COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
COMMENT SE
PRÉPARER À LA DSP2
AVEC FAST’R BY CB
VOLET AUTHENTIFICATION FORTE
à destination des commerçants
et des prestataires d’acceptation
technique
PA I E M E N T
SÉCURISÉ
www. cartes-bancaires.com - Février 2020
SOMMAIRE
04 PRÉAMBULE
Objectif
Objectif
CartesCartes
du document
du document
bancaires
bancaires CB enCB en bref
bref
04
04
Le Conseil
Le Conseil Consultatif
Consultatif du Commerce
du Commerce (CCC)(CCC) 07
AVERTISSEMENT
Le présent document est
08 RAPPEL DU CONTEXTE RÈGLEMENTAIRE
DE FAST’R BY CB
Les objectifs
Les objectifs de la DSP2
de la DSP2 : renforcer
: renforcer l’innovation
l’innovation et protéger
et protéger le le
confidentiel et demeure la consommateur
consommateur 9 09
Une authentification
Une authentification forte systématique
forte systématique 10 10
propriété du Groupement des Les opérations
Les opérations de paiement
de paiement hors hors champs
champs d’application
d’application desdes
RTSRTS
SCASCA 11 11
Les dérogations
Les dérogations à l’authentification
à l’authentification forte forte
12 12
Cartes Bancaires. La gestion
La gestion des dérogations
des dérogations 13 13
Toute diffusion, représentation,
reproduction, ou cession, à titre 14 LE DISPOSITIF PROPOSÉ POUR UN
PAIEMENT CB AVEC 3-D SECURE
Rappel
Rappel desde
des flux flux de paiement
paiement 15 15
onéreux ou gratuit, en tout ou
La solution
La solution Fast’r FAST’R by CB
by CB 18 18
partie, du présent document sans Évolution
Évolution des Règles
des Règles CB 23 CB 23
Le chaînage
Le chaînage des opérations
des opérations de paiement
de paiement 24 24
l’autorisation expresse préalable et écrite Les avantages
Les avantages du dispositif
du dispositif CB27 CB 27
du Groupement des Cartes Bancaires est
strictement interdite. 28 OPÉRATION DE PAIEMENT AVEC FAST’R
BY CB ET CARTOGRAPHIE DES CAS
D’USAGE À DISTANCE
Vision générale des étapes d’une opération de paiement avec
FAST’R by CB 29
Cartographie des cas d’usage à distance 30
32 ANNEXES
36 GLOSSAIRE
2 3
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
PRÉAMBULE
NOS ATOUTS
PRÉAMBULE Le GIE CB a développé de nombreux services
à valeur ajoutée qui font aujourd’hui de CB, le
schéma de paiement par carte et par mobile le plus
utilisé en France. Le schéma CB, c’est la garantie de
plusieurs avantages compétitifs :
OBJECTIF CARTES BANCAIRES CB
DU DOCUMENT EN BREF LA SÉCURITÉ DU SYSTÈME CB
Hautement sécurisé, le système CB
La Directive européenne sur les Services de Paiement Ce guide a ainsi vocation à accompagner les CB est un Groupement d’Intérêt Économique qui dispose d’un taux de fraude faible.
(DSP2), en vigueur depuis janvier 2018, instaure de e-commerçants et les Prestataires d’Acceptation définit les modalités de fonctionnement du schéma de
nouvelles règles entrant en application depuis le 14 Technique (PAT) dans la compréhension de paiement par carte CB (physique ou dématérialisée).
septembre 2019. cette réglementation ainsi que la mise en œuvre
Créé en 1984, CB n’a pas cessé de développer le
opérationnelle de la solution FAST’R by CB.
Parmi ces nouvelles règles : les normes techniques paiement par carte en y intégrant les dernières
LA PERFORMANCE
réglementaires relatives à l’authentification forte du évolutions technologiques et sécuritaires pour le
client, dites aussi RTS SCA (Regulatory Technical rendre toujours plus ergonomique, performant et Une connaissance étendue du marché
Standards on Strong Customer Authentification) qui sécurisé. qui permet un taux d’acceptation très
consistent à vérifier via différentes méthodes que élevé.
le client est bien détenteur de la carte de paiement
présentée dans l’objectif de lutter contre la fraude en
ligne.
Dans ce contexte, CB a développé un nouveau LA PROTECTION DES DONNÉES
service pour mieux sécuriser les paiements en
ligne : FAST’R by CB. Le GIE CB garantit le traitement et le
stockage des données en Europe et
tout particulièrement en France, et
cela, en complète conformité avec la
réglementation sur la protection des
données personnelles.
Le 11 septembre 2019,
COMMUNIQUÉ l’Observatoire des moyens de
DE PRESSE paiement (OSMP) a publié un
communiqué de presse pour
annoncer le calendrier de LA ROBUSTESSE DE NOS
migration de la Place française sur le volet DSP2/RTS SCA.
INFRASTRUCTURES
Deux calendriers sont à distinguer dans ce communiqué :
Le système CB utilise des
Le calendrier de migration des méthodes infrastructures techniques avec un
d’authentification forte des clients. Il s’agit de remplacer niveau élevé de disponibilité (à plus
progressivement le code SMS à usage unique par des de 99%, 7 jours sur 7, 24 heures sur
solutions plus avancées. Ce calendrier prévoit qu’une 24).
très grande majorité des clients sera équipée d’ici juin
2022.
Le calendrier de migration des infrastructures
techniques au standard 3-D Secure EMVCo v2. Il s’étend L’INNOVATION AU COEUR DE
sur une période de 18 mois de septembre 2019 à mars
NOTRE ADN
2021. Il prévoit que d’ici à mars 2021, l’ensemble des
acteurs se connectera à cette nouvelle infrastructure et Le système CB innove en permanence
appliquera les règles de fonctionnement définies par la que ce soit pour le renforcement de
DSP2/RTS SCA. la sécurité ou la mise à disposition de
nouveaux services à valeur ajoutée.
Retrouvez ces informations sur les liens suivants :
>>https://www.banque-france.fr/sites/default/files/medias/
documents/2019-09-11_osmp_-_cp_migration_dsp2.pdf UN RÉSEAU OPTIMAL
>> https://www.banque-france.fr/sites/default/files/medias/ Le réseau CB est économique grâce à
documents/2019-09-11_osmp_-_plan_de_migration_dsp2.pdf une optimisation et une mutualisation
permanente des coûts.
