminal to pay, and thus to avoid consumers queuing at the checkout.
Aujourd'hui, le seuil de régulation pour le paiement sans code PIN est bas et fixée de façon globale par les banques de sorte à éviter des fraudes. Le remonter augmenterait le nombre de transaction éligibles et permettrait de gagner du temps, mais provoquerait mathématiquement plus de fraude au vu des sommes plus importantes gagnables.  Today, the regulatory threshold for payment without a PIN is low and set globally by banks so as to avoid fraud. Rolling it up would increase the number of eligible transactions and save time, but would mathematically cause more fraud in the face of larger winnings.
Le document US 2016/132880 A1 décrit des règles relatives à l'autorisation des transactions de paiement sans contact. Après la fourniture d'informations de paiement sans contact à un marchand, l'appareil mobile reçoit une requête relative à l'autorisation de la transaction. Les détails de la transaction figurant dans la requête sont comparés aux règles stockées sur l'appareil mobile. Au nombre de ces règles, certains marchands peuvent être spécifiés, pour lesquels le seuil de régulation ne s'applique pas. Cependant ce système ne permet pas de s'affranchir du risque de fraude et la manière de sélectionner des marchands reste problématique. II serait par conséquent souhaitable de disposer d'une nouvelle solution de paiement par terminal qui soit plus ergonomique mais tout aussi sécurisée. US 2016/132880 A1 discloses rules relating to the authorization of contactless payment transactions. After providing contactless payment information to a merchant, the mobile device receives a request for authorization of the transaction. The details of the transaction in the query are compared to the rules stored on the mobile device. Among these rules, some merchants may be specified, for which the regulation threshold does not apply. However, this system does not eliminate the risk of fraud and the way to select merchants remains problematic. It would therefore be desirable to have a new payment solution per terminal that is more ergonomic but equally secure.
PRESENTATION DE L'INVENTION La présente invention se rapporte ainsi selon un premier aspect à un procédé de mise en œuvre d'une transaction depuis un moyen de transaction électronique d'un utilisateur, sur lequel est stocké au moins un module de transaction adapté pour autoriser une transaction lorsqu'il est activé, le moyen de transaction électronique comprenant en outre une unité de communication avec un réseau ; PRESENTATION OF THE INVENTION The present invention thus relates, according to a first aspect, to a method for implementing a transaction from an electronic transaction means of a user, on which at least one transaction module adapted to authorize is stored. a transaction when activated, the electronic transaction means further comprising a communication unit with a network;
Le procédé étant caractérisé en ce qu'il comprend la mise en œuvre par le moyen de paiement électronique d'étapes de :  The method being characterized in that it comprises the implementation by the electronic payment means of steps of:
(a) Obtention depuis un serveur du réseau via l'unité de communication d'une liste d'identifiants de bénéficiaires de transactions récurrents ;  (a) Obtaining from a network server via the communication unit a list of recipients of recurring transactions;
(b) réception d'une requête de transaction visant ledit module de transaction, la requête comprenant au moins un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction ;  (b) receiving a transaction request for said transaction module, the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction;
(c) Détermination d'une procédure d'authentification de l'utilisateur du moyen de paiement électronique parmi une pluralité de procédure en fonction desdits montant et identifiant du bénéficiaire de ladite transaction reçus, et de ladite liste d'identifiants de bénéficiaires de transactions récurrents ; (c) determining a method for authenticating the user of the electronic payment means among a plurality of procedures based on said amount and identifier of the beneficiary of said transaction received, and said list of recurring transaction beneficiary identifiers ;
(d) Si ladite procédure d'authentification déterminée est complétée, activation dudit module de transaction, et émission d'une autorisation de transaction en réponse à ladite requête de transaction. (d) If said determined authentication procedure is completed, activating said transaction module, and issuing a transaction authorization in response to said transaction request.
(e)  (E)
L'utilisation d'un historique de transactions couplée à une détermination (en particulier par un élément de sécurité) d'une procédure de transaction à prévoir permet de contourner le seuil de régulation de paiement sans code PIN, de sorte à augmenter virtuellement ce seuil chez des marchands récurrents avec lesquels l'utilisateur a une relation de confiance. Cela augmente le nombre de transaction rapides possibles, et facilite la vie de tout le monde sans diminuer la sécurité. The use of a transaction history coupled with a determination (in particular by a security element) of a transaction procedure to be envisaged makes it possible to bypass the payment regulation threshold without a PIN, so as to increase this threshold virtually. in recurring merchants with whom the user has a relationship of trust. This increases the number of fast transactions possible, and makes life easier for everyone without compromising security.
Selon d'autres caractéristiques avantageuses et non limitatives : According to other advantageous and nonlimiting features:
· le moyen de transaction électronique est choisi parmi une carte électronique physique et un terminal mobile sur lequel ledit module de transaction est associé à une carte électronique, et adapté pour autoriser une transaction pour le compte de ladite carte électronique lorsqu'il est activé ; The electronic transaction means is chosen from a physical electronic card and a mobile terminal on which said transaction module is associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when it is activated;
• le moyen de transaction électronique est un terminal mobile comprenant un module de traitement de données et un élément de sécurité sur lequel est stocké ledit module de transaction ;  The electronic transaction means is a mobile terminal comprising a data processing module and a security element on which is stored said transaction module;
• l'élément de sécurité est soit un élément matériel choisi parmi une carte d'identification d'abonné et un espace d'exécution sécurisé du module de traitement de données du terminal, soit un élément logiciel émulé par le module de traitement de données du terminal conformément à l'architecture Emulation de Cartes Hébergées, HCE ;  The security element is either a hardware element chosen from a subscriber identification card and a secure execution space of the terminal's data processing module, or a software element emulated by the data processing module of the terminal; terminal according to the Hosted Card Emulation architecture, HCE;
• l'élément de sécurité met en œuvre ledit module de transaction et un module de risque stockant ladite liste d'identifiants de bénéficiaires de transactions récurrents, et le module de traitement de données met en œuvre un module de gestion du ou des modules de transaction, l'étape (b) comprenant l'interrogation du module de risque par le module de transaction visé ;  The security element implements said transaction module and a risk module storing said list of recurring transaction beneficiary identifiers, and the data processing module implements a management module of the transaction module (s); , step (b) comprising interrogating the risk module by the targeted transaction module;
• l'étape (a) comprend la réception par le module de gestion de données d'historique représentatives de transactions précédentes, la génération de ladite liste d'identifiants de bénéficiaires de transactions récurrents par le module de gestion à partir desdites données d'historique représentatives de transactions précédentes, et la transmission de ladite liste au module de risque ;  Step (a) comprises the reception by the management module of historical data representative of previous transactions, the generation of said list of recurring transaction beneficiary identifiers by the management module from said historical data. representative of previous transactions, and the transmission of said list to the risk module;
• le moyen de transaction électronique est un moyen de paiement électronique, la requête de transaction étant reçue à l'étape (a) depuis un terminal de paiement électronique en communication sans fil avec le moyen de paiement électronique, l'autorisation de transaction étant émise à l'étape (d) à destination du terminal de paiement électronique ;  The electronic transaction means is an electronic payment means, the transaction request being received in step (a) from an electronic payment terminal in wireless communication with the electronic payment means, the transaction authorization being issued in step (d) to the electronic payment terminal;
• le procédé comprend en outre une étape (e) de transmission de l'autorisation de transaction à un serveur bancaire associé à ladite carte bancaire via le réseau ; • ladite procédure d'authentification de l'utilisateur du moyen de paiement électronique est déterminée entre une procédure normale et une procédure simplifiée ; The method further comprises a step (e) of transmitting the transaction authorization to a bank server associated with said bank card via the network; • said authentication procedure of the user of the electronic payment means is determined between a normal procedure and a simplified procedure;
• ladite procédure normale comprend la vérification d'un code confidentiel saisi par l'utilisateur et/ou la vérification d'un paramètre biométrique de l'utilisateur, et la procédure simplifiée ne comprend ni vérification d'un code confidentiel saisi par l'utilisateur, ni vérification d'un paramètre biométrique de l'utilisateur ;  • said normal procedure includes the verification of a PIN entered by the user and / or the verification of a biometric parameter of the user, and the simplified procedure does not include verification of a PIN entered by the user or checking a user biometric parameter;
• l'étape (d) comprend en cas de procédure normale l'émission par le module de transaction visé, à destination du module de gestion, d'une requête de présentation d'un code confidentiel associé au module de transaction, le module de gestion étant configuré pour requérir et obtenir via une interface du terminal ledit code confidentiel ;  Step (d) comprises, in the case of a normal procedure, the transmission by the targeted transaction module, addressed to the management module, of a request to present a confidential code associated with the transaction module; management being configured to request and obtain via a terminal interface said confidential code;
• chaque identifiant de bénéficiaire de transaction récurrent de ladite liste est associé à un seuil, l'étape (c) comprenant :  Each recurrent transaction beneficiary identifier of said list is associated with a threshold, the step (c) comprising:
