Quelle est la différence entre la certification EMVCo et la certification PCI ?

EMVCo certifie que l'appareil implémente correctement les protocoles EMV pour lire les cartes à puce et sans contact et réaliser la transaction : le niveau 1 couvre l'interface électrique et physique, le niveau 2 couvre le noyau applicatif. La certification du PCI Security Standards Council, principalement PCI PTS POI, traite la sécurité physique et logique de l'appareil qui capture et traite le code PIN et les données de carte : résistance à l'effraction, gestion des clés et cryptographie sécurisée. Un terminal qui lit les cartes et accepte un PIN a généralement besoin des deux, car ils couvrent des préoccupations différentes.

Quand un produit avec lecteur de carte a-t-il besoin d'EMVCo niveau 1 ?

Un appareil a besoin de l'agrément EMVCo niveau 1 contact ou sans contact dès qu'il joue le rôle de lecteur physique qui communique avec une carte à puce EMV ou une carte ou un portefeuille sans contact. Le niveau 1 démontre la conformité électrique, protocolaire et analogique aux spécifications EMV (ISO/IEC 7816 pour le contact, ISO/IEC 14443 pour le sans contact). C'est un prérequis avant les tests de noyau niveau 2 et avant tout agrément d'acquéreur ou de schème, car les schèmes construisent leur agrément de type à partir des Letters of Approval EMVCo.

PCI PTS POI est-il obligatoire ou est-ce une exigence de schème ?

PCI PTS POI est une norme publiée par le PCI Security Standards Council, et non une loi. Elle devient obligatoire en pratique parce que les schèmes de cartes (Visa, Mastercard et les autres) et les banques acquéreuses exigent un agrément PCI PTS valide pour tout appareil qui accepte un PIN ou traite des données de porteur au point d'interaction. Sans agrément PTS référencé, un acquéreur refuse normalement d'enregistrer le terminal, si bien qu'en pratique commerciale la certification est incontournable pour les appareils de paiement avec saisie de PIN.

Que sont SPoC et CPoC et en quoi diffèrent-ils ?

SPoC (Software-based PIN entry on COTS) et CPoC (Contactless Payments on COTS) sont des normes PCI qui permettent à un appareil grand public du commerce, comme un smartphone ou une tablette, d'accepter des paiements. SPoC associe un lecteur de carte sécurisé (SCRP) à une application de saisie du PIN et à un système de surveillance back-end pour autoriser la saisie du PIN sur l'écran tactile. CPoC autorise l'acceptation sans contact via le NFC intégré de l'appareil, sans PIN à l'écran. La norme plus récente MPoC (Mobile Payments on COTS) fusionne et étend les deux dans un cadre modulaire unique.

Combien de temps prend une certification EMVCo et PCI PTS ?

Les délais varient selon la maturité de la conception et la file d'attente des laboratoires, mais un plan réaliste réserve plusieurs mois. Les tests EMVCo niveau 1 et niveau 2 dans un laboratoire accrédité s'étalent généralement sur des semaines une fois le matériel et le noyau stables. Une évaluation PCI PTS POI est plus lourde car elle couvre l'effraction physique, la sécurité logique, la gestion des clés et le cycle de vie de l'appareil, et se mène souvent en parallèle du travail EMVCo. L'agrément de type des schèmes (Visa, Mastercard) consomme ensuite du temps supplémentaire.

Quelle différence entre PTS POI, SCR et EPP ?

Au sein de PCI PTS, POI (Point of Interaction) est la classe d'agrément globale d'un terminal de paiement. EPP (Encrypting PIN Pad) est une classe d'agrément PTS pour un module clavier PIN intégré dans une machine plus grande comme un distributeur automatique ou une borne libre-service. SCR (Secure Card Reader), et en particulier la variante SCRP utilisée dans SPoC, est un agrément pour un lecteur qui capture et chiffre de façon sécurisée les données de carte et, dans le cas SCRP, capture aussi le PIN. Chaque classe correspond à un scénario d'intégration distinct.

Un lecteur sans contact seul a-t-il quand même besoin d'une certification PCI ?

Cela dépend de la capture ou non d'un PIN et du modèle de déploiement. Un simple tap sans contact, sans saisie de PIN et sans affichage des données de compte, relève d'une enveloppe de sécurité plus légère qu'un terminal avec PIN, et la voie CPoC ou MPoC peut s'appliquer pour les appareils grand public. Un lecteur matériel dédié qui chiffre les données de carte a généralement besoin d'un agrément SCR ou POI, et les règles de l'acquéreur et du schème déterminent l'obligation exacte pour le marché visé.

