La DSP2, Directive sur les Services de Paiement 2ème version, est une directive européenne dont l’objectif est de lutter contre la fraude en responsabilisant l’ensemble des acteurs du paiement.
Elle encadre de nouveaux acteurs tels que les PISP (Payment Initiation Service Providers) et les AISP (Account Information Service Providers), elle renforce les pouvoirs de contrôle des régulateurs et durcit les conditions de délivrance des agréments.
Pour les commerçants en ligne, l’authentification forte du porteur de carte de paiement est généralisée.
La mise en œuvre de cette règlementation crée de nouveaux enjeux pour les marchands : respecter la règlementation tout en conservant des parcours d’achat fluides, rassurer les clients concernant les nouvelles règles antifraudes et maitriser l’ensemble du parcours client.
Avec la DSP2, les acteurs de l’acceptation doivent adapter le processus d’authentification forte
L’authentification forte est l’identification d’un client au moyen de deux éléments parmi une liste de trois :
Non, car la règlementation prévoit des exemptions et place certains paiements en dehors du champ d’application de la directive :
Tous les acteurs d’un paiement peuvent envoyer des informations permettant d’évaluer si une authentification forte est nécessaire ou pas
In fine c’est l’émetteur de la carte de paiement qui prendra la décision.
Pour tenir compte de la complexité de mise en œuvre technique, l’EBA (Autorité bancaire européenne) a proposé qu’un plan de migration des commerçants vers de nouvelles solutions soit validé par la Banque de France.
Ce plan en cours d’élaboration et de validation devrait converger vers les étapes suivantes :
L’implémentation de Paybox System n’a pas à être modifiée.
Plusieurs vérifications restent à effectuer:
– S’assurer auprès de la banque concernée que le contrat VAD supporte bien les transactions 3D-Secure (contrat VADS).
– Demander l’activation du 3D-Secure à Verifone.
– Prévoir de ne plus envoyer le paramètre PBX_3DS lors des tentatives de paiement
L’implémentation de Paybox Direct devra évoluer pour intégrer l’envoi des données 3D-Secure associées à la tentative de paiement.
Pour cela Verifone met à disposition le RemoteMPI, ce produit permettra de réaliser l’authentification 3D-Secure et d’obtenir les données 3D-Secure indispensables à fournir lors de l’appel Paybox Direct.
La documentation pour ce produit est disponible à l’adresse ci-dessous:
ManuelIntegrationVerifone_RemoteMPI_V8.0_FR
En parallèle, il conviendra de s’assurer auprès de la banque concernée que le contrat VAD supporte bien les transactions 3D-Secure et de demander l’activation du 3D-Secure à Verifone.
L’utilisation des abonnés pour réaliser des transactions peut faire l’objet d’un cas d’exemption.
Lorsque le produit est utilisé exclusivement pour réaliser les transactions d’un échéancier.
La première transaction de l’échéancier devra faire l’objet d’une authentification 3D-Secure.
Par ailleurs, l’utilisation des abonnés pour d’autres cinématiques et notamment la réalisation de paiement « One-click », ne pourra pas faire l’objet d’une exemption, et l’authentification 3D-Secure devra être implémentée.
L’implémentation à proprement parler sera similaire au travail décrit dans le paragraphe précédent pour Paybox Direct.
Les transactions réalisées dans le cadre d’un abonnement feront l’objet d’un cas d’exemption.
Cependant la première transaction à l’origine de la création de l’échéancier devra faire l’objet d’une authentification 3D-Secure.
Les transactions réalisées avec l’outil Saisie Manuelle seront concernées par le cas d’exemption dédié aux opérations MOTO (transactions réalisées par mail ou par téléphone).
Afin de bénéficier de l’exemption, il sera important d’utiliser l’ERT/Activité adapté à l’utilisation faite du contrat, il faudra pour cela valoriser le champ à la valeur 021 lors de chaque tentative de paiement.