- Si ledit identifiant reçu du bénéficiaire de la transaction appartient à ladite liste, la procédure d'authentification de l'utilisateur du moyen de paiement électronique est déterminée comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal au seuil associé dans la liste à l'identifiant reçu ;  - If said identifier received from the beneficiary of the transaction belongs to said list, the authentication procedure of the user of the electronic payment means is determined to be the simplified procedure if the received transaction amount is less than or equal to the associated threshold in the list to the received identifier;
· un seuil par défaut est stocké dans le moyen de transaction électronique, chaque seuil de ladite liste étant supérieur au seuil par défaut, l'étape (c) comprenant : A default threshold is stored in the electronic transaction means, each threshold of said list being greater than the default threshold, step (c) comprising:
- Si ledit identifiant reçu du bénéficiaire de la transaction n'appartient à ladite liste, la procédure d'authentification de l'utilisateur du moyen de paiement électronique est déterminée comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal au seuil par défaut ;  - If said identifier received from the beneficiary of the transaction does not belong to said list, the authentication procedure of the user of the electronic payment means is determined to be the simplified procedure if the transaction amount received is less than or equal to the threshold by default ;
• le procédé comprend une étape (e) de notification de la transaction autorisée au serveur de sorte à mettre à jour ladite liste d'identifiants de bénéficiaires de transactions récurrents.  The method comprises a step (e) of notifying the authorized transaction to the server so as to update said list of recurring transaction beneficiary identifiers.
Selon un deuxième aspect, l'invention concerne un moyen de transaction électronique sur lequel est stocké au moins un module de transaction adapté pour autoriser une transaction lorsqu'il est activé, et comprenant une unité de communication avec un réseau, Le moyen de transaction électronique étant configuré pour : According to a second aspect, the invention relates to an electronic transaction means on which is stored at least one transaction module adapted to authorize a transaction when it is activated, and comprising a communication unit with a network, The electronic transaction means being configured for:
- Obtenir depuis un serveur du réseau via l'unité de communication une liste d'identifiants de bénéficiaires de transactions récurrents ;  - Obtaining from a network server via the communication unit a list of identifiers of recipients of recurring transactions;
- recevoir une requête de transaction visant ledit module de transaction, la requête comprenant au moins un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction ;  receiving a transaction request for said transaction module, the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction;
- déterminer une procédure d'authentification de l'utilisateur du moyen de paiement électronique parmi une pluralité de procédure en fonction desdits montant et identifiant du bénéficiaire de ladite transaction reçus, et de ladite liste d'identifiants de bénéficiaires de transactions récurrents ;  determining a method for authenticating the user of the electronic payment means among a plurality of procedures based on said amount and identifier of the beneficiary of said transaction received, and said list of recurring transaction beneficiary identifiers;
- Si ladite procédure d'authentification déterminée est complétée, activer ledit module de transaction, et émettre une autorisation de transaction en réponse à ladite requête de transaction Selon d'autres caractéristiques avantageuses et non limitatives le moyen de transaction électronique est un terminal mobile, le module de transaction étant associé à une carte électronique, et adapté pour autoriser une transaction pour le compte de ladite carte électronique lorsqu'il est activé. Selon un troisième aspect, l'invention concerne un produit programme d'ordinateur comprenant des instructions de code pour l'exécution d'un procédé selon le premier aspect de l'invention de mise en œuvre d'une transaction depuis un moyen de transaction électronique d'un utilisateur.  If said determined authentication procedure is completed, activate said transaction module, and issue a transaction authorization in response to said transaction request. According to other advantageous and non-limiting features, the electronic transaction means is a mobile terminal, the a transaction module associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when activated. According to a third aspect, the invention relates to a computer program product comprising code instructions for executing a method according to the first aspect of the invention to implement a transaction from an electronic transaction means. of a user.
Selon un quatrième aspect, l'invention concerne un moyen de stockage lisible par un équipement informatique sur lequel on trouve ce produit programme d'ordinateur.  According to a fourth aspect, the invention relates to a storage means readable by a computer equipment on which this computer program product is found.
PRESENTATION DES FIGURES D'autres caractéristiques et avantages de la présente invention apparaîtront à la lecture de la description qui va suivre d'un mode de réalisation préférentiel. Cette description sera donnée en référence aux dessins annexés dans lesquels : PRESENTATION OF THE FIGURES Other features and advantages of the present invention will appear on reading the description which follows of a preferred embodiment. This description will be given with reference to the appended drawings in which:
- la figure 1 est un schéma d'une architecture générale de réseau pour la mise en œuvre de l'invention ; - les figures 2a-2c représentent trois modes de réalisation de mise en œuvre d'une transaction via le procédé selon l'invention. FIG. 1 is a diagram of a general network architecture for the implementation of the invention; - Figures 2a-2c show three embodiments of implementation of a transaction via the method according to the invention.
DESCRIPTION DETAILLEE DETAILED DESCRIPTION
Principe Principle
Comme expliqué auparavant, la limite de montant pour le paiement sans code PIN (de façon générale sans autre authentification autre que la possession du moyen de transaction électronique) ne peut être augmentée de façon globale sous peine d'encourager la fraude, mais on comprend qu'il serait intéressant de s'en affranchir dans le cas de marchands chez lesquels l'utilisateur vient régulièrement consommer. As previously explained, the limit amount for the payment without a PIN (generally without any other authentication other than the possession of the electronic means of transaction) can not be increased globally otherwise fraud will be encouraged, but it is understood that it would be interesting to get rid of it in the case of merchants where the user comes regularly to consume.
Par exemple, l'utilisateur vient généralement toujours faire ses courses quotidiennes dans les mêmes magasins, et une assurance peut être apportée par la récurrence et la proximité. En d'autres termes, on peut supposer avec un très haut niveau de certitude que l'utilisateur qui a payé au même endroit un grand nombre de fois avec la même carte bancaire est de confiance, ce qui n'est pas le cas si c'est dans un lieu nouveau et éloigné. Cette technique est par exemple utilisée dans la demande EP3014542 pour vérifier une cohérence entre le lieu courant et lesdites localisations précédentes du terminal, et le cas échéant détecter des transactions frauduleuses.  For example, the user usually always comes to his daily shopping in the same stores, and insurance can be provided by recurrence and proximity. In other words, it can be assumed with a very high level of certainty that the user who has paid in the same place a large number of times with the same bank card is trusted, which is not the case if is in a new and remote place. This technique is for example used in the application EP3014542 to check consistency between the current location and said previous locations of the terminal, and where appropriate detect fraudulent transactions.
Lorsque sont identifiés des utilisateurs de confiance, il serait intéressant de relever le seuil de régulation, i.e. de faciliter des « procédures simplifiées » sans authentification de l'utilisateur, de sorte à diminuer le temps de paiement de ces utilisateurs et ainsi le temps d'attente global dans les points de vente, surtout que ces transactions « de confiance » constituent une grosse partie si ce n'est la majorité des transactions.  When trusted users are identified, it would be interesting to raise the regulation threshold, ie to facilitate "simplified procedures" without user authentication, so as to reduce the payment time of these users and thus the time of payment. overall expectation in outlets, especially since these "trust" transactions are a big part if not the majority of transactions.
Pour pouvoir identifier ces utilisateurs de confiance et définir si une procédure simplifiée peut être utilisée, la présente invention propose une solution qui se démarque des procédés connus en utilisant non pas la géolocalisation, mais un historique de transaction passées, des règles définies par apprentissage sur cette base, et une architecture particulière pour appliquer ses règles sans attenter à la sécurité. Architecture In order to be able to identify these trusted users and define whether a simplified procedure can be used, the present invention proposes a solution that differs from the known methods using not geolocation, but a past transaction history, rules defined by learning on this base, and a particular architecture to apply its rules without compromising security. Architecture
En référence à la figure 1 , l'invention propose un procédé pour la mise en œuvre d'une transaction depuis un moyen de transaction électronique 1 , 10 d'un utilisateur. Par moyen de transaction électronique, on entend soit une carte électronique physique 10 (typiquement une carte bancaire, on verra plus de détail à ce sujet plus loin), soit un terminal mobile 1 . With reference to FIG. 1, the invention proposes a method for implementing a transaction from an electronic transaction means 1, 10 of a user. By electronic transaction means either a physical electronic card 10 (typically a bank card, see more detail on this later) or a mobile terminal 1.
Dans tous les cas, le moyen 1 , 10 stocke au moins un module de transaction adapté pour autoriser une transaction lorsqu'il est activé  In all cases, the means 1, 10 stores at least one transaction module adapted to authorize a transaction when it is activated.
A ce titre, la transaction est mise en œuvre soit directement en utilisant la carte électronique physique 10, soit en utilisant une telle carte dématérialisée sur le terminal 1 , i.e. en reproduisant l'utilisation d'une carte électronique 10. Dans ce dernier cas, ledit module de transaction est associé à une carte électronique, et adapté pour autoriser une transaction pour le compte de ladite carte électronique lorsqu'il est activé.  As such, the transaction is implemented either directly by using the physical electronic card 10, or by using such a dematerialized card on the terminal 1, ie by reproducing the use of an electronic card 10. In the latter case, said transaction module is associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when activated.
