1. Introduction

Il n’y a rien de pire que d’être confronté à de la fraude en ligne. C’est pourquoi Paypage. prend la fraude très au sérieux. Notre Fraud Expert Checklist vous propose davantage de contrôle et d’informations pour faire passer avec succès votre stratégie de lutte contre la fraude au niveau supérieur.

Fraud Expert Checklist est capable de:

  • Créer des règles dans une liste de contrôle qui a été adaptée sur mesure aux besoins de votre entreprise et de votre secteur. Ces règles contribuent à identifier des transactions potentiellement risquées. Une fois ces transactions identifiées, vous décidez quelle mesure prendre.
  • Tirez profit des renseignements tirés des données (data intelligence) pour détecter les menaces de fraude en temps réel.
  • Vous fournir un deuxième avis d’expert pour prendre des décisions plus rapidement et avec plus de précision.

L’un des principaux avantages de notre solution automatisée est qu’elle vous permet de gagner un temps précieux, de traiter rapidement la plupart de vos transactions tout en gardant vos clients satisfaits ! 

2. Avant de commencer

Pour commencer, assurez-vous que la Fraud Detection Module Advanced Checklist (ID: CAP 1) a été activée. Vous pouvez le faire en vous rendant sous Configuration > Account > Your options dans votre compte.

3. Gérer les paramètres 3DS

3-D Secure (3DS) est un protocole de lutte contre la fraude conçu de façon à améliorer votre sécurité ainsi que celle de vos clients. Vous trouverez plus d’informations au sujet de 3DS dans nos FAQ

3DSecure

Une fois votre abonnement de lutte contre la fraude activé, vous pouvez configurer vos paramètres 3DS. Allez dans Advanced Fraud detection. 3DS doit être configuré individuellement pour chaque méthode de paiement. Sous 3-D Secure, sélectionnez une méthode de paiement en cliquant sur EDIT.

Vous verrez une liste de mesures parmi lesquelles vous pouvez choisir.

3DS Check

Le tableau ci-dessous offre un aperçu des mesures reprises sur la page et de ce qu’elles veulent dire.

Mesures Explication

Continuer/interrompre la transaction si un problème technique empêche de se connecter au répertoire de American Express durant la vérification de l'enrôlement 3D-Secure.

Il est préférable de configurer cette option si nous ne pouvons pas nous connecter au registre 3DS du type de carte/dispositif concerné. 

Continuer/interrompre la transaction si le système d'identification du titulaire est temporairement indisponible.

Il est préférable de configurer cette option si l’URL de vérification 3DS ne fonctionne pas.

Activer/désactiver 3D-Secure pour toutes les cartesYou can either activate or deactivate 3D-Secure for all cards.

 

Si vous décidez de désactiver 3DS, il ne sera pas mis en œuvre du tout.

Traitement 3-D Secure après la notation globale des fraudes

3DS sera traité sur la base de vos paramètres de fraude et de notre évaluation par un expert en matière de fraude s’il a été activé.

4. Fixer les conditions pour les listes de marchands frauduleux

Les listes de marchands frauduleux vous permettent de fixer des conditions pour vos paiements. Par exemple, vous pourriez bloquer les transactions frauduleuses sur la base leur adresse IP ou même du pays d’émission de la carte. Dans ce chapitre, vous apprendrez à gérer ces listes.

Il y a trois types de listes.

  • Les whitelists vous permettent de fixer des conditions d'acceptation d'une transaction.
  • Les blacklists vous permettent de fixer des conditions de blocage d'une transaction.
  • Les greylists vous permettent de fixer des conditions d'examen d'une transaction ou pour la soumettre à d'autres processus.
L’effet particulier d’une correspondance dans l’une de ces listes est défini par les listes de marchands frauduleux

Avant que vos réglages entrent en vigueur

Voir les listes

Consultez ces listes en allant dans Advanced > Fraud detection dans votre compte. Sous Blacklist / Greylist / Whitelist, sélectionnez un élément que vous souhaiteriez configurer et cliquez sur EDIT.

All Lists

Gérer les whitelists

Vous pouvez utiliser les whitelists pour fixer des conditions d’acceptation d’une transaction. Les whitelists ont la préséance sur les paramètres de blocage (blacklist) et d’examen (greylist) si une correspondance a été détectée.

En fonction de la mesure que vous souhaitez prendre, vous devrez peut-être envoyer certains paramètres avec la transaction vers notre plateforme.

Ci-dessous, vous trouverez un aperçu des types de listes (c.-à-d. des conditions que vous pouvez fixer), de ce qu’elles signifient et des paramètres qui devraient être envoyés.

Type de liste Explication Paramètre à envoyer

Liste blanche d'adresses IP

Notre système acceptera à la fois les plages IP ou certains IP sous le format a.b.c-d.0-255 ou a.b.c-d.*, ou bien a.b.c.d-e.

