Gérer les évolutions réglementaires afin que vous n’ayez qu’à vous concentrer sur votre activité principale (la vente) est l’un des engagements fondamentaux d’un partenaire de paiement. De plus, l’obtention de certificats et d’agréments qui en découlent, vous assure une plateforme de paiement ultra sécurisée et à la pointe des dernières évolutions pour vous protéger vous, et vos clients. Possédant déjà de nombreux agréments, Lyra obtient désormais la certification 3DS2 pour Diners.

Les certifications et agréments de Lyra

Pour vous garantir un service optimal sur l’ensemble des moyens de paiement, de nombreuses certifications sont nécessaires. Ces certifications sont délivrées suite à d’importants tests unitaires et un audit approfondi, par des autorités référentes en fonction du moyen de paiement.

• Agrément PCI DSS 3.2
• Certificat 3DS V2 (EMVCo, Visa, MAstercard, CB, Amex, Diners)
• Agrément ACPR (Banque de France)
• Certificat Visa Merchant Agent
• Certificat GIE CB
• MasterCard SecureCode
• Certificat Diners protectbuy 2
• Certificat AMEX Safekey 2

 

 

Le protocole d’authentification 3DS2 a été généralisé le 15 mai. Lyra se prépare depuis plus de 2 ans à ce changement pour vous accompagner dans la mise en place de cette évolution réglementaire. Fort de notre expertise, nous avons souhaité répondre à vos questions lors d’une table ronde animée par nos experts 3DS. Voici les questions qui ont été le plus posées et leurs réponses.

Où en est Lyra sur le 3DS2 ?

– 97% de clients migrés en 3DS2

– Authentification 3DS2 CB Fast’r (1 au 15 avril), Lyra c’est :

• 50% des contrats commerçants actifs sur Fast’r
• 25% des volumes sur Fast’r
• 88% de taux de succès à l’authentification

-Amélioration du taux d’acceptation entre 3DS2 et 3DS1 : +2 à 3% ! 

Les futures évolutions

-CB2A 1.6

– Chainage MIT

– Authentification sur le montant global d’un abonnement ou N fois

– 3DS2.2

Que dois-je faire et comment Lyra m’accompagne ?

Lyra fait le maximum pour que cette migration soit transparente et la plus facile pour vous. En effet, Lyra s’occupe de :

• La mise à disposition d’une solution 3DS V2 développée en interne, avec une totale maîtrise et agréée par l’ensemble des schèmes cartes
• La mise à jour des protocoles avec les organismes acquéreurs
• L’enrôlement des contrats aux programmes 3DS2
• L’enrichissement des interfaces afin que vous ayez des explications claires (version du 3DS utilisé, le type de cryptogramme, le traitement du soft decline…)
• L’activation automatique du 3DS2
• Enrichissement de l’onglet « 3D Secure » sur votre Back Office pour avoir tous les détails sur l’authentification réalisée

[button href= »https://www.lyra.com/fr/guides/nouvelle-version-de-longlet-3d-secure/ » class= »aligncenter is-thin-orange »]L’onglet « 3D Secure »[/button]

Comment demander le frictionless ?

Afin de demander le frictionless, il y a plusieurs possibilités :

• Lors de l’appel du paiement, vous pouvez préciser votre préférence sur le mode d’authentification
• Lors de la création des ordres de paiement

À savoir : la demande de débrayage 3DS1 se transforme en demande de frictionless lorsque la carte est compatible 3DS V2. Enfin, la préférence par défaut est « No Preference ».

Quels sont les cas d’exemptions ?

La demande de Frictionless doit être motivée par un motif d’exemption. En effet, la DSP2 demande une authentification obligatoire sauf si un motif d’exemption peut s’appliquer. Une exemption est donc obligatoire pour demander une authentification dite frictionless.

Voici un tableau qui résume les cas d’exemptions possibles :

 

Quel impact sur le Liability Shift ?

Le 3DS V2 permet d’avoir la garantie de paiement sauf dans 1 cas : si vous faites une demande de frictionless et qu’elle est acceptée par l’émetteur. Dans ce cas là, vous perdez le transfert de responsabilité.

Comment faciliter l’authentification frictionless?

Pour que votre taux de frictionless soit le plus élevé possible, il est important de transmettre des données. Les informations transmises facilitent la qualification du niveau de risque. Les données importantes sont :

• Des données sur l’acheteur : adresse email, nom, prénom, numéro de téléphone …
• Mais aussi des données panier : nombre d’article …
• Des données de livraison et de facturation : l’adresse par exemple
• Ou encore des données sur le moyen de paiement

L’envoi de données supplémentaire favorise l’obtention d’une authentification frictionless.

