COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...

 
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
COMMENT SE
PRÉPARER À LA DSP2
AVEC FAST’R BY CB
VOLET AUTHENTIFICATION FORTE

  à destination des commerçants
  et des prestataires d’acceptation
  technique

                                           PA I E M E N T
                                           SÉCURISÉ
www. cartes-bancaires.com - Février 2020
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
SOMMAIRE

                                                                                           04   PRÉAMBULE
                                                                                                     Objectif
                                                                                                Objectif
                                                                                                CartesCartes
                                                                                                              du document
                                                                                                         du document
                                                                                                             bancaires
                                                                                                       bancaires CB enCB en bref
                                                                                                                       bref
                                                                                                                                                                                  04
                                                                                                                                                                                  04
                                                                                                     Le Conseil
                                                                                                Le Conseil      Consultatif
                                                                                                           Consultatif      du Commerce
                                                                                                                       du Commerce (CCC)(CCC)                                     07

 AVERTISSEMENT
 Le présent document est
                                                                                           08   RAPPEL DU CONTEXTE RÈGLEMENTAIRE
                                                                                                DE FAST’R BY CB
                                                                                                     Les objectifs
                                                                                                Les objectifs       de la DSP2
                                                                                                              de la DSP2         : renforcer
                                                                                                                          : renforcer        l’innovation
                                                                                                                                       l’innovation       et protéger
                                                                                                                                                    et protéger le    le

 confidentiel et demeure la                                                                          consommateur
                                                                                                consommateur   9                                                                  09
                                                                                                     Une authentification
                                                                                                Une authentification       forte systématique
                                                                                                                     forte systématique    10                                      10
 propriété du Groupement des                                                                         Les opérations
                                                                                                Les opérations      de paiement
                                                                                                               de paiement  hors hors champs
                                                                                                                                 champs      d’application
                                                                                                                                         d’application desdes
                                                                                                                                                           RTSRTS
                                                                                                                                                               SCASCA            11 11
                                                                                                     Les dérogations
                                                                                                Les dérogations        à l’authentification
                                                                                                                à l’authentification  forte forte
                                                                                                                                              12                                   12
 Cartes Bancaires.                                                                                   La gestion
                                                                                                La gestion      des dérogations
                                                                                                           des dérogations   13                                                    13

 Toute diffusion, représentation,
 reproduction, ou cession, à titre                                                         14   LE DISPOSITIF PROPOSÉ POUR UN
                                                                                                PAIEMENT CB AVEC 3-D SECURE
                                                                                                    Rappel
                                                                                                Rappel       desde
                                                                                                       des flux  flux de paiement
                                                                                                                   paiement   15                                                   15
 onéreux ou gratuit, en tout ou
                                                                                                      La solution
                                                                                                La solution Fast’r FAST’R by CB
                                                                                                                   by CB 18                                                        18

 partie, du présent document sans                                                                    Évolution
                                                                                                Évolution      des Règles
                                                                                                          des Règles CB 23 CB                                                     23
                                                                                                     Le chaînage
                                                                                                Le chaînage      des opérations
                                                                                                            des opérations      de paiement
                                                                                                                           de paiement  24                                        24
 l’autorisation expresse préalable et écrite                                                         Les avantages
                                                                                                Les avantages       du dispositif
                                                                                                              du dispositif CB27 CB                                               27

 du Groupement des Cartes Bancaires est
 strictement interdite.                                                                    28   OPÉRATION DE PAIEMENT AVEC FAST’R
                                                                                                BY CB ET CARTOGRAPHIE DES CAS
                                                                                                D’USAGE À DISTANCE
                                                                                                      Vision générale des étapes d’une opération de paiement avec
                                                                                                      FAST’R by CB                                                                29
                                                                                                      Cartographie des cas d’usage à distance                                     30

                                                                                           32   ANNEXES

                                                                                           36   GLOSSAIRE

                                                                2                                                                                                                           3
www. cartes-bancaires.com                      Février 2020 -       www. cartes-bancaires.com                                                                              Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
PRÉAMBULE

                                                                                                                                                                                                                       NOS ATOUTS
                              PRÉAMBULE                                                                                                                                                                                Le GIE CB a développé de nombreux services
                                                                                                                                                                                                                       à valeur ajoutée qui font aujourd’hui de CB, le
                                                                                                                                                                                                                       schéma de paiement par carte et par mobile le plus
                                                                                                                                                                                                                       utilisé en France. Le schéma CB, c’est la garantie de
                                                                                                                                                                                                                       plusieurs avantages compétitifs :

                               OBJECTIF                                                                                                             CARTES BANCAIRES CB
                               DU DOCUMENT                                                                                                          EN BREF                                                                          LA SÉCURITÉ DU SYSTÈME CB
                                                                                                                                                                                                                                     Hautement sécurisé, le système CB
                               La Directive européenne sur les Services de Paiement      Ce guide a ainsi vocation à accompagner les                CB est un Groupement d’Intérêt Économique qui                                    dispose d’un taux de fraude faible.
                               (DSP2), en vigueur depuis janvier 2018, instaure de       e-commerçants et les Prestataires d’Acceptation            définit les modalités de fonctionnement du schéma de
                               nouvelles règles entrant en application depuis le 14      Technique (PAT) dans la compréhension de                   paiement par carte CB (physique ou dématérialisée).
                               septembre 2019.                                           cette réglementation ainsi que la mise en œuvre
                                                                                                                                                    Créé en 1984, CB n’a pas cessé de développer le
                                                                                         opérationnelle de la solution FAST’R by CB.
                               Parmi ces nouvelles règles : les normes techniques                                                                   paiement par carte en y intégrant les dernières
                                                                                                                                                                                                                                     LA PERFORMANCE
                               réglementaires relatives à l’authentification forte du                                                               évolutions technologiques et sécuritaires pour le
                               client, dites aussi RTS SCA (Regulatory Technical                                                                    rendre toujours plus ergonomique, performant et                                  Une connaissance étendue du marché
                               Standards on Strong Customer Authentification) qui                                                                   sécurisé.                                                                        qui permet un taux d’acceptation très
                               consistent à vérifier via différentes méthodes que                                                                                                                                                    élevé.
                               le client est bien détenteur de la carte de paiement
                               présentée dans l’objectif de lutter contre la fraude en
                               ligne.

                                    Dans ce contexte, CB a développé un nouveau                                                                                                                                                      LA PROTECTION DES DONNÉES
                                      service pour mieux sécuriser les paiements en
                                         ligne : FAST’R by CB.                                                                                                                                                                       Le GIE CB garantit le traitement et le
                                                                                                                                                                                                                                     stockage des données en Europe et
                                                                                                                                                                                                                                     tout particulièrement en France, et
                                                                                                                                                                                                                                     cela, en complète conformité avec la
                                                                                                                                                                                                                                     réglementation sur la protection des
                                                                                                                                                                                                                                     données personnelles.
                                                                                                                                                                              Le     11     septembre     2019,
                                                                                                                                                    COMMUNIQUÉ                l’Observatoire des moyens de
                                                                                                                                                    DE PRESSE                 paiement (OSMP) a publié un
                                                                                                                                                                              communiqué de presse pour
                                                                                                                                                                              annoncer le calendrier de                              LA   ROBUSTESSE           DE     NOS
                                                                                                                                                    migration de la Place française sur le volet DSP2/RTS SCA.
                                                                                                                                                                                                                                     INFRASTRUCTURES
                                                                                                                                                    Deux calendriers sont à distinguer dans ce communiqué :
                                                                                                                                                                                                                                     Le     système    CB    utilise  des
                                                                                                                                                     Le      calendrier    de    migration        des     méthodes                  infrastructures techniques avec un
                                                                                                                                                        d’authentification forte des clients. Il s’agit de remplacer                 niveau élevé de disponibilité (à plus
                                                                                                                                                        progressivement le code SMS à usage unique par des                           de 99%, 7 jours sur 7, 24 heures sur
                                                                                                                                                        solutions plus avancées. Ce calendrier prévoit qu’une                        24).
                                                                                                                                                        très grande majorité des clients sera équipée d’ici juin
                                                                                                                                                        2022.

                                                                                                                                                     Le calendrier de          migration des infrastructures
                                                                                                                                                        techniques au standard 3-D Secure EMVCo v2. Il s’étend                       L’INNOVATION AU COEUR DE
                                                                                                                                                        sur une période de 18 mois de septembre 2019 à mars
                                                                                                                                                                                                                                     NOTRE ADN
                                                                                                                                                        2021. Il prévoit que d’ici à mars 2021, l’ensemble des
                                                                                                                                                        acteurs se connectera à cette nouvelle infrastructure et                     Le système CB innove en permanence
                                                                                                                                                        appliquera les règles de fonctionnement définies par la                      que ce soit pour le renforcement de
                                                                                                                                                        DSP2/RTS SCA.                                                                la sécurité ou la mise à disposition de
                                                                                                                                                                                                                                     nouveaux services à valeur ajoutée.

