• Qu’est-ce que la DSP2?

    La deuxième Directive Européenne relative aux Services de Paiement (2015/2366 DSP2), entrée en vigueur en janvier 2018 et qui vise à assurer la protection des consommateurs pour tous les types de paiement, en promouvant un paysage de paiements encore plus ouverts et concurrentiels. En tant que fournisseur de services de paiement, Ingenico ePayments est fier d’être certifié selon la norme DSP2 depuis le 29 mai 2018.

    L'une des principales exigences de la DSP2 concerne l’authentification forte (SCA) qui sera requise pour toutes les transactions électroniques dans l'UE à partir du 14 septembre 2019. L’authentification forte exigera que les détenteurs de cartes s'identifient avec au moins DEUX des trois méthodes suivantes:

    • quelque chose qu’ils connaissent (code PIN, mot de passe,…)

    • quelque chose qu’ils possèdent (lecteur de carte, mobile,…)

    • quelque chose qu’ils sont (reconnaissance vocale, empreinte digitale,…)

    Cela signifie que vos clients ne pourront plus, en pratique, effectuer un paiement par carte en ligne en utilisant uniquement les informations figurant sur leurs cartes. Par exemple, ils devront valider leur identité via une application bancaire connectée à leur téléphone et nécessitant un mot de passe ou une empreinte digitale pour approuver leur achat.

    Plus d'informations sur DSP2 sont disponibles ici: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf


  • Quel est l'impact de DSP2 pour moi en tant que commerçant?

    Le 14 septembre, les règles d’authentification forte entreront en vigueur pour tous les paiements digitaux en Europe. À l'heure actuelle, les banques, les prestataires de services de paiement et les réseaux de cartes travaillent tous sur des solutions techniques qui répondront aux exigences de la DSP2. Pour accepter les paiements après le 14 septembre, vous devrez vous assurer que ces solutions techniques fonctionneront avec votre boutique en ligne.

    Afin d’accepter les paiements des plus grands réseaux de cartes au monde, Visa, Mastercard et Amex, il est impératif que vous ayez implémenté la solution de sécurité 3D-Secure pour votre boutique en ligne. Le 3D-Secure est utilisé depuis 2001 et vise à améliorer la sécurité des transactions par carte en ligne, mais une nouvelle version a été développée pour faciliter les exigences de l’authentification forte de la DSP2.

    Ingenico ePayments recommande d'utiliser 3D-Secure, car cela permet d'éviter les risque de fraude et vous dégage également de toute responsabilité en cas de fraude. À partir du 14 septembre, le 3D-Secure sera également nécessaire pour accepter les paiements des principales cartes.

  • Qu’est-ce que le nouveau 3D-Secure v2.1?

    La version 2 du 3D-Secure est une évolution des programmes 3D-Secure version 1 existants: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy et JCB J/Secure. Il est basé sur une spécification élaborée par EMVco. EMVCo a pour objectif de faciliter l'interopérabilité et l'acceptation mondiales des transactions de paiement sécurisées. Il est supervisé par les six organisations membres d’EMVCo - American Express, Discover, JCB, Mastercard, UnionPay et Visa - et soutenu par des dizaines de banques, marchands, processeurs, vendeurs et autres parties prenantes du secteur qui participent en tant qu’associés EMVCo.

    L'une des principales différences de la version 2 réside dans le fait que l'émetteur peut utiliser un grand nombre de données issues de la transaction afin de déterminer le risque de la transaction (analyse basée sur les risques). Pour les transactions à faible risque, les émetteurs ne contestent pas la transaction (par exemple, n'envoient pas de SMS au titulaire de la carte) bien qu'ils authentifient la transaction (transaction fluide – sans authentification forte). Inversement, pour les transactions à haut risque, les émetteurs exigeront que le titulaire de la carte s'authentifie avec un SMS ou un moyen biométrique (challenge) ou autre.

    Par ailleurs, l’authentification forte (SCA) requise en Europe à partir du 14 septembre 2019, comme spécifié dans DSP2, entraînera une augmentation substantielle du nombre de transactions nécessitant l'utilisation de l'authentification 3-D Secure. L'utilisation de la version 2 de 3-D Secure devrait limiter autant que possible l'impact négatif sur la conversion.