Quel rapport entre EMVCo, PCI, Common Criteria et FIPS 140-3 ?

EMVCo et PCI PTS sont des schèmes spécifiques au paiement, mais ils s'appuient sur des méthodes d'évaluation de sécurité plus larges. PCI PTS exige que l'appareil se comporte comme un dispositif cryptographique sécurisé doté d'une gestion de clés saine, des notions qui recoupent les exigences de la norme ISO 13491 et la validation de modules FIPS 140-3. Certains composants sécurisés internes à un terminal portent des certificats Common Criteria face à des Protection Profiles paiement. Ces cadres sont complémentaires plutôt qu'interchangeables.

EMVCo et PCI PTS : certifier un terminal de paiement

Auteur Hugues Orgitello Mis à jour le 29 mai 2026 ~11 min de lecture

Guide, terminaux de paiement

Un appareil qui lit une carte bancaire et traite un paiement se situe à l'intersection de deux mondes de certification distincts. EMVCo régit l'exactitude fonctionnelle de la transaction à puce et sans contact, au travers de ses agréments de type niveau 1 (interface) et niveau 2 (noyau). Le PCI Security Standards Council régit la sécurité de l'appareil qui capture le PIN et les données du porteur, principalement via PCI PTS POI pour les terminaux et via les normes logicielles plus récentes SPoC, CPoC et MPoC pour le matériel grand public du commerce. Au-dessus des deux se trouvent les agréments des schèmes Visa, Mastercard et des autres réseaux, ainsi que les règles d'enregistrement des acquéreurs. Ce guide établit quel agrément un produit à lecteur de carte requiert, dans quel ordre, et comment les pièces s'articulent.

Le paysage de certification des terminaux de paiement

Trois couches d'agrément se combinent avant qu'un terminal de paiement puisse être déployé sur le terrain. Elles sont indépendantes par leurs critères mais séquentielles en pratique, car chaque couche suppose celle qui se trouve en dessous.

Couche	Responsable	Question traitée	Artefact typique
EMV fonctionnel	EMVCo	L'appareil lit-il et transige-t-il correctement avec les cartes à puce et sans contact EMV ?	Letter of Approval EMVCo (niveau 1 et niveau 2)
Sécurité de l'appareil	PCI Security Standards Council	Le PIN et les données de compte sont-ils protégés contre l'effraction et l'extraction ?	Agrément PCI PTS POI (ou SPoC, CPoC, MPoC pour le COTS)
Scheme et acquéreur	Visa, Mastercard, autres, et la banque acquéreuse	Cet appareil précis peut-il fonctionner sur notre réseau et être enregistré par cet acquéreur ?	Agrément de type du schème et enregistrement acquéreur

EMVCo et PCI sont des organismes mondiaux et neutres vis-à-vis des marques. EMVCo est détenu collectivement par les principaux réseaux de paiement et maintient les spécifications EMV. Le PCI Security Standards Council maintient les normes de sécurité de l'écosystème de paiement. Les schèmes construisent ensuite leurs programmes commerciaux d'agrément de type sur ces fondations neutres, ce qui explique que les agréments EMVCo et PCI doivent normalement exister avant qu'un schème n'accorde le sien.

ISO/IEC 7816 ISO/IEC 14443

Qui a besoin de quoi

La décision part de deux questions : le produit lit-il des cartes, et accepte-t-il un PIN ou manipule-t-il des données de porteur.

Un appareil qui lit des cartes EMV (contact, sans contact, ou les deux) a besoin d'EMVCo niveau 1, et de niveau 2 pour chaque noyau de carte qu'il exécute.
Un appareil qui accepte un PIN ou capture autrement des données sensibles de porteur au point d'interaction a besoin d'un agrément PCI PTS (POI, EPP, ou une norme COTS).
Un appareil destiné à fonctionner sur un réseau donné a besoin de l'agrément de type du schème correspondant et doit être accepté par l'acquéreur.

Une simple application d'acceptation sans contact tournant sur un téléphone suit une voie très différente (CPoC ou MPoC) de celle d'un terminal de comptoir entièrement attendu avec un clavier PIN physique (niveau 1, niveau 2 et PTS POI).

EMVCo : l'agrément de type fonctionnel

L'agrément de type EMVCo démontre qu'un appareil se comporte correctement au regard des spécifications EMV. Il se divise en deux niveaux qui testent des parties différentes de la pile.

