alt text

Payer en toute sécurité sur Internet

Ce que vous devez savoir sur PCI DSS, 3-D Secure 2 et l'authentification stricte

Questions relatives à la sécurité des transactions ?

Payer en toute sécurité en ligne

Offrez à vos clients un maximum de sécurité. Parce que la sécurité crée de la confiance, et que vos clients ne doivent pas être mal à l'aise quand ils font leurs paiements en ligne. En collaboration avec les organisations de cartes de crédit, nous nous appuyons sur les normes les plus exigeantes, comme PCI DSS, 3-D Secure 2 et une authentification stricte du client, qui vous permettent de vendre en toute sécurité sur Internet ou par correspondance. Nous vous proposons parallèlement la protection nécessaire contre les défauts de paiement.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) est la norme de sécurité des organisations internationales de cartes de crédit. Avec notre solution de paiement Saferpay, vous pouvez traiter en toute sécurité toutes les données de cartes de crédit dans le commerce électronique conformément à la norme PCI DSS. Les données de la carte sont enregistrées dans la page de paiement Saferpay ou dans les formulaires hébergés et ne sont pas traitées, transmises ou stockées dans vos systèmes. Vous bénéficiez d'une sécurité maximale et d'un minimum d'efforts pour confirmer votre conformité PCI DSS.  

alt text

Sécurité lors des paiements sans espèces

Chez Worldline, la sécurité n'est pas qu'une promesse. Qu'il s'agisse de commerce en magasin, d'e-commerce ou de commerce mobile, toutes les solutions de paiement de Worldline sont soumises aux règles internationales du Payment Card Industry Security Standards Council (PCI SSC) ainsi qu'à la norme de sécurité EMV, et sont 3-D Secure.

Lire la suite Ouvrir dans un nouvel onglet


PSD2

Les commerçants en ligne, les acquéreurs, les émetteurs de cartes et les clients vont devoir relever un nouveau défi dans l'e-commerce : Les normes techniques réglementaires (RTS) dans le cadre de la deuxième directive européenne sur les services de paiement PSD2 (Payment Services Directive) sont entrées en vigueur le 14 septembre 2019. Elles exigent une authentification renforcée de la clientèle (également nommée authentification à deux facteurs) lors des paiements via Internet.

Afin d'accorder plus de temps au commerce en ligne pour l'implémentation, l'Autorité bancaire européenne (EBA) a octroyé aux régulateurs locaux dans toute l'Europe un délai transitoire jusqu'au 31 décembre 2020 afin de procéder à la mise en œuvre de l'authentification forte de la clientèle.


3-D Secure 2

Afin de satisfaire aux exigences PSD2 pour une authentification forte du client, les organismes de cartes de paiement Visa et Mastercard ont perfectionné le protocole sécurisé 3-D Secure, en collaboration avec l'organisme corporatif EMVCo, et ont ainsi donné naissance à 3-D Secure 2. Conforme aux exigences de la PSD2, le protocole 3-D Secure 2 est valable aussi bien pour les pays de l'UE que pour la Suisse et devra être adopté par tous les e-commerçants.

Grâce à la procédure 3-D Secure, les titulaires de carte s'identifient au cours d'une étape supplémentaire lors des transactions en ligne. Le nouveau standard de sécurité 3-D Secure 2 facilite nettement les paiements par carte dans l'e-commerce pour vous et vos clients, grâce à l’utilisation d’un large spectre de données, un procédé d'authentification biométrique et une expérience en ligne améliorée et uniforme.

  • Les clients ne sont plus obligés de retenir des mots de passe et il leur suffit de confirmer les paiements depuis une application mobile. Avec 3-D Secure 2, l'authentification du client est complètement intégrée dans le déroulement de la vente. La responsabilité en cas de transactions frauduleuses incombe entièrement à l'émetteur de la carte.

