Le 3D Secure est un protocole de sécurité basé sur XML conçu pour renforcer la sécurité des transactions en ligne effectuées par carte de crédit et de débit. Également connu sous le nom de Three-Domain Secure d’EMV 3-D, il s’agit d’un protocole de communication développé par EMVCo pour permettre aux consommateurs de s’authentifier auprès de l’émetteur de leur carte lorsqu’ils effectuent des achats en ligne sans avoir leur carte physique (Card Not Present). Cette couche de sécurité supplémentaire vise à prévenir les transactions non autorisées effectuées sans la présence physique de la carte et à protéger les commerçants contre les risques de fraude.
Les trois domaines impliqués comprennent le domaine marchand/acquéreur (gateway), le domaine de l’émetteur et le domaine d’interopérabilité, qui englobe les systèmes de paiement tels que le serveur de répertoire et le serveur de contrôle d’accès (ACS – Access Control Server).
Le processus 3D Secure ajoute une étape d’authentification supplémentaire pour les paiements en ligne, nécessitant par exemple un mot de passe unique, un code SMS ou un code PIN temporaire pour compléter la transaction. ( En savoir plus sur la 3D Secure)
Le fonctionnement 3Ds
ÉTAPE 1
–Collecte d’informations sur la carte : pendant cette première étape, le titulaire de la carte saisit les données de sa carte bancaire.
ÉTAPE 2
-Confirmation d’inscription à 3D Secure : ensuite le système vérifie si la carte est enregistrée ou non pour la 3D Secure. Si oui, le client est alors redirigé vers une page 3D Secure fournie par le fournisseur de la carte.
ÉTAPE 3
-Phase d’Authentification de sécurité : Sur le site Web du fournisseur, le client sera invité à entrer son mot de passe unique ou un code d’authentification à usage unique (OTP) qui sera envoyé soit par mail à son adresse ou envoyé soit à son numéro de téléphone.
ÉTAPE 4
Si l’authentification du titulaire de la carte a réussi, le titulaire de la carte est ensuite redirigé vers le site Web du commerçant pour confirmation du paiement. La banque acquéreuse autorise la transaction (en communiquant avec le réseau de cartes de crédit et la banque émettrice.
ÉTAPE 5
-Confirmation de paiement : Une fois de retour sur le site du marchand, le client recevra la confirmation d’un paiement (réussi échec). La réponse de la transaction (succès ou échec) est renvoyée au consommateur.
Notion importante : Autorisation vs authentification
L’autorisation représente la validation par la banque émettrice de l’exactitude des informations de la carte fournies, ainsi que l’approbation de la facturation conformément à des règles internes établies (telles que l’autorisation des transactions en ligne, des pays d’achat autorisés, la disponibilité des fonds, etc.).
Quant à l’authentification, elle implique que le consommateur démontre à la banque émettrice qu’il est bien la personne autorisée à effectuer la transaction. Ce processus d’ « authentification » se déroule de manière similaire à celui de la connexion à un site Web.
Il est important de noter que lorsqu’on compare les deux processus décrits ci-dessus (les paiements avec et sans 3D Secure), le paiement sans 3D Secure ne permet pas la communication directe entre la banque émettrice et le consommateur. Dans le cadre du processus d’autorisation de la banque acquéreur, la banque émettrice se limite à vérifier les informations de la carte du consommateur et à autoriser ou refuser la transaction en fonction des paramètres du compte tels que la validité de la carte, la disponibilité des fonds, la non expiration de la carte, etc.
Ping : Le rôle du Serveur de Contrôle d'Accès (ACS)