L'Autorité bancaire européenne a confirmé la date limite d'application de la DSP2 pour l'authentification forte du client : le 31 décembre 2020 (à l'exception du Royaume-Uni). À l'approche de la date limite, de nombreuses entreprises ont des questions sans réponse. Notre équipe a recherché les zones de confusion les plus courantes chez les commerçants et a fourni des éclaircissements.
EN QUOI LA 3DS2 EST-ELLE DIFFÉRENTE DE LA 3DS1 ?
COMMENT L'AUTHENTIFICATION FORTE DES CLIENTS SERA-T-ELLE PRISE EN CHARGE PAR 3DS2 ?
COMMENT 3DS2 VA-T-IL PERMETTRE UNE AUTHENTIFICATION SANS FRICTION DES CLIENTS ?
HOW WILL THE CHANGES AFFECT MERCHANTS?
LES CONVERSIONS VONT-ELLES EN PRENDRE UN COUP ? QUE PEUT FAIRE NUVEI POUR Y REMÉDIER ?
WHAT TRANSACTIONS ARE EXEMPT FROM SCA?
POURQUOI TOUS LES COMMERÇANTS N'UTILISENT-ILS PAS 3D-SECURE ?
QU'EST-CE QUE LE TRANSFERT DE RESPONSABILITÉ EN MATIÈRE DE RÉTROFACTURATION ?
QU'EST-CE QUE L'ANALYSE DU RISQUE DE TRANSACTION ?
QUELLES SONT LES OPTIONS D'INTÉGRATION ?
QUELLES OPPORTUNITÉS SCA VA-T-IL CRÉER ?
QUE PEUVENT FAIRE LES COMMERÇANTS POUR SE PRÉPARER À LA PSD2 ET À LA SCA ?
QUE SONT 3DS, PSD2, ET SCA ?
3DS - abréviation de 3D Secure - est un protocole d'authentification qui protège et sécurise les transactions d'achat en ligne. Il permet aux commerçants de traiter les paiements en toute sécurité et de transférer la responsabilité des paiements frauduleux du commerçant à l'émetteur de la carte.
La DSP2 est une directive émise par la Commission européenne (Direction générale Marché intérieur), qui remplace la première directive sur les services de paiement de 2007. L'objectif de la DSP2 est de réglementer les services de paiement et les prestataires de services de paiement dans l'ensemble de l'Union européenne (UE) et de l'Espace économique européen (EEE). Elle est conçue pour accroître l'efficacité et la sécurité des services de paiement au sein du marché unique de l'UE.
La DSP2 s'accompagne de l'application de l'authentification forte du client (SCA). Cette réglementation encourage une meilleure authentification des identités des utilisateurs lors des transactions bancaires, dans le but de réduire les transactions frauduleuses et d'accroître la confiance dans les services en ligne. Dans le cadre de la DSP2, elle s'applique à tous les services d'authentification liés aux paiements sur tous les appareils.
La DSP2 est entrée pleinement en vigueur le14 septembre 2019, mais en raison de retards dans la mise en œuvre, l'Autorité bancaire européenne (ABE) a accordé un délai supplémentaire pour la mise en œuvre de l'ACS. Elle prévoit que les plans de migration seront terminés et appliqués pour tous les pays de l'UE d'ici la fin de l'année.
La Financial Conduct Authority du Royaume-Uni a confirmé une prolongation supplémentaire de 6 mois pour le Royaume-Uni, destinée à réduire les perturbations pour les consommateurs et les commerçants pendant la crise actuelle du COVID-19.
Aux Pays-Bas, les émetteurs ont déjà commencé à procéder à des déclins progressifs des transactions non-3DS dépassant 250 euros, et ils étendront cette mesure à toutes les transactions début novembre. La France accélérera graduellement les déclins progressifs des transactions non-3DS en fonction de la disponibilité du marché, et l'Allemagne envisage une extension progressive des déclins progressifs.
