Documentation Monext Online

Arborescence des pages

Comparaison des versions

Ancienne version 2

changes.mady.by.user Rodolphe GARIN

Sauvegardée le

comparé à

Nouvelle version Actuel

changes.mady.by.user Benoit RENARD

Sauvegardée le

Légende

  • Ces lignes ont été ajoutées. Ce mot a été ajouté.
  • Ces lignes ont été supprimées. Ce mot a été supprimé.
  • La mise en forme a été modifiée.
Commentaire: Reprise du contenu du tableau des fonctions qui était illisible - Reste à corriger le style


Image Added   

Content 3DSV2

Sommaire
maxLevel1
stylenone



Développer
titleListe des fonctionnalités avancéesAdvanced features..
Contenu par étiquette
showLabelsfalse
max10
spacescom.atlassian.confluence.content.render.xhtml.model.resource.identifiers.SpaceResourceIdentifier@9a3
showSpacefalse
sorttitle
typepage
cqllabel = "fonctionnalite_avanceeadvanced_features" and label = "en" and type = "page" and space = "DT"
labelsbancontact belgique choixdelamarque



What is DSP2 ?

The new Payment Services Directive (DSP2) initiated by the European Commission has been applied since 01/13/2018.

Objective: Strengthen the security of online payments

The European Banking Authority (EBA) has developed implementing measures called Regulatory Technical Standards (RTS) which will come on 09/14/2019.
DSP2 will make SCA (Strong Customer Authentication) or two-factor authentication mandatory for online transactions.


What is SCA strong authentication ?

To strengthen the protection of buyers during remote payments, the PSD2 makes mandatory

Qu'est-ce qu'une authentification forte SCA ?

Pour renforcer la protection des acheteurs lors de paiements à distance, la DSP2 rend obligatoire l'authentification SCA (Strong Customer Authentication) , aussi appelée « authentification à deux facteurs ».

Une authentification forte de l'acheteur nécessite la vérification d’au moins deux facteurs parmi les 3 suivants :

authentication, also known as “two-factor authentication”.

Strong buyer authentication requires verification of at least two of the following 3 factors:

  • Knowledge: what the buyer knows (PIN, password);
  • Possession: what the buyer has (card
  • Connaissance : ce que l'acheteur sait (PIN, mot de passe) ; 
  • Possession : ce que l'acheteur possède (carte, mobile, token);
  • Inhérence : ce que l'acheteur est (empreinte digitale, reconnaissance faciale, iris).
  • Inherence: what the buyer is (fingerprint, facial recognition, iris).

which are independent of each other in the sense that the compromise of one does not lead to the compromise of the otherqui sont indépendants l’un de l’autre en ce sens que la compromission de l’un n’entraine pas la compromission de l’autre.


Extrait
hiddentrue

Catégorisation des facteurs d’authentification forte (SCA)

Facteur

Connaissance

Possession

Inhérence

SMS One-time password (OTP)

X

Autres codes générés dynamiquement (code transmis par l’application de la banque)

X

Numéro de carte, Date d’expiration et CVV

X

X

Mot de passe ou PIN

X

X

Fingerprint

X

X

Reconnaissance Faciale

X

X

Reconnaissance Vocale

X

X

Biométrie comportementale

X

X

Bien que non reconnue comme une méthode d'authentification forte par l'autorité bancaire européenne, le SMS-OTP sera encore utilisé le temps que de nouvelles méthodes (biométrie par exemple) prennent le relais.

Cette méthode adoptée massivement par les acheteurs, a contribué à faire baisser significativement les taux de fraude pour les paiements carte en e-commerce. Elle est actuellement la plus répandue chez les banques (86%).

Quels sont les impacts pour votre activité ?

La DSP2 s'applique aux banques et non aux marchands, cela signifie que les banques émettrices qui accepteront des transactions non conformes s'exposent à être hors la loi.

Toutes les transactions ne sont pas soumises aux RTS (voir les cas hors scope et les exemptions), le champ d'application des RTS est décrit dans l'article suivant. Périmètre d'application des RTS SCA

  • Dans le cas d'une transaction hors scope, l'authentification forte n'est pas requise.
  • Si une transaction rentre dans le périmètre d'une exemption, l'authentification forte est optionnelle et le choix d'authentifier fortement est entre les mains de la banque de l'acheteur .
  • Si une transaction ne rentre pas dans le périmètre d'une exemption, l'authentification forte est obligatoire.

