Versions Compared

Old Version 10

changes.mady.by.user writer

Saved on

compared with

New Version 11

changes.mady.by.user bnp-admin

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

La DSP2 (Directive sur les services de paiement version 2) est une directive européenne qui a pour objectif d'encourager l'innovation, améliroer la protection des consommateurs et renforcer la sécurité des services de paiement.

La réglementation RTS (Standards Réglementaires et Techniques) liée à la DSP2 (Directive sur les services de paiement) impose l’utilisation du processus d’authentification pour l’ensemble des paiements e-commerce initiés par le porteur de carte.

L’objectif est de répondre aux exigences de l'authentification forte du client (Strong Customer Authentication) pour minimiser le risque pour le commerçant tout en veillant à simplifier et fluidifier le parcours des utilisateurs.



Glossaire autour du 3DSV2


Authentification forte / Strong Customer Authentication (SCA)

L'authentification forte du porteur (client) est un exigence réglementaire d'authentification introduite dans le cadre de la DSP2.

Lors d'un paiement en ligne, une authentification forte à 2 facteurs peut être demandée au porteur de la carte de paiement, elle permet de confirmer que la personnance effectuant le paiement en ligne est le porteur de la carte de paiement utilisée.

Une authentification est considérée comme forte lorsqu’elle réunit deux des trois facteurs d'authentification suivants :

  • un élément connu du porteur(un mot de passe, un code secret, etc.

Si besoin, vous pouvez consulter notre documentation dédiée au 3DS V2 : https://docs.axepta.bnpparibas/display/DOCBNP/3D+SECURE

1.  Informations générales

Les exemptions (« Frictionless ») pour le commerçant
  • )
  • un élément possédé par le porteur (téléphone mobile via l’application de la banque, une carte bancaire, etc.)
  • une caractéristique biométrique (une empreinte digitale, la reconnaissance vocale, etc.)



Frictionless

Le marchand a la possibilité de demander une exemption d'authentification du porteur lors du paiement en ligne. La décision finale est laissée à la banque émettrice.

Lors d'une transaction "frictionless" une authentification passive du porteur est effectuée, il n'a aucune action à effectuer.

En résumé, il s'agit d'un processus qui réduit l'intervention de l'acheteur au cours du processus de paiement.

En cas de transaction frictionless, le transfert de responsabilité dépend de la marque de la carte : Transfert de reponsabilité et Matrices 3D-Secure


Préférences du marchand : no Preference / challenge / mandate

Le commerçant peut solliciter l’émetteur pour demander ou non une exemption d’authentification forte. Plusieurs choix se présentent à lui :

  • Le commerçant ne prend aucune action (no preference) : le choix d’exemption est laissé à l’émetteur.
  • Le commerçant demande une authentification forte (challenge) :
    • Obligatoire (mandate) : l’émetteur doit authentifier l’acheteur (par exemple pour la première transaction d’un abonnement)
    • Préférentielle (request) : Le commerçant souhaite authentifier l’acheteur. Le choix final reste à l’émetteur.
  • Le commerçant demande une exemption d’authentification forte (no Challenge - Frictionless) : L’émetteur va accepter ou non la demande du commerçant selon les informations transmises par celui-ci (données à transmettre).


Le transfert de responsabilité dépend du choix du commerçant et de la marque de la carte : Transfert de reponsabilité et Matrices 3D-Secure


Soft decline

La DSP2 permet aux banques émettrices de refuser une transaction si une authentification forte 3D Secure n'a pas été effecutée. Ce mécanisme s'appelle le Soft Decline.

Dans ce cas, la plaforme Axepta effectue un 'retry' automatique, la transaction est rejouée et l'authentification forte est proposée à l'acheteur / porteur de la carte.