    3-D Secure 2 s'appuie sur un procédé d'authentification fondé sur les risques et prend en compte des données de transaction supplémentaires qui permettent aux commerçants et aux émetteurs de carte de vérifier si le paiement est demandé par le titulaire de la carte et si le processus de paiement est autorisé ou interrompu. La vérification implique aussi d'autres facteurs d'authentification forte du client, comme les habitudes de paiement ou les empreintes digitales. Dans le Frictionless Flow, les transactions comportant des risques faibles sont identifiées. Il n'y a alors pas d'authentification réelle du client et le passage en caisse se fait sans interruption pour le titulaire de la carte. 

     

    Vos avantages avec 3-D Secure 2

    • Les paiements se déroulent de manière fluide (Frictionless Flow)
    • Votre taux de conversion augmente
    • Il y a moins d'interruptions de paiement grâce à l'authentification basée sur le niveau de risque
    • Intégration parfaite dans les boutiques en ligne et les applications
    • Mécanismes intelligents de reconnaissance des tentatives de fraude pour réduire les escroqueries par carte de crédit

  • Assurez-vous avec vos fournisseurs de solutions que le protocole de sécurité 3-D Secure 2 est correctement mis en place :

    • Pour l'intégration technique du nouveau protocole sécurisé, contactez votre prestataire de services de paiement.
    • Assurez-vous avec votre fournisseur de boutique en ligne de la bonne intégration via votre prestataire de services de paiement (il est possible que l'interface entre votre prestataire de services de paiement et votre boutique en ligne doive être actualisée ou bien que d'autres modifications doivent être effectuées).
    • Peu contraignantes pour les titulaires de carte et fondées sur les risques, les authentifications à l'aide de 3-D Secure 2 utilisent dix fois plus de données (du titulaire de la carte et de la boutique en ligne). Cela permet d'avoir plus de points de vérification et de réduire le taux de fraudes. Parmi ces données, il y a des données à caractère personnel, comme le nom, le numéro de téléphone, l'adresse e-mail du titulaire de la carte, son adresse IP, ainsi que les adresses de facturation et de livraison. Pour cette raison, nous vous recommandons d'adapter votre déclaration de confidentialité conformément au règlement général sur la protection des données (RGPD).
    • Pensez aussi à remplacer les noms et logos de Mastercard SecureCode enregistrés sur votre boutique en ligne par Mastercard Identity Check, et ceux de Verified by Visa par Visa Secure.
    • Vous êtes client de Worldline et vous utilisez Saferpay pour votre boutique en ligne ? Consultez notre FAQ pour vérifier si vous avez besoin de faire quelque chose.

    Informations pertinentes pour les développeurs – FAQ

    • Vous n'utilisez pas encore 3-D Secure ? Dans ce cas, vous n'êtes pas conforme à la norme DSP 2. N'hésitez pas à contacter nos spécialistes pour qu'ils vous conseillent sur les étapes à suivre pour implémenter 3-D Secure 2.

Authentification forte du client

Pour l'authentification forte du client, toutes les transactions de paiement sont « fortement » sécurisées (sauf exceptions clairement définies). Cela nécessite de recourir à au moins deux des trois facteurs suivants : connaissance, possession ou inhérence.

Connaissance:

Mot de passe
Code
Question secrète
Suite de chiffres

Possession:

Téléphone portable
Appareils mobiles
Token
Smartcard

Inhérence:

Empreinte digitale
Reconnaissance vocale
Reconnaissance de l'iris
Reconnaissance faciale

Un client désire acheter une paire de chaussures sur une boutique en ligne. Un court instant après avoir renseigné les données de sa carte dans les champs correspondants, celui-ci reçoit une notification push sur son smartphone lui indiquant la réception par SMS d’un code d'authentification à deux facteurs (ou d’un mot de passe à usage unique). Pour valider le paiement, le client doit saisir ce code ou bien confirmer l'achat par empreinte digitale à l'aide d'une application supplémentaire.