La transaction est typiquement une transaction de paiement (c'est-à-dire que la carte physique 10 ou dématérialisée sur le terminal 1 est une carte bancaire), en particulier une transaction de proximité initiée par un terminal de paiement électronique (TPE) 2 tel que l'on trouve dans la plupart des points de vente (par exemple de type EFTPOS). Les TPE possèdent en effet pour la plupart des moyens de communication en champ proche (NFC) destinés à interagir avec une carte bancaire physique 10 disposant de cette technologie, mais leur permettant également d'interagir avec un terminal mobile 1 .  The transaction is typically a payment transaction (that is, the physical card 10 or dematerialized on the terminal 1 is a bank card), in particular a proximity transaction initiated by an electronic payment terminal (EPT) 2 as found in most outlets (eg EFTPOS). For the most part, the TPEs have near field communication means (NFC) intended to interact with a physical bank card 10 having this technology, but also enabling them to interact with a mobile terminal 1.
De façon générale, dans le cas de transactions de paiement, un module de transaction (appelé alors « token ») contient (entre autres) un identifiant de la carte dématérialisée, le cas échéant un code supplémentaire (par exemple le cryptogramme visuel), et un code confidentiel (le code PIN de la carte dématérialisée). A noter qu'un terminal 1 peut stocker une pluralité de modules de transaction de sorte à simuler plusieurs cartes électroniques.  Generally, in the case of payment transactions, a transaction module (called "token") contains (among other things) an identifier of the dematerialized card, if necessary an additional code (for example the visual cryptogram), and a confidential code (the PIN code of the dematerialized card). Note that a terminal 1 can store a plurality of transaction modules so as to simulate several electronic cards.
On comprendra néanmoins que le présent procédé n'est pas limité à des transactions de paiement, mais peut concerner toute transaction utilisant une carte physique 10 ou reproduite sur un terminal 1 , et notamment des télétransmissions de feuilles de soins via Carte Vitale, des validations d'actes médicaux via Carte de Professionnel de Santé, etc., à condition que la transaction soit associée à un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction Dans la suite de la présente demande, on prendra l'exemple de la transaction de paiement, et l'homme du métier saura transposer à d'autres applications. It will be understood, however, that the present method is not limited to payment transactions, but may relate to any transaction using a physical card 10 or reproduced on a terminal 1, and in particular teletransmissions of care sheets via a vital card, validations of the card. medical procedures via Health Professional Card, etc., provided that the transaction is associated with an amount of said transaction and an identifier of the beneficiary of said transaction In the remainder of the present application, the example of the payment transaction will be taken, and the person skilled in the art will be able to translate it to other applications.
Le moyen de transaction électronique 1 , 10 comprend en outre une unité de communication 13 avec un réseau 20 (par exemple Internet), en vue de communiquer avec un serveur de contrôle 21 du réseau 20. Dans le cas où le moyen de transaction électronique est un terminal mobile 1 , il s'agit tout simplement d'une unité de communication sans fil avec un réseau mobile 15 (3G, 4G, Wi-Fi, etc.) lui-même connecté au réseau 20. La connexion via cette unité 13 est alors distincte de celle en champ proche (connexion sans-fil de proximité, en général NFC, mais aussi Wi-Fi ou Bluetooth) que le terminal 1 peut avoir avec un TPE 2 (il est tout à fait possible que les deux connexions soient actives simultanément). Dans le cas d'une carte électronique physique 10, soit cette carte est une carte avancée disposant d'une unité de communication du même type que celle d'un terminal mobile, soit l'unité 13 est confondue avec les moyen de communications en champ proche, et alors le TPE 2 est configuré de sorte à permettre à la carte 10 certaines connexions particulières avec le réseau 20.  The electronic transaction means 1, 10 further comprises a communication unit 13 with a network 20 (for example the Internet), in order to communicate with a control server 21 of the network 20. In the case where the electronic transaction means is a mobile terminal 1, it is simply a wireless communication unit with a mobile network 15 (3G, 4G, Wi-Fi, etc.) itself connected to the network 20. The connection via this unit 13 is then distinct from the one in the near field (wireless connection of proximity, in general NFC, but also Wi-Fi or Bluetooth) that the terminal 1 can have with a TPE 2 (it is quite possible that the two connections are active simultaneously). In the case of a physical electronic card 10, either this card is an advanced card having a communication unit of the same type as that of a mobile terminal, or the unit 13 is merged with the means of field communications near, and then the TPE 2 is configured to allow the card 10 some particular connections with the network 20.
En fonctionnement, le TPE 2 est dans tous les cas d'une part connecté via une liaison sans-fil (NFC, mais aussi Wi-Fi ou Bluetooth) au moyen de transaction électronique 1 , 10, et d'autre part connecté à au moins un serveur bancaire 3 via le réseau 20, mais en général l'accès du TPE 2 au réseau 20 est restreint, de sorte que le TPE ne puisse pas avoir accès à d'autres équipements que les serveurs bancaires 3 et réciproquement.  In operation, the TPE 2 is in all cases first connected via a wireless link (NFC, but also Wi-Fi or Bluetooth) by means of electronic transaction 1, 10, and secondly connected to the least one bank server 3 via the network 20, but in general the access of the TPE 2 to the network 20 is restricted, so that the TPE can not have access to other equipment than the bank servers 3 and vice versa.
Dans le mode de réalisation particulier où le moyen de transaction est une carte physique 10 qui n'a pas d'unité de communication 13 autre que celle adaptée pour communiquer en champ proche avec le TPE 2, ce dernier est configuré de sorte à autoriser une communication avec le serveur de contrôle 21 du réseau 20, en plus de la communication avec les serveurs bancaires 3. On comprendra que dans mode de réalisation, le TPE 2 reste limité à des connexions aux serveurs bancaires 3 et au serveur de contrôle 20 de sorte à éviter des failles de sécurité.  In the particular embodiment where the transaction means is a physical card 10 which has no communication unit 13 other than that adapted to communicate in the near field with the TPE 2, the latter is configured to allow a communication with the control server 21 of the network 20, in addition to the communication with the bank servers 3. It will be understood that in embodiment, the TPE 2 remains limited to connections to the bank servers 3 and the control server 20 so to avoid security breaches.
Dans le cas où le moyen de transaction électronique est un terminal mobile 1 , ce dernier peut être de n'importe quel type, en particulier smartphone ou des tablettes tactiles. Il comprend un module de traitement de données 1 1 (un processeur), un module de stockage de données (une mémoire), une interface utilisateur (IHM) 14 comprenant par exemple des moyens de saisie et des moyens d'affichage (par exemple un écran tactile). In the case where the electronic transaction means is a mobile terminal 1, the latter can be of any type, in particular smartphone or touch tablets. It comprises a data processing module 11 (a processor), a data storage module (a memory), an interface user (HMI) 14 comprising for example input means and display means (for example a touch screen).
Le terminal 1 comprend en outre avantageusement un élément de sécurité 12 pour le stockage dudit module de transaction. De façon préférée, il s'agit d'un élément adapté pour autoriser une connexion du terminal 1 à un réseau de communication mobile, en particulier une carte d'identification d'abonné. Par « carte d'identification d'abonné », on entend tout circuit intégré capable d'assurer les fonctions d'identification d'un abonné à un réseau via des données qui y sont stockées, et tout particulièrement une carte « SIM » (de l'anglais « Subscriber Identity Module »), ou une carte « e-UICC » (pour « (embedded)-Universal Integrated Circuit Card ») comprenant des moyens de traitement de données sous la forme d'un microcontrôleur et de la mémoire de type « EEPROM » (pour « Electrically-Erasable Programmable Read-Only Memory »), ou flash. L'invention n'est pas limitée à ce type d'élément de sécurité. Ainsi, dans un autre exemple de réalisation, l'élément de sécurité 12 est une zone mémoire sécurisée du terminal mobile tel un composant « TEE » (de l'anglais « Trusted Execution Environment ») embarqué dans le module de traitement de données 1 1 , ou un élément matériel dédié du terminal 1 (par exemple un microcontrôleur, une puce « eSE » pour « (embedded)-Secure Elément » ou n'importe quel « Secure Component GP (GlobalPIatform) »), voire un composant amovible de type microSD (« SD » pour Secure Digital).  The terminal 1 also advantageously comprises a security element 12 for storing said transaction module. Preferably, it is an element adapted to allow a connection of the terminal 1 to a mobile communication network, in particular a subscriber identification card. By "subscriber identification card" is meant any integrated circuit capable of performing the functions of identifying a subscriber to a network by means of data stored therein, and more particularly a "SIM" card (of the English "Subscriber Identity Module"), or an "e-UICC" card ("embedded") comprising data processing means in the form of a microcontroller and the memory of type "EEPROM" (for "Electrically-Erasable Programmable Read-Only Memory"), or flash. The invention is not limited to this type of security element. Thus, in another exemplary embodiment, the security element 12 is a secure memory area of the mobile terminal such as a "TEE" (Trusted Execution Environment) component embedded in the data processing module 11. , or a dedicated hardware element of the terminal 1 (for example a microcontroller, an "eSE" chip for "(embedded) -Secure Element" or any "Secure Component GP (GlobalPIatform)"), or even a removable component of type microSD ("SD" for Secure Digital).
Alternativement à un élément de sécurité 12 « physique », le module de traitement de données 1 1 (processeur « non-sécurisé ») peut avoir une fonctionnalité dite d'Emulation de Cartes Hébergées, ou HCE (Host Card Emulation), qui lui permet « d'émuler » un élément de sécurité, et de gérer directement et de façon sécurisée le module de transaction. Dans un tel mode de réalisation, on comprendra que le terminal mobile 1 comprend malgré tout un élément de sécurité 12, mais qu'il est purement logiciel.  As an alternative to a "physical" security element 12, the data processing module 1 1 ("non-secure" processor) may have a Host Card Emulation (HCE) feature, which enables it to "Emulate" a security element, and manage directly and securely the transaction module. In such an embodiment, it will be understood that the mobile terminal 1 still comprises a security element 12, but that it is purely software.