Toutes les terminologies propres au sujet sont
décrites dans le glossaire en pages 37 à 39.
4 5
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
70 1,7
millions de millions de
cartes (*) commerçants(*)
590
milliards d’€ de
paiements et LE CONSEIL
retraits(*) CONSULTATIF DU
COMMERCE
(CCC)
Dans un contexte de transformation numérique et
du déploiement de nouveaux parcours d’achats, le
Conseil Consultatif du Commerce (CCC) au sein du
Groupement des Cartes Bancaires CB associe ce
dernier et 6 fédérations de commerçants.
69 €
Le CCC répond au besoin de renforcer la coopération
des acteurs du paiement, anticiper et co-construire
des solutions et des services adaptés aux nouveaux
Panier moyen
environnements.
Des ateliers de travail sur l’implémentation de la
en vente à LES FÉDÉRATIONS
DSP2 ont été menés depuis fin 2017 et dans lesquels
différentes familles du e-commerce ont participé
distance PRÉSENTES
ainsi que les établissements bancaires membres du
GIE CB.
(VAD)(*)
1,3
milliards
d’opérations de
paiement en
VAD(*)
(*) Chiffres CB 2018 (*) Chiffres CB 2018
6 7
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB
CHIFFRES CLÉS
DE LA VENTE À
DISTANCE (VAD) EN
RAPPEL DU FRANCE
+11,6%
CONTEXTE
+13,4%
LES OBJECTIFS +13,7%
+14,3%
DE LA DSP2 : +14%
RÈGLEMENTAIRE DE
103,4
RENFORCER 71,5
81,7
92,6
L’INNOVATION 62,9
FAST’R BY CB ET PROTÉGER LE
CONSOMMATEUR 2015 2016 2017 2018 2019
CHIFFRE D’AFFAIRES E-COMMERCE (MD €)
SOURCE FEVAD
La DSP2 est entrée en vigueur en janvier 2018. Cette
deuxième directive vise à :
1. Favoriser l’innovation 0,173%
2. Renforcer la sécurité des paiements
Dans le cadre de la DSP2, les normes techniques
de règlementation (dites aussi RTS – Regulatory
Technical Standards) de la DSP2 ont été rédigées
par l’Autorité Bancaire Européenne (ABE) puis
votées par le parlement européen le 13 mars 2018,
pour une entrée en vigueur au 14 septembre 2019. 0,020% 0,024%
Ces RTS viennent compléter la DSP2, lui donnant un 0,010%
cadre technique de mise en œuvre sur deux points :
Proximité Sans contact DAB VAD
L’authentification forte pour les paiements
électroniques (SCA – Strong Customer
Authentication), TAUX DE FRAUDE EN 2018
SOURCE RAPPORT OSMP
Les normes ouvertes communes sécurisées de
communication (CSC).
Ce présent document se focalise sur les RTS SCA
pour les paiements à distance..
53% 49%
40%
34%
32%
21%
9%
10%
3% 2%
0 - 30 € 30 - 100 € 100 - 250 € 250 - 500 € +500 €
EN 2018
RÉPARTITION DES OPÉRATIONS DE PAIEMENT CB
OPÉRATIONS DE PAIEMENT CB AUTHENTIFIÉES
SOURCE CB
8 9
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB
UNE LES OPÉRATIONS
AUTHENTIFICATION DE PAIEMENT
FORTE Quel avenir pour HORS CHAMP
SYSTÉMATIQUE le code SMS à D’APPLICATION
Les RTS SCA imposent l’authentification forte
usage unique ? DES RTS SCA
du porteur de la carte lorsque celui-ci initie une
opération de paiement à distance. La méthode d’authentification forte la
Pour entrer dans le périmètres des RTS SCA, une
plus utilisée à ce jour est l’OTP, one-
Cette authentification, dite aussi authentification opération de paiement doit remplir 2 critères :
time-password (86% des authentification
à deux facteurs, implique la vérification de deux
fortes en 2017). 1. Être un paiement électronique,
éléments indépendants parmi 3 catégories :
Cette solution repose sur la réception 2. Être initiée par le payeur (personne physique ou
par le porteur de la carte d’un code à morale).
usage unique par message. Or, l’ABE a
indiqué en 2018 que l’OTP SMS n’était L’ABE a désigné expressément trois types de
pas une méthode d’authentification forte paiements VAD qui sont hors du champ d’application
conforme aux RTS SCA. des RTS SCA :
UN ÉLÉMENT D’INHÉRENCE
La deuxième méthode d’authentification
ce que l’utilisateur « est » forte la plus utilisée en France est
(empreinte digitale, reconnaissance faciale, etc). l’authentification sur application mobile.
Elle nécessite que le porteur possède
un smartphone. Elle n’a pas encore
été adoptée par toutes les banques,
et représente uniquement 12% des
authentifications fortes, bien qu’elle soit LES PAIEMENTS INITIÉS
en constante progression. PAR LE COMMERÇANT
Dans ce cadre, la Banque de France a L’authentification forte est complexe
initié des travaux en concertation avec car l’opération de paiement
UN ÉLÉMENT DE CONNAISSANCE
les banques, les commerçants et CB n’est pas initiée par le porteur
ce que l’utilisateur « sait » afin que l’usage de nouvelles méthodes
(mot de passe, PIN, etc.) d’authentification forte se développe
rapidement et couvre l’ensemble de la
population.
Le rapport de l’OSMP publié en juillet Pour ces 3 cas...
2019 confirme l’acceptation du SMS
jusqu’en juin 2022. Le commerçant n’est pas tenu d’initier un
LES PAIEMENTS DITS MO/TO
processus d’authentification.
(MAIL ORDER, TELEPHONE ORDER)
L’opération de paiement peut faire l’objet d’une
UN ÉLÉMENT DE POSSESSION Ceux-ci ne sont pas perçus
demande d’autorisation sans être précédée d’une
comme des paiements électroniques
ce que l’utilisateur « possède » demande d’authentification.
(token, mobile, carte, etc.)