LES DATES D'APPLICATION :
EN QUOI LA 3DS2 EST-ELLE DIFFÉRENTE DE LA 3DS1 ?
3D Secure 1.0 (3DS1) est un protocole établi par Visa et Mastercard qui favorise l'authentification bidirectionnelle des transactions. Il a été créé principalement comme un moyen d'authentifier les transactions sur les navigateurs de bureau.
La nouvelle version du protocole, 3D Secure 2.0 (3DS2), a été étendue à tous les principaux réseaux de cartes et est accessible par un plus grand nombre d'appareils et de plateformes, y compris l'intégration avec les numéros de téléphone mobile. Dans ce dernier cas, un code d'accès sécurisé est utilisé pour la vérification des transactions.
La 3DS1 et la 3DS2 ont coexisté pendant plusieurs années avant que la transition ne soit entièrement réalisée. Cependant, aujourd'hui, de nombreux appareils ne sont plus compatibles avec la 3DS1, tandis que la 3DS2 s'intègre parfaitement aux dernières technologies.
Conçu pour permettre une meilleure expérience utilisateur avec un impact minimal sur les conversions, 3DS2 sera la principale méthode par laquelle les commerçants se conformeront aux exigences de la PSD2 SCA. Comme pour la version précédente, l'authentification 3DS2 transfère la responsabilité des transactions frauduleuses à l'émetteur de la carte.
Les améliorations apportées par la 3DS2 (par rapport à la 3DS1) sont les suivantes :
- Une expérience utilisateur améliorée pour les achats mobiles
- Authentification sécurisée sur les pages de paiement, tant sur le navigateur que sur le mobile
- La collecte de données complexes dans le but d'identifier les risques et les activités frauduleuses.
- Réduire les risques liés aux paiements non authentifiés
COMMENT L'AUTHENTIFICATION FORTE DES CLIENTS SERA-T-ELLE PRISE EN CHARGE PAR 3DS2 ?
Le SCA rendra les transactions financières en ligne plus sûres grâce à une vérification renforcée. L'époque où les clients en ligne utilisaient des codes statiques - faciles à partager et à voler - pour s'authentifier auprès de leur banque émettrice va disparaître. Au lieu de cela, dans certains cas, les clients devront effectuer une authentification forte, qui recueillera auprès d'eux deux des trois catégories d'informations suivantes :
- Qui est le client - il peut s'agir d'une empreinte digitale, d'un scan facial, d'une signature ADN ou d'un modèle vocal.
- Ce que le client connaît - il peut s'agir d'un mot de passe, d'une séquence, d'un code PIN, d'une phrase de passe ou même d'un fait personnel, comme le nom d'un animal domestique.
- Ce que le client possède - il peut s'agir d'un téléphone mobile, d'un badge, d'un jeton, d'un dispositif portable ou d'une carte à puce.
Au lieu d'utiliser uniquement un mot de passe, les clients peuvent être invités à passer par l'un des flux d'authentification suivants :
 |
Une authentification "à deux facteurs" qui demandera à l'utilisateur de fournir un code envoyé par courriel ou par SMS. |
 |
Une authentification biométrique qui exige que l'utilisateur utilise son empreinte digitale ou son visage pour s'identifier lorsqu'il utilise son application bancaire. |
Ces flux offrent des alternatives pratiques aux mots de passe, qui peuvent être oubliés. En facilitant la vie des clients, les entreprises réduisent également le risque qu'ils abandonnent leur achat à mi-chemin du processus de sécurité.
COMMENT 3DS2 VA-T-IL PERMETTRE UNE AUTHENTIFICATION SANS FRICTION DES CLIENTS ?
3DS2 suit un processus d'authentification basé sur le risque pour déterminer si une transaction doit être contestée. Le niveau de risque est calculé par l'utilisation intelligente des données collectées pendant la transaction, telles que les informations sur l'appareil, le fuseau horaire et divers autres paramètres. Si l'authentification peut être réalisée avec les données collectées en arrière-plan, la transaction est traitée sans informations supplémentaires de la part du client.
