L'entrée en vigueur de l'authentification forte du client (SCA) dans presque tous les pays d'Europe continentale marque un tournant dans le secteur européen des paiements.
Pour satisfaire les nouvelles exigences de la SCA, une authentification à deux facteurs est requise pour de nombreux paiements en ligne effectués par carte en Europe. En l'absence d'authentification, un grand nombre de paiements seront refusés par les banques de vos clients. Nous avons conçu des API de paiement pour aider les entreprises à appréhender ce changement et à tirer parti de toutes les exemptions de la SCA.
Ce guide vous aidera à comprendre pourquoi certains tunnels de paiement doivent être modifiés en raison de la SCA et à adapter vos tunnels de paiement en conséquence.
TENEZ-VOUS AU COURANT DE LA SCA
Nous collaborons avec les autorités de contrôle et les experts du secteur des paiements en général. Si vous souhaitez vous tenir au courant des mises à jour sur la réglementation entourant la SCA et nos produits, veuillez nous contacter.
L'évolution des paiements en ligne
Les paiements traditionnels par carte se font généralement en deux étapes : l'autorisation et le débit. Un paiement est autorisé lorsque la banque ou l'émetteur de la carte d'un client décide de l'approuver, et il est effectif au moment où la carte est débitée.
Avec la SCA, une autre étape obligatoire intervient avant l'autorisation et le débit : l'authentification. Cette étape contribue à protéger les clients en prévenant la fraude. Pour authentifier un paiement, un client répond à une invite de sa banque à fournir des informations supplémentaires. Cela peut se faire par un élément qu'il connaît, comme un mot de passe, un élément qu'il utilise, comme son téléphone, ou un élément qui fait partie de lui, comme son empreinte digitale.
La méthode d'authentification des paiements la plus courante s'appelle 3D Secure. Vous connaissez peut-être 3D Secure sous ses dénominations commerciales comme « Visa Secure » ou « Mastercard Identity Check ». Il existe une nouvelle version, du nom de 3D Secure 2, qui est devenue la méthode standard d'authentification des paiements, mais elle n'est pas encore disponible. Vous pouvez découvrir les différences entre ces méthodes dans notre guide relatif à 3D Secure 2. Si votre entreprise fait appel à 3D Secure sur notre API de paiements, Stripe Billing ou Stripe Checkout, vous passerez automatiquement à 3D Secure 2 une fois qu'elle sera prise en charge, sans aucune intervention de votre part.
Peu importe la méthode que vous utilisez, les clients doivent être en session pour s'authentifier, ce qui signifie qu'ils doivent être connectés à votre site web ou votre application. L'ajout de cette étape est susceptible d'être plus simple pour les entreprises qui débitent leurs clients immédiatement, et plus complexe pour celles qui les débitent après qu'ils ont quitté le flux de paiement (parfois appelé hors session).
Les scénarios présentés dans ce guide illustrent la façon dont ces trois étapes (authentification, autorisation et débit) peuvent varier en fonction du moment où vous débitez vos clients et de la façon dont vous le faites.
AUTHENTIFIER
Un client authentifie un paiement en ligne : Un client répond à une invite 3D Secure de sa banque lui demandant de fournir des informations supplémentaires pour authentifier le paiement. Voir 3D Secure côté client.
L'authentification est nécessaire lorsqu'un paiement n'est pas admissible à une exemption ou lorsque la banque du client refuse une demande d'exemption. Notre nouvelle API de paiements sollicite automatiquement les exemptions admissibles avant d'ajouter l'étape d'authentification. Cela simplifie les flux de paiement et préserve les taux de conversion
Le saviez-vous ? L'authentification doit avoir lieu pendant que le client est en session, ou qu'il est connecté à votre site Web ou application. En conséquence, cette étape se déroule généralement au moment où le client passe sa commande.
AUTORISER
Votre entreprise demande à la banque du client d'approuver le paiement : La banque du client décide d'approuver ou de refuser un paiement. En cas d'approbation, les fonds sont bloqués et garantis pendant sept jours. En cas de refus d'une demande d'autorisation, votre entreprise doit faire en sorte que le client rouvre une session pour réauthentifier le paiement, puis demander une nouvelle autorisation.
Le saviez-vous ? Une demande d'autorisation peut encore être refusée par la banque du client après l'authentification. Cette situation peut se produire si le client ne possède pas suffisamment de fonds ou si la carte a expiré.
