Les bonnes pratiques 3-D Secure€¦ · La mise en place du protocole 3DS permet de réduire les...

Les " bonnes pratiques"

3-D Secure

Crédit Agricole S.A, société anonyme au capital de 7 729 097 322 €. Siège social : 12 place des Etats-Unis 92127 Montrouge Cedex. Immatriculée au registre de Nanterre sous le N° de Siren : 784 608 416, N° individuel d’identification, assujettie à la TVA : FR 77 784 608 416. Crédit Agricole S.A est un établissement de crédit de

droit français agréé par l’Autorité de Contrôle Prudentiel, (ACP 61 rue Taitbout 75 736 Paris cedex 09)

Solution E-transactions Version du 01/09/2019

« Bonnes pratiques » 3D Secure

Ce document est la propriété de Crédit Agricole SA. Il ne peut être reproduit ou communiqué à des tiers sans autorisation ii

AVERTISSEMENT Les informations contenues dans ce document n’ont aucune valeur contractuelle. Elles peuvent

faire l’objet de modification à tout moment. Elles sont à jour en date de rédaction au 01/09/2019.

E-transactions est une solution de paiement à distance dans un environnement sécurisé, distribuée

par les Caisses régionales de Crédit Agricole.

Renseignez-vous auprès de votre conseiller sur les conditions générales et tarifaires de cette

solution.



Ce document est la propriété de Crédit Agricole SA. Il ne peut être reproduit ou communiqué à des tiers sans autorisation iii

TABLE DES MATIERES

1. PRINCIPE ........................................................................................................................................................ 2

2. AVANTAGES POUR LE COMMERCANT ............................................................................................................ 4

3. MISE EN ŒUVRE ............................................................................................................................................ 4

4. PARCOURS CLIENT ......................................................................................................................................... 5

5. AUTHENTIFICATION ....................................................................................................................................... 5

6. INDICATEUR DE GARANTIE 3D SECURE .......................................................................................................... 7

7. 3D SECURE PARAMETRABLE .......................................................................................................................... 9

8. IMPORTANT ................................................................................................................................................. 10

9. BON A SAVOIR ............................................................................................................................................. 10

10. GLOSSAIRE 3-D SECURE ............................................................................................................................... 13



Ce document est la propriété du Crédit Agricole. Il ne peut être reproduit ou communiqué à des tiers sans autorisation 2

1. PRINCIPE

Définition d’un protocole de sécurité

La majorité des sites et applications e-commerce qui proposent le paiement en ligne utilisent des protocoles

de sécurité.

Ces protocoles permettent de chiffrer les informations sensibles échangées entre le navigateur de

l’internaute, le site e-commerce et la plateforme de paiement. Ils assurent la confidentialité des informations

échangées mais ne limitent pas la fraude sur les paiements en ligne.

Dans ce contexte, MasterCard et VISA ont créé la technologie 3-D Secure.

Il s’agit d’un procédé d’authentification conçu pour prévenir la fraude sur internet, via un mécanisme

d’authentification ui intervient avant la demande d’autorisation bancaire.

Le mécanisme est mis en place par les banques des commerçants et celles des porteurs de carte.

3-D Secure permet de :

S’assurer que la personne qui réalise la transaction est bien le titulaire de la carte utilisée

pour le paiement

Garantir au commerçant les transactions et d’introduire en cas de contestation du porteur

de carte, un transfert de responsabilité vers la banque de ce dernier

L’authentification du porteur est gérée par sa banque : durant le processus de paiement le porteur est

redirigé vers son établissement bancaire pour confirmer son identité via une page d’authentification.

La Banque de France exige une authentification forte : code unique envoyé par SMS ou par Serveur Vocal

Interactif (SVI), code dynamique à usage unique …

Remarque :

- Le dispositif 3DS ne concerne que les paiements à l’acte sur Internet, effectués par une carte

bancaire Visa (programme « Verified by Visa ») ou MasterCard (programme « MasterCard

SecureCode »).

- American Express dispose de son propre programme équivalent : Safekey.