En France, les transactions cartes réalisées en
proximité avec saisie d’un code confidentiel sont
déjà aujourd’hui conformes aux RTS SCA. LES PAIEMENTS ONE-LEG
Les transactions sans contact sans authentification Les paiements dont l’acquéreur ou l’émetteur
font l’objet d’une dérogation prévue par le règlement. se trouve hors de l’Union Européenne
Ce guide d’utilisation se focalise sur les transactions
à distance. Celles-ci peuvent faire l’objet d’une
authentification non systématique aujourd’hui, le
plus souvent via 3-D Secure v1.
10 11
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB
LES DÉROGATIONS À LA GESTION DES
L’AUTHENTIFICATION DÉROGATIONS
FORTE
Pour les opérations CB, le commerçant exprime un
souhait sur le type d’authentification à mettre en
La DSP2 impose une authentification forte du porteur
systématique pour les opérations de paiement (cf.
Parce que la fluidité œuvre (authentification forte ou frictionless).
page 10). des parcours clients est C’est toujours l’émetteur qui décide de mettre en
œuvre ou non une dérogation, ainsi que sa nature
Cependant, cinq cas de dérogations sont activables
sur les paiements e-commerce par carte.
également importante... (sa base légale vis-à-vis du Règlement).
Le Régulateur estime que le risque de fraude de ces Ces cinq cas de dérogations permettent de
opérations de paiement est suffisamment bas pour bénéficier d’une authentification passive, c’est-
ne pas solliciter le porteur. Être éligible à un seul à-dire que l’opération de paiement sera bien
cas de dérogation est suffisant pour bénéficier de authentifiée, mais le porteur de la carte ne sera
l’authentification passive, dite aussi frictionless. pas sollicité.
L’application de la dérogation est à la main du PSP Un cryptogramme d’authentification est généré
émetteur de la carte. par l’émetteur, adressé au commerçant, et repris
dans la demande d’autorisation.
Petits Transactions Paiement Bénéficiaires Carte non-
montants Risk Analysis récurrent de confiance nominative
Sauf toutes les
6 opérations
0 - 30€ de paiement
ou montant
cumulé > 100€
Le calcul du
taux de fraude
PSP émetteur
30 - 100€ ou acquéreur
est effectué Si l’opération de Si le
selon une paiement bénéficiaire Cette
approche est effectuée est inscrit par le dérogation vise
globale. dans le cadre payeur les paiements
d’un paiement sur la liste des initiés par
Exemple : si récurrent bénéficiaires de des payeurs
100 - 250€ l’émetteur ou à montant et confiance « personnes
l’acquéreur bénéficiaire Le whitelisting morales »
a un taux de constants ne sera (cf article 17 des
fraude
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
LE DISPOSITIF
PROPOSÉ POUR RAPPEL DES FLUX
DE PAIEMENT
UN PAIEMENT Les opérations de paiement génèrent quatre Les dérogations peuvent permettre au
CB AVEC 3-D
types de flux différents : porteur d’être authentifié de manière passive,
dite aussi frictionless. Un cryptogramme est
1. Le flux d’authentification permet à
généré par l’émetteur à l’issue de l’opération
l’émetteur d’authentifier l’utilisateur de
attestant de l’authentification du porteur.
la carte aux fins de s’assurer qu’il en est
bien le titulaire. Il est important de noter que les paiements
SECURE
soumis à exemption présentent également
2. Le flux d’autorisation permet à l’émetteur
un cryptogramme d’authentification
de réaliser différents contrôles de gestion
assurant qu’une analyse de risque a bien été
du risque liés au fonctionnement de la
réalisée.
carte, notamment les contrôles relatifs
aux plafonds de paiement, aux fins La gestion de ces exemptions nécessite
d’accepter ou de refuser le paiement. d’utiliser le protocole EMVCo 3DS v2 pour
bénéficier de l’authentification passive et
3. Le flux de remise permet de remonter
d’utiliser pour les opérations CB, le service
toutes les transactions traitées par le
FAST’R by CB.
commerçant à son acquéreur aux fins de
créditer son compte. Si une opération de paiement entrant dans
le champ des RTS SCA fait l’objet d’une
4. Le flux de compensation organise
demande d’autorisation sans avoir fait l’objet
l’échange financier entre l’acquéreur et
d’une authentification forte ou passive au
l’émetteur aux fins de débiter les comptes
préalable, les émetteurs peuvent refuser
de paiement des porteurs.
l’autorisation et demander au commerçant
Actuellement, le commerçant a le de réaliser une demande d’authentification
choix d’effectuer ou non une demande forte ou passive.
d’authentification. A cet effet, il utilise le plus
souvent le protocole d’authentification 3DS
V1.
Dans le cadre des RTS SCA, toute opération
de paiement qui est dans le champ
d’application doit être authentifiée (de façon
forte ou passive).
L’utilisation du protocole
d’authentification 3DS v1 reste
possible pour les opérations CB
jusqu’à fin 2020.
Ce protocole ne permet pas la
gestion des exemptions prévues
par les RTS ni la mise en œuvre
de l’authentification passive.
14 15
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
Schéma type d’une opération de paiement CB en 3DS EMVCo v2
La solution FAST’R s’intègre dans les flux existants.
Les données de l’opération de paiement devant être transmises avec le protocole
1
d’authentification 3D Secure EMVCo sont envoyées du serveur du commerçant
(SDK) au Prestataire d’Acceptation Technique (PAT).
Le flux d’Authentification
Flux d’Authentification
13 Commerçant
2 Le message de demande d’authentification contenant les données et le souhait
Flux d’Autorisation
du commerçant est envoyé au Directory Server CB (DS-CB) de la solution FAST’R
Flux de Remise by CB par le PAT.
Page de
paiement Flux de Compensation
FAST’R by CB analyse le risque de l’opération de paiement, et émet une
3
recommandation qu’il transfère à l’ACS de l’émetteur de la carte.
L’ACS authentifie fortement ou passivement le porteur. Le type d’authentification
CB2AF
4
mis en œuvre ainsi que le cryptogramme d’authentification sont indiqués dans le
SDK FAST’R flux de réponse.
by
FAST’R by CB transfère ces informations ainsi que son propre score de l’opération
Souhait commerçant 5
Souhait (CB) Score CB(**) de paiement au 3DS Server du PAT.
