Laatst gewijzigd 19/06/2014

1. 3-D Secure v1.0

1.1 Inleiding

**Versie 1 van deze handleiding wordt uiterlijk in april 2019 gepubliceerd**

Met het 3-D Secure-protocol kan de kaarthouder geïdentificeerd worden tijdens het aankoopproces. De kaarthouder moet tijdens het identificatieproces met het internet verbonden zijn. 3-D Secure werkt dan ook niet voor betalingen via callcenters of periodieke betalingen.

Visa implementeerde het 3-D Secure-protocol onder de naam Verified By Visa, MasterCard onder de naam SecureCode, JCB onder de naam J-Secure en American Express onder de naam SafeKey.

Het principe achter de integratie van DirectLink met 3-D Secure is dat de betaling wordt gestart in DirectLink-modus en wordt voltooid in e-Commerce-modus indien om authenticatie van de kaarthouder wordt verzocht.

Dit document beschrijft de integratie van het 3-D Secure-protocol in DirectLink. Meer informatie over DirectLink en e-Commerce vindt u in de documentatie over DirectLink en e-Commerce.

De transactie verloopt volgens onderstaande stappen:

  1. U stuurt ons een DirectLink-verzoek voor de transactie, dat enkele bijkomende parameters bevat (zie Bijkomende verzoekparameters).
  2. Ons systeem ontvangt het kaartnummer in uw verzoek en controleert online of de kaart is geregistreerd in de VISA/MasterCard/JCB/AmEx-directory (geregistreerd betekent dat voor dat kaartnummer identificatie mogelijk is, met andere woorden dat het om een 3-D Secure-kaart gaat).
  3. Als de kaarthouder geregistreerd is, bevat het antwoord op het DirectLink-verzoek een specifieke betalingsstatus en HTML-code die moet worden teruggestuurd naar de klant om het identificatieproces te starten (zie Bijkomende retourvelden). Het blok HTML-code start automatisch het identificatieproces tussen de kaarthouder (de klant) en de bank die zijn kaart heeft uitgegeven.
  4. De kaarthouder identificeert zich op de pagina van de uitgevende bank.
  5. Ons systeem ontvangt het identificatie-antwoord van de uitgever.
  6. Als de identificatie is geslaagd, stuurt ons systeem de eigenlijke financiële transactie naar de acquirer.
  7. U ontvangt het resultaat van het volledige identificatie- en online autorisatieproces via de feedbackkanalen in e-Commerce-modus.

Opmerkingen:

  • Of er overdracht van aansprakelijkheid is, hangt af van uw overeenkomst met uw acquirer. Wij raden u dan ook aan om de voorwaarden te controleren bij uw acquirer.
  • Als de kaarthouder niet geregistreerd is (in stap 3), ontvangt u het standaard DirectLink -XML-antwoord met het resultaat van het online autorisatieproces.
  • Om de precieze betalingsstatus/foutcodes te ontvangen (in stap 7), moet u de online of offline feedback na verkoop activeren zoals beschreven in de e-Commerce documentatie.

Behalve de standaard DirectLink-parameters moet u ook de volgende informatie versturen:

Veld Beschrijving
FLAG3D

Vaste waarde: "Y"

Geeft ons systeem de opdracht om 3-D Secure-identificatie uit te voeren indien nodig.
HTTP_ACCEPT Het veld Accept in de verzoekheader in de browser van de kaarthouder wordt gebruikt om bepaalde mediatypes te specificeren die aanvaard worden voor het antwoord. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld:
Accept: */*
HTTP_USER_AGENT Het veld User-Agent in de verzoekheader in de browser van de kaarthouder bevat informatie over de agent van de gebruiker van wie het verzoek uitgaat. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld: User-Agent: Mozilla/4.0 (compatibel; MSIE 6.0; Windows NT 5.0)
WIN3DS

Hoe de identificatiepagina aan de klant wordt getoond. Mogelijke waarden:

  • MAINW: om de identificatiepagina in het hoofdvenster weer te geven (standaardwaarde).
  • POPUP: om de identificatiepagina weer te geven in een pop-upvenster en nadien terug te keren naar het hoofdvenster.
  • POPIX: om de identificatiepagina weer te geven in een pop-upvenster en nadien in het pop-upvenster te blijven.
ACCEPTURL De URL van de webpagina die aan de klant wordt getoond als de betaling werd geautoriseerd (of wacht op autorisatie).
DECLINEURL De URL naar waar de klant wordt doorgestuurd wanneer het maximale aantal mislukte autorisatiepogingen is bereikt (standaard 10, maar kan worden gewijzigd op de pagina ‘Technical Information’ (Technische informatie), in de sectie ‘Payment retry’ (Betaalpogingen) van het tabblad ‘Global transaction parameters’ (Algemene transactieparameters).
EXCEPTIONURL De URL van de webpagina die aan de klant wordt getoond als het resultaat van de betaling onzeker is.
PARAMPLUS Veld om de diverse parameters en hun waarden te versturen die u vermeld wilt zien in het verzoek na verkoop of de uiteindelijke doorverwijzing.
COMPLUS Veld om een waarde te versturen die u vermeld wilt zien in het verzoek na verkoop of de output.
LANGUAGE De taal van de klant, bijvoorbeeld: "en_US"
Optioneel
TP Om de opmaak van de pagina ‘order_A3DS’ te wijzigen, kunt u via deze parameter de naam of URL van een template versturen (ga naar e-Commerce: Dynamische sjabloon).

