Votre guide pratique de la migration DSP2 - LIVRE BLANC - E-COMMERÇANTS TOUTES LES ÉTAPES POUR INTÉGRER LES CHANGEMENTS ET PILOTER VOTRE ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
LIVRE BLANC Votre guide pratique de la migration DSP2 E-COMMERÇANTS TOUTES LES ÉTAPES POUR INTÉGRER LES CHANGEMENTS ET PILOTER VOTRE PERFORMANCE
2.
Sommaire
3 2021, place 9 Echanger les bonnes données
à l’action 10 Identifier les exemptions
4 Un calendrier qui s’accélère 11 Faire le bon choix : Challenge,
Frictionless ou No Preference ?
Une période de transition
avec le soft decline 12 Comment vous assurer
de pouvoir demander des
5 Le “Soft Retry” : l’outil Dalenys exemptions « TRA » ?
qui minimise l’impact sur votre
acceptation 13 Quels sont les taux de fraude
à respecter ?
6 Pourquoi migrer 14 Tester & Migrer
en 3DS v2
maintenant ? 15 Communiquer
auprès des clients
7 3DS v2 et authentification forte
sont-ils indissociables ?
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
16 Piloter
8 La checklist
DSP2 des 17 Glossaire
e-commerçants
9 Intégrer les
changements
3.
2021, place à l’action
Avec l’essor du e-commerce et de la fraude par carte bancaire qui
sévit toujours, la DSP2 (Directive sur les Services de Paiement 2)
vise à renforcer davantage la sécurisation des ventes en ligne.
Cette réglementation européenne a instauré de nouvelles
exigences technologiques, appelées RTS (Regulatory Technical
Standards), que les acteurs du e-commerce ainsi que leur prestataire
de paiement doivent intégrer pour tirer parti de la DSP2.
L’année 2021 s’annonce décisive pour vous en tant qu’e-
commerçant, puisque la pleine application de la DSP2 s’applique
à partir du 15 mai avec un double changement :
Le modèle se transforme
Le déclenchement de l’authentification passe désormais aux mains
des banques émettrices (celles de vos clients).
La méthodologie évolue
L’authentification forte devient obligatoire pour toutes les
transactions, avec deux facteurs parmi la possession (ce que le
client possède), la connaissance (ce qu’il connaît) et l’inhérence (ce
qu’il est).
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Ce qu’il connaît Ce qu’il possède Ce qu’il est
ex : mot de passe ex : smartphone ex : biométrie
Ces évolutions majeures vont impacter de plus en plus votre activité avec une
augmentation du taux de déclenchement 3D Secure, ce qui entraînera une diminution
de votre taux d’acceptation.
Afin d’optimiser votre conversion, la DSP2 prévoit des exemptions à
l’authentification forte vous permettant ainsi de continuer à proposer
des parcours sans friction (frictionless) au plus grand nombre.
Bonne
lecture !
L’objet de ce guide est ainsi de vous donner les clés pour effectuer
une migration réussie et tirer entièrement profit des exemptions
offertes par la DSP2.
4.
Un calendrier qui s’accélère
Le dernier rapport de l’Observatoire des Moyens de Paiements est venu préciser les nouveaux
jalons de l’application des RTS. A compter du 15 mai 2021 toute transaction non authentifiée de
manière forte et non justifiée par une demande d’exemption est refusée par l’émetteur.
15 OCT. 05 JAN. 15 FEV. 15 MARS 15 AVRIL 15 MAI
2020 2021 2021 2021 2021 2021
2000€ 1000€ 500€ 250€ 100€ Toutes les
transactions
(conformité
complète)
Une période de transition avec le soft decline
Avec la DSP2, les banques peuvent émettre deux types de refus en réponse à une transaction
non authentifiée qui aurait dû l’être :
Le hard decline
Il s’agit d’un refus catégorique de l’émetteur.
La transaction est alors définitivement perdue.
