Centre d'Assistance
Accueil Sites Web et boutiques

Directive PSD2 pour les paiements en ligne par carte de crédit

Contenu généré par traduction automatique

Le texte de cette page provient d'une traduction automatique. Une révision par un humain est prévue.

Valable pour iPayment.

Les nouvelles normes techniques de réglementation de la directive sur les services de paiement PSD2 (Payment Service Directive 2) sont en vigueur depuis le 14.09.2019. Elles ont été définies par l'Autorité bancaire européenne et tous les commerçants en ligne européens sont tenus de veiller à une meilleure authentification des clients lors de leurs achats en ligne. Cet article vous informe sur les détails.

Contexte de la couverture forte

Dans le détail, cela signifie pour tous les commerçants en ligne européens que toutes les transactions de paiement par carte de crédit doivent être "fortement" sécurisées et vérifier à deux reprises que l'acheteur est bien le titulaire de la carte. Cette procédure est appelée "authentification à deux facteurs".

Les exigences en matière d'authentification forte du client (SCA : Strong Customer Authentification) visent à renforcer la sécurité des paiements électroniques et donc à protéger contre la fraude lors des achats en ligne. Depuis le 1er janvier 2021, SCA doit être appliqué à toutes les transactions de commerce électronique, sauf exception.

Qu'est-ce qu'une authentification forte du client ?

Dans le cas d'une authentification forte, l'identité est prouvée par deux facteurs. Ces facteurs sont répartis en catégories. En principe, les facteurs utilisés doivent provenir de catégories différentes.

Les catégories les plus courantes actuellement sont :

  • Connaissance : Il s'agit notamment des mots de passe ou d'un code PIN
  • Possession : par exemple une carte de crédit ou un smartphone
  • Inhérence (caractéristiques ou comportement) : Cela comprend par exemple les empreintes digitales et la reconnaissance faciale

Exemple : la méthode souvent utilisée par le passé pour sécuriser le numéro de carte de crédit avec le code de sécurité au dos de la carte ne correspond pas à l'exigence d'une authentification forte. En effet, le numéro de carte de crédit et le chiffre de contrôle appartiennent tous deux à la catégorie "possession".
Conséquence : en plus du numéro de carte de crédit, il faut utiliser un autre facteur, par exemple un mot de passe, un code PIN ou TAN ou une empreinte digitale, car ces facteurs font partie de la catégorie connaissance ou inhérence.

L'authentification à deux facteurs n'est pas une nouvelle procédure en soi. Ce qui est nouveau, c'est que son utilisation est pour la première fois obligatoire pour tous les paiements électroniques.

Qu'est-ce que cela signifie en détail pour les commerçants en ligne ?

  • Introduisez le contrôle de sécurité ou la procédure de sécurité 3D Secure. Cela s'applique à tous les paiements en ligne par carte de crédit, par exemple : MasterCard Identity Check (anciennement SecureCode) ou Visa Secure (Verified by Visa), Amex Safe Key.
  • Activez l'option Effectuer un contrôle 3D Secure dans le menu de configuration ipayment sous Applications > Paramètres de sécurité.
  • Pour les nouvelles installations, nous activons pour vous 3D Secure par défaut. Condition préalable : la boutique doit supporter la redirection 3D Secure. Vérifiez si la case 3D Secure doit être cochée le cas échéant :
    • - Cliquez à cet effet dans le menu Admin d'ipayment sur Modes de paiement.
    • - Sélectionnez ensuite un prestataire de paiement et cliquez sur Modifier.
    • - Sur la page de détails du mode de paiement, cochez la case correspondante à 3D Secure.
  • Informez vos clients afin qu'ils soient préparés au mieux à la procédure. Vous minimiserez ainsi vos taux d'abandon d'achat et éviterez les acheteurs frustrés lors des paiements par carte.

L'interface existante Shop > ipayment peut continuer à être utilisée comme d'habitude.

Le nouveau procédé 3D-Secure

La procédure 3D Secure 2 (3DS2) est une nouvelle norme introduite sur le marché par EMVCo et les principaux systèmes de cartes de crédit. Elle introduit une nouvelle approche de l'authentification grâce à un large éventail de données, à l'authentification biométrique et à une expérience en ligne unifiée et améliorée. La procédure 3D Secure 1 utilisée jusqu'à présent continuera à fonctionner en parallèle.

L'objectif de 3DS2 est de vérifier, en fonction des risques, si le client doit vraiment passer par une authentification (SCA). Les banques peuvent mieux évaluer le risque de fraude, car davantage de données relatives au client sont échangées entre le commerçant et la banque qu'auparavant. Il peut s'agir de plus de 100 points de données. Parmi ces données figurent par exemple des informations sur le navigateur, l'appareil utilisé (téléphone portable, tablette) ainsi que l'adresse de livraison. La banque peut ainsi vérifier si les données transmises par le commerçant correspondent à celles qu'elle possède déjà sur son propre client. Il devrait ainsi être plus facile de détecter les abus.

Les données sont conservées par la banque émettrice de la carte, mais sont généralement effacées au bout d'un an. En outre, on essaie ainsi de proposer au client une procédure d'authentification aussi simple que possible.

Le processus dynamique et convivial de traitement des paiements avec 3DS2 améliore ainsi l'expérience client de base par rapport à son prédécesseur et entraîne moins d'interruptions d'achat possibles du côté du commerçant.

En outre, le nouveau 3DS2 fonctionnera désormais de manière plus simple et plus sûre sur les smartphones.

Les principales exceptions à l'authentification forte des clients

La directive sur les services de paiement prévoit différentes exceptions. Toutefois, la banque peut décider d'autoriser une exception ou d'exiger la double identification.

Transactions initiées par les commerçants (MIT), y compris les paiements récurrents et les abonnements à montant variable
Les transactions récurrentes sont exemptées à partir de la deuxième transaction. Seule la première transaction nécessite une authentification forte du client. Notez que ces transactions doivent être identifiées comme des transactions récurrentes pour pouvoir bénéficier de l'exemption. Il est important que la transaction initiale soit effectuée avec 3D Secure et que les transactions initiales et ultérieures soient correctement identifiées comme des transactions récurrentes.

Vous trouverez plus de détails dans le manuel technique ipayment au chapitre "Paiements récurrents".

Faible risque
Les paiements pour lesquels votre banque émettrice de cartes s'attend à un faible risque de fraude peuvent également passer avec une simple authentification.

Commandes par correspondance et par téléphone (Mail Order and Telephone Orders, MOTO)
Les transactions MOTO ne sont pas considérées comme des paiements électroniques et ne sont donc pas pertinentes pour le SCA. Important, assurez-vous que vos transactions MOTO sont correctement identifiées pour tous les scénarios d'achat ou de paiement des titulaires de carte.

Si l'authentification du titulaire de la carte est effectuée avec 3D Secure, les commerçants sont généralement protégés contre les rejets de débit dus à la fraude. Dans ces cas, la responsabilité est transférée à l'émetteur de la carte. Si le commerçant applique une exception à la transaction lors de l'utilisation de 3DS2, aucun transfert de responsabilité n'a lieu vers l'émetteur de la carte.

Remarque

3D Secure ne protège que contre les rejets de débit liés à une fraude. 3D Secure ne protège pas contre les rétrofacturations liées au droit de rétractation et de retour, par exemple si la marchandise ne correspond pas à la description, si elle est défectueuse ou si l'objet de la vente n'a pas été reçu.

Contenu