La migration 3D Secure 2 est un sujet assez complexe et en constante évolution depuis quelques mois. De quoi être un peu perdu n’est-ce pas ? Mais Lyra pense à vous !  Alors, voici un résumé de toutes les informations utiles sur la migration 3D Secure 2. Prêt ? 3, 2, 1, Go !

Un petit rappel sur l’authentification 3D Secure 2

La DSP2 est une directive européenne concernant les services de paiement. Elle a pour but de protéger l’ensemble des acteurs du paiement les banques, les prestataires de paiement, les acheteurs et les marchands contre la fraude. Suivant la réglementation DSP2, l’authentification 3DSecure 2 doit être mise en place pour les paiements en ligne. Grâce à la transmission de données, l’authentification 3D Secure 2 permet à la banque émettrice  de vérifier l’identité de l’acheteur, sans aucune interaction avec celui-ci. En cas de doute (fraude, risque), une interaction du client sera demandée afin de réaliser une authentification forte de celui-ci. Une authentification est considérée forte à partir du moment où elle utilise deux facteurs parmi (ce que je connais, ce que je sais et ce que je suis).

En savoir plus sur la DSP2 et l’authentification 3D Secure 2. 

Les objectifs de la migration 3D Secure 2

• Proposer des solutions fiables et sécurisées
• Lutter contre la fraude
• Diminuer les taux d’impayés
• Proposer un parcours d’achat plus fluide
• Augmenter le taux d’acceptation

En savoir plus sur les normes à respecter et les objectifs du 3D Secure 2. 

Le déroulé de la migration 3D Secure 2

La migration est en cours depuis septembre 2020 et est déjà bien avancée. Elle se met en place progressivement par palier. On parle des paliers de soft decline qui rendent l’authentification obligatoire au-dessus d’un certain montant qui évolue dans le temps. Le soft decline permet aux banques des acheteurs de refuser un paiement si ce dernier n’est pas 3D Secure (version 1 ou 2) en indiquant que celui-ci peut être retenté avec une authentification.

Chez Lyra, si une demande de paiement est refusée par la banque de l’acheteur avec un soft decline, une nouvelle tentative est émise automatiquement avec cette fois-ci une demande d’authentification forte.

En plus d’éviter l’abandon de panier, vous obtenez une garantie sur le paiement (si les conditions d’authentification sont remplies et la demande de paiement acceptée bien sûr !).

La migration étant déjà en cours, elle a pu ouvrir la possibilité aux banques des acheteurs de refuser un paiement si ce dernier n’est pas 3D Secure (version 1 ou 2). C’est ce que nous appelons le soft decline. Son but est d’éviter une augmentation brutale des paiements refusés en migrant par étape les paiements vers ce nouveau protocole.

Date cible : 15 juin2021 / L’ensemble des paiements en ligne en France devront être conformes à la DSP2 et faire l’objet d’une authentification 3DS.

En savoir plus sur le calendrier de migration et le retry automatique proposé par Lyra. 

Qu’est-ce-qui va réellement changer ?

La grande nouveauté du 3DSecure 2 est l’introduction d’un parcours de paiement en mode Frictionless (sans interaction avec le client final). L’authentification 3D Secure 2 permet à la banque émettrice de vérifier l’identité de l’acheteur grâce aux données véhiculées et permet de fluidifier le parcours de paiement.

Lorsqu’un acheteur effectue un paiement avec 3D Secure 2, deux cas pourront survenir :

• L’authentification sera faite sans interaction du porteur de la carte car via les données transmises pendant l’authentification l’émetteur pourra estimer le risque sur la transaction et décider d’exempter l’acheteur d’une authentification interactive (Frictionless). Pour pouvoir se faire en mode Frictionless le paiement devra être éligible à une exemption à l’authentification forte (petits montants inférieurs à 30€, Analyse de risque émetteur ou acquéreur, bénéficiaire de confiance…)
• L’authentification exigera une interaction du porteur de la carte. On parle ici d’authentification forte SCA (Strong Customer Authentication). Une authentification est considérée comme forte si deux des trois différents facteurs d’authentification sont mis en œuvre:
  • • Possession: un objet que le client possède (comme un téléphone pour le paiement eCommerce ou la carte bancaire pour le paiement en magasin)
    • Connaissance: donnée que seul le client connaît (comme un mot de passe),
    • Caractéristique personnelle : élément biométrique caractérisant le client (comme une empreinte digitale, reconnaissance vocale ou reconnaissance faciale)

Enfin, l’un des avantages de l’authentification 3D Secure 2 par rapport au 3D Secure est qu’il n’y a pas de redirection (pour une authentification). La redirection vers une page d’authentification qui était source d’abandon du paiement est revue. L’authentification sera faite désormais en mode Pop In (fenêtre qui s’ouvre sur le navigateur de l’acheteur). On parle alors d’un parcours de paiement en Challenge.