Jusqu'à 7 jours
Le délai entre l'autorisation et le débit peut aller jusqu'à sept jours, mais la plupart des entreprises débitent le paiement immédiatement après son autorisation.
Le saviez-vous ? La banque d'un client peut indiquer qu'un paiement est « en attente » s'il a été autorisé sans avoir été débité.
DÉBITER
L'entreprise débite la carte du client, ce qui valide le paiement.
Comprendre les exemptions
Certains types de paiements, comme les transactions à faible risque, les abonnements forfaitaires, les ventes par téléphone et les transactions effectuées par le marchand, peuvent être exemptés de la SCA. Les transactions effectuées par le marchand sont des paiements réalisés avec une carte enregistrée alors que le client est hors session. Le paiement d'un abonnement à une salle de sport ou d'une facture d'eau ou d'électricité en sont des exemples courants. Pour bénéficier de cette exemption, votre entreprise doit avoir établi un accord avec le client et lui demander d'authentifier sa carte au moment de son enregistrement ou d'authentifier le premier paiement. Notre guide relatif à l'authentification forte du client explique dans le détail ces exemptions et d'autres.
Les API de paiements et les produits intégrant la SCA de Stripe aideront votre entreprise à tirer pleinement parti de ces exemptions en les sollicitant automatiquement. Lorsque les banques de vos clients accepteront les exemptions, ils n'auront pas à s'authentifier, ce qui réduira l'impact sur la conversion.
Néanmoins, les entreprises ne doivent pas compter sur les exemptions et doivent concevoir leurs flux de paiement de façon à ce qu'ils authentifient les clients lorsque nécessaire. La raison en est que les règles relatives aux exemptions dépendent des banques de vos clients. Elles évaluent chaque paiement et décident si une exemption s'applique ; et chaque banque appliquera les exemptions différemment.
Scénarios commerciaux
Afin d'illustrer l'impact de la SCA et son application, nous vous présentons ci-dessous la façon dont une étape d'authentification peut être intégrée aux flux de paiement pour différents types d'entreprises.
E-commerce
Paiement ponctuel. Carte non enregistrée.
Les entreprises d'e-commerce débitent généralement leurs clients en cours de session, sans enregistrer les informations de carte pour les paiements ultérieurs. Si votre entreprise utilise un flux de paiement de ce type, l'ajout de l'authentification devrait être facile : vous pouvez réaliser l'authentification à l'aide de 3D Secure immédiatement après que le client a saisi les informations de sa carte et a passé sa commande.
Stripe demande automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'authentifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'authentifier lorsque cela est nécessaire.
Commande passée :Élisa saisit les informations de sa carte et ses coordonnées pour la livraison. Le total est de 29 $, TVA comprise.
AUTHENTIFIER
Un montant de 29 $ authentifié avec 3D Secure :Élisa effectue l'authentification 3D Secure.
Remarque : Stripe sollicite les exemptions automatiquement. Si sa banque accepte une exemption, Élisa n'aura pas à effectuer l'authentification 3D Secure.
AUTORISER
Un montant de 29 $ autorisé
DÉBITER
Un montant de 29 $ débité
Commande expédiée
Recommandations
Choisissez une option :
STRIPE CHECKOUT
Bénéficiez de flux de paiement préconfigurés optimisés pour la conversion et nécessitant très peu de codage.
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Covoiturage
Paiement débité dans les sept jours suivant l'autorisation. Le montant du paiement final peut changer.
Les entreprises proposant du covoiturage et d'autres services à la demande débitent généralement les paiements dans les sept jours suivant l'autorisation, et le montant final peut augmenter ou baisser. Si votre entreprise utilise un flux de paiement de ce type, vous pouvez réaliser l'authentification 3D Secure immédiatement après que le client a demandé la course, car il est encore en session. Si le montant final se révèle supérieur au montant initialement authentifié, le client devra s'authentifier à nouveau pour le montant majoré. Si le montant final est inférieur au montant initialement authentifié, aucune nouvelle authentification ne sera nécessaire.
