Aller au contenu principal
Schema technique de l'infrastructure d'emission de cartes bancaires au Maroc avec flux d'autorisation et composants BaaS
Cartes

Emission de carte bancaire au Maroc : guide technique 2026

18 min de lecture

Introduction : l'emission de cartes bancaires, un systeme d'ingenierie a part entiere

Emettre une carte bancaire ne se resume pas a imprimer un plastique avec un logo. Derriere chaque carte Visa ou Mastercard emise au Maroc se cache une infrastructure technique complexe : des systemes d'autorisation en temps reel, des modules cryptographiques, des protocoles de securite, des connexions aux reseaux internationaux et un cadre reglementaire strict.

Ce guide s'adresse aux equipes techniques — CTO, architectes systeme, responsables produit — qui veulent comprendre comment fonctionne l'emission de cartes bancaires au Maroc, quels sont les composants necessaires, et comment un partenaire BaaS comme ChariBaaS permet de simplifier ce processus.

Si vous cherchez plutot une vue d'ensemble business sur les cartes en marque blanche, consultez notre article : Carte bancaire en marque blanche au Maroc.

Architecture d'un systeme d'emission de cartes

Un systeme d'emission de cartes bancaires (card issuing system) se decompose en plusieurs couches techniques, chacune ayant un role precis dans le cycle de vie de la carte et des transactions.

Le Card Management System (CMS)

Le CMS est le coeur du systeme. Il gere le cycle de vie complet de chaque carte : creation, activation, suspension, remplacement, renouvellement et cloture. C'est dans le CMS que sont stockees les donnees de la carte (PAN, date d'expiration, statut), les regles du programme et les parametres de chaque porteur.

Les fonctions principales du CMS incluent :

  • Gestion du cycle de vie : creation de cartes physiques et virtuelles, activation, blocage temporaire, remplacement, annulation
  • Parametrage des regles : plafonds de transaction (par jour, par semaine, par mois), restrictions geographiques, restrictions par type de marchand (MCC)
  • Gestion des porteurs : lien entre la carte, le compte de paiement et l'identite du porteur
  • Reporting : extraction de donnees pour la conformite, le pilotage commercial et l'analyse de fraude

Le processeur d'autorisation (Authorization Engine)

Quand un porteur presente sa carte chez un marchand ou en ligne, une demande d'autorisation est envoyee en temps reel a l'emetteur. Le processeur d'autorisation est le composant qui recoit cette demande, l'evalue et renvoie une reponse (approbation ou refus) en quelques millisecondes.

Le processeur d'autorisation execute les controles suivants a chaque transaction :

  1. Verification du statut de la carte : la carte est-elle active ? Non expiree ? Non bloquee ?
  2. Verification du solde : le compte de paiement associe dispose-t-il des fonds suffisants ?
  3. Controle des limites : la transaction respecte-t-elle les plafonds definis (montant unitaire, cumul journalier, nombre de transactions) ?
  4. Restrictions MCC : le type de marchand est-il autorise par les regles du programme ?
  5. Controles de fraude : les regles de detection de fraude (velocite, geolocalisation, comportement inhabituel) sont-elles respectees ?
  6. Authentification 3D Secure : pour les transactions en ligne, le processeur gere le flux 3DS (Verified by Visa / Mastercard SecureCode)

Le temps de reponse est critique : les reseaux Visa et Mastercard imposent un delai maximum de reponse de 2 a 3 secondes. Au-dela, la transaction est automatiquement refusee (timeout).

Le module cryptographique (HSM)

Le HSM (Hardware Security Module) est un dispositif materiel dedie a la gestion des cles cryptographiques. Il est indispensable pour :

  • La generation des cles de carte : chaque carte possede des cles cryptographiques uniques (CVV, iCVV, dCVV) generees et stockees dans le HSM
  • La verification des PIN : le PIN est verifie en comparant le PIN chiffre recu avec la valeur stockee, sans jamais exposer le PIN en clair
  • Le chiffrement des donnees sensibles : les PAN et autres donnees sensibles sont chiffres au repos et en transit via des cles gerees par le HSM
  • La tokenisation : generation et gestion des tokens pour les paiements mobiles et en ligne

Les HSM utilises dans l'industrie des cartes doivent etre certifies FIPS 140-2 Level 3 ou superieur, et conformes aux exigences PCI PTS (Pin Transaction Security).