En savoir plus sur le parcours de paiement en frictionless et challenge. 

Que devient le 3DS Sélectif avec le 3DS2 sur notre plateforme

La version du 3DS2 ne permet plus de désactiver la demande d’authentification. Pour autant le protocole 3DS2 vous permet d’exprimer une préférence sur le mode d’authentification souhaité et en particulier vous permet de demander un paiement sans authentification forte (Frictionless) sous réserve que votre offre inclut cette possibilité. Cette préférence sera ou non acceptée par la banque qui a émis la carte.

Si vous demandez la désactivation du 3DS pour certaines transactions lors de l’appel du paiement, dans un module de paiement ou dans le module des risques avancé :

• Si le paiement n’est pas éligible à l’authentification 3DS2 car la carte ne supporte pas ce standard et donc se fait en 3DS1 alors notre plateforme de paiement effectue la demande d’autorisation sans authentification forte (le 3DS est désactivé).
  Dans le cas où l’autorisation est refusée au motif d’un paiement non 3DS (SoftDecline code retour 81 que vous pouvez retrouver dans le back-office),  la plateforme de paiement effectue automatiquement à nouveau la demande de paiement avec une authentification 3DS1. L’acheteur sera alors invité à s’authentifier. Ce processus vous permet d’augmenter de manière significative votre de taux de conversion.
• Si la carte est compatible avec le protocole 3DS2 alors notre plateforme de paiement transmet votre préférence de désactivation du 3DS (demande de Frictionless) s’il est possible d’appliquer une exemption.

2 cas possibles:
-la banque refuse votre demande de frictionless, le paiement est donc réalisé avec une demande d’authentification forte
-la banque accepte votre demande de frictionless, le paiement est réalisé sans demande d’authentification forte et sans transfert de responsabilité.

Les cas d’exemptions à l’authentification forte

La deuxième Directive sur les services de paiement (ou DSP2) impose l’authentification forte pour les paiements lorsque l’acheteur est présent lors de l’achat mais prévoit aussi des cas pour lesquels l’interaction avec l’acheteur (le challenge) n’est pas obligatoire. Pour bénéficier d’une authentification passive (frictionless), le paiement doit être éligible à une exemption. Voici les cas prévus par la DSP2.

En savoir plus sur les cas d’exemptions et les conseils de Lyra.

Qu’avez-vous à faire et comment Lyra vous aide

IMPORTANT : Cette migration est transparente dans beaucoup de cas : Lyra s’occupe de tout ! De plus, cette migration permettra d’augmenter votre taux d’acceptation et non le contraire ! Il s’agit d’une migration évolutive en faveur des commerçants. Si vous voulez en savoir plus, n’hésitez pas à consulter notre article sur je sujet.

Lyra fait le maximum pour que cette migration soit transparente et la plus facile pour vous. En effet, Lyra s’occupe de :

• La gestion des mises à jour de manière transparentes pour vous, afin d’améliorer vos chances de frictionless
• La mise à jour des protocoles avec les organismes acquéreurs
• L’enrôlement des contrats au programme 3DS2
• Enrichissement des interfaces afin que vous ayez des explications claires (version du 3DS utilisé, le cas d’attempt, le traitement du soft delcine…)
• L’activation du 3DS automatique
• La mise à disposition de modules explicatifs
• …

A savoir : Sur l’ensemble de nos transactions 3DS*, plus de 96% sont réalisées avec le 3DS2. Avec celui-ci, nous constatons un meilleur taux d’acceptation de +2% au global.

*hors paiement manuel et récurrent

À partir du 15 mai 2021, l’ensemble des paiements en ligne devra respecter le protocole 3D Secure 2.

Pour rappel, lors d’un paiement, ce protocole vise à donner la responsabilité à la banque de l’acheteur de déclencher une authentification forte ou de l’exempter de cette étape (c’est ce qu’on appelle le frictionless ou l’absence d’interaction nécessaire avec l’acheteur). Son objectif est de réduire le taux de fraude en e-commerce, jusque-là 10 fois plus important qu’en paiement de proximité.

À cette date, toutes les demandes de paiement des commerçants qui ne seront pas en règle seront refusées. Une perte considérable de chiffre d’affaires pour les non-avertis !

Et vous, êtes-vous prêt ?

Si vous êtes client Lyra, sûrement ! Cela fait plus de 2 ans que nous œuvrons pour que tous nos clients migrent sans effort vers ce nouveau protocole. Paiement par redirection ou embarqué sur votre site, vous n’avez rien à faire ! Lyra gère pour vous la complexité des échanges 3DS entre acquéreurs (banques).

SoftDecline : attention de ne pas se laisser surprendre !

