Embed Size (px)
Citation preview
Vers des paiements frictionlessAuthentication forte : une opportunité pour des paiements numériques sécurisés
Livre blanc
THRIVE est la nouvelle destination digitale pour lesacteurs du changement, les visionnaires et leschampions de l’innovation. Vous trouverez surTHRIVE de nouvelles idées pour vous inspirer,formalisées par les experts de DXC Technology etpar les leaders d’opinion du secteur des nouvellestechnologies. Des acteurs qui décryptent lesnouvelles solutions pour aider des entreprisescomme la vôtre à capter le meilleur de l’innovation età changer pour grandir.
thrive.dxc.technology/fr
La seconde directive sur les services de paiements (DSP2) vise à favoriser la concurrence et à accroître les droits des consommateurs au sein de la zone euro pour l’accès aux paiements et aux services bancaires.
Pour cela elle permet notamment aux consommateurs de confier à une organisation tiers agréée par le régulateur - et pas seulement leur banque – l’accès à leurs comptes et l’initiation de paiements.
De ce fait l’authentification forte du client (Strong Customer Authentication – SCA) est un élément clé pour s’assurer qu’il est bien à l’origine des opérations initiées en son nom, et qu’il est protégé contre les risques qui en résultent, telles que la fraude en ligne ou la compromission de données. Les règles de mise en œuvre des normes techniques issues de la réglementation DSP2 (Regulatory Technical Standards – RTS) ont été publiées afin de donner un cadre explicite à l’exercice de l’authentification forte.
La DSP2 prévoyait initialement la mise en œuvre de l’authentification forte au 14 septembre 2019. C’est un jalon important et exigeant pour les banques, les commerçants, les Prestataires de Service de Paiements (PSP) et les tiers impliqués dans la fourniture de services de paiements. Constatant la complexité de ce déploiement et le retard pris par les banques et les commerçants, les régulateurs français, britannique allemand, italien, et espagnol ont accordé un délai supplémentaire au-delà du 14 septembre 2019 pour permettre la mise en place d’un plan de migration et de déploiement, suivant ainsi les recommandations de l’Autorité bancaire européenne (ABE).
Cependant la DSP2 prévoit également un ensemble d’exemptions qui peuvent être mises à profit pour accélérer sa mise en œuvre. Ces exemptions doivent permettre de simplifier les parcours d’achat tout en les sécurisant et ainsi de contribuer à développer les volumes des paiements tout en apportant la sécurité attendue par les utilisateurs.
En effet, une connaissance fine des règles d’exemptions à l’authentification forte ainsi que des opérations qui sont hors de son champ d’application doivent permettre aux banques et aux commerçants d’optimiser leurs offres et les parcours clients.
Cette approche, conjuguée avec la mise en œuvre de la nouvelle architecture 3DSv2, offre un nouveau terrain de jeu pour diversifier les offres de paiement, optimiser les parcours clients, et sécuriser les paiements.
Authentification renforcéeLa DSP2 exige une authentification forte pour chaque transaction initiée par les services de paiements tiers, notamment l’agrégation de comptes et l’initiation de paiements. De ce fait les paiements par carte en ligne sont la cible principale de la DSP2.
Malgré le fait que des mécanismes d’authentification forte sont déjà disponibles, leur utilisation n’est pas encore généralisée et peut sembler difficile à mettre place et appliquer sur toutes les transactions concernées, notamment en vente à distance.
Le cadre général est applicable pour l’ensemble des services concernés par la DSP2. On notera que l’authentification forte à deux facteurs est déjà mise en œuvre pour les paiements de proximité avec les paiements par carte EMV.
Sommaire
Authentification renforcée
Fin de l’authentification forte par OTP SMS
Les paiements « Frictionless » en cible
Profiter des exemptions
3DSv2 à la rescousse
7 clés pour réussir l’authentification forte
Comment DXC peut vous aider
Glossaire
Livre blanc
2
La nécessité de mettre en place des mécanismes d’authentification forte s’applique à tous les services de paiements. Ainsi par exemple, PayWithMyBank est un prestataire de service de paiements opérant aux US qui permet aux clients de régler des factures sans utiliser de carte de paiement. Ce fournisseur tiers gère une plateforme de factures qui établit le lien entre le payeur et la banque du destinataire. Après une authentification forte faite par la banque du payeur et confirmation de l’accord de ce dernier, le tiers initie au nom du payeur le virement vers le compte du destinataire.