REMOTE_ADDR

Liste blanche d'identifiant client

L'identifiant unique du client (Customer Unique Identifier) est un identifiant attribué à votre client (par exemple, le nom, le numéro client ou l'adresse électronique)

CUID

Liste blanche d'e-mails

Peut être une adresse fixe ou un spectre complet d'adresses (domaines) comportant un astérisque (« * ») avant le signe « @ »

EMAIL

Gérer les blacklists

Les Blacklists exécutent un blocage ou un examen si une correspondance est identifiée.

Type de liste Explication Paramètre à envoyer

Liste noire de cartes

Pour ajouter des éléments, vous aurez besoin du numéro complet de la carte de crédit ou du compte bancaire (pour les prélèvements).

CARDNO

Liste noire de BIN

Un numéro d’identification bancaire est constitué des six premiers chiffres d’une carte de crédit associé à un émetteur dans un pays donné. Ceci vous permet de bloquer toutes les cartes de crédit qui dispose du même NIB

CARDNO

Liste noire d'adresses IP

Notre système acceptera à la fois les plages IP ou certains IP sous le format a.b.c-d.0-255 ou a.b.c-d.*, ou bien a.b.c.d-e

REMOTE_ADDR

Liste noire d'e-mails

Peut être une adresse fixe ou un spectre complet d'adresses (domaines) comportant un astérisque (« * ») avant le signe « @ »

EMAIL

Liste noire de noms

Génère deux versions de la désignation : le « Nom exact » et la « Correspondance partielle »

CN

Liste noire de téléphones

Génère deux versions de la désignation : le « Numéro exact » et la « Correspondance partielle »

OWNERTELNO

Liste noire générique

Liste complète personnalisée comprenant les données que vous souhaitez

GENERIC_BL

Gérer les greylists

Les greylists vous permettent de fixer des conditions d’examen d’une transaction si une correspondance est identifiée.

Type de liste Explication Paramètre à envoyer

Listes grise de cartes

Pour ajouter des éléments, vous aurez besoin du numéro complet de la carte de crédit ou du compte bancaire (pour les prélèvements).

CARDNO

Liste grise de BIN

Un numéro d’identification bancaire est constitué des six premiers chiffres d’une carte de crédit associé à un émetteur dans un pays donné. Ceci vous permet de bloquer toutes les cartes de crédit qui dispose du même NIB

CARDNO

Liste grise d'adresses IP

Notre système acceptera à la fois les plages IP ou certains IP sous le format a.b.c-d.0-255 ou a.b.c-d.*, ou bien a.b.c.d-e.

REMOTE_ADDR

Liste grise d'e-mails

Peut être une adresse fixe ou un spectre complet d'adresses (domaines) comportant un astérisque (« * ») avant le signe « @ »

EMAIL

Liste grise de noms

Génère deux versions de la désignation : le « Nom exact » et la « Correspondance partielle »

CN

Liste grise de téléphones

Génère deux versions de la désignation : le « Numéro exact » et la « Correspondance partielle »

OWNERTELNO

Liste grise de données génériques

Liste complète personnalisée comprenant les données que vous souhaitez

GENERIC_BL

Ajouter de nouveaux éléments à une liste

Si vous souhaitez ajouter des éléments à un des types de listes ci-dessus, sélectionnez le type de liste concerné et cliquez sur EDIT.

Greylist

Pour ajouter de nouveaux éléments à une liste,

  1. Saisissez des données dans Enter a new item

  2. Sélectionnez Actual Fraud / Commercial dispute / Suspicion of fraud.

  3. Optionnel : ajoutez des informations dans le champ Comment le cas échéant.

Gérer les éléments existants dans les listes

Managelists

Si vous souhaitez gérer les éléments dans une liste, vous pouvez le faire en utilisant soit :

  • Delete : retirer un ou plusieurs éléments en cochant All
  • Fraud type :Modifiez l’entrée originale en FRA (fraude effective) / COM (litige commercial) / SOF (suspicion de fraude). 
  • Comment :Supprimez ou modifiez le commentaire original pour votre élément en cliquant sur « … »

Notre plateforme vous permet également d’insérer des transactions déjà traitées dans cette liste.
Pour ce faire, suivez ces étapes :

  1. Connectez-vous au Back Office. Rendez-vous sous Opérations > Gestion transactions et cherchez la transaction
  2. Dans le tableau affichant toutes les opérations de maintenance pour cette transaction, cliquez sur n’importe quel bouton Pay ID
    fdm-dispute-1.png

  3. Sur la page d’aperçu des opérations de maintenance, cliquez sur le bouton “DISPUTE”
  4. Dans le tableau, sélectionnez soit “Ajouter aux liste noire” , soit “Ajouter à la liste grise” pour n’importe lequel des paramètres de transaction qu’il est possible de sélectionner. Marquez ensuite la transaction en tant que "Fraude avérée” / “Différend commercial" / "Suspicion de fraude". Confirmez votre sélection en cliquant sur le bouton "Enregistrer"
    fdm-dispute-2.png

