- Directives d'intégration
- Conformité et dispenses SCA PSD2
- Hosted Checkout Intégration pour la directive SCA PSD2
Hosted Checkout Intégration pour la directive SCA PSD2
Cette page décrit l'effort d'intégration pour prendre en charge la conformité et les dispenses SCA PSD2 pour une intégration Hosted Checkout. Avant de procéder à la création de votre intégration, il est recommandé de vous familiariser avec la conformité et les dispenses SCA PSD2.
Exonérations prises en charge
La passerelle prend actuellement en charge les dispenses suivantes :
- Risque faible
- Faible valeur
- Liste blanche
- Paiements récurrents
- Paiements d'entreprise sécurisés
Conditions préalables
Pour vous conformer aux obligations de SCA PSD2, vous devez ajouter la prise en charge de l'authentification 3-D Secure à Hosted Checkout.
Pour utiliser la fonctionnalité de dispenses SCA PSD2 via la passerelle :
- Votre profil de commerçant doit être activé et configuré pour les dispenses PSD2 si vous voulez que votre your payment service provider les utilise.
- Vous ne devez configurer aucune règle de filtrage de transaction 3-D Secure.
- Vous devez avoir une intégration Hosted Checkout avec la passerelle pour l'authentification 3DS2.
- Vous devez soumettre la demande Create Checkout Session (Créer une session de paiement) pour initier l'interaction Hosted Checkout en utilisant la version 57 ou une version ultérieure.
Vous devez soumettre autant d'informations sur le payeur et la transaction que possible lorsque vous initiez l'authentification. Cela augmentera la probabilité qu'une dispense soit accordée ou appliquée par l'émetteur.
Demander l'authentification du payeur
Si vous souhaitez Hosted Checkout authentifier le payeur (sans demander de dispense), vous n'avez pas besoin d'apporter de modifications à votre intégration Hosted Checkout existante avec la prise en charge de l'authentification 3-D Secure. Si la SCA PSD2 s'applique à la transaction, l'émetteur présentera au payeur le flux d'authentification 3DS ou appliquera une dispense émetteur où le payeur connaîtra un flux de paiement sans friction.
Dans les deux cas, la passerelle ajoutera automatiquement les détails de l'authentification fournis par l'émetteur dans la réponse d'authentification à la demande de paiement soumise à l'acquéreur pour traitement.
Demander une dispense lors de la demande d'authentification du payeur
Vous pouvez demander une dispense en ajoutant le champ authentication.psd2.exemption
à la Create Checkout Session (Créer une session de paiement) avec l'une des valeurs suivantes :
- LOW_RISK
- LOW_VALUE_PAYMENT
- SECURE_CORPORATE_PAYMENT
Si vous n'êtes pas activé pour la dispense demandée, la demande est traitée comme si vous n'aviez pas demandé de dispense. L'émetteur peut :
- accorder la dispense que vous avez demandée,
- appliquer une dispense émetteur ou
- refuser la dispense que vous avez demandée et ne pas appliquer de dispense émetteur.
Un traitement spécial est appliqué si votre acquéreur ou le système ne prend pas en charge les dispenses.