Protocole
1 commerçant Directory (CB) Préconisation CB(**)
privatif
2 Server 3
3DS
3DS EMVCo V2 (DS-CB) 3DS EMVCo V2 ACS
Server
+ Le flux d’Autorisation
5 Scoring 4
13 12 Type Type d’authentification
PAT d’authentification(*) Le PAT envoie à l’acquéreur l’opération de paiement dans la demande d’autorisation,
(CB) score CB(**) 6 7
qui la transfère à l’émetteur. Le flux d’autorisation permet d’identifier le cas d’usage,
Serveur
le fait que l’opération soit dans le champ d’application du RTS, l’éligibilité à une
d’acceptation
exemption et. les résultats de la demande d’authentification forte.
MPADS
L’émetteur reçoit une demande d’autorisation et effectue plusieurs vérifications :
6 8 9
identification du cas d’usage, règles d’authentification forte applicable, gestion
du risque, vérification que la transaction a fait ou non l’objet d’une demande
CB2A
Souhait commerçant
Type d’authentification(*)
d’authentification. Il transfère sa réponse à l’acquéreur.
(CB) score CB(**)
11 La banque acquéreur reçoit la réponse et partage l’information avec le PAT du
CB2AF
10 11
commerçant.
(ou un autre processeur)
7 8
SAA CBAE E-RSB CBAE SAE
Le PAT informe le commerçant de l’acceptation ou du refus de l’opération de
10 9 12
paiement.
Le flux de Remise
13 Le commerçant envoie la remise à son acquéreur.
Acquéreur Émetteur
14 14
Le flux de Compensation
CB2C CB2C
CORE
Le mouvement de compensation est envoyé par l’acquéreur à l’émetteur, à travers
14
le système interbancaire de compensation.
(*) Authentification forte ou authentification passive
(**) Champs liés au scoring FAST’R by CB
16 17
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
LA SOLUTION La page de paiement est hébergée par le PAT ou le commerçant. Si la marque
FAST’R BY CB Page de
paiement
CB est choisie, alors l’opération de paiement doit donner lieu à une demande
d’authentification transmise à la solution FAST’R by CB avec le protocole 3DS EMVCo.
L’architecture de la solution
FAST’R by CB
Le SDK est un élément logiciel permettant au commerçant de véhiculer des
La solution FAST’R by CB répond à un besoin de lutte SDK
données à son PAT au cours d’un processus d’achat.
contre la fraude e-commerce et de fluidification des
parcours client dans le cadre des nouveaux RTS SCA.
C’est une solution créée en concertation avec les
commerçants et les banques, afin de s’adapter aux
différents cas d’usage remontés dans le cadre du Le 3DS Server permet la transmission des données du SDK commerçant à la
3DS SERVER
CCC. solution FAST’R by CB pour la mise en œuvre d’une authentification 3-D Secure.
L’ensemble des acteurs (PAT, acquéreur, émetteur)
doit être raccordé pour que les opérations de
PA I E M E N T
paiement CB soient authentifiées et bénéficient des
SÉCURISÉ
services CB.
DIRECTORY Le Directory Server (DS-CB) est l’annuaire des cartes de paiement CB qui route
SERVER vers la demande d’authentification vers l’émetteur. FAST’R by CB assure 99,995%
(DS-CB) de disponibilité de service.
Illustration de l’architecture de FAST’R by CB
CB possède un système d’information dédié à la lutte contre la fraude. Il s’appuie
sur les données contenues dans les flux d’authentification, d’autorisation, et de
SI/LCLF compensation. Depuis sa mise en place en 2014, l’outil de scoring a permis une
baisse du taux de fraude de 20%.
SCORING Le scoring d’authentification intègre le scoring CB de lutte contre la fraude ainsi
D’AUTHEN- qu’un scoring à part nouvellement développé par CB, basé sur la gestion du risque
COMMERÇANT PAT PSP ACQUÉREUR CB PSP ÉMETTEUR du commerçant.
TIFICATION
Solution
Page de
FAST’R by CB
paiement
Directory
Server L’ACS est le serveur d’authentification de la banque émetteur. L’ACS évalue le risque
(DS-CB) ASP de l’opération de paiement, basé sur sa connaissance du client, la recommandation
3DS ACS (PSP CB ainsi que les données contenues dans le protocole EMVCo. Il prend la décision
SDK (PSP
Server
Émetteur)
EMETTEUR) d’authentifier fortement ou non l’opération de paiement. En cas de panne, CB peut
se substituer à l’ACS, permettant l’aboutissement de l’opération de paiement.
SI/LCLF(*)
Scoring
d’authentifi-
cation
Chacun des acteurs de la chaîne a accès à des informations
spécifiques.
Le commerçant a notamment accès à des données sur le
client, le dispositif utilisé et l’opération de paiement.
CB a accès à l’historique de la carte et la banque émetteur
connait les habitudes du porteur.
(*) Système d’Information de lutte contre la fraude Ensemble, ces informations permettent d’évaluer le risque
conformément aux RTS SCA et de manière optimale (cf.
page 34).
18 19
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
LA SOLUTION LA SOLUTION
FAST’R BY CB FAST’R BY CB
Partage de données
Souhait commerçant et
La solution FAST’R by CB utilise le protocole d’échange 3DS V2
transfert de responsabilité EMVCo. Ce protocole est un langage dédié au flux d’authentification,
interbancaire permettant le transfert d’informations entre le PAT du commerçant
et la banque émettrice.
Le commerçant ne dispose pas de la décision finale Deux types de données circulent dans le protocole :
d’authentifier fortement ou passivement l’opération
Le commerçant transmet son souhait dans 1. Les données obligatoires,
de paiement. Ce choix appartient à l’émetteur. Le
un champ prévu à cet effet dans l’extension
commerçant peut en revanche faire connaître sa 2. Les données optionnelles.
CB du protocole 3DS EMVCo V2.
préférence : trois choix sont disponibles, applicables
Les données obligatoires sont nécessaires à l’envoi de l’opération de
pour chaque opération de paiement : Un commerçant qui souhaite de
paiement dans le flux d’authentification.
l’authentification forte peut se voir attribuer
Souhait d’une authentification passive,
du frictionless, dans le cas où l’émetteur Les données optionnelles entrent aussi en compte dans le scoring
Souhait d’une authentification forte, juge la transaction suffisamment peu CB. Ces données sont indiquées en REC – recommandée pour
risquée pour solliciter le porteur. obtenir du frictionless – dans le guide d’intégration pour les 3DS
Pas de préférence.