Au sein de l’espace SEPA, l’authentification forte est obligatoire depuis le 14 septembre 2019 avec des marges de tolérance qui ont été accordées par la plupart des régulateurs nationaux.
Actuellement les commerçants ont encore la possibilité de ne pas demander d’authentification pour certaines transactions. A l’avenir ils n’auront plus cette possibilité car L’authentification forte sera obligatoire pour l’ensemble des transactions, avec une décision finale de l’appliquer ou non qui sera prise par la banque du client payeur.
Fin de l’authentification forte par OTP SMS Par ailleurs la Commission européenne ne reconnaitra plus l’authentification par code à usage unique (OTP) reçu par SMS comme authentification forte à partir de décembre de 2020.
Cette pratique s’est généralisée jusqu’à maintenant comme système d’authentification, bien qu’elle représente une rupture dans le parcours d’achat et peut entrainer des abandons de transactions. Ainsi selon la FEVAD et la fédération européenne e-commerce, le taux de conversion des achats en ligne chute de 25% lors d’une authentification par code OTP.
L’abandon de l’OTP SMS représente une opportunité pour repenser L’authentification forte dans le contexte d’un parcours d’achat à distance en minimisant les points de friction. Par exemple une authentification par lecture d’empreintes digitales peut sembler opportune pour confirmer un achat fait sur un smartphone équipé d’un capteur biométrique. Mais les clients sont loin de tous disposer de tels lecteurs.
L’enjeux est de taille pour les banques comme pour les commerçants afin d’améliorer l’expérience client. Le risque étant de perdre à la fois des clients et des ventes.
De ce fait, une collaboration s’instaure entre les banques et les commerçants pour trouver des solutions face à cette nouvelle règlementation et sa complexité.
Pour cela les banques sont en cours d’implémentation de 3DSv2, qu’elles doivent compléter par la gestion des exceptions à L’authentification forte afin de mettre en place une expérience client optimale.
3DSv2 est une évolution des programmes 3D-Secure version 1 existants. Cette architecture de sécurité est conçue pour lutter contre la fraude paiements par carte, en authentifiant son titulaire selon les moyens choisis par la banque émettrice. 3DSv2 permet d’échanger entre l’acquéreur et l’émetteur un grand nombre de données issues de la transaction. La banque émettrice peut ainsi évaluer le risque de la transaction et décider d’appliquer l’authentification forte, ou d’accepter une demande d’exemption émise par le commerçant et transmise par l’acquéreur.
Livre blanc
3
Les paiements « frictionless » en cibleLà où il y a un challenge, il y a une opportunité. Avant d’appliquer l’authentification forte et les éventuelles exemptions offertes par la DSP2, il convient d’identifier les transactions hors champs d’application et pour lesquelles une authentification forte n’est pas requise.
• Dans le champ d’application : Les opérations soumises à l’authentification forte, sont des transactions de paiement pour lesquelles le client a donné son accord pour un montant spécifique. Cela couvre tous les paiements électroniques de proximité et à distance (tels que les paiements par carte, les virements ou les
paiements par wallet) et les paiements initiés par l’émetteur (virement de type
SCT).
• Hors-champ : Quatre catégories de transactions ne sont pas soumises à une
authentification forte :
− Hors SEPA : Lorsque ni le client ni le prestataire de services de paiement ne sontsitués dans l’UE. Il ne suffit plus qu’un seul des intervenant soit hors de l’Union Européenne (“One-Leg-Out transactions”) pour s’affranchir de la DSP2.
− Transactions initiées par le commerçant : Lorsque le paiement est initié non pas par le payeur, mais par le bénéficiaire. Par exemple, les paiements de factures de fournisseurs d’énergies ou télécom.
− Vente par correspondance et téléphoniques (MOTO) : Ces paiements ne sont pas des paiements électroniques et ne sont donc pas soumis à une authentification forte.
− Paiements récurrents : Paiements effectués selon un cycle régulier à destination du même bénéficiaire, mais avec des montants différents qui ne sont pas déterminés par le commerçant.
Initialement aucune exemption n’était prévue à l’application de l’authentification forte. Cependant l’Autorité bancaire européenne (ABE) a conscience que la mise en place d’exemptions est nécessaire pour réduire la fraude tout en favorisant le développement des paiements électroniques.