Scénario | Description |
---|---|
L'émetteur accorde une dispense acquéreur | Si l'émetteur accorde la dispense que vous avez demandée,
|
L'émetteur applique une dispense émetteur | Si l'émetteur applique une dispense émetteur,
|
L'émetteur n'accorde ni n'applique de dispense | Si l'émetteur n'a pas accordé la dispense que vous avez demandée et n'a pas appliqué de dispense pour émetteur,
|
L'acquéreur ne prend pas en charge les dispenses PSD2 | Si l'acquéreur (qui sera ensuite utilisé pour traiter le paiement) ne prend pas en charge les dispenses PSD2, la passerelle traitera l'authentification comme si aucune dispense n'était demandée,
|
Dispenses PSD2 non prises en charge pour ce système | La demande de dispense lors de l'authentification n'est actuellement prise en charge que pour Mastercard et Visa. Si la passerelle ne prend pas en charge les demandes de dispenses PSD2 pour un système, elle continuera sans exécuter d'authentification 3DS et demandera automatiquement la dispense lors de la soumission du paiement pour traitement avec l'acquéreur. |
Demander une exonération lors de la soumission d'un paiement
Hosted Checkout ne prend pas en charge le contournement de l'authentification 3DS et la demande de dispense sur le paiement. Vous pouvez contourner l'authentification 3DS en soumettant interaction.action.3DSecure=BYPASS
dans la demande Create Checkout Session (Créer une session de paiement). Cependant, si l'émetteur n'accorde pas la dispense et n'applique pas de dispense émetteur, le paiement échouera. Hosted Checkout n'effectue pas l'authentification 3DS lorsque le paiement échoue en raison de l'absence d'authentification du payeur requise par l'obligation SCA PSD2. Une page sera présentée au payeur lui indiquant que le paiement n'a pas abouti.
Utiliser la passerelle pour l'authentification uniquement
Hosted Checkout ne prend pas en charge l'authentification du payeur uniquement, sans procéder au paiement. Si vous souhaitez utiliser la passerelle pour une authentification uniquement, vous devez utiliser l'intégration Web-Services API.
Liste blanche
Hosted Checkout ne permet pas de demander à l'émetteur de proposer au payeur de vous ajouter à sa liste blanche (pour la carte). Cependant, si vous savez que le payeur vous a mis sur liste blanche, vous pouvez demander l'application de la dispense pour liste blanche en ajoutant authentication.psd2.exemption=WHITELISTED_MERCHANT
à la demande Create Checkout Session (Créer une session de paiement).
L'émetteur validera que le payeur vous a mis sur liste blanche et :
- accordera la dispense (flux sans friction pour le payeur) et retournera les détails de l'authentification pour une authentification réussie, ou
- n'accordera pas la dispense et présentera le flux d'authentification au payer.
Si le payeur vous a mis sur liste blanche et que vous procédez au paiement sans authentifier le payeur, l'émetteur peut accorder la dispense ou rejeter la demande de transaction.
Paiements initiés par le commerçant
Si vous devez vous conformer aux obligations SCA PSD2, vous ne pouvez pas utiliser Hosted Checkout pour un paiement initié par le titulaire de carte dans un ensemble de paiements initiés par le commerçant (y compris des paiements récurrents avec un montant fixe). Pour ces paiements, vous devez imposer l'authentification du payeur avec l'authentification 3DS. Cependant, Hosted Checkout ne fournit actuellement pas de prise en charge pour imposer l'authentification 3DS — le champ authentication.challengePreference
ne peut pas être indiqué sur la demande Create Checkout Session (Créer une session de paiement).
Test de votre intégration
Vous pouvez tester votre intégration à l'aide de votre profil de commerçant de test (votre identifiant de commerçant préfixé par « TEST »). Les sections suivantes fournissent des détails sur les numéros de carte de test qui peuvent être utilisés pour déclencher une réponse spécifique.
Pour déclencher une réponse indiquant que l'émetteur a accordé une dispense que vous avez demandée :
- Soumettez une demande Create Checkout Session (Créer une session de paiement) avec les éléments suivants :
Pour une API dont la version est supérieure à 63, utilisez l'opération d'API Initiate Checkout Session (Lancer une session de paiement) plutôt que Create Checkout Session (Créer une session de paiement).
