Choisir une méthode d'intégration
Pour accepter les paiements de vos payeurs à l'aide de American Express Payment Gateway, vous devez sélectionner une méthode d'intégration. Ces méthodes vous permettent de recueillir les détails du paiement auprès du payeur et de créer les transactions nécessaires à la gestion du cycle de vie complet de la commande, depuis l'initiation d'un paiement unique avec la participation du payeur jusqu'à l'exécution de paiements récurrents et l'octroi de remboursements, le cas échéant.
Les principales méthodes d'intégration sont les suivantes :
- Hosted Checkout
Cette intégration comprend une interface utilisateur (IU) de page de paiement hébergée par la passerelle. La passerelle fournit l'IU pour recueillir tous les détails du paiement directement auprès du payeur, de sorte que vous n'avez pas besoin de manipuler des données sensibles PCI (Payment Card Industry). Cette solution est à la fois sûre et rapide à déployer, mais comme elle utilise une interface utilisateur prédéfinie, elle limite votre capacité à contrôler l'expérience de l'utilisateur.
- Hosted Session
Cette intégration vous permet de définir votre propre page de paiement pour recueillir les détails du paiement auprès du payeur. Toutefois, pour minimiser les coûts de conformité PCI, la page de paiement doit utiliser des champs hébergés par la passerelle. Ainsi, la passerelle recueille directement les données de paiement et vous n'avez pas besoin de les gérer. Cette solution est plus avancée que la solution Hosted Checkout et vous permet de contrôler totalement l'expérience utilisateur. Si vous souhaitez proposer votre solution de paiement à vos payeurs sous forme d'application mobile, vous pouvez utiliser Mobile SDK pour implémenter l'intégration Hosted Session pour une application.
- Web-Services API
Cette intégration vous donne un contrôle total sur la page de paiement et l'expérience utilisateur. Vous collectez vous-même les données de paiement auprès du payeur et vous les stockez. Cette solution est la plus avancée et la plus lente à déployer, mais elle permet une implémentation des scénarios complexes.
Vous devez implémenter l'une des méthodes d'intégration ci-dessus, car elles vous permettent d'implémenter des transactions initiées par le titulaire de la carte qui nécessitent la participation active du payeur (pour autoriser le paiement que vous souhaitez créer).
Si votre processus commercial nécessite la mise en batch d'opérations en vrac, par exemple CAPTURES (Collectes) ou TOKENIZE (Segmenter en jetons), l'intégration Batch est disponible. Cela vous permet d'envoyer un grand nombre de transactions à la passerelle dans un batch basé sur des fichiers. Gardez à l'esprit que la solution Batch est généralement plus lente que la solution API, les opérations étant traitées avec une priorité moindre et le fichier entier devant être téléchargé et analysé avant que le traitement ne commence et que les résultats ne soient téléchargés.
Comparaison des méthodes d'intégration
Le tableau suivant répertorie quelques-unes des différences essentielles entre les principales méthodes d'intégration, afin de vous permettre de choisir plus facilement la méthode qui répond à vos besoins spécifiques.
| Fonctionnalité | Hosted Checkout | Hosted Session | Web-Services API |
|---|---|---|---|
| Champ d'application cible de la conformité PCI | Conforme au questionnaire SAQ-A | Conforme au questionnaire SAQ-A | Conforme au questionnaire SAQ-A |
| Utilisation de l'API |
|
API du serveur REST | |
| Effort de développement |
|
|
|
| Personnalisation de la page de paiement |
|
|
Contrôle total de l'interface utilisateur, du flux et de l'expérience utilisateur |
Conformité PCI
PCI est un ensemble de normes de sécurité conçues pour protéger les données sensibles des cartes de paiement. Les commerçants qui gèrent les paiements par carte utilisent un questionnaire d'auto-évaluation (SAQ) pour évaluer leur conformité aux normes PCI :
- Le questionnaire SAQ-A est le questionnaire SAQ le plus simple et la plus basique. Cela signifie que le commerçant a confié l'ensemble du traitement des données des titulaires de cartes à un prestataire de services tiers conforme à la norme PCI DSS (PCI Data Security Standard), en l'occurrence American Express Payment Gateway. Les commerçants conformes au questionnaire SAQ-A ne peuvent pas stocker, traiter ou transmettre les données des titulaires de carte. Ils peuvent gérer les paiements du commerce électronique et des commandes par courrier/téléphone (MOTO). Si vous êtes conforme au questionnaire SAQ-A, vous devez sélectionner la méthode d'intégration Hosted Checkout ou Hosted Session.
- Le questionnaire SAQ-D est un questionnaire SAQ plus complet, adapté aux entreprises plus grandes et plus complexes qui doivent gérer différents types de paiements. Les commerçants conformes au questionnaire SAQ-D peuvent stocker, traiter et transmettre les données des titulaires de carte sont tenus de prendre les mesures de sécurité nécessaires pour protéger les données des titulaires de carte qui leur sont confiées. Si vous êtes conforme au questionnaire SAQ-A, vous pouvez sélectionner la méthode d'intégration Web-Services API.
La passerelle n'impose pas de conformité PCI spécifique. Votre prestataire de services de paiement (PSP) et vos acquéreurs déterminent le type de conformité qu'ils attendent de vous, et la passerelle propose simplement différentes méthodes d'intégration pour vous aider à répondre à ces attentes. La prise en charge de la conformité aux questionnaires SAQ-A et SAQ-D est disponible pour les intégrations d'API et la gestion des transactions via l'interface utilisateur Merchant Administration.
Si vous devez être conforme au questionnaire SAQ-A, votre prestataire de services de paiement doit l'activer dans votre configuration de commerçant (soit pour l'API, l'UI, ou les deux) :
- Si la conformité au questionnaire SAQ-A a été activée pour l'interface utilisateur, la passerelle désactive les écrans de saisie des commandes, vous empêchant de créer des commandes MOTO (courrier/téléphone) en saisissant les détails de la carte.
Votre Your payment service provider peut également vous mettre en conformité au questionnaire SAQ-A dans l'interface utilisateur, tout en vous donnant la possibilité de ne pas respecter cette conformité à des fins spécifiques. Dans ce cas, vous pouvez activer le privilège Afficher les identifiants de compte non masqués pour les opérateurs que vous avez créés dans Merchant Administration. Cependant, l'octroi de ce privilège à un opérateur rompt la conformité au questionnaire SAQ-A.
- Si la conformité au questionnaire SAQ-A a été activée pour l'API, la passerelle rejette les transactions qui contiennent directement des données sensibles pour le titulaire de la carte, telles que le numéro de la carte. Vous devez plutôt inclure un conteneur pour les données du titulaire de la carte, tel qu'une session de paiement ou un jeton. La passerelle masque également tout PAN (Primary Account Number) dans la réponse à la transaction. Si vous utilisez l'intégration Batch, tous les batches contenant des PAN non masqués sont rejetés. Si vous demandez à ce que les PAN soient renvoyés non masqués dans la réponse, la passerelle renvoie une erreur afin d'appliquer la conformité au questionnaire SAQ-A.
Si vous avez besoin de pouvoir visualiser les PAN non masqués, contactez votre prestataire de services de paiement pour discuter de vos options.