Exclusions : Les paiements ci-dessous sont exclus du programme 3-D Secure :

- Récurrents (excepté le paiement initial qui lui est soumis au programme 3DS),

- Fractionnés (excepté le paiement initial qui lui est soumis au programme 3DS),

- De vente à distance classique (téléphone, courrier…),

- Créés directement par le commerçant sur un outil de back-office (création, duplication de

transactions) car le porteur n’est pas présent.

- réalisés avec les cartes privatives.

En France, toutes les banques émettrices de cartes adhèrent au programme 3DS.




Légalement vu du porteur

En paiement de proximité c’est-à-dire sur le point de vente, l’identité du porteur est prouvée par la saisie

du code PIN ou par sa signature lors de la vente.

En paiement sur internet sans 3DS, à aucun moment, l’identité du porteur n'est prouvée.

En cas de litige sans 3DS :

En cas de contestation d’un paiement sur internent par le porteur, sa banque se retournera vers la banque

du commerçant afin de lui réclamer les fonds.

Cette somme sera débitée du compte du commerçant si la contestation est validée.

En cas de litige avec 3DS :

En cas de contestation d’un paiement par le porteur lors d'un achat sur internet avec 3DS avec une

authentification réussie, la banque du porteur porte la perte (transfert de responsabilité) car elle a

authentifié le porteur qui a effectué le paiement.

Le commerçant n’est pas débité.

Le code d’authentification :

Le porteur doit être en mesure de pouvoir s’authentifier à chaque paiement sur internet (réception du

code d’authentification, accès à son système d’authentification…)

Sans ce code d’authentification, il ne pourra pas valider son paiement.

Après 3 saisies erronées du code d’authentification 3DS, la transaction en cours est annulée ; il n’y a donc

pas de demande d’autorisation bancaire.

Cas particuliers :

- En d’échec d’authentification 3DS dû à erreur technique dans le processus, la transaction peut être

garantie ou non.

- Si l'authentification 3DS a échoué et que la banque du commerçant réclame le recouvrement de la

somme, la banque du porteur est censée refuser la demande d’autorisation. Si elle l'accepte malgré

tout, le porteur pourra contester ce débit et se faire rembourser (puisqu’il n’y a pas de preuve que

le paiement a été effectué par le porteur).




2. AVANTAGES POUR LE COMMERCANT

La mise en place du protocole 3DS permet de réduire les pertes financières dues à la fraude*. En cas de

d’impayé pour transactions contesté par le porteur de la carte.

Exemple : En cas de contestation d’une transaction 3Dsecure, la perte financière est à la charge de la

banque du porteur. Dans ce contexte, le commerçant est garanti

*Le Crédit Agricole débiter le montant des opérations non garanties (exemple : défaut de réception d’un justificatif 3D Secure)

3. MISE EN ŒUVRE

Le 3D Secure est activé par défaut dans l’offre E-transactions Access et Premium.

Offre E-transactions Access :

Le commerçant doit veiller à paramétrer sa brique de paiement en conséquence :

S’il s’agit d’un développement à la main (PHP, ASP, autres langages web) : aucune action n’est

requise

S’il utilise un module de paiement qui s’intègre à une boutique CMS (Magento, Prestashop,

Wordpress Woocommerce, etc.) : activer la fonctionnalité 3DS

Offre E-transactions Premium – utilisation de l’option Gestion Automatisée des Encaissement :

Le 3DS est activé sur le contrat E-transactions Premium. Le commerçant doit veiller à paramétrer sa brique

de paiement en conséquence :

S’il s’agit d’un développement à la main (PHP, ASP, autres langages web) : intégration du Remote

MPI (Merchant-Plug-In) dans le processus de paiement

S’il utilise un module de paiement qui s’intègre à une boutique CMS (Magento, Prestashop,

Wordpress Woocommerce, etc.) : activer la fonctionnalité 3DS

Anciennes Offre E-transactions (Atos ou Paybox V1)

Le commerçant doit s’assurer d’avoir souscrit à l’option 3-D Secure dans son contrat E-transactions. Le

cas échéant, il doit se rapprocher de son chargé professionnel en Caisse Régionale afin de souscrire à

cette fonctionnalité et également son service support.