Le soft decline
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Ce refus, moins définitif, permet aux
commerçants de présenter à nouveau la
transaction en intégrant cette fois-ci une
authentification forte. Après une mise en place
progressive par tranches de montant, initiée en
France depuis octobre 2020, ce mécanisme est
appliqué à l’ensemble des transactions quel que
soit leur montant à partir du 15 mai 2021.
En France, les banques ont décidé d’utiliser le soft
decline pour permettre aux commerçants de migrer
progressivement vers le 3DS v2. Ce mécanisme
vise à pousser l’ensemble des acteurs à appliquer
pleinement la réglementation, en présentant les
paiements de façon conforme : authentifiés ou
dûment justifiés par une demande d’exemption.
5.
Le “Soft Retry” : l’outil Dalenys qui minimise
l’impact sur votre acceptation
Suite à l’apparition de ces soft declines, Dalenys a mis en place un système de “Soft
Retry” : la transaction est représentée automatiquement en 3DS, rendant ainsi le refus
de la banque entièrement invisible pour le client. Après authentification, elle est soumise
en autorisation auprès de l’émetteur, comme toute transaction.
Ce système de retry a l’avantage de pouvoir convertir des paiements autrement refusés,
et ainsi de minimiser l’impact de ce nouveau type de refus sur votre acceptation.
100% Les clients de Dalenys bénéficient
déjà depuis octobre 2020 de
des transactions Dalenys cette innovation, sous réserve
en soft decline sont rejouées d’avoir activé le protocole 3DS
automatiquement (quelle que soit la version).
vs. 31,7% observées
sur l’ensemple des transactions
traitées par Natixis* Dalenys s’assure ainsi que leur
conversion reste maximale durant
cette période de transition.
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
* Données Natixis Payments, Mars 2021
portant sur 20% des transactions françaises
6.
Pourquoi migrer en 3DS v2
maintenant ?
Bien que l’utilisation du 3DS v1 soit tolérée jusqu’en 2022, il est essentiel pour les
commerçants de migrer dès à présent vers le 3DS v2. Les émetteurs appliquent
strictement la DSP2 à compter du 15 mai 2021. Cela implique que l’authentification
forte devient obligatoire pour chaque transaction, sauf pour les exemptions prévues ou
transactions qui ne sont pas dans le champ des RTS (paiements à l’initiative du marchand,
paiement par téléopérateur…).
Si vous restez en 3DS v1 :
Envoyer une transaction non
Non, 100% des transactions non
authentifiée (non 3DS), est-ce toujours
authentifiées subiront un soft decline.
possible ?
Seul le protocole 3DS v2 le permet.
L’utilisation du 3DS v1 ne pourra plus
Comment demander une exemption ?
permettre à vos clients de bénéficier d’un
parcours dit sans friction.
Rester en 3DS v1 a-t-il un coût ? La facturation sera plus élevée qu’en 3DS v2.
Puis-je migrer en 3DS v2 sans rien faire ?
Cela dépend de votre prestataire de paiement, que nous vous invitons à contacter.
Chez Dalenys, l’activation est automatique pour nos clients dès qu’ils nous ont
donné leur accord.
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Quels sont les avantages du 3DS v2 ?
Optimisation de l’acceptation :
Le nombre de faux positifs diminue. Avec ce dispositif de partage d’informations
entre les commerçants et les émetteurs, ces derniers seront en capacité de mieux
détecter les comportements frauduleux et ainsi réduire le taux de rejet associé à
des suspicions de fraude.
Amélioration de l’expérience client :
Le processus d’authentification est mieux intégré dans le parcours d’achat grâce
au déploiement sur tous les types de canaux (mobile, app, digital wallet, montres
connectées…). L’authentification du porteur peut se faire sans l’intervention de celui-
ci, permettant ainsi de réduire les points de friction lors du parcours d’achat.
7.
3DS v2 et authentification forte
sont-ils indissociables ?
Non, ces deux notions sont à décorréler.