Une authentification forte impacte le parcours utilisateur et le taux d'acceptation en particulier sur mobile, il convient donc de la déclencher que pour les transactions risquées. 

Les objectifs pour le marchand sont par conséquent : 

  • la mise en conformité afin d'éviter des transactions en refus ;
  • la conservation d'une expérience utilisateur optimale ;
  • la réduction de la fraude.

Nous vous fournissons les outils qui vous permettront d'atteindre ces objectifs.



Although not recognized as a strong authentication method by the European banking authority, the SMS-OTP will still be used until new methods (biometrics for example) take over.


This method, adopted massively by buyers, has helped to significantly lower the fraud rates for e-commerce card payments. It is currently the most common among banks (86%).


What are the impacts for your activity ? 

PSD2 applies to banks and not to merchants, which means that issuing banks that accept non-compliant transactions run the risk of being outlawed.

All transactions are not subject to RTS (see out-of-scope cases and exemptions).

  • In the case of an out of scope transaction, strong authentication is not required.
  • If a transaction falls within the scope of an exemption, strong authentication is optional and the choice to strongly authenticate is in the hands of the buyer's bank.
  • If a transaction does not fall within the scope of an exemption, strong authentication is mandatory.


Strong authentication impacts the user journey and the acceptance rate, in particular on mobile, so it should only be triggered for risky transactions.

The objectives for the merchant are therefore:

  • compliance in order to avoid refused transactions; 
  • maintaining an optimal user experience;
  • reducing fraud.

We provide you with the tools to achieve these goals.


3DS V2

The rules describing SCA are technically neutral and do not impose any particular method.

The 3DS V2 protocol provides a mechanism which enables strong authentication to be carried out in accordance with the DSP2.

The main advantage of 3DS is to shift the responsibility for possible fraud from the merchant to the card issuer, which reduces chargebacks.

However, many merchants do not use the 3DS solution due to loss of conversion rates and service costs.

As a reminder, the main disadvantage of the 3D-Secure 1.0 version :

  • payment process can be complicated or confusing for a cardholder, resulting in lower conversion (abandoned carts issue

3DS V2

Les règles décrivant la SCA sont techniquement neutres et n’imposent aucune méthode particulière.

Le protocole 3DS V2 fournit un mécanisme qui permet de réaliser une authentification forte en conformité avec la DSP2.

Le principal avantage de 3DS est de transférer la responsabilité de la fraude éventuelle du commerçant à l'émetteur de la carte (liability shift), ce qui réduit les impayés.

Néanmoins, de nombreux commerçants n'utilisent pas la solution 3DS à cause des pertes de taux de conversion et des coûts de service.

Pour rappel les principaux inconvénients de la version 3D-Secure 1.0 :

  • La cinématique peut être compliquée ou déroutante pour un titulaire de carte, ce qui entraîne une conversion plus faible (problème des paniers abandonnés);
  • 3-D Secure 1.0 ne s’adapte pas bien aux appareils mobiles ;
  • manque d'intégration transparente avec les outils de paiement modernes tels que les wallets ;
  • ensemble limité de méthodes d'authentification possibles, dont certaines sont obsolètes et dangereuses (date de naissance) ;
  • capacité très limitée de l'autorisation sans friction basée sur du scoring.
  • does not adapt well to mobile devices;
  • lack of seamless integration with modern payment tools such as wallets;
  • limited set of possible authentication methods, some of which are obsolete and dangerous (date of birth);
  • very limited ability of frictionless clearance based on score.


Major developments in the new Evolutions majeures de la nouvelle spécification de 3-D Secure 2.0 specification.


Fonctionnalité

Functionality

Bénéfice

Authentification Basée sur les risques

Profit

Risk-Based Authentication (RBA)

Permet une authentification passive sans challenge du porteur de la carte (mode frictionless) pour une majorité de transactions.

Gestion du risque orientée données

Utilisation de plusieurs données incluant les caractéristiques du device, les informations du compte du porteur et de sa localisation, afin de fournir une évaluation du risque suffisamment fine permettant ainsi de réduire le recours à une authentification forte du porteur.

Support natif des dispositifs mobiles

Conçu pour supporter les workflows e-commerce natifs et web fournissant ainsi une expérience fluide sur l’application mobile commerçant quel que soit le device (achat In-App).

Intégration souple dans le parcours client du marchand

Permet au marchand d’embarquer l’authentification dans le tunnel d’achat, maintenant ainsi une expérience utilisateur cohérente.

Support de la biométrie et d’autres méthodes

Réduit les frictions au niveau de l’expérience utilisateur.

