Payer en toute sécurité sur Internet

Ce que vous devez savoir sur PCI DSS, 3-D Secure 2.0 et l'authentification stricte



Payer en toute sécurité en ligne

Offrez à vos clients un maximum de sécurité. Parce que la sécurité crée de la confiance, et que vos clients ne doivent pas être mal à l'aise quand ils font leurs paiements en ligne. En collaboration avec les organisations de cartes de crédit, nous nous appuyons sur les normes les plus exigeantes, comme PCI DSS, 3-D Secure 2.0 et une authentification stricte du client, qui vous permettent de vendre en toute sécurité sur Internet ou par correspondance. Nous vous proposons parallèlement la protection nécessaire contre les défauts de paiement.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) est la norme de sécurité des organisations internationales de cartes de crédit. Avec notre solution de paiement Saferpay, vous pouvez traiter en toute sécurité toutes les données de cartes de crédit dans le commerce électronique conformément à la norme PCI DSS. Les données de la carte sont enregistrées dans la page de paiement Saferpay ou dans les formulaires hébergés et ne sont pas traitées, transmises ou stockées dans vos systèmes. Vous bénéficiez d'une sécurité maximale et d'un minimum d'efforts pour confirmer votre conformité PCI DSS.  

Saferpay est soumis aux directives PCI DSS et a reçu le certificat de sécurité PCI

En savoir plus sur PCI DSS

3-D Secure 2.0

Grâce à la procédure 3-D Secure, les titulaires de carte s'identifient au cours d'une étape supplémentaire lors des transactions en ligne. Le nouveau standard de sécurité 3-D Secure 2.0 facilite nettement les paiements par carte dans l'e-commerce pour vous et vos clients, grâce à l’utilisation d’un large spectre de données, un procédé d'authentification biométrique et une expérience en ligne améliorée et uniforme.

Les commerçants en ligne, les acquéreurs, les émetteurs de cartes et les clients vont devoir relever un nouveau défi dans l'e-commerce : le 14 septembre 2019, les normes techniques de régulation entrent en vigueur dans le cadre de la deuxième directive de l'UE sur les services de paiement (DSP 2). Elles exigent avant tout un procédé d'authentification forte du client (aussi nommé authentification à deux facteurs) lors des paiements effectués sur Internet. Afin de satisfaire à ces exigences, les organismes de cartes de paiement Visa et Mastercard ont perfectionné le protocole sécurisé 3-D Secure, en collaboration avec l'organisme corporatif EMVCo, et ont ainsi donné naissance à 3-D Secure 2.0. Conforme aux exigences de la DSP 2, le protocole 3-D Secure 2.0 est valable aussi bien pour les pays de l'UE que pour la Suisse et devra être adopté par tous les e-commerçants. 


Les clients ne sont plus obligés de retenir des mots de passe et il leur suffit de confirmer les paiements depuis une application mobile. Avec 3-D Secure 2.0, l'authentification du client est complètement intégrée dans le déroulement de la vente. La responsabilité en cas de transactions frauduleuses incombe entièrement à l'émetteur de la carte.

3-D Secure 2.0 s'appuie sur un procédé d'authentification fondé sur les risques et prend en compte des données de transaction supplémentaires qui permettent aux commerçants et aux émetteurs de carte de vérifier si le paiement est demandé par le titulaire de la carte et si le processus de paiement est autorisé ou interrompu. La vérification implique aussi d'autres facteurs d'authentification forte du client, comme les habitudes de paiement ou les empreintes digitales. Dans le Frictionless Flow, les transactions comportant des risques faibles sont identifiées. Il n'y a alors pas d'authentification réelle du client et le passage en caisse se fait sans interruption pour le titulaire de la carte. 

 

Vos avantages avec 3-D Secure 2.0

  • Les paiements se déroulent de manière fluide (Frictionless Flow)
  • Votre taux de conversion augmente
  • Il y a moins d'interruptions de paiement grâce à l'authentification basée sur le niveau de risque
  • Intégration parfaite dans les boutiques en ligne et les applications
  • Mécanismes intelligents de reconnaissance des tentatives de fraude pour réduire les escroqueries par carte de crédit
 

Authentification forte du client

Pour l'authentification forte du client, toutes les transactions de paiement sont « fortement » sécurisées (sauf exceptions clairement définies). Cela nécessite de recourir à au moins deux des trois facteurs suivants : connaissance, possession ou inhérence.

Connaissance :

Mot de passe
Code
Question secrète
Suite de chiffres

 

Possession :

Téléphone portable
Appareils mobiles
Token
Smartcard

 

Inhérence :

Empreinte digitale
Reconnaissance vocale
Reconnaissance de l'iris
Reconnaissance faciale

 

Un client désire acheter une paire de chaussures sur une boutique en ligne. Un court instant après avoir renseigné les données de sa carte dans les champs correspondants, celui-ci reçoit une notification push sur son smartphone lui indiquant la réception par SMS d’un code d'authentification à deux facteurs (ou d’un mot de passe à usage unique). Pour valider le paiement, le client doit saisir ce code ou bien confirmer l'achat par empreinte digitale à l'aide d'une application supplémentaire.

 

L’authentification forte du titulaire de la carte n'est pas obligatoire pour toutes les transactions :

Petits montants Paiements récurrents Whitelisting commerçants Faible risque
Paiements de moins de 30 euros pour une valeur maximale cumulée de 100 euros ou dans la limite de cinq paiements successifs. À partir de la deuxième transaction au même destinataire avec le même montant. Le titulaire de la carte crée une liste blanche pour les commerçants de confiance. Estimation des risques d'une transaction dont le montant est dans les limites des seuils fixés.

 

Ne sont pas concernés par l'authentification forte :

  • Cartes prépayées anonymes
  • Commandes par téléphone et auprès des entreprises de vente par correspondance (transactions MOTO)
  • Transactions interrégionales / « One Leg »
  • Transactions initiées par le bénéficiaire du paiement
 

Questions relatives à la sécurité des transactions?

Titre*
Déclaration sur la protection des données
*Champs obligatoires