Niveau 1 : l'interface

Le niveau 1 EMVCo couvre la couche électrique, électromécanique et protocolaire entre l'appareil et la carte. Pour les cartes à contact, il vérifie la conformité aux spécifications EMV contact posées sur ISO/IEC 7816 (contacts physiques, alimentation, horloge, protocoles de transmission T=0 et T=1). Pour le sans contact, il vérifie l'interface radio analogique et numérique posée sur ISO/IEC 14443 (le protocole EMV Contactless, anciennement les livres analogique et numérique). Les tests de niveau 1 utilisent des équipements de référence calibrés et un banc de test défini, et sont agnostiques vis-à-vis de l'application de paiement.

ISO/IEC 7816 ISO/IEC 14443

Niveau 2 : le noyau

Le niveau 2 EMVCo couvre le noyau applicatif, le logiciel qui exécute la logique de transaction par-dessus une interface conforme au niveau 1. Pour le contact, il s'agit du noyau des EMV Integrated Circuit Card Specifications. Pour le sans contact, EMVCo définit une famille de noyaux (historiquement numérotés, par exemple les noyaux associés aux grandes marques de cartes) au sein des EMV Contactless Specifications for Payment Systems, souvent désignées par le Book C. Un appareil qui exécute plusieurs noyaux sans contact doit obtenir un agrément de niveau 2 pour chacun.

Niveau 3 et tests acquéreur

EMVCo agrée lui-même les niveaux 1 et 2. Les tests de bout en bout du terminal combiné et de l'hôte acquéreur, parfois étiquetés niveau 3, ne sont pas un agrément EMVCo mais une activité d'intégration et de recette menée par l'acquéreur ou un service de test de schème, qui valide que le terminal configuré transige correctement face à l'hôte réel.

Étape EMVCo	Ce qui est testé	Organisme d'agrément	Sortie
Niveau 1 contact	Interface électrique et protocolaire, base ISO/IEC 7816	EMVCo via laboratoire accrédité	Letter of Approval
Niveau 1 sans contact	Interface RF analogique et numérique, base ISO/IEC 14443	EMVCo via laboratoire accrédité	Letter of Approval
Niveau 2	Logique de transaction du noyau, par noyau	EMVCo via laboratoire accrédité	Letter of Approval
Niveau 3 (acquéreur)	Configuration terminal plus hôte de bout en bout	Acquéreur ou service de test de schème	Recette, pas une LoA EMVCo

PCI PTS POI : la sécurité de l'appareil

Là où EMVCo demande si l'appareil transige correctement, PCI PTS POI (PIN Transaction Security, Point of Interaction) demande s'il protège les secrets qu'il manipule. La norme est publiée par le PCI Security Standards Council sous le titre PTS POI Modular Security Requirements, et un appareil approuvé est référencé sur le site du conseil avec une date d'expiration liée à la version de la norme face à laquelle il a été approuvé.

Les modules

PTS POI est modulaire. Un appareil est évalué face aux modules pertinents pour sa conception :

Sécurité physique de base : résistance à l'effraction physique, à la pénétration et aux attaques de banc, avec une réponse active à l'effraction qui efface les clés.
Sécurité logique de base : authenticité du firmware, démarrage sécurisé, contrôle d'accès, protection du chemin de saisie du PIN.
PIN en ligne et hors ligne : la manipulation sécurisée et le chiffrement du PIN.
SRED (Secure Reading and Exchange of Data) : chiffrement des données de compte dès leur capture, un module optionnel mais largement exigé.
Open protocols : durcissement de toute pile IP ou réseau exposée par l'appareil.
Integration : règles de combinaison de l'appareil dans un système plus grand.

Les classes d'agrément au sein de PTS

Le programme PTS couvre plusieurs formes d'appareil au travers de classes d'agrément distinctes.

Classe PTS	Type d'appareil	Déploiement typique
POI	Terminal de paiement complet	Comptoir attendu, mobile (mPOS), libre-service
EPP (Encrypting PIN Pad)	Module clavier PIN seul	Distributeur automatique, pompe à carburant, intégration borne et distributeur
SCR (Secure Card Reader)	Lecteur sécurisé qui chiffre les données de carte	Lecteurs composants ; la variante SCRP ajoute le PIN sécurisé pour SPoC
HSM	Hardware Security Module	Gestion des clés et traitement de transaction back-end

La norme HSM s'inscrit dans la famille PCI PTS et s'applique aux appareils back-end, non au terminal face au client. Les classes orientées terminal sont POI, EPP et SCR.