Toutefois, si la transaction présente des risques, l'authentification passera aux étapes supplémentaires, ou "flux de défi". Les utilisateurs pourront utiliser des méthodes d'authentification avancées telles que les informations biométriques.
Contrairement à 3DS1, les entreprises peuvent utiliser une iframe pour mettre en œuvre la demande d'authentification sur la même page, sans redirection. Cela signifie que les clients ne sont pas détournés de la page de paiement, ce qui garantit une expérience de paiement plus transparente.
HOW WILL THE CHANGES AFFECT MERCHANTS?
Pour aider les entreprises à maximiser leurs conversions après l'application du SCA, Nuvei permettra une mise en œuvre dynamique de 3D Secure 2.0. Cela signifie qu'il faudra prendre des décisions intelligentes en temps réel pour savoir s'il faut ou non profiter des exemptions du SCA pour augmenter les conversions.
LES CONVERSIONS VONT-ELLES EN PRENDRE UN COUP ? QUE PEUT FAIRE NUVEI POUR Y REMÉDIER ?
Pour l'instant, rien ne prouve que les taux de conversion seront affectés par ces changements.
Cependant, pour maintenir les flux de revenus pendant et après la transition, Nuvei identifiera les émetteurs ayant des problèmes de support 3DS2 et les exclura des flux 3DS2. En outre, nous utilisons un système en cascade qui s'active dans les cas où un problème technique survient avec l'authentification 3DS2, en réessayant automatiquement avec 3DS1.
Les exemptions seront traitées en fonction des préférences des commerçants.
WHAT TRANSACTIONS ARE EXEMPT FROM SCA?
Toutes les transactions ne sont pas soumises au SCA. Par exemple, les transactions à faible risque et de faible valeur (moins de 30 EUR) sont exemptées. Mais si des paiements à faible risque totalisant plus de 100 EUR sont effectués avec une carte, ou si plus de cinq transactions consécutives ont lieu, le SCA s'appliquera. Pour les exemptions relatives aux transactions à faible risque, le risque d'une transaction donnée est basé sur les niveaux de fraude moyens de l'émetteur de la carte et de l'acquéreur qui traite la transaction.
Il existe de nombreuses autres exemptions, notamment :
- Commandes par courrier et par téléphone - elles ne sont pas considérées comme des paiements électroniques.
- Les cartes d'entreprise qui sont délivrées aux sociétés et utilisées à des fins professionnelles.
- Les commerçants de la liste blanche qui sont choisis par les clients et placés sur une liste spéciale supervisée par leur banque.
- Les transactions interrégionales où l'acquéreur ou l'émetteur de la carte n'est pas basé en Europe.
- Les transactions récurrentes et les abonnements d'un montant déterminé seront exemptés après le premier paiement. Si le montant change, 3D Secure 2.0 doit être utilisé.
POURQUOI TOUS LES COMMERÇANTS N'UTILISENT-ILS PAS 3D SECURE ?
Les commerçants adoptent 3D Secure lorsqu'ils ont besoin d'une couche supplémentaire de sécurité pour leurs transactions. L'utilisation de 3D Secure n'est pas obligatoire pour les transactions effectuées en dehors de l'EEE.
QU'EST-CE QUE LE TRANSFERT DE RESPONSABILITÉ EN MATIÈRE DE RÉTROFACTURATION ?
> |
Les commerçants dont le système 3DS est activé ne sont plus responsables des litiges relatifs aux cartes lorsque l'émetteur a réussi à authentifier l'identité de l'acheteur. Dans ces cas, le commerçant bénéficie d'une protection complète contre les rétrofacturations. Dans les cas où une transaction aurait été considérée comme frauduleuse, l'émetteur autorisé assume la responsabilité à la place du commerçant. |
QU'EST-CE QUE L'ANALYSE DU RISQUE DE TRANSACTION ?