Ga voor meer informatie naar Transactiefeedback.

Als de kaarthouder niet geregistreerd is, wordt het normale DirectLink-antwoord teruggestuurd. Als de kaarthouder geregistreerd is, worden volgende (bijkomende) velden teruggestuurd:

Veld Beschrijving
STATUS
Nieuwe waarde: "46" (wacht op identificatie).
HTML_ANSWER

HTML-code in BASE64-codering die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de klant.

Deze tag wordt toegevoegd als subtag van de algemene XML-tag <ncresponse>. Het veld HTML_Answer bevat HTML-code die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de browser van de klant.

Deze code laadt automatisch de identificatiepagina van de uitgevende bank in een pop-upvenster of in het hoofdvenster, naargelang de waarde van parameter WIN3DS.

Om te voorkomen dat de HTML-tags in de inhoud van de XML-tag HTML_ANSWER interfereren met de rest van de XML die wordt teruggestuurd als antwoord op het DirectLink-verzoek, wordt de inhoud van HTML_ANSWER door ons systeem BASE64-gecodeerd voordat het antwoord wordt teruggestuurd. Die inhoud moet bijgevolg BASE64-geDEcodeerd worden voor hij wordt toegevoegd aan de HTML-pagina die naar de kaarthouder wordt gestuurd.
Testkaarten

Met de volgende testkaarten kunt u een 3-D Secure-geregistreerde kaart simuleren in onze testomgeving:

Merk Kaartnummer Vervaldatum Wachtwoord
VISA 4000000000000002 Willekeurige datum in de toekomst
11111
MasterCard 5300000000000006 Willekeurige datum in de toekomst
11111
American Express 371449635311004 Willekeurige datum in de toekomst
11111
Foutieve identificatie

Als een transactie wordt geblokkeerd wegens foutieve identificatie is het transactieresultaat:

STATUS = 0

NCSTATUS = 5

NCERROR = 40001134

2. 3-D Secure v2.0 (Beschikbaar vanaf april 2019)

2.1 Introduction

In 2013 publiceerde de Europese Commissie een voorstel voor de herziene versie van de richtlijn betreffende betalingsdiensten, die PSD2 (Payment Services Directive) wordt genoemd. Hiermee werd de verwerking van betalingen vereenvoudigd en werden de regels en voorschriften inzake betalingsdiensten in de EU ingevoerd. Zo ontstond de behoefte aan een nieuwe versie van 3-D Secure; v2.1.

De grootste verandering is dat u als merchant wordt gevraagd om meer gegevens te delen: uitgevers hebben gegevenspunten nodig zodat ze een nauwkeurige beslissing kunnen nemen, wat uiteindelijk leidt naar een vlotte afhandeling. Maar u bent degene die de eigenlijke gegevens verzamelt. Met 3DS v2 wordt de risicobeoordeling doeltreffender uitgevoerd, maar daarvoor moet het hele systeem veranderen, zodat u de gegevens kunt doorgeven aan de uitgever. 

De transactie omvat de volgende stappen:

1. U stuurt ons een DirectLink-request voor de transactie met een aantal bijkomende parameters.

Deze parameters kunnen worden ingedeeld in drie groepen:>

a. Verplichte parameters die moeten worden vastgelegd op de betaalpagina waar de kaarthouder de kaartgegevens invoert.

Parameter Beschrijving
browserAcceptHeader

Exacte inhoud van de HTTP accept-headers zoals die van de browser van de kaarthouder naar de merchant verzonden werden.

browserColorDepth Waarde die de bitdiepte aanduidt van het kleurenpalet dat afbeeldingen weergeeft, in bits per pixel. Verkregen van de browser van de kaarthouder door middel van de kleurdiepte-eigenschap.
browserJavaEnabled Boolean die aanduidt of de browser van de kaarthouder Java kan uitvoeren. Waarde wordt teruggezonden vanuit de eigenschap "navigator javaEnabled".
browserLanguage Waarde die de taal van de browser aanduidt zoals gedefinieerd wordt in IETF BCP47. Teruggezonden vanuit de eigenschap "navigatortaal".
browserScreenHeight Totale hoogte van het scherm van de kaarthouder in pixels. Waarde wordt teruggezonden vanuit de eigenschap "schermhoogte".
browserScreenWidth Totale breedte van het scherm van de kaarthouder in pixels. Waarde wordt teruggezonden vanuit de eigenschap "schermbreedte".
browserTimeZone Tijdsverschil tussen UTC-tijd en de lokale tijd van de browser van de kaarthouder, in minuten.
browserUserAgent Exacte inhoud van de HTTP useragent header.