alt text
e-commerce girl

Des paiements en ligne plus sûrs en toute simplicité


Brève introduction aux nouvelles exigences de l'Europe en matière d'authentification forte du client
 

Le 14 septembre 2019, le visage de l'e-commerce en Europe changera à jamais. Même si une période de transition a été accordée par la plupart des régulateurs locaux européens, celle-ci n'est que temporaire et les commerçants, banques et prestataires de service de paiement ont jusqu'au 31 décembre 2020 pour remplir les exigences strictes en matière d'authentification forte de la clientèle.
Cette prise de position donne une brève introduction sur les normes techniques réglementaires relatives à l'authentification forte du client et les impacts sur l'écosystème des commerçants. Elle explique également ce que les commerçants devront faire pour profiter de tous les avantages de ce règlement.

Télécharger la prise de position Ouvrir dans un nouvel onglet

  • L’authentification forte du titulaire de la carte n'est pas obligatoire pour toutes les transactions :

    Petits montantsPaiements récurrentsWhitelisting commerçantsFaible risque
    Paiements de moins de EUR 30 pour une valeur maximale cumulée de EUR 100 ou dans la limite de cinq paiements successifs.À partir de la deuxième transaction au même destinataire avec le même montant.Le titulaire de la carte crée une liste blanche pour les commerçants de confiance.Estimation des risques d'une transaction dont le montant est dans les limites des seuils fixés.

     

    Ne sont pas concernés par l'authentification forte :

    • Cartes prépayées anonymes
    • Commandes par téléphone et auprès des entreprises de vente par correspondance (transactions MOTO)
    • Transactions interrégionales / « One Leg »
    • Transactions initiées par le bénéficiaire du paiement
alt text

FAQ

  • Réponse :

    La seconde directive sur les services de paiements (Payment Services Directive 2, PSD2) est définie par l'Autorité bancaire européenne et vise à réglementer les nouveaux acteurs et à améliorer la sécurité des échanges. Parmi ces règles figure la règle RTS-SCA (Regulatory Technical Standard – Strong Customer Authentication, à savoir la norme technique réglementaire concernant l’authentification forte du client), qui exige une authentification forte du client à partir du 14 septembre 2019.

  • Réponse :

    Alors que la date butoir du 14 septembre 2019 approchait, de plus en plus de pays européens ont constaté qu'une grande partie de leurs entreprises nationales du secteur de l'e-commerce et du secteur bancaire n'étaient pas en mesure de respecter cette date, qui avait pourtant déjà été reportée.

    Il fut estimé que les boutiques en ligne européennes perdraient en moyenne 20 % de leurs revenus si elles ne parvenaient pas à respecter cette date. C’est pourquoi l'Autorité bancaire européenne (EBA), responsable des normes de réglementation techniques, a finalement décidé de reporter une nouvelle fois cette échéance.

    La nouvelle échéance définitive, annoncée dans une prise de position de l'EBA, a été fixée au 31 décembre 2020 et les autorités nationales responsables (NCA) ont communiqué cette date dans toute l'Europe aux acteurs nationaux concernés, à savoir les banques, PSP et commerces en ligne dans leurs pays respectifs.

    Cependant, afin que la prolongation du délai ne se traduise pas par un manque de réaction de certaines parties jusqu'à l'échéance imminente, l'EBA a demandé aux parties, par la voix des autorités nationales (NCA), des stratégies concrètes de mise en œuvre des SCA comme condition à ce report. En d'autres termes, l'EBA s'est assurée de ne pas se retrouver une nouvelle fois dans la même situation à l'approche de la date butoir.

    Enfin, il est important de souligner que les commerçants et leurs PSP doivent être techniquement prêts à la fin du premier semestre 2020 afin d’avoir suffisamment de temps pour tester l'ensemble de la chaîne des processus avec leurs acquéreurs, les schémas et leurs émetteurs. Il n'est pas à exclure que les nouveaux règlements feront l'objet d'interprétations différentes et que l'ajustement prenne du temps ; toutefois il devra être achevé au plus tard avant l'activité de Noël.