                                                                                                                                                     Retrouvez ces informations sur les liens suivants :
                                                                                                                                                     >>https://www.banque-france.fr/sites/default/files/medias/
                                                                                                                                                     documents/2019-09-11_osmp_-_cp_migration_dsp2.pdf                               UN RÉSEAU OPTIMAL

                                                                                                                                                     >> https://www.banque-france.fr/sites/default/files/medias/                     Le réseau CB est économique grâce à
                                                                                                                                                     documents/2019-09-11_osmp_-_plan_de_migration_dsp2.pdf                          une optimisation et une mutualisation
                                                                                                                                                                                                                                     permanente des coûts.

Toutes les terminologies propres au sujet sont
décrites dans le glossaire en pages 37 à 39.

                                                                                                                                           4                                                                                                                                      5
        www. cartes-bancaires.com                                                                                         Février 2020 -              www. cartes-bancaires.com                                                                                  Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
70                                                                                                            1,7
       millions de                                                                                                        millions de
         cartes            (*)                                                                                          commerçants(*)

                                                      590
                                                   milliards d’€ de
                                                   paiements et                                                                          LE CONSEIL
                                                     retraits(*)                                                                         CONSULTATIF DU
                                                                                                                                         COMMERCE
                                                                                                                                         (CCC)
                                                                                                                                         Dans un contexte de transformation numérique et
                                                                                                                                         du déploiement de nouveaux parcours d’achats, le
                                                                                                                                         Conseil Consultatif du Commerce (CCC) au sein du
                                                                                                                                         Groupement des Cartes Bancaires CB associe ce
                                                                                                                                         dernier et 6 fédérations de commerçants.

                                      69 €
                                                                                                                                         Le CCC répond au besoin de renforcer la coopération
                                                                                                                                         des acteurs du paiement, anticiper et co-construire
                                                                                                                                         des solutions et des services adaptés aux nouveaux

                                    Panier moyen
                                                                                                                                         environnements.

                                                                                                                                         Des ateliers de travail sur l’implémentation de la

                                     en vente à                                                 LES FÉDÉRATIONS
                                                                                                                                         DSP2 ont été menés depuis fin 2017 et dans lesquels
                                                                                                                                         différentes familles du e-commerce ont participé

                                      distance                                                  PRÉSENTES
                                                                                                                                         ainsi que les établissements bancaires membres du
                                                                                                                                         GIE CB.

                                       (VAD)(*)

                                                       1,3
                                                      milliards
                                                   d’opérations de
                                                   paiement en
                                                      VAD(*)
(*) Chiffres CB 2018                                                                (*) Chiffres CB 2018

                                                                                6                                                                                                                     7
        www. cartes-bancaires.com                              Février 2020 -               www. cartes-bancaires.com                                                                Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB

                                                                                                             CHIFFRES CLÉS
                                                                                                             DE LA VENTE À
                                                                                                             DISTANCE (VAD) EN
   RAPPEL DU                                                                                                 FRANCE
                                                                                                                                                                                    +11,6%

   CONTEXTE
                                                                                                                                                                   +13,4%

                                                      LES OBJECTIFS                                                          +13,7%
                                                                                                                                               +14,3%

                                                      DE LA DSP2 :                                             +14%

   RÈGLEMENTAIRE DE
                                                                                                                                                                                    103,4
                                                      RENFORCER                                                               71,5
                                                                                                                                                81,7
                                                                                                                                                                   92,6

                                                      L’INNOVATION                                             62,9

   FAST’R BY CB                                       ET PROTÉGER LE
                                                      CONSOMMATEUR                                             2015            2016               2017               2018            2019

                                                                                                             CHIFFRE D’AFFAIRES E-COMMERCE (MD €)
                                                                                                             SOURCE FEVAD

                                                      La DSP2 est entrée en vigueur en janvier 2018. Cette
                                                      deuxième directive vise à :

                                                      1.   Favoriser l’innovation                                                                                                 0,173%

                                                      2. Renforcer la sécurité des paiements

                                                      Dans le cadre de la DSP2, les normes techniques
                                                      de règlementation (dites aussi RTS – Regulatory
                                                      Technical Standards) de la DSP2 ont été rédigées
                                                      par l’Autorité Bancaire Européenne (ABE) puis
                                                      votées par le parlement européen le 13 mars 2018,
                                                      pour une entrée en vigueur au 14 septembre 2019.                               0,020%                 0,024%
                                                      Ces RTS viennent compléter la DSP2, lui donnant un       0,010%
                                                      cadre technique de mise en œuvre sur deux points :
                                                                                                              Proximité         Sans contact                 DAB                   VAD
                                                       L’authentification forte pour les      paiements
                                                        électroniques (SCA – Strong            Customer
                                                        Authentication),                                     TAUX DE FRAUDE EN 2018
                                                                                                             SOURCE RAPPORT OSMP
                                                       Les normes ouvertes communes sécurisées de
                                                        communication (CSC).

                                                      Ce présent document se focalise sur les RTS SCA
                                                      pour les paiements à distance..

                                                                                                               53%                                                                   49%

                                                                                                                                                                   40%

                                                                                                                                                 34%
                                                                                                                              32%

                                                                                                                               21%

                                                                                                                9%
                                                                                                                                                 10%

                                                                                                                                                                     3%               2%

                                                                                                              0 - 30 €      30 - 100 €        100 - 250 €      250 - 500 €          +500 €

                                                                                                             EN 2018
                                                                                                                       RÉPARTITION DES OPÉRATIONS DE PAIEMENT CB

                                                                                                                       OPÉRATIONS DE PAIEMENT CB AUTHENTIFIÉES

                                                                                                             SOURCE CB

                                             8                                                                                                                                               9
www. cartes-bancaires.com   Février 2020 -                 www. cartes-bancaires.com                                                                                        Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB                                                                                       RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB

              UNE                                                                                                                            LES OPÉRATIONS
              AUTHENTIFICATION                                                                                                               DE PAIEMENT
              FORTE                                                     Quel avenir pour                                                     HORS CHAMP
              SYSTÉMATIQUE                                              le code SMS à                                                        D’APPLICATION
              Les RTS SCA imposent l’authentification forte
                                                                        usage unique ?                                                       DES RTS SCA
              du porteur de la carte lorsque celui-ci initie une
              opération de paiement à distance.                         La méthode d’authentification forte la
                                                                                                                                             Pour entrer dans le périmètres des RTS SCA, une
                                                                        plus utilisée à ce jour est l’OTP, one-
              Cette authentification, dite aussi authentification                                                                            opération de paiement doit remplir 2 critères :
                                                                        time-password (86% des authentification
              à deux facteurs, implique la vérification de deux
                                                                        fortes en 2017).                                                     1.   Être un paiement électronique,
              éléments indépendants parmi 3 catégories :
                                                                        Cette solution repose sur la réception                               2. Être initiée par le payeur (personne physique ou
                                                                        par le porteur de la carte d’un code à                                  morale).
                                                                        usage unique par message. Or, l’ABE a
                                                                        indiqué en 2018 que l’OTP SMS n’était                                L’ABE a désigné expressément trois types de
                                                                        pas une méthode d’authentification forte                             paiements VAD qui sont hors du champ d’application
                                                                        conforme aux RTS SCA.                                                des RTS SCA :
                         UN ÉLÉMENT D’INHÉRENCE
                                                                        La deuxième méthode d’authentification
                          ce que l’utilisateur « est »                  forte la plus utilisée en France est
                (empreinte digitale, reconnaissance faciale, etc).      l’authentification sur application mobile.
                                                                        Elle nécessite que le porteur possède
                                                                        un smartphone. Elle n’a pas encore
                                                                        été adoptée par toutes les banques,
                                                                        et représente uniquement 12% des
                                                                        authentifications fortes, bien qu’elle soit                                       LES PAIEMENTS INITIÉS
                                                                        en constante progression.                                                          PAR LE COMMERÇANT
                                                                        Dans ce cadre, la Banque de France a                                          L’authentification forte est complexe
                                                                        initié des travaux en concertation avec                                            car l’opération de paiement
                      UN ÉLÉMENT DE CONNAISSANCE
                                                                        les banques, les commerçants et CB                                                n’est pas initiée par le porteur
                             ce que l’utilisateur « sait »              afin que l’usage de nouvelles méthodes
                              (mot de passe, PIN, etc.)                 d’authentification forte se développe
                                                                        rapidement et couvre l’ensemble de la
                                                                        population.

                                                                        Le rapport de l’OSMP publié en juillet                                                                                     Pour ces 3 cas...
                                                                        2019 confirme l’acceptation du SMS
                                                                        jusqu’en juin 2022.                                                                                                        Le commerçant n’est pas tenu d’initier un
                                                                                                                                                        LES PAIEMENTS DITS MO/TO
                                                                                                                                                                                                   processus d’authentification.
                                                                                                                                                        (MAIL ORDER, TELEPHONE ORDER)
                                                                                                                                                                                                   L’opération de paiement peut faire l’objet d’une
                       UN ÉLÉMENT DE POSSESSION                                                                                                          Ceux-ci ne sont pas perçus
                                                                                                                                                                                                   demande d’autorisation sans être précédée d’une
                                                                                                                                                      comme des paiements électroniques
                          ce que l’utilisateur « possède »                                                                                                                                         demande d’authentification.
                            (token, mobile, carte, etc.)

