• France
état des services
démonstrations
assistance
FAQContacter le support
Video tutorials
Rechercher
Catégories
Tags
France
France
Espagne
Europe (Anglais)
Inde
Accueil
Cas d'usage
Créer un paiement
Créer un paiement en plusieurs fois
Proposer un paiement complémentaire
Créer un paiement par alias (token)
Créer un lien de paiement
Créer un abonnement
Gérer vos abonnements
Gérer vos transactions (rembourser,...)
Analyser vos journaux
Docs API
Formulaire embarqué
API REST
Formulaire en redirection
SDK Mobile
Échange de fichiers
Mandats SEPA par API REST
Exemples de code
Moyens de paiement
Modules de paiement
Marketplace
Guides
Back Office Marchand
Back Office Expert
Guides fonctionnels

3DS2 : le standard d'authentification

La version 3-D Secure 2 (3DS2) augmente la sécurité des paiements mais aussi l'expérience utilisateur. Elle est basée sur une analyse de risques intelligente et dynamique. Elle permet de réduire le nombre d'abandons et les interactions avec l'acheteur.

Pour cela, une plus grande quantité d'information est utilisée par l'émetteur afin d'évaluer le risque de la transaction.

Si l'émetteur détermine que le niveau de risque de la transaction est faible, l'authentification se fait sans interaction de l'acheteur (Frictionless).

Dans le cas où l'émetteur évalue un risque élevé pour la transaction, une interaction de l'acheteur est nécessaire. On parle de Challenge.

Durant ce challenge, l'acheteur doit répondre à, au moins, deux facteurs d'authentification. Cette méthode d'authentification s'appelle SCA (Strong Customer Authentication).

SCA impose que deux des trois différents facteurs d'authentification soient fournis :
  • Possession : un objet que le client possède (comme le téléphone pour le paiement e-commerce ou la carte bancaire pour le paiement en magasin) ;
  • Connaissance : donnée que seul le client connaît (comme un mot de passe) ;
  • Caractéristique personnelle : élément biométrique caractérisant le client (comme une empreinte digitale, reconnaissance vocale ou reconnaissance faciale).

SCA est requise uniquement lorsque l'émetteur et l'acquéreur sont situés tous les deux dans l'Espace Economique Européen (EEE).

SCA n'est pas obligatoire sur les transactions réalisées avec une carte émise hors de l'EEE, ni si le marchand a souscrit un contrat avec un acquéreur hors de l'EEE, même si la carte est émise dans l'EEE (cas appelé "one-leg").

Les établissements émetteurs de carte déploient progressivement la méthode d'authentification dite forte à deux facteurs partout dans le monde.

Avec 3-D Secure v2 :
  • l'authentification en mode pop-in remplace la redirection vers la page de l'ACS ;
  • l’authentification est mieux adaptée pour les nouveaux canaux de paiement comme les paiements in-app et les paiements via mobile.

Plus d'informations échangées entre les différents acteurs :

Avec la 3DS2, les données partagées sont 10 fois plus nombreuses et peuvent être classées en 4 catégories :

  • Transaction & Données client :

    Contient des informations obligatoires ou optionnelles récoltées depuis le parcours client sur le site marchand et depuis le détail de la transaction :

    • numéro de carte et date d'expiration ;
    • adresse de facturation ;
    • adresse de livraison ;
    • nom du marchand ;
    • URL du site marchand ;
    • pays ;
    • code MCC ;
    • BIN acquéreur ;
    • MID ;
    • montant ;
    • devise ;
    • type de transaction.

  • Données du marchand :

    1. Informations sur le risque marchand :

      Données que seul le marchand est capable de vérifier à partir du détail de la commande et utilisées pour l'analyse de risques :

      • livraison à l'adresse de facturation ;
      • livraison en magasin ;
      • adresse e-mail de livraison ;
      • période de livraison ;
      • achat de carte-cadeaux ;
      • produits disponible ou pré commande ;
      • première commande ou non ;
      • score de l'analyse de risque effectuée par le marchand.
    2. Informations sur le compte client du porteur :

      Informations relatives aux détails ou à l'historique du compte client sur le site marchand :

      • date de création ;
      • date de modification ;
      • date du dernier changement de mot de passe ;
      • nombre de transactions ;
      • activité suspicieuse ;
      • etc.

  • Données sur l'équipement :

    Informations spécifiques à l'équipement (navigateur / application native iOS / application native Android) :
    • adresse IP ;
    • langue ;
    • taille de l'écran ;
    • fuseau horaire ;
    • User-Agent ;
    • entêtes HTTP ;
    • modèle de l'équipement ;
    • nom de l'OS ;
    • version de l'OS ;
    • date et heure ;
    • résolution de l'écran ;
    • coordonnées GPS.

    En fonction du système d'exploitation, plusieurs dizaines d'informations pourront être exploitées (IMEI, fonts, Subscriber ID, etc.).

  • Données d'authentification :

    1. Authentification sur le site marchand :
      Concerne l'authentification (non 3DS) de l'acheteur pour accéder au site marchand :
      • méthode d'authentification ;
      • date et heure de connexion ;
      • données d'authentification.

    2. Précédente authentification forte :
      Données d'authentification 3DS issues d'une précédente transaction réalisée par le même porteur de carte avec le même moyen de paiement :
      • méthode d'authentification (frictionless ou challenge) ;
      • date et heure de l'authentification 3DS ;
      • données d'authentification (numéro de transaction ACS).

  • Les exemptions à l'authentification forte
  • Les transactions non concernées par la SCA
  • Exprimer un choix ou désactiver l’authentification
  • Transfert de responsabilité
  • Schéma de principe de l'authentification
  • Diagramme décisionnel 3-D Secure
Nous recrutons
Mentions légales
Charte de Protection des Données Personnelles
25.19-1.11