3DS2 : quels impacts pour les intégrateurs de solutions e-commerce ?

Nous vivons dans une ère dans laquelle les paiements en ligne sont de plus en plus utilisés. Pour répondre aux problématiques de sécurité, la Directive sur les services de paiement DSP2 en application depuis le 13 janvier 2018, impose de nouvelles normes aux différents acteurs de l’e-commerce.

L'authentification via 3DS sera remplacée par la nouvelle norme 3DS2 et deviendra obligatoire sur les sites e-commerce à partir du 14 septembre 2019 en Europe, et en 2020 pour le reste du monde. Quels sont les impacts de ces nouvelles normes pour les intégrateurs de solutions e-commerce ?

Zoom sur les normes

Commençons par les nouveaux termes qui commencent tout juste à entrer dans le vocabulaire des intégrateurs :

  • DSP2 : Directive sur les services de paiement 2 (Payment Services Directive 2). C'est la révision de la directive concernant les services de paiement (Directive 2015/2366), mise à jour en janvier 2017;
  • SCA : Strong Customer Authentication. C’est un nouveau système d'authentification qui se fonde sur plusieurs axes de données. Il a pour but d'améliorer les systèmes d'authentification existants;
  • 3DS2 : 3D Secure 2. C'est la nouvelle version de la solution d'authentification utilisant SCA pour améliorer l'expérience utilisateur et limiter les fraudes.

Intégrer 3DS2 dans un site e-commerce

Si vous êtes en train de développer un nouveau site e-commerce, vous allez très certainement intégrer un PSP (Payment Service Provider) afin de faire le lien entre votre site web et votre banque acquéreuse. Vous devrez également intégrer la solution 3DS2 afin d'être en règle. Deux points sont à prendre en compte :

  • L’intégration dans le tunnel d'achat du 3DS2 avec le système de SCA

Ce premier point est en fait très simple du point du vue d'un intégrateur. En effet, la gestion du 3DS2 incombe principalement aux PSP. Côté intégrateur, seules quelques configurations sont à prévoir; elles dépendront du PSP utilisé.

  • Le design de cette intégration pour offrir la meilleure expérience à l'utilisateur

Le second point est en revanche plus délicat. A l'heure actuelle, deux types de scénario de paiement sont offerts aux utilisateurs: soit le formulaire de paiement est intégré dans le site marchand, soit le formulaire est situé dans une page hébergée par le PSP, sur un autre nom de domaine avec un style différent.   Pour offrir l'expérience la plus rassurante à l’utilisateur, il faut privilégier l'intégration du paiement directement dans le site marchand. Se pose alors la question des redirections pour l'authentification. Avec 3DS1 (la première version du protocole d’authentification 3DSecure), l’utilisateur était redirigé vers une page de sa banque, l'invitant à saisir un code reçu par téléphone. Désormais avec 3DS2, cette redirection n'est plus nécessaire et on préfèrera intégrer la page d'authentification de la banque de l’utilisateur directement dans le site marchand. Cette page transite par le PSP vers le site e-commerce et sera à priori intégrée via une iframe.

 

 

Source : https://stripe.com/en-fr/guides/3d-secure-2

Cette intégration sans redirection aura pour résultat d'offrir à l’internaute une expérience « frictionless », une des problématiques les plus importantes pour les marques. Comment ? En lui permettant d'utiliser différents devices comme le smartphone pour s'authentifier.  

Conclusion

Les intégrateurs doivent donc d’un côté penser à interroger les PSP pour activer 3DS2, et de l’autre côté, se poser la question de l'intégration front. L'idée est d'éviter les redirections afin de rassurer l’utilisateur, mais également les fraudes grâce au système d'authentification forte, apporté par la directive DSP2. Une bonne partie de la complexité est donc déjà prise en compte par les PSP. Concernant les intégrateurs, leur mission principale sera d’accompagner le marchand dans la définition d'un parcours client « frictionless », adapté à cette nouvelle norme, qui, je vous le rappelle, entre en vigueur en cette rentrée 2019.