Server. Elles concernent :
Le type d’exemption appliquée par l’ACS
L’expression de ce souhait entre en compte dans le
(Ex : TRA Acquéreur, Petits montants, Les données du commerçant,
scoring CB et il est communiqué à l’émetteur.
TRA Emetteur,...) n’a aucun impact sur le
Les données de l’opération de paiement,
De plus, ce souhait a un impact sur le transfert de transfert de responsabilité.
responsabilité interbancaire CB (voir schéma ci- Les données de la carte et de son porteur,
L’application de la garantie de paiement
dessous).
sera précisée dans le contrat d’acceptation Les données de l’appareil utilisé pour cet achat.
Ces données sont traitées en conformité
La charge de la fraude est toujours supportée entre l’acquéreur et le commerçant.
Parmi ces données optionnelles, un certain nombre sont jugées avec le RGPD et le PCI DSS (norme
par l’émetteur, sauf dans le cas où le commerçant
particulièrement pertinentes par CB dans le cadre du calcul d’un taux de sécurité de l’industrie des cartes de
demande de l’authentification passive (frictionless)
de risque de fraude, afin de pouvoir bénéficier d’une authentification paiement).
et l’émetteur applique ce choix.
passive. Les données jugées prépondérantes sont :
Le scoring commerçant. Chaque commerçant possède un
scoring avec son format propre. La solution FAST’R by CB pourra
Matrice interbancaire du transfert de responsabilité l’exploiter (avec un temps d’apprentissage),
Le nombre d’articles dans la commande,
Le nom du client,
Si l’émetteur applique de Si l’émetteur applique de
l’authentification passive l’authentification forte L’adresse de livraison ou adresse de facturation, Ces données sont exploitées uniquement
dans le cadre de la prévention et de la
L’adresse e-mail ou numéro de téléphone,
lutte contre la fraude.
Avec souhait commerçant
« authentification passive » Le shipping indicator (mode de livraison : point relais, domicile,
Coût de la fraude supporté Coût de la fraude supporté
Champ 3DS Requestor par l’acquéreur par l’émetteur magasin, etc.).
Challenge Indicator = « 02 »
Avec souhait commerçant
« authentification forte »
Champ 3DS Requestor
Challenge Indicator = « 03»
Coût de la fraude supporté Coût de la fraude supporté
(Challenge Requested : 3DS
par l’émetteur par l’émetteur
Requestor Preference)
ou Au regard du RGPD, CB considère qu’il est responsable de
« 04 » (Challenge
traitement pour les données qui lui sont transférées, et ce
Requested : Mandate)
dans une finalité de prévention et de lutte contre la fraude.
Avec CB recommande aux commerçants de définir leur statut avec
« pas de souhait » Coût de la fraude supporté Coût de la fraude supporté leur PAT. En tout état de cause, CB ne considère ni le PAT ni
Champ 3DS Requestor par l’émetteur par l’émetteur
Challenge Indicator = « 01 » le commerçant comme ses sous-traitants (cf. page 34).
NOTE
La matrice ci-dessus s’applique uniquement pour la 1ere
opération (excepté pour le cas du paiement à l’expédition :
dans la limite de 30 jours après la demande d’authentification).
20 21
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
LA SOLUTION
FAST’R BY CB
Low Risk Merchant
Program Ce programme ÉVOLUTION DES
permet de valoriser
Les commerçants présentant un faible taux de
fraude peuvent bénéficier du Low Risk Merchant
les investissements RÈGLES CB
Program pour les montants allant de 0 à 100€. du commerçant
A l’occasion de la mise en œuvre des RTS SCA, CB fait évoluer ses règles sur les
dans les outils de opérations de paiement VAD, afin de mieux répondre à l’évolution des pratiques
gestion et d’analyse
BESOIN
des commerçants.
du risque.
Lorsqu’un commerçant demande Le commerçant
à l’émetteur de ne pas
est invité à se 4 évolutions principales des règles CB
SOLUTION CB
authentifier fortement le
payeur, il n’a aucune rapprocher de son
garantie que l’émetteur Les acquéreur principal
accepte et émet- pour connaître Les règles CB permettent l’identification des cas de paiement pour
1
procède à une teurs l’application des cas de dérogation à l’obligation d’authentification forte
s’engagent
son éligibilité au
(pour les opérations dans le scope des RTS SCA).
authentification
à respecter programme.
passive. le souhait du
commerçant En cas de réponse Pour le cas d’usage de paiement à l’expédition, les opérations pourront
2
adhérant au bénéficier du transfert de responsabilité dans la limite de 30 jours
positive, l’acquéreur
programme lorsqu’il suivants la commande.
fera la demande
exprime le souhait de ne
pas authentifier le payeur auprès de CB.
Il devient possible d’utiliser une même authentification pour plusieurs
sur la tranche 0-100€ (pas de 3
demandes d’autorisation liées à une même commande (cette utilisation
transfert de responsabilité).
est limitée à une durée de 180 jours pour le cas de paiement à l’expédition).
Les opérations doivent être liées entre elles par une référence de chaînage.
Le cryptogramme visuel (CVx2) devient optionnel pour les opérations
Illustration de la cinématique de paiement pour un commerçant 4
de paiement avec authentification, cela correspond notamment aux cas
adhérent au programme du One Clic et de l’utilisation d’un wallet.
1 2 3
Ces règles sont
applicables à
partir du 1er
octobre 2019.
Dans le protocole 3DS L’émetteur reconnait L’émetteur respecte la
v2, via son souhait, le que le commerçant est demande du commerçant
commerçant demande adhérant du programme et applique la dérogation.
à l’émetteur de ne pas et que l’opération de
authentifier fortement paiement entre dans le
le porteur suite à son cadre d’une exemption.
analyse de risque.
Cela est possible grâce
au flag « frictionless
obligatoire ».
