...
4.1. Cinématique d’un paiement simple
Figure 1 : Cinématique d’un paiement simple (sans 3DS)
Voici les étapes principales d’un paiement avec cette nouvelle interface :
- L’acheteur valide son panier, le navigateur envoie une requête http sur le serveur commerçant ;
- Le serveur commerçant :
- génère une référence unique de commande ;
- chiffre avec sa clé d’accès la chaine composée de la référence commande et du numéro de contrat ;
- construit et renvoie le formulaire au navigateur .;
- L’acheteur saisit et valide ses données (paiement, adresse de facturation, etc…) ;
- Le navigateur réalise un appel à la servlet Payline « getToken » ;
- La servlet Payline traite la requête :
- déchiffre les données à partir de la clé commerçant ;
- affecte un CVV virtuel à la transaction (valable pour une seule commande) ;
- tokenize le numéro de carte ;
- chiffre, à partir de la clé du commerçant, le token, la date d’expiration et le CVV virtuel (+ autres infos sur la carte) ;
- retourne les données au navigateur avec éventuellement une redirection http vers la « returnURL » (http 302 en mode synchrone) ;
- Le navigateur réalise un appel au site du commerçant pour passer les données du formulaire (sans les données bancaires) + avec le message chiffré par Payline ;
- Le serveur commerçant :
- déchiffre le message avec sa clé d’accès pour obtenir : le token, la date d’expiration et le CVV virtuel.
- vérifie que la référence de commande déchiffrée est bien celle attendue ;
- appelle le WS Payline « doAuthorization » avec les données déchiffrées ;
- Le WS Payline « doAuthorization » :
- appelle le tokenizer pour obtenir le numéro de carte à partir du token ;
- récupère le CVV à partir du CVV virtuel ;
- appelle la banque du commerçant pour réaliser une demande d’autorisation ;
- réalise les contrôles anti-fraude ;fraude.
Figure 1 : Cinématique d’un paiement simple (sans 3DS)
4.2. Cinématique d’un paiement 3DSecure
Figure 2 : Cinématique d’un paiement simple avec 3DSecure
Voici les étapes principales pour un paiement 3DSecure :
- L’acheteur valide son panier, le navigateur envoie une requête http sur le serveur commerçant ;
- Le serveur commerçant génère un formulaire comme dans la cinématique précédente ;
- L’acheteur saisit et valide ses données (paiement, adresse de facturation, etc…) ;
- Le navigateur :
- appelle la servlet « getToken » ;
- appelle le serveur du commerçant avec les données Payline et les autres données du formulaire.
- Le serveur du commerçant :
- déchiffre les données Payline pour récupérer le token, la date d’expiration et le CVV virtuel ;
- stocke dans la session de l’acheteur ces données ;
- appelle le WS Payline « verifyEnrollment » avec le token et la date d’expiration.
- Le WS Payline « verifyEnrollment » :
- déduit le numéro de carte réel à partir du token carte ;
- demande au MPI l’adresse de l’ACS de l’acheteur.
- L’acheteur :
- est redirigé sur l’ACS de sa banque ;
- s’identifie ;
- est redirigé sur le site du commerçant (cf. TERM_URL).
- Le serveur commerçant appelle le WS Payline « doAuthorization » avec le token, la date d’expiration, le CVV virtuel et le PARes ;
- Le WS Payline « doAuthorization » :
- déduit le numéro de carte réel à partir du token carte ;
- appelle le MPI pour vérifier le PARes ;
- continue avec les autres étapes de la première cinématique …
Figure 2 : Cinématique d’un paiement simple avec 3DSecure
4.3. Cinématique d’un paiement 3DSecure déclenché par le module anti-fraude
...
