Aller au contenu
Meilleur ecommerce

Le webinaire Seamless SCA de Signifyd aide à éduquer sur la DSP2

Posté par Chris Martinez | 10 septembre 2019

Lire le rapport sur l’état de la fraude en 2021

Obtenir le rapport

Lire le rapport sur l’état de la fraude en 2021

In English

rapport-etat-fraude-2021

Lorsque les nouvelles exigences de la DSP2 ont été annoncées pour l’Espace économique européen (EEE), les commerçants et les clients avaient beaucoup de questions et peu de réponses. La réglementation promet un environnement de paiement en ligne plus sécurisé pour tout le monde, mais les défis liés à la mise en œuvre d’exigences telles que l’authentification forte des clients (paiements SCA) et les retards dans le calendrier officiel d’application ont détourné l’attention du bien qui vient avec PSD2 et SCA.

Signifyd a récemment organisé un webinaire avec le président de Vendorcom, Paul Rodgers, pour présenter son nouveau produit Seamless SCA et aider les commerçants à comprendre ce qu’ils peuvent faire pour se familiariser avec les exigences d’authentification PSD2 dans l’EEE. Le webinaire comprenait une démonstration de Seamless SCA ainsi que des informations générales sur les nouvelles réglementations. Nous partageons quelques questions clés du webinaire avec des réponses claires et concises pour aider les commerçants à mieux comprendre les exigences.

Points clés :

  • Le dernier webinaire de Signifyd se concentre sur la DSP2 et sur la façon dont le nouveau produit Signifyd Seamless SCA aide les commerçants à fournir les mises à niveau de confidentialité requises aux consommateurs.
  • Paul Rodgers, dirigeants de renom et expert SCA, clarifie ce que signifient la DSP2 et les acronymes associés (SCA, 3DS) pour aider les consommateurs à mieux comprendre les réglementations à venir dans l’Espace économique européen (EEE).
  • Notre équipe d’experts encourage plus d’éducation et de transparence entre les commerçants, les consommateurs et les fournisseurs de services de paiement afin d’aider tout le monde à mieux comprendre les réglementations de la DSP2.

PSD2, 3DS, SCA : Que signifient ces acronymes ?

Dans le webinaire, les dirigeants de Signfiyd, J. Bennett et Ed Whitehead, ont défini ce que chacun des acronymes clés de la réglementation PSD2 signifie:

  • La DSP2 est la deuxième directive sur les services de paiement (le chiffre 2 a été ajouté à la fin de l’acronyme pour mettre à jour la directive). L’objectif principal de la DSP2 est de réglementer les services de paiement et les prestataires de services de paiement dans l’Union européenne (UE) et l’EEE. La protection des consommateurs est un principe clé de la réglementation, et les fournisseurs de paiement ont des droits et des obligations spécifiques pour accepter les paiements de commerce électronique.
  • SCA est synonyme d’authentification forte du client. C’est la principale méthode utilisée par les fournisseurs de services de paiement et les commerçants pour sécuriser leurs transactions dans le cadre de la DSP2. SCA nécessite une authentification de base à deux facteurs pour accroître la sécurité des paiements électroniques et authentifier un achat.
  • 3DS signifie 3-D Secure, ou Three-Domain Secure. Il permet aux consommateurs d’authentifier leurs achats directement auprès de l’émetteur de leur carte lorsqu’ils effectuent des achats en ligne sans carte (CNP). La couche de sécurité supplémentaire permet d’empêcher les transactions CNP non autorisées et protège le commerçant contre la fraude. Les trois domaines font référence au commerçant, à l’émetteur de paiement et au fournisseur de systèmes de paiement.

Ces trois protocoles ou couches de sécurité visent à protéger les consommateurs, les commerçants et les fournisseurs de paiement contre la fraude dans les achats de commerce électronique. Leur relation étroite aide à définir pourquoi une sécurité supplémentaire est essentielle pour de meilleures opérations de commerce électronique. Les solutions PSD2 SCA nécessitent de meilleurs protocoles de sécurité – c’est pourquoi Signifyd a organisé le webinaire pour présenter Seamless SCA et partager des informations sur les problèmes actuels auxquels les commerçants et les consommateurs sont confrontés dans l’EEE.

