En raison de l’entrée en vigueur de la directive PSD2, tous vos clients devront réaliser avec succès une vérification par authentification 3-D Secure (hormis certaines exclusions et exemptions clairement définies). Pour vous assurer que 3-D Secure est correctement mis en place pour vos transactions à chaque fois que c’est nécessaire, suivez cette liste de vérification :

1. Confirmez que 3-D Secure est actif pour toutes les méthodes de paiement par carte de crédit dans votre Back Office via Avancé > Fraud detection > 3D-Secure
   
   
   L’image ci-dessus montre où trouver le statut d’activation 3-D Secure pour vos méthodes de paiement dans le Back Office
   
   Si pour l’une de vos méthodes de paiement, le statut « Actif » n'apparaît pas dans la colonne « Statut 3-D Secure », contactez-nous
   
   
2. Vérifiez que votre intégration met correctement en œuvre l’étape 3-D Secure. Pour le Page de paiement hebergée, nous le faisons pour vous, mais pour DirectLink, vous devez l'implémenter vous-même
   
   
3. Comprenez quand des exclusions et exemptions de 3-D Secure s’appliquent. Apprenez comment les mettre en œuvre correctement pour Page de paiement hebergée et DirectLink
   
   
4. Sachez quand ne pas réaliser l’authentification 3-D Secure à l’aide de notre fonctionnalité Soft Decline et comment la récupérer via DirectLink

Si une transaction atteint le statut 2, il est important que vous sachiez si cela est lié à une violation de PSD2. Notre plateforme vous propose plusieurs sources d’informations qui vous apporteront de l’aide. Utilisez-les pour confirmer que votre intégration tient compte de la directive PSD2 : 

1. Recherchez le code d’erreur de la transaction. Les erreurs liées à PSD2 les plus courantes sont :
   

   NCERROR	Source du problème/solutions éventuelles
   40001137	Vous avez demandé à notre plateforme de réaliser l’étape d’autorisation sans vérification 3-D Secure Étant donné que la banque de votre client a refusé la transaction, cela échappe à votre contrôle
   40001139	Refus Soft Decline Mettre en œuvre une procédure de récupération en temps réel dans votre logique commerciale via DirectLink
   40001134	Votre client n’a pas été en mesure de réaliser avec succès la procédure de vérification 3-D Secure Contactez votre client afin de savoir pourquoi il/elle n’a pas été en mesure de réaliser avec succès la vérification
   40001135	L’émetteur de votre client n’était pas disponible pour réaliser la vérification 3-D Secure Étant donné que la banque de votre client n’a pas réalisé la vérification 3-D Secure, cela échappe à votre contrôle. Envisagez de proposer des méthodes de paiement alternatives pour les nouveaux essais de paiement

   Consultez notre Codes d'erreur de transaction consacré à ce sujet pour des informations détaillées concernant ces raisons de refus

2. Recevez le paramètre CH_AUTHENTICATION_INFO dans vos retours d’informations concernant les transactions pour Page de paiement hebergée et DirectLink. Il contient des informations au sujet des raisons du refus fournies par les émetteurs de vos clients
   
   
3. Consultez notre 3-D Secure status guide consacré à ce sujet pour vous familiariser avec 3-D Secure. Comprenez tous les statuts 3-D Secureet apprenez à lire le livre journal des authentifications

La deuxième Directive Européenne relative aux Services de Paiement (2015/2366 DSP2), entrée en vigueur en janvier 2018 et qui vise à assurer la protection des consommateurs pour tous les types de paiement, en promouvant un paysage de paiements encore plus ouverts et concurrentiels. En tant que fournisseur de services de paiement, nous sommes fiers d’être certifiés selon la norme DSP2 depuis le 29 mai 2018.

L'une des principales exigences de la DSP2 concerne l’authentification forte (SCA) qui sera requise pour toutes les transactions électroniques dans l'UE à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni. L’authentification forte exigera que les détenteurs de cartes s'identifient avec au moins DEUX des trois méthodes suivantes :

• quelque chose qu’ils connaissent (code PIN, mot de passe, …)

• quelque chose qu’ils possèdent (lecteur de carte, mobile, …)

• quelque chose qu’ils sont (reconnaissance vocale, empreinte digitale, …)

Cela signifie que vos clients ne pourront plus, en pratique, effectuer un paiement par carte en ligne en utilisant uniquement les informations figurant sur leurs cartes. Par exemple, ils devront valider leur identité via une application bancaire connectée à leur téléphone et nécessitant un mot de passe ou une empreinte digitale pour approuver leur achat.

Plus d'informations sur DSP2 sont disponibles ici : https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf

A partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, les règles d’authentification forte entreront en vigueur pour tous les paiements digitaux en Europe. À l'heure actuelle, les banques, les prestataires de services de paiement et les réseaux de cartes travaillent tous sur des solutions techniques qui répondront aux exigences de la DSP2. Pour accepter les paiements après le 1er janvier, vous devrez vous assurer que ces solutions techniques fonctionneront avec votre boutique en ligne.

Afin d’accepter les paiements des plus grands réseaux de cartes au monde, Visa, Mastercard et Amex, il est impératif que vous ayez implémenté la solution de sécurité 3D-Secure pour votre boutique en ligne. Le 3D-Secure est utilisé depuis 2001 et vise à améliorer la sécurité des transactions par carte en ligne, mais une nouvelle version a été développée pour faciliter les exigences de l’authentification forte de la DSP2.