Types de paiements 'Frictionless'


Dans le cadre de cette nouvelle réglementation, certains cas de paiements peuvent bénéficier d’exemption à l’authentification forte du client tels que :

  • Les paiements récurrents : Le paiement initial nécessite une authentification forte cependant les paiements suivants seront exemptés. Dans le cas d’un changement de montant de l’abonnement, l’acheteur devra de nouveau passer par une procédure d’authentification forte.
  • Les transactions MoTo (Mail Orders and Telephone Orders): ce type de transaction n’est pas considéré comme un paiement électronique.
  • Les paiements par carte d’affaires: les paiements initiés par les entreprises avec débit du compte de l’entreprise (par exemple, cartes logées, comptes centralisés et cartes virtuelles) seront exemptés.
  • Les transactions à faible montant (inférieur à 30€) : Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €.
  •  Les listes blanches (whitelist): Un porteur de carte peut désigner un commerçant comme un bénéficiaire de confiance pour lequel il ne souhaite pas réaliser une authentification forte lors de l’exécution de transactions à distance. Il pourra également retirer le commerçant à tout moment. Cette exemption nécessite d’être déployée par l’émetteur de la carte du client (via l’appli bancaire du porteur par exemple).
  •  Les paiements par carte d’affaires: les paiements initiés par les entreprises avec débit du compte de l’entreprise (par exemple, cartes logées, comptes centralisés et cartes virtuelles) seront exemptés.
  •  Les transactions à Les transactions à faible risque (TRA : Transaction Risk Analysis) : une dérogation à l’obligation d’authentification forte peut être accordée. Pour cela, il faut l'accord préalable de l'acquéreur (sur la base d’une analyse de risque en temps réel de chaque opération).

Quels choix pour le commerçant ?

Le commerçant peut solliciter l’émetteur pour demander ou non une exemption d’authentification forte. Plusieurs choix se présentent à lui :

Le commerçant ne prend aucune action : le choix d’exemption est laissé à l’émetteur (la transaction est garantie).Le commerçant demande une authentification forte (challenge) :
  • Obligatoire (mandate) : l’émetteur doit authentifier l’acheteur (par exemple pour la première transaction d’un abonnement)
  • Préférentielle (requested) : Le commerçant souhaite authentifier l’acheteur. Le choix final reste à l’émetteur.
Le commerçant demande une exemption d’authentification forte (Frictionless) : L’émetteur va accepter ou non la demande du commerçant selon les informations transmises par celui-ci (données à transmettre).

Gestion des exemptions (du « Frictionless »)

Dans le cas d’une demande d’exemption, le commerçant doit initier cette demande via sa solution Axepta BNP Paribas.

Un flag doit être positionné dans la requête de paiement afin d’informer l’émetteur que le commerçant souhaite bénéficier de cette exemption. Et en plus de ce flag, le commerçant devra fournir des données additionnelles.



Favoriser les paiements 'Frictionless'


Le protocole 3DS V2 supporte 150 points de données véhiculées à l'émetteur. Cependant, le traitement des données par les émetteurs va peut prendre du temps, il est donc recommandé de partager les données essentielles, les plus efficaces, pour l’émetteur .afin de bénéficier de paiement 'frictionless'.


Dans une requête de paiement, le

Données obligatoires

Le commerçant devra obligatoirement transmettre les données suivantes :

  • Les données cartes en respectant les exigences PCI DSS
  • Les données sur les transactions : les numéros d’identification, la devise et le montant.
  • Les données sur le navigateur : Localisation et système de connexion de l’utilisateur (langue, taille de l’écran, adresse IP…)
  • Les données sur le porteur : Nom et prénom de l’utilisateur
  • Les données sur les paiements récurrents (si utilisation de paiements récurrents)
Données facultatives


Afin de favoriser les paiements frictionless, le marchand peut :

  • indiquer des données supplémentaires
  • indiquer son souhait de paiement frictionless
  • demander une exemption


Indiquer des données supplémentaires dans la requête de paiement

Certaines données complémentaires sont fortement recommandées pour améliorer l’analyse de risque de la transaction par l’émetteur :

  • Les les données sur l’adresse de livraison : ville, code postal, pays…
  • Les données sur les détails de la livraison (date de livraison)
  • Les données sur le compte de l’utilisateur (date de création du compte chez le commerçant, date de réinitialisation du mot de passe, etc)
  • Les données panier (Nombre d’articles dans le panier)
  • Le scoring commerçant


Les objets JSON suivants peuvent être ajoutées aux requêtes de paiement :



Les données essentielles, que BNP recommande de transmettre, recommandées sont les suivantes suivantes :

  • Information du porteur de la
carte :
  • carte
    • Nom et prénom
    • Adresse email
    • Numéro de téléphone fixe
    • Numéro de téléphone portable
    • Adresse de facturation
    • Adresse de livraison
  • Information sur le navigateur/ Browser (dépend de l’intégration)
    • Adresse IP

La liste complètes des données à transférer se trouve dans la documentation technique via ce lien :  https://docs.axepta.bnpparibas/display/DOCBNP/JSON+Objectbs.