5. Configurer la liste de contrôle des marchands frauduleux

Le principe d’une liste de contrôle des fraudes est de faire correspondre chaque transaction avec une liste de critères, sur la base de divers paramètres et de leur pondération respective, à des fins d’évaluation des risques. Cela signifie qu’en fonction des paramètres que vous avez choisis, vous pouvez définir l’une des mesures suivantes à exécuter :

  • None (les critères sont ignorés à des fins d’examen de la fraude) : la transaction est acceptée, à condition que l’acquéreur/émetteur ne la rejette pas pour toute autre raison

  • Review : une vérification 3DS sera effectuée. En cas d’échec de la vérification, la transaction sera bloquée. En cas de réussite, nous passerons à l’autorisation

  • Block : la transaction sera bloquée

Ce chapitre vous apprendra la manière de dresser et gérer cette liste de contrôle dans votre compte.

Consultez votre liste de contrôle en allant dans Advanced Fraud detection dans votre compte. Sous Fraud detection activation and configure, choisissez le moyen de paiement que vous souhaiteriez configurer et cliquez sur EDIT.

Trusted Data

Sur la page, vous verrez des critères que vous pouvez définir comme bon vous semble.  Chaque critère vous oblige à définir un ou plusieurs des paramètres suivants :

  • None (les critères sont ignorés à des fins d'examen de la fraude)
  • Review (une vérification 3DS sera effectuée)
  • Override blocking / review
  • Bloquer
  • Gestion des Whitelist / greylist / blacklist
  • Editer les limites d'utilisation

En fonction des critères que vous souhaitez définir, vous devrez peut-être envoyer certains paramètres avec la transaction vers notre plateforme. Vous trouverez ci-dessous un aperçu des critères les plus importants, de leurs paramètres respectifs et des façons possibles de les définir pour optimiser efficacement votre protection contre la fraude.

Catégorie Critères Mesures Paramètre(s) à envoyer  

Données de confiance/ listes blanches

3-DS Secure identification OK

·       Bloquer / Review / 
Ignorer les règles de blocage et de vérification sauf la règle de liste noire des cartes

·       Editer les listes blanches: CUI

·       Editer les listes blanches: E-mail

-

Client identifiant dans la liste blanche

CUID

Adresse e-mail sur liste blanche

EMAIL

données de la carte

Pays de la carte Risque élevé / Risque moyen

·       Review
Configurer les groupes de pays de carte

CARDNO

max util. / carte seuil élévé / seuil moyen

·       Bloquer / Review

·       Editer les limites d'utilisation
Nombre de transactions maximum par carte et par période x jour(s)
Montant total des transactions par carte
Nombre de transactions par carte

CARDNO

IP

Pays IP Risque élevé / Risque moyen

·       Configurer les groupes de pays d'adresse IP

·       Bloquer / Review

REMOTE_ADDR

Proxy anonyme

Bloquer / Review

REMOTE_ADDR

Pays IP <> pays CC

Bloquer / Review

REMOTE_ADDR / CARDNO

Combinaison pays de la carte/pays de l'adresse IP

·       Editer les combinaisons IP / pays de la CC

·       Bloquer / Review

REMOTE_ADDR

Max utilisation / IP

·       Bloquer / Review

·       Editer les limites d'utilisation
Nombre de transactions maximum par adresse IP et par période x jour(s) 
> Nombre de transactions acceptées par adresse IP
Nombre de transactions (acceptées ou refusées) par adresse IP

REMOTE_ADDR

Données de contact

Utilisation email max.

·       Bloquer / Review

·       Editer les limites d'utilisation
Utilisation maximale par adresse email, par période de x jour(s)
Nombre d'utilisation de l'adresse email

REMORE_ADDR

Adresse

Adresses de facturation et livraison différentes

Review

ADDMATCH

Divers

Nombre de pays différents

Bloquer / Review

-

Montant inférieur à la limite / supérieur à la limite

·       Editer les montants min. max.