Opmerking: vergeet alsjeblieft niet om de parameters in je SHA-handtekening te berekenen.

b. Vereiste bijkomende parameters Bijkomende verzoekparameters).

c. Optionele bijkomende parameters (lijst met parameters) die, als ze worden opgestuurd, een positieve impact hebben op de conversie van de transacties. Afhankelijk van de informatie in deze parameters kan er mogelijk een vlotte authenticatie plaatsvinden, waarbij de kaarthouder zich niet meer moet authenticeren en zo de transactie sneller wordt afgerond. Als er echter geen van deze parameters worden doorgegeven, dan wordt de gebruikelijke omleiding voor de authenticatie uitgevoerd.

Ons systeem ontvangt het kaartnummer in uw verzoek en controleert online of de kaart is geregistreerd in de VISA/MasterCard/JCB/AmEx-directory (geregistreerd betekent dat voor dat kaartnummer identificatie mogelijk is, met andere woorden dat het om een 3-D Secure-kaart gaat).

2. Als de kaarthouder wordt geregistreerd, zijn er, afhankelijk van het antwoord van het programma en indien de bijkomende parameters van 1.c (Optionele bijkomende parameters-lijst met parameters) hierboven al dan niet werden doorgegeven (gegeven als de kaarthouder is geregistreerd voor 3-D Secure), twee soorten authenticatie mogelijk:

2.1. Een vlotte authenticatie: De kaarthouder hoeft zichzelf niet fysiek te authenticeren omdat de authenticatie op de achtergrond heeft plaatsgevonden zonder hun invoer. In dit geval is de schuldverschuiving bij de uitgevende bank.

2.2. Een authenticatie met challenge: De kaarthouder moet zich verder identificeren.

i. Het antwoord aan het DirectLink-request bevat een specifieke betaalstatus en een html-code die moet worden teruggestuurd naar de klant om het identificatieproces in gang te zetten (cf. Bijkomende retourvelden). De blok html-code zal het identificatieproces tussen de kaarthouder (klant) en zijn uitgevende bank automatisch in gang zetten.

ii. De kaarthouder identificeert zich op de pagina van de uitgevende bank.

iii. Ons systeem ontvangt het identificatie-antwoord van de uitgever.

iv. Als de identificatie is geslaagd, stuurt ons systeem de eigenlijke financiële transactie naar de acquirer.
3. U ontvangt het resultaat van het volledige identificatie- en online autorisatieproces via de feedbackkanalen in e-Commerce-modus.

Behalve de standaard DirectLink-parameters moet u ook de volgende informatie versturen:

Veld Beschrijving
FLAG3D

Vaste waarde: "Y"

Geeft ons systeem de opdracht om 3-D Secure-identificatie uit te voeren indien nodig.
HTTP_ACCEPT Het veld Accept in de verzoekheader in de browser van de kaarthouder wordt gebruikt om bepaalde mediatypes te specificeren die aanvaard worden voor het antwoord. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld:
Accept: */*
HTTP_USER_AGENT Het veld User-Agent in de verzoekheader in de browser van de kaarthouder bevat informatie over de agent van de gebruiker van wie het verzoek uitgaat. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld: User-Agent: Mozilla/4.0 (compatibel; MSIE 6.0; Windows NT 5.0)
WIN3DS

Hoe de identificatiepagina aan de klant wordt getoond. Mogelijke waarden:

  • MAINW: om de identificatiepagina in het hoofdvenster weer te geven (standaardwaarde).
  • POPUP: om de identificatiepagina weer te geven in een pop-upvenster en nadien terug te keren naar het hoofdvenster.
  • POPIX: om de identificatiepagina weer te geven in een pop-upvenster en nadien in het pop-upvenster te blijven.
ACCEPTURL De URL van de webpagina die aan de klant wordt getoond als de betaling werd geautoriseerd (of wacht op autorisatie).
DECLINEURL De URL naar waar de klant wordt doorgestuurd wanneer het maximale aantal mislukte autorisatiepogingen is bereikt (standaard 10, maar kan worden gewijzigd op de pagina ‘Technical Information’ (Technische informatie), in de sectie ‘Payment retry’ (Betaalpogingen) van het tabblad ‘Global transaction parameters’ (Algemene transactieparameters).
EXCEPTIONURL De URL van de webpagina die aan de klant wordt getoond als het resultaat van de betaling onzeker is.
PARAMPLUS Veld om de diverse parameters en hun waarden te versturen die u vermeld wilt zien in het verzoek na verkoop of de uiteindelijke doorverwijzing.
COMPLUS Veld om een waarde te versturen die u vermeld wilt zien in het verzoek na verkoop of de output.
LANGUAGE De taal van de klant, bijvoorbeeld: "en_US"
Optioneel
TP Om de opmaak van de pagina ‘order_A3DS’ te wijzigen, kunt u via deze parameter de naam of URL van een template versturen (ga naar e-Commerce: Dynamische sjabloon).

