Année après année, la technologie progresse rapidement dans ses réalisations et ses capacités. Dans un avenir très proche, le protocole 3D Secure 2.0 mis à jour portera la sécurité en ligne dans l'industrie du paiement à un tout autre niveau. Le protocole fournira l'occasion d'établir un canal d'échange de données en temps réel sécurisé, à travers lequel beaucoup plus de données de transaction seront transmises pour une authentification plus précise de l'acheteur, la vitesse de paiement augmentera, car toutes les transactions ne passeront pas l'authentification avec un mot de passe, mais seulement certaines d'entre elles partie. Examinons les principaux changements du nouveau protocole par rapport à sa version précédente.
Qu'est-ce que 3D Secure?
3D Secure est un protocole de sécurité développé en 1999 et visant à prévenir l'utilisation frauduleuse des cartes de crédit en vérifiant l'authenticité des titulaires de carte dans les transactions qui ne nécessitent pas la présence physique d'une carte (opérations CNP). "3D" signifie "3 domaines", dans lesquels le protocole fonctionne, et qui comprennent le domaine de l'émetteur (le domaine de la carte bancaire émettrice), le domaine de l'acquéreur (domaine du vendeur et de la banque vers lequel l'argent est transféré) et le domaine de compatibilité (domaine fourni par Système de prise en charge du protocole 3D Secure). Le protocole a été développé et géré par EMVCo, une organisation détenue conjointement par les grandes marques Visa, Mastercard, American Express, Discover, JCB et UnionPay.
La première version de 3D Secure a été conçue pour accroître la confiance des consommateurs dans les paiements en ligne, ce qui a contribué à la croissance du commerce électronique. Pour vous protéger contre les transactions frauduleuses, 3D Secure ajoute une autre étape d'authentification pour les paiements en ligne, qui permet aux commerçants et aux banques de s'assurer en outre que le titulaire de la carte effectue le paiement. Lorsque vous utilisez 3D Secure 1, le système affiche une fenêtre contextuelle ou un cadre intégré, obligeant l'utilisateur à saisir un mot de passe afin que la banque puisse authentifier l'utilisateur. Cependant, les informations d'identification de l'entité de génération de fenêtre contextuelle ne peuvent pas être authentifiées.
Pour les entreprises, les avantages de 3D Secure sont évidents: demander des informations supplémentaires offre un niveau supplémentaire de protection contre la fraude, garantissant que vous n'acceptez les paiements par carte que de la part de clients de confiance. En outre, dans le cas de l'utilisation de 3D Secure, ce que l'on appelle le «transfert de responsabilité» se produit, dans lequel la responsabilité de la fraude passe également du vendeur à l'émetteur de la carte. Ainsi, si 3D Secure n'est pas appliqué, alors lorsque le titulaire de carte conteste une transaction frauduleuse:
- Le vendeur (commerçant) est responsable de la transaction.
- Le vendeur (commerçant) doit restituer à l'acheteur de l'argent (rejet de débit)
Mais, si le vendeur met en œuvre 3D Secure, la responsabilité des transactions frauduleuses incombe à l'émetteur (la banque qui a émis la carte).
Quelles sont les principales modifications apportées au protocole 3D Secure 2.0?
Plus de 17 ans se sont écoulés depuis le développement de 3D Secure 1. Bien que l'industrie du paiement dans la plupart des pays ait assez bien adopté cette méthode d'authentification, la nécessité de créer un nouveau protocole a été reconnue en tenant compte des exigences actuelles et futures du marché, y compris l'ajout de la prise en charge de l'authentification basée sur les appareils mobiles et l'intégration des portefeuilles numériques. De plus, il a été noté que l'utilisation de 3D Secure 1 présente certains inconvénients:
- l'étape supplémentaire nécessaire pour effectuer le paiement augmente la complexité du processus de passation de commande et peut conduire au refus des clients d'acheter.
- un certain nombre de banques exigent toujours que leurs titulaires de carte créent et mémorisent leurs propres mots de passe statiques pour effectuer la vérification 3D Secure. Ces mots de passe sont faciles à oublier, ce qui peut également entraîner une probabilité plus élevée de refuser un achat.