La passerelle reseau (Network Gateway)

La passerelle reseau est le point de connexion entre le systeme de l'emetteur et les reseaux de paiement (Visa, Mastercard). Au Maroc, cette connexion peut passer par le Centre Monetique Interbancaire (CMI), qui joue le role d'intermediaire pour les transactions domestiques, ou etre etablie directement avec les reseaux pour les transactions internationales.

La passerelle reseau gere :

  • Les messages ISO 8583 : le protocole standard utilise pour les transactions par carte (autorisations, annulations, reversals)
  • Le routage : aiguillage des transactions vers le bon reseau selon le BIN
  • La compensation et le reglement : echange des fichiers de clearing avec les reseaux pour le reglement financier des transactions

Le flux d'une transaction de bout en bout

Pour bien comprendre l'infrastructure, suivons le parcours complet d'une transaction par carte, du moment ou le porteur presente sa carte jusqu'au reglement final.

Phase 1 : Autorisation (temps reel)

  1. Le porteur presente sa carte chez un marchand (paiement par puce, NFC ou en ligne)
  2. Le terminal de paiement du marchand envoie une demande d'autorisation a son acquéreur (la banque du marchand)
  3. L'acquereur transmet la demande au reseau (Visa ou Mastercard) via le protocole ISO 8583
  4. Le reseau identifie l'emetteur grace au BIN et route la demande vers le processeur de l'emetteur
  5. Le processeur d'autorisation execute les controles (statut, solde, limites, fraude)
  6. Le processeur renvoie une reponse (code 00 = approuve, ou un code de refus)
  7. La reponse remonte la chaine : reseau, acquereur, terminal, et le marchand voit "Transaction approuvee"

L'ensemble de ce flux se deroule en moins de 2 secondes dans des conditions normales.

Phase 2 : Compensation (clearing)

En fin de journee, les transactions autorisees sont consolidees dans des fichiers de clearing echanges entre l'emetteur, le reseau et l'acquereur. C'est lors de cette phase que les montants exacts sont confirmes (le montant final peut differer legerement de l'autorisation, par exemple pour les pourboires au restaurant ou les transactions en devises).

Phase 3 : Reglement (settlement)

Le reglement est le transfert effectif des fonds. L'emetteur debite le compte du porteur et transfere les fonds au reseau, qui les redistribue a l'acquereur du marchand. Ce processus intervient generalement en J+1 ou J+2.

Certification PCI-DSS : une obligation incontournable

Toute entite qui stocke, traite ou transmet des donnees de carte doit etre conforme au standard PCI-DSS (Payment Card Industry Data Security Standard). Pour un emetteur de cartes, cette certification est non negociable.

Les 12 exigences PCI-DSS

Le standard PCI-DSS comprend 12 exigences regroupees en 6 objectifs :

  1. Installer et maintenir un pare-feu pour proteger les donnees des titulaires de cartes
  2. Ne pas utiliser les parametres par defaut des fournisseurs pour les mots de passe et la securite
  3. Proteger les donnees stockees des titulaires de cartes (chiffrement, masquage)
  4. Chiffrer la transmission des donnees de carte sur les reseaux publics
  5. Utiliser et mettre a jour des logiciels antivirus
  6. Developper et maintenir des systemes et applications securises
  7. Restreindre l'acces aux donnees des titulaires de cartes
  8. Attribuer un identifiant unique a chaque utilisateur du systeme
  9. Restreindre l'acces physique aux donnees des titulaires de cartes
  10. Tracer et surveiller tous les acces aux ressources reseau et aux donnees
  11. Tester regulierement les systemes de securite
  12. Maintenir une politique de securite de l'information

Niveaux de conformite

Pour les emetteurs de cartes, le niveau de conformite le plus eleve (Level 1) est generalement requis. Cela implique un audit annuel sur site par un QSA (Qualified Security Assessor) certifie par le PCI SSC, ainsi que des tests de penetration trimestriels par un ASV (Approved Scanning Vendor).