Flags dans les messages afin de supporter les dérogations liées à la DSP2

Permet aux marchands et aux acquéreurs de préciser aux émetteurs quand ils souhaitent appliquer une exemption et prendre la responsabilité de la transaction.

La plus grande différence avec 3DS 1.0 réside dans le flux « frictionless » qui permet à l'émetteur d'approuver une transaction sans interaction du titulaire de la carte sur la base d'une authentification basée sur les risques effectuée dans l'ACS.

Allows frictionless authentication, without challenge, for the cardholder.

Data-driven risk management

Use the following data to assess the payment risk: 

  • device ;
  • order ;
  • buyer ;
  • merchant authentication process ;
  • delivery .

Native mobile devices support

Designed to support native mobile interfaces,  thus  providing the buyer a fluid experience to the m-commerce buyers.

Flexible integration in the merchant's customer journey

Allows the merchant to embed seamlessly the authentcation in the checkout process, thus maintaining a consistent user experience.

Support for biometrics and  other methods

Reduces friction in the user experience.

Flags in messages to support derogations related to DSP2

Allows meAllowserchantts andnd acquiirers to tto tellll isssuwheetheyrs wwhen they wato nt to applyy aan exemption aand ttakeke responsiibilityy for theforthe transaction.


The biggest difference with 3DS 1.0 is the “frictionless” flow which allows the issuer to approve a transaction without cardholder interaction based on risk-based authentication performed in the ACS.
Thanks to these developments, buyers' banks will have access to more information allowing them to refine decision support scoring for triggering strong authentication (or not Grâce à ces évolutions, les banques des acheteurs auront accès à un plus grand nombre d’informations leur permettant d’affiner le scoring d’aide à la décision pour le déclenchement d’une authentification forte (ou non / frictionless).

3DS 2.0

permet de résoudre plusieurs problèmes techniques de

solves several technical issues of 3DS v1.0. Such as optimizing buyer journeys, making the payment process smoother for browser and inapp purchases, the introduction of a frictionless authentication flow and enhanced security.
3DS V1 authentication will remain possible until the end of 2020. From 2021, all 3DS authentications must use version 2.



How to comply with DSP2 ?

The 3DSecure authentication method will meet the requirements of RTS - SCA from 09/14/2019.

We must however distinguish the following cases:

  • Case 1: systematic 3DS

    A merchant currently performing a 3DS V1 authentication systematically will be in compliance with the DSP2.

  • Case 2: selective 3DS

    A merchant currently performing 3DS V1 authentication selectively is subject to refusal by the buyer's bank for non-3DS transactions.

  • Case 3: no authentication performed

    A merchant who does not currently perform any authentication is liable to a refusal by the buyer's bank for all his transactions.


In any case, we recommend that you consider migrating to the 3DS V2 protocol now in order to be ready to benefit from its advantages and in particular frictionless.

In order to integrate the 3DS V2 protocol, please consult the following article 3DSv2 : 


Linked pages

 Comme une optimisation des parcours acheteurs, rendant le processus de paiement plus aisé pour les achats sur navigateur et inapp, l'introduction d'un flux d'authentification sans friction et une sécurité renforcée.

L'authentification 3DS V1 restera possible jusqu'à la fin 2020. A partir de 2021, toutes les authentifications 3DS devront utiliser la version 2 .

Comment être conforme à la DSP2 ?

La méthode d'authentification 3DSecure répondra aux exigences des RTS - SCA à partir du 14/09/2019.

Il faut cependant distinguer les cas suivants:

  • Cas 1 : 3DS systématique

Un marchand réalisant actuellement une authentification 3DS V1 de manière systématique sera en conformité avec la DSP2.

  • Cas 2 : 3DS sélectif

Un marchand réalisant actuellement une authentification 3DS V1 de manière sélective s'expose à un refus de la banque de l'acheteur pour les transactions non 3DS.

  • Cas 3 : pas d'authentification réalisée

Un marchand ne réalisant actuellement aucune authentification s'expose à un refus de la banque de l'acheteur pour toutes ses transactions.

Nous vous recommandons dans tous les cas d'envisager dès à présent une migration vers le protocole 3DS V2 afin d'être prêt à bénéficier de ses avantages et notamment du frictionless.

Afin d'intégrer le protocole 3DS V2, veuillez consulter l'article suivant 3DSv2 - Comment intégrer

Pages associées

Contenu par étiquette
showLabelsfalse
showSpacefalse
sorttitle
cqllabel = "fr" and label = "3dsv2"