·       Bloquer / Review

AMOUNT

Moment de la commande période de risque élevé / période de risque moyen

·       Review

·       Editer les périodes risquées

-

Données dans la liste noire générique / liste grise générique

·       Bloquer / Review

·       Editer la liste noire: Données génériques

GENERIC_BL

Mode d'expédition élevé / moyen / faible

·       Bloquer / Review

·       Modifiez les modes d'expédition risqués

ECOMSHIPMETHODTYPE

Détails du mode d'expédition élevé / moyen / faible

·       Bloquer / Review

·       Modifiez les détails des modes d'expédition risqués

ECOMSHIPMETHODDETAILS

Catégorie de produit élevé / moyen / faible

·       Bloquer / Review

·       Modifiez les catégories de produit risquées

ITEMFDMPRODUCTCATEGx
ITEMIDx
ITEMNAMEx
ITEMPRICEx
ITEMQUANTx

Délai de livraison

·       strictement inférieur à X heures

·       Bloquer / Review

ECOM_SHIPMETHODSPEED

Contrôle automatique de l'adresse par l'acquéreur

résultat OK / KO

CP KO, Adresse OK
CP OK, Adresse KO
Résultat non reçu ou inconnu

Bloquer (Vérification pour Vente directe) / Review

OWNERZIP
OWNERADDRESS

Contrôle du code de vérification de la carte

résultat OK / KO

Bloquer (Vérification pour Vente directe) / Review

CVC

Configurer les données de voyage (pour le transport aérien uniquement)

Si votre modèle d’activité prévoit le traitement de données du secteur aérien, vous devrez également nous envoyer les paramètres suivants avec la transaction pour être pris en compte.

Paramètre(s) à envoyer 

AIPASNAME

AIEXTRAPASNAME*XX*

AIORCITY*XX*

AIORCITYL*XX*

AIDESTCITY*XX*

AIDESTCITYL*XX*

AISTOPOV*XX*

AIFLDATE*XX*

Pour plus d’informations sur ces paramètres, vous pouvez vous reporter à notre Parameter Cookbook dans votre compte. Allez dans Support > Integration et User manuals > Technical guides pour y accéder.

Parameter Cookbook

Appliquer des éléments de la liste en tant que Règles relatives aux listes de marchands frauduleux

Une fois que vous avez géré les éléments de vos liste blanche/noire/grise, vous devez donner des instructions à notre plateforme une fois qu’une correspondance se produit.

Pour ce faire, suivez ces étapes :

  1. Connectez-vous au Back Office. Rendez-vous sous Avancé > Fraud Detection. Sélectionnez la méthode de paiement pour laquelle vous voulez configurer les listes de marchands frauduleux via «Activation et configuration de la détection des fraudes »
  2. Sélectionnez n’importe quel réglage dans la colonne « Action » pour définir l’incidence qu’une correspondance doit avoir sur la notation de la transaction en question
  3. Vous pouvez modifier la liste correspondant au réglage en sélectionnant l’option « Edites les list blanches/noires/grises » du côté droit du réglage

Identifier la fraude avec Device fingerprinting

Device fingerprinting est une technologie qui nous permet d’identifier de façon unique un appareil utilisé pendant une transaction. Cela signifie que si des fraudeurs utilisent le même appareil pour différentes transactions, notre système sera en mesure de le détecter et de bloquer la transaction immédiatement. Nous utilisons l’étiquette de paramètre, DEVICEID pour identifier l’appareil utilisé pour chaque transaction.

En fonction de votre niveau d’intégration avec nous, vous pouvez prendre certaines mesures pour activer Device Fingerprinting.

  • Si vous utilisez notre intégration eCommerce, ces données seront collectées sur notre page de paiement. Cette procédure est donc réalisée automatiquement pour vous.

  • Si vous utilisez notre intégration DirectLink ou FlexCheckout, vous devrez ajouter un code de suivi à votre intégration. Le code devra être ajouté dans l’en-tête d’une de vos pages web qui sera chargée lorsque l’appareil du titulaire de la carte visite le site. Nous vous recommandons de l’ajouter à votre page de paiement. Le code est en HTML et prend la forme de CSS, Javascript et Flash :

    <script type="text/javascript" asycn ="true" src ="https://elistva.c om/api/script.js?  aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"></script>  <noscript><p style="background:url(//elistva.c om/api/assets/c lear.png?  aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX)"></p></noscript>  <object type="application/x-shockwave-flash" data="//elistva.c om/api/udid.swf?  aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" width="1" height="1">  <param name="movie" value="//elistva.c om/api/udid.swf?  aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" />  </object> 

Vous devrez mettre à jour les XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX dans l’extrait de code avec un identifiant de session d’utilisateur unique au format MD5.

Ce code HTML est associé à un identifiant de session unique temporaire et aléatoire (SID) que vous générez comme nous l’avons décrit dans le tableau ci-dessous.

Paramètre(s) à envoyer  Description Format
sid

SID is the unique identifier of a user session.

The c concatenation of the values of respectively the 

PSPID and ORDERID are calculated in the MD5 format,

resulting a 32-digit hexadecimal hash string. 

Série de dièses hexadécimale à 32 chiffres 
Example :
ec 4dfe7e880e374071e2728c 

3711c 3a8

aid The ID of Tracker Application Account Valeur fixe : 10376

Remarque : cette fonctionnalité fonctionne uniquement lorsqu’un Fraud Expert Scoring (vert, orange ou rouge) est renvoyé avec succès par Fraud Expert. Découvrez-en plus au sujet de Fraud Expert ci-dessous.

