Authentification: Mises à jour de 3-D Secure 2 et de PSD2

3-D Secure PSD2
Datatrans AG – Authentification: Mises à jour de 3-D Secure 2 et de PSD2

Tout ce que vous devez savoir à l’heure actuelle sur la nouvelle norme de sécurité 3-D Secure 2 et PSD2 et ce que vous devez entreprendre.

3-D Secure 2

Comme nous l’avions déjà annoncé dans nos Newsletter 3 et 4 de l’année dernière, la phase officielle de démarrage pour les transactions 3-D Secure 2, lancée par les acquéreurs, les émetteurs et les systèmes de cartes de crédit commence à partir du mois d’avril. Nos interfaces standard actuelles, Redirect, Lightbox, Secure Fields et SDK, remplissent les conditions techniques essentielles.

Dans le cadre d’un contrat 3D Secure déjà existant, la mise en place du nouveau processus de 3-D Secure 2, est effectuée automatiquement par Datatrans et par les acquéreurs. Les commerçants qui ont intégré 3-D Secure via notre interface actuelle, n’ont aucune modification à effectuer. Dans le cas contraire, les  commerçants sont tenus d’actualiser leur intégration en conséquence (voir «Que faut-il faire?»).

Datatrans recommande aux commerçants l’utilisation des interfaces standards actuelles ainsi que le contrôle de la liste de vérifications suivante pour l’introduction de 3-D Secure 2.

Checkliste
Vous trouverez les informations détaillées à ce sujet sur notre site web:
https://docs.datatrans.ch/docs/3ds2-onboarding-checklist

Nous sommes constamment en dialogue avec les acquéreurs et les systèmes de cartes de crédit quant à l’implémentation technique et nous continuerons de vous tenir au courant.

PSD2 et authentification forte du client (SCA)

Les Regulatory Technical Standards (RTS) permettant une authentification forte du client et une communication sécurisée en PSD2, entreront en vigueur le 14 septembre 2019.

Les commerçants qui offrent des marchandises et des prestations de services dans l’espace européen UE/EEE et dont les acquéreurs sont également résidents de cet espace, sont soumis à la règlementation PSD2. D’une manière générale, nous recommandons à tous les commerçants dont les offres s’adressent à des personnes résidant dans l’espace UE/EEE, de répondre aux exigences PSD2 indépendamment du siège de votre acquéreur. Chaque commerçant qui offre des paiements à distance, doit assurer l’utilisation de 3-D Secure pour les paiements initiés par le client. Les commandes/transactions faites par téléphone/fax/poste (appelées MOTO ou contrats mail/phone) sont exclues de la réglementation.

Extension des dispositions concernant la protection
des données

Les dispositions concernant la protection des données du RGPD ne sont pas en contradiction avec les exigences PSD2 optant pour une authentification forte du client.

Elles constituent bien plus une condition préalable pour le traitement sécurisé de ce type de données de transactions. C’est au commerçant de décider au final quelles données facultatives devraient être envoyées à l’émetteur afin d’évaluer le risque. L’important étant d’informer l’acheteur dans la déclaration de protection des données ou dans les conditions générales quant à l’éventuelle utilisation de ces données et quant à la finalité de leur traitement.

Souvent il s’agit des données personelles qui sont à protéger conformément au RGPD. Les directives concernant la protection de telles données doivent donc être strictement suivies. Par contre, la responsabilité du traitement des données biométriques incombe uniquement à l’émetteur.

Que faut-il faire?

  • Les commerçants sans contrat 3-D Secure sont tenus de prendre contact avec leurs acquéreurs, de vérifier leur contrat et, si besoin, de le modifier.
  • Les commerçants qui offrent des processus de paiement par carte initiés par le client via la page de paiement Datatrans sont tenus d’utiliser 3-D Secure.
  • Les commerçants offrant un processus de paiement initié par le client basé entièrement sur une API server-to-server (par ex. One-Click Check-out) sont également tenus de passer sur l’interface web de la page de paiement Datatrans et d’utiliser 3-D Secure.
  • Dans le cas des transactions initiées par le commerçant, 3-D Secure est uniquement nécessaire lors de l’enregistrement initial de la carte. Le propriétaire de la carte doit impérativement donner son accord. Les transactions ultérieures initiées par le commerçant ne requièrent plus d’authentification forte du client.
  • Extension des dispositions de protection des données: les commerçants doivent informer dans leurs déclarations de protection des données ou dans leurs conditions générales de utilisation des données 3-D Secure 2 ainsi que de leurs objectif.

Infos

Vous trouverez des informations supplémentaires concernant PSD2 et 3-DS 2 sur:

https://docs.datatrans.ch/docs/psd2-and-sca
https://docs.datatrans.ch/docs/3ds2-onboarding/

https://eur-lex.europa.eu/
https://www.emvco.com/

Datatrans vous informe régulièrement par rapport aux développements dans les domaines du PSD2 et en particulier de 3-DS 2..

Vous avez des questions concernant ces sujets? Contactez-nous à l’adresse email suivante: [email protected]