Page tree



Avant-propos

Ce document a pour objet de guider les clients Monext à évoluer en 3DS V2.
Il s'agit d'une documentation fonctionnelle mise à jour au fur et à mesure des avancées de Monext.


Définitions


DonnéeDéfinition
3DS Client

Entité logicielle assurant d'interface avec le 3DS Requestor. Ce peut être:

  • un navigateur Web;
  • une application mobile;
3DS Integrator

Aussi appelé 3DS Service Provider (terminologie MCD)

Payline est un 3DS Integrator ou 3DS Service Provider

3DS MethodMéthode d'authentification mise à disposition par l'ACS et appelé par le 3DS Requestor (#device fingerprint)
3DS Requestor

Initiateur de la demande d'authentification, AReq.Ce peut être:

  • le marchand, pour le compte de l'acheteur, lorsque raccordé avec l'interface directe
  • le PSP, pour le compte du commerçant et de l'acheteur, lorsque raccordé avec les PWP
  • la solution de wallet, lors d'un paiement wallet,
  • le marchand ou son PSP dans le cas d'un paiement récurrent, ...
3DS ServerServer mis en place par le 3DS Service Provider qui permet au 3DS Requestor de communiquer avec le Directory Server
ABEAutorité Bancaires Européenne

Access Control Server

ACS

Serveur d'authentification de l'acheteur mis en place par l'émetteur de la carte et accédé via le 3DS Server et le Directory Server

Challenge

Demande d'authentification  envoyée par l'ACS au porteur.

La méthode d'authentification peut utiliser l'envoi d'un OTP SMS, d'une reconnaissance biométrique, etc..

Directory Server

DS

Server mis en place par les schemes, consultés par le 3DS Server pour communiquer avec l'ACS

DSP2Directive sur les Services de Paiement.
EMVCoRegroupement des principaux réseaux bancaires internationaux (schemes) à l'origine des spécifications 3DS V2.
FrictionlessAuthentification sans challenge, effectuée par l'ACS sur la base d'une analyse de risque (idem RBA)
MCDMastercard (scheme)
MOTOMail Order Telephon Order
One legSe dit d'une transaction dont la banque émetteur ou acquéreur est située hors union européenne.
OTP

One time Passcode: code temporaire à usage unique généralement envoyé par SMS.

On parle alors d'OTP SMS

PWPPages Web de Paiement (mode d'intégration par lequel les données de paiement sont saisies sur des pages ou iframe Monext).

Risk Based Authentification

RBA

Authentification sans challenge, effectuée par l'ACS sur la base d'une analyse de risque (idem frictionless)
RTSRegulatory Technical Standards
SCAStrong Customer Authentication

Pour consulter Périmètre d'application des RTS SCA


Interface directe ou Pages Web de Paiement Monext


L'interface directe est  destinée aux commerçants soucieux de conserver toute liberté dans la mise en place de leur parcours de paiement.

A cette fin, ils doivent :

  1. maîtriser les réglementations bancaires et inter-bancaires ;
  2. maîtriser les enjeux techniques de la mise en œuvre des briques de bases Monext ;
  3. assumer les exigences PCI - DSS renforcées liées à la manipulation des données carte.


Ces contraintes exigent des compétences et ressources importantes.

Ce qui n'est pas le cas avec l'utilisation des Pages  Web de Paiement.

Dans ce dernier cas, Monext gère tout cela, sans restreindre la liste des cas de paiement.


PCI-DSS

la manipulation de données carte bancaire implique une grandes responsabilité.

Un cadre normatif - PCI DSS-  du PCI council définit les standards techniques et organisationnels à mettre en œuvre pour limiter au maximum les risques de fuite de données sensibles BANCAIRES.

Votre acquéreur pourra vous demander à tout moment de justifier de vos engagements vis à vis de la norme en répondant au questionnaire SAQ D comportement plus de 300 items que vous devrez être en mesure de justifier (tests d'intrusion, protections diverses de vos infrastructure, cloisonnement des environnements, ...).
En cas de fuites avérées  ou de suspicion de fuites  de données, vous exposez votre société à un risque fort de perte d'image et surtout à des pénalités financières.

Aussi, les réseaux, vos partenaires bancaires et techniques seront en droit de commander à vos frais des audits techniques et sécuritaires.



La version 2 de 3DS en complexifie la mise en œuvre technique.

La simplification apportée aux marchands par les Pages de Paiement Monext s'en trouve d'autant augmentée.


Ces rappels s'adressent particulièrement aux commerçants utilisant encore l'interface directe et risquant de rencontrer des difficultés insurmontables s'ils ont des capacités sous dimensionnées.

Le passage en Page de Paiement Monext est la solution pour ces derniers.


Ils utilisent les Pages Web de Payment Monext :

La française des jeux, Leclerc, Carrefour, Intermarché, Sarenza, Kiabi, But, Yves Rocher, et bien d'autres encore ...

:

Transition en 3DS V2

Prérequis 

  • Avoir configuré à partir du centre d'administration, les contrats pour leur donner accès au 3DS V2.

Les étapes de migration

  1. Faire évoluer l'interface de connexion à Monext Online et à l'ACS : effort très réduit voire nul en Page Web de Paiement, plus complexe pour l'interface directe;
  2. Prendre connaissance des informations demandées pour accroitre le taux  d'authentification basée sur le risque, aussi appelée sans challenge ou  frictionless, et les transmettre à Monext Online;
  3. Tester votre intégration en environnement d'homologation;
  4. Faire modifier les contrats Monext pour activer l'authentification 3DS V2.








Vous voulez



Intégration en Pages Web de Paiement Intégration en mode direct


Vérifier les impacts d'interface


Cliquez ici



Pour une authentification suivie d'une autorisation



Accroître le frictionless


Cliquez ici            

       


Consulter l'API web services


Cliquez ici



Cliquez ici


Intégration en page Web

En page web, vous devez appeler le contrat (Alias) du moyen de paiement avec le service doWebPayment et récupérer le résultat avec le service getWebPaymentDetails.
Le marchand doit utiliser une version de web service  Monext supérieure ou égale à 21 pour bénéficier des nouvelles fonctions liées au 3DS V2.

Plus d'information 3DSV2 - Interface PageWeb


Intégration en mode direct

Le commerçant peut préciser le mode d'authentification qu'il souhaite voir appliquer à cette transaction avec l'object ThreedsInfo et transmettre le score CB.
En mode direct, vous devez gérer la vérification de l'enrôlement avec le service verifyEnrollment puis réaliser la demande de paiement avec le service doAuthorization.

Plus d'information 3DSv2 - Interface Directe - Authentification et Autorisation