6. Gérer les paramètres Fraud Expert

Fraud Expert est un système d’apprentissage automatique qui vous fournit un deuxième avis d’expert par le biais d’une couche supplémentaire de sécurité. Il recourt à des données mises en commun de transactions passées de tous nos clients dans divers secteurs.

Les données sont ensuite utilisées pour créer une prédiction précise de la fraude et évaluer la légitimité de chaque transaction qui passe par votre site de e-commerce grâce à ces prédictions. Cela signifie que les transactions seront non seulement vérifiées avec les règles que vous avez fixées manuellement, mais qu’elles passeront aussi au travers d’une barrière supplémentaire de protection. Fraud Expert est réactif. À mesure que de nouvelles transactions sont réalisées avec des clients, Fraud Expert adapte en permanence ses prédictions et répond à de nouvelles menaces dans l’écosystème du paiement.

Que peut-il faire pour vous au juste ? Il peut :

  • Détecter des fraudes à un stade précoce et assurer que votre entreprise soit protégée contre les attaques de fraude complexes dès le départ.
  • Supprimer les erreurs humaines et prévenir des rejets de commandes valides.
  • Sous-traiter l’examen manuel de transactions douteuses ainsi que geler les transactions douteuses que vous voulez examiner vous-même.

Ce chapitre vous apprendra comment activer et configurer les paramètres de Fraud Expert.

Déterminer le secteur d’activité et les modes d’examen

Tout d’abord, vous devrez définir votre secteur d’activité. Sur la base de votre secteur d’activité, notre outil Fraud Expert formulera des règles et critères de notation prédéfinis adaptés à votre secteur. Allez dans Advanced > Fraud detection > Your Activity Sector. Cliquez sur EDIT.

FDMA ExpertSur la même page, vous pouvez également décider si vous voulez automatiser ou examiner manuellement vos transactions. Vous pouvez le faire pour toutes vos méthodes de paiement. Cela signifie que si vous sélectionnez :

  • Automatic : les transactions qui passent par votre site de e-commerce seront soit acceptées soit bloquées automatiquement.
  • Manual Review : les transactions qui passent par votre site de e-commerce seront examinées manuellement par des experts chez Paypage.

Définir le comportement de Fraud Expert

Après avoir défini votre secteur d’activité, nous pouvons à présent définir les mesures qui peuvent être prises avec Fraud Expert. Les transactions qui passent pas votre site de e-commerce seront définies par un Global Fraud Score.

Un Global Fraud Score est une note (verte, orange ou rouge) constituée d’une combinaison de votre propre configuration (également appelée liste de contrôle FDMA) que vous avez fixée au Chapitre 4 et deFraud Expert. En tenant compte de ces deux facteurs, un Global Fraud Score est créé pour chaque transaction qui passe par votre site de e-commerce.

  • Vert : les transactions ayant une note verte sont considérées comme présentant un faible risque de fraude. Elles sont considérées comme étant sûres et seront acceptées à condition que l’acquéreur/émetteur ne la rejette pas pour toute autre raison.
  • Orange : les transactions ayant une note orange sont considérées comme présentant un risque de fraude modéré. Cela veut dire que certaines règles ont été déclenchées et qu’elles pourraient être douteuses. Nous vous recommandons de les vérifier une fois de plus avant d’envoyer vos biens ou de fournir vos services.
  • Rouge : les transactions ayant une note rouge sont considérées comme présentant un risque de fraude élevé et seront bloquées.

Pour commencer, allez dans Advanced Fraud detection. Choisissez le moyen de paiement que vous souhaitez configurer et cliquez sur EDIT.

activity sector

Une fois qu’une méthode de paiement a été sélectionnée, vous verrez deux onglets en haut de l’écran. Sélectionnez l’onglet Fraud Expert comme indiqué sur la capture d’écran.

fraud expert

Sur la page, vous verrez votre matrice Global Fraud Score. Vous pouvez définir les mesures à prendre ou comportements à adopter sur la base du Global Fraud Score de vos transactions.

Par exemple, une transaction peut avoir une note verte (faible risque de fraude) sur la base de vos paramètres FDMA (tels que vous les avez définis au Chapitre 4). Cependant, notre système Fraud Expert peut attribuer une note rouge à la même transaction (risque de fraude élevé). Vous pouvez alors décider de la mesure que vous voulez prendre si une transaction obtient une note de ce type.

Gérer les transactions orange

Comme nous l’avons dit plus tôt, les transactions ayant une note orange sont considérées comme présentant un risque de fraude modéré. Avec la matrice Global Fraud Score, vous pouvez « geler » les transactions orange pour réaliser un examen manuel. Ceci vous permet de réexaminer vous-même les transactions avant de prendre une décision définitive.