              En France, les transactions cartes réalisées en
              proximité avec saisie d’un code confidentiel sont
              déjà aujourd’hui conformes aux RTS SCA.                                                                                                    LES PAIEMENTS ONE-LEG

              Les transactions sans contact sans authentification                                                                                 Les paiements dont l’acquéreur ou l’émetteur
              font l’objet d’une dérogation prévue par le règlement.                                                                                  se trouve hors de l’Union Européenne

              Ce guide d’utilisation se focalise sur les transactions
              à distance. Celles-ci peuvent faire l’objet d’une
              authentification non systématique aujourd’hui, le
              plus souvent via 3-D Secure v1.

                                                                                                                                  10                                                                                                                             11
       www. cartes-bancaires.com                                                                                 Février 2020 -               www. cartes-bancaires.com                                                                         Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB                                                                                                              RAPPEL DU CONTEXTE RÈGLEMENTAIRE DE FAST’R BY CB

           LES DÉROGATIONS À                                                                                                                                            LA GESTION DES
           L’AUTHENTIFICATION                                                                                                                                           DÉROGATIONS
           FORTE
                                                                                                                                                                        Pour les opérations CB, le commerçant exprime un
                                                                                                                                                                        souhait sur le type d’authentification à mettre en
           La DSP2 impose une authentification forte du porteur
           systématique pour les opérations de paiement (cf.
                                                                                                    Parce que la fluidité                                               œuvre (authentification forte ou frictionless).

           page 10).                                                                                des parcours clients est                                            C’est toujours l’émetteur qui décide de mettre en
                                                                                                                                                                        œuvre ou non une dérogation, ainsi que sa nature
           Cependant, cinq cas de dérogations sont activables
           sur les paiements e-commerce par carte.
                                                                                                    également importante...                                             (sa base légale vis-à-vis du Règlement).

           Le Régulateur estime que le risque de fraude de ces                                       Ces cinq cas de dérogations permettent de
           opérations de paiement est suffisamment bas pour                                          bénéficier d’une authentification passive, c’est-
           ne pas solliciter le porteur. Être éligible à un seul                                     à-dire que l’opération de paiement sera bien
           cas de dérogation est suffisant pour bénéficier de                                        authentifiée, mais le porteur de la carte ne sera
           l’authentification passive, dite aussi frictionless.                                      pas sollicité.

           L’application de la dérogation est à la main du PSP                                       Un cryptogramme d’authentification est généré
           émetteur de la carte.                                                                     par l’émetteur, adressé au commerçant, et repris
                                                                                                     dans la demande d’autorisation.

                                    Petits       Transactions         Paiement          Bénéficiaires         Carte non-
                                   montants      Risk Analysis        récurrent         de confiance          nominative

                               Sauf toutes les
                                6 opérations
                0 - 30€         de paiement
                                ou montant
                               cumulé > 100€
                                                   Le calcul du
                                                 taux de fraude
                                                  PSP émetteur
               30 - 100€                          ou acquéreur
                                                   est effectué     Si l’opération de          Si le
                                                    selon une            paiement         bénéficiaire              Cette
                                                    approche          est effectuée     est inscrit par le   dérogation vise
                                                     globale.         dans le cadre          payeur           les paiements
                                                                     d’un paiement       sur la liste des        initiés par
                                                    Exemple : si         récurrent      bénéficiaires de       des payeurs
              100 - 250€                           l’émetteur ou      à montant et         confiance           « personnes
                                                     l’acquéreur       bénéficiaire      Le whitelisting         morales »
                                                    a un taux de         constants           ne sera         (cf article 17 des
                                                  fraude
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

 LE DISPOSITIF
 PROPOSÉ POUR                                                               RAPPEL DES FLUX
                                                                            DE PAIEMENT

 UN PAIEMENT                                                                Les opérations de paiement génèrent quatre            Les dérogations peuvent permettre au

 CB AVEC 3-D
                                                                            types de flux différents :                            porteur d’être authentifié de manière passive,
                                                                                                                                  dite aussi frictionless. Un cryptogramme est
                                                                            1.   Le flux d’authentification permet à
                                                                                                                                  généré par l’émetteur à l’issue de l’opération
                                                                                 l’émetteur d’authentifier l’utilisateur de
                                                                                                                                  attestant de l’authentification du porteur.
                                                                                 la carte aux fins de s’assurer qu’il en est
                                                                                 bien le titulaire.                               Il est important de noter que les paiements

 SECURE
                                                                                                                                  soumis à exemption présentent également
                                                                            2. Le flux d’autorisation permet à l’émetteur
                                                                                                                                  un       cryptogramme      d’authentification
                                                                               de réaliser différents contrôles de gestion
                                                                                                                                  assurant qu’une analyse de risque a bien été
                                                                               du risque liés au fonctionnement de la
                                                                                                                                  réalisée.
                                                                               carte, notamment les contrôles relatifs
                                                                               aux plafonds de paiement, aux fins                 La gestion de ces exemptions nécessite
                                                                               d’accepter ou de refuser le paiement.              d’utiliser le protocole EMVCo 3DS v2 pour
                                                                                                                                  bénéficier de l’authentification passive et
                                                                            3. Le flux de remise permet de remonter
                                                                                                                                  d’utiliser pour les opérations CB, le service
                                                                               toutes les transactions traitées par le
                                                                                                                                  FAST’R by CB.
                                                                               commerçant à son acquéreur aux fins de
                                                                               créditer son compte.                               Si une opération de paiement entrant dans
                                                                                                                                  le champ des RTS SCA fait l’objet d’une
                                                                            4. Le flux de compensation organise
                                                                                                                                  demande d’autorisation sans avoir fait l’objet
                                                                               l’échange financier entre l’acquéreur et
                                                                                                                                  d’une authentification forte ou passive au
                                                                               l’émetteur aux fins de débiter les comptes
                                                                                                                                  préalable, les émetteurs peuvent refuser
                                                                               de paiement des porteurs.
                                                                                                                                  l’autorisation et demander au commerçant
                                                                            Actuellement,     le   commerçant            a   le   de réaliser une demande d’authentification
                                                                            choix d’effectuer ou non une demande                  forte ou passive.
                                                                            d’authentification. A cet effet, il utilise le plus
                                                                            souvent le protocole d’authentification 3DS
                                                                            V1.

                                                                            Dans le cadre des RTS SCA, toute opération
                                                                            de paiement qui est dans le champ
                                                                            d’application doit être authentifiée (de façon
                                                                            forte ou passive).

                                                                                                                                                L’utilisation du protocole
                                                                                                                                                d’authentification 3DS v1 reste
                                                                                                                                                possible pour les opérations CB
                                                                                                                                                jusqu’à fin 2020.

                                                                                                                                                Ce protocole ne permet pas la
                                                                                                                                                gestion des exemptions prévues
                                                                                                                                                par les RTS ni la mise en œuvre
                                                                                                                                                de l’authentification passive.

                                             14                                                                                                                                                     15
www. cartes-bancaires.com   Février 2020 -               www. cartes-bancaires.com                                                                                                 Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE                                                                                                                  LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

       Schéma type d’une opération de paiement CB en 3DS EMVCo v2

       La solution FAST’R s’intègre dans les flux existants.
                                                                                                                                                                                                        Les données de l’opération de paiement devant être transmises avec le protocole
                                                                                                                                                                                            1
                                                                                                                                                                                                        d’authentification 3D Secure EMVCo sont envoyées du serveur du commerçant
                                                                                                                                                                                                        (SDK) au Prestataire d’Acceptation Technique (PAT).

                                                                                                                                                                                         Le flux d’Authentification
                                                                                                                               Flux d’Authentification
         13              Commerçant
                                                                                                                                                                                           2            Le message de demande d’authentification contenant les données et le souhait
                                                                                                                               Flux d’Autorisation
                                                                                                                                                                                                        du commerçant est envoyé au Directory Server CB (DS-CB) de la solution FAST’R
                                                                                                                               Flux de Remise                                                           by CB par le PAT.
                          Page de
                          paiement                                                                                             Flux de Compensation
                                                                                                                                                                                                        FAST’R by CB analyse le risque de l’opération de paiement, et émet une
                                                                                                                                                                                           3
                                                                                                                                                                                                        recommandation qu’il transfère à l’ACS de l’émetteur de la carte.