Quelles sont les trois méthodes d’authentification pour SCA ?

L’objectif de SCA est d’obtenir les informations nécessaires pour authentifier les paiements à un niveau plus personnel. La protection de la vie privée est la plus importante dans SCA, à la fois pour défendre les informations personnelles et pour redonner le contrôle des données de transaction à chaque utilisateur.

La DSP2 nécessite au moins deux facteurs d’authentification pour SCA. Chacune de ces méthodes relève d’un groupe unique de données directement liées à l’utilisateur autorisé : quelque chose que vous connaissez, quelque chose que vous avez et quelque chose que vous êtes.

Ce que vous savez, ce sont des informations protégées par des mesures d’atténuation pour empêcher leur divulgation à des tiers. C’est la première étape pour tester si une personne réelle et autorisée demande la transaction.

  • Ce qui fonctionne : Questions de défi fondées sur les connaissances. Seul l’utilisateur autorisé devrait connaître les réponses aux questions d’identification telles que: « Quel était le surnom de votre grand-mère en grandissant? »
  • Ce qui ne fonctionne pas : détails de la carte à partir de la carte elle-même. N’importe qui peut obtenir ces informations pour les transactions CNP. Grâce à la sophistication évolutive de l’art de l’escroquerie, les détails des cartes sont plus faciles à glisser que jamais. Gardez à l’esprit que les numéros peuvent être mémorisés et utilisés dans n’importe quelle transaction CNP.

Ce que vous avez, c’est une validation sécurisée, dynamique générée ou reçue sur votre appareil. Le processeur de paiement enverra une sorte de demande d’autorisation à l’acheteur pour déterminer si la commande est légitime. L’utilisateur autorisé doit ensuite répondre pour valider la demande de finalisation de la transaction.

  • Ce qui fonctionne : Une signature générée par un appareil via un jeton matériel ou logiciel. L’utilisateur autorisé doit lancer l’envoi de jetons pour terminer la transaction, souvent dans un court laps de temps (souvent moins de 15 minutes).
  • Ce qui ne fonctionne pas : Une application installée sans inscription. Il n’y a rien dans l’application qui garantisse des transactions sécurisées dès la sortie de la boîte. Des étapes supplémentaires sont souvent nécessaires pour authentifier l’utilisateur dans l’application, et à partir de là, des couches de sécurité supplémentaires sont recommandées.

Ce que vous êtes est la caractéristique physique, la caractéristique physiologique ou le processus comportemental d’un humain. C’est la plus sûre des trois méthodes d’authentification SCA de paiement parce que c’est la plus unique et la plus personnelle de toutes – parce que ces caractéristiques n’appartiennent qu’à la personne et ne peuvent pas être copiées (pas encore, du moins). C’est précisément pour cette raison que la biométrie fait d’énormes progrès dans le domaine des technologies de sécurité.

  • Ce qui fonctionne: Numérisation des empreintes digitales ou de l’iris. Les pirates n’ont pas encore déterminé comment déchiffrer la biométrie à une échelle fiable. Puisqu’il est impossible (ou du moins, non recommandé) de vous arracher la peau ou de sortir votre œil pour partager des informations biométriques comme celle-ci, il est beaucoup plus difficile pour les escrocs de mettre la main sur du matériel biologique pour retirer leurs griffes dans l’ombre.
  • Ce qui ne fonctionne pas : EMV 3-D Secure seul. En juin, l’Autorité bancaire européenne a expliqué dans une note que « les protocoles de communication tels que EMV 3-D Secure version 2.0 et plus récente ne semblent pas constituer actuellement des éléments d’inhérence, car aucun des points de données, ou leur combinaison, échangés via cet outil de communication ne semble inclure des informations relatives à la biométrie biologique et comportementale ».