En date du 31 mars, l’ensemble des acteurs du paiement devra donc se conformer aux nouvelles dispositions réglementaires. Cependant, la migration étant déjà en cours, elle a pu ouvrir la possibilité aux banques des acheteurs de refuser un paiement si ce dernier n’est pas 3D secure (version 1 ou 2), c’est ce que nous appelons le soft decline.

Son but est d’éviter une augmentation brutale des paiements refusés en migrant par étape les paiements vers ce nouveau protocole. À ce jour, les paiements d’un montant supérieur à 500€ sont déjà concernés. En ce qui concerne les paiements inférieurs à 500€, la banque de l’acheteur n’a pas à imposer l’authentification forte si le marchand n’en fait pas la demande lors de l’appel.

15 mars 2021 : 250 euros

15 avril 2021 : 100 euros

Date cible théorique devant encore être confirmée  : 15 mai 2021

Le retry automatique : l’outil indispensable pour limiter les abandons de panier

Si vous avez, comme de nombreux e-commerçants, encore le 3D secure désactivé totalement ou partiellement sur votre site en attendant d’être 3D secure Ready, vous vous exposez à un risque d’augmentation de refus de paiement dès maintenant.

En effet, le plafond de 500€ va rapidement diminuer et complexifier votre gestion. C’est pourquoi Lyra met à votre disposition un système de retry automatique, vous permettant de mettre cette période de soft decline à profit afin d’être prêt pour le 31 mars. Et ce, sans impact sur votre chiffre d’affaires ni votre taux d’abandon de panier ! 

Chez Lyra, si une demande de paiement est refusée par la banque de l’acheteur car elle ne contient pas une demande d’authentification forte, une nouvelle tentative est émise automatiquement avec cette fois-ci une demande d’authentification.

En plus d’éviter l’abandon de panier, vous obtenez une garantie sur le paiement (si les conditions d’authentification sont remplies et la demande de paiement acceptée bien sûr !).

Et nos efforts ne s’arrêtent pas là !

Le leitmotiv de Lyra est de mettre toutes les chances de votre côté pour que vous optimisiez votre taux de conversion.

Un TRA (Transaction Risk Analysis) en dessous des seuils

Les cas d’exemptions permettant un parcours frictionless ont été clairement définis dans le cadre de la DSP2.

Vous devez porter une attention toute particulière sur l’exemption liée au TRA (Transaction Risk Analysis). Cette dernière implique de choisir une banque ou établissement de paiement partenaire de qualité ayant un taux de fraude très bas. Une chance pour votre client de bénéficier d’une authentification sans interaction avec sa banque (émettrice de la carte) lors du paiement (frictionless). A savoir qu’il appartient aux émetteurs (banques) d’interpréter cette donnée et à ce jour en France cela reste des cas isolés.

Une richesse de données pour suivre vos garanties de paiement

En plus de proposer le retry automatique, Lyra vous donne une visibilité totale et de nombreux détails sur le déroulement de chaque transaction. Il vous est donc facilement possible de connaitre le statut de votre garantie sur un paiement (si ce dernier a bénéficié du retry automatique par exemple ou bien pourquoi il a été refusé).

Des infos essentielles pour vous assurer un passage maîtrisé vers la généralisation du protocole 3D secure2.

Relire notre article sur le détail d’une transaction 3D secure

Petit rappel du contexte : Avec l’arrivée plus qu’imminente du 3DS2, le Security Standards Council a mis en place une norme spécifique pour garantir l’intégrité et la confidentialité du processus de transaction 3DS. Après l’audit mené par nos équipes et une agence de certification autour de notre agrément PCI DSS, nous pouvons ajouter, pour la 2^ème année consécutive, le certificat PCI 3DS à notre mur d’agréments !

Des enjeux différents mais complémentaires pour tous les acteurs du paiement

Indispensables à nos collaborateurs émetteurs de cartes, acquéreurs ou pour nos précieux commerçants, posséder ce certificat vous garantit à tous notre engagement dans la sécurité de vos transactions. Grâce à Lyra, vous ajoutez au parcours de paiement : la haute sécurité, l’authentification forte en cas de doute, une réduction considérable des fraudes ou des tentatives de blanchiment d’argent, des taux d’impayés grandement revus à la baisse et bien sûr, un parcours d’achat optimal !

Une solution de paiement certifiée, oui mais pourquoi ?

Cette norme PCI 3DS définit les exigences de sécurité physique et logique pour la protection des environnements transactionnels. Choisir une solution de paiement Lyra c’est donc garantir la confidentialité des données d’authentification en améliorant la sécurité globale des paiements en ligne. Cette tranquillité transactionnelle vous permettra de consacrer plus d’énergie à de nouvelles envie de développement.