Limiter son risque financier avec le 3D Secure 2.0

Nos services intègrent l’ensemble des processus 3D Secure 2.0 pour une mise en conformité totale avec la DSP2 tout en améliorant votre expérience de paiement.

écran de téléphone qui montre la vérification 3D Secure 2.0 à réaliser par le porteur de carte

Authentification forte

Validation obligatoire de l'identité des porteurs de cartes

Depuis 2019, la Directive des Services de Paiement n°2 (DSP2) a introduit plusieurs exigences visant à limiter les risques de fraude et à protéger les informations bancaires, notamment grâce à l’identification forte du client.
Dans la seconde version du protocole de sécurisation des paiements en ligne, 3D Secure 2.0, chaque transaction est soumise à une authentification forte (Strong Customer Authentication – SCA) afin de certifier que celle-ci est bien réalisée par le porteur de carte.
Pour cela, le payeur doit renseigner au minimum 2 des 3 facteurs d’authentification, définis par l’Autorité Bancaire Européenne (Regulatory Technical Standards – RTS), suivants :
Connaissance d'une information (mot de passe, question secrète, code secret, numéro d'identification, schéma...)
Bien en sa possession (téléphone portable, appareil connecté, token, carte à puce, badge...)
Attribut inhérent qui lui est propre et qui le caractérise (empreinte digitale, la reconnaissance faciale, vocale ou de l'iris...)

Évaluation du risque pour fluidifier les transactions cartes clients

L’authentification forte est réalisée sur décision de la banque émettrice. Certains cas de figure existent, où celle-ci accorde au marchand une exemption de 3D Secure 2.0, lui permettant de se soustraire à l’authentification forte systématique.
Dans cette configuration, la banque se base sur un score de risque, calculé grâce à l’exploitation de données complémentaires, qui replacent le paiement dans son contexte. L’analyse contextuelle s’effectue grâce au partage de près de 150 données en provenance
Du téléphone, dans le cas d'un paiement mobile
Du navigateur, dans le cas d'un paiement depuis un browser
Du risque marchand

Cette opération est réalisée en tâche de fond et ne perturbe pas le processus de paiement.

Parmi les 12 données collectées sur les plateformes mobiles, on retrouve notamment :
  • Le type de plateforme utilisée avec l’adresse IP du porteur
  • Le nom et le modèle du périphérique, la résolution de l’écran
  • Le système d’exploitation ainsi que la version d’OS est également inclus
  • Le fuseau horaire et la position de l’appareil
Les données capturées depuis le navigateur du client sont, dans certains cas, similaires aux informations évoquées dans la partie mobile. Elles sont réparties en 9 catégories :
  • Accept Headers (en-têtes) : indiquent les types de contenu (MIME) que le navigateur est capable de comprendre.
  • Adresse IP : l’adresse IP du PC sur lequel le navigateur est en cours d’exécution.
  • Java Enabled : indique si le navigateur est activé Java
  • Language : indique la langue utilisée par le navigateur du détenteur de la carte.
  • Screen Colour Depth : indique la profondeur de la palette de couleurs utilisée pour l’affichage des images à l’écran.
  • Screen Height : indique la hauteur totale de l’écran du détenteur en pixels
  • Screen Width : indique la largeur totale de l’écran du détenteur de carte en pixels.
  • Time Zone : indique la différence de temps entre l’UTC et l’heure locale du détenteur de la carte.
  • User-Agent : indique le contenu exact de l’en-tête HTTP User-agent.
Afin d’enrichir la transaction de données contextuelles et de minimiser le risque, la banque a la possibilité de collecter et d’utiliser des informations supplémentaires sur les titulaires de carte.
  • Le « compte client » : les données du client détenues par le commerçant dans le cadre d’un compte enregistré (âge du compte, dates de toute modification apportée au compte, adresse de livraison et fréquence des transactions, y compris les transactions réussies et abandonnées…).
  • Les achats : habitudes d’achat du client, si les produits ou les services achetés ont été commandés auparavant (indicateur de nouvelle commande d’articles), lieu où la commande est expédiée (indicateur d’expédition) et si la commande est achetée en amont (indicateur de commande pré-achat).
  • L’authentification des transactions passées : éventuelles frictions durant les transactions (demande d’authentification supplémentaire, date et heure des tentatives précédentes).
L’authentification du compte marchand du titulaire de carte : login client sur le compte marchand, support de l’opération (navigateur ou application mobile). L’information optionnelle peut inclure des justificatifs concernant l’émetteur et l’authentification de tiers, (Google, Apple). Si l’information existante n’est pas disponible par le détenteur de la carte, les données sont paramétrées en Guest (invité).

