Vous pouvez laisser vos contributions ou poser vos questions dans le champs “commentaires” en bas de page à notre ”équipe d’experts” composée de représentants de prestataires monétiques de la place (Atos Worldline, Ogone, Paybox, Payline) et des banques ; le cas échéant, ils pourront solliciter des experts du Groupement des cartes bancaires CB, de Visa ou MasterCard pour apporter des éclairages sur des questions particulières.

Qu’est ce que 3D-Secure ?

Quel est l’intérêt pour le commerçant ?

Comment fonctionne 3D-Secure ?

Comment se passe l’authentification ?

Qu’est-ce qu’une authentification faible ? Une authentification forte ?

Quelles solutions d’authentification ont été mises en place par les banques émettrices ?

Comment s’adapter aux différents moyens d’authentification mis en œuvre par les banques émettrices ?

Qu’en pense la Banque de France ?

Les inconvénients & opportunités

Est-ce que 3D Secure fait disparaître toutes les fraudes ?

Est-ce que 3D Secure complexifie les achats de mes clients ?

Est-ce que 3D Secure couvre les transactions suivantes ?

Quel est l’intérêt d’utiliser 3D Secure si l’empreinte de carte bancaire est prise à la commande (ou pour les remises effectuées au -delà des 7 jours) ?

Comment mettre en œuvre le dispositif 3D-Secure dans mon site e-commerce ?

Combien de temps une autorisation en 3D-Secure est-elle valide ?


Qu’est ce que 3D-Secure ?

Mis en place par Visa et Mastercard sous les marques “Verified by VISA” et MasterCard Secure Code”, le dispositif 3-D Secure vise à renforcer la sécurité des paiements par coarte sur Internet exclusivement dans le but de :

– Diminuer les risques de fraude, en particulier d’usurpation d’identité et les impayés relatifs à la répudiation,
– Offrir aux acheteur sur Internet un processus de paiement rassurant par la saisie d’un code secret comme dans le paiement de proximité,
– Conforter le développement du commerce sur Internet en augmentant la confiance des porteurs de cartes.

Ainsi, dès lors que le commerçant et l’internaute sont enrôlés dans le dispositif 3D Secure lorsque l’internaute souhaitera effectuer un paiement sur internet, il sera préalablement dirigé vers le site de sa banque sur lequel il devra s’authentifier afin de valider le règlement de son achat.

Quel est l’intérêt pour le commerçant ?

Le principal avantage est une diminution de la fraude, donc des impayés que vous pouvez être amenés à supporter actuellement (cas de répudiation exclusivement). Lorsque vous bénéficiez du service 3-D Secure, la banque de l’internaute ne peut plus systématiquement rejeter une transaction autorisée dont le porteur conteste en être à l’origine. Pour plus de renseignements, vous pouvez vous rapprocher de votre banque.

Comment fonctionne 3-D Secure ?

  1. Lors du paiement de sa commande, le clients saisit son numéro de carte, la date de validité de sa carte et le cryptogramme visuel (le code à trois chiffres au dos de la carte);
  2. Le prestataire de paiement (banque du marchand ou opérateur) vérifie si le client est enregistré 3-D Secure, auprès d’un annuaire Visa ou Mastercard, c’est-à-dire s’il dispose d’un moyen d’authentification.
  3. Si le client est enrôlé, le prestataire de paiement renvoie le porteur de carte vers le site d’authentification de sa banque.
  4. Le client s’authentifie auprès de sa banque.
  5. La banque renvoie le client vers le prestataire de paiement avec la preuve d’authentification.
  6. Une demande d’autorisation est effectuée en utilisant la preuve 3-D Secure.
  7. Si l’autorisation est accordée, dans un deuxième temps, le prestataire de paiement envoie la remise en banque et la preuve d paiement 3-D Secure.
  8. La preuve du paiement 3-D Secure est archivée.

NB :
– préalablement le commerçant et le porteur de carte doivent avoir été enrôlés dans le dispositif 3D-Secure
– Si la carte du porteur n’est pas 3-D Secure, la cinématique actuelle est inchangée.