Recommandation : nous vous recommandons de ne pas attendre pour prendre une décision. Une fois la période de gel terminée, si aucune mesure n’a été prise, le paiement sera traité automatiquement !

Transaction Freeze

Vous pouvez décider de la durée de la période de gel en allant dans l’onglet Fraud Expert de chaque méthode de paiement.

Après avoir décidé de la période de gel, vous pouvez voir toutes les transactions orange concernées en allant sur Operations > View Transactions. Sélectionnez ADVANCED SEARCH CRITERIA. Cherchez les transactions avec les filtres Risk Category et Fraud Expert Manual Review.

Advanced Selection Criteria

Dans la liste des transactions affichées, vous verrez des symboles en-dessous de la colonne Global Fraud Score.

  • Symbole de main : cliquez sur ce symbole pour accepter ou bloquer les transactions.

Handsymbol

  • Symbole de sablier : les transactions dotées de ce symbole seront acceptées ou bloquées en fonction des résultats de notre examen Fraud Expert.

Hourglass

Questions fréquemment posées

3DS v2

A partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, les règles d’authentification forte entreront en vigueur pour tous les paiements digitaux en Europe. À l'heure actuelle, les banques, les prestataires de services de paiement et les réseaux de cartes travaillent tous sur des solutions techniques qui répondront aux exigences de la DSP2. Pour accepter les paiements après le 1er janvier, vous devrez vous assurer que ces solutions techniques fonctionneront avec votre boutique en ligne.

Afin d’accepter les paiements des plus grands réseaux de cartes au monde, Visa, Mastercard et Amex, il est impératif que vous ayez implémenté la solution de sécurité 3D-Secure pour votre boutique en ligne. Le 3D-Secure est utilisé depuis 2001 et vise à améliorer la sécurité des transactions par carte en ligne, mais une nouvelle version a été développée pour faciliter les exigences de l’authentification forte de la DSP2.

Nous vous recommandons d'utiliser 3D-Secure, car cela permet d'éviter les risque de fraude et vous dégage également de toute responsabilité en cas de fraude. À partir du 1er janvier 2021, le 3D-Secure sera également nécessaire pour accepter les paiements des principales cartes.

La deuxième Directive Européenne relative aux Services de Paiement (2015/2366 DSP2), entrée en vigueur en janvier 2018 et qui vise à assurer la protection des consommateurs pour tous les types de paiement, en promouvant un paysage de paiements encore plus ouverts et concurrentiels. En tant que fournisseur de services de paiement, nous sommes fiers d’être certifiés selon la norme DSP2 depuis le 29 mai 2018.

L'une des principales exigences de la DSP2 concerne l’authentification forte (SCA) qui sera requise pour toutes les transactions électroniques dans l'UE à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni. L’authentification forte exigera que les détenteurs de cartes s'identifient avec au moins DEUX des trois méthodes suivantes :

• quelque chose qu’ils connaissent (code PIN, mot de passe, …)

• quelque chose qu’ils possèdent (lecteur de carte, mobile, …)

• quelque chose qu’ils sont (reconnaissance vocale, empreinte digitale, …)

Cela signifie que vos clients ne pourront plus, en pratique, effectuer un paiement par carte en ligne en utilisant uniquement les informations figurant sur leurs cartes. Par exemple, ils devront valider leur identité via une application bancaire connectée à leur téléphone et nécessitant un mot de passe ou une empreinte digitale pour approuver leur achat.

Plus d'informations sur DSP2 sont disponibles ici : https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf

3DSv2 invite les marchands à envoyer des informations supplémentaires (obligatoire / recommandé..). Tout ce que vous devez savoir, en tant que marchand peut être trouvé ici:

  

La COF en résumé : le client effectue une première transaction avec un commerçant via 3D-S (CIT). À partir de cette première expérience, le commerçant est en mesure d’effectuer des transactions récurrentes (abonnement ou avec l’autorisation du client -> création d’un jeton), identifiées en tant que transactions MIT.

Les MIT font partie des exceptions envisagées avec la 3DSv2., si elles remplissent toutes les conditions suivantes:

  • transactions ultérieures à une CIT initiale  
  • La CIT a été effectuée avec une authentification obligatoire
  • Un lien d’identification dynamique est créé entre la CIT initiale et les MIT ultérieures

Après l’authentification initiale, des exceptions/exclusions s’appliquent:

  • Soit en raison d’exceptions légales récurrentes qui s’appliquent aux abonnements avec un montant et une périodicité fixes (il est conseillé aux commerçants d’authentifier le montant total et de fournir le détail du nombre de paiements autorisés avec les détenteurs de carte)
  • Soit parce que les autres types de transactions sont exclues du périmètre de la SCA... au risque exclusif du commerçant en cas de débit rejeté (protection limitée au montant authentifié) ET besoin pour l’émetteur d’accepter ce risque :
    • COF non programmée: le principe des transactions ultérieures est convenu avec le détenteur de la carte, mais le montant et/ou la périodicité n’est pas fixé(e)
    • Pratiques sectorielles: progressif, absence de présentation, etc...