apiOperation
=CREATE_CHECKOUT_SESSION
authentication.psd2.exemption
défini sur l'une des valeurs suivantes :
LOW_RISK
LOW_VALUE_PAYMENT
SECURE_CORPORATE_PAYMENT
- Lors de l'interaction SRC, sélectionnez l'une des cartes de test suivantes : 5506900140100107 (Mastercard), 4532249999999388 (Visa)
- Cela se traduira par une commande avec une transaction d'authentification avec :
authentication.psd2.exemption
défini avec la valeur indiquée dans la demande, c'est-à-dire l'une des valeurs suivantes :
LOW_RISK
LOW_VALUE_PAYMENT
SECURE_CORPORATE_PAYMENT
transaction.authenticationStatus=AUTHENTICATION_EXEMPT
response.gatewayRecommendation=PROCEED
response.gatewayCode=APPROVED
order.status=AUTHENTICATION_NOT_NEEDED
authentication.3ds2.transactionStatus=N
(Mastercard) ouN
(Visa)authentication.3ds2.statusReasonCode=81
(Mastercard uniquement)authentication.3ds2.statusReasonCode=89
(Visa uniquement)authentication.3d.acsEci=06
(Mastercard) ou07
(Visa)authentication.3ds.authenticationToken
- La transaction Authorize (Autoriser) ou Pay (Payer) sur cette commande sera traitée avec succès.
Questions fréquentes
J'ai déjà une intégration avec la passerelle pour l'authentification 3DS1. Suis-je conforme à l'obligation de SCA PSD2 ?
Si vous avez une intégration existante avec la passerelle à l'aide de l'API héritée pour l'authentification 3DS1 de la passerelle, vous devez passer à l'authentification 3-D Secure EMV, puis suivre les étapes d'intégration décrites sur cette page.
L'authentification 3DS 1 n'est considérée comme conforme à l'obligation de SCA PSD2 que si l'émetteur envoie un mot de passe à usage unique sur le téléphone du payeur lors de l'authentification de ce dernier, et non lorsque l'émetteur attribue un mot de passe statique au payeur.
Tous les émetteurs n'utilisant pas des mots de passe à usage unique, il n'est pas recommandé de se fonder sur l'authentification 3DS1 si vous êtes tenu de vous conformer à l'obligation SCA PSD2.
J'ai des ententes de paiement existantes pour les paiements récurrents ou d'autres paiements initiés par le commerçant. Dois-je à nouveau effectuer l'authentification du payeur pour toutes mes ententes ?
Vous n'avez pas besoin d'authentifier à nouveau le payeur pour une telle entente. Les systèmes ont des règles pour la période de transition.
Comment procéder si j'utilise une session et que la session contient une dispense, mais que le paiement a été refusé par l'émetteur car il n'est pas conforme à la SCA PSD2 ?
Lorsque la commande comporte un paiement qui a été rejeté par l'émetteur, la passerelle ignorera la dispense figurant dans la session car le paiement n'est pas conforme à la SCA PSD2. Par conséquent, il n'est pas nécessaire de retirer la dispense de la session avant d'effectuer l'authentification 3DS pour la commande et de soumettre à nouveau le paiement.
Comment puis-je rechercher et afficher les détails de la dispense PSD2 pour les commandes et les transactions dans Merchant Administration ?
Lors de la recherche d'une commande ou d'une transaction dans Merchant Administration via la recherche de commandes et de transactions, vous pouvez utiliser le terme de recherche suivant :
- « Statut d'authentification du payeur » : « Authentification réussie » pour trouver toutes les commandes authentifiées avec succès.
- « Statut d'authentification du payeur » : « Dispensé d'authentification » pour trouver toutes les commandes pour lesquelles une dispense a été demandée ou appliquée.
Le statut d'authentification de la commande est affiché sur la page Détails de la commande et de la transaction dans Merchant Administration dans le champ « Statut d'authentification du payeur » dans la rubrique « Détails de l'authentification du payeur ». Le champ aura la valeur « Dispensé d'authentification » si une dispense a été demandée ou appliquée à la commande.
Le statut d'authentification de la transaction est affiché sur la page Détails de la commande et de la transaction dans Merchant Administration dans la rubrique « Transactions ». Sélectionnez « Afficher » pour la transaction que vous souhaitez voir. Le champ « Authentification du payeur - statut d'authentification » aura la valeur « Authentification exemptée » si une dispense a été demandée ou appliquée à la transaction.