FAQ

DSP2 et 3D Secure

 

Qu'est-ce que la DSP2 ?

La DSP2 introduit de nouvelles règles en matière de sécurité des transactions en ligne, notamment l'authentification forte de l'acheteur.

Ces normes techniques sont entrées en vigueur le 14/09/2019.

Qu'est-ce que le protocole 3D Secure ?

Le protocole 3D Secure est un système de sécurisation des paiements en ligne. Il intègre une procédure d'authentification du porteur de la carte qui permet de s'assurer que c'est bien lui qui effectue un paiement sur internet.

Cette procédure est réalisée en mettant en relation :

  • le marchand avec le Prestataire de Service Technique,
  • le Prestataire de Service Technique avec la banque émettrice de la carte du porteur.

Un nouveau protocole spécifié par EMVCo est en cours de mise en place, il s'agit de EMV® 3D Secure 2.1. À terme, il viendra remplacer le protocole actuel.

Les réseaux de cartes ont chacun renommé leur programme 3D Secure dans le cadre de abbr>EMV® 3D Secure 2.1 :

  • ID check pour Mastercard,
  • Visa Secure pour Visa,
  • FAST'R pour Carte Bancaire.

Que se passe-t-il si une transaction est adressée sans protocole 3D Secure ?

Depuis le 01/04/2020, les banques émettrices sont tenues de s'assurer qu'une authentification forte a été réalisée à chaque transaction électronique.

De ce fait, si une transaction parvient en autorisation sans être passée par le protocole 3D Secure, la banque émettrice devra refuser la transaction.

Quelle est la relation entre la DSP2 et 3D Secure ?

La DSP2 impose l'authentification forte à chaque transaction électronique1. Dans le cadre des paiements sur internet, le protocole EMV® 3D Secure 2.1 est utilisé pour mettre en œuvre l'authentification forte du porteur.

Qui est concerné par les évolutions de 3D Secure dans le cadre de la DSP2 ?

Tous les commerçants qui réalisent des transactions sur internet et les partenaires qui interviennent dans le cadre d'un paiement et d'une transaction 3D Secure sont concernés par ces évolutions :

  • les commerçants,
  • les Prestataires de Service Technique,
  • les acquéreurs,
  • les réseaux de cartes (Visa, Mastercard, etc.),
  • les serveurs d'authentification de la banque émettrice de la carte,
  • les banques émettrices.

Que doivent faire les e-commerçants dans le cadre de la DSP2 et sous quel délai ?

Les e-commerçants doivent échanger avec leur Prestataire de Service Technique afin de réaliser les actions nécessaires à la poursuite de leur activité dans les meilleures conditions.

  • Vous n'êtes pas équipé de 3D Secure ? Vous devez mettre en place le protocole EMV® 3D Secure depuis le 1/04/2020.
  • Vous êtes déjà équipé de 3D Secure (ou 3D Secure débrayable) ? Depuis le 1/04/2020 vous avez l'obligation de faire évoluer le traitement des transactions afin de vous adapter au nouveau protocole EMV® 3D Secure.

La mise en application des normes techniques de la DSP2 est effective depuis le 14/09/2019.

Que change la DSP2 pour les e-commerçants déjà équipés de 3D Secure 1.0 ?

Depuis le 14/09/2019, les e-commerçants doivent transmettre plus de données à leur Prestataire de Service Technique. Celles-ci sont transmises dans la demande d'authentification et permettent à la banque émettrice soit :

  • d'authentifier l'acheteur sans demande de confirmation de son identité (procédure appelée frictionless),
  • de déclencher une procédure d'authentification forte visant à demander à l'acheteur de confirmer son identité (procédure appelée challenge),
  • de répondre « Non » à la demande d'authentification.

Certaines de ces données sont obligatoires, le fait de ne pas les transmettre engendre le rejet de la demande d'authentification par le Directory Server2 (passerelle entre le Prestataire de Service Technique et l'émetteur).

N'hésitez pas à contacter votre Prestataire de Service Technique dans les meilleurs délais afin de mettre en place les évolutions nécessaires à la collecte de ces nouvelles données.