Dans tous les cas, le module de traitement de données 1 1 du terminal 1 met quant à lui en œuvre de façon préférée un module de gestion de type « wallet », i.e. une application de portefeuille électronique. Si l'utilisateur souhaite utiliser l'une de ses cartes électroniques dématérialisées pour une transaction, il lui suffit d'ouvrir le wallet comme seule application de paiement, et ce dernier lui propose de choisir entre les cartes (et plus particulièrement entre les modules de transactions des cartes) celle qu'il souhaite utiliser, il n'a plus qu'à saisir (si nécessaire, voir plus loin) le code PIN associé. Les wallets permettent également des fonctions supplémentaires telles que le changement de code PIN. In any case, the data processing module 1 1 of the terminal 1 implements preferably a "wallet" type management module, ie an electronic wallet application. If the user wants to use one of his dematerialized electronic cards for a transaction, he just has to open the wallet as the only payment application, and the latter offers him to choose between the cards (and more particularly between the modules). card transactions) that he wants to use, he just has to enter (if necessary, see below) the associated PIN. Wallets also provide additional features such as PIN code change.
Ce wallet peut être astucieusement complété par un « wallet companion », i.e. un module d'authentification tel que décrit dans la demande FR1562797.  This wallet can be cleverly completed by a "wallet companion", i.e. an authentication module as described in the application FR1562797.
Le serveur bancaire 3 du réseau 20 désigne une plateforme de gestion des transactions, et comprend un module de traitement de données 31 , par exemple un processeur et un module de stockage de données 32 tel qu'un disque dur ou de façon préférée un HSM (pour « Hardware Security Module »).  The bank server 3 of the network 20 designates a transaction management platform, and comprises a data processing module 31, for example a processor and a data storage module 32 such as a hard disk or, preferably, an HSM ( for "Hardware Security Module").
On comprendra que la notion de « serveur 3 » peut englober une pluralité de serveurs bancaires distincts connectés et adaptés pour communiquer ensemble.  It will be understood that the concept of "server 3" may include a plurality of separate banking servers connected and adapted to communicate together.
Le serveur de contrôle 21 est quant à lui typiquement un serveur d'un opérateur des moyens de transaction électronique 1 , 10 et va permettre comme l'on va voir de faire remonter des données de contrôle des transactions. Il peut y en avoir plusieurs, et particulier un par type de moyen 1 , 10 et/ou un par réseau de paiement.  The control server 21 is typically a server of an operator electronic transaction means 1, 10 and will allow as we will see to trace transaction control data. There may be several, and particularly one per type of means 1, 10 and / or one per payment network.
Procédé de mise en œuvre de la transaction En référence aux figures 2a-c vont être décrits trois exemples de réalisation du présent procédé selon l'invention. On comprendra que ces exemples ne sont qu'illustratifs. Dans les figures 2a et 2b, on est dans le cas d'un terminal 1 présentant un élément de sécurité 12 distinct de type carte SIM, et dans la figure 2c on est dans le cas où il n'y a pas d'élément de sécurité distinct, ce qui est typiquement le cas d'un terminal mobile 1 dit HCE (Host Card Emulation), où l'élément de sécurité est émulé par le module traitement de données 1 1 (on considérera qu'il y a toujours un élément de sécurité 12, mais qu'il est fait partie du module de traitement 1 1 ). La situation sera similaire dans le cas où le moyen de paiement est une carte électronique physique 10, puisque le microprocesseur d'une carte électronique physique 10 est par définition un élément de sécurité. Method for implementing the transaction Referring to FIGS. 2a-c, three embodiments of the present method according to the invention will be described. It will be understood that these examples are illustrative only. In FIGS. 2a and 2b, there is in the case of a terminal 1 having a separate security element 12 of the SIM card type, and in FIG. 2c it is in the case where there is no element of FIG. distinct security, which is typically the case of a mobile terminal 1 said HCE (Host Card Emulation), where the security element is emulated by the data processing module 1 1 (we will consider that there is always an element 12, but that it is part of the processing module 1 1). The situation will be similar in the case where the means of payment is a physical electronic card 10, since the microprocessor of a physical electronic card 10 is by definition a security element.
Dans la suite de la description, on prendra l'exemple préféré de la transaction au moyen d'un terminal mobile 1 , mais on décrira par la suite comme adapter le présent procédé à d'autres moyens de transaction électronique et en particulier une carte physique 10. Dans une première étape (a), le terminal 1 (et plus précisément un module de risque stocké dans l'élément de sécurité 12) obtient (directement ou indirectement) depuis le serveur de contrôle 21 du réseau 20 via l'unité de communication 13 (typiquement via un réseau mobile 15 dans le cas du terminal 1 ) une liste d'identifiants de bénéficiaires de transactions récurrents. In the remainder of the description, the preferred example of the transaction will be taken by means of a mobile terminal 1, but will be described later as adapting the present method to other means of electronic transaction and in particular a physical card. 10. In a first step (a), the terminal 1 (and more precisely a risk module stored in the security element 12) obtains (directly or indirectly) from the control server 21 of the network 20 via the communication unit 13 (typically via a mobile network 15 in the case of the terminal 1) a list of recurring transaction beneficiary identifiers.
Cette liste, construite par apprentissage, est générée soit par le module de traitement de données 1 1 du terminal 1 (plus précisément par le wallet) à partir de données d'historique représentatives des transactions précédentes fournies par le serveur 21 (cas des figures 2a et 2c, on comprend alors qu'elle est obtenue indirectement), soit directement par le serveur 21 (cas de la figure 2b. A noter que ce principe pourrait être appliqué au cas de la figure 2c). Les transferts associés sont référencés 0. sur les figures 2a-2c  This list, constructed by learning, is generated either by the data processing module 1 1 of the terminal 1 (more precisely by the wallet) from historical data representative of the previous transactions provided by the server 21 (in the case of FIGS. and 2c, it is understood that it is obtained indirectly), either directly by the server 21 (in the case of Figure 2b, note that this principle could be applied to the case of Figure 2c). The associated transfers are referenced 0. in FIGS. 2a-2c
Ces données peuvent indiquer pour chaque marchand (les bénéficiaires de transactions) le nombre de transaction avec eux depuis un certain laps de temps et/ou les montants associés. De façon préférée, la géolocalisation n'est pas impliquée.  This data can indicate for each merchant (the recipients of transactions) the number of transactions with them for a certain period of time and / or the associated amounts. Preferably, the geolocation is not involved.
La liste peut quant à elle être sommaire et simplement lister les marchands pour lesquels on considère que l'utilisateur a une utilisation « récurrente » au sens d'un critère prédéterminé, par exemple « au moins quatre dépenses dans le mois précédent pour un total d'au moins 100€ », ou peut associer à chaque marchand un seuil de paiement en procédure simplifiée comme il sera expliqué plus loin.  The list can be summary and simply list the merchants for whom it is considered that the user has a "recurrent" use in the sense of a predetermined criterion, for example "at least four expenses in the previous month for a total of 'at least EUR 100', or may associate to each merchant a payment threshold in simplified procedure as will be explained below.
L'idée est que la présence d'un marchand dans la liste définisse un niveau de risque faible associé à l'utilisation d'un module de transaction du terminal 1 pour une transaction avec ce marchand, et autorise ainsi une procédure d'authentification simplifiée de l'utilisateur du moyen de paiement électronique 1 , 10 (sans authentification de l'utilisateur, c'est-à-dire typiquement sans saisie de code PIN) pour des montants plus élevés qu'à l'accoutumée.  The idea is that the presence of a merchant in the list defines a low level of risk associated with the use of a transaction module of the terminal 1 for a transaction with this merchant, and thus allows a simplified authentication procedure the user of the electronic payment means 1, 10 (without user authentication, that is to say typically without PIN code entry) for amounts higher than usual.
Cette étape peut être mise en œuvre régulièrement, où au début de la transaction (en particulier dans le cas où le moyen de transaction électronique 1 , 10 est une carte physique ne pouvant communiquer avec le serveur 21 que via un TPE 2).  This step can be implemented regularly, or at the beginning of the transaction (particularly in the case where the electronic transaction means 1, 10 is a physical card that can communicate with the server 21 only via a TPE 2).
Dans une étape (b), l'élément de sécurité 12 reçoit une requête de transaction visant un module de transaction de ladite pluralité, par exemple émise depuis un TPE 2 en connexion avec le terminal 1 , en particulier une fois que l'utilisateur ait signalé vouloir mettre en œuvre une transaction via une carte de paiement dématérialisée qu'il a choisi par exemple sur son wallet. Cette étape est référencée 1 . sur les figures 2a-2c. In a step (b), the security element 12 receives a transaction request for a transaction module of said plurality, for example transmitted from a TPE 2 in connection with the terminal 1, in particular once the user has reported wanting to implement a transaction via a card from payment dematerialized he chose for example on his wallet. This step is referenced 1. in Figures 2a-2c.
La requête comprend au moins un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction (identifiant du marchand).  The request includes at least one amount of said transaction and an identifier of the beneficiary of said transaction (merchant identifier).
On note que le TPE 2 peut dans cette étape interroger la matrice des moyens de paiement actifs, de sorte à sélectionner (à l'aide d'un filtre) l'instance (le module de transaction) qui sera en charge de la transaction.  It is noted that the TPE 2 can in this step query the matrix of active payment means, so as to select (using a filter) the instance (the transaction module) that will be in charge of the transaction.