Une autre manière de procéder avec ce flux de paiement consisterait à authentifier et autoriser un montant plus élevé au moment où le client demande la course. Si le client souhaite ajouter un pourboire plus tard, et que le total est inférieur au montant authentifié, le client n'aura pas besoin de se réauthentifier. L'inconvénient de cette procédure est que l'authentification anticipée d'un montant plus élevé peut dissuader les clients sensibles au prix.
Stripe demandera automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'authentifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'authentifier et de rouvrir une session pour s'authentifier à nouveau.
Course demandée :Sami ouvre l'application et demande une course d'un montant de 20 $.
AUTHENTIFIER
Un montant de 20 $ authentifié avec 3D Secure :Sami effectue l'authentification 3D Secure.
Remarque : Stripe sollicite les exemptions automatiquement. Si sa banque accepte une exemption, Sami n'aura pas à effectuer l'authentification 3D Secure.
AUTORISER
Un montant de 20 $ autorisé
Passager pris en charge et déposé : Un chauffeur vient chercher Sami et le dépose à sa destination.
Pourboire ajouté : Il ouvre l'application, évalue le chauffeur et ajoute un pourboire de 3 $.
__ Authentifier__
23 $ (course de 20 $ + pourboire de 3 $) authentifiés avec 3D Secure :Sami effectue l'authentification 3D Secure.
Remarque : Stripe sollicite les exemptions automatiquement. Si sa banque accepte une exemption, Sami n'aura pas à effectuer l'authentification 3D Secure.
DÉBITER
Un montant de 23 $ débité
Remarque :le débit de 23 $ annule l'autorisation précédente de 20 $.
Recommandation
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Financement participatif
Paiement débité plus de sept jours après l'autorisation.
Les plateformes de financement participatif débitent généralement les paiements plus de sept jours après l'autorisation. Chaque campagne se déroule pendant une période définie et les paiements sont débités une fois que la campagne a atteint son objectif. Si votre entreprise utilise ce type de flux de paiement, vous pouvez réaliser l'authentification à l'aide de 3D Secure au moment où les clients font une promesse de don en soutien à une campagne, et effectuer l'autorisation et le débit au terme de la campagne si elle a atteint son objectif. En cas d'échec de l'autorisation, votre entreprise devra faire en sorte que le client rouvre une session pour se réauthentifier.
Stripe demandera automatiquement les exemptions admissibles. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'authentifier et de rouvrir une session pour s'authentifier à nouveau.
Paiement réussi
Campagne lancée
Promesse de don effectuée :
Lucas soutient la campagne en faisant une promesse de don de 40 $.
AUTHENTIFIER
Carte authentifiée avec 3D Secure :
Lucas effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
30 JOURS APRÈS
Campagne terminée :
La carte de Lucas est débitée une fois que la campagne a atteint son objectif.
AUTORISER
Tentative d'autorisation de 40 $
REFUSER
L'autorisation a échoué parce que la carte ayant expiré, une réauthentification est requise.
E-mail envoyé :
Lucas ouvre un e-mail reçu du site Web de financement participatif, puis clique sur un lien.
Informations mises à jour :
Il retourne sur le site Web de financement participatif et saisit les informations d'une nouvelle carte.
AUTHENTIFIER
Un montant de 40 $ authentifié avec 3D Secure :
Lucas effectue l'authentification 3D Secure.
AUTORISER
Un montant de 40 $ autorisé
DÉBITER
Un montant de 40 $ débité
Paiement échoué
Campaign launched
Pledge made:
Luka supports the campaign and pledges $40.
AUTHENTICATE
Card authenticated using 3D Secure:
Luka completes 3D Secure authentication after entering his card details.
30 DAYS PASS
Campaign completed:
Luka’s card is charged when the campaign ends successfully.
AUTHORIZE
$40 authorization attempted
DECLINE
Authorization failed because of an expired card, and re-authentication is required.
Email sent:
Luka opens an email from the crowdfunding website and clicks a link.
Information updated:
He returns to the crowdfunding website and enters new card details.
AUTHENTICATE
$40 authenticated using 3D Secure:
Luka completes 3D Secure authentication.
AUTHORIZE
$40 authorized
CAPTURE
$40 captured
Recommandation
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Location de voitures
Paiement débité plus de sept jours après l'autorisation. Le montant du paiement final peut changer.