Pour la mise en place technique du 3DS, se référer à la documentation afférente au type de contrat

disponible sur l’espace client sur le www.ca-moncommerce.com

https://www.ca-moncommerce.com/ma-documentation/

https://www.ca-moncommerce.com/ma-documentation/

http://www.ca-moncommerce.com/




4. PARCOURS CLIENT

1. Lors du paiement de son achat en ligne, le porteur doit saisir :

Son numéro de carte bancaire figurant sur le recto de la carte

La date de fin de validité de sa carte bancaire figurant sur le recto de la carte

Le cryptogramme visuel figurant au dos de sa carte bancaire, il s’agit d’un code à trois

chiffres

2. E-transactions vérifie si le contrat d’acceptation vente à distance du commerçant est enrôlé 3DS,

auprès d’un annuaire Visa ou Mastercard. Si c’est le cas, la demande est transmise à la banque

du porteur.

3. La banque du porteur vérifie si la carte utilisée est enrôlée 3DS.

4. Si c’est le cas, E-transactions renvoie le porteur vers le site d’authentification de sa banque.

5. Le porteur s’authentifie auprès de sa banque.

6. La banque renvoie le porteur vers E-transactions avec la preuve d’authentification.

7. Une demande d’autorisation est effectuée en utilisant la preuve 3DS.

8. Si l’autorisation est accordée, dans un deuxième temps, E-transactions envoie la remise en

banque et la preuve du paiement 3DS.

9. La preuve du paiement 3DS est archivée et visible dans le Back Office Vision, colonne « Garantie

3DS » dans le détail de la transaction.

5. AUTHENTIFICATION

Comment se passe l’authentification ?

La technologie 3DS permet à la banque du porteur de s’assurer que l’acheteur est bien le titulaire de la

carte en introduisant une étape spécifique dans le processus d’achat : L’authentification.

Chaque banque émettrice de carte décide du ou des moyens d’authentification qu’elle fournit à ses porteurs

de carte. Les banques françaises choisissent des solutions d’authentification forte.

Les niveaux d’authentification

Une authentification faible est une authentification basée sur un élément statique comme une date de

naissance, un code non aléatoire ou une question secrète utilisable pour les paiements sur Internet.




Une authentification forte est une authentification à usage unique pour chaque paiement sur internet.

Elle se différencie par l’association de plusieurs éléments en vue d’assurer son inviolabilité :

Carte matricielle (carte “bataille navale”)

Code secret aléatoire à usage unique envoyé par SMS ou par Serveur Vocal Interactif (téléphone

fixe)

Un code unique fourni par une calculette ou une clé USB (boitier d’authentification), fonctionnant

en liaison ou pas avec la carte de paiement.

Le choix du Crédit Agricole est l’authentification forte




6. INDICATEUR DE GARANTIE 3D SECURE

Les informations relatives au 3DS sont disponibles dans le back-office E-transactions Vision du

commerçant.

1. Dans le listing des transactions (colonne garantie 3DS) :

o Oui : indique que la transaction est garantie 3DS.

o Non : indique que la transaction ne bénéficie pas de la garantie 3DS.

o Oui expiré : indique que la transaction est garantie 3DS sous condition qu’elle ait été envoyée

en banque au plus tard 6 jours après la date de la transaction.

2. Dans le détail d’une transaction onglet Détails :

Porteur authentifié : Indique si la carte du porteur est enrôlée au 3DS et s’il a réussi à s’authentifier

o Y : L’authentification s’est déroulée avec succès

o N : L’acheteur n’est pas parvenu à s’authentifier, la transaction est interdite : la banque de

l’émetteur refuse le paiement (exemple : le code d’authentification n’a pas été saisi

correctement ou en dehors du délai imparti, le code n’a pas été reçu : zone téléphonique

« blanche »)

o U : L’authentification n’a pu être finalisée suite à un problème technique : impossibilité de

saisir le code d’authentification

Exemple : Problème technique qui ne bloquerait pas la transaction (sauf si le commerçant

a demandé un paramétrage dans E-transactions pour n’accepter que les transactions

garanties (full 3DS))

Le commerçant n’est pas garanti

o A : L’authentification n’était pas disponible, mais une preuve de tentative d’authentification

a été générée

Exemple : le porteur n’a pas de portable, ou n’a pas déclaré de numéro de mobile.