Dans une étape (c), est déterminé par l'élément de sécurité 12, en particulier par interrogation du module de risque, une procédure d'authentification de l'utilisateur parmi une pluralité de procédure en fonction desdits montant et identifiant du bénéficiaire de ladite transaction reçus, et de ladite liste d'identifiants de bénéficiaires de transactions récurrents. Cette étape est référencée 2. sur les figures 2a-2c.  In a step (c), is determined by the security element 12, in particular by interrogation of the risk module, a user authentication procedure among a plurality of procedures according to said amount and identifier of the beneficiary of said transaction, and said list of recurring transaction recipient IDs. This step is referenced 2. in FIGS. 2a-2c.
Comme expliqué, de façon préférée ladite procédure d'authentification de l'utilisateur du moyen de paiement électronique 1 , 10 est déterminée entre une procédure normale et une procédure simplifiée, mais on peut envisager plus de deux types de procédures si des authentifications supplémentaires étaient demandés pour des transactions de très haute valeur par exemple.  As explained, preferably said authentication procedure of the user of the electronic payment means 1, 10 is determined between a normal procedure and a simplified procedure, but more than two types of procedures can be envisaged if additional authentications were requested. for very high value transactions for example.
Comme expliqué précédemment, de façon particulièrement préférée ladite procédure normale comprend la vérification d'un code confidentiel saisi par l'utilisateur et/ou d'un paramètre biométrique de l'utilisateur, telle que son empreinte digitale (mais préférentiellement uniquement la vérification du code confidentiel), alors que la procédure simplifiée ne comprend pas de vérification d'un code confidentiel saisi par l'utilisateur (procédure « rapide » généralement sans contact). Pour reformuler encore, la procédure simplifiée ne comprend aucune authentification de l'utilisateur autre que la possession du moyen de transaction 1 , 10.  As explained above, in a particularly preferred manner, said normal procedure comprises the verification of a confidential code entered by the user and / or a biometric parameter of the user, such as his fingerprint (but preferably only the verification of the code confidential), whereas the simplified procedure does not include verification of a PIN entered by the user ("fast" procedure usually without contact). To rephrase again, the simplified procedure does not include any authentication of the user other than the possession of the transaction means 1, 10.
Plus précisément, et contrairement à l'art antérieur où seul le seuil de régulation était pris en compte, le niveau de risque définit un seuil de montant de transaction pour passage en procédure simplifiée, i.e. le montant maximal pour lequel la saisie du code PIN de l'utilisateur (ou toute autre procédure d'authentification telle qu'une mesure biométrique) n'est pas requise pour activer le module de transaction.  More precisely, and contrary to the prior art where only the regulation threshold was taken into account, the risk level defines a transaction amount threshold for transition to simplified procedure, ie the maximum amount for which the entry of the PIN code of the user (or any other authentication procedure such as a biometric measurement) is not required to activate the transaction module.
De façon pratique, le choix entre procédure simplifiée et procédure normale est déterminé par comparaison du montant de la transaction avec un seuil, ce seuil étant plus bas pour un marchand non récurrent (qui n'est pas dans la liste et dont la transaction est considérée à risque normal), pour un marchand récurrent (dans la liste et donc la transaction est considérée à risque faible). In practice, the choice between simplified procedure and normal procedure is determined by comparing the amount of the transaction with a threshold, this threshold being lower for a non-recurring merchant (who is not in the list and whose transaction is considered normal risk), for a recurring merchant (in the list and therefore the transaction is considered low risk).
Ainsi, dans la procédure normale un seuil dit par défaut est utilisé, correspondant avantageusement au seuil de régulation (aujourd'hui 20€), et dans la procédure simplifiée au moins un seuil spécifique supérieur au premier seuil est utilisé, par exemple 50€.  Thus, in the normal procedure a threshold said by default is used, corresponding advantageously to the regulation threshold (today € 20), and in the simplified procedure at least a specific threshold greater than the first threshold is used, for example € 50.
Dans l'exemple d'une dépense de 45€, le code PIN de l'utilisateur sera demandé uniquement chez des marchands non-récurrents. Plus précisément, le paiement sans contact « rapide » sera autorisé chez le marchand récurrent (car on est en dessous du deuxième seuil de 50€), alors qu'il sera refusé chez le marchand non-récurrent (car on est au-dessus du premier seuil de 20€) et il lui sera demandé se saisir son code PIN (dans le cas d'une carte physique 10, il faudra l'insérer dans le lecteur).  In the example of an expense of € 45, the user's PIN will be requested only from non-recurring merchants. More specifically, the "fast" contactless payment will be allowed at the recurring merchant (because it is below the second threshold of 50 €), while it will be refused at the non-recurring merchant (because we are above first threshold of 20 €) and he will be asked to enter his PIN code (in the case of a physical card 10, it will be inserted into the reader).
A noter qu'au sein de la liste, certains marchands peuvent même être considérés « très récurrents » s'ils vérifient des critères encore plus élevés de montant et de fréquence de dépense. Cela peut se traduire par des seuils encore plus élevés.  Note that within the list, some merchants can even be considered "very recurrent" if they verify even higher criteria of amount and frequency of expenditure. This can result in even higher thresholds.
Ainsi, de façon particulièrement préférée, chaque marchand de la liste est associé à un seuil calculé par le serveur 21 ou par le module de gestion wallet (i.e. par le module traitement de données 1 1 ). Chaque seuil de ladite liste est supérieur au seuil par défaut pour que le procédé ait un intérêt.  Thus, particularly preferably, each merchant in the list is associated with a threshold calculated by the server 21 or by the wallet management module (i.e. by the data processing module 1 1). Each threshold of said list is greater than the default threshold for the process to be of interest.
Dans ce mode de réalisation l'étape (c) comprend alors :  In this embodiment, step (c) then comprises:
- Si ledit identifiant reçu du bénéficiaire de la transaction appartient à ladite liste, la procédure d'authentification de l'utilisateur du moyen de paiement électronique 1 , 10 est déterminée comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal au seuil associé dans la liste à l'identifiant reçu ;  - If said identifier received from the beneficiary of the transaction belongs to said list, the authentication procedure of the user of the electronic payment means 1, 10 is determined to be the simplified procedure if the transaction amount received is less than or equal to associated threshold in the list to the received identifier;
- Si ledit identifiant reçu du bénéficiaire de la transaction n'appartient à ladite liste, la procédure d'authentification de l'utilisateur du moyen de paiement électronique 1 , 10 est déterminée comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal au seuil par défaut ;  If said identifier received from the beneficiary of the transaction does not belong to said list, the authentication procedure of the user of the electronic payment means 1, 10 is determined as being the simplified procedure if the amount of transaction received is less than or equal to the default threshold;
- Sinon (dans tous les autres cas), la procédure d'authentification de l'utilisateur du moyen de paiement électronique 1 , 10 est déterminée comme étant la procédure normale. On note que dans la mesure où une autorisation de procédure simplifiée à un seuil supérieur au seuil de régulation constitue une dérogation aux standards de sécurité, il est particulièrement intéressant que l'étape (c) soit gérée par un module de risque stocké dans l'élément de sécurité 12. - Otherwise (in all other cases), the authentication procedure of the user of the electronic payment means 1, 10 is determined as the normal procedure. It should be noted that, to the extent that simplified procedural authorization at a threshold greater than the regulatory threshold constitutes a derogation from security standards, it is of particular interest that step (c) is managed by a risk module stored in the security element 12.
Un tel élément de sécurité, tel qu'une carte d'identification d'abonné est un dispositif physique de confiance quasi-impossible à infecter par un Cheval de Troie, car l'installation d'applications dans ces cartes est limitée à des entités bien identifiées, et contrôlées par l'opérateur et/ou ou l'émetteur du service en lien avec le fabricant de l'élément de sécurité 12.  Such a security element, such as a subscriber identification card, is a physical device of trust that is almost impossible to infect with a Trojan horse, because the installation of applications in these cards is limited to well-defined entities. identified, and controlled by the operator and / or the issuer of the service in relation to the manufacturer of the security element 12.
La procédure d'authentification déterminée doit alors être complétée, de sorte que dans une étape (d) ledit module de transaction puisse être activé si ladite procédure d'authentification déterminée est complétée, en vue de l'émission d'une autorisation de transaction en réponse à ladite requête de transaction.  The determined authentication procedure must then be completed, so that in a step (d) said transaction module can be activated if said determined authentication procedure is completed, in order to issue a transaction authorization in response to said transaction request.
Plus précisément, l'étape (d) comprend en cas de procédure normale l'émission par le module de transaction visé, à destination du module de gestion, d'une requête de présentation d'un code confidentiel associé au module de transaction, le module de gestion étant configuré pour requérir et obtenir via l'interface 14 du terminal mobile 1 ledit code confidentiel (ou sur une interface du TPE 2 dans le cas où le moyen de transaction électronique est une carte électronique physique 10), étape notée 3. sur les figures 2a-2c.  More precisely, step (d) comprises, in the case of a normal procedure, the transmission by the targeted transaction module, intended for the management module, of a request to present a confidential code associated with the transaction module, the management module being configured to request and obtain via the interface 14 of the mobile terminal 1 said confidential code (or on an interface of the TPE 2 in the case where the electronic transaction means is a physical electronic card 10), step noted 3. in Figures 2a-2c.