Les entreprises de location de voitures débitent généralement les paiements plus de sept jours après l'autorisation, et le montant du paiement final est susceptible d'augmenter ou de baisser en fonction des remises, surclassements ou services complémentaires au moment de la remise des clés ou du retour de la voiture. Si votre entreprise utilise ce type de flux de paiement, vous pouvez fractionner le paiement en plusieurs débits : un premier débit utilisant l'authentification de la carte avec 3D Secure lors de l'enregistrement du paiement, puis un second débit pour autoriser et capturer le coût de la location et les frais accessoires ultérieurement.
Stripe demandera automatiquement les éventuelles exemptions admissibles de façon à ce que vos clients ne soient pas obligés de s'authentifier. Toutefois, chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de s'authentifier et de rouvrir une session pour s'authentifier à nouveau.
Voiture réservée :Emma loue une voiture pour ses prochaines vacances.
AUTHENTIFIER
Carte authentifiée avec 3D Secure :Emma effectue l'authentification 3D Secure après avoir saisi les informations de sa carte.
Voiture récupérée
Plus de 7 jours après
Retour de la voiture :Elle rend la voiture sans remplir le réservoir d'essence, ce qui lui occasionne des frais de 50 $.
AUTORISER
350 $ autorisé (réservation)
50 $ autorisé (frais de carburant)
DÉBITER
350 $ débité (réservation)
50 $ débité (frais de carburant)
Recommandation
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Abonnement à une salle de sport
Paiements récurrents. Montant fixe.
Les abonnements aux salles de sport sont généralement des paiements récurrents d'un montant fixe et peuvent commencer par une période d'essai gratuit. Si votre entreprise utilise un flux de paiement de ce type, l'authentification 3D Secure est requise pour le paiement qui active l'abonnement, et Stripe sollicitera automatiquement les exemptions pour les paiements ultérieurs. Dans ce scénario, le paiement peut bénéficier des exemptions pour les abonnements forfaitaires et les transactions effectuées par le marchand. Si la banque du client accepte une exemption, il n'aura pas à authentifier chaque paiement mensuel.
Les transactions effectuées par le marchand sont des paiements effectués avec une carte enregistrée alors que le client est hors session. Pour en bénéficier, votre entreprise doit avoir établi un accord avec le client et lui demander d'authentifier sa carte au moment de son enregistrement ou du premier paiement.
Il est important de noter que les exemptions ne sont pas garanties et que les paiements ultérieurs pourront nécessiter une authentification. Chaque banque appliquant les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de rouvrir une session pour se réauthentifier.
Paiement réussi
L'abonnement débute :
Imani saisit son adresse e-mail et les informations de sa carte afin de s'inscrire à la salle de sport de son quartier pour un montant de 50 $/mois.
AUTHENTIFIER
Un montant de 50 $ authentifié avec 3D Secure :
Imani effectue l'authentification 3D Secure.
AUTORISER
Un montant de 50 $ autorisé
DÉBITER
Un montant de 50 $ débité
30 JOURS APRÈS
L'abonnement se poursuit :
Imani prend des cours collectifs et se rend souvent à la salle de sport.
AUTORISER
Un montant de 50 $ autorisé :
Ce paiement n'a pas nécessité d'authentification, car la banque d'Imani a accepté les exemptions pour abonnement forfaitaire et transaction effectuée par le marchand.
DÉBITER
Un montant de 50 $ débité
Paiement échoué
L'essai débute :
Imani s'inscrit à la salle de sport de son quartier pour 50 $/mois. Elle saisit son adresse e-mail et les informations de sa carte bancaire. De cette façon, son abonnement débutera immédiatement après la période d'essai de 7 jours.
AUTHENTIFIER
Un montant de 50 $ authentifié avec 3D Secure :
Imani effectue l'authentification 3D Secure.
7 JOURS APRÈS
L'essai se termine et l'abonnement débute :
La carte d'Imani est débitée automatiquement à la fin de l'essai.
AUTORISER
Un montant de 50 $ autorisé
DÉBITER
Un montant de 50 $ débité
30 JOURS APRÈS
L'abonnement se poursuit :
Imani prend des cours collectifs et se rend souvent à la salle de sport.
AUTORISER
Tentative d'autorisation de 50 $
REFUSER
L'autorisation a échoué et la réauthentification est requise
E-mail envoyé :
Imani ouvre un e-mail, puis clique sur un lien
Informations mises à jour :
Elle retourne sur le site Web de la salle de sport et saisit les informations d'une nouvelle carte.