    En bref, 3-D Secure version 2 signifie:

    • Vous devrez implémenter le 3-D Secure avant le 14 septembre 2019 si vos transactions tombent sous les exigences relatives aux directives de l'UE PSD2 SCA (au cas où vous ne supporteriez pas déjà le 3-D Secure).

    • La transmission de données supplémentaires est conseillé (et dans certains cas requis) lors de l’envoie de la transaction pour soutenir l'évaluation des risques effectuée par l'émetteur dans le cas de 3-D Secure version 2.

    • Nous vous conseillons de vérifier si votre politique de confidentialité en ce qui concerne le GDPR est à jour, car vous pourriez partager des données supplémentaires avec des tiers.

    • Une expérience utilisateur bien meilleure pour vos clients

    Le marché s’attend à un pourcentage substantiel des transactions utilisant la version 2 de 3-D Secure qui suivra un flux fluide, ce qui n’exige rien de plus du détenteur de la carte par rapport aux flux de paiement actuels de la solution 3-D Secure. Cela signifie que vous bénéficiez d’une hausse en matière de sécurité et de transfert de responsabilité fourni par les programmes 3-D Secure, tandis que la conversion de votre procédé de check-out ne devrait pas être affectée négativement.

  • Quelle est la différence entre exemption et exclusion?

    Les exclusions sont des transactions qui n’entrent PAS dans l’application de la réglementation PSD2 (authentification forte):

    • Commande mail / commande téléphonique (MOTO)
    • Le PSP du marchant (aussi appelé l’acquéreur) ou le PSP de l’acheteur (aussi appelé le fournisseur de méthode de paiement de l’acheteur) est hors de la zone EEE.
    • Les cartes de paiement anonymes avec une valeur maximale de 150 € (article 63)
    • MIT - Transactions Initiées par le Marchant

    Les exemptions sont des transactions entrant DANS l'application de la réglementation PSD2 (authentification forte):

    • Transactions de faible valeur
    • Abonnements
    • Analyse de risque
    • Whitelisting

  • Quelles sont les exemptions pour SCA?

    Pour faciliter les choses à la fois pour les commerçants et les consommateurs, PSD2 permet certaines exemptions de l’authentification forte des clients. Il est important de noter que toutes les transactions qui qualifient pour une exemption ne seront pas automatiquement exemptées. Dans le cas de transactions par carte, par exemple, c’est la banque émettrice qui décide si une exemption est approuvée ou non. Ainsi, même si une transaction est éligible à une exemption, le client peut néanmoins être amené à effectuer une authentification forte, si la banque émettrice de la carte choisit de l’exiger.

    • Transactions de faible valeur
      Cette exemption sera très probablement la plus fréquemment utilisée. L'exemption indique que si un client effectue un achat de moins de 30 euros, il peut être dispensé de l'authentification forte du client. Cette exemption est limitée et si un client effectue cinq transactions de ce type à la suite ou atteint une valeur supérieure à 100 euros, une authentification forte du client sera toujours requise.

    • Abonnements
      Un autre type de transaction pouvant être exempté est le paiement récurrent et le paiement par abonnement pour lesquels la somme de chaque transaction est la même. Pour ces transactions, une authentification forte du client ne sera requise que lorsque le client s’inscrit pour la première fois pour l’abonnement et non pour chaque transaction individuelle.
    • Analyse de risque
      Des exemptions peuvent également être accordées sur la base de ce que l’on appelle «analyse du risque de transaction». Cette exemption a une limite en termes de valeur transactionnelle et ne peut être appliquée que si l'acquéreur a un taux de fraude suffisamment bas pour ce type de transaction.
    • Whitelisting
      Un dernier type d'exemption s'appelle l’inscription sur la liste blanche. Whitelisting signifie qu'un détenteur de carte peut enregistrer certains marchands comme «dignes de confiance» auprès de la banque émettrice de leur carte. Ce faisant, ils ne seront pas obligés d’effectuer une authentification forte du client lorsqu’ils paieront à ce destinataire spécifique, sous réserve du contrat bancaire avec l’émetteur.