Le 3DS v2 est un protocole technique venant
remplacer le 3DS v1, avec de nouveaux champs
à intégrer par le commerçant, le PAT/PSP et
l’émetteur. Il permet entre autres de véhiculer
vos demandes d’exemption.
L’authentification forte est une notion
instaurée par la DSP2 venant renforcer la
méthode d’authentification avec 2 facteurs.
Il s’agit donc d’une modification de l’expérience
client. Les autorités ont en effet estimé que la
méthode la plus couramment utilisée, à savoir
le SMS OTP (One time password) n’était pas
suffisamment sécurisée. Cette nouvelle
méthode d’authentification du porteur
s’appuie à la fois sur l’utilisation d’une
application bancaire et sur un code de
sécurité. Certains émetteurs ont déjà migré
vers cette nouvelle méthode depuis 2019.
Ainsi, une authentification forte peut être
faite avec le protocole 3DS v1 ou v2. Mais
les exemptions à l’authentification forte
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
ne peuvent être accordées qu’avec le
protocole 3DS v2.
8.
La checklist DSP2
des e-commerçants
Intégrer les changements
Echanger les bonnes données :
champs recommandés et optionnels
Identifier les exemptions
et les transactions hors champ des RTS
Savoir faire le bon choix :
Challenge, Frictionless ou No Preference
Tester & Migrer
Contacter son prestataire de paiement
Commencer à récolter des données
Créer un compte test
Migrer progressivement
Communiquer auprès des clients Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Relayer les changements de parcours client
Piloter
Taux d’acceptation
Impayés
Taux de fraude
Analyse des transactions frauduleuses
9.
Intégrer les changements
1. Echanger les bonnes données
Proposer un parcours fluide à vos clients est toujours possible avec la pleine application de la
DSP2, grâce à une collaboration entre tous les acteurs de la chaîne de paiement.
Certaines données aident les émetteurs à statuer si la transaction doit être authentifiée de
manière forte ou non.
Voici les champs que Dalenys recommande à ses clients* :
Données Données
consommateur comportementales
Adresse de facturation Articles du panier
et d’expédition ✓ Contrôle de la valeur
✓ Points de données dérivés,
Indicateur d’âge du compte
par ex. INSEE DB
✓ Contrôle de la période
Numéro de téléphone
Délai de livraison
✓ Détection de l’opérateur
téléphonique , comme LYRA ✓ Contrôle de la période
mobile
Catégorie de produit
E-mail ✓ Liste blocage selon la
✓ Vélocité valeur, par exemple pour
✓ Liste blocage sur le domaine le secteur high tech
Device Scoring
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Navigateur IP Scoring commerçant
✓ Vélocité ✓ Points de données brutes
✓ Liste blocage selon les
fournisseurs de services
Internet
en anglais dans la documentation technique Dalenys
*
Il convient d’envoyer a minima les
champs dits « recommandés », qui sont My bank
spécifiés sur le site développeur de
Dalenys :
Validez la transaction
Vous avez une transaction en attente avec
My Bank Mastercard se terminant en 1234
http://bit.ly/dev-3dsecure
10.
2. Identifier les exemptions
Dans le cadre de la DSP2, toutes les transactions devront être authentifiées de manière forte,
sauf exemptions et transactions hors du périmètre des RTS.
Les transactions qui ne sont pas concernées par l’authentification forte :
Petits Transaction Paiement Bénéficiaire Carte non-
montants Risk Analysis récurrent de confiance nominative
Sauf toutes les
6 opérations Si le taux de
0 - 30€ de paiement ou fraude de
montant cumulé l’émetteur OU de
>100€ l’acquéreur est Cette
< 0,13% Si l’opération
30 - 100€ dérogation
de paiement
Si le bénéficiaire vise les
est effectuée
Si le taux de est inscrit par paiements
dans le cadre
fraude de le payeur sur initiés par
d’un paiement
100 - 250€ l’émetteur OU de la liste des des payeurs
récurrent à
l’acquéreur est bénéficiaires « personnes
montant et
< 0,06% de confiance morales »
bénéficiaire
Si le taux de (whitelisting) (cf. article 17
constants
fraude de des RTS)
250 - 500€ l’émetteur OU de
l’acquéreur est
< 0,01%
+ de 500€
Les transactions hors Evolutions techniques Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
périmètre RTS sont par nature
Des évolutions techniques
exemptées d’authentification sont à prévoir dans l’envoi
du flux de paiement pour les
✓ Paiements à l’initiative du transactions hors périmètre RTS
marchand (MIT) et les exemptions.