                                                                                                                                                                                                        L’ACS authentifie fortement ou passivement le porteur. Le type d’authentification
     CB2AF

                                                                                                                                                                                           4
                                                                                                                                                                                                        mis en œuvre ainsi que le cryptogramme d’authentification sont indiqués dans le
                             SDK                                                           FAST’R                                                                                                       flux de réponse.
                                                                                             by

                                                                                                                                                                                                        FAST’R by CB transfère ces informations ainsi que son propre score de l’opération
                                                                                                        Souhait commerçant                                                                 5
                                                                          Souhait                       (CB) Score CB(**)                                                                               de paiement au 3DS Server du PAT.
                             Protocole

                                         1                                commerçant   Directory        (CB) Préconisation CB(**)
                              privatif

                                                                   2                    Server      3
                                                     3DS
                                                                   3DS EMVCo V2        (DS-CB)             3DS EMVCo V2                      ACS
                                                    Server
                                                                                           +                                                                                             Le flux d’Autorisation
                                                                                   5    Scoring                                      4
         13             12                                                Type                           Type d’authentification
                              PAT                         d’authentification(*)                                                                                                                         Le PAT envoie à l’acquéreur l’opération de paiement dans la demande d’autorisation,
                                                             (CB) score CB(**)                                                                                                             6     7
                                                                                                                                                                                                        qui la transfère à l’émetteur. Le flux d’autorisation permet d’identifier le cas d’usage,
                           Serveur
                                                                                                                                                                                                        le fait que l’opération soit dans le champ d’application du RTS, l’éligibilité à une
                        d’acceptation
                                                                                                                                                                                                        exemption et. les résultats de la demande d’authentification forte.
                           MPADS

                                                                                                                                                                                                        L’émetteur reçoit une demande d’autorisation et effectue plusieurs vérifications :
                                         6                                                                                                                                                 8     9
                                                                                                                                                                                                        identification du cas d’usage, règles d’authentification forte applicable, gestion
                                                                                                                                                                                                        du risque, vérification que la transaction a fait ou non l’objet d’une demande
                               CB2A

                                             Souhait commerçant
                                             Type d’authentification(*)
                                                                                                                                                                                                        d’authentification. Il transfère sa réponse à l’acquéreur.
                                             (CB) score CB(**)
                        11                                                                                                                                                                              La banque acquéreur reçoit la réponse et partage l’information avec le PAT du
     CB2AF

                                                                                                                                                                                           10    11
                                                                                                                                                                                                        commerçant.
                                                                                                          (ou un autre processeur)
                                                7                                                   8
                             SAA                               CBAE                    E-RSB                     CBAE                        SAE
                                                                                                                                                                                                        Le PAT informe le commerçant de l’acceptation ou du refus de l’opération de
                                                                                  10                                                 9                                                     12
                                                                                                                                                                                                        paiement.

                                                                                                                                                                                         Le flux de Remise

                                                                                                                                                                                           13           Le commerçant envoie la remise à son acquéreur.
                          Acquéreur                                                                                                        Émetteur

                              14                                                                                                                14
                                                                                                                                                                                         Le flux de Compensation
                                                               CB2C                                              CB2C
                                                                                        CORE
                                                                                                                                                                                                        Le mouvement de compensation est envoyé par l’acquéreur à l’émetteur, à travers
                                                                                                                                                                                           14
                                                                                                                                                                                                        le système interbancaire de compensation.

       (*) Authentification forte ou authentification passive

       (**) Champs liés au scoring FAST’R by CB

                                                                                                                                                                      16                                                                                                                                             17
             www. cartes-bancaires.com                                                                                                               Février 2020 -               www. cartes-bancaires.com                                                                                         Février 2020 -
COMMENT SE PRÉPARER À LA DSP2 AVEC FAST'R BY CB - VOLET AUTHENTIFICATION FORTE - PAIEMENT - Cartes ...
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE                                                                               LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

                                                               LA SOLUTION                                                                                                 La page de paiement est hébergée par le PAT ou le commerçant. Si la marque
                                                               FAST’R BY CB                                                                                   Page de
                                                                                                                                                              paiement
                                                                                                                                                                           CB est choisie, alors l’opération de paiement doit donner lieu à une demande
                                                                                                                                                                           d’authentification transmise à la solution FAST’R by CB avec le protocole 3DS EMVCo.

                                                               L’architecture de la solution
                                                               FAST’R by CB
                                                                                                                                                                           Le SDK est un élément logiciel permettant au commerçant de véhiculer des
                                                               La solution FAST’R by CB répond à un besoin de lutte                                              SDK
                                                                                                                                                                           données à son PAT au cours d’un processus d’achat.
                                                               contre la fraude e-commerce et de fluidification des
                                                               parcours client dans le cadre des nouveaux RTS SCA.

                                                               C’est une solution créée en concertation avec les
                                                               commerçants et les banques, afin de s’adapter aux
                                                               différents cas d’usage remontés dans le cadre du                                                            Le 3DS Server permet la transmission des données du SDK commerçant à la
                                                                                                                                                           3DS SERVER
                                                               CCC.                                                                                                        solution FAST’R by CB pour la mise en œuvre d’une authentification 3-D Secure.

                                                               L’ensemble des acteurs (PAT, acquéreur, émetteur)
                                                               doit être raccordé pour que les opérations de
                                                                                                                                                                                                                                               PA I E M E N T
                                                               paiement CB soient authentifiées et bénéficient des
                                                                                                                                                                                                                                               SÉCURISÉ
                                                               services CB.

                                                                                                                                                            DIRECTORY      Le Directory Server (DS-CB) est l’annuaire des cartes de paiement CB qui route
                                                                                                                                                              SERVER       vers la demande d’authentification vers l’émetteur. FAST’R by CB assure 99,995%
                                                                                                                                                              (DS-CB)      de disponibilité de service.

                 Illustration de l’architecture de FAST’R by CB
                                                                                                                                                                           CB possède un système d’information dédié à la lutte contre la fraude. Il s’appuie
                                                                                                                                                                           sur les données contenues dans les flux d’authentification, d’autorisation, et de
                                                                                                                                                               SI/LCLF     compensation. Depuis sa mise en place en 2014, l’outil de scoring a permis une
                                                                                                                                                                           baisse du taux de fraude de 20%.

                                                                                                                                                             SCORING       Le scoring d’authentification intègre le scoring CB de lutte contre la fraude ainsi
                                                                                                                                                            D’AUTHEN-      qu’un scoring à part nouvellement développé par CB, basé sur la gestion du risque
                  COMMERÇANT                   PAT     PSP ACQUÉREUR              CB                PSP ÉMETTEUR                                                           du commerçant.
                                                                                                                                                            TIFICATION

                                                                              Solution
                                   Page de
                                                                            FAST’R by CB
                                   paiement
                                                                              Directory
                                                                               Server                                                                                      L’ACS est le serveur d’authentification de la banque émetteur. L’ACS évalue le risque
                                                                              (DS-CB)                   ASP                                                                de l’opération de paiement, basé sur sa connaissance du client, la recommandation
                                               3DS                                                                                                           ACS (PSP      CB ainsi que les données contenues dans le protocole EMVCo. Il prend la décision
                       SDK                                                                              (PSP
                                              Server
                                                                                                      Émetteur)
                                                                                                                                                            EMETTEUR)      d’authentifier fortement ou non l’opération de paiement. En cas de panne, CB peut
                                                                                                                                                                           se substituer à l’ACS, permettant l’aboutissement de l’opération de paiement.
                                                                              SI/LCLF(*)
                                                                               Scoring
                                                                             d’authentifi-
                                                                                cation

                                                                                                                                                                                                    Chacun des acteurs de la chaîne a accès à des informations
                                                                                                                                                                                                    spécifiques.
                                                                                                                                                                                                    Le commerçant a notamment accès à des données sur le
                                                                                                                                                                                                    client, le dispositif utilisé et l’opération de paiement.
                                                                                                                                                                                                    CB a accès à l’historique de la carte et la banque émetteur
                                                                                                                                                                                                    connait les habitudes du porteur.
                                                                 (*) Système d’Information de lutte contre la fraude                                                                                Ensemble, ces informations permettent d’évaluer le risque
                                                                                                                                                                                                    conformément aux RTS SCA et de manière optimale (cf.
                                                                                                                                                                                                    page 34).

                                                                                                                                   18                                                                                                                                               19
       www. cartes-bancaires.com                                                                                  Février 2020 -               www. cartes-bancaires.com                                                                                           Février 2020 -
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE                                                                                                      LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

          LA SOLUTION                                                                                                                                                 LA SOLUTION
          FAST’R BY CB                                                                                                                                                FAST’R BY CB
                                                                                                                                                                      Partage de données
           Souhait commerçant et
                                                                                                                                                                      La solution FAST’R by CB utilise le protocole d’échange 3DS V2
           transfert de responsabilité                                                                                                                                EMVCo. Ce protocole est un langage dédié au flux d’authentification,

           interbancaire                                                                                                                                              permettant le transfert d’informations entre le PAT du commerçant
                                                                                                                                                                      et la banque émettrice.