  • Réponse :

    A compter du 1er janvier 2021, Worldline ne traitera plus de transactions non conformes à la PSD2.

  • Réponse :

    Non, les paiements suivants sont exclus : Les transactions de vente à distance de type MOTO (Mail Order Telephone Order), les paiements initiés par le commerçant et non liés au client ainsi que les transactions entre titulaires de carte ou commerçants acquéreurs hors de l'espace économique européen ne sont pas soumis à cette règle RTS-SCA.

  • Réponse :

    L'objectif de l'authentification forte du client au moyen de 3-D Secure 2 est de réduire la fraude au paiement à distance, tout en améliorant fortement la convivialité pour le titulaire de la carte, notamment en fournissant à l'émetteur (la banque du titulaire de la carte) davantage d'informations sur le contexte de la transaction, afin de permettre à ce dernier de décider s'il doit ou non procéder à une authentification forte du client pour son titulaire de carte.

  • Réponse :

    1. Si vous utilisez déjà 3-D Secure 1.0 pour toutes vos transactions, le passage à 3-D Secure 2 permettra à certaines de vos transactions de se dérouler « Frictionless » (sans demande d'authentification supplémentaire). Cela augmentera votre taux de conversion tout en vous protégeant contre la fraude.
    2. Si vous n'utilisez pas du tout 3-D Secure 1.0 (transactions SSL uniquement) ou si vous l'utilisez partiellement (dynamic 3-D Secure), la mise en œuvre de 3-D Secure 1.0 ou 3-D Secure 2 est obligatoire pour respecter le principe de la SCA. Sinon, vous devez vous attendre à ce qu'un grand nombre de transactions qui ne sont pas 3-D Secure soient refusées par les émetteurs. 3-D Secure 2 vous offre un meilleur taux de conversion que 3-D Secure 1.0.

  • Réponse :

    Les principaux ajouts de 3-D Secure 2 sont les suivants :

    • Une expérience client plus fluide et plus intégrée, en particulier pour les applications mobiles.
    • De nouvelles méthodes d'authentification du côté de la banque du titulaire de la carte.
    • La gestion des exemptions et une plus grande fluidité (Frictionless).

  • Réponse :

    Frictionless Flow signifie une transaction de paiement sans demande d'authentification supplémentaire.

    En fonction du contexte et des informations fournies dans la demande de paiement, l'émetteur de la carte effectue une analyse des risques et peut décider de ne pas authentifier la transaction. Si l'initiative Frictionless vient de l'émetteur, le commerçant bénéficiera du transfert de responsabilité. En revanche, si le commerçant a effectué sa propre analyse de risque et demande le Frictionless à l'émetteur, il ne bénéficiera pas du transfert de responsabilité.

  • Réponse :

    La RTS prévoit 2 options d'exemption pour les paiements de gré à gré :

    • Transactions sans contact de faible valeur

    L'exemption peut être invoquée pour une transaction sans contact

    ➔ Si le montant de l'opération ne dépasse pas EUR 50.
    ➔ Si, depuis la dernière transaction avec authentification forte du client par le titulaire de la carte, le montant maximal de transactions sans contact, quel que soit le commerçant, ou le nombre de transactions sans contact n'ont pas dépassé un certain seuil (critère de vitesse) défini par la RTS-SCA (max. EUR 150 ou 5 transactions, à la discrétion de l'émetteur, qui peut également baisser ces plafonds).

    • Transactions sur terminal non surveillé pour le stationnement ou le transport

  • Réponse :

    • Transactions récurrentes

    Une exemption de l'authentification forte du client est appliquée pour une série de transactions à distance d'un même montant pour un même bénéficiaire. Toutefois, l'authentification forte du client est requise pour la première transaction (le contrat) ou pour chaque modification des conditions de la série.