Le commerçant est garanti




3. Dans le détail d’une transaction (onglet Garantie 3DS) :

Paiement 3DS : Indique si la transaction a été exécutée avec un contrôle 3DS côté

commerçant :

o « OUI » Avec 3D-Secure

o « NON » Sans 3D-Secure

Remarque : il ne s’agit pas de l’état de garantie de la transaction.

Statut 3DS : Indique l’état d’authentification du porteur selon les règles 3D-Secure

o « Y » l’authentification 3D-Secure est réussie

o « N » l’authentification 3D-Secure a échoué

Enrôlé : Indique le statut d’enrôlement de la carte utilisée pour la transaction :

o « Y » la carte utilisée pour la transaction est enrôlée 3D-Secure

o « N » la carte utilisée pour la transaction n’est pas enrôlée 3D-Secure

Au moment de l’implémentation de la solution de paiement sur sa boutique en ligne, le commerçant doit

veiller avec son intégrateur à activer le 3DS et le paramétrer conformément aux conditions du contrat E-

transactions souscrit :




Contrat E-transactions Premium :

Le e-commerçant qui utilise la gestion automatisée des encaissements pour effectuer des transactions

sans redirection à la page de paiement il doit :

Intégrer le Remote MPI dans le processus de paiement et effectuer une demande d’autorisation.

La livraison de la marchandise s’effectuera si la garantie est « OUI » après la demande d’authentification.

Contrat d’E-transactions Access :

S’il est équipé d’E-transactions Access et/ou qu’il propose du paiement par redirection :

Activer le 3DS si utilisation d’un module de paiement qui permet de paramétrer 3DS.

Vérifier quotidiennement les transactions

Annuler les transactions ayant la colonne garantie à « NON »

Ne pas livrer la marchandise.

En cas d’application d’un différé pour l’envoi en banque :

Paramétrer un différé inférieur ou égal à 6 jours. Toute transaction 3DS envoyée en banque alors

que le statut est « garantie à Oui expirée » ne bénéficiera pas de la garantie. Il est conseillé

d’annuler la transaction.

Le cas échéant, en cas de contestation du porteur, le commerçant ASSUME le risque lié aux transactions

sans garantie 3DS.

Si par défaut le délai de remise en banque est paramétré à J+1, le commerçant peut néanmoins piloter la

remise en banque de chaque transaction et la livraison de la commande.

Si une transaction garantie 3DS (indicateur Garantie à « Oui ») est contestée par le porteur, la réclamation

sera supportée par la banque émetteur.

Par contre, si le commerçant envoie en banque une transaction non garantie (indicateur Garantie à

« Non » ou « Oui expirée »), il prend le risque d’assumer la perte financière due aux impayés en cas

de contestation de la transaction par le porteur.

Remarque : Dans le cas d’un paiement en plusieurs fois ou d’un abonnement simple, les échéances

postérieures au 1er paiement ne sont pas garanties 3DS, car elles ne sont pas réalisées par l’internaute

en mode 3DS mais générées automatiquement.

7. 3D SECURE PARAMETRABLE

L’offre E-transactions Premium offre la possibilité de définir un montant de débrayage du 3DS.

Dans ce cas, le 3DS se déclenchera sur le contrat uniquement si le montant de la commande est supérieur

au montant 3DS défini pour le débrayage.

Les transactions d’un montant inférieur ne seront donc pas garanties 3DS.




8. IMPORTANT

Même en cas d’enrôlement au 3-D Secure, le commerçant doit toujours rester vigilant lorsque

qu’une transaction lui semble frauduleuse.