- L'impact négatif sur l'expérience utilisateur (UX) est particulièrement visible dans les applications mobiles. Lorsque Visa a introduit pour la première fois la norme 3D Secure, les ordinateurs personnels étaient le seul canal à la disposition des consommateurs pour acheter en ligne. Sur les appareils mobiles, l'utilisation de 3D Secure peut rediriger les clients de leur propre application vers le site Web de la banque, qui n'est pas optimisé pour les appareils mobiles.
Compte tenu des principaux points faibles de 3D Secure, EMVCo a récemment publié une nouvelle version améliorée du protocole. EMV 3-D Secure (3D Secure 2 ou 3DS2) corrige bon nombre des lacunes de 3D Secure 1 et offre les principaux avantages suivants:
1. Support flexible de périphérique et de canal.Il offre une interaction plus fluide et plus cohérente avec l'utilisateur via plusieurs canaux de paiement, y compris les paiements dans le navigateur du téléphone mobile, les paiements dans les applications et les paiements via un portefeuille numérique.
2. Expérience utilisateur améliorée.Fournit aux commerçants la possibilité de mieux intégrer le processus d'authentification dans le processus d'achat, offrant aux titulaires de carte une authentification rapide, facile et pratique avec un haut niveau de sécurité. Contrairement aux mots de passe statiques, 3D Secure 2 utilise des méthodes d'authentification dynamique telles que la biométrie et l'authentification basée sur des jetons. En outre, 3D Secure 2 permettra aux entreprises d'intégrer un flux d'appels directement dans leurs flux de paiement Web et mobiles - sans avoir besoin de redirection. En utilisant les nouveaux SDK mobiles, les entreprises pourront implémenter leurs propres flux dans leurs applications, ce qui n'exigera plus que leurs clients passent au flux via le navigateur pour finaliser la transaction.
3D Secure 1 (guide 3D Secure 2 Stripe):3D Secure 2 (guide 3D Secure 2 Stripe):3. Échange de données amélioré pour gérer la fraude et réduire la friction (Échange de données amélioré pour lutter contre la fraude et réduire les obstacles). Authentification basée sur les risques (RBA, Authentification basée sur les risques). Authentification sans friction.Frictionless Flow permet aux émetteurs d'approuver une transaction sans nécessiter la saisie manuelle des données du titulaire de la carte. Ceci est réalisé grâce à ce que l'on appelle l'authentification basée sur les risques (RBA). RBA fonctionne en collectant un ensemble de données sur les titulaires de carte pendant une transaction et en le transmettant à la banque émettrice et à ses serveurs de contrôle d'accès (ACS), qui compare ensuite les données collectées avec les données de transaction précédentes (historiques) du titulaire de carte pour afficher la valeur du risque de fraude correspondant à la nouvelle transactions. 3D Secure 2 permettra aux entreprises et à leurs fournisseurs de paiement d'envoyer en toute sécurité plus de 100 éléments de données pour chaque transaction à la banque du titulaire de la carte. Cela inclut les données liées au paiement, telles qu'une adresse de livraison, ainsi que des données contextuelles, telles qu'un identifiant d'appareil client ou un historique des transactions précédentes.
La banque du titulaire de carte peut utiliser ces informations pour évaluer le niveau de risque de la transaction et sélectionner la réponse appropriée. Si la valeur du risque de fraude est inférieure à une valeur seuil prédéterminée, un flux sans friction est appliqué. En d'autres termes, si le risque de fraude est suffisamment faible, la banque émettrice ne demandera pas de vérification supplémentaire au titulaire de la carte et considère que le titulaire de la carte a réussi l'authentification. Cela élimine l'étape de vérification manuelle qui était toujours requise des titulaires de carte dans 3D Secure 1:
1) S'il y a suffisamment de données pour que la banque puisse croire que le véritable titulaire de la carte effectue un achat, la transaction satisfait aux exigences du flux sans friction et l'authentification est effectuée sans affecter l'interaction de l'utilisateur - le titulaire de la carte ne voit aucun signe 3D Secure a été appliqué. En d'autres termes, si le risque de fraude est suffisamment faible, la banque émettrice ne demandera pas de vérification supplémentaire au titulaire de la carte et considère que le titulaire de la carte a réussi l'authentification. Cela élimine l'étape de vérification manuelle qui était toujours requise des titulaires de carte dans 3D Secure 1.
