3-D Secure
Protocole d’authentification de liaison dynamique d’EMVCo
Dernière mise à jour le 12 mai 2020
Sommaire
Le protocole 3-D Secure, intégré aux services de marques de cartes telles que Visa Secure, Mastercard Identity Check ou American Express SafeKey, est basé sur un modèle à trois domaines dans lequel la banque acquéreuse et la banque émettrice sont connectées par le protocole dans le but d’authentifier un titulaire de carte lors d’une transaction de commerce électronique. Le protocole a été développé et est maintenu par EMVCo, un consortium de marques de systèmes de cartes. À partir de fin 2019, les banques devraient commencer à prendre en charge la version 2 de 3-D Secure (3DS2).
Cette nouvelle version de 3DS introduit le concept d’« authentification sans friction » et ajoute la prise en charge des applications mobiles. On s’attend à ce que ce soit la principale méthode que les commerçants utilisent pour répondre à l’exigence de DSP2 de « lier dynamiquement » le paiement aux banques émettrices et de confirmer que la SCA a été effectuée afin que leur banque acquéreuse puisse recevoir les fonds de la transaction.
La solution d’optimisation des paiements de Signifyd s’appuie sur les dernières normes d’authentification EMV® 3-D Secure pour effectuer toutes les transactions sans interruption, soit en utilisant le protocole 3DS2, soit sa propre décision SCA pour authentifier les transactions sans aucune étape.
Quoi de neuf avec 3DS2
EMVCo, une organisation composée de six principaux réseaux de cartes, a récemment publié une nouvelle version de 3-D Secure. 3DS2 (également appelé EMV 3-D Secure, 3D Secure 2.0 ou 3D Secure 2) vise à combler de nombreuses lacunes de 3DS1 en fournissant plus d’informations aux domaines bancaires afin qu’ils puissent, à leur tour, fournir des méthodes d’authentification moins perturbatrices et une meilleure expérience utilisateur pour les transactions de commerce électronique.
Authentification sans friction
3DS2 permet aux commerçants d’envoyer plus d’éléments de données pour chaque transaction à la banque du titulaire de la carte - le « domaine émetteur » - afin que la banque puisse prendre une décision plus éclairée sur le risque de la transaction. Ces données supplémentaires incluent des données spécifiques au paiement, telles que l’adresse de livraison, et peuvent également inclure des données spécifiques à la transaction, telles que l’identifiant de l’appareil du client.
- Si les données transmises via le protocole sont suffisantes pour que la banque vérifie le titulaire de la carte et le paiement, la transaction passe par le flux « sans friction » sans aucune entrée supplémentaire du titulaire de la carte au-delà de la page de paiement traditionnelle.
- Dans le protocole de base 3DS2, si la banque ne dispose pas de suffisamment d’informations pour authentifier la transaction, elle peut demander un flux élévateur « challenge » et inviter le client à fournir des données supplémentaires.
- Avec Seamless SCA™ de Signifyd, si la banque demande un défi, prend trop de temps pour répondre ou refuse une transaction que Signifyd peut authentifier en tirant parti de son réseau de commerce et de l’apprentissage automatique en temps réel, le commerçant peut supprimer le protocole 3DS2 et toujours acheminer le transaction via son fournisseur de paiement pour autoriser la capture.
Exemple de flux d’authentification d’un paiement à l’aide de 3DS2 avec prise en charge de secours pour Seamless SCA™ :
Qu’une transaction suive le flux sans friction de 3DS2 - auquel cas, la banque émettrice assumera la responsabilité - ou le flux Seamless SCA™ de Signifyd - où Signifyd assumera la responsabilité - les commerçants bénéficieront d’un transfert de responsabilité garanti pour les commandes frauduleuses, et avec la protection complète contre les rétrofacturations de Signifyd, contre tout type de rétrofacturation.
Meilleure expérience utilisateur
3DS2 a été conçu après l’adoption généralisée des smartphones et permet aux banques et aux fournisseurs de services d’offrir plus facilement des expériences d’authentification innovantes.
Avec la solution d’optimisation des paiements de Signifyd, au lieu de saisir un mot de passe ou de recevoir un SMS (deux méthodes d'authentification relativement peu sécurisées qui introduisent des frictions substantielles pour les clients), le titulaire de la carte peut authentifier un paiement via l’application ou le site internet du commerçant en utilisant simplement son appareil et en interagissant avec devanture du marchand. Avec notre solution, le protocole 3DS2 sert de langage pour communiquer le lien dynamique entre la transaction et la banque émettrice, plutôt que la seule méthode d’authentification, et le commerçant garde le contrôle de son expérience de paiement.