✓ Paiements par courrier ou
téléphone (MOTO) Certaines nécessitent une
action de votre part. Renseignez
✓ Transactions inter-régionales
vous auprès de votre prestataire
(one-leg)
de paiement.11.
3. Faire le bon choix :
Challenge, Frictionless ou No Preference ?
Avec l’instauration du nouveau protocole 3DS v2, ce sont les banques émettrices
qui décideront de déclencher ou non l’authentification forte. Toutefois, en tant que
commerçant, vous pouvez indiquer votre préférence via votre prestataire de paiement.
3 choix sont possibles :
Challenge Frictionless No Preference
Vous souhaitez que Vous souhaitez Vous laissez
la transaction soit que la transaction l’émetteur choisir.
authentifiée. passe sans 3DS, Cela vous prémunit
favorisant ainsi la contre l’impayé
conversion. mais vous risquez
d’avoir davantage
de transactions
authentifiées.
Si vous faites le choix du frictionless, assurez-vous au préalable que la transaction ne
comporte pas un risque de fraude. En effet :
✓ c’est vous qui portez la responsabilité de l’impayé en cas de fraude,
✓ vous donnez une mauvaise image de la maîtrise de votre fraude à l’émetteur, qui
risque d’appliquer du challenge systématique pour ne prendre aucun risque.
Qui porte la responsabilité de l’impayé ?
Demandedu
Demande Réponse
Réponsede de Responsabilité Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Marchand
commerçant l’émetteur
l’émetteur de la fraude
3DSv1
3DS v1 n/a
n/a Challenge
Challenge Emetteur
Emetteur
Frictionless
Frictionless Commerçant
Marchand
Frictionless
Frictionless
Challenge
Challenge Emetteur
Emetteur
3DSv2
3DS v2
Frictionless
Frictionless Emetteur
Emetteur
No
NoPref
pref ou
ou
Challenge
Challenge
Challenge
Challenge Emetteur
Emetteur12.
Zoom sur le moteur de
règles Dalenys
Notre outil de lutte contre la fraude est un
puissant moteur de règles comportementales,
dont les métriques peuvent être combinées
pour cibler avec une haute précision les
comportements frauduleux.
Des règles standards génériques peuvent
être associées avec des règles sur-mesure
correspondant au contexte de chaque
commerçant.
Pour les e-commerçants Dalenys qui utilisent
notre moteur de règles, nous effectuons
directement les demandes de challenge ou
frictionless pour eux, en fonction de l’analyse
effectuée par l’outil.
Comment vous assurer de pouvoir demander
des exemptions dites « TRA » ?
Choisir entre « Challenge », « Frictionless » ou « No Preference » n’est pas anodin.
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Si votre demande de frictionless est accordée par l'émetteur, mais qu’elle donne suite à
un impayé :
✓ la responsabilité vous incombe,
✓ l’impayé viendra augmenter votre taux de fraude,
✓ il risque d’engendrer la méfiance de l’émetteur sur vos décisions, entraînant une
augmentation de ses décisions de challenge.
Or, pour rappel, demander une exemption « Transaction Risk Analysis » vous oblige à
respecter des seuils de taux de fraude par tranche de montants (voir détail de ces seuils
page suivante). Sans cela, votre demande de frictionless sera refusée et transformée en
challenge par l’émetteur.
Il convient donc d'assurer une analyse de risque pour chaque transaction avant de
choisir comment la labelliser.13.