 


A noter : Toutes ces données seront utilisées à des fins de sécurisation du parcours en ligne dans un objectif de lutte contre la fraude. Les banques émettrices sont régulées sur la gestion de ces données confidentielles.

 

Les garanties pour le commerçant (liability shift)

Dans le cas où l'émetteur accède à la demande d’exemption (frictionless) et n'applique pas l'authentification forte du paiement, le commerçant ne bénéficie plus du transfert de responsabilité (liability Shift).

Dans tous les cas, l’émetteur a systématiquement le dernier mot sur l’application ou non d’une exemption (seules les transactions à faible risque (TRA) nécessitent l’accord préalable de l’acquéreur).

Pour rappel, aucune exemption n’est donc garantie pour le commerçant.

Quelle information 3DS V2 disponible pour le commerçant ?

Le commerçant pourra depuis son Back-Office Axepta, dans le détail de ses opérations, voir le transfert de responsabilité « liability shift » grâce au code ECI. La table qui permet de comprendre ses codes est disponible depuis la documentation technique via ce lien :

 https://docs.axepta.bnpparibas/display/DOCBNP/ECI+Codes




Info

L'ajout de ces données supplémentaires sans demande explicite de paiement 'frictionless' correspond au cas 'no Preference'.

Dans ce cas, si le paiement est 'frictionless', le transfert de responsabilité vers la banque émettrice s'applique.

Pour plus de détails : Transfert de reponsabilité et Matrices 3D-Secure



Indiquer un souhait de paiement 'frictionless'

L’objet JSON threeDSPolicy EN permet au commerçant d'indiquer son souhait

Le code ECI est transmis par la banque émettrice, il indique le niveau d’authentification qui a été mis en place sur la transaction et détermine si la transaction est garantie ou non.

2.  Implémentation technique

L’objet JSON threeDSPolicy (threeDSPolicy EN - Documentation BNP Paribas - Axepta) permet au commerçant de demander une exemption afin d’offrir un parcours frictionless à son acheteur.

Paramètres


challengePreference: Indiquer

Le paramètre challengePreference indique la préférence du commerçant vis-à

vie

-vis de l’authentification :

  • noPreference noPreference : Le commerçant laisse le choix à l’émetteur d’authentifier l’acheteur.
  • noChallenge noChallenge : Le commerçant souhaite que l’acheteur ne soit pas authentifier authentifié (demande d’exemption, frictionless)
  • requestChallenge requestChallenge : Le commerçant souhaite authentifier l’acheteur. Le choix final reste à l’émetteur.
  • mandateChallenge : Le commerçant demande à l’émetteur d’authentifier l’acheteur (par exemple pour la première transaction d’un abonnement)


Dans tous les cas, le choix final est défini par la banque émettrice (banque du porteur).


Info

Le transfert de responsabilité vers la banque émettrice dépend du choix du marchand et de la marque de la carte.

Pour plus de détails : Transfert de reponsabilité et Matrices 3D-Secure



Demander une exemption

L’objet JSON threeDSPolicy EN permet au commerçant d'indiquer une demande d'exemption.


Le paramètre threeDSExemption – exemptionReason indique l'exemption souhaitée par le commerçant :

  • lowValue : Les transactions à faible montant (inférieur à 30 €)
    • Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €.
  • Les transactions à faible risque (TRA : Transaction Risk Analysis)
    • : une dérogation à l’obligation d’authentification forte peut être accordée. Pour cela, il faut l'accord préalable de l'acquéreur (sur la base d’une analyse de risque en temps réel de chaque opération).
    • Pour bénéficier de cette exemption, le commerçant doit contacter son chargé d’affaires.


Dans tous les cas, le choix final est défini par la banque émettrice (banque du porteur).


Info

Le transfert de responsabilité vers la banque émettrice dépend du choix du marchand et de la marque de la carte.

Pour plus de détails : Transfert de reponsabilité et Matrices 3D-Secure