Comment se passe l’authentification ?

La technologie 3-D Secure permet de transmettre au serveur d’authentification de la banque du porteur, via les serveurs de VISA et MasterCard, une demande d’authentification du porteur de carte. Il s’agit de s’assurer, lors de chaque paiement, que la carte est bien utilisée par son titulaire. L’authentification du porteur se fait par la saisie d’un identifiant personnel.

Si le porteur de carte est enrôlé, c’est-à-dire qu’il a reçu de sa banque un moyen d’authentification, il est redirigé après la saisie de son numéro de carte vers le site de sa banque qui lui proposera la méthode d’authentification qu’elle a choisie pour ses porteurs.

Le serveur d’authentification de la banque transmet alors le résultat de cette authentification au commerçant qui la retransmet à la banque émettrice dans la demande d’autorisation. En cas d’absence ou d’authentification erronée, le paiement sur Internet ne peut avoir lieu.

Cette authentification n’est valable que pour la transaction en cours dans la limite de la validité de la demande d’autorisation (7 jours). Elle ne peut être réutilisée pour une autre transaction.

Qu’est-ce qu’une authentification faible ? Une authentification forte ?

Une authentification faible est une authentification “rejouable” : elle est basée sur un élément statique comme une date de naissance, un code non aléatoire ou une question secrète utilisable pour les paiements sur Internet.

Une authentification forte est une authentification non “rejouable”, à usage unique. Elle se différencie par l’association de plusieurs éléments en vue d’assurer son inviolabilité : carte matricielle (carte “bataille navale”), code secret aléatoire à usage unique envoyé par SMS ou par téléphone, un code unique fourni par une calculette ou une clé USB (boitier d’authentification), fonctionnant en liaison ou pas avec la carte de paiement.

La Banque de France (BDF) a émis l’obligation de généraliser à partir de juin 2010 des solutions d’authentification forte pour le paiement par carte sur Internet.

Quelles solutions d’authentification ont été mises en place par les banques émettrices ?

(voir aussi la fiche méthodes d’authentification)

Chaque banque émettrice de cartes décide du ou des moyens d’authentification qu’elle fournit à ses porteurs de carte. Si, dans un premier temps, certaines banques françaises ont choisi la date de naissance du porteur, ou demandent au client de choisir un identifiant personnel alphanumérique, suivant les directives de la BDF, les banques migrent progressivement vers des solutions d’authentification forte (code secret par SMS, Tocken…).

Comment s’adapter aux différents moyens d’authentification mis en œuvre par les banques émettrices ?

C’est la solution mise en œuvre par le prestataire de paiement qui dialogue avec les banques émettrices et qui, par conséquent, s’adapte. C’est une chaîne sécurisée qui n’entraîne aucune complexité supplémentaire pour le commerçant car elle est d’ores et déjà intégrée par les prestataires de paiement.

Qu’en pense la Banque de France ?

La position de la Banque de France est claire et sans ambiguïté : Elle oblige les banques à mettre à disposition – pour le 30 juin 2010 – un moyen technique pour une authentification non-rejouable, donc forte, pour les paiements par carte CB, Visa ou MasterCard sur Internet.

Les inconvénients & opportunités

La sécurisation des paiements par carte ne pose pas toujours les problèmes auxquels on pense : on parle on parle généralement de risque pour les titulaires de carte qui hésitent à fournir leur numéro pour une transaction Internet ; on oublie qu’en cas de contestation du titulaire, c’est le marchand qui devra rembourser ce dernier sans autre recours dans la majorité des cas. Soulignons que les craintes de détournement de numéros de carte ne sont pas fondées car l’Internet est devenu un des endroits où il est le plus difficile d’intercepter un numéro. C’est le résultat de l’utilisation de techniques de transport sécurisé telles que SSL et les contraintes relatives à la conservation et au chiffrement des numéros de carte.

Le e-commerçant est face à une réelle problématique : la répudiation.

Cela signifie que, si le titulaire d’une carte bancaire conteste avoir réalisé un achat sur Internet, le commerçant doit le rembourses sans aucun recours dans la plupart des cas, dans un contexte hors 3D Secure.