Quels sont les taux de fraude à respecter ?
Taux de fraude
inferieur à
0,13%
Taux de fraude
inferieur à
0,06%
Taux de fraude
inferieur à
Pas de TRA
0,01%
Montants inférieurs Montants inférieurs Montants inférieurs Montants supérieurs
à 100 € à 250€ à 500€ à 500€
Comment se calcule le taux de fraude ?
La fraude constatée par le marchand résulte en grande partie des impayés. Calculer
son taux de fraude sur cette base est un bon indicateur, mais incomplet pour s’assurer de
l’exemption TRA.
En effet, la banque émettrice possède une vue sur la fraude plus exhaustive, notamment
toutes les transactions frauduleuses qui n’ont pas donné lieu à une contestation.
C’est le taux de fraude émetteur qui est utilisé pour accorder ou non le frictionless, et
ce taux différera de celui que vous pouvez calculer en tant que commerçant.
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Dalenys fournit à ses clients une vue sur leurs transactions frauduleuses,
leur permettant ainsi de suivre leur taux de fraude.
Demander du frictionless ne garantit pas que l’émetteur accepte
Même si l’analyse TRA effectuée par le commerçant recommande du frictionless,
c’est l’analyse côté émetteur qui prévaut. En effet, l’analyse TRA de l’émetteur est celle
qui permet de statuer in fine s’il y aura déclenchement du 3DSecure ou un parcours
frictionless. A ce titre elle doit être auditable par le régulateur.14.
Tester & Migrer
Contactez votre prestataire de paiement pour organiser avec lui votre migration.
Chez Dalenys, un Customer Success Manager (CSM) étudie avec le e-commerçant sa
stratégie générale de migration.
Un Service Delivery Manager, véritable expert de l’implémentation, est aussi mis à
disposition des équipes techniques du e-commerçant.
Déroulé de la migration vers le 3DS v2
avec Dalenys
1. Réunion de lancement avec le Customer Success Manager du
e-commerçant pour valider sa stratégie de migration, identifier les
opérations hors périmètre et les exemptions possibles.
2. Identification des éventuels champs à ajouter à ses requêtes de
paiement pour favoriser le frictionless.
3. Envoi de ces paramètres additionnels sur l’environnement
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
de Sandbox, de Dalenys puis une fois les tests validés, en
environnement de production.
4. En accord avec les équipes Dalenys, le e-commerçant décide
d’une date de migration. Nos équipes activent le 3DS v2 et les
nouveaux paramètres sont alors pris en compte.15.
Du côté de vos clients
Une bonne pratique : communiquez !
La DSP2 impacte également fortement vos clients, du fait de la double
authentification. Pour qu’ils puissent continuer à réaliser des achats de manière
sereine sur votre site e-commerce, il est essentiel qu’ils aient bien pris en compte les
évolutions de la réglementation et les impacts sur leur parcours d’achat. Votre taux
d’acceptation en dépend.
Relayer les changements du système d’authentification auprès de vos clients
permet de démontrer votre proactivité et votre engagement sur l’expérience client.
Vous pouvez les informer notamment sur les actions à réaliser de leur côté (comme le
téléchargement de l’application bancaire), et sur les nouveaux parcours induits par la
réglementation.
Objet : Des paiements
plus sécurisés
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Une nouvelle étape
d’authentification avant la
validation finale de votre achat
Une nouvelle réglementation de
paiement obligatoire pour tous les sites
e-commerce d’Europe arrive chez nous :
la DSP2.
Le but ? Renforcer la protection de vos
données bancaires et vous protéger d’une
éventuelle fraude lors de vos paiements.
En bref, vos prochaines commandes
seront encore plus sécurisées.
Je teste !
Comment ça marche ?16.
Piloter
Une fois la migration effectuée, nous vous recommandons de renforcer le monitoring
autour de vos opérations afin d’être certains que l’expérience d’achat pour vos clients reste
la plus fluide possible.