Exemptions

Les autres cas d'exemptions du protocole 3D Secure 2.0

  • Pour les paiements inférieurs à 30 euros
  • Pour les marchands à faibles risques
  • Pour les paiements récurrents (les abonnements)
  • Pour les bénéficiaires de confiance, les marchands inscrits sur liste blanche
  • Pour les paiements par carte d’affaires
  • Pour les transactions MOTO
  • Pour les transactions hors Europe

Questions fréquentes

Tout savoir sur le 3D Secure 2.0 avec CentralPay

Évolution du protocole sécurisé 3D Secure, la version 2.0 offre de nouveaux avantages :

  • Data oriented : Il utilise une approche plus intelligente, en recueillant davantage de données sur la transaction pour évaluer le niveau de risque et déterminer si une authentification est nécessaire.
  • Expérience utilisateur améliorée : Afin de réduire les frictions et ne pas endommager l’expérience utilisateur, le 3D Secure 2.0 incorpore l’authentification forte de manière plus fluide dans le processus de paiement.
  • Sécurité renforcée : Avec des méthodes d'authentification et d’analyse plus avancées, le 3D Secure 2.0 permet l’identification plus précise des transactions frauduleuses, tout en réduisant les faux positifs.
  • Multi-appareils : Contrairement à sa première version, le 3D Secure 2.0 est maintenant pris en charge sur une large variété d'appareils, offrant une authentification plus fluide sur tous les supports, y compris les smartphones et les tablettes.

La nouvelle version du protocole 3D Secure impose aux banques émettrices l’exécution de l’authentification forte à chaque paiement.

 

Dans la pratique, celles-ci se basent sur l’analyse certains facteurs, afin de calculer le score de risque de la transaction. Si les conditions de paiement sont considérées comme habituelles et sans risque, le porteur de carte pourra bénéficier d’une authentification frictionless, sans redirection vers l’application de sa banque.

Le 3D Secure 2.0 répond aux exigences d’authentification définies par les normes techniques de la réglementation (Regulatory Technical Standards – RTS) publiées par l’Autorité Bancaire Européenne (ABE) et approuvées en 2018.

 

En 2019, dans le cadre de la Directive des Services de Paiement n°2 (DSP2), le Parlement Européen a rendu obligatoire l’authentification forte (Strong Customer Authentication – SCA) afin de limiter les risques de fraude.

Non. Le protocole est conçu pour ajouter une couche de sécurité supplémentaire aux paiements en ligne et protège à la fois les e-commerçants et les consommateurs, en réduisant les risques de fraude liée à l'utilisation de cartes bancaires.

Prêt à intégrer CentralPay ?

Exposez votre projet et votre volumétrie de paiement à nos équipes commerciales.
Nous vous adresserons une analyse de faisabilité ainsi qu'une proposition tarifaire adaptée.
Nos techniciens vous guideront dans nos documentations API afin de démarrer votre intégration rapidement et dans les meilleures conditions.

Contactez l'équipe commerciale
Consultez nos ressources documentaires
Logo de CentralPay (blanc)

CentralPay est un Établissement de Monnaie Électronique agréé par la Banque de France à travers son Autorité de Contrôle Prudentiel et de Résolution (CIB 17138).

logo de la directive sur les services de paiement (DSP2) (blanc)
logo SWIFT (blanc)
logo du PCI-DSS (blanc)
logo de l'EBA CLEARING (blanc)
logo de European Payments Council (blanc)
Moyens de paiement

Carte bancaire

Virement

Prélèvement

Initiation de paiement

Paiements récurrents

Paiement par abonnement

Paiement fractionné

À propos

Tarifs

L'établissement CentralPay

Devenir partenaire

Carrière  hiring!

Linkedin-in
Plan de site | Mentions légales | Politique de confidentialité | Politique de Cookies | Nos Conditions Générales d’Utilisation
Plan de site
Mentions légales
Politique de confidentialité
Politique de cookies
Nos Conditions Générales d’Utilisation