Payer en toute sécurité sur Internet

Ce que vous devez savoir sur PCI DSS, 3-D Secure 2.0 et l'authentification stricte


Payer en toute sécurité en ligne

Offrez à vos clients un maximum de sécurité. Parce que la sécurité crée de la confiance, et que vos clients ne doivent pas être mal à l'aise quand ils font leurs paiements en ligne. En collaboration avec les organisations de cartes de crédit, nous nous appuyons sur les normes les plus exigeantes, comme PCI DSS, 3-D Secure 2.0 et une authentification stricte du client, qui vous permettent de vendre en toute sécurité sur Internet ou par correspondance. Nous vous proposons parallèlement la protection nécessaire contre les défauts de paiement.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) est la norme de sécurité des organisations internationales de cartes de crédit. Avec notre solution de paiement Saferpay, vous pouvez traiter en toute sécurité toutes les données de cartes de crédit dans le commerce électronique conformément à la norme PCI DSS. Les données de la carte sont enregistrées dans la page de paiement Saferpay ou dans les formulaires hébergés et ne sont pas traitées, transmises ou stockées dans vos systèmes. Vous bénéficiez d'une sécurité maximale et d'un minimum d'efforts pour confirmer votre conformité PCI DSS.  

Saferpay est soumis aux directives PCI DSS et a reçu le certificat de sécurité PCI

En savoir plus sur PCI DSS

PSD2

Les commerçants en ligne, les acquéreurs, les émetteurs de cartes et les clients vont devoir relever un nouveau défi dans l'e-commerce : Les normes techniques réglementaires (RTS) dans le cadre de la deuxième directive européenne sur les services de paiement PSD2 (Payment Services Directive) sont entrées en vigueur le 14 septembre 2019. Elles exigent une authentification renforcée de la clientèle (également nommée authentification à deux facteurs) lors des paiements via Internet.

Afin d'accorder plus de temps au commerce en ligne pour l'implémentation de ces nouvelles normes, l'Autorité bancaire européenne (EBA) a octroyé aux régulateurs locaux un délai transitoire pour la mise en œuvre de l'authentification renforcée de la clientèle. Ce délai est déjà applicable dans des pays tels que la Belgique, l'Allemagne, la Grande-Bretagne, l'Italie, le Luxembourg, les Pays-Bas et l'Autriche. La durée de ce délai transitoire sera communiquée au quatrième trimestre 2019 par les autorités de surveillance locales.  


3-D Secure 2.0

Afin de satisfaire aux exigences PSD2 pour une authentification forte du client, les organismes de cartes de paiement Visa et Mastercard ont perfectionné le protocole sécurisé 3-D Secure, en collaboration avec l'organisme corporatif EMVCo, et ont ainsi donné naissance à 3-D Secure 2.0. Conforme aux exigences de la PSD2, le protocole 3-D Secure 2.0 est valable aussi bien pour les pays de l'UE que pour la Suisse et devra être adopté par tous les e-commerçants.

Grâce à la procédure 3-D Secure, les titulaires de carte s'identifient au cours d'une étape supplémentaire lors des transactions en ligne. Le nouveau standard de sécurité 3-D Secure 2.0 facilite nettement les paiements par carte dans l'e-commerce pour vous et vos clients, grâce à l’utilisation d’un large spectre de données, un procédé d'authentification biométrique et une expérience en ligne améliorée et uniforme.


Les clients ne sont plus obligés de retenir des mots de passe et il leur suffit de confirmer les paiements depuis une application mobile. Avec 3-D Secure 2.0, l'authentification du client est complètement intégrée dans le déroulement de la vente. La responsabilité en cas de transactions frauduleuses incombe entièrement à l'émetteur de la carte.

3-D Secure 2.0 s'appuie sur un procédé d'authentification fondé sur les risques et prend en compte des données de transaction supplémentaires qui permettent aux commerçants et aux émetteurs de carte de vérifier si le paiement est demandé par le titulaire de la carte et si le processus de paiement est autorisé ou interrompu. La vérification implique aussi d'autres facteurs d'authentification forte du client, comme les habitudes de paiement ou les empreintes digitales. Dans le Frictionless Flow, les transactions comportant des risques faibles sont identifiées. Il n'y a alors pas d'authentification réelle du client et le passage en caisse se fait sans interruption pour le titulaire de la carte. 

 

Vos avantages avec 3-D Secure 2.0

  • Les paiements se déroulent de manière fluide (Frictionless Flow)
  • Votre taux de conversion augmente
  • Il y a moins d'interruptions de paiement grâce à l'authentification basée sur le niveau de risque
  • Intégration parfaite dans les boutiques en ligne et les applications
  • Mécanismes intelligents de reconnaissance des tentatives de fraude pour réduire les escroqueries par carte de crédit
 

Authentification forte du client

Pour l'authentification forte du client, toutes les transactions de paiement sont « fortement » sécurisées (sauf exceptions clairement définies). Cela nécessite de recourir à au moins deux des trois facteurs suivants : connaissance, possession ou inhérence.

Connaissance :

Mot de passe
Code
Question secrète
Suite de chiffres

 

Possession :

Téléphone portable
Appareils mobiles
Token
Smartcard

 

Inhérence :

Empreinte digitale
Reconnaissance vocale
Reconnaissance de l'iris
Reconnaissance faciale

 

Un client désire acheter une paire de chaussures sur une boutique en ligne. Un court instant après avoir renseigné les données de sa carte dans les champs correspondants, celui-ci reçoit une notification push sur son smartphone lui indiquant la réception par SMS d’un code d'authentification à deux facteurs (ou d’un mot de passe à usage unique). Pour valider le paiement, le client doit saisir ce code ou bien confirmer l'achat par empreinte digitale à l'aide d'une application supplémentaire.

 

Des paiements en ligne plus sûrs en toute simplicité

Brève introduction aux nouvelles exigences de l'Europe en matière d'authentification forte du client 

Le 14 septembre 2019, le visage de l'e-commerce en Europe changera à jamais. Même si une période de transition a été accordée par la plupart des régulateurs locaux européens, celle-ci n'est que temporaire et les commerçants, les banques et les prestataires de services de paiement doivent se mettre rapidement en conformité avec les exigences d'authentification forte du client.
Cette prise de position donne une brève introduction sur les normes techniques réglementaires relatives à l'authentification forte du client et les impacts sur l'écosystème des commerçants. Elle explique également ce que les commerçants devront faire pour profiter de tous les avantages de ce règlement.

L’authentification forte du titulaire de la carte n'est pas obligatoire pour toutes les transactions :

Petits montants Paiements récurrents Whitelisting commerçants Faible risque
Paiements de moins de EUR 30 pour une valeur maximale cumulée de EUR 100 ou dans la limite de cinq paiements successifs. À partir de la deuxième transaction au même destinataire avec le même montant. Le titulaire de la carte crée une liste blanche pour les commerçants de confiance. Estimation des risques d'une transaction dont le montant est dans les limites des seuils fixés.

 

Ne sont pas concernés par l'authentification forte :

  • Cartes prépayées anonymes
  • Commandes par téléphone et auprès des entreprises de vente par correspondance (transactions MOTO)
  • Transactions interrégionales / « One Leg »
  • Transactions initiées par le bénéficiaire du paiement
 

FAQ

Questions relatives à la sécurité des transactions?

Titre*
Déclaration sur la protection des données
*Champs obligatoires