Pour la période de transition, les programmes ont défini une identification par défaut à utiliser pour les MIT ultérieures créées avant l’introduction de la 3DS v2.

Étant donné que les émetteurs ne nous ont pas encore communiqué de données fiables, nous ne disposons pas d’informations à ce sujet. MasterCard réalise actuellement des sondages en Europe, mais les résultats sont susceptibles de varier sensiblement d’un pays à l’autre.  La situation continuera d’évoluer jusqu’à septembre. En janvier 2019, seuls 2/3 des émetteurs avaient achevés la certification EMVCo v2.1 et dans la liste des émetteurs, la prise en charge des exceptions variait entre 80 % (récurrent) et 50 % (liste blanche).

Si vous utilisez notre page page de paiement Paypage Paypage s’occupera de tous les champs obligatoires.

Si vous êtes intégré en DirectLink, ce qui signifie que vous avez votre propre page de paiement, nous avons un exemple Javascript disponible sur la page de support pour collecter les données obligatoires.

Pour la collecte facultative d'informations, reportez-vous à notre page de support pour savoir comment intégrer avec Paypage.

À moins que l’authentification soit une étape obligatoire (c.-à-d. en cas d’enregistrement de carte ou de transaction initiale d’une série de transactions récurrentes), les émetteurs peuvent décider de transmettre l’authentification. Dans ce type de scénario, l’émetteur sera responsable en cas de rejet de débit.
Ajouter valeur de la carte (Add Card Value) fait référence au cas où un fournisseur de portefeuille utilise le protocole 3DS pour ajouter une carte à son portefeuille. Cette procédure sera mise en œuvre par le fournisseur de portefeuille concerné.

La version 2 du 3D-Secure est une évolution des programmes 3D-Secure version 1 existants: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy et JCB J/Secure. Il est basé sur une spécification élaborée par EMVco. EMVCo a pour objectif de faciliter l'interopérabilité et l'acceptation mondiales des transactions de paiement sécurisées. Il est supervisé par les six organisations membres d’EMVCo - American Express, Discover, JCB, Mastercard, UnionPay et Visa - et soutenu par des dizaines de banques, marchands, processeurs, vendeurs et autres parties prenantes du secteur qui participent en tant qu’associés EMVCo.

L'une des principales différences de la version 2 réside dans le fait que l'émetteur peut utiliser un grand nombre de données issues de la transaction afin de déterminer le risque de la transaction (analyse basée sur les risques). Pour les transactions à faible risque, les émetteurs ne contestent pas la transaction (par exemple, n'envoient pas de SMS au titulaire de la carte) bien qu'ils authentifient la transaction (transaction fluide – sans authentification forte). Inversement, pour les transactions à haut risque, les émetteurs exigeront que le titulaire de la carte s'authentifie avec un SMS ou un moyen biométrique (challenge) ou autre.

Par ailleurs, l’authentification forte (SCA) requise à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, comme spécifié dans DSP2, entraînera une augmentation substantielle du nombre de transactions nécessitant l'utilisation de l'authentification 3-D Secure. L'utilisation de la version 2 de 3-D Secure devrait limiter autant que possible l'impact négatif sur la conversion.

En bref, 3-D Secure version 2 signifie :

• Vous devrez implémenter le 3-D Secure avant le 1er janvier 2021 si vos transactions tombent sous les exigences relatives aux directives de l'UE PSD2 SCA (au cas où vous ne supporteriez pas déjà le 3-D Secure).

• La transmission de données supplémentaires est conseillé (et dans certains cas requis) lors de l’envoie de la transaction pour soutenir l'évaluation des risques effectuée par l'émetteur dans le cas de 3-D Secure version 2.

• Nous vous conseillons de vérifier si votre politique de confidentialité en ce qui concerne le GDPR est à jour, car vous pourriez partager des données supplémentaires avec des tiers.

• Une expérience utilisateur bien meilleure pour vos clients

Le marché s’attend à un pourcentage substantiel des transactions utilisant la version 2 de 3-D Secure qui suivra un flux fluide, ce qui n’exige rien de plus du détenteur de la carte par rapport aux flux de paiement actuels de la solution 3-D Secure. Cela signifie que vous bénéficiez d’une hausse en matière de sécurité et de transfert de responsabilité fourni par les programmes 3-D Secure, tandis que la conversion de votre procédé de check-out ne devrait pas être affectée négativement.

Cette situation est possible uniquement si vous êtes intégré via DirectLink seulement (page du commerçant / FlexCheckOut), en tant que Paypage page de paiement hébergée, Paypage recueille les données obligatoires.

Tout d’abord, Paypage identifiera le flux à rediriger vers la v1 ou la v2 en fonction du numéro de la carte.