Par ailleurs, même si le 3DS est activé sur un contrat, des transactions non 3DS (par exemple :

carte porteur non enrôlée 3DS) peuvent s’effectuer.

9. BON A SAVOIR

Le 3DS est un protocole mondial :

La Banque Centrale Européenne à l’aide des directives sur les Services de Paiement (DSP1 et DSP2)

exige une authentification systématique.

Pour les banques émettrices du reste du monde, il n’y a pas d’obligation mais une incitation des réseaux

Visa/MasterCard.

Si un commerçant est 3DS et propose à ses clients lors des paiements d’utiliser le 3DS, il bénéficie alors

de la garantie 3DS (cf tableau à la fin).

Les autres mode d’authentification

L’e-Carte bleue n’est pas concernée, puisqu’un nouveau numéro, unique et temporaire est émis à

chaque tentative de paiement : cela consiste en un système d’identification du porteur non

contestable pour le motif : porteur non à l’origine de la transaction)

Les cartes American Express (American Express a un système similaire dénommé Safekey), JCB,

toutes les cartes privatives.

Les cartes American Express ==> système d’authentification nommé Safekey

JCB ==> système d’authentification nommé …

Un commerçant réalisant des demandes d’authentification (3DS) lors de chaque paiement, et ayant des

réponses positives, n’est pas impacté lors de contestation du porteur pour le motif : non à l’origine de la

transaction (motif 45).

Ce motif représentait 80% des impayés avant mise en place du protocole 3DS (source Fevad 2015)

Attention cependant !

Le transfert de responsabilité ne protège pas contre les litiges commerciaux (erreur lors de livraison,

produits non conformes).

Par conséquent, des impayés pour litiges commerciaux peuvent être acceptés

Si l’impayé est justifié le commerçant sera débité et par conséquent engendrer des débits sur le compte du

commerçant.

Une transaction 3DS ne doit jamais être modifiée, de facto dès que le commerçant fait du débit partiel ou

une duplication de la demande pour un débit supérieur, la protection 3DS n'est plus garantie.




A savoir :

L’enrôlement 3DS du commerçant auprès de Visa / Mastercard prend environ 15 jours.

Si une transaction est effectuée avant que l’enrôlement 3DS ne soit effectif, la transaction ne peut

évidemment pas en bénéficier.

Pour savoir si le contrat est bien enrôlé et que le 3DS est actif, plusieurs solutions :

Faire un test sur la boutique. Il est vivement conseillé d’effectuer une transaction en

production avant l’ouverture du site au public.

Consulter le back office E-transactions dans la rubrique Paramétrage / Contrats

Appeler le support technique E-transactions

Le commerçant doit s’assurer que le 3DS sera systématiquement utilisé pour tout paiement et qu’il

n’a programmé aucune règle sans son accord.

Il est à contrario possible de débrayer (de réaliser une demande d’autorisation pour un paiement SANS

demande d’authentification (3DS): exemple : petit montant, client connu/fidèle (information détenue dans

la base client du commerçant) mais avec un risque de s’exposer à un refus de la banque du porteur…

De plus, le commerçant prend le risque de pertes financières suite à la reception d’impayés pour

motif : porteur non à l’origine de la transaction.

3DS et demande d’autorisation :

En vente à distance, tout paiement par carte bancaire doit faire l’objet d’une demande d’autorisation. Si elle

est acceptée par la banque émetteur au moment de la transaction, elle garantit au commerçant le paiement

du règlement.

Proposition :

En vente à distance, tous les paiements par carte bancaire doivent faire l’objet d’une demande

d’autorisation.

Le commerçant a une obligation d’envoyer en banque (compensation) les transactions dans les délais

suivants :

- Transactions réalisées par le réseau CB : 7 ou 13 jours à vérifier !

- Transactions réalisées par le réseau VISA : 7 jours à vérifier !

- Transactions réalisées par le réseau MASTERCARD : 180 jours à vérifier !