> |
Le protocole 3DS2 stipule que les données transactionnelles seront toujours partagées. Ces données transactionnelles constituent la base de l'analyse du risque transactionnel (TRA). La TRA est une stratégie d'analyse de la fraude qui observe et analyse les caractéristiques des transactions pour identifier et bloquer les comportements frauduleux. 3DS a introduit la TRA par le biais d'algorithmes conçus pour détecter les modèles de comportement des titulaires de cartes. Elle analyse également les informations de localisation et les taux de fraude en temps réel dans les transactions de commerce électronique. |
QUELLES SONT LES OPTIONS D'INTÉGRATION
Choisissez une solution d'intégration en fonction des exigences de votre entreprise. Nuvei vous aide à réduire la complexité de 3DS tout en assurant la conformité à PCI et PSD2.
PAGE DE PAIEMENT HÉBERGÉE (HPP)
Cette intégration prête à l'emploi vous offre une capacité de traitement des paiements de bout en bout avec une seule connexion, sans aucun codage nécessaire de votre côté. Elle est conçue pour optimiser les parcours de paiement dans le monde entier tout en vous permettant de vous libérer de vos obligations PCI et de vous concentrer sur votre activité.
- Traitement des paiements internationaux indépendant de l'acquéreur
- Support complet de la 3DS2
- Accepte plus de 450 méthodes de paiement alternatives et 154 devises dans le monde entier.
- Outils de reprise en cas de déclin, rapports de données, suite de gestion des risques
- Localisable dans n'importe quelle région du monde
- Une intégration minimale est nécessaire pour un accès complet au réseau Nuvei.
WEB SDK
Cette intégration conviviale pour les développeurs vous offre un niveau de contrôle plus élevé tout en vous permettant de respecter vos obligations PCI. Le Web SDK est entièrement modulaire, ce qui vous permet d'incorporer les codes Nuvei dans votre propre page de paiement selon vos besoins.Intégration rapide et simple à 3DS2
- Connexion personnalisée
- Traitement complet des paiements
- Transactions 3DS 1 et 2 traitées de manière agnostique
- Prise en charge complète des devises internationales et des méthodes de paiement alternatives.
- Pas de redirection ou d'iFrame
Comment cela fonctionne-t-il ?
API REST
Il s'agit d'une connexion de serveur à serveur à notre moteur de paiement, qui offre un niveau d'intégration plus poussé aux développeurs. Elle est parfaite pour les entreprises qui ont besoin d'un contrôle total sur leur UX et UI et qui disposent des ressources nécessaires pour gérer un processus d'intégration plus complexe. Les commerçants restent entièrement responsables de leur PCI SAQ-D lorsqu'ils utilisent cette intégration. Elle est parfaite pour les entreprises qui choisissent de mettre en œuvre 3DS2 sur plusieurs acquéreurs.
- Portail pour les développeurs avec bac à sable pour les tests
- Des niveaux élevés de personnalisation
- Contrôle total du flux de travail de l'intégration
- Peut être utilisé en combinaison avec d'autres solutions
- Acquirer-agnostic
QUE PEUVENT FAIRE LES COMMERÇANTS POUR SE PRÉPARER À LA PSD2 ET À LA SCA ?
La préparation à la DSP2 nécessite des solutions de paiement qui sont à jour avec les nouvelles exigences réglementaires. Bien que cela puisse être facilité par un commerçant en interne, pour la plupart, la complexité des nouvelles réglementations nécessite un partenaire de paiement conforme à la norme 3DS et au SCA.
La technologie Nuvei est entièrement conforme à la DSP2, ce qui vous permet de vous désengager de la conformité et de vous concentrer sur votre activité principale. Prenez contact avec nous - nos représentants seront heureux de répondre à vos questions sur la conformité PSD2 et sur la manière dont vous pouvez éviter de vous laisser distancer.