Dispositif cryptographique sécurisé et gestion des clés

PCI PTS traite le terminal comme un dispositif cryptographique sécurisé au sens d'ISO 13491, la norme des services financiers pour les dispositifs cryptographiques sécurisés du commerce de détail. La gestion des clés doit suivre des principes disciplinés : clés uniques par appareil là où c'est requis, aucune clé en clair hors de la frontière sécurisée, double contrôle et partage de connaissance pour le chargement manuel de clés, et de plus en plus le recours au chargement de clés à distance et à des méthodes comme DUKPT (Derived Unique Key Per Transaction) pour la dérivation des clés de transaction. La réponse à l'effraction, le stockage sécurisé des clés et un cycle de vie contrôlé de l'appareil, de la fabrication au démantèlement, sont au centre de l'évaluation.

ISO 13491

Acceptation logicielle : SPoC, CPoC et MPoC

Le modèle classique suppose un matériel sécurisé conçu à cette fin. Le conseil PCI publie aussi des normes qui permettent à un appareil grand public du commerce (COTS), comme un smartphone ou une tablette, d'accepter des paiements, en déplaçant une partie de la charge de sécurité vers le logiciel et un système de surveillance back-end.

Norme	Nom complet	Saisie du PIN	Capture de carte	Note
SPoC	Software-based PIN Entry on COTS	Oui, sur l'écran tactile COTS	Via un lecteur sécurisé SCRP séparé	PIN protégé par logiciel plus un back-end surveillé
CPoC	Contactless Payments on COTS	Non	NFC intégré de l'appareil COTS	Tap seul, pas de PIN à l'écran
MPoC	Mobile Payments on COTS	Optionnelle (PIN à l'écran)	NFC intégré ou lecteur attaché	Norme modulaire qui consolide SPoC et CPoC

SPoC associe un SCRP (Secure Card Reader for PIN) approuvé PCI à une application de saisie du PIN sur l'appareil COTS, soutenue par un système de surveillance et d'attestation back-end qui surveille le parc COTS contre l'effraction et révoque les instances compromises. CPoC autorise l'acceptation sans contact via le NFC intégré du téléphone, sans PIN. MPoC, la norme plus récente, fusionne et généralise les deux dans un cadre modulaire capable de prendre en charge ensemble le PIN à l'écran et le sans contact, et introduit une exigence de surveillance et de sécurité continue plutôt qu'un test ponctuel unique. Pour les nouveaux produits d'acceptation COTS, MPoC est la cible stratégique.

Agréments des schèmes et de l'acquéreur

Les agréments EMVCo et PCI sont nécessaires mais non suffisants. Chaque réseau de paiement maintient son propre programme d'agrément de type qui consomme les Letters of Approval EMVCo et la référence PCI, et ajoute des exigences propres à la marque.

Visa maintient un programme d'appareils et de terminaux approuvés ; un appareil doit figurer sur la liste Visa pertinente pour traiter des transactions Visa.
Mastercard mène son processus Terminal Quality Management et d'agrément associé.
D'autres réseaux (par exemple des schèmes domestiques) maintiennent des programmes comparables.

La banque acquéreuse procède ensuite à l'enregistrement de l'appareil précis et de sa configuration, et c'est là que se déroulent les tests de bout en bout (niveau 3). Un appareil ne peut pas être déployé au seul motif qu'il détient des agréments EMVCo et PCI ; il doit aussi être accepté par les schèmes dont il traitera les cartes et enregistré par l'acquéreur qui règle ses transactions.

Comment les agréments s'enchaînent

Les dépendances vont du bas vers le haut. Une rupture à n'importe quelle couche bloque la couche au-dessus.

Confirmer l'agrément d'interface EMVCo niveau 1 pour le contact et le sans contact selon le cas.
Obtenir l'agrément EMVCo niveau 2 pour chaque noyau que l'appareil exécute.
Terminer l'évaluation PCI PTS POI (ou la norme de la voie COTS) et obtenir la référence.
Demander l'agrément de type du schème auprès de chaque réseau, en citant les LoA EMVCo et la référence PCI.
Terminer l'enregistrement acquéreur et la recette de bout en bout (niveau 3) avec l'hôte.