           Le commerçant ne dispose pas de la décision finale                                                                                                         Deux types de données circulent dans le protocole :
           d’authentifier fortement ou passivement l’opération
                                                                                                    Le commerçant transmet son souhait dans                           1.   Les données obligatoires,
           de paiement. Ce choix appartient à l’émetteur. Le
                                                                                                    un champ prévu à cet effet dans l’extension
           commerçant peut en revanche faire connaître sa                                                                                                             2. Les données optionnelles.
                                                                                                    CB du protocole 3DS EMVCo V2.
           préférence : trois choix sont disponibles, applicables
                                                                                                                                                                      Les données obligatoires sont nécessaires à l’envoi de l’opération de
           pour chaque opération de paiement :                                                      Un commerçant qui souhaite de
                                                                                                                                                                      paiement dans le flux d’authentification.
                                                                                                    l’authentification forte peut se voir attribuer
                 Souhait d’une authentification passive,
                                                                                                    du frictionless, dans le cas où l’émetteur                        Les données optionnelles entrent aussi en compte dans le scoring
                 Souhait d’une authentification forte,                                             juge la transaction suffisamment peu                              CB. Ces données sont indiquées en REC – recommandée pour
                                                                                                    risquée pour solliciter le porteur.                               obtenir du frictionless – dans le guide d’intégration pour les 3DS
                 Pas de préférence.
                                                                                                                                                                      Server. Elles concernent :
                                                                                                    Le type d’exemption appliquée par l’ACS
           L’expression de ce souhait entre en compte dans le
                                                                                                    (Ex : TRA Acquéreur, Petits montants,                              Les données du commerçant,
           scoring CB et il est communiqué à l’émetteur.
                                                                                                    TRA Emetteur,...) n’a aucun impact sur le
                                                                                                                                                                       Les données de l’opération de paiement,
           De plus, ce souhait a un impact sur le transfert de                                      transfert de responsabilité.
           responsabilité interbancaire CB (voir schéma ci-                                                                                                            Les données de la carte et de son porteur,
                                                                                                    L’application de la garantie de paiement
           dessous).
                                                                                                    sera précisée dans le contrat d’acceptation                        Les données de l’appareil utilisé pour cet achat.
                                                                                                                                                                                                                                                         Ces données sont traitées en conformité
           La charge de la fraude est toujours supportée                                            entre l’acquéreur et le commerçant.
                                                                                                                                                                      Parmi ces données optionnelles, un certain nombre sont jugées                      avec le RGPD et le PCI DSS (norme
           par l’émetteur, sauf dans le cas où le commerçant
                                                                                                                                                                      particulièrement pertinentes par CB dans le cadre du calcul d’un taux              de sécurité de l’industrie des cartes de
           demande de l’authentification passive (frictionless)
                                                                                                                                                                      de risque de fraude, afin de pouvoir bénéficier d’une authentification             paiement).
           et l’émetteur applique ce choix.
                                                                                                                                                                      passive. Les données jugées prépondérantes sont :

                                                                                                                                                                       Le scoring commerçant. Chaque commerçant possède un
                                                                                                                                                                        scoring avec son format propre. La solution FAST’R by CB pourra
          Matrice interbancaire du transfert de responsabilité                                                                                                          l’exploiter (avec un temps d’apprentissage),

                                                                                                                                                                       Le nombre d’articles dans la commande,

                                                                                                                                                                       Le nom du client,
                                                          Si l’émetteur applique de        Si l’émetteur applique de
                                                          l’authentification passive       l’authentification forte                                                    L’adresse de livraison ou adresse de facturation,                                Ces données sont exploitées uniquement
                                                                                                                                                                                                                                                         dans le cadre de la prévention et de la
                                                                                                                                                                       L’adresse e-mail ou numéro de téléphone,
                                                                                                                                                                                                                                                         lutte contre la fraude.
                        Avec souhait commerçant
                       « authentification passive »                                                                                                                    Le shipping indicator (mode de livraison : point relais, domicile,
                                                            Coût de la fraude supporté      Coût de la fraude supporté
                               Champ 3DS Requestor               par l’acquéreur                  par l’émetteur                                                        magasin, etc.).
                          Challenge Indicator = « 02 »

                        Avec souhait commerçant
                         « authentification forte »
                               Champ 3DS Requestor
                           Challenge Indicator = « 03»
                                                            Coût de la fraude supporté      Coût de la fraude supporté
                          (Challenge Requested : 3DS
                                                                  par l’émetteur                  par l’émetteur
                                Requestor Preference)
                                                    ou                                                                                                                                                                                 Au regard du RGPD, CB considère qu’il est responsable de
                                    « 04 » (Challenge
                                                                                                                                                                                                                                       traitement pour les données qui lui sont transférées, et ce
                                Requested : Mandate)
                                                                                                                                                                                                                                       dans une finalité de prévention et de lutte contre la fraude.
                                                Avec                                                                                                                                                                                   CB recommande aux commerçants de définir leur statut avec
                                   « pas de souhait »       Coût de la fraude supporté      Coût de la fraude supporté                                                                                                                 leur PAT. En tout état de cause, CB ne considère ni le PAT ni
                              Champ 3DS Requestor                 par l’émetteur                  par l’émetteur
                          Challenge Indicator = « 01 »                                                                                                                                                                                 le commerçant comme ses sous-traitants (cf. page 34).

                                                         NOTE
                                                         La matrice ci-dessus s’applique uniquement pour la 1ere
                                                         opération (excepté pour le cas du paiement à l’expédition :
                                                         dans la limite de 30 jours après la demande d’authentification).

                                                                                                                                                          20                                                                                                                                                     21
       www. cartes-bancaires.com                                                                                                         Février 2020 -                www. cartes-bancaires.com                                                                                                Février 2020 -
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE                                                                               LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

                LA SOLUTION
                FAST’R BY CB
                 Low Risk Merchant
                 Program                                                             Ce programme                                                            ÉVOLUTION DES
                                                                                     permet de valoriser
                 Les commerçants présentant un faible taux de
                 fraude peuvent bénéficier du Low Risk Merchant
                                                                                     les investissements                                                     RÈGLES CB
                 Program pour les montants allant de 0 à 100€.                       du commerçant
                                                                                                                                                             A l’occasion de la mise en œuvre des RTS SCA, CB fait évoluer ses règles sur les
                                                                                     dans les outils de                                                      opérations de paiement VAD, afin de mieux répondre à l’évolution des pratiques
                                                                                     gestion et d’analyse
                 BESOIN
                                                                                                                                                             des commerçants.
                                                                                     du risque.
                  Lorsqu’un commerçant demande                                       Le commerçant
                  à l’émetteur de ne pas
                                                                                     est invité à se                                                         4 évolutions principales des règles CB
                                                                     SOLUTION CB
                  authentifier fortement le
                  payeur, il n’a aucune                                              rapprocher de son
                  garantie que l’émetteur              Les                           acquéreur principal
                  accepte et                        émet-                            pour connaître                                                                 Les règles CB permettent l’identification des cas de paiement pour
                                                                                                                                                              1
                  procède à une                      teurs                                                                                                          l’application des cas de dérogation à l’obligation d’authentification forte
                                               s’engagent
                                                                                     son éligibilité au
                                                                                                                                                                    (pour les opérations dans le scope des RTS SCA).
                  authentification
                                              à respecter                            programme.
                  passive.                  le souhait du
                                                     commerçant                      En cas de réponse                                                              Pour le cas d’usage de paiement à l’expédition, les opérations pourront
                                                                                                                                                              2
                                                      adhérant au                                                                                                   bénéficier du transfert de responsabilité dans la limite de 30 jours
                                                                                     positive, l’acquéreur
                                             programme lorsqu’il                                                                                                    suivants la commande.
                                                                                     fera la demande
                                         exprime le souhait de ne
                                        pas authentifier le payeur                   auprès de CB.
                                                                                                                                                                    Il devient possible d’utiliser une même authentification pour plusieurs
                                   sur la tranche 0-100€ (pas de                                                                                              3
                                                                                                                                                                    demandes d’autorisation liées à une même commande (cette utilisation
                                     transfert de responsabilité).
                                                                                                                                                                    est limitée à une durée de 180 jours pour le cas de paiement à l’expédition).
                                                                                                                                                                    Les opérations doivent être liées entre elles par une référence de chaînage.

                                                                                                                                                                    Le cryptogramme visuel (CVx2) devient optionnel pour les opérations
                 Illustration de la cinématique de paiement pour un commerçant                                                                                4
                                                                                                                                                                    de paiement avec authentification, cela correspond notamment aux cas
                 adhérent au programme                                                                                                                              du One Clic et de l’utilisation d’un wallet.

                     1                                         2                          3

                                                                                                                                                                                                                           Ces règles sont
                                                                                                                                                                                                                           applicables à
                                                                                                                                                                                                                           partir du 1er
                                                                                                                                                                                                                           octobre 2019.

                  Dans le protocole 3DS                   L’émetteur     reconnait   L’émetteur respecte la
                  v2, via son souhait, le                 que le commerçant est      demande du commerçant
                  commerçant demande                      adhérant du programme      et applique la dérogation.
                  à l’émetteur de ne pas                  et que l’opération de
                  authentifier   fortement                paiement entre dans le
                  le porteur suite à son                  cadre d’une exemption.
                  analyse de risque.
                  Cela est possible grâce
                  au flag « frictionless
                  obligatoire ».

                                                                                                                                   22                                                                                                                                23
       www. cartes-bancaires.com                                                                                  Février 2020 -               www. cartes-bancaires.com                                                                            Février 2020 -
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE                                                                                  LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

                                                                                                                                                     Les cas de paiements
                                                                                                                                                     récurrents
                                                                                                                                                     Pour les paiements récurrents dont la
                                                                                                                                                     réponse à la demande d’autorisation (ou de
                                                                                                                                                     renseignement) initiale ne contient pas une
                                                                                                                                                     « Référence unique de transaction », qu’ils
                                                                                                                                                     soient initiés avant ou après le 14 septembre
                                                                                                                                                     2019 :

                                                                                                                                                      Le commerçant peut envoyer ses
                                                                                                                                                       demandes d’autorisation subséquentes
                                                                                                                                                       sans identifiant de regroupement jusqu’à
                                                                                                                                                       l’échéance où il reçoit une « Référence
                                                                                                                                                       unique de transaction » dans le champ
                                                                                                                                                       47 type 95 de la réponse à la demande
                                                                                                                                                       d’autorisation.