L’authentification multifacteur de SCA peut être décomposée en données encore plus granulaires. Dans le webinaire, Bennett a partagé un aperçu des facteurs utilisés dans SCA et comment ils s’intègrent dans les aspects clés de la facilité d’utilisation et de la sécurité – parce que l’expérience client est au cœur d’une stratégie SCA réussie.

Quelles méthodes d’authentification fonctionnent pour SCA ?

Idéalement, les méthodes d’authentification pour SCA devraient atteindre une grande facilité d’utilisation et de sécurité. Les clients veulent que leur paiement et leurs données personnelles soient en sécurité, mais les faire sauter à travers trop de cerceaux pour effectuer une transaction conduit à l’abandon du panier. Certaines méthodes SCA acceptables sont moins sûres que d’autres, même si elles répondent aux normes de sécurité. Les commerçants doivent tenir compte des besoins de leurs clients et de leur capacité à investir et à mettre en œuvre des méthodes de sécurité qui prennent en charge la meilleure expérience d’achat possible.

Dans le webinaire, Bennett a présenté un modèle matriciel montrant où les méthodes SCA les plus courantes atterrissent sur les deux échelles de facilité d’utilisation et de sécurité. Les meilleures méthodes d’authentification combinent à la fois la convivialité et la sécurité, comme un jeton envoyé directement à l’appareil de l’utilisateur autorisé pour chaque transaction, ou une dynamique de frappe qui correspond aux modèles de comportement de l’utilisateur autorisé.

D’autres méthodes qui ne cochent pas toutes les cases sont toujours sûres à utiliser pour SCA. Par exemple, la reconnaissance veineuse a une grande facilité d’utilisation, mais offre une sécurité inférieure à celle des autres options. Une autre méthode comme une phrase secrète obtient de faibles scores à la fois sur la convivialité et l’échelle de sécurité, en partie parce que la saisie de plusieurs mots peut être difficile sur un appareil mobile. Mais chacune est une méthode SCA approuvée et peut fonctionner avec la bonne mise en œuvre.

Quel est le calendrier de la DSP2 ?

Les solutions PSD2 SCA peuvent sembler être des délais difficiles. À ce stade, différentes autorités de différentes juridictions envoient des messages différents sur le moment où les exigences seront appliquées. Le Royaume-Uni, par exemple, a esquissé un déploiement de 18 mois, tandis que l’autorité compétente en France a publié un calendrier s’étendant sur deux ans.  Une partie du problème dans la mise en œuvre des normes de sécurité plus strictes est un manque de leadership et de conseils dans l’EEE, comme l’a souligné Paul Rodgers, animateur invité du webinaire. Rogers, président de Vendorcom et membre du panel payment systems regulator, a cité un mauvais alignement des politiques entre les différents pays d’Europe.

La « date limite » du 14 septembre 2019 a été fixée comme date limite initiale d’application de la SCA. Maintenant à quelques jours seulement, cette « date limite » est devenue plus un signal d’alarme pour attirer l’attention des commerçants et les encourager à se renseigner sur la DSP2 et la SCA.

Rodgers a présenté une diapositive présentant le calendrier de déploiement géré approuvé par la Financial Conduct Authority au Royaume-Uni. Ce plan reconnaît la date officielle de lancement du 14 septembre et prévoit trois étapes vers l’application complète prévue du règlement au début de 2021. D’ici le 14 mars 2020, les commerçants devraient terminer leurs évaluations des fournisseurs de paiement conformes à la SCA.  La deuxième phase est la période de mise en œuvre et de test des solutions SCA et se termine le 14 septembre 2020. La phase finale est celle où les commerçants devraient mettre en œuvre et optimiser leurs nouvelles options de paiement sécurisées d’ici le 14 mars 2021 – la date d’application désignée (pour l’instant) de la DSP2.