22 23
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
Les cas de paiements
récurrents
Pour les paiements récurrents dont la
réponse à la demande d’autorisation (ou de
renseignement) initiale ne contient pas une
« Référence unique de transaction », qu’ils
soient initiés avant ou après le 14 septembre
2019 :
Le commerçant peut envoyer ses
demandes d’autorisation subséquentes
sans identifiant de regroupement jusqu’à
l’échéance où il reçoit une « Référence
unique de transaction » dans le champ
47 type 95 de la réponse à la demande
d’autorisation.
LE CHAINAGE Toutes les demandes d’autorisation
subséquentes suivantes doivent contenir
DES OPÉRATIONS Comment est valorisée la
la valeur de cette « Référence unique de
transaction » dans le champ « Identifiant Quelles sont les autres
DE PAIEMENT référence de chaînage dans
de Regroupement » 47 type 99.
données à valoriser
Les SAE doivent envoyer une « Référence
CB a développé une fonctionnalité de la réponse à la demande unique de transaction » pour toutes les pour le chaînage des
chaînage des opérations de paiement.
d’autorisation ? opérations de paiement e-commerce au
plus tard en T4 2019.
opérations de paiement ?
Le chaînage des opérations dans les flux
d’autorisation permet aux émetteurs Pour toutes les transactions de vente à distance, CB recommande aux SAE de refuser les
Pour le chainage, plusieurs données ont été
d’identifier une série d’opérations de l’émetteur doit générer sa propre référence de demandes d’autorisation subséquentes –
ajoutées aux messages d’autorisation comme
paiement liées entre elles et de garantir transaction et la transmettre dans le champ 47 sans identifiant de regroupement – à partir
les données e-commerce de la première
qu’une authentification a été mise en œuvre type 95 des messages réponse avec en première du 1er janvier 2022.
transaction, le numéro et le nombre total des
position la valeur « 1 » qui définit une nomenclature
pour une série d’opérations. Cette référence Pour les paiements récurrents initiés après le 14 échéances, la date de fin d’échéance et la
CB.
s’applique pour toutes les opérations de septembre 2019 dont la réponse à la demande somme des montants déjà autorisés.
paiement à distance quelle que soit la solution Cette référence de transaction est une valeur d’autorisation (ou de renseignement)
Note : Pour la première demande d’autorisation
d’authentification utilisée (3DS EMVCo V2, alphanumérique sur 15 caractères. initiale contient une « Référence unique de
(ou de renseignement) :
3DS V1, Paylib). transaction » :
Cette référence sera conservée par les
le N° échéance est égal à 1 pour une
La référence unique de transaction est e-commerçants ou leur PAT. Elle est reprise dans Dans toutes les demandes d’autorisation
demande d’autorisation et à 0 pour une
renseignée par l’émetteur dans la réponse à la les demandes d’autorisations subséquentes sous subséquentes, le commerçant doit
demande de renseignement,
demande d’autorisation (ou de renseignement) l’appellation « identifiant de regroupement ». valoriser le champ 47 type 99 « Identifiant
d’une opération de type paiement unique, de Regroupement » en utilisant la la somme des montants déjà autorisés est
ou d’une première opération de paiements « Référence unique de transaction » reçue valorisée à 0,
multiples. dans le champ 47 type 95 de la réponse
à la demande d’autorisation (ou de le nombre total d’échéances n’est pas
Le périmètre concerné par le chaînage englobe renseignement) initiale. à valoriser pour le cas d’usage « Autre
tout paiement à distance (e-commerce, MO/ abonnement ».
TO) unique ou pouvant faire l’objet d’une
récurrence. La référence unique de transaction
renseignée en réponse d’autorisation (ou
de renseignement) est aussi reprise en La demande de renseignement rassure le
compensation. commerçant sur la validité de la carte.
Afin de mettre en place ce chaînage, le Dans la majorité des cas, la demande
protocole d’autorisation CB2A a évolué : d’autorisation s’effectue lorsque la commande
le champ 47 type 95 devient la donnée est validée.
« Référence unique de transaction ». Afin de
rendre cette donnée utilisable par tous les Mais, dans certains achats (précommande,
réseaux, un identifiant de nomenclature est réservation anticipée, etc.), la demande
ajouté en premier caractère de cette donnée. d’autorisation peut intervenir plusieurs jours
après la commande.
24 25
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE
Schéma simplifié de la mise en place du chaînage pour une LES AVANTAGES
opération de paiement de rang 1
DU DISPOSITIF CB
3DS 1
ACS
Server
2
Jusqu’à 85%
En 3DS EMVCo V2 d’authentification
PAT
Champ 56 type 0023
« ACS transaction ID » ÉMETTEUR passive en cible
Serveur 3
SAE Grâce aux analyses de fraudes CB
d’acceptation
4 Scoring, CB est en mesure de déceler
Champ 47 type 95 les opérations de paiement à risque et
(identifiant de regroupement)
« 1 » + « ACS transaction ID »
recommande une authentification forte
si nécessaire.
Taux d’autorisation
parmi les plus élevés
Schéma simplifié de la mise en place du chaînage pour une en Europe
opération de paiement de rang > 1 Fondé sur l’analyse de milliards de
paiements CB, le score CB optimise les
taux de transformation du e-commerce.
99,99%
de disponibilité
Champ 47 type 99
(identifiant de regroupement)
« Référence unique de
transaction » de service
Serveur 5
SAE Une disponibilité maximale garantis-
PAT d’acceptation ÉMETTEUR
6 sant la transformation des achats, avec
la possibilité de se substituer aux ACS
quand nécessaire.
Adapté à tous les
Flux d’Authentification
Flux d’Autorisation
parcours client
Service disponible sur tous les dispo-
Le flux d’Authentification sitifs en mode « browser » et « in-app ».
Un programme
Pour le chainage, plusieurs données ont été ajoutées aux messages d’autorisation
1 2
comme les données e-commerce Lors d’une opération de paiement de rang 1, le récompensant les
PAT demande l’authentification de l’opération de paiement sur le montant total de
l’achat. L’émetteur réalise une authentification forte ou passive
commerçants peu
fraudés
Ce programme permet aux
Le flux d’Autorisation commerçants peu fraudés d’influer sur
la décision de l’émetteur de procéder à
Le PAT remonte à l’émetteur toutes les données de l’authentification, notamment une authentification forte ou non.