Pour les paiements de type paiement partiel, paiement échelonné, paiement différé, la mise en place de 3D Secure 2.1 est nécessaire.

Les e-commerçants équipés de 3D Secure 1.0 doivent-ils migrer en 3D Secure 2.1 ?

Le protocole 3D Secure 1.0 permet de demander systématiquement l'authentification forte de l'acheteur pour les paiements simples. Autrement dit, tant que le 3D Secure 1.0 est actif, le e-commerçant peut théoriquement rester sur le protocole 3D Secure 1.0.

À noter :

  • Le protocole 3D Secure 1.0 fonctionne uniquement pour les transactions à paiement unique. La gestion des paiements en plusieurs fois, paiements partiels, paiements différés, etc., nécessite la mise en place de 3D Secure 2.1.
  • Les demandes d'exemptions des normes techniques de la DSP2 seront impossibles car les champs permettant de demander les exemptions n'existent pas dans le protocole 3D Secure 1.0.
  • Le débrayage n'est plus possible depuis le 14/09/2019.

Comment doivent être traités les paiements de type paiements marchands (MIT) ?

Pour tous ces types de paiement, il faut systématiquement que la première transaction de la série fasse l'objet d'une demande d'authentification 3D Secure 2.1 pour installer la série et annoncer les transactions ultérieures (nombre, durée de vie).

Les transactions ultérieures initiées par le marchand peuvent être adressées directement en autorisation par votre Prestataire de Service Technique à condition de rappeler les références de la première transaction de la série authentifiée.

Qu'est-ce que l'authentification forte ?

L'authentification forte donne lieu à la génération d'un code. Pour toute transaction initiée par voie électronique, la DSP2 introduit le recours à l'authentification forte du payeur. En ce qui concerne les paiements à distance, la DSP2 impose l'établissement d'un lien entre les éléments d'authentification et les données de la transaction (montant et bénéficiaire).

Quelles sont les exemptions à l'authentification forte prévues par la DSP2 ?

Les exemptions prévues par la DSP2 sont :

  • les transactions à faible montant : l'émetteur peut appliquer une exemption pour les montants inférieurs à 30 € sous réserve d'avoir moins de 5 paiements consécutifs ou moins de 100 € dépensés sans authentification forte de l'acheteur,
  • les opérations récurrentes : la demande d'authentification forte s'effectue à chaque fois que le payeur crée, modifie ou initie pour la première fois une série d'opérations récurrentes.

Dans tous les cas c'est la banque émettrice qui a la décision finale pour appliquer ou non une exemption.

Qu'est-ce que la procédure d'authentification simple appelée frictionless ?

Frictionless est un parcours de paiement unique sans interaction avec l'acheteur, autrement dit sans procédure d'authentification forte.

Il est décidé par la banque émettrice, après étude des informations contenues dans le message de demande d'authentification du Prestataire de Service Technique et du contexte de la transaction.

Quels sont les paiements qui n'entrent pas dans le cadre de la DSP2 et par conséquent, ne nécessitent pas d'authentification forte ?

Certains paiements sont en dehors du périmètre d'application de la DSP2 et par conséquent, ne nécessitent pas de système d'authentification forte :

  • les paiements réalisés par une carte prépayée anonyme,
  • les paiements Mail Order Telephone Order3,
  • les paiements dont l'acheteur ou l'e-marchand ne sont pas dans l'Espace Economique Européen.

Quelles sont les garanties de paiement pour les e-commerçants ?

Dans le cadre du protocole 3D Secure 2.0, le e-commerçant aura toujours la garantie de paiement sauf dans le cas où il demande une exemption et que celle-ci est acceptée par la banque émettrice.

E-commerçant
Pas de souhait Demande d'exemption Authentification forte
Banque émettrice Authentification simple (procédure appelée frictionless) Opération garantie Opération non garantie Opération garantie
Authentification forte (procédure appelée challenge) Opération garantie Opération garantie Opération garantie

1 Sous réserve de l'acceptation des exemptions prévues par les normes techniques de mise en application de la DSP2.

2 Répertoire des serveurs 3D Secure.

3 Transactions réalisées par E-mail ou par Téléphone.