  • Quand Ingenico ePayments sera-t-il prêt?

    L’Autorité bancaire européenne (ABE) et les banques nationales de chaque pays affecté ont convenu d’un sursis (jusqu’en mars 2020 au minimum). Ceci permet à chaque acteur du secteur de l’e-commerce de comprendre tous les aspects relatifs à cette nouvelle réglementation. Nous vous conseillons toutefois d’activer 3DS sur tous vos comptes dès que possible.

    Notre environnement TEST étant prêt, nous vous conseillons de commencer à tester votre intégration dès que possible.

    Cliquez ici si vous utilisez la page Ingenico eCommerce. Cliquez ici si vous utilisez votre propre page.



  • Les références/la carte sur fichier (COF) font-elles partie de la liste d’exclusions/d’exceptions?
    La COF en résumé : le client effectue une première transaction avec un commerçant via 3D-S (CIT). À partir de cette première expérience, le commerçant est en mesure d’effectuer des transactions récurrentes (abonnement ou avec l’autorisation du client -> création d’un jeton), identifiées en tant que transactions MIT.

    Les MIT font partie des exceptions envisagées avec la 3DSv2., si elles remplissent toutes les conditions suivantes:
    • transactions ultérieures à une CIT initiale  
    • La CIT a été effectuée avec une authentification obligatoire
    • Un lien d’identification dynamique est créé entre la CIT initiale et les MIT ultérieures
    Après l’authentification initiale, des exceptions/exclusions s’appliquent:
    • Soit en raison d’exceptions légales récurrentes qui s’appliquent aux abonnements avec un montant et une périodicité fixes (il est conseillé aux commerçants d’authentifier le montant total et de fournir le détail du nombre de paiements autorisés avec les détenteurs de carte)
    • Soit parce que les autres types de transactions sont exclues du périmètre de la SCA... au risque exclusif du commerçant en cas de débit rejeté (protection limitée au montant authentifié) ET besoin pour l’émetteur d’accepter ce risque :
      • COF non programmée: le principe des transactions ultérieures est convenu avec le détenteur de la carte, mais le montant et/ou la périodicité n’est pas fixé(e)
      • Pratiques sectorielles: progressif, absence de présentation, etc...

    Pour la période de transition, les programmes ont défini une identification par défaut à utiliser pour les MIT ultérieures créées avant l’introduction de la 3DS v2.

  • Que dois-je faire pour respecter le PSD2 et la SCA?
    Tout d’abord, veillez à ce que le système 3-DS soit activé sur votre boutique en ligne pour tous les moyens de paiement (Visa, MasterCard, American Express, Carte Bancaire, JCB). Vérifiez que c’est bien le cas. Dans le cas contraire, veuillez contacter notre service support pour l’activer.

    Étant donné que la version 2 de 3-D Secure (3DSv2) a pour objectif d’accorder à la banque émettrice le déclencheur Strong Customer Authentication (SCA), la banque émettrice doit mieux évaluer le risque inhérent à la transaction. En conséquence, la spécification 3DSv2 contient de nombreux éléments de données. Bonne nouvelle si vous utilisez notre outil anti-fraude, car certains d’entre eux sont déjà largement utilisés dans le cadre de notre filtrage anti-fraude !  Bien sûr, certains sont nouveaux et propres à 3-D Secure v2. Pour résumer, les éléments de données peuvent être classés comme suit:
    • Informations obligatoires – données du navigateur:
        • Intégration avec les paniers d’achat?
          Nous vous invitons à vous rendre sur la plateforme d’achat du panier pour installer la dernière version du plugin Ingenico ePayments ou à contacter votre fournisseur directement.
        • Si vous utilisez notre page eCommerce, les informations obligatoires sont recueillies par Ingenico ePayments. Vous pouvez directement consulter les informations recommandées ci-dessous.
        • SI vous utilisez votre propre page de paiement, vous devez recueillir les informations obligatoires vous-même comme suit. Nous vous conseillons de consulter notre page d’aide pour découvrir comment et pour voir un exemple de java script.
    • Informations recommandées – elles peuvent être utilisées dans le cadre du filtrage de prévention anti-fraude:
        • Nom du titulaire de la carte (CN)
        • Email (EMAIL)
        • Adresse IP (REMOTE_ADDR)
        • Numéro de téléphone (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber ...)
        • Adresse de facturation (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 ...)
        • Adresse de livraison (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 ...)
      • Veuillez noter que les paramètres recommandés/facultatifs doivent être fournis pour bénéficier du flux sans frictions qui peut augmenter votre conversion.
    • Informations facultatives – données complémentaires sur le détenteur de la carte/compte telles que présentées par EMVCo:
        • Mpi.cardholderAccountAgeIndicator
        • Mpi.cardholderAccountChange
        • Mpi.cardholderAccountPasswordChange
        • Mpi.suspiciousAccountActivityDetected
        • Mpi.threeDSRequestorChallengeIndicator