2) Dans le cas où la valeur du risque de fraude est supérieure à un seuil prédéterminé, par exemple, la banque décide qu'elle a besoin de preuves supplémentaires, la transaction est effectuée en mode Challenge et le client est invité à fournir des données supplémentaires pour vérifier l'authenticité du paiement.
4. Changement de responsabilité des vendeurs (commerçants) en cas de fraudeLes différences significatives dans PSD2 incluent également des changements dans la responsabilité des vendeurs (commerçants) en cas de fraude. Les émetteurs sont clairement les bénéficiaires de l'échange de données plus large requis pour 3DS 2.0, car ils sont responsables de tout rejet de débit. Plus ils disposent de données, plus ils peuvent évaluer avec précision le risque d'une transaction.
Cependant, les commerçants en bénéficient également, surtout s'ils n'ont pas encore collecté suffisamment de données de transaction nécessaires pour participer à 3DS, car ils peuvent ensuite utiliser ces données pour améliorer leurs propres efforts de détection des fraudes. Mais même si le vendeur dispose déjà d'un programme sophistiqué de prévention de la fraude, il ne faut pas perdre de vue le niveau de protection supplémentaire fourni par l'émetteur effectuant sa propre évaluation des risques. Les fournisseurs ACS utilisés par les émetteurs ont généralement accès à des sources de données sur la fraude qui ne sont pas disponibles pour les vendeurs individuels, ce qui leur permet souvent de fournir une évaluation plus fiable du risque de fraude.
Quand les systèmes de paiement prendront-ils en charge 3-D Secure 2.0?
La disponibilité généralisée de 3D Secure 2 dépendra des émetteurs de cartes individuels prenant en charge la nouvelle norme. Il est prévu que les premières banques commencent à prendre en charge 3D Secure 2 pour leurs titulaires de carte début 2019, il est probable qu'une mise en œuvre plus large sera progressive et prendra plusieurs mois. Par exemple, la plate-forme Visa 3DS 2.0 est désormais disponible et prête à traiter les demandes d'authentification 3DS 2.0: les fournisseurs de serveurs ACS et 3DS doivent réussir les tests avec EMVCo et Visa avant de participer à 2.0. Les fournisseurs peuvent commencer les tests avec Visa uniquement après avoir reçu une lettre de confirmation confirmant la réussite des tests avec EMVCo. Afin que les parties intéressées disposent de suffisamment de temps pour mettre en œuvre 3-D Secure, l'ensemble des règles du programme ne prendra effet qu'aux dates d'activation du programme indiquées ci-dessous:
- Avril 2019: valable pour l'Europe
- Août 2019: date d'activation pour le Canada, l'Amérique latine et les États-Unis.
- Avril 2020: date d'activation pour l'Asie-Pacifique et le Moyen-Orient et l'Afrique.
Il est également supposé que 3D Secure 1 et 3D Secure 2 coexisteront au moins jusqu'en 2020.
Pour les entreprises européennes, l'entrée en vigueur en septembre 2019 d'un nouveau règlement appelé Strong Customer Authentication (SCA), qui s'appliquera aux paiements en ligne dans l'Espace économique européen (EEE), où se trouvent la banque du titulaire de la carte et le prestataire de services de paiement à l'EEA, rend 3D Secure 2 encore plus important. Étant donné que la nouvelle règle exigera plus d'authentification pour être appliquée aux paiements européens, 3D Secure 2 offrira la meilleure UX (expérience utilisateur) pour minimiser l'impact sur la conversion du site.
Bien que 3D Secure 2 soit la principale méthode pour respecter les exigences de paiement par carte SCA, il est prévu que le flux sans friction ne soit pas considéré comme une forme d'authentification forte du client. Cela signifie qu'après que le SCA sera opérationnel en Europe, le flux sans friction ne pourra être utilisé que pour les paiements faisant l'objet d'une exception (alors que tous les paiements nécessitant un SCA devront être authentifiés à l'aide du flux Challenge).