Le cout d'obtention et de maintien de la certification PCI-DSS Level 1 est significatif : entre 500 000 et 2 000 000 MAD par an, en comptant l'audit, les tests, l'infrastructure de securite et les ressources humaines dediees.

La tokenisation : securiser les paiements modernes

La tokenisation est devenue un pilier de l'emission de cartes modernes. Elle est indispensable pour supporter les paiements mobiles (Apple Pay, Google Pay, Samsung Pay) et les transactions en ligne recurrentes.

Comment fonctionne la tokenisation

Le principe est simple : le numero de carte reel (PAN) est remplace par un jeton (token) unique, genere par le Token Service Provider (TSP) du reseau de paiement. Ce token est lie a un contexte specifique : un appareil, un marchand ou un canal de paiement.

Quand un porteur ajoute sa carte a Apple Pay, par exemple :

  1. L'application envoie les donnees de la carte au TSP de Visa ou Mastercard
  2. Le TSP contacte l'emetteur pour verifier et autoriser la tokenisation
  3. L'emetteur approuve et le TSP genere un token (DPAN — Device PAN)
  4. Le token est stocke dans le Secure Element du telephone
  5. Lors d'un paiement, c'est le token qui est transmis, jamais le PAN reel

Avantages de la tokenisation pour l'emetteur

  • Reduction de la fraude : un token vole n'est pas utilisable en dehors de son contexte
  • Mise a jour automatique : quand une carte est renouvelee, les tokens sont mis a jour automatiquement, sans que le porteur ait a re-enregistrer sa carte
  • Meilleure experience utilisateur : les paiements mobiles sont plus rapides et plus fluides
  • Conformite PCI simplifiee : les marchands qui utilisent des tokens n'ont pas besoin de stocker des PAN

Les protocoles de securite : 3D Secure et EMV

3D Secure 2 (3DS2)

Le protocole 3D Secure est le standard d'authentification pour les paiements en ligne. Sa version 2 (3DS2), desormais obligatoire au Maroc pour les transactions e-commerce, ameliore significativement l'experience utilisateur par rapport a la premiere version.

En 3DS2, l'emetteur recoit un ensemble de donnees contextuelles sur la transaction (appareil utilise, adresse IP, historique du porteur) et peut decider d'authentifier le porteur de maniere "frictionless" (sans interaction) ou de demander une authentification forte (OTP par SMS, biometrie).

L'emetteur doit deployer un ACS (Access Control Server) pour gerer le flux 3DS2. Cet ACS recoit les demandes d'authentification, evalue le risque, et renvoie la decision au marchand via le Directory Server du reseau.

EMV et les cartes a puce

Le standard EMV (Europay, Mastercard, Visa) regit les transactions par carte a puce et sans contact (NFC). Chaque carte EMV contient une puce qui genere un cryptogramme unique pour chaque transaction, rendant la copie de carte pratiquement impossible.

Pour un emetteur, la conformite EMV implique :

  • La personnalisation des puces : chargement des cles cryptographiques, des donnees du porteur et des parametres de risque dans la puce lors de la fabrication
  • La gestion des scripts EMV : l'emetteur peut envoyer des commandes a la puce via des scripts (mise a jour des compteurs, changement de PIN, blocage de carte)
  • Le support des transactions sans contact : configuration des parametres NFC (CVM limit, floor limit)

Integration API : comment ChariBaaS simplifie l'emission

L'un des principaux avantages du modele BaaS est de transformer cette complexite technique en APIs simples et bien documentees. Plutot que de construire et de certifier votre propre infrastructure, vous integrez les APIs de votre partenaire BaaS.