Les indicateurs à surveiller pour être proactif :
✓ Taux d’acceptation
✓ Impayés
✓ Analyse des transactions frauduleuses
Dalenys accompagne les e-commerçants
Compte tenu des impacts majeurs de la DSP2 sur l’activité e-commerce, Dalenys a mis en
place pour ses clients un programme d’accompagnement complet autour de la DSP2 pour
gagner en performance.
Nous agissons sur tout le parcours de la transaction pour optimiser la conversion tout en
continuant à lutter efficacement contre la fraude avec un ensemble de solutions :
Le moteur de Le mécanisme Une offre
règles Dalenys de Soft Retry “Fraud
Premium”
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
Pour aider nos Pour ne perdre
clients à envoyer les aucune transaction Pour accompagner
bonnes demandes suite à la mise nos clients dans la
à l’émetteur : en place du soft maîtrise de leurs
frictionless vs. decline taux de fraude.
challenge.
Toutes nos équipes se tiennent à votre disposition pour optimiser ensemble votre
stratégie de lutte contre la fraude et tirer profit de la DSP2.
Contactez-nous :
hello@dalenys.com17.
Glossaire
DSP2 Frictionless
(Directive européenne (Sans friction)
sur les Services de Paiement 2) Parcours consistant à ne pas ajouter
Directive comportant deux volets : l’un sur d’étape supplémentaire au client lors du
l’ouverture des données bancaires pour paiement.
favoriser l’innovation et la concurrence ; Les données échangées entre
l’autre sur la sécurisation des paiements en commerçants et banques suffisent à
ligne pour minimiser la fraude. s’assurer de l’identité du client.
RTS Challenge
(Regulatory Technical Standards) Déclenchement de l’authentification
Exigences techniques instaurées dans forte du porteur.
le cadre de la DSP2, impliquant une
évolution du modèle et de la méthode Hard decline
d’authentification utilisés pour sécuriser Refus catégorique émis par la banque
les paiements en ligne. du client. Le paiement doit être
abandonné.
Authentification forte
(SCA : Strong Customer Authentication) Soft decline
Demande d’authentification forte La demande d’autorisation directe de
devant se baser sur au moins deux la transaction sans authentification
éléments indépendants liés à l’acheteur : préalable est refusée par la banque du
connaissance (ex : mot de passe), client.
Dalenys | Votre guide pratique de la migration DSP2 | Avril 2021
possession (ex : téléphone), inhérence (ex : Le paiement doit être représenté avec
biométrie). une authentification forte.
3DS v2 Soft retry
Le 3DS est un protocole EMV (Europay Mécanisme mis au point par Dalenys
Mastercard Visa) sécurisé de paiements pour retenter les transactions : en cas
effectués sur internet, dont l’objectif est de rejet, cette dernière est de nouveau
de s’assurer de l’identité du client pour soumise automatiquement à la banque
minimiser la fraude. La nouvelle version du pour autorisation, en appliquant une
protocole (3DS v2) renforce la méthode authentification forte 3D Secure. Cette
d’authentification. nouvelle soumission s’effectue de
manière totalement invisible pour le
TRA consommateur, et la banque pourra
(Transaction Risk Analysis) cette fois-ci décider de l’accepter.
Analyse de risques de la transaction
en temps réel devant aboutir à une
recommandation (demande d’exemption
ou authentification forte).Dalenys, filiale de Natixis (Groupe BPCE), est une solution de paiement dédiée à la performance des e-commerçants. +33 1 84 07 07 07 hello@dalenys.com @dalenyscorp Payment is just the start dalenys.com Dalenys Payment - 110 avenue de France, 75013 Paris, France SAS au capital de 18 886 518,20 € - 443 222 682 RCS Paris - NAF 6419Z Établissement de paiement. Agrément ACPR : 16378 - N°TVA Intracommunautaire : FR12 443 222 682 ©Dalenys - Avril 2021
Vous pouvez aussi lire