Pour répondre à cette problématique le protocole 3-D Secure a été mis en place ; il permet à la banque du porteur de s’assurer que l’acheteur est bien le titulaire de la carte. Dès lors qu’elle a répondu positivement à une demande d’authentification et autorisé la transaction, celle-ci est engagée à donner la garantie de paiement, quelle que soit la méthode d’authentification utilisée.

Est-ce que 3-D Secure fait disparaître toutes les fraudes ?

3D Secure ne couvre que :

– la fraude pour “motif fraude – « usurpation d’identité » (ou répudiation), à l’exclusion de tout autre motif (tels les litiges commerciaux)
– les paiements exclusivement réalisés sur Internet en dehors de la vente à distance (VAD) classique (par courrier, téléphone, etc.)
– les paiements dont la remise est effectuée dans la limite de la validité de la demande d’autorisation

A noter que certaines cartes sont exclues du champ d’action du 3D Secure ; pour plus d’information veuillez prendre contact avec votre banque.

Il est donc recommandé d’adopter une politique globale de sécurité appuyée par des contrôles supplémentaires.

Est-ce que 3-D Secure complexifie les achats de mes clients ?

L’authentification introduit une étape nouvelle dans le processus d’achat : si le porteur d’une carte 3D Secure souhaite effectuer un paiement sur votre site, il sera dirigé vers le site de sa banque (après la saisie de son numéro de carte), sur lequel il devra s’authentifier afin de valider le règlement de son achat.

Si la carte du client n’est pas 3D Secure, le déroulement de la transaction reste inchangé.

Est-ce que 3-D Secure couvre les transactions suivantes ?

– Paiements en « n fois » : OUI mais seule la première transaction peut bénéficier du dispositif 3D Secure, le porteur étant présent pour s’authentifier,
– Encaissement différé : OUI, à la condition de ne pas dépasser le délai de validité de la demande d’autorisation indiqué dans le contrat d’acceptation (en général 7 jours).

Quel intérêt à utiliser 3-D Secure si l’empreinte de carte bancaire est prise à la commande (ou pour les remises effectuées au-delà des 7 jours) ?

Pour certains secteurs d’activité, le délai de réassortiment est relativement élevé et impose au marchand d’enregistrer à la commande les coordonnées bancaires du client pour le débiter effectivement après un certain temps. 3-D Secure ne s’appliquera qu’à la première transaction de prise d’empreinte (1 à 2 euros). La transaction véritable ne sera pas protégée d’un risque de répudiation. Néanmoins, le marchand reçoit la preuve de l’authentification de son client et bénéficie ainsi d’une information à valeur ajoutée dans l’évaluation des risques potentiels.

Comment mettre en œuvre le dispositif 3-D Secure dans mon site e-commerce ?

Il vous suffit de souscrire un avenant à votre contrat de vente à distance sécurisé et de demander l’activation à votre prestataire de paiement pour que le dispositif 3-D Secure soit opérationnel.
Si vous utilisez un système de redirection (Atos Worldline Sips Payment, Monext Payline, Paybox System, Ogone e-Commerce), la bascule vers 3-D Secure est transparente.
Si vous utilisez une solution interfacée, il est nécessaire de construire les échanges d’authentification. A cet effet, les équipes techniques des différents prestataires de paiement sont à votre disposition.

Cela suppose préalablement que la banque acquéreur et le prestataire de la solution de paiement se soient mis en position de traiter les transactions 3-D Secure.

Il est possible pour un marchand de choisir en fonction de ses critères propres (montant de panier moyen, type de produits …) d’appliquer 3D-Secure sur les transactions de son choix.
Il doit disposer de 2 contrats monétiques (un Standard et l’autre 3DS) et d’un système technique permettant de les rendre opérationnels. Nicolasletul”s Public Library | Diigo

My mobile nokia 2700 got switched off automatically how to spy on a phone for http://topspying.com/ while installing software

Abonnez-vous à notre newsletter

Recevez l'actualité de L'ACSEL.

Merci et à très vite.