Les endpoints principaux

Un systeme d'emission de cartes via API expose generalement les endpoints suivants :

  • POST /cards : creer une nouvelle carte (physique ou virtuelle) pour un porteur donne
  • GET /cards/{id} : recuperer les details d'une carte (statut, type, date d'expiration)
  • PATCH /cards/{id} : modifier les parametres d'une carte (limites, statut, restrictions)
  • POST /cards/{id}/activate : activer une carte physique apres reception
  • POST /cards/{id}/freeze : bloquer temporairement une carte
  • POST /cards/{id}/unfreeze : debloquer une carte
  • GET /cards/{id}/transactions : lister les transactions d'une carte
  • POST /cards/{id}/pin/reset : reinitialiser le PIN d'une carte
  • GET /cards/{id}/sensitive-data : recuperer les donnees sensibles (PAN, CVV) pour affichage securise dans l'application

Webhooks et evenements

En complement des APIs, un systeme d'emission de cartes envoie des notifications en temps reel via des webhooks pour chaque evenement significatif :

  • card.created : une carte a ete creee
  • card.activated : une carte a ete activee
  • card.frozen / card.unfrozen : blocage ou deblocage
  • transaction.authorized : une transaction a ete autorisee
  • transaction.declined : une transaction a ete refusee
  • transaction.settled : une transaction a ete reglee
  • transaction.reversed : une transaction a ete annulee

Ces webhooks permettent a votre application de reagir en temps reel : notification push au porteur, mise a jour du solde affiche, declenchement d'alertes de securite.

Securite de l'integration

L'acces aux APIs d'emission de cartes est protege par plusieurs couches de securite :

  • Authentification OAuth 2.0 : chaque appel API est authentifie via un token bearer
  • Chiffrement TLS 1.3 : toutes les communications sont chiffrees en transit
  • IP Whitelisting : seules les adresses IP autorisees peuvent appeler les APIs
  • Donnees sensibles tokenisees : les PAN et CVV ne sont jamais transmis en clair dans les reponses API ; ils sont accessibles uniquement via un endpoint dedie avec un token a usage unique

Le role du CMI dans l'ecosysteme marocain

Le Centre Monetique Interbancaire (CMI) est un acteur central de l'ecosysteme de paiement par carte au Maroc. Cree par les banques marocaines, il joue un double role : acquereur domestique et switch monetique.

Le CMI comme switch

Le CMI route les transactions domestiques entre emetteurs et acquereurs marocains. Quand un porteur d'une carte emise au Maroc paie chez un marchand marocain, la transaction peut transiter par le switch du CMI plutot que par les reseaux internationaux. Cela reduit les couts de traitement et les delais.

Les implications pour un emetteur

Un emetteur de cartes au Maroc doit etre connecte au CMI (directement ou via son processeur) pour :

  • Traiter les transactions domestiques efficacement
  • Participer au systeme de compensation interbancaire
  • Respecter les regles de routage locales definies par Bank Al-Maghrib

Construire vs acheter : le calcul economique

Les equipes techniques qui evaluent un programme d'emission de cartes se trouvent face a un choix fondamental : construire leur propre infrastructure ou s'appuyer sur un partenaire BaaS.

Construire en interne

Construire sa propre infrastructure d'emission implique :

  • Obtenir un agrement d'etablissement de paiement aupres de Bank Al-Maghrib (6 a 18 mois)
  • Obtenir un BIN aupres de Visa ou Mastercard (processus de certification membre)
  • Deployer un CMS et un processeur d'autorisation (achat ou licence d'un logiciel specialise)
  • Installer et certifier des HSM (200 000 a 500 000 MAD par module)
  • Obtenir la certification PCI-DSS Level 1 (500 000 a 2 000 000 MAD/an)
  • Se connecter au CMI et aux reseaux de paiement
  • Recruter une equipe specialisee (ingenieurs monetique, compliance officers, operations)

Le cout total de mise en place est estime entre 10 et 20 millions de MAD, avec un delai de 12 a 24 mois avant le premier lancement.