                LE CHAINAGE                                                                                                                           Toutes    les  demandes     d’autorisation
                                                                                                                                                       subséquentes suivantes doivent contenir
                DES OPÉRATIONS                                    Comment est valorisée la
                                                                                                                                                       la valeur de cette « Référence unique de
                                                                                                                                                       transaction » dans le champ « Identifiant                  Quelles sont les autres
                DE PAIEMENT                                       référence de chaînage dans
                                                                                                                                                       de Regroupement » 47 type 99.
                                                                                                                                                                                                                  données     à   valoriser
                                                                                                                                                      Les SAE doivent envoyer une « Référence
                CB a développé une fonctionnalité           de    la réponse à la demande                                                              unique de transaction » pour toutes les                    pour le chaînage des
                chaînage des opérations de paiement.
                                                                  d’autorisation ?                                                                     opérations de paiement e-commerce au
                                                                                                                                                       plus tard en T4 2019.
                                                                                                                                                                                                                  opérations de paiement ?
                Le chaînage des opérations dans les flux
                d’autorisation    permet     aux    émetteurs     Pour toutes les transactions de vente à distance,                                   CB recommande aux SAE de refuser les
                                                                                                                                                                                                                  Pour le chainage, plusieurs données ont été
                d’identifier une série d’opérations de            l’émetteur doit générer sa propre référence de                                       demandes d’autorisation subséquentes –
                                                                                                                                                                                                                  ajoutées aux messages d’autorisation comme
                paiement liées entre elles et de garantir         transaction et la transmettre dans le champ 47                                       sans identifiant de regroupement – à partir
                                                                                                                                                                                                                  les données e-commerce de la première
                qu’une authentification a été mise en œuvre       type 95 des messages réponse avec en première                                        du 1er janvier 2022.
                                                                                                                                                                                                                  transaction, le numéro et le nombre total des
                                                                  position la valeur « 1 » qui définit une nomenclature
                pour une série d’opérations. Cette référence                                                                                         Pour les paiements récurrents initiés après le 14            échéances, la date de fin d’échéance et la
                                                                  CB.
                s’applique pour toutes les opérations de                                                                                             septembre 2019 dont la réponse à la demande                  somme des montants déjà autorisés.
                paiement à distance quelle que soit la solution   Cette référence de transaction est une valeur                                      d’autorisation    (ou   de     renseignement)
                                                                                                                                                                                                                  Note : Pour la première demande d’autorisation
                d’authentification utilisée (3DS EMVCo V2,        alphanumérique sur 15 caractères.                                                  initiale contient une « Référence unique de
                                                                                                                                                                                                                  (ou de renseignement) :
                3DS V1, Paylib).                                                                                                                     transaction » :
                                                                  Cette référence sera conservée par les
                                                                                                                                                                                                                   le N° échéance est égal à 1 pour une
                La référence unique de transaction est            e-commerçants ou leur PAT. Elle est reprise dans                                    Dans toutes les demandes d’autorisation
                                                                                                                                                                                                                    demande d’autorisation et à 0 pour une
                renseignée par l’émetteur dans la réponse à la    les demandes d’autorisations subséquentes sous                                       subséquentes,    le    commerçant      doit
                                                                                                                                                                                                                    demande de renseignement,
                demande d’autorisation (ou de renseignement)      l’appellation « identifiant de regroupement ».                                       valoriser le champ 47 type 99 « Identifiant
                d’une opération de type paiement unique,                                                                                               de Regroupement » en utilisant la                           la somme des montants déjà autorisés est
                ou d’une première opération de paiements                                                                                               « Référence unique de transaction » reçue                    valorisée à 0,
                multiples.                                                                                                                             dans le champ 47 type 95 de la réponse
                                                                                                                                                       à la demande d’autorisation (ou de                          le nombre total d’échéances n’est pas
                Le périmètre concerné par le chaînage englobe                                                                                          renseignement) initiale.                                     à valoriser pour le cas d’usage « Autre
                tout paiement à distance (e-commerce, MO/                                                                                                                                                           abonnement ».
                TO) unique ou pouvant faire l’objet d’une
                récurrence. La référence unique de transaction
                renseignée en réponse d’autorisation (ou
                de renseignement) est aussi reprise en                                                                                                           La demande de renseignement rassure le
                compensation.                                                                                                                                    commerçant sur la validité de la carte.
                Afin de mettre en place ce chaînage, le                                                                                                          Dans la majorité des cas, la demande
                protocole d’autorisation CB2A a évolué :                                                                                                         d’autorisation s’effectue lorsque la commande
                le champ 47 type 95 devient la donnée                                                                                                            est validée.
                « Référence unique de transaction ». Afin de
                rendre cette donnée utilisable par tous les                                                                                                      Mais, dans certains achats (précommande,
                réseaux, un identifiant de nomenclature est                                                                                                      réservation anticipée, etc.), la demande
                ajouté en premier caractère de cette donnée.                                                                                                     d’autorisation peut intervenir plusieurs jours
                                                                                                                                                                 après la commande.

                                                                                                                                      24                                                                                                                                            25
       www. cartes-bancaires.com                                                                                     Février 2020 -               www. cartes-bancaires.com                                                                                        Février 2020 -
LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE                                                                                        LE DISPOSITIF PROPOSÉ POUR UN PAIEMENT CB AVEC 3-D SECURE

                 Schéma simplifié de la mise en place du chaînage pour une                                                                             LES AVANTAGES
                 opération de paiement de rang 1
                                                                                                                                                       DU DISPOSITIF CB

                                       3DS          1
                                                                                               ACS
                                      Server
                                                                                           2
                                                                                                                                                                            Jusqu’à 85%
                                                                        En 3DS EMVCo V2                                                                                      d’authentification
                   PAT
                                                            Champ 56 type 0023
                                                            « ACS transaction ID »                             ÉMETTEUR                                                      passive en cible
                                      Serveur        3
                                                                                               SAE                                                                             Grâce aux analyses de fraudes CB
                                   d’acceptation
                                                                                           4                                                                                   Scoring, CB est en mesure de déceler
                                                                     Champ 47 type 95                                                                                         les opérations de paiement à risque et
                                                        (identifiant de regroupement)
                                                          « 1 » + « ACS transaction ID »
                                                                                                                                                                            recommande une authentification forte
                                                                                                                                                                          si nécessaire.

                                                                                                                                                                                                                         Taux d’autorisation
                                                                                                                                                                                                                          parmi les plus élevés
                 Schéma simplifié de la mise en place du chaînage pour une                                                                                                                                                en Europe
                 opération de paiement de rang > 1                                                                                                                                                                         Fondé sur l’analyse de milliards de
                                                                                                                                                                                                                          paiements CB, le score CB optimise les
                                                                                                                                                                                                                        taux de transformation du e-commerce.
                                                                                                                                                                            99,99%
                                                                                                                                                                             de disponibilité
                                                            Champ 47 type 99
                                                            (identifiant de regroupement)
                                                            « Référence unique de
                                                            transaction »                                                                                                    de service
                                      Serveur        5
                                                                                               SAE                                                                             Une disponibilité maximale garantis-
                   PAT             d’acceptation                                                               ÉMETTEUR
                                                                                           6                                                                                  sant la transformation des achats, avec
                                                                                                                                                                            la possibilité de se substituer aux ACS
                                                                                                                                                                          quand nécessaire.

                                                                                                                                                                                                                          Adapté à tous les
                                                                                                 Flux d’Authentification

                                                                                                 Flux d’Autorisation
                                                                                                                                                                                                                          parcours client
                                                                                                                                                                                                                           Service disponible sur tous les dispo-
                 Le flux d’Authentification                                                                                                                                                                              sitifs en mode « browser » et « in-app ».

                                                                                                                                                                            Un programme
                                   Pour le chainage, plusieurs données ont été ajoutées aux messages d’autorisation
                   1     2
                                   comme les données e-commerce Lors d’une opération de paiement de rang 1, le                                                               récompensant les
                                   PAT demande l’authentification de l’opération de paiement sur le montant total de
                                   l’achat. L’émetteur réalise une authentification forte ou passive
                                                                                                                                                                              commerçants peu
                                                                                                                                                                              fraudés
                                                                                                                                                                              Ce     programme       permet   aux
                 Le flux d’Autorisation                                                                                                                                      commerçants peu fraudés d’influer sur
                                                                                                                                                                           la décision de l’émetteur de procéder à
                                   Le PAT remonte à l’émetteur toutes les données de l’authentification, notamment                                                        une authentification forte ou non.
                   3
                                   le champ 56 type 0023 de la demande d’autorisation « l’ACS transaction ID ». Cela
                                   n’est disponible qu’en 3DS EMVCo V2.