3
le champ 56 type 0023 de la demande d’autorisation « l’ACS transaction ID ». Cela
n’est disponible qu’en 3DS EMVCo V2.
L’émetteur génère l’identifiant unique de transaction, précédé de la valeur « 1 »,
Facilité d’utilisation
4
dans la réponse à la demande d’autorisation (champ 47 type 95). bénéficier de la solution FAST’R by CB
dès lors qu’il possède un SIRET valide.
Le commerçant reprend cette valeur dans « l’identifiant de regroupement », champ
5
47 type 99.
6 Le SAE répond à la demande d’autorisation.
26 27
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -VISION GÉNÉRALE DES ÉTAPES
D’UNE OPÉRATION DE PAIEMENT
AVEC FAST’R BY CB :
UNE OPÉRATION DE
PAIEMENT EST INITIÉE
OPÉRATION
DE PAIEMENT
Le commerçant / PAT détermine que Le commerçant / PAT détermine que
l’opération de paiement entre dans le l’opération de paiement est hors du
cadre d’application des RTS SCA champ d’application des RTS SCA
AVEC L’opération de
Opération de
FAST’R BY CB
paiement exige une Le commerçant / PAT évalue le risque
paiement liée à
authentification
une transaction
forte Autre opération
précédente
(ex : ajout de carte, de paiement
entrant dans le
1ère opération
ET
cadre des RTS
d’un paiement Le commerçant Le commerçant
Le commerçant SCA
échelonné ou d’un souhaite une souhaite une
n’émet pas (ex : MIT)
abonnement) authentification authentification
de souhait
forte passive(*)
CARTOGRAPHIE
DES CAS D’USAGE L’émetteur
authentifie
fortement
L’émetteur choisit de mettre en œuvre une
authentification forte ou une authentification passive.
L’authentification passive sera possible uniquement
dans le cadre d’une exemption applicable
Envoi direct
de l’opération
de paiement
À DISTANCE
l’opération de (TRA acquéreur ou émetteur, petits montants, cartes dans le flux Envoi direct
paiement commerciales, bénéficiaires de confiance) d’autorisation, de l’opération
avec certaines de paiement
données de dans le flux
la transaction d’autorisation
initiale et le rang
de la transaction
Un cryptogramme d’authentification est généré par l’émetteur et envoyé actuelle
dans la demande d’autorisation
(*) Le commerçant peut indiquer s’il est éligible à la TRA acquéreur
28 29
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -1 2 3 4 5 6
Paiement unique Ajout / Modification de Paiement pour la Locaion Paiement
Paiement unique Paiement agrégé d’achats
(à l’expédition / livraison / données carte en dehors de Biens et Services complémentaire /
(à la Commande) multiples
délivrance du service) d’un parcours de paiement (PLBS) No-show
www. cartes-bancaires.com
Ex : paiement d’un Ex : enregistrement de Ex : règlement en une Ex : location d’une Ex : facturation
produit dont le données carte dans le fois de plusieurs achats voiture. d’une réservation de
règlement intervient compte d’un client. de petit montant sur chambre d’hôtel non
au moment de son une durée limitée. honorée, ou paiement
expédition. de la facture de mini-
bar établie après le
départ du client.
CARTOGRAPHIE
Les opérations simples
Authentification forte ou
Authentification forte ou
Authentification forte ou Authentification forte ou passive sur le montant
Authentification forte passive sur le montant estimé
passive passive maximum Demande d’autorisation /
+ +
+ + + Demande d’autorisation sur remise sur le montant de
Demande de montant estimé / clôture la facture
Demande d’autorisation / Demande de Demande d’autorisation /
renseignement remise sur le montant et remise sur le montant
remise renseignement réel
maximum
CIT CIT CIT CIT (dans les 30 jours) CIT MIT
+
DES CAS D’USAGE À DISTANCE
A l’envoi du produit
Autorisation / remise
sur le montant total
NOTE
Dans certaines situations
le montant total dépasse
le montant initialement
prévu (ex : VTC), le
commerçant génère une
nouvelle transaction (MIT) CIT MIT
sans lien avec la première
Février 2020 -
30
7 8 9 10
Abonnement de montant
Paiement multiple Abonnement à montant
www. cartes-bancaires.com
Paiement échelonné variable ou date de fin
à l’expédition total connu
inconnue
Ex : paiement d’une Ex : paiement en 3-4 Ex : abonnement d’une Ex : abonnement
commande livrée en fois. année dont le montant opérateur téléphonique
plusieurs fois. total est connu à la avec facture sur
commande. consommation.
CARTOGRAPHIE
Les opérations multiples
Authentification forte ou Authentification forte sur Authentification forte sur Authentification forte sur
passive sur le montant le montant de la première
le montant total le montant total
échéance
total + +
+
+ Demande d’autorisation / Demande d’autorisation /
Demande d’autorisation /
Demande de renseigne- remise sur le montant du remise sur le montant
remise sur le montant du
ment premier paiement du premier paiement premier paiement
CIT CIT CIT CIT
+ + +
A chaque expédition Pour les paiements Pour les paiements
DES CAS D’USAGE À DISTANCE
suivants
Pour les paiements
Demande d’autorisation suivants
suivants
/ remise sur le montant Demande Demande
Demande d’autorisation
du produit expédié. d’autorisation / remise d’autorisation / remise
/ remise sur chaque
sur chaque montant sur chaque montant
montant de l’échéance
de paiement. de l’échéance.
MIT
CIT MIT
Février 2020 -
31LOGOS CB
CB a développé un nouveau logo
Le logo Paiement Sécurisé est à implémenter
sur les pages de paiement.
Il est l’élément de référence d’une opération
de paiement traitée par CB. Il a pour but de
rassurer le client sur la sécurité du processus
de paiement.
Validé par les internautes lors d’une étude
réalisée fin 2017, le logotype Paiement Sécurisé
conjugue un cadenas fermé et une expression
française pour conforter le client d’un traitement
ANNEXES
sécurisé effectué en France.
PA I E M E N T
SÉCURISÉ
TEMPLATE Pour télécharger le logo CB
DE PAIEMENT Paiement Sécurisé :
https://www.cartes-bancaires.com/a-propos/
RECOMMANDÉ telechargements-logos/
PAR CB
Votre panier Votre paiement est sécurisé par le système 3D Secure
Votre banque va vérifier votre identité afin de vous prémunir
Article 1 xx,xx € de toute utilisation frauduleuse de votre carte bancaire.