Pas à pas : planifier la certification d'un terminal

Un plan structuré réduit le risque de mauvaises surprises tardives et coûteuses dans un programme de terminal de paiement.

Définir la classe d'appareil. Décider si le produit est un terminal attendu, un terminal libre-service, un module EPP, un lecteur composant sécurisé, ou une application d'acceptation COTS. Cela sélectionne la classe PCI applicable et la voie SPoC, CPoC ou MPoC.
Lister les interfaces EMV. Déterminer si l'appareil prend en charge le contact, le sans contact, ou les deux, et énumérer les noyaux sans contact qu'il exécutera. Chaque interface et noyau correspond à un agrément EMVCo niveau 1 ou niveau 2.
Choisir les laboratoires. Sélectionner tôt des laboratoires accrédités EMVCo et reconnus PCI, et réserver des créneaux, car les files d'attente pèsent plus sur le calendrier que les tests eux-mêmes.
Figer l'architecture de sécurité. Arrêter la frontière à réponse d'effraction, la chaîne de démarrage sécurisé, le schéma de gestion des clés (y compris le chargement de clés à distance et DUKPT) et le chiffrement SRED des données de compte avant l'évaluation.
Mener EMVCo et PCI en parallèle. Les pistes fonctionnelle et sécurité sont indépendantes et peuvent avancer ensemble une fois le matériel et le firmware stables.
Cibler les schèmes et l'acquéreur. Identifier tôt les réseaux et la banque acquéreuse, car leurs exigences propres peuvent remonter dans la conception matérielle.
Planifier la maintenance. Les agréments PCI expirent avec la version de la norme et exigent un renouvellement ; les changements de firmware peuvent imposer une évaluation delta. MPoC ajoute des obligations de surveillance continue.

Pièges courants

Piège	Manifestation	Mitigation
Confondre EMVCo et PCI en un seul agrément	Le programme suppose une campagne de test unique, puis découvre deux pistes indépendantes	Planifier EMVCo (fonctionnel) et PCI (sécurité) comme deux flux séparés et parallèles
Oublier un noyau sans contact	L'appareil exécute plusieurs noyaux de marque mais un seul agrément niveau 2 a été obtenu	Énumérer chaque noyau dès la conception et budgéter un niveau 2 par noyau
Architecture de sécurité tardive	Frontière d'effraction ou gestion des clés retravaillée après le début de l'évaluation PTS	Figer la conception du dispositif cryptographique sécurisé avant de réserver le laboratoire PTS
Ignorer l'expiration de l'agrément	Un appareil sort de la liste approuvée quand sa version de norme PTS arrive en fin de vie	Suivre la date d'expiration liée à la version PTS et planifier la réévaluation
Sous-estimer l'agrément de schème	L'équipe planifie seulement EMVCo et PCI, pas l'agrément de type Visa et Mastercard	Ajouter l'agrément de type des schèmes et l'enregistrement acquéreur au calendrier
Mauvaise voie COTS	Un produit avec PIN à l'écran est cadré en CPoC, qui interdit la saisie du PIN	Faire correspondre le besoin de saisie du PIN à SPoC ou MPoC, réserver CPoC au tap seul
Sauter les tests de bout en bout	Des composants certifiés échouent en production face à l'hôte réel	Budgéter la recette acquéreur niveau 3 après les agréments EMVCo et PCI

Pour aller plus loin

Sources et références

Sources & références

EMVCo, spécifications EMV Contact et Contactless et processus de Type Approval , EMVCo www.emvco.com/
PCI Security Standards Council, PTS POI Modular Security Requirements et liste des appareils approuvés , PCI Security Standards Council www.pcisecuritystandards.org/
PCI Software-based PIN Entry on COTS (SPoC) Standard et Programme Guide , PCI Security Standards Council www.pcisecuritystandards.org/document_library/
PCI Mobile Payments on COTS (MPoC) Standard , PCI Security Standards Council www.pcisecuritystandards.org/standards/mobile-payments-on-cots/
ISO/IEC 7816, Cartes d'identification, cartes à circuit intégré à contacts , ISO/IEC www.iso.org/standard/54089.html
ISO/IEC 14443, Cartes et dispositifs de sécurité, objets sans contact de proximité , ISO/IEC www.iso.org/standard/73599.html
ISO 13491, Services financiers, dispositifs cryptographiques sécurisés (commerce de détail) , ISO www.iso.org/standard/79518.html
Visa Approved Devices et références du programme Mastercard Terminal Quality Management , Visa www.visa.com/