AUTHENTIFIER
Un montant de 50 $ authentifié avec 3D Secure :
Imani effectue l'authentification 3D Secure.
AUTHORISER
Un montant de 50 $ autorisé
DÉBITER
_Un montant de 50 $ débité
Recommandations
Choisissez une option :
STRIPE BILLING
Gérez vos abonnements et profitez d'outils automatisés pour vous conformer à la SCA.
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.
Facture d'eau ou d'électricité
Facturation à la consommation. Paiements récurrents.
Les factures d'eau ou d'électricité sont des paiements récurrents dont les montants sont susceptibles de varier d'un mois à l'autre en raison de la facturation à la consommation. Si votre entreprise utilise un flux de paiement de ce type, l'authentification 3D Secure est requise au moment où le client enregistre sa carte pour configurer les paiements automatiques. Pour ce faire, le client effectue l'authentification 3D Secure en dehors d'une transaction.
Stripe demandera automatiquement les exemptions pour les paiements ultérieurs. Dans ce scénario, le paiement bénéficie d'une exemption car il s'agit d'une transaction effectuée par le marchand. Si la banque du client accepte les exemptions, il n'aura pas à s'authentifier à chaque paiement mensuel.
Il est important de noter que les exemptions ne sont pas garanties et que les paiements ultérieurs pourront nécessiter une authentification. Chaque banque pouvant appliquer les exemptions différemment, votre entreprise doit concevoir des flux de paiement permettant aux clients de rouvrir une session pour se réauthentifier lorsque nécessaire.
Paiement avec exemption
Compte configuré :
Salim emménage dans un nouvel appartement et s'inscrit pour régler automatiquement sa facture mensuelle d'eau ou d'électricité.
Carte enregistrée :
Salim ajoute une carte à son compte.
AUTHENTIFIER
Facturation automatique confirmée avec 3D Secure :
Salim effectue l'authentification 3D Secure.
30 JOURS APRÈS
Facture reçue :
Salim reçoit un e-mail de la compagnie d'eau ou d'électricité l'informant d'un paiement planifié de 91 $.
AUTORISER
Un montant de 63 $ autorisé
La compagnie d'eau ou d'électricité autorise 63 $ et sollicite une exemption pour transaction effectuée par le marchand.
La banque de Salim accepte l'exemption et l'autorisation.
DÉBITER
Un montant de 63 $ débité
30 JOURS APRÈS
Facture reçue :
Salim reçoit un e-mail de la compagnie d'eau ou d'électricité l'informant d'un paiement planifié de 91 $.
AUTORISER
Tentative d'autorisation de 91 $ :
La compagnie d'eau ou d'électricité autorise 91 $ et sollicite une exemption pour transaction effectuée par le marchand.
REFUSER
L'autorisation a échoué et la réauthentification est requise
E-mail envoyé :
Salim reçoit un e-mail de la compagnie d'eau ou d'électricité contenant une facture de 91 $ et clique sur le lien.
AUTHENTIFIER
Un montant de 91 $ authentifié avec 3D Secure :
Salim effectue l'authentification 3D Secure.
AUTORISER
Un montant de 91 $ autorisé
DÉBITER
Un montant de 91 $ débité
Paiement sans exemption
Facture reçue :
Salim reçoit un e-mail de la compagnie d'eau ou d'électricité contenant une facture de 63 $ et clique sur le lien.
AUTHENTIFIER
Un montant de 63 $ authentifié avec 3D Secure :
Salim effectue l'authentification 3D Secure.
AUTORISER
Un montant de 63 $ autorisé
DÉBITER
Un montant de 63 $ débité
30 JOURS APRÈS
Facture reçue :
Salim reçoit un e-mail de la compagnie d'eau ou d'électricité contenant une facture de 91 $ et clique sur le lien.
AUTHENTIFIER
Un montant de 91 $ authentifié avec 3D Secure :
Salim effectue l'authentification 3D Secure.
AUTORISER
Un montant de 91 $ autorisé
DÉBITER
_Un montant de 91 $ débité
Recommandations
Choisissez une option :
STRIPE BILLING
Gérez vos abonnements et profitez d'outils automatisés pour vous conformer à la SCA.
API DE PAIEMENT
Concevez des flux de paiement dynamiques et optimisez les exemptions.