    Nos API existantes capturent déjà de nombreux éléments de données, mais nous en ajoutons de nouveaux. Nous pensons en effet que tous les participants de l’écosystème de paiement bénéficient d’une sécurité améliorée avec un impact négatif sur l’expérience client réduit. Les paiements se basent sur la confiance et en fournissant davantage de données, les parties auront tendance à se faire confiance plus facilement, tout en éliminant les difficultés supplémentaires éventuelles liées à l’authentification du client. Presque tous les éléments de données nouvellement ajoutés sont facultatifs, mais nous vous conseillons d’en fournir le plus possible. Cela permet de favoriser l’intégration de vos transactions dans le flux sans frictions, tout en bénéficiant de la transition des responsabilités. Dans le cas où vous utilisez la page de paiement hébergée par Ingenico ePayments, nous capturerons les données associées au navigateur automatiquement.

    Le niveau des modifications requises varie en fonction du type d’intégration dont vous bénéficiez avec Ingenico ePayments.

  • Puis-je commencer à implémenter et effectuer des tests?

    Oui, notre plate-forme de test est prête pour supporter les tests. Un simulateur est disponible pour créer tous les scénarios de tests.

    Des cartes de test ont été fournies et peuvent être trouvées sur le site de support ainsi que dans l'environnement TEST (Configuration > Information technique > Info de test).

  • Comment puis-je capturer des données supplémentaires pour SCA?

    Si vous utilisez notre page page de paiement Ingenico ePayments Ingenico ePayments s’occupera de tous les champs obligatoires.

    Si vous êtes intégré en DirectLink, ce qui signifie que vous avez votre propre page de paiement, nous avons un exemple Javascript disponible sur la page de support pour collecter les données obligatoires.

    Pour la collecte facultative d'informations, reportez-vous à notre page de support pour savoir comment intégrer avec Ingenico ePayments.


  • Pourrions-nous fournir une authentification sécurisée effectuée sur un autre MPI que le Ingenico ePayments?
    Non et ce n’est pas non plus prévu.
  • Que se passe-t-il si le commerçant n’envoie pas les champs obligatoires de la V2?

    Cette situation est possible uniquement si vous êtes intégré via DirectLink seulement (page du commerçant / FlexCheckOut), en tant que Ingenico ePayments page de paiement hébergée, Ingenico ePayments recueille les données obligatoires.

    Tout d’abord, Ingenico ePayments identifiera le flux à rediriger vers la v1 ou la v2 en fonction du numéro de la carte.

    Si la carte est associée à la V2, les cas suivants peuvent se produire: 

    Données obligatoires:

    • Si des données erronées sont transmises, la transaction est bloquée
    • S’il manque des données, Ingenico ePayments redirigera votre transaction vers le flux de la v1
    • Si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais redirigée vers le flux de la v1
    Données recommandées ou facultatives:
    • si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais elle ne peut pas bénéficier de l’exception.
  • Que dois-je savoir sur le PSD2 et le partage de données personnelles (GDPR)?
    3DSv2 invite les marchands à envoyer des informations supplémentaires (obligatoire / recommandé..). Tout ce que vous devez savoir, en tant que marchand peut être trouvé ici:
  • Ma certification PCI a moins d'un an. Dois-je la repasser si je change d'acquéreur?
    Votre certificat PCI est valide pour un an et est conforme pour tout acquéreur.
  • Que se passe-t-il si l’émetteur n’est pas prêt ?
    Dans un tel cas, Ingenico ePayments gérera automatiquement une procédure de secours vers 3-D Secure v1.
  • Que se passe-t-il si 3-D Secure n’est pas activé sur le compte du marchand ?
    Si l’émetteur applique la nouvelle procédure PSD2 et que 3DS n’est pas activé dans le compte du marchand, la transaction sera refusée. Par conséquent, veuillez vous assurer que 3DS est actif pour chaque marque de votre(vos) compte(s).
  • Que se passe-t-il si le marchand demande 3-D Secure et que la banque émettrice ne le déclenche pas ?
    À moins que l’authentification soit une étape obligatoire (c.-à-d. en cas d’enregistrement de carte ou de transaction initiale d’une série de transactions récurrentes), les émetteurs peuvent décider de transmettre l’authentification. Dans ce type de scénario, l’émetteur sera responsable en cas de rejet de débit.
  • Combien de cartes seront compatibles avec 3DSv2 d’ici le 14 septembre 2019 ?
    Étant donné que les émetteurs ne nous ont pas encore communiqué de données fiables, nous ne disposons pas d’informations à ce sujet. MasterCard réalise actuellement des sondages en Europe, mais les résultats sont susceptibles de varier sensiblement d’un pays à l’autre.  La situation continuera d’évoluer jusqu’à septembre. En janvier 2019, seuls 2/3 des émetteurs avaient achevés la certification EMVCo v2.1 et dans la liste des émetteurs, la prise en charge des exceptions variait entre 80 % (récurrent) et 50 % (liste blanche).
  • Comment puis-je savoir si une transaction a été effectuée avec Secure v1 ou v2 ?
    Avec le lancement de la plateforme en juillet, nous avons amélioré les détails relatifs à l’aperçu des transactions. Les transactions individuelles accessibles contiennent à présent des informations détaillées sur le flux qui a été utilisé (3DS v1 historique ou 3DS v2). Vous trouverez plus d’informations dans nos notes de version 04.133 dans le back-office par le biais de Assistance > Versions de la plateforme > Version 04.133

    En outre, nous avons ajouté le nouveau paramètre VERSION_3DS à notre outil de reporting électronique.

    Les valeurs possibles pour VERSION_3DS sont

    V1 (pour 3DS v1)
    V2C (pour 3DS v2 avec flux avec processus d’identification)
    V2F (pour 3DS v2 avec flux frictionless) 

    Pour ajouter ce paramètre au téléchargement de vos fichiers de transaction, suivez les instructions fournies dans cette vidéo :

  • Quand Ingenico ePayments sera-t-il prêt pour le 3DS v2.2 ?
    Nous ne pouvons pas encore vous fournir de calendrier pour l’introduction de cette version de 3DS. En fonction des évolutions futures et de l’arrivée à maturité de la v2.1 sur le marché, nous espérons introduire la v2.2 vers le 3e trimestre en 2020.
  • Une carte 3DS V2 aura-t-elle le même délai de réponse ou le délai sera-t-il plus long ?
    Étant donné que 3DSv2 introduit une authentification frictionless, il est possible que le temps de traitement d’une transaction soit réduit. À l’inverse, si une authentification approfondie du client (Strong Customer Authentifcation) est demandée, le temps de traitement pourrait être plus long.
  • Quel est le calendrier pour l’introduction de 3DSv2 en France ?
    Puisque cela est tributaire de la volonté de l’acquéreur, la disponibilité de 3DSv2 dépendra des acquéreurs individuels. 
    La plupart des acquéreurs français prendront en charge l’authentification approfondie des clients d’ici le 14 septembre 2019, mais pas les exceptions. L’introduction des exceptions sera mise à disposition par les acquéreurs individuels entre octobre 2019 et mars 2020.
  • Que signifie « ajouter valeur de la carte » ?
    Ajouter valeur de la carte (Add Card Value) fait référence au cas où un fournisseur de portefeuille utilise le protocole 3DS pour ajouter une carte à son portefeuille. Cette procédure sera mise en œuvre par le fournisseur de portefeuille concerné.
  • Quelle est la différence entre 3DS v2.1 et v2.2 ?