Le déploiement en trois étapes a été développé pour aider les commerçants à accélérer leurs systèmes de paiement afin d’inclure des solutions compatibles PSD2. Chaque phase est espacée de six mois pour aider les commerçants à passer progressivement à la mise en œuvre. Les 18 prochains mois sont cruciaux pour la mise en œuvre réussie de la DSP2 et de la SCA. Avec des outils comme Seamless SCA de Signifyd, les commerçants peuvent y arriver un peu plus rapidement.

Comment les commerçants peuvent-ils se préparer aux prochaines exigences de la DSP2 ?

Dans le webinaire, Rodgers a plaidé en faveur d’un langage harmonisé autour des exigences SCA et PSD2 afin de responsabiliser les commerçants et les clients. Il a créé le tag #SCADay sur LinkedIn pour partager son expertise sur les enjeux et faire tomber les barrières de communication.

Rodgers a déclaré que la réponse des médias britanniques à la DSP2 n’a pas fourni beaucoup d’informations exploitables, alimentant les réponses négatives à l’ensemble des réglementations conçues pour protéger les gens, et non pour leur enlever quoi que ce soit. Ajoutez à cela les approches contradictoires des banques et des émetteurs de paiement, et il est facile de comprendre pourquoi les commerçants et les consommateurs ne savent pas où trouver les bonnes informations pour les aider à mettre en œuvre sca.

Grâce à des activités comme ce webinaire et #SCADay sur LinkedIn, Rodgers a créé une conversation ouverte sur le SCA qui, espère-t-il, deviendra un dialogue généralisé entre tous ceux qui achètent en ligne et comptent sur les paiements CNP. Il est également déterminé à éduquer les consommateurs sur les escroqueries qui utilisent sca dans les tentatives d’hameçonnage et à les aider à identifier les méthodes SCA légitimes contre les tentatives de vol d’identité.

Le changement arrive – apprenez à l’adopter

Le principal point à retenir de la présentation de Bennett, Whitehead et Rodgers est qu’il vaut mieux travailler avec PSD2 et SCA que contre. Comme Bennett l’a déclaré dans le communiqué de presse de Signifyd annonçant le lancement de Seamless SCA, « Les stratégies d’évitement, telles que l’optimisation des exemptions pour contourner le besoin de SCA, ne sont pas une véritable solution. Offrir une excellente expérience SCA l’est. Les détaillants qui se préparent maintenant détiendront un avantage concurrentiel lorsque l’application commencera.

La DSP2 et la SCA sont conçues dans le meilleur intérêt des commerçants et des consommateurs. Le webinaire « Répondez aux exigences de la DSP2 avec Signifyd Seamless SCA » est maintenant disponible à la demande. Obtenez un aperçu du produit Seamless SCA avec une démonstration en direct sur une vitrine de commerce électronique et un aperçu élargi de la façon dont SCA et PSD2 fonctionnent ensemble pour protéger la vie privée des consommateurs.

Regardez le webinaire à la demande maintenant.

Derniers articles
un ordinateur portable ouvert avec des blocs d’alphabet épelant SCA, pour une authentification forte du client

L’obtention d’exemptions SCA commence par une solution de gestion de la fraude de haute...

30 août 2022
Une femme souriante après un paiement en ligne réussi

Signifyd renforce son partenariat stratégique avec Worldpay de FIS pour offrir des paiements garantis...

29 juin 2022
Section de la couverture du rapport State of Fraud 2021 de Signifyd pour illustrer la publication sur la menace de fraude des vacances

La nouvelle cible des fraudeurs : le parcours client de bout en bout

4 octobre 2021
International Retail Opportunities

Opportunités de vente au détail à l’internationale? ¡Si! Oui! Ja! Da! はい! 是!

17 septembre 2021
Photo de chemises sur un support avec de grandes étiquettes RFID de sécurité pour décourager le vol à l’étalage pour illustrer Don’t Treat your customers like criminals de Gartner

La protection contre la fraude héritée traite les clients comme des criminels

15 septembre 2021
Balises d'articles
3dsdsp2EuropeGestion de la fraudeLeadership éclairéRoyaume-UniSCA transparentWebinaire
Chris Martinez

Chris Martinez

Chris est stratège de contenu chez Signifyd.