                                   L’émetteur génère l’identifiant unique de transaction, précédé de la valeur « 1 »,
                                                                                                                                                                                                                          Facilité d’utilisation
                   4
                                   dans la réponse à la demande d’autorisation (champ 47 type 95).                                                                                                                         bénéficier de la solution FAST’R by CB
                                                                                                                                                                                                                          dès lors qu’il possède un SIRET valide.
                                   Le commerçant reprend cette valeur dans « l’identifiant de regroupement », champ
                   5
                                   47 type 99.

                   6               Le SAE répond à la demande d’autorisation.

                                                                                                                                            26                                                                                                                             27
       www. cartes-bancaires.com                                                                                           Février 2020 -               www. cartes-bancaires.com                                                                         Février 2020 -
VISION GÉNÉRALE DES ÉTAPES
                                                                  D’UNE OPÉRATION DE PAIEMENT
                                                                  AVEC FAST’R BY CB :
                                                                  UNE OPÉRATION DE
                                                                  PAIEMENT EST INITIÉE

OPÉRATION
DE PAIEMENT
                                                                   Le commerçant / PAT détermine que                                     Le commerçant / PAT détermine que
                                                                   l’opération de paiement entre dans le                                  l’opération de paiement est hors du
                                                                      cadre d’application des RTS SCA                                      champ d’application des RTS SCA

AVEC                                                    L’opération de
                                                                                                                                          Opération de

FAST’R BY CB
                                                     paiement exige une               Le commerçant / PAT évalue le risque
                                                                                                                                         paiement liée à
                                                       authentification
                                                                                                                                         une transaction
                                                              forte                                                                                            Autre opération
                                                                                                                                           précédente
                                                     (ex : ajout de carte,                                                                                      de paiement
                                                                                                                                         entrant dans le
                                                        1ère opération

ET
                                                                                                                                         cadre des RTS
                                                        d’un paiement         Le commerçant       Le commerçant
                                                                                                                      Le commerçant            SCA
                                                     échelonné ou d’un         souhaite une        souhaite une
                                                                                                                        n’émet pas          (ex : MIT)
                                                        abonnement)           authentification    authentification
                                                                                                                        de souhait
                                                                                   forte             passive(*)

CARTOGRAPHIE
DES CAS D’USAGE                                           L’émetteur
                                                          authentifie
                                                           fortement
                                                                                    L’émetteur choisit de mettre en œuvre une
                                                                               authentification forte ou une authentification passive.
                                                                                L’authentification passive sera possible uniquement
                                                                                     dans le cadre d’une exemption applicable
                                                                                                                                            Envoi direct
                                                                                                                                           de l’opération
                                                                                                                                            de paiement

À DISTANCE
                                                        l’opération de         (TRA acquéreur ou émetteur, petits montants, cartes          dans le flux         Envoi direct
                                                           paiement                  commerciales, bénéficiaires de confiance)             d’autorisation,      de l’opération
                                                                                                                                           avec certaines       de paiement
                                                                                                                                            données de           dans le flux
                                                                                                                                           la transaction       d’autorisation
                                                                                                                                         initiale et le rang
                                                                                                                                         de la transaction
                                                        Un cryptogramme d’authentification est généré par l’émetteur et envoyé                 actuelle
                                                                          dans la demande d’autorisation

                                                  (*) Le commerçant peut indiquer s’il est éligible à la TRA acquéreur

                                             28                                                                                                                                        29
www. cartes-bancaires.com   Février 2020 -        www. cartes-bancaires.com                                                                                           Février 2020 -
1                                    2                                       3                                  4                                    5                                   6

                                                                            Paiement unique                      Ajout / Modification de                                               Paiement pour la Locaion                    Paiement
                                     Paiement unique                                                                                              Paiement agrégé d’achats
                                                                         (à l’expédition / livraison /          données carte en dehors                                                   de Biens et Services                  complémentaire /
                                      (à la Commande)                                                                                                    multiples
                                                                           délivrance du service)              d’un parcours de paiement                                                        (PLBS)                                No-show

www. cartes-bancaires.com
                                                                       Ex : paiement d’un                      Ex : enregistrement de             Ex : règlement en une                Ex : location d’une                  Ex : facturation
                                                                       produit dont le                         données carte dans le              fois de plusieurs achats             voiture.                             d’une réservation de
                                                                       règlement intervient                    compte d’un client.                de petit montant sur                                                      chambre d’hôtel non
                                                                       au moment de son                                                           une durée limitée.                                                        honorée, ou paiement
                                                                       expédition.                                                                                                                                          de la facture de mini-
                                                                                                                                                                                                                            bar établie après le
                                                                                                                                                                                                                            départ du client.
                                                                                                                                                                                                                                                                                      CARTOGRAPHIE

                                                                                                                                                                                                                                                           Les opérations simples

                                                                                                                                                                                       Authentification forte ou
                                                                                                                                                   Authentification forte ou
                                  Authentification forte ou            Authentification forte ou                                                                                        passive sur le montant
                                                                                                                Authentification forte              passive sur le montant                      estimé
                                          passive                                 passive                                                                 maximum                                                           Demande d’autorisation /
                                                                                                                            +                                                                      +
                                              +                                       +                                                                       +                        Demande d’autorisation sur           remise sur le montant de
                                                                                                                     Demande de                                                        montant estimé / clôture                       la facture
                                  Demande d’autorisation /                    Demande de                                                          Demande d’autorisation /
                                                                                                                    renseignement                  remise sur le montant               et remise sur le montant
                                           remise                            renseignement                                                                                                        réel
                                                                                                                                                        maximum
                                                         CIT                                         CIT                                CIT                                CIT             (dans les 30 jours)   CIT                                 MIT

                                                                                      +
                                                                                                                                                                                                                                                                                      DES CAS D’USAGE À DISTANCE

                                                                         A l’envoi du produit
                                                                        Autorisation / remise
                                                                        sur le montant total

                                                                   NOTE
                                                                   Dans certaines situations
                                                                   le montant total dépasse
                                                                   le montant initialement
                                                                   prévu (ex : VTC), le
                                                                   commerçant génère une
                                                                   nouvelle transaction (MIT)                                                                                                                                    CIT           MIT
                                                                   sans lien avec la première

Février 2020 -
           30
                                                               7                                                     8                                              9                                                  10

                                                                                                                                                                                                                            Abonnement de montant
                                                                        Paiement multiple                                                                               Abonnement à montant

  www. cartes-bancaires.com
                                                                                                                            Paiement échelonné                                                                               variable ou date de fin
                                                                           à l’expédition                                                                                        total connu
                                                                                                                                                                                                                                    inconnue

                                                                   Ex : paiement d’une                                   Ex : paiement en 3-4                           Ex : abonnement d’une                               Ex : abonnement
                                                                   commande livrée en                                    fois.                                          année dont le montant                               opérateur téléphonique
                                                                   plusieurs fois.                                                                                      total est connu à la                                avec facture sur
                                                                                                                                                                        commande.                                           consommation.
                                                                                                                                                                                                                                                                                      CARTOGRAPHIE

                                                                                                                                                                                                                                                           Les opérations multiples

                                                                   Authentification forte ou                             Authentification forte sur                     Authentification forte sur                           Authentification forte sur
                                                                    passive sur le montant                                                                                                                                  le montant de la première
                                                                                                                             le montant total                               le montant total
                                                                                                                                                                                                                                     échéance
                                                                                 total                                               +                                              +
                                                                                                                                                                                                                                         +
                                                                            +                                            Demande d’autorisation /                       Demande d’autorisation /
                                                                                                                                                                                                                            Demande d’autorisation /
                                                                   Demande de renseigne-                                 remise sur le montant du                        remise sur le montant
                                                                                                                                                                                                                             remise sur le montant du
                                                                                ment                                        premier paiement                             du premier paiement                                    premier paiement
                                                                                                  CIT                                             CIT                                             CIT                                                CIT

                                                                                  +                                                 +                                                  +

                                                                       A chaque expédition                                 Pour les paiements                             Pour les paiements
                                                                                                                                                                                                                                                                                      DES CAS D’USAGE À DISTANCE

                                                                                                                                                                               suivants
                                                                                                                                                                                                                             Pour les paiements
                                                                   Demande d’autorisation                                       suivants
                                                                                                                                                                                                                                  suivants
                                                                   / remise sur le montant                                     Demande                                        Demande
                                                                                                                                                                                                                            Demande d’autorisation
                                                                     du produit expédié.                                 d’autorisation / remise                        d’autorisation / remise
                                                                                                                                                                                                                             / remise sur chaque
                                                                                                                          sur chaque montant                             sur chaque montant
                                                                                                                                                                                                                            montant de l’échéance
                                                                                                                              de paiement.                                  de l’échéance.
                                                                                                                                                                                                                                                     MIT

                                                                                                                                                                                                                                CIT            MIT
  Février 2020 -
             31
LOGOS CB
                                                                                                                      CB a développé un nouveau logo
                                                                                                                      Le logo Paiement Sécurisé est à implémenter
                                                                                                                      sur les pages de paiement.