S'appuyer sur un partenaire BaaS

En passant par un partenaire comme ChariBaaS, vous accedez a l'ensemble de cette infrastructure via des APIs, sans investissement initial massif :

  • Pas d'agrement necessaire : ChariBaaS est deja agree par Bank Al-Maghrib
  • Pas de BIN a obtenir : le BIN est celui du partenaire (BIN sponsorship)
  • Pas de certification PCI : l'infrastructure est deja certifiee
  • Integration rapide : 8 a 16 semaines pour un lancement
  • Cout proportionnel : frais par carte emise et par transaction, plutot qu'un investissement fixe

Ce modele est particulierement adapte aux fintechs, aux startups et aux entreprises qui veulent valider un cas d'usage avant d'investir massivement.

Carte physique : le processus de fabrication et de personnalisation

L'emission de cartes physiques comporte une dimension logistique importante que les equipes techniques doivent anticiper.

Fabrication

Les cartes physiques sont fabriquees par des imprimeurs certifies par Visa et Mastercard. La fabrication comprend :

  • Impression du design : les visuels sont imprimes en haute qualite sur le support PVC, PET ou metal
  • Encapsulation de la puce : la puce EMV est integree au support et connectee aux contacts electriques
  • Integration de l'antenne NFC : pour les cartes sans contact, une antenne est integree dans le corps de la carte
  • Controle qualite : chaque lot est teste pour verifier la lisibilite de la puce, le fonctionnement du NFC et la qualite d'impression

Personnalisation electrique

La personnalisation electrique consiste a charger les donnees du porteur et les cles cryptographiques dans la puce de la carte. Cette etape se fait dans un environnement securise certifie :

  • Chargement du profil EMV : parametres de risque, limites, application ID
  • Injection des cles cryptographiques : cles de session, cles de chiffrement PIN, cles d'authentification
  • Ecriture des donnees porteur : PAN, date d'expiration, nom du porteur

Personnalisation graphique

La personnalisation graphique comprend :

  • Gravure ou impression du PAN : le numero de carte peut etre grave en relief (embossing), grave a plat (indent printing) ou imprime a plat
  • Impression du nom du porteur et de la date d'expiration
  • Application du CVV au dos de la carte

Fulfilment et expedition

Une fois personnalisee, la carte est mise sous enveloppe securisee avec un courrier d'accompagnement contenant les instructions d'activation. L'expedition se fait via un transporteur securise, avec suivi et preuve de livraison.

Gestion de la fraude : les outils a la disposition de l'emetteur

La fraude est le risque numero un pour un emetteur de cartes. Un programme de gestion de fraude robuste combine des regles statiques, des modeles de scoring et des outils de monitoring en temps reel.

Regles de detection

Les regles de detection les plus courantes incluent :

  • Velocite : nombre de transactions dans une fenetre de temps (ex. plus de 5 transactions en 10 minutes)
  • Montant inhabituel : transaction significativement superieure au montant moyen du porteur
  • Geolocalisation : transaction dans un pays different de la derniere transaction, dans un delai incompatible avec un deplacement physique
  • MCC a risque : certaines categories de marchands presentent un risque de fraude plus eleve
  • Tentatives multiples : plusieurs tentatives de paiement refusees en peu de temps

Scoring de risque

Les systemes modernes attribuent un score de risque a chaque transaction en combinant les regles statiques avec des modeles de machine learning entraines sur l'historique des transactions. Ce score determine si la transaction est approuvee, refusee ou soumise a une verification supplementaire.

Monitoring et alertes

Un dashboard de monitoring en temps reel permet a l'equipe operations de suivre les taux de fraude, les patterns suspects et les alertes. Des seuils d'alerte automatiques declenchent des notifications quand les indicateurs depassent les normes.