Sur réception du code confidentiel valide (sinon il renvoie un message d'erreur, et de façon préférée se bloque au bout de trois erreurs) le wallet s'active, et il active le module de transaction visé (étape 4. des figures), de sorte que ce dernier émette in fine l'autorisation de transaction en réponse à ladite requête de transaction.  On receipt of the valid PIN (otherwise it returns an error message, and preferably hangs after three errors) the wallet is activated, and it activates the targeted transaction module (step 4. of the figures), so that the latter ultimately issues the transaction authorization in response to said transaction request.
Dans un premier mode de réalisation, le module de gestion de type wallet émet le code confidentiel saisi au module de transaction visé.  In a first embodiment, the wallet management module transmits the confidential code entered to the targeted transaction module.
Alternativement, le wallet émet d'une commande d'activation du module de transaction visé (plutôt que le code seul) en réponse, ce qui permet d'améliorer encore la sécurité d'un cran. Toute interception de requêtes et manipulation de l'élément de sécurité 12 devient impossible.  Alternatively, the wallet issues an activation command of the targeted transaction module (rather than the code alone) in response, which further improves the security of one step. Any interception of requests and manipulation of the security element 12 becomes impossible.
Le module de transaction activé peut alors finir la mise en œuvre de la transaction de manière classique. De façon préférée, dans le cas de paiements, le procédé comprend à ce titre en outre une étape (d) de transmission de l'autorisation de transaction à un serveur bancaire 3 associé à ladite carte électronique (physique ou virtualisée) via le réseau 20. Typiquement, dans l'étape 5. représentée, l'autorisation de paiement est transférée au TPE 2 de sorte que ce dernier puisse rapporter auprès du serveur 3 dans une étape 6. Apprentissage The activated transaction module can then finish the implementation of the transaction in a conventional manner. Preferably, in the case of payments, the method further comprises a step (d) of transmitting the transaction authorization to a bank server 3 associated with said card electronic (physical or virtualized) via the network 20. Typically, in step 5. shown, the payment authorization is transferred to the TPE 2 so that the latter can report to the server 3 in a step 6. Learning
De façon préférée, ladite liste d'identifiants de bénéficiaires de transactions récurrents évolue dynamiquement. Preferably, said list of recurring transaction beneficiary identifiers dynamically evolves.
Pour cela, le procédé comprend avantageusement une étape subséquente (e) de notification de la transaction autorisée au serveur 21 de sorte à mettre à jour ladite liste d'identifiants de bénéficiaires de transactions récurrents (plus précisément les données d'historique représentatives de transactions précédentes). Le serveur 21 peut notifier à son tour le module wallet.  For this, the method advantageously comprises a subsequent step (e) of notification of the authorized transaction to the server 21 so as to update said list of recurring transaction beneficiary identifiers (more precisely historical data representative of previous transactions ). The server 21 can in turn notify the wallet module.
Il peut ainsi être prévu que la première transaction chez un marchand donné est toujours gérée vis-à-vis du seuil de régulation, puis si un certain nombre et/ou montant de transaction est atteint pour ce marchand il vient rejoindre la liste de sorte à y faciliter les procédures simplifiées. A noter que cela peut être soumis à l'autorisation de l'utilisateur. Il peut par exemple être notifié (via le wallet) qu'un marchand peut rejoindre la liste des marchands récurrents, et donc qu'un nouveau seuil de paiement sans authentification lui est proposé s'il l'accepte.  It can thus be expected that the first transaction at a given merchant is always managed vis-à-vis the regulation threshold, then if a certain number and / or amount of transaction is reached for this merchant he joins the list so to facilitate simplified procedures. Note that this may be subject to the authorization of the user. It can for example be notified (via the wallet) that a merchant can join the list of recurring merchants, and therefore a new payment threshold without authentication is offered if he accepts.
Le seuil associé à un marchand récurrent peut évoluer dans le temps, à la hausse ou à la baisse, en fonction de l'historique de transactions. Il peut même être prévu qu'il quitte la liste si une certaines périodes sans transactions avec lui s'écoule.  The threshold associated with a recurring merchant may change over time, up or down, depending on the transaction history. It can even be expected that it will leave the list if a certain periods without transactions with it elapses.
A noter que le serveur 21 peut être en contact avec les marchands, ceux-ci pouvant accepter ou non le nouveau seuil de paiement. Plus précisément, il peut être prévu que tous les marchand intéressés envoient leur identifiant à au serveur 21 , et seuls ceux l'ayant fait peuvent être inclus dans la liste de marchands récurrents. Pour les autres, le seuil restera au seuil de régulation dans tous les cas.  Note that the server 21 may be in contact with the merchants, they may or may not accept the new payment threshold. Specifically, it can be expected that all interested merchants send their identifier to the server 21, and only those who have done so can be included in the list of recurring merchants. For others, the threshold will remain at the regulation threshold in all cases.
Moyen de paiement électronique Electronic payment method
Selon un deuxième aspect, l'invention concerne le moyen de transaction électronique 1 , 10 pour la mise en œuvre du procédé selon le premier aspect Sur ce moyen 1 , 10 est stocké au moins un module de transaction adapté pour autoriser une transaction lorsqu'il est activé (en particulier sur un élément de sécurité 12), et comprenant une unité de communication 13 avec un réseau 20. According to a second aspect, the invention relates to the electronic transaction means 1, 10 for the implementation of the method according to the first aspect. On this means 1, 10 is stored at least one transaction module adapted to allow a transaction when it is activated (in particular on a security element 12), and comprising a communication unit 13 with a network 20.
De façon préférée le moyen 1 , 10 est soit une carte électronique physique 10, soit un terminal mobile 1 comprenant également un module de traitement de données 1 1 (un processeur). Dans le deuxième cas, le module de transaction est associé à une carte électronique « virtualisée », et adapté pour autoriser une transaction pour le compte de cette carte électronique lorsqu'il est activé. Son élément de sécurité 12 est avantageusement sous la forme d'une carte d'identification d'abonné, mais également sous la forme d'une zone du module de traitement de données 1 1 ou d'un composant externe éventuellement amovible, etc.  Preferably, the means 1, 10 is either a physical electronic card 10 or a mobile terminal 1 also comprising a data processing module 11 (a processor). In the second case, the transaction module is associated with a "virtualized" electronic card, and adapted to authorize a transaction on behalf of this electronic card when it is activated. Its security element 12 is advantageously in the form of a subscriber identification card, but also in the form of an area of the data processing module 11 or an optionally removable external component, etc.
Dans tous les cas, le moyen de transaction électronique 1 , 10 (et plus précisément son élément de sécurité 12 s'il s'agit d'un terminal mobile 1 , bien qu'on comprendra qu'une carte électronique physique 10 constitue un élément de sécurité par définition) est configuré pour :  In all cases, the electronic transaction means 1, 10 (and more precisely its security element 12 if it is a mobile terminal 1, although it will be understood that a physical electronic card 10 constitutes an element security by definition) is configured to:
Obtenir (au niveau d'un module de risque, éventuellement via un module wallet traitant des données d'historique de transaction) depuis un serveur 21 du réseau 20 via l'unité de communication 13 une liste d'identifiants de bénéficiaires de transactions récurrents ;  Obtaining (at the level of a risk module, possibly via a wallet module processing transaction history data) from a server 21 of the network 20 via the communication unit 13 a list of identifiers of recipients of recurring transactions;
- recevoir une requête de transaction visant ledit module de transaction (par exemple depuis un TPE 2), la requête comprenant au moins un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction ; receiving a transaction request for said transaction module (for example from a TPE 2), the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction;
- déterminer (par interrogation du module de risque) une procédure d'authentification de l'utilisateur du moyen de paiement électronique 1 , 10 parmi une pluralité de procédure en fonction desdits montant et identifiant du bénéficiaire de ladite transaction reçus, et de ladite liste d'identifiants de bénéficiaires de transactions récurrents ; determining (by interrogating the risk module) a procedure for authenticating the user of the electronic payment means 1, among a plurality of procedures according to said amount and identifier of the beneficiary of said transaction received, and said list of identifiers of Recurring Transactions Recipients;
- Si ladite procédure d'authentification déterminée est complétée (par sollicitation d'un saisie d'un code confidentiel si une procédure normale est demandée), activer ledit module de transaction, et émettre une autorisation de transaction en réponse à ladite requête de transaction  - If said determined authentication procedure is completed (by soliciting an entry of a confidential code if a normal procedure is requested), activate said transaction module, and issue a transaction authorization in response to said transaction request
Produit programme d'ordinateur Selon un troisième et un quatrième aspects, l'invention concerne un produit programme d'ordinateur comprenant des instructions de code pour l'exécution (en particulier sur l'élément de sécurité 12 du terminal 1 ou sur une carte physique 10) d'un procédé selon le premier aspect de l'invention de mise en œuvre d'une transaction depuis un moyen de transaction électronique 1 , 10 d'un utilisateur, ainsi que des moyens de stockage lisibles par un équipement informatique (une mémoire de l'élément de sécurité 12) sur lequel on trouve ce produit programme d'ordinateur. Computer program product According to a third and a fourth aspect, the invention relates to a computer program product comprising code instructions for execution (in particular on the security element 12 of the terminal 1 or on a physical card 10) of a method according to the first aspect of the invention for implementing a transaction from an electronic transaction means 1, 10 of a user, as well as storage means readable by a computer equipment (a memory of the security 12) on which we find this product computer program.

