Un procédé d'authentification forte
Êtes-vous prêts pour 3-D Secure 2.0 ?
3-D Secure 2.0
Soyez prêt pour le nouveau protocole sécurisé.
Les commerçants en ligne, les acquéreurs, les émetteurs de cartes et les clients sont confrontés à un nouveau défi : le 14 septembre 2019, les normes techniques de régulation entrent en vigueur dans le cadre de la deuxième directive de l'UE sur les services de paiement (DSP 2). Elles exigent avant tout un procédé d'authentification forte du client (aussi appelé authentification à deux facteurs) lors de paiements effectués via Internet. Afin de satisfaire à ces exigences, les organismes de cartes de paiement ont perfectionné le protocole sécurisé 3-D Secure, en collaboration avec l'organisme corporatif EMVCo : 3-D Secure 2.0 est en conformité avec la DSP 2. Celui-ci est valable aussi bien pour les pays de l'UE que pour la Suisse. Le nouveau standard sera introduit par Visa et Mastercard en avril 2019 et doit être adopté par les commerçants en ligne. La date d’introduction dans les différents pays est disponible ici.
Une expérience d’achat positive et une réduction des abandons lors du paiement
3-D Secure 2.0 est radicalement plus facile à utiliser et encore plus sûr pour vous et vos clients que 3-D Secure 1.0, grâce à l’analyse d'un plus large ensemble de données, un procédé d'authentification biométrique et l’amélioration de l’expérience client en ligne qui gagne en homogénéité.
Les clients ne sont plus obligés de retenir de mots de passe et il leur suffit de confirmer les paiements depuis une application mobile. Avec 3-D Secure 2.0, l'authentification du client est complètement intégrée dans le déroulement de la vente. La responsabilité en cas de transactions frauduleuses incombe entièrement à l'émetteur de la carte.
3-D Secure 2.0 s'appuie sur un procédé d'authentification basé sur la gestion des risques et prend en compte des données de transaction supplémentaires qui permettent aux commerçants et aux émetteurs de carte de vérifier si le paiement est bien demandé par le titulaire de la carte et si le processus de paiement est autorisé ou bien interrompu. Le processus de vérification implique aussi d'autres facteurs d'authentification forte du client, comme les habitudes de paiement ou les empreintes digitales.
Les transactions à faible risque sont autorisées à suivre un « frictionless flow ». Aucune authentification forte du client n’est alors requise, permettant à l’encaissement de s’effectuer en toute fluidité et sans aucune interruption.
Vos avantages avec 3-D Secure 2.0
- Les paiements se déroulent de façon fluide et sans accroc (Frictionless Flow)
- Votre taux de conversion augmente
- Il y a moins d'interruptions de paiement grâce à l'authentification basée sur la gestion des risques
- L'intégration est complète dans la boutique en ligne et l'application
- Des mécanismes intelligents de reconnaissance des tentatives de fraude permettent de réduire les escroqueries par carte de crédit
Le procédé d'authentification forte du client : qu'est-ce que cela veut dire exactement ?
Dans le cadre d’une authentification forte du client, toutes les transactions de paiement doivent être « fortement » sécurisées (hors exceptions clairement définies par la DSP2). Cela implique qu'au moins deux des trois facteurs suivants doivent être employés :
Un client désire acheter une paire de chaussures sur une boutique en ligne. Un court instant après avoir renseigné les données de sa carte dans les champs correspondants, celui-ci reçoit une notification push sur son smartphone lui indiquant la réception par SMS d’un code d'authentification à deux facteurs (ou d’un mot de passe à usage unique). Pour valider le paiement, le client doit saisir ce code ou bien confirmer l'achat par empreinte digitale à l'aide d'une application supplémentaire.
Exceptions au procédé d'authentification forte du client (SCA)
La DSP 2 prévoit quelques exceptions, pour lesquelles le titulaire de la carte ne subit aucune SCA. Malgré tout, la transaction est effectuée comme étant « 100 % authentifiée par 3DS ».