                                                                                                                      Il est l’élément de référence d’une opération
                                                                                                                      de paiement traitée par CB. Il a pour but de
                                                                                                                      rassurer le client sur la sécurité du processus
                                                                                                                      de paiement.

                                                                                                                      Validé par les internautes lors d’une étude
                                                                                                                      réalisée fin 2017, le logotype Paiement Sécurisé
                                                                                                                      conjugue un cadenas fermé et une expression
                                                                                                                      française pour conforter le client d’un traitement

 ANNEXES
                                                                                                                      sécurisé effectué en France.

                                                                                                                                                  PA I E M E N T
                                                                                                                                                  SÉCURISÉ

                                                     TEMPLATE                                                          Pour télécharger le logo CB
                                                     DE PAIEMENT                                                       Paiement Sécurisé :
                                                                                                                       https://www.cartes-bancaires.com/a-propos/
                                                     RECOMMANDÉ                                                        telechargements-logos/

                                                     PAR CB
                                                       Votre panier                                               Votre paiement est sécurisé par le système 3D Secure
                                                                                                                  Votre banque va vérifier votre identité afin de vous prémunir
                                                       Article 1                        xx,xx €                   de toute utilisation frauduleuse de votre carte bancaire.
                                                       Article 2                        xx,xx €                            Numéro de la     COFWGG8RX0TTJ6
                                                                                                                            commande        MARCHAND A
                                                       Total                            xx,xx €
                                                                                                                                Payer avec

                                                                                                                      Titulaire de la carte*    Prénom Nom
                                                       Votre adresse de livraison                                     Numéro de la carte*       4974 4521

                                                                                                            Date d’expiration (MM/AAA)*         09          2019

                                                                                                          Code de vérification de la carte*     123       Qu’est ce que c’est ?

                                                       Choix du moyen de paiement                                               Un * indique les champs obligatoires

                                                                                           Choisir                                  Confirmer le paiement
                                                         Carte
                                                                                                             Si vous voulez choisir une autre marque de paiement, cliquer ici
                                                         Wallet                         Choisir
                                                                                                                               A propos de Ogone Protection des données
                                                                                                                                      Sécurité Informations légales
                                                         Autres                            Choisir
                                                                                                                                            Annulation

                                                     La sélection d’un bouton unique pour le paiement   Affichage dynamique de la marque préférée du commerçant
                                                     par carte.                                         et possibilité pour le client de changer.

                                             32                                                                                                                                                    33
www. cartes-bancaires.com   Février 2020 -        www. cartes-bancaires.com                                                                                                       Février 2020 -
ANNEXES                                                                                                                                              ANNEXES

           PROTECTION
           DES DONNÉES
           PERSONNELLES
           Le service FAST’R by CB est développé par CB pour           La DSP2 (considérant 95) et les RTS SCA (considérant                                     Dans son rapport annuel 2017, l’Observatoire
           répondre aux objectifs suivants :                           1er) prévoient clairement que l’authentification sûre                                    de la sécurité des moyens de paiement
                                                                       du porteur a notamment pour objectif la prévention                                       (OSMP) indique qu’en raison de l’évolution
            Prévenir et lutter contre la fraude à la carte de
                                                                       de la fraude.                                                                            majeure opérée par la DSP2 dans le processus
             paiement dans le système CB,
                                                                                                                                                                de décision en matière d’authentification
                                                                       L’article 18 des RTS SCA dispose qu’un PSP peut ne
            Permettre à ses membres, et en particulier                                                                                                         désormais « à la main de l’Emetteur », des
                                                                       pas authentifier fortement le payeur lorsque, suite
             aux émetteurs, de se conformer aux nouvelles                                                                                                       échanges d’information entre le Commerçant
                                                                       à une analyse des risques, il considère le risque de
             dispositions légales qui leur sont applicables,                                                                                                    et l’Emetteur peuvent avoir lieu pour
                                                                       fraude comme étant faible et que cette analyse des
                                                                                                                                                                « alimenter le dispositif d’évaluation des
            Permettre aux commerçants de préserver la                 risques est notamment (il existe d’autres conditions
                                                                                                                                                                risques » de l’Emetteur et faciliter l’éventuelle
             fluidité de leur parcours client dans le respect du       et notamment le respect des seuils de taux de fraude)
                                                                                                                                                                application de la dérogation prévue à l’article 18
                                                                       réalisée dans les conditions évoquées ci-dessous :
             cadre légal applicable.                                                                                                                            des RTS SCA,. comme cela est techniquement           L’analyse des risques doit tenir
           Ces objectifs s’inscrivent pleinement dans le contexte                                                                                               prévu dans les spécifications du protocole           compte, « au moins », des
                                                                                                                                                                3D-Secure 2.0.
           de l’entrée en vigueur des RTS SCA le 14 septembre                                                                                                                                                        facteurs suivants :
           2019 qui prévoient notamment :                                                                                                                       Par ailleurs, les différents intervenants de
           Un principe d’authentification forte systématique                                                                                                    la solution FAST’R by CB sont tenus de se
                                                                                                                                                                conformer à l’ensemble des dispositions               les habitudes de dépenses antérieures
           du porteur de la carte lors de chaque opération de
                                                                                                                                                                prévues par la législation applicable en               de l’utilisateur individuel de services de
           paiement ;
                                                                                                                                                                matière de protection des données à caractère          paiement;
           Des dérogations à ce principe et notamment quand
                                                                              L’analyse des risques doit
                                                                                                                                                                personnel et en particulier au RGPD. Chaque           l’historique des opérations de paiement
           une analyse des risques permet de considérer le                    permettre de déceler                                                              intervenant devra notamment :                          de chacun des utilisateurs de services de
           niveau de risque de fraude lié à l’opération comme                 l’inexistence des éléments                                                                                                               paiement du prestataire de services de
           faible (article 18).                                                                                                                                  Déterminer avec les autres intervenants le
                                                                              suivants :                                                                          statut au titre duquel il traite les données         paiement ;
           Pour atteindre ces objectifs, les différents intervenants                                                                                              à caractère personnel. En tout état de              la localisation du payeur et du bénéficiaire
           au service FAST’R by CB (commerçants, PATs, CB et                   des dépenses anormales ou un type de                                              cause, CB traite, en tant que responsable            au moment de l’opération de paiement
           émetteurs) traitent et se transmettent des données                   comportement anormal du payeur ;                                                  du traitement, les données à caractère               dans les cas où le dispositif d’accès ou le
           prévues par le protocole d’échange 3DS EMVCo V2                                                                                                        personnel qui lui sont transmises par le             logiciel est fourni par le PSP ;
           EMVCo.                                                              des informations inhabituelles concernant                                         PAT pour la finalité qui lui est propre, c’est-
                                                                                l’utilisation du dispositif ou logiciel du                                        à-dire la lutte contre la fraude à la carte         l’identification de comportements de
           Certaines de ces données, qui concernent le porteur                  payeur à des fins d’accès ;                                                       de paiement dans le système CB. CB ne                paiement anormaux de l’utilisateur
           de la carte de paiement, sont protégées par la
                                                                                                                                                                  considère, ni les commerçants, ni les PATs           de services de paiement par rapport
           règlementation applicable en matière de protection                  des signes d’infection par un logiciel
                                                                                                                                                                  comme étant ses sous-traitants.                      à l’historique de ses opérations de
           des données à caractère personnel et notamment le                    malveillant lors d’une session de la
                                                                                                                                                                                                                       paiement.
           Règlement (UE) 2016/679 (RGPD).                                      procédure d’authentification ;                                                   S’assurer, lorsqu’il est responsable du
                                                                               un scénario connu de fraude dans le cadre                                         traitement, que les données à caractère
           Sous réserve du respect des dispositions du RGPD,
                                                                                de la prestation de services de paiement ;                                        personnel qu’il traite le sont pour des
           le traitement de ces données par les différents
                                                                                                                                                                  finalités  déterminées,    explicites et
           intervenants au service FAST’R by CB est légitime car
                                                                               une localisation anormale du payeur ;                                             légitimes.
           elles sont nécessaires à la réalisation de l’analyse des
           risques de fraude.                                                  une localisation du bénéficiaire présentant                                      Se conformer autres dispositions de la
                                                                                des risques élevés.                                                               règlementation qui lui serait applicable
           En effet, l’article L521-6 du Code monétaire et
                                                                                                                                                                  en matière de protection des données
           financier dispose que les systèmes de paiement
                                                                                                                                                                  à caractère personnel : registre, analyse
           et les prestataires de services de paiement (PSP)
                                                                                                                                                                  d’impact, transparence et droits des
           sont légitimes à mettre en œuvre des traitements
                                                                                                                                                                  personnes     concernées,   sécurité   et
           de données à caractère personnel lorsque cela est
                                                                                                                                                                  confidentialité des données…
           nécessaire pour garantir la prévention, la recherche
           et la détection des fraudes en matière de paiements.

                                                                                                                                                34                                                                                                                                     35
      www. cartes-bancaires.com                                                                                                Février 2020 -              www. cartes-bancaires.com                                                                                  Février 2020 -
Vous pouvez aussi lire
DIAPOSITIVES SUIVANTES ... Annuler