Ga voor meer informatie naar Transactiefeedback.

Als de kaarthouder niet geregistreerd is, wordt het normale DirectLink-antwoord teruggestuurd. Als de kaarthouder geregistreerd is, worden volgende (bijkomende) velden teruggestuurd:

Veld Beschrijving
STATUS
Nieuwe waarde: "46" (wacht op identificatie).
HTML_ANSWER

HTML-code in BASE64-codering die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de klant.

Deze tag wordt toegevoegd als subtag van de algemene XML-tag <ncresponse>. Het veld HTML_Answer bevat HTML-code die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de browser van de klant.

Deze code laadt automatisch de identificatiepagina van de uitgevende bank in een pop-upvenster of in het hoofdvenster, naargelang de waarde van parameter WIN3DS.

Om te voorkomen dat de HTML-tags in de inhoud van de XML-tag HTML_ANSWER interfereren met de rest van de XML die wordt teruggestuurd als antwoord op het DirectLink-verzoek, wordt de inhoud van HTML_ANSWER door ons systeem BASE64-gecodeerd voordat het antwoord wordt teruggestuurd. Die inhoud moet bijgevolg BASE64-geDEcodeerd worden voor hij wordt toegevoegd aan de HTML-pagina die naar de kaarthouder wordt gestuurd.
Testkaarten

Met de volgende testkaart kunt u een 3-D Secure-geregistreerde kaart simuleren in onze testomgeving:

Vlotte authenticatie
Merk Kaartnummer Vervaldatum
VISA 4186455175836497 Willekeurige datum in de toekomst
Mastercard
5137009801943438 Willekeurige datum in de toekomst
American Express
375418081197346 Willekeurige datum in de toekomst

Authenticatie met challenge
Merk Kaartnummer Vervaldatum
VISA 4874970686672022 Willekeurige datum in de toekomst
Mastercard
5130257474533310 Willekeurige datum in de toekomst
American Express
379764422997381 Willekeurige datum in de toekomst
Foutieve identificatie

Als een transactie wordt geblokkeerd wegens foutieve identificatie is het transactieresultaat:

STATUS = 0

NCSTATUS = 5

NCERROR = 40001134

Deze website maakt gebruik van cookies om u de beste gebruikerservaring te kunnen geven. Als u deze cookies niet wilt accepteren, laten wij u toe om de cookie-instellingen te wijzigen. Klik op 'Aanvaarden' om alle cookies van deze website toe te staan. 

Cookie settings

Introductie

Functioneel

Functionele cookies zijn nodig om de website correct te laten werken. Die cookies kunnen niet worden uitgeschakeld.

Geoptimaliseerd

Met optimalisatiecookies kunnen we het gebruik van de website analyseren, zodat we deze kunnen meten en verbeteren.
Dit is het standaard niveau.

Gepersonaliseerd

Personalisatiecookies worden gebruikt voor sociale media en geavanceerde personalisatie. Hiermee kunnen we u informatie laten zien die betrekking heeft op uw bedrijf.


Voorbeelden van ondersteunde functionaliteit

  • Landvoorkeur opslaan
  • Taalvoorkeur opslaan

Voorbeelden van niet-toegestane functionaliteit

  • Persoonlijke informatie over uw bezoek opslaan
  • Anonieme tracering via Google Analytics
  • Tracering voor marketingdoeleinden

Voorbeelden van ondersteunde functionaliteit

  • Landvoorkeur opslaan
  • Taalvoorkeur opslaan
  • Anonieme tracering via Google Analytics

Voorbeelden van niet-toegestane functionaliteit

  • Persoonlijke informatie over uw bezoek opslaan
  • Tracering voor marketingdoeleinden

Voorbeelden van ondersteunde functionaliteit

  • Landvoorkeur opslaan
  • Taalvoorkeur opslaan
  • Anonieme tracering via Google Analytics
  • Inhoud weergeven die aansluit op uw interesses
  • Advertenties weergeven die aansluiten op uw interesses
  • Tracering voor marketingdoeleinden

Voorbeelden van niet-toegestane functionaliteit

  • Persoonlijke gegevens opslaan