Article 2 xx,xx € Numéro de la COFWGG8RX0TTJ6
commande MARCHAND A
Total xx,xx €
Payer avec
Titulaire de la carte* Prénom Nom
Votre adresse de livraison Numéro de la carte* 4974 4521
Date d’expiration (MM/AAA)* 09 2019
Code de vérification de la carte* 123 Qu’est ce que c’est ?
Choix du moyen de paiement Un * indique les champs obligatoires
Choisir Confirmer le paiement
Carte
Si vous voulez choisir une autre marque de paiement, cliquer ici
Wallet
Choisir
A propos de Ogone Protection des données
Sécurité Informations légales
Autres Choisir
Annulation
La sélection d’un bouton unique pour le paiement Affichage dynamique de la marque préférée du commerçant
par carte. et possibilité pour le client de changer.
32 33
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -ANNEXES ANNEXES
PROTECTION
DES DONNÉES
PERSONNELLES
Le service FAST’R by CB est développé par CB pour La DSP2 (considérant 95) et les RTS SCA (considérant Dans son rapport annuel 2017, l’Observatoire
répondre aux objectifs suivants : 1er) prévoient clairement que l’authentification sûre de la sécurité des moyens de paiement
du porteur a notamment pour objectif la prévention (OSMP) indique qu’en raison de l’évolution
Prévenir et lutter contre la fraude à la carte de
de la fraude. majeure opérée par la DSP2 dans le processus
paiement dans le système CB,
de décision en matière d’authentification
L’article 18 des RTS SCA dispose qu’un PSP peut ne
Permettre à ses membres, et en particulier désormais « à la main de l’Emetteur », des
pas authentifier fortement le payeur lorsque, suite
aux émetteurs, de se conformer aux nouvelles échanges d’information entre le Commerçant
à une analyse des risques, il considère le risque de
dispositions légales qui leur sont applicables, et l’Emetteur peuvent avoir lieu pour
fraude comme étant faible et que cette analyse des
« alimenter le dispositif d’évaluation des
Permettre aux commerçants de préserver la risques est notamment (il existe d’autres conditions
risques » de l’Emetteur et faciliter l’éventuelle
fluidité de leur parcours client dans le respect du et notamment le respect des seuils de taux de fraude)
application de la dérogation prévue à l’article 18
réalisée dans les conditions évoquées ci-dessous :
cadre légal applicable. des RTS SCA,. comme cela est techniquement L’analyse des risques doit tenir
Ces objectifs s’inscrivent pleinement dans le contexte prévu dans les spécifications du protocole compte, « au moins », des
3D-Secure 2.0.
de l’entrée en vigueur des RTS SCA le 14 septembre facteurs suivants :
2019 qui prévoient notamment : Par ailleurs, les différents intervenants de
Un principe d’authentification forte systématique la solution FAST’R by CB sont tenus de se
conformer à l’ensemble des dispositions les habitudes de dépenses antérieures
du porteur de la carte lors de chaque opération de
prévues par la législation applicable en de l’utilisateur individuel de services de
paiement ;
matière de protection des données à caractère paiement;
Des dérogations à ce principe et notamment quand
L’analyse des risques doit
personnel et en particulier au RGPD. Chaque l’historique des opérations de paiement
une analyse des risques permet de considérer le permettre de déceler intervenant devra notamment : de chacun des utilisateurs de services de
niveau de risque de fraude lié à l’opération comme l’inexistence des éléments paiement du prestataire de services de
faible (article 18). Déterminer avec les autres intervenants le
suivants : statut au titre duquel il traite les données paiement ;
Pour atteindre ces objectifs, les différents intervenants à caractère personnel. En tout état de la localisation du payeur et du bénéficiaire
au service FAST’R by CB (commerçants, PATs, CB et des dépenses anormales ou un type de cause, CB traite, en tant que responsable au moment de l’opération de paiement
émetteurs) traitent et se transmettent des données comportement anormal du payeur ; du traitement, les données à caractère dans les cas où le dispositif d’accès ou le
prévues par le protocole d’échange 3DS EMVCo V2 personnel qui lui sont transmises par le logiciel est fourni par le PSP ;
EMVCo. des informations inhabituelles concernant PAT pour la finalité qui lui est propre, c’est-
l’utilisation du dispositif ou logiciel du à-dire la lutte contre la fraude à la carte l’identification de comportements de
Certaines de ces données, qui concernent le porteur payeur à des fins d’accès ; de paiement dans le système CB. CB ne paiement anormaux de l’utilisateur
de la carte de paiement, sont protégées par la
considère, ni les commerçants, ni les PATs de services de paiement par rapport
règlementation applicable en matière de protection des signes d’infection par un logiciel
comme étant ses sous-traitants. à l’historique de ses opérations de
des données à caractère personnel et notamment le malveillant lors d’une session de la
paiement.
Règlement (UE) 2016/679 (RGPD). procédure d’authentification ; S’assurer, lorsqu’il est responsable du
un scénario connu de fraude dans le cadre traitement, que les données à caractère
Sous réserve du respect des dispositions du RGPD,
de la prestation de services de paiement ; personnel qu’il traite le sont pour des
le traitement de ces données par les différents
finalités déterminées, explicites et
intervenants au service FAST’R by CB est légitime car
une localisation anormale du payeur ; légitimes.
elles sont nécessaires à la réalisation de l’analyse des
risques de fraude. une localisation du bénéficiaire présentant Se conformer autres dispositions de la
des risques élevés. règlementation qui lui serait applicable
En effet, l’article L521-6 du Code monétaire et
en matière de protection des données
financier dispose que les systèmes de paiement
à caractère personnel : registre, analyse
et les prestataires de services de paiement (PSP)
d’impact, transparence et droits des
sont légitimes à mettre en œuvre des traitements
personnes concernées, sécurité et
de données à caractère personnel lorsque cela est
confidentialité des données…
nécessaire pour garantir la prévention, la recherche
et la détection des fraudes en matière de paiements.
34 35
www. cartes-bancaires.com Février 2020 - www. cartes-bancaires.com Février 2020 -Vous pouvez aussi lire