Claims

REVENDICATIONS
1. Procédé de mise en œuvre d'une transaction depuis un moyen de transaction électronique (1 , 10) d'un utilisateur, sur lequel est stocké au moins un module de transaction adapté pour autoriser une transaction lorsqu'il est activé, le moyen de transaction électronique (1 , 10) comprenant en outre une unité de communication (13) avec un réseau (20) ; A method for implementing a transaction from an electronic transaction means (1, 10) of a user, on which at least one transaction module adapted to authorize a transaction is stored when it is activated, the means electronic transaction system (1, 10) further comprising a communication unit (13) with a network (20);
Le procédé étant caractérisé en ce qu'il comprend la mise en œuvre par le moyen de paiement électronique (1 , 10) d'étapes de :  The method being characterized in that it comprises the implementation by the electronic payment means (1, 10) of steps of:
(a) Obtention depuis un serveur (21 ) du réseau (20) via l'unité de communication (13) d'une liste d'identifiants de bénéficiaires de transactions récurrents ;  (a) Obtaining from a server (21) of the network (20) via the communication unit (13) a list of recurring transaction beneficiary identifiers;
(b) Obtention d'au moins un seuil de bénéficiaire associé à au moins un identifiant de bénéficiaire de transaction récurrent de ladite liste  (b) Obtaining at least one beneficiary threshold associated with at least one recurring transaction beneficiary identifier of said list
(c) réception d'une requête de transaction visant ledit module de transaction, la requête comprenant au moins un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction ;  (c) receiving a transaction request for said transaction module, the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction;
(d) Détermination d'une procédure d'authentification de l'utilisateur du moyen de paiement électronique (1 , 10) parmi une pluralité de procédure en fonction desdits montant et identifiant du bénéficiaire de ladite transaction reçus, et de ladite liste d'identifiants de bénéficiaires de transactions récurrents, ladite pluralité de procédures comprenant au moins :  (d) determining a user authentication procedure of the electronic payment means (1, 10) among a plurality of procedures based on said received amount and beneficiary identifier of said transaction, and said list of identifiers recipients of recurring transactions, said plurality of procedures comprising at least:
a. une procédure normale comprenant la vérification d'un paramètre d'authentification de l'utilisateur ;  at. a normal procedure including verifying an authentication parameter of the user;
b. une procédure simplifiée ne comprenant pas de vérification d'un paramètre d'authentification de l'utilisateur.  b. a simplified procedure that does not include checking a user authentication parameter.
(e) Si ledit identifiant reçu du bénéficiaire de la transaction appartient à ladite liste, la procédure d'authentification de l'utilisateur du moyen de paiement électronique (1 , 10) est déterminée comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal à un seuil de bénéficiaire associé dans la liste à l'identifiant reçu.  (e) If said identifier received from the beneficiary of the transaction belongs to said list, the authentication procedure of the user of the electronic payment means (1, 10) is determined to be the simplified procedure if the transaction amount received is less than or equal to an associated beneficiary threshold in the list to the received identifier.
(f) Si ladite procédure d'authentification déterminée est complétée, activation dudit module de transaction, et émission d'une autorisation de transaction en réponse à ladite requête de transaction. (f) If said determined authentication procedure is completed, activating said transaction module, and issuing a transaction authorization in response to said transaction request.
2. Procédé selon la revendication 1 , dans lequel la vérification d'un paramètre d'authentification de l'utilisateur comprend la vérification d'un code confidentiel saisi par l'utilisateur et/ou la vérification d'un paramètre biométrique de l'utilisateur, 2. Method according to claim 1, wherein the verification of a user authentication parameter comprises the verification of a confidential code entered by the user and / or the verification of a biometric parameter of the user. ,
3. Procédé selon la revendication 1 , dans lequel un seuil [du bénéficiaire] est obtenu en fonction d'au moins une donnée parmi :  3. Method according to claim 1, wherein a threshold [of the beneficiary] is obtained as a function of at least one of:
- le nombre de transactions effectuées avec ledit bénéficiaire de transactions ;  the number of transactions made with said transaction beneficiary;
- le montant associé aux transactions effectuées avec ledit bénéficiaire de transactions  - the amount associated with transactions with the said transaction beneficiary
4. Procédé selon la revendication 1 , dans lequel le moyen de transaction électronique est choisi parmi une carte électronique physique (10) et un terminal mobile (1 ) sur lequel ledit module de transaction est associé à une carte électronique, et adapté pour autoriser une transaction pour le compte de ladite carte électronique lorsqu'il est activé. 4. The method of claim 1, wherein the electronic transaction means is selected from a physical electronic card (10) and a mobile terminal (1) on which said transaction module is associated with an electronic card, and adapted to allow a transaction on behalf of said electronic card when activated.
5. Procédé selon la revendication 4, dans lequel le moyen de transaction électronique est un terminal mobile (1 ) comprenant un module de traitement de données (1 1 ) et un élément de sécurité (12) sur lequel est stocké ledit module de transaction. 5. The method of claim 4, wherein the electronic transaction means is a mobile terminal (1) comprising a data processing module (1 1) and a security element (12) on which is stored said transaction module.
6. Procédé selon la revendication 5, dans lequel l'élément de sécurité (12) est soit un élément matériel choisi parmi une carte d'identification d'abonné et un espace d'exécution sécurisé du module de traitement de données (1 1 ) du terminal (1 ), soit un élément logiciel émulé par le module de traitement de données (1 1 ) du terminal (1 ) conformément à l'architecture Emulation de Cartes Hébergées, HCE. The method of claim 5, wherein the security element (12) is either a hardware element selected from a subscriber identification card and a secure execution space of the data processing module (1 1). of the terminal (1), ie a software element emulated by the data processing module (1 1) of the terminal (1) in accordance with the Hosted Card Emulation architecture, HCE.
7. Procédé selon l'une des revendications 5 et 6, dans lequel l'élément de sécurité (12) met en œuvre ledit module de transaction et un module de risque stockant ladite liste d'identifiants de bénéficiaires de transactions récurrents, et le module de traitement de données (1 1 ) met en œuvre un module de gestion du ou des modules de transaction, l'étape (b) comprenant l'interrogation du module de risque par le module de transaction visé. The method according to one of claims 5 and 6, wherein the security element (12) implements said transaction module and a risk module storing said list of recurring transaction beneficiary identifiers, and the module data processing (1 1) implements a management module of the transaction module or modules, step (b) comprising interrogating the risk module by the targeted transaction module.
8. Procédé selon la revendication 7, dans lequel l'étape (a) comprend la réception par le module de gestion de données d'historique représentatives de transactions précédentes, la génération de ladite liste d'identifiants de bénéficiaires de transactions récurrents par le module de gestion à partir desdites données d'historique représentatives de transactions précédentes, et la transmission de ladite liste au module de risque. The method according to claim 7, wherein step (a) comprises the reception by the management module of historical data representative of previous transactions, the generation of said list of identifiers of recipients of recurring transactions by the module. management from said historical data representative of previous transactions, and the transmission of said list to the risk module.
9. Procédé selon l'une des revendications 1 à 8, dans lequel le moyen de transaction électronique (1 , 10) est un moyen de paiement électronique, la requête de transaction étant reçue à l'étape (a) depuis un terminal de paiement électronique (2) en communication sans fil avec le moyen de paiement électronique (1 , 10), l'autorisation de transaction étant émise à l'étape (d) à destination du terminal de paiement électronique (2). 9. Method according to one of claims 1 to 8, wherein the electronic transaction means (1, 10) is an electronic payment means, the transaction request being received in step (a) from a payment terminal. electronic (2) in wireless communication with the electronic payment means (1, 10), the transaction authorization being issued in step (d) to the electronic payment terminal (2).
10. Procédé selon la revendication 7, comprenant en outre une étape (e) de transmission de l'autorisation de transaction à un serveur bancaire (3) associé à une carte bancaire via le réseau (20). 10. The method of claim 7, further comprising a step (e) of transmitting the transaction authorization to a bank server (3) associated with a bank card via the network (20).
11. Procédé selon la revendication 10 en combinaison avec l'une des revendications 7 et 8, dans lequel l'étape (d) comprend en cas de procédure normale l'émission par le module de transaction visé, à destination du module de gestion, d'une requête de présentation d'un code confidentiel associé au module de transaction, le module de gestion étant configuré pour requérir et obtenir via une interface (14) du terminal ledit code confidentiel. 11. The method of claim 10 in combination with one of claims 7 and 8, wherein step (d) comprises in case of normal procedure the transmission by the target transaction module, to the management module, a request for presentation of a confidential code associated with the transaction module, the management module being configured to request and obtain via an interface (14) of the terminal said confidential code.
12. Procédé selon la revendication 1 , dans lequel un seuil par défaut est stocké dans le moyen de transaction électronique (1 , 10), chaque seuil de ladite liste étant supérieur au seuil par défaut, l'étape (c) comprenant : The method of claim 1, wherein a default threshold is stored in the electronic transaction means (1, 10), each threshold of said list being greater than the default threshold, the step (c) comprising:
- Si ledit identifiant reçu du bénéficiaire de la transaction n'appartient à ladite liste, la procédure d'authentification de l'utilisateur du moyen de paiement électronique (1 , 10) est déterminée comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal au seuil par défaut. - If said identifier received from the beneficiary of the transaction does not belong to said list, the authentication procedure of the user of the electronic payment means (1, 10) is determined as being the simplified procedure if the transaction amount received is less than or equal to the default threshold.
13. Procédé selon l'une des revendications 1 à 12, comprenant une étape (e) de notification de la transaction autorisée au serveur (21 ) de sorte à mettre à jour ladite liste d'identifiants de bénéficiaires de transactions récurrents. The method according to one of claims 1 to 12, comprising a step (e) of notifying the authorized transaction to the server (21) so as to update said list of recipients of recurring transactions.
14. Moyen de transaction électronique (1 , 10) sur lequel est stocké au moins un module de transaction adapté pour autoriser une transaction lorsqu'il est activé, et comprenant une unité de communication (13) avec un réseau (20), 14. Electronic transaction means (1, 10) on which is stored at least one transaction module adapted to authorize a transaction when it is activated, and comprising a communication unit (13) with a network (20),
Le moyen de transaction électronique (1 , 10) étant configuré pour :  The electronic transaction means (1, 10) being configured to:
- Obtenir depuis un serveur (21 ) du réseau (20) via l'unité de communication (13) une liste d'identifiants de bénéficiaires de transactions récurrents ; - Obtaining from a server (21) of the network (20) via the communication unit (13) a list of recipients of recurring transactions;
- Obtenir au moins un seuil de bénéficiaire associé à au moins un identifiant de bénéficiaire de transaction récurrent de ladite liste ; - Obtain at least one beneficiary threshold associated with at least one recurring transaction beneficiary identifier of said list;
- recevoir une requête de transaction visant ledit module de transaction, la requête comprenant au moins un montant de ladite transaction et un identifiant du bénéficiaire de ladite transaction ;  receiving a transaction request for said transaction module, the request comprising at least one amount of said transaction and an identifier of the beneficiary of said transaction;
- déterminer une procédure d'authentification de l'utilisateur du moyen de paiement électronique (1 , 10) parmi une pluralité de procédure en fonction desdits montant et identifiant du bénéficiaire de ladite transaction reçus, et de ladite liste d'identifiants de bénéficiaires de transactions récurrents ; ladite pluralité de procédures comprenant au moins :  determining a method for authenticating the user of the electronic payment means (1, 10) among a plurality of procedures according to said amount and identifier of the beneficiary of said transaction received, and said list of transaction beneficiary identifiers. recurring; said plurality of procedures comprising at least:
a. une procédure normale comprenant la vérification d'un paramètre d'authentification de l'utilisateur ;  at. a normal procedure including verifying an authentication parameter of the user;
b. une procédure simplifiée ne comprenant pas de vérification d'un paramètre d'authentification de l'utilisateur ;  b. a simplified procedure that does not include verifying a user authentication parameter;
- Si ledit identifiant reçu du bénéficiaire de la transaction appartient à ladite liste, déterminer la procédure d'authentification de l'utilisateur du moyen de paiement électronique (1 , 10) comme étant la procédure simplifiée si le montant de transaction reçu est inférieur ou égal à un seuil de bénéficiaire associé dans la liste à l'identifiant reçu ;  - If said identifier received from the beneficiary of the transaction belongs to said list, determine the authentication procedure of the user of the electronic payment means (1, 10) as being the simplified procedure if the transaction amount received is less than or equal to at an associated beneficiary threshold in the list to the received identifier;
- Si ladite procédure d'authentification déterminée est complétée, activer ledit module de transaction, et émettre une autorisation de transaction en réponse à ladite requête de transaction - If said determined authentication procedure is completed, activate said transaction module, and issue a transaction authorization in response to said transaction request
15. Moyen de transaction électronique (1 , 10) selon la revendication 14, étant un terminal mobile (1 ), le module de transaction étant associé à une carte électronique, et adapté pour autoriser une transaction pour le compte de ladite carte électronique lorsqu'il est activé. 15. Electronic transaction means (1, 10) according to claim 14, being a mobile terminal (1), the transaction module being associated with an electronic card, and adapted to authorize a transaction on behalf of said electronic card when it is activated.
16. Produit programme d'ordinateur comprenant des instructions de code pour l'exécution d'un procédé selon l'une des revendications 1 à 13 de mise en œuvre d'une transaction depuis un moyen de transaction électronique (1 , 10) d'un utilisateur, lorsque ledit programme est exécuté par un ordinateur. Computer program product comprising code instructions for executing a method according to one of the claims 1 to 13 for implementing a transaction from an electronic transaction means (1, 10) of a user, when said program is executed by a computer.
PCT/FR2017/052156 2016-08-01 2017-07-31 Method for implementing a transaction from an electronic transaction means WO2018024980A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1657474A FR3054701A1 (en) 2016-08-01 2016-08-01 METHOD FOR IMPLEMENTING TRANSACTION FROM ELECTRONIC TRANSACTION MEANS
FR1657474 2016-08-01