Les exceptions importantes au SCA :
- Paiements de faibles montants (Paiements jusqu'à 30 EUR - pour une valeur cumulée max. de 100 EUR ou pour une limite de cinq paiements successifs)
- Paiements répétitifs (Tous les paiements échelonnés - le premier paiement devant être cependant soumis à SCA)
- Analyse des risques de transaction (Estimation des risques d'une transaction dont le montant est dans les limites des seuils fixés)
- Whitelisting commerçants (p. ex. les clients qui achètent régulièrement auprès de la même entreprise)
A l'avenir, Worldline et Worldline proposeront les exceptions suivantes : petits montants, paiements récurrents et l'analyse des risques de transaction.
Pas concernés par la SCA :
- Cartes prépayées anonymes
- Commandes par téléphone et auprès des entreprises de vente par correspondance (transactions MOTO)
- Transactions interrégionales / « One Leg »
- Transactions initiées par le bénéficiaire du paiement
Dates butoirs données par les organismes de cartes de paiement
Tous les commerçants e-commerce traitant des transactions réalisées avec une carte de débit ou de crédit doivent être compatibles avec 3-D Secure 2.0 aux dates suivantes :
Mastercard
- 1 avril 2019 : Danemark, Estonie, Finlande, Islande, Irlande, Lettonie, Lituanie, Norvège, Suède, Royaume-Uni, Andorre, Belgique, France, Gibraltar, Italie, Luxembourg, Monaco, Pays-Bas, Portugal, Saint-Marin, Espagne, Cité du Vatican, Allemagne, Liechtenst. , Suisse
- 1 septembre 2019 : Albanie, Autriche, Bosnie-Herzégovine, Bulgarie, Croatie, Chypre, Rép. Tchèque, Grèce, Hongrie, Israël, Kosovo, Macédoine, Malte, Monténégro, Pologne, Roumanie, Serbie, Slovaquie, Slovénie
- 31 décembre 2019 : Arménie, Azerbaïdjan, Biélorussie, Géorgie, Kazakhstan, Kirghizistan, Moldavie, Russie, Tadjikistan, Turquie, Turkméniste, Ukraine, Ouzbékistan
Visa
- 13 avril 2019: Europe
Que devez-vous faire ?
- Assurez-vous avec vos fournisseurs de solutions que le protocole de sécurité 3-D Secure 2.0 est correctement implanté :
- Pour l'implémentation technique du nouveau protocole sécurisé, contactez votre prestataire de services de paiement.
- Assurez-vous avec votre fournisseur de boutique en ligne de la bonne intégration via le prestataire de services de paiement (il est possible que l'interface entre votre prestataire de services de paiement et votre boutique en ligne doive être actualisée ou bien que d'autres modifications doivent être effectuées).
- Peu contraignantes pour les titulaires de carte et basées sur la gestion des risques, les authentifications à l'aide de 3-D Secure 2.0 utilisent dix fois plus de données (du titulaire de la carte et de la boutique en ligne). Cela permet d'avoir plus de points de vérification et de réduire le taux des fraudes. Parmi ces données, il y a des données à caractère personnel, comme le nom, le numéro de téléphone, l'adresse e-mail du titulaire de la carte, ainsi que les adresses de facturation et de livraison. Pour cette raison, nous vous recommandons d'adapter votre déclaration de confidentialité, conformément au Règlement général pour la protection des données (RGPD)
- Pensez aussi à remplacer sur votre boutique en ligne nom et logo de Mastercard SecureCode par Mastercard Identity Check.
Vous n'utilisez pas encore 3-D Secure ? Nous vous prions de bien vouloir nous contacter :
Suisse/international | e-commerce@six-payment-services.com +41 58 399 9232 |
---|---|
Allemagne | e-com.de@six-payment-services.com +49 40 325 967 260 |
Autriche | e-commerce.austria@six-payment-services.com +43 1 717 01 6374 |