Comment ChariBaaS peut vous accompagner

ChariBaaS (Chari Money SA) est un etablissement de paiement agree par Bank Al-Maghrib qui propose une infrastructure complete d'emission de cartes accessible via API.

L'infrastructure technique ChariBaaS

  • Processeur d'autorisation : traitement en temps reel avec un taux de disponibilite de 99.99%
  • CMS complet : gestion du cycle de vie des cartes physiques et virtuelles
  • HSM certifie : gestion cryptographique conforme aux standards PCI PTS
  • Conformite PCI-DSS Level 1 : infrastructure auditee et certifiee annuellement
  • Connexion CMI et reseaux : integration directe avec le CMI, Visa et Mastercard
  • Gestion de fraude : regles configurables et scoring de risque en temps reel
  • 3D Secure 2 : ACS integre pour l'authentification des transactions en ligne
  • Tokenisation : support Apple Pay, Google Pay et tokenisation marchande

Pour qui ?

Ce service s'adresse aux fintechs, aux entreprises et aux plateformes qui souhaitent integrer l'emission de cartes dans leur produit sans construire leur propre infrastructure.

Pour en savoir plus, consultez notre page services d'emission de cartes ou contactez notre equipe pour discuter de votre projet.

Conclusion

L'emission de cartes bancaires est un domaine d'ingenierie exigeant qui combine securite, performance, conformite et fiabilite. Chaque composant — du HSM au processeur d'autorisation, du CMS a la passerelle reseau — doit fonctionner de maniere irréprochable pour garantir une experience de paiement fluide et securisee.

Au Maroc, le cadre reglementaire et l'infrastructure technique sont en place. Les etablissements de paiement agrees par Bank Al-Maghrib comme ChariBaaS proposent deja des solutions d'emission de cartes accessibles via API, permettant a toute entreprise de lancer son propre programme carte sans investissement initial massif.

Le choix entre construire et acheter depend de votre echelle, de votre ambition et de vos ressources. Mais dans la plupart des cas, le modele BaaS offre le meilleur ratio cout/delai pour un lancement rapide et maitrise.

Pour aller plus loin, consultez nos ressources connexes :

Questions fréquentes

Quels sont les composants techniques necessaires pour emettre des cartes bancaires au Maroc ?
L'emission de cartes bancaires au Maroc necessite quatre composants principaux : un systeme de gestion de cartes (card management system), un processeur d'autorisation en temps reel, un module HSM (Hardware Security Module) pour la gestion cryptographique, et une plateforme conforme PCI-DSS. L'ensemble doit etre connecte aux reseaux Visa et/ou Mastercard via le Centre Monetique Interbancaire (CMI) ou directement.
Quelle est la difference entre un emetteur et un processeur de cartes au Maroc ?
L'emetteur (issuer) est l'etablissement agree par Bank Al-Maghrib qui detient la responsabilite reglementaire et financiere de chaque carte. Le processeur est la plateforme technique qui traite les transactions en temps reel : autorisations, compensations, gestion des limites et detection de fraude. Un emetteur peut internaliser le processing ou le deleguer a un tiers certifie.
Combien coute l'infrastructure technique pour emettre des cartes au Maroc ?
Construire sa propre infrastructure de processing coute entre 5 et 15 millions de MAD, sans compter les couts de certification PCI-DSS et les frais de connexion aux reseaux. En passant par un partenaire BaaS comme ChariBaaS, l'investissement initial est reduit a l'integration API et aux frais de programme, ce qui permet de lancer un programme carte pour une fraction de ce cout.
Qu'est-ce que la tokenisation et pourquoi est-elle importante pour l'emission de cartes ?
La tokenisation remplace le numero de carte reel (PAN) par un jeton unique (token) lors des paiements mobiles (Apple Pay, Google Pay) et des transactions en ligne recurrentes. Elle reduit considerablement le risque de fraude car le token n'a aucune valeur en dehors de son contexte d'utilisation. Tout programme d'emission de cartes moderne doit supporter la tokenisation.