5.2.2. Données en entrée
Nom du champ | Obligatoire | Format | Commentaire |
Données à générer par le commerçant | |||
accessKeyRef | O | AN(20) | Référence de la clé d’accès du commerçant Ex : IWdJoDqyGT6wOQVIf3zM |
data | O | AN | Données commerçant : - chiffrées en AES256 et - encodées en base64_url. Clé secrète : SHA-256 de la clé d’accès commerçant Contenu : tableau spécifique ci-dessous |
returnURL | F | AN | URL de retour sur le site du commerçant. À utiliser pour les requêtes POST+redirection |
Données de la carte saisies par l’acheteur | |||
cardNumber | O | N(19) | Numéro de la carte |
cardExpirationDate | F | MMYY | Date d’expiration Obligatoire pour CB/Visa/Mastercard/Amex |
cardCvx | F | N(4) | CVV Obligatoire pour CB/Visa/Mastercard/Amex |
Le champ data contient les informations suivantes (valeurs séparées par des points virgules) :
Index | Valeur | Obligatoire | Format |
1 | Identifiant du commerçant | O | AN(19) |
2 | Référence unique de commande générée par le commerçant | O | N(50) |
3 | Numéro de contrat | O | AN(50) |
Remarque : Le nombre de requêtes getToken est limité à 3 tentatives pour chaque référence commande. Si vous obtenez 3 erreurs lors d’une commande, il faudra re-générer une chaine chiffrée qui se base sur une nouvelle référence de commande.
...
Le service retourne soit une liste de valeur encodées, soit un code erreur si la fonction ne s’est pas déroulée correctement.
Nom du champ | Obligatoire | Format | Commentaire |
Données à générer par le commerçant | |||
data | F | AN | Retourné si la fonction se déroule correctement. Données : - compressées avec l'algorithme gzip ; - chiffrées en AES256 et - encodées en base64_url. Clé secrète : la même qu'en entrée Contenu : tableau ci-dessous Exemple : 497910Aztyqdeidn1234;1113;v456… |
errorCode | F | N(5) | Fourni en cas d’erreur, cf. tableau suivant |
Le champ data contient les informations suivantes (valeurs séparées par des points virgules) :
Index | Valeur | Obligatoire | Format |
1 | Token associé au numéro de de carte Ex : 497910AztyqdEGdn123 | O | AN(19) |
2 | Date d’expiration de la carte (même donnée qu’en entrée) | F | MMYY |
3 | CVV virtuel, il devra être restitué dans la demande d’autorisation sans être modifié Ex. : v456 | F | AN(5) |
4 | Référence commande identique à celle passée en entrée. Pour éviter un éventuel rejeu, le commerçant doit contrôler que cette référence est bien celle attendue. Si tel n’est pas le cas, il doit refuser la transaction et envoyer une annulation à Payline | O | AN(50) |
5 | Type de carte Ex. : VISA | O | AN |
6 | Indicateur « isCVD » (carte virtuelle) | O | Y ou N |
7 | Code pays de la carte Ex. : FR | F | AN(2) |
8 | Code produit de la carte Ex. : L (pour Electron) | F | AN(3) |
9 | Code de la banque émettrice de la carte Ex : 30003 | F | AN(11) |
5.2.4. Codes d’erreur
Code | Message court | Message long |
09101 | Transaction refused | Accès non autorisé |
09102 | Transaction refused | Compte commerçant bloqué ou désactivé |
02703 | Transaction refused | Action non autorisée |
02303 | Transaction refused | Numéro de contrat invalide |
02623 | Transaction refused | Nombre d’essai maximal atteint |
02624 | Transaction refused | Carte expirée |
02625 | Transaction refused | Format du numéro de carte incorrect |
02626 | Transaction refused | Format de la date d’expiration incorrect ou date non fournie |
02627 | Transaction refused | Format du CVV incorrect ou CVV non fourni |
02628 | Transaction refused | Format de l’URL de retour incorrect |
02631 | Transaction refused | Délai d’attente expiré |
5.3. API webservice
Les webservices Payline ont évolué de façon à être compatible avec le paiement en mode Ajax.
...