Le cas échéant, une remise tardive pourra faire l’objet d’un rejet de la banque émetteur, même si

les transactions étaient 3D Secure

Le 3DS permet de vérifier l’identité du client et d’écarter les fraudeurs : c’est une garantie

d’authentification du porteur.

Les banques des porteurs (cartes) ont la possibilité d’émettre des impayés (et donc débiter le compte du

commerçant) pour les motifs suivants :

- Le Siret du commerçant est invalide ou fermé

- L’opération a été dupliquée : (erreur de traitement à éviter)

- L’accepteur est suspendu ou radié (ex : procédure de liquidation …)

Par conséquent, le 3DS garantie les transactions uniquement dans le cadre de contestation pour

motif : porteur non à l’origine de la transaction, en aucun cas pour d’autres motifs de contestation.




Pour information :

L’acheteur a 13 mois pour contester un achat.

Si le client conteste (« je ne suis pas à l’origine de cet achat »), alors qu’il a été authentifié 3DS, sa

contestation est rejetée.

Si le client conteste (« je ne suis pas à l’origine de cet achat »), et qu’il n’a pas été authentifié 3DS, sa

contestation est acceptée.

C’est ce système qui a permis de créer la confiance dans l’éco-système d’achats sur internet : le

consommateur sait qu’il est protégé des achats frauduleux réalisé avec sa carte.

En France 90 % des contestations étaient dues à une contestation pour motif : non à l’origine de la

transaction liée au porteur : le 3DS couvre le commerçant sous réserve qu’il l’ait utilisé (non débrayé) et

que le 3DS se soit déroulé correctement.

Quels sont nos conseils ?

Les solutions de paiement sur internet E-transactions Access et Premium intègrent

systématiquement le 3DS

Si la transaction est acceptée mais que le 3DS n’est pas à « OUI », ne pas finaliser la vente, ne

pas envoyer ce paiement en banque

Vérifier avec l’intégrateur le développement web le paramétrage de la solution de paiement : ils

doivent être conformes aux choix du commerçant

Commerçant enrôlé 3DS et utilisant le 3DS = commerçant protégé !




10. GLOSSAIRE 3-D SECURE

3-D Secure est remplacé par l’acronyme 3DS dans ce document.

Banque émetteur : organisme qui a émis la carte bancaire La banque qui détient le compte

bancaire associé à la carte du porteur est appelée « émetteur ».

Banque acquéreur : Organisme financier qui mets à disposition de son client (commerçant…) des

services d’acquisition de transactions de paiement électronique relié à un compte en banque pour

le crédit des transactions.

CMS : Système de gestion de contenu qui met à disposition un ensemble d’outils facilitant la

création d’un site internet.

Commerçant : Professionnel qui accepte l’utilisation d’une carte bancaire pour le paiement d’un

produit ou d’un service. Il doit respecter ses engagements vis-à-vis de sa banque et s’assurer de

la régularité des paiements par carte

Compensation : processus initié par l’envoi en banque d’une transaction pour débiter le porteur

et créditer le compte bancaire du commerçant.

Différé : permet de paramétrer un délai (en jour) avant l’envoi en banque automatique d’une

transaction. Fixé par défaut à J+1.

Paiement de proximité : paiement effectué en présentiel sur un terminal de paiement physique.

Porteur : détenteur de la carte bancaire utilisée pour effectuer le paiement.

Remote MPI : composant Merchant-Plug-In permettant au commerçant d’intégrer le 3DS en

amont de la demande d’autorisation, dans le cadre de l’utilisation de la Gestion Automatisée des

Encaissements pour effectuer du paiement intégré.

VADs : Vente A Distance sécurisée

Gestion automatisé des encaissements : Solution technique disponible dans l’offre Premium

permettant la gestion des transactions directement depuis l’interface du commerçant (site

marchand, application mobile, etc.).

Les bonnes pratiques 3-D Secure€¦ · La mise en place du protocole 3DS permet de réduire les...

Documents

Transcript of Les bonnes pratiques 3-D Secure€¦ · La mise en place du protocole 3DS permet de réduire les...