The 3DS V2 protocol supports 150 data points transmitted to the issuer. However, processing these data points by the issuers can be time-consuming. Therefore, it is recommended to share the most essential and effective data points with the issuer to benefit from 'frictionless' payments.

In a payment request, the merchant must mandatorily transmit the following data:

• Card data in compliance with PCI DSS requirements
• Transaction data: identification numbers, currency, and amount
• Browser data: User location and connection system (language, screen size, IP address, etc.)
• Cardholder data: User's first and last name
• Recurring payment data (if using recurring payments)

To promote frictionless payments, the merchant can:

• Provide additional data
• Indicate their preference for frictionless payment
• Request an exemption

Provide additional data in the payment request

Certaines données complémentaires sont fortement recommandées pour améliorer l’analyse de risque de la transaction par l’émetteur :

• les données sur l’adresse de livraison : ville, code postal, pays…
• Les données sur les détails de la livraison (date de livraison)
• Les données sur le compte de l’utilisateur (date de création du compte chez le commerçant, date de réinitialisation du mot de passe, etc)
• Les données panier (Nombre d’articles dans le panier)
• Le scoring commerçant

Some additional data is strongly recommended to improve the transaction risk analysis by the issuer:

• Shipping address details: city, postal code, country, etc.
• Delivery details (delivery date)
• User account information (account creation date with the merchant, password reset date, etc.)
• Basket data (number of items in the order)
• Merchant scoring

The following JSON objects can be added to payment requests:

• customerInfo

• billingAddress
• shipping
• browserInfo

The recommended data are as follows:

• Information du porteur de la carte
  
  • Nom et prénom
  • Adresse email
  • Numéro de téléphone fixe
  • Numéro de téléphone portable
  • Adresse de facturation
  • Adresse de livraison
• Information sur le navigateur/ Browser (dépend de l’intégration)
  • Adresse IP

• Cardholder information:
  • First and last name
  • Email address
  • Landline phone number
  • Mobile phone number
  • Billing address
  • Delivery address
• Browser information (depends on integration):
  • IP address

Note: All this data will be used to secure the online process with the aim of fighting fraud. Issuing banks are regulated in the management of these confidential data.

Indicate a 'frictionless' payment preference

L’objet JSON threeDsPolicy permet au commerçant d'indiquer son souhait d’offrir un parcours frictionless à son acheteur.

Le paramètre challengePreference indique la préférence du commerçant vis-à-vis de l’authentification :

• NO_PREFERENCE : Le commerçant laisse le choix à l’émetteur d’authentifier l’acheteur
• NO_CHALLENGE : Le commerçant souhaite que l’acheteur ne soit pas authentifié (demande d’exemption, frictionless)
• REQUEST_CHALLENGE : Le commerçant souhaite authentifier l’acheteur.
• MANDATE_CHALLENGE : Le commerçant demande à l’émetteur d’authentifier l’acheteur (par exemple pour la première transaction d’un abonnement)

In all cases, the final decision is made by the issuing bank (the cardholder's bank).

...

"paymentMethods": {
    "integrationType": "HOSTED",
    "type": "CARD",
    "card": {
        "threeDsPolicy": {
            "challengePreference" : "NO_CHALLENGE"
            }
        }
	}
...

Demander une exemption

L’objet JSON threeDsPolicy permet au commerçant d'indiquer une demande d'exemption.

Le paramètre threeDsPolicy – exemption.reason indique l'exemption souhaitée par le commerçant :

• LOW_VALUE : Les transactions à faible montant (inférieur à 30 €)
  • Les banques doivent toutefois demander une authentification si l’exemption a été utilisée cinq fois depuis la dernière authentification réussie du titulaire de la carte ou si la somme des paiements exemptés précédemment dépasse 100 €.
• TRANSACTION_RISK_ANALYSIS : Les transactions à faible risque (TRA : Transaction Risk Analysis)
  • une dérogation à l’obligation d’authentification forte peut être accordée. Pour cela, il faut l'accord préalable de l'acquéreur (sur la base d’une analyse de risque en temps réel de chaque opération).
  • Pour bénéficier de cette exemption, le commerçant doit contacter son chargé d’affaires.

Dans tous les cas, le choix final est défini par la banque émettrice (banque du porteur).