    La dernière version en date comprend :

    • La poursuite de la promotion du flux frictionless
      1. Une communication améliorée entre les marchands et les émetteurs pour maximiser les exceptions disponibles pour SCA.
      2. Élargissement des données existantes pour promouvoir la communication des événements d’authentification avant la procédure de paiement et prendre en charge les normes FIDO Alliance.
    • Deux nouvelles fonctionnalités qui offrent une possibilité d’authentification hors ligne pour divers scénarios de transaction, y compris les transactions MOTO (commandes par courrier et téléphone) :
      1. L’ajout des paiements 3DS initiés par le demandeur (3RI). Cette fonctionnalité donne la possibilité à un marchant d’initier une transaction même si le détenteur de la carte n’est pas présent. Ce canal prenait précédemment en charge uniquement les transactions sans paiement pour la v2.1.0
      2. L’intégration de la nouvelle méthode d’identification avec « authentification découplée ». Cette méthode permet l’identification du titulaire de la carte lorsque le détenteur de la carte est hors ligne. Cependant, cette méthode d’authentification peut aussi être utilisée si le détenteur de la carte est en ligne par le biais des canaux navigateur et application
    • Améliorations apportées à l’expérience de l’utilisateur et aux flux de paiement
    • Améliorations du processus de mise en cache EMV 3DS par le biais de données supplémentaires dans les cycles PReq/PRes
Ingenico ePayments est la division de commerce mobile et en ligne du groupe Ingenico. Nous connectons les commerçants avec les consommateurs, permettant à toutes les entreprises, où qu’elles soient, de franchir les frontières existantes, et créant ainsi l’avenir du commerce mondial. En tant que leader du secteur depuis 1994, notre esprit d’innovation nous propulse en avant sur l’ensemble des canaux de vente. Nous sommes le partenaire de confiance de plus de 65 000 commerçants de toutes tailles qui comptent sur nous pour faciliter et sécuriser les paiements de leurs clients. Grâce à notre système avancé d’analyse de données, nos solutions de gestion des fraudes et notre expertise commerciale internationale, nous aidons les commerçants à optimiser leurs activités et à se développer sur de nouveaux marchés dans le monde entier.

Ce site utilise les cookies pour être capable de vous donner la meilleure expérience utilisateur. Si vous ne souhaitez pas accepter ces cookies, nous vous permettons de modifier les paramètres des cookies. Cliquez sur «Accepter» pour permettre tous les cookies de ce site.

Paramètres des cookies

Introduction

Fonctionnels

Les cookies fonctionnels assurent le bon fonctionnement du site et ne peuvent pas être désactivés.

Optimisés

Les cookies d'optimisation nous permettent d'analyser l'utilisation du site afin de l'améliorer.
C'est le niveau par défaut.

Personnalisés

Les cookies de personnalisation, utilisés pour les médias sociaux et la personnalisation avancée, nous permettent d'afficher vos informations en lien avec votre société.


Exemple de fonctionnalité autorisée

  • Mémorisation du pays préféré
  • Mémorisation de la langue préférée

Exemple de fonctionnalité non autorisée

  • Enregistrement des données personnelles des utilisateurs
  • Suivi anonyme via Google Analytics
  • Suivi à des fins de remarketing

Exemple de fonctionnalité autorisée

  • Mémorisation du pays préféré
  • Mémorisation de la langue préférée
  • Suivi anonyme via Google Analytics

Exemple de fonctionnalité non autorisée

  • Enregistrement des données personnelles des utilisateurs
  • Suivi à des fins de remarketing

Exemple de fonctionnalité autorisée

  • Mémorisation du pays préféré
  • Mémorisation de la langue préférée
  • Suivi anonyme via Google Analytics
  • Affichage de contenus en fonction de vos intérêts
  • Affichage de publicités en fonction de vos intérêts
  • Suivi à des fins de remarketing

Exemple de fonctionnalité non autorisée

  • Enregistrement de données personnelles