Publications (1)

Publication Number Publication Date
WO2018024980A1 true WO2018024980A1 (en) 2018-02-08

Family

ID=58547558

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2017/052156 WO2018024980A1 (en) 2016-08-01 2017-07-31 Method for implementing a transaction from an electronic transaction means

Country Status (2)

Country Link
FR (1) FR3054701A1 (en)
WO (1) WO2018024980A1 (en)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR1562797A (en) 1967-07-07 1969-04-11
US20050216424A1 (en) * 2004-03-23 2005-09-29 Star Systems, Inc. Transaction system with special handling of micropayment transaction requests
EP2261849A1 (en) * 2009-06-12 2010-12-15 Alcatel Lucent System for payment control
US20110320345A1 (en) * 2010-06-29 2011-12-29 Ebay, Inc. Smart wallet
US8135624B1 (en) * 2010-03-23 2012-03-13 Amazon Technologies, Inc. User profile and geolocation for efficient transactions
US8690054B1 (en) * 2013-05-29 2014-04-08 The Toronto-Dominion Bank System and method for chip-enabled card transaction processing and alert communication
US20160086166A1 (en) * 2010-01-08 2016-03-24 Blackhawk Network, Inc. Method and System for Reloading Prepaid Card
EP3014542A1 (en) 2013-06-27 2016-05-04 Orange Checking the validity of a transaction via the location of a terminal
US20160132880A1 (en) 2013-07-04 2016-05-12 Visa International Service Association Authorizing Transactions Using Mobile Device Based Rules

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR1562797A (en) 1967-07-07 1969-04-11
US20050216424A1 (en) * 2004-03-23 2005-09-29 Star Systems, Inc. Transaction system with special handling of micropayment transaction requests
EP2261849A1 (en) * 2009-06-12 2010-12-15 Alcatel Lucent System for payment control
US20160086166A1 (en) * 2010-01-08 2016-03-24 Blackhawk Network, Inc. Method and System for Reloading Prepaid Card
US8135624B1 (en) * 2010-03-23 2012-03-13 Amazon Technologies, Inc. User profile and geolocation for efficient transactions
US20110320345A1 (en) * 2010-06-29 2011-12-29 Ebay, Inc. Smart wallet
US8690054B1 (en) * 2013-05-29 2014-04-08 The Toronto-Dominion Bank System and method for chip-enabled card transaction processing and alert communication
EP3014542A1 (en) 2013-06-27 2016-05-04 Orange Checking the validity of a transaction via the location of a terminal
US20160132880A1 (en) 2013-07-04 2016-05-12 Visa International Service Association Authorizing Transactions Using Mobile Device Based Rules

Also Published As

Publication number Publication date
FR3054701A1 (en) 2018-02-02

Similar Documents

Publication Publication Date Title
EP3243178B1 (en) Method for processing a transaction from a communication terminal
EP3113099B1 (en) Payment container, creation method, processing method, devices and programs therefor
CN107005563B (en) Supply platform for machine-to-machine devices
US20200005295A1 (en) Secure location based electronic financial transaction methods and systems
US20180349990A1 (en) Point-of-sale system for real-time risk assessment, instant message-based collaborative guarantorship, and method for using the same
US10692087B2 (en) Electronic financial service risk evaluation
US20240338707A1 (en) Systems and methods for mobile pre-authorization of a credit transaction
EP3039628A2 (en) Method for processing transactional data, corresponding devices and computer programmes
EP3163487B1 (en) Method, terminal, and computer program for securing the processing of transactional data
WO2020260136A1 (en) Method and system for generating encryption keys for transaction or connection data
US20160232533A1 (en) Automation of Personal Finance, Credit Offerings and Credit Risk Data Reporting
EP3132403B1 (en) Device for processing data from a contactless smart card, method and corresponding computer program
WO2018024980A1 (en) Method for implementing a transaction from an electronic transaction means
FR3052895B1 (en) METHOD FOR SENDING SECURITY INFORMATION
FR3019357A1 (en) METHOD FOR AUTHENTICITY VERIFICATION OF A TERMINAL, DEVICE AND PROGRAM THEREOF
CA2973836A1 (en) Data-processing method by an electronic data-acquisition device, device and corresponding program
EP3113094B1 (en) Method for processing transaction data, device and corresponding program
WO2010063611A2 (en) Method for securing an nfc transaction between a reader and a terminal
EP3291188A1 (en) Method for controlling an electronic device and corresponding electronic device
WO2017103484A1 (en) Method for securing a transaction from a mobile terminal
FR3115625A1 (en) Card not present transactions with a card verification value chosen by the cardholder
WO2012089953A1 (en) Method of processing data for the management of transactions
FR3020166A1 (en) METHODS OF PROCESSING TRANSACTIONAL DATA, DEVICES AND PROGRAMS THEREOF
FR3099272A1 (en) Securing method, and associated electronic device
FR2998398A1 (en) Method for activating on-line payment service from e.g. near field communication integrated tablet personal computer, involves starting subscription process by administration server from unique identifier if checking of sign is positive

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17758594

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17758594

Country of ref document: EP

Kind code of ref document: A1