Nous vous recommandons d'utiliser 3D-Secure, car cela permet d'éviter les risque de fraude et vous dégage également de toute responsabilité en cas de fraude. À partir du 1er janvier 2021, le 3D-Secure sera également nécessaire pour accepter les paiements des principales cartes.

Tout d’abord, veillez à ce que le système 3-DS soit activé sur votre boutique en ligne pour tous les moyens de paiement (Visa, MasterCard, American Express, Carte Bancaire, JCB). Vérifiez que c’est bien le cas. Dans le cas contraire, veuillez contacter notre service support pour l’activer.

Étant donné que la version 2 de 3-D Secure (3DSv2) a pour objectif d’accorder à la banque émettrice le déclencheur Strong Customer Authentication (SCA), la banque émettrice doit mieux évaluer le risque inhérent à la transaction. En conséquence, la spécification 3DSv2 contient de nombreux éléments de données. Bonne nouvelle si vous utilisez notre outil anti-fraude, car certains d’entre eux sont déjà largement utilisés dans le cadre de notre filtrage anti-fraude !  Bien sûr, certains sont nouveaux et propres à 3-D Secure v2. Pour résumer, les éléments de données peuvent être classés comme suit:

• Informations obligatoires – données du navigateur:
• Nom du titulaire de la carte (CN)
• Intégration avec les paniers d’achat?
  Nous vous invitons à vous rendre sur la plateforme d’achat du panier pour installer la dernière version du plugin Worldline ou à contacter votre fournisseur directement.
• Si vous utilisez notre page eCommerce, les informations obligatoires sont recueillies par Worldline. Vous pouvez directement consulter les informations recommandées ci-dessous.
• SI vous utilisez votre propre page de paiement, vous devez recueillir les informations obligatoires vous-même comme suit. Nous vous conseillons de consulter notre page d’aide pour découvrir comment et pour voir un exemple de java script.

• Plus d’informations dans le guide DirectLink 3D

• Informations recommandées – elles peuvent être utilisées dans le cadre du filtrage de prévention anti-fraude:
  • Email (EMAIL)
  • Adresse IP (REMOTE_ADDR)
  • Numéro de téléphone (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber ...)
  • Adresse de facturation (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 ...)
  • Adresse de livraison (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 ...)

• Veuillez noter que les paramètres recommandés/facultatifs doivent être fournis pour bénéficier du flux sans frictions qui peut augmenter votre conversion.

• Informations facultatives – données complémentaires sur le détenteur de la carte/compte telles que présentées par EMVCo:
• Mpi.cardholderAccountAgeIndicator
• Mpi.cardholderAccountChange
• Mpi.cardholderAccountPasswordChange
• Mpi.suspiciousAccountActivityDetected
• Mpi.threeDSRequestorChallengeIndicator

• Plus d’informations dans la liste exhaustive

Nos API existantes capturent déjà de nombreux éléments de données, mais nous en ajoutons de nouveaux. Nous pensons en effet que tous les participants de l’écosystème de paiement bénéficient d’une sécurité améliorée avec un impact négatif sur l’expérience client réduit. Les paiements se basent sur la confiance et en fournissant davantage de données, les parties auront tendance à se faire confiance plus facilement, tout en éliminant les difficultés supplémentaires éventuelles liées à l’authentification du client. Presque tous les éléments de données nouvellement ajoutés sont facultatifs, mais nous vous conseillons d’en fournir le plus possible. Cela permet de favoriser l’intégration de vos transactions dans le flux sans frictions, tout en bénéficiant de la transition des responsabilités. Dans le cas où vous utilisez la page de paiement hébergée par Worldline, nous capturerons les données associées au navigateur automatiquement.

Le niveau des modifications requises varie en fonction du type d’intégration dont vous bénéficiez avec Worldline.

Si vous utilisez notre page page de paiement Worldline Worldline s’occupera de tous les champs obligatoires.

Si vous êtes intégré en DirectLink, ce qui signifie que vous avez votre propre page de paiement, nous avons un exemple Javascript disponible sur la page de support pour collecter les données obligatoires.

Pour la collecte facultative d'informations, reportez-vous à notre page de support pour savoir comment intégrer avec Worldline.

Si l’émetteur applique la nouvelle procédure PSD2 et que 3-D Secure (3DS) n’est pas activé dans le compte du marchand, la transaction sera refusée via un nouveau code d'erreur - "soft decline". Par conséquent, veuillez vous assurer que 3DS est actif pour chaque méthode de paiement par carte de votre(vos) compte(s). Si vous êtes intégrés avec DirectLink (server to Server), vous devez implémenter le mécanisme du "soft decline" comme décrit dans notre guide.

Pour plus d'informations, le commerçant peut contacter sa banque acquéreuse.

Toutes les informations relatives à la norme PCI se trouvent sur le site Web du PCI Security Standard council website (conseil de normalisation pour la sécurité des données PCI).

Worldline fournit des services de paiement conformes aux normes les plus récentes en matière de sécurité des données dans le secteur des paiements : PCI DSS

PCI DSS comprend un large ensemble d’exigences et de contrôles de sécurité qui sont mis en œuvre et exécutés régulièrement.

Ces contrôles de sécurité visent à maintenir un niveau de sécurité élevé et constant sur la plate-forme de paiement pour une protection optimale des transactions et des données.

Le paramétrage correct du firewall est important pour assurer le traitement des transactions avec succès.

Lisez notre guide qui est consacré