3DS2 vs authentification forte du client
L’application imminente de PDS2 rend 3DS2 d’autant plus important si vous faites des affaires en Europe, car il s’agit de la méthode la plus largement adoptée pour lier dynamiquement les détails de la transaction aux banques émettrices. Comme cette nouvelle réglementation vous obligera à appliquer davantage d’authentification sur les paiements européens, l’expérience utilisateur améliorée de Seamless SCA™ peut aider à réduire l’impact négatif sur la conversion par rapport au protocole 3DS2 de base. SCA est le cadre réglementaire qui décrit comment être conforme lors de l’authentification d’une transaction en mesurant au moins deux des trois éléments ci-dessous, et il garantit que si l’un est compromis, il ne compromettra pas l’autre.
« Quelque chose que vous savez », l’élément KNOWLEDGE (par exemple, mot de passe ou code PIN)
« Quelque chose que vous avez », l’élément POSSESSION (par exemple, un téléphone ou un jeton matériel)
« Quelque chose que vous êtes » l’élément INHERENCE (par exemple, empreinte digitale ou reconnaissance faciale)
La simple mise en œuvre du protocole 3DS2 ne satisfait pas, à elle seule, les exigences de DSP2 en matière de SCA. De plus, le protocole de base n’a la capacité de transmettre que des informations concernant deux des éléments, la connaissance et la possession, mais pas l’inhérence. Ces deux éléments, à la fois généralement par leur nature et spécifiquement par les technologies les plus souvent utilisées, nécessitent plus d’interaction et de friction avec les clients que d’inhérence. Par exemple, un flux conforme à la SCA exigerait qu’un titulaire de carte saisisse à la fois un mot de passe ou un code PIN déjà connu (l’élément de connaissance) et confirme également l’appareil du titulaire de carte en saisissant un mot de passe à usage unique envoyé par SMS (l’élément de possession).
- L’avis de l’EBA du 21 juin 2019 a confirmé que 3DS2 ne prend pas en charge la capacité de mesurer des points de données inhérents et qu’un mot de passe à usage unique peut satisfaire la possession mais ne satisfait pas la connaissance.
- Visa, Mastercard et un groupe de consortiums européens de paiements et de détaillants ont publié une déclaration conjointe de l’industrie le 1er août 2019 qui a également confirmé la compréhension actualisée de l’industrie selon laquelle aucune des versions prévues de 3-D Secure 2.x n’inclut la capacité de mesurer l’élément d’inhérence.
Le protocole 3DS2 lui-même permettra aux fournisseurs de paiement de demander des exemptions à SCA et d’ignorer l’authentification pour certains types de paiements. Si une exemption passe par le « flux sans friction », le commerçant ne bénéficie pas du transfert de responsabilité de la banque émettrice dans le cadre du protocole de base, mais reçoit une garantie de transfert de responsabilité de Signifyd.
Quand 3DS2 sera-t-il supporté par les banques ?
L’adoption généralisée de 3DS2 exigera que les banques qui sont également des émetteurs de cartes prennent en charge la nouvelle norme. Bien que les premières banques émettrices aient commencé à prendre en charge 3DS2 pour leurs titulaires de carte, nous prévoyons que la mise en œuvre complète prendra du temps - peut-être des années - et variera selon les pays et les régions.
Dans l’Espace économique européen, nous nous attendons à ce que de nombreuses banques mettent à niveau leur infrastructure pour prendre en charge le protocole 3DS2 tout au long de 2020 et 2021, afin d’être prêtes pour l’application de l’authentification forte du client en décembre 2020 pour la majorité de l’Espace économique européen (EEE) et Septembre 2021 pour le Royaume-Uni. Bien que nous prévoyions que 3D Secure version 1 et 3DS2 coexisteront au moins jusqu’en 2021, nous sommes ravis d’utiliser les dernières versions de 3DS2.2 pour communiquer avec les banques émettrices à l’aide des programmes d’authentification délégués des marques de cartes.
Comment Signifyd aide-t-il les marchands avec 3DS2 ?
La solution Seamless SCA™ de Signifyd comprend des SDK pour iOS, Android et Web qui appliquent intelligemment 3D Secure et notre propre protection garantie contre les rétrofacturations afin de toujours offrir une expérience fluide aux clients de nos commerçants et de protéger les commerçants de toutes les rétrofacturations. Nous appliquerons 3DS2 lorsqu’il sera pris en charge par la banque émettrice et nous rabattrons sur 3DS1 et notre propre SCA lorsque les dernières versions ne seront pas encore prises en charge.
En savoir plus sur notre solution d’optimisation des paiements pour démarrer avec 3DS2.