Si la carte est associée à la V2, les cas suivants peuvent se produire: 

Données obligatoires:

  • Si des données erronées sont transmises, la transaction est bloquée
  • S’il manque des données, Paypage redirigera votre transaction vers le flux de la v1
  • Si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais redirigée vers le flux de la v1
Données recommandées ou facultatives:
  • si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais elle ne peut pas bénéficier de l’exception.
Puisque cela est tributaire de la volonté de l’acquéreur, la disponibilité de 3DSv2 dépendra des acquéreurs individuels. 
La plupart des acquéreurs français prendront en charge l’authentification approfondie des clients d’ici le 14 septembre 2019, mais pas les exceptions. L’introduction des exceptions sera mise à disposition par les acquéreurs individuels entre octobre 2019 et mars 2020.

Pour faciliter les choses à la fois pour les commerçants et les consommateurs, PSD2 permet certaines exemptions de l’authentification forte des clients. Il est important de noter que toutes les transactions qui qualifient pour une exemption ne seront pas automatiquement exemptées. Dans le cas de transactions par carte, par exemple, c’est la banque émettrice qui décide si une exemption est approuvée ou non. Ainsi, même si une transaction est éligible à une exemption, le client peut néanmoins être amené à effectuer une authentification forte, si la banque émettrice de la carte choisit de l’exiger.

Notre plate-forme de test est prête pour supporter les tests. Un simulateur est disponible pour créer tous les scénarios de tests.

Des cartes de test ont été fournies et peuvent être trouvées sur le site de support ainsi que dans l'environnement TEST (Configuration > Information technique > Info de test).

Si vous voulez commencer à utiliser la version 2 du 3DS en production,  contactez-nous

Votre certificat PCI est valide pour un an et est conforme pour tout acquéreur.

Notre certification pour le 3DSv2.2 est en cours et sera en production dans le courant du quatrième trimestre 2020.

Avec le lancement de la plateforme en juillet, nous avons amélioré les détails relatifs à l’aperçu des transactions. Les transactions individuelles accessibles contiennent à présent des informations détaillées sur le flux qui a été utilisé (3DS v1 historique ou 3DS v2). Vous trouverez plus d’informations dans nos notes de version 04.133 dans le back-office par le biais de Assistance > Versions de la plateforme > Version 04.133

En outre, nous avons ajouté le nouveau paramètre VERSION_3DS à notre outil de reporting électronique.

Les valeurs possibles pour VERSION_3DS sont

V1 (pour 3DS v1)
V2C (pour 3DS v2 avec flux avec processus d’identification)
V2F (pour 3DS v2 avec flux frictionless) 

Pour ajouter ce paramètre au téléchargement de vos fichiers de transaction, suivez les instructions fournies dans cette vidéo :

Les exclusions sont des transactions qui n’entrent PAS dans l’application de la réglementation PSD2 (authentification forte):

• Commande mail / commande téléphonique (MOTO)
• Le PSP du marchant (aussi appelé l’acquéreur) ou le PSP de l’acheteur (aussi appelé le fournisseur de méthode de paiement de l’acheteur) est hors de la zone EEE.
• Les cartes de paiement anonymes avec une valeur maximale de 150 € (article 63)
• MIT - Transactions Initiées par le Marchant

Les exemptions sont des transactions entrant DANS l'application de la réglementation PSD2 (authentification forte):

• Transactions de faible valeur
• Abonnements
• Analyse de risque
• Whitelisting

Dans un tel cas, Paypage gérera automatiquement une procédure de secours vers 3-D Secure v1.

L’Autorité bancaire européenne (ABE) et les banques nationales de chaque pays affecté ont convenu d’un sursis (jusqu’en mars 2020 au minimum). Ceci permet à chaque acteur du secteur de l’e-commerce de comprendre tous les aspects relatifs à cette nouvelle réglementation. Nous vous conseillons toutefois d’activer 3DS sur tous vos comptes dès que possible.

Notre environnement TEST étant prêt, nous vous conseillons de commencer à tester votre intégration dès que possible.

 

Si l’émetteur applique la nouvelle procédure PSD2 et que 3-D Secure (3DS) n’est pas activé dans le compte du marchand, la transaction sera refusée via un nouveau code d'erreur - "soft decline". Par conséquent, veuillez vous assurer que 3DS est actif pour chaque méthode de paiement par carte de votre(vos) compte(s). Si vous êtes intégrés avec DirectLink (server to Server), vous devez implémenter le mécanisme du "soft decline" comme décrit dans notre guide.

Étant donné que 3DSv2 introduit une authentification frictionless, il est possible que le temps de traitement d’une transaction soit réduit. À l’inverse, si une authentification approfondie du client (Strong Customer Authentifcation) est demandée, le temps de traitement pourrait être plus long.