    • Transactions de faible valeur

    Une exemption de l'authentification forte du client pour un paiement à distance de faible valeur peut être invoquée :

    ➔ Si le montant de l'opération ne dépasse pas EUR 30.
    ➔ Si, depuis la dernière transaction avec authentification forte du client par le titulaire de la carte, le montant maximal de transactions à distance de faible valeur, quel que soit le commerçant, ou le nombre de transactions à distance de faible valeur ne dépassent pas un certain seuil (critère de vitesse) défini par la RTS-SCA (max. EUR 100 ou 5 transactions, à la discrétion de l'émetteur, qui peut également baisser ces plafonds).

    • Analyse des risques transactionnels

    L'exemption d'authentification forte du client pour une transaction à distance appelée « analyse des risques » peut être invoquée par l'acquéreur (au nom du commerçant) et par l'émetteur si les deux conditions suivantes sont remplies :

    ➔ La transaction est déclarée sûre (par exemple, aucune infection de l'utilisateur par un logiciel malveillant, aucun déboursement anormal par le payeur, localisation du payeur, historique des transactions, etc.).
    ➔ Le taux de fraude (pour les transactions à distance) de l'établissement de paiement (pour l'acquéreur de la banque et pour l'émetteur de la banque, mais pas pour le commerçant ou son prestataire de services de paiement) est inférieur aux plafonds prédéfinis :

    ➩ 0,13% si le montant de l'opération est inférieur à EUR 100.
    ➩ 0,06% si le montant de l'opération est inférieur à EUR 250.
    ➩ 0,01% si le montant de l'opération est inférieur à EUR 500.
    ➩ L'exemption ne s'applique pas aux transactions de plus de EUR 500.

  • Réponse :

    Les exemptions ne sont pas courantes et même si les conditions d'exemption sont remplies, la décision finale appartient à l'émetteur (la banque du titulaire de la carte) qui peut ou non l'accorder. L'émetteur enverra un refus progressif pour le paiement, ce qui entraînera une nouvelle présentation du paiement et une demande d'authentification forte du client auprès du titulaire de la carte.

  • Réponse :

    La mise en œuvre de 3-D Secure 2, qui nécessite des modifications tout au long de la chaîne de paiement électronique, se fera progressivement en fonction des différents acteurs du paiement (module de paiement, banques d'affaires, réseaux, banques émettrices). Nous vous conseillons de contacter votre fournisseur de passerelle PSP dès que possible pour savoir s'il est déjà en mesure de vous aider à mettre en œuvre 3-D Secure 2.

  • Réponse :

    La fin de 3-D Secure 1.0 est annoncée pour décembre 2020 pour Visa et Mastercard. 

  • Réponse :

    Worldline, en tant qu'acquéreur, ne bloquera pas les transactions ultérieures d'une transaction initiale qui a eu lieu avant le 31 décembre dans un premier temps et continuera à accepter les transactions ultérieures. Pour les paiements récurrents effectués après le 31 décembre, Worldline recommande d'effectuer une SCA pour le premier et de faire référence à celui-ci dans la transaction suivante afin de conserver le même taux d'approbation.

  • Réponse :

    Les régulateurs nationaux supervisent les activités des acquéreurs et des émetteurs locaux. Le plus important pour le commerçant est cependant la localisation de son acquéreur, car elle déterminera si une phase de transition peut être appliquée. De plus, les commerçants qui font des affaires à l'échelle internationale doivent examiner la réglementation des pays dans lesquels ils travaillent. En effet, certains émetteurs en Europe seront obligés de se conformer à la SCA d'ici le 14 septembre. Cela signifie que ces émetteurs refuseront probablement les transactions par carte traitées sans 3-D Secure.

Questions relatives à la sécurité des transactions?

  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  • *
  •