En créant ces exemptions, l’ABE reconnait un besoin non seulement de sécurisation mais également de maintien voire d’amélioration des taux de transformation des e-commerçants grâce à un parcours utilisateur fluide dit « frictionless ».
Livre blanc
4
Profiter des exemptionsLes normes techniques pour la mise en œuvre de l’authentification forte (RTS) ont été élaborées par l’ABE en collaboration avec la Banque centrale européenne (BCE). Elles précisent les modalités d’application à l’authentification forte prévue par la DSP2. Ces exemptions visent à trouver un équilibre entre la nécessité de protéger les clients contre la fraude et à faire en sorte que les paiements électroniques se déroulent sans entrave.
À l’heure actuelle, les exemptions d’authentification forte sont de six types :
• Transactions de faible valeur : Les paiements d’un montant inférieur à 30€ sontexemptés. Par ailleurs un contrôle doit être fait sur le cumul, soit du nombre detransactions, soit de la valeur cumulée – l’un étant exclusif de l’autre. La limite estde moins de six transactions successives ou dont le montant cumulé ne dépassepas 100€ pour des paiements classiques ou 150€ en sans contact.
• Paiements d’entreprise sécurisés : Reposent sur d’autres méthodes de sécuritéqui les exemptent d’authentification forte. Ils visent notamment les paiements desalaires et les paiements par carte de paiements d’entreprise.
• Transactions à risque faible (analyse du risque de transaction ou TRA).:Transactions de moins de 500€ pour lesquelles l’émetteur, à l’aide d’outilsd’analyse des risques, estime que le risque de fraude est faible. Il peut le faireà la demande de l’acquéreur qui lui transmet ses éléments d’appréciation durisque, éléments que l’émetteur intègre et complète par ses propres analyses. Pourbénéficier de l’exemption TRA, l’acquéreur doit avoir ses propres taux de fraudeinférieurs aux seuils globaux définis par les RTS, tous commerçants confondus (voirtableau 1 ci-dessous).
•
Seuils d’exemption
Jusqu’à 100 €
Jusqu’à 250 €
Jusqu’à 500 €
Paiement par carte à distance
0,13%
Taux de fraude global
0,06%
0,01%
Virements
0,015%
0,010%
0,005%
Tableau 1. Transactions à risque faible (Analyse du Risque Transaction TRA)
Livre blanc
5
• Liste de « bénéficiaire de confiance » – White Listing : Les payeurs peuvent ajouter des bénéficiaires de confiance à une liste blanche mise en place et gérée
par leur banque. Elle permet ainsi aux clients qui achètent régulièrement chez un
commerçant de confiance d’avoir un parcours client fluide sans authentification
forte. Toutefois une authentification forte est toujours requise pour la première
transaction.
• Automates de transport et de parking : Sont exempts afin de faciliter l’usage des
paiements dans un contexte où la fluidité est essentielle.
• Paiements récurrents : Effectués par le même payeur au profit du même
bénéficiaire, et pour un montant fixe de type abonnement. Seule la première
transaction nécessitera une procédure d’authentification forte. Ces paiements
diffèrent des paiements récurrents sans montant fixe, hors champ d’application.
3DSv2 à la rescousseLe protocole 3DSv1 n’est pas adapté pour le traitement des exemptions à L’authentification forte car il ne permet pas d’échanger toutes les données nécessaires à la qualification des exemptions.
Les commerçants qui utilisaient 3DSv1 pouvaient jusqu’à maintenant faire le choix de, soit demander un paiement sécurisé avec une authentification forte, soit offrir à leurs clients un parcours d’achat plus fluide sans authentification, mais sans garantie de paiement.
Désormais, l’authentification forte étant exigée sur toutes les transactions, il ne sera plus possible d’éviter 3DSv1 pour optimiser les parcours d’achat.
Le nouveau standard 3DSv2 va plus loin que 3DSv1 et fournit jusqu’à 10 fois plus de données entre les parties. Celles-ci permettent de gérer les exemptions et d’apporter les éléments d’appréciation comme le contexte de l’achat, l’historique du payeur, son appareil, son navigateur, l’application utilisée, le scoring risque de la transaction par le commerçant.
Ainsi, le standard 3DSv2 contribue à optimiser le processus d’authentification et renforce la sécurité des transactions de paiement.
Il convient de bien différencier la garantie de paiement interbancaire des accords commerciaux entre la banque acquéreur et le commerçant.
Comme l’illustre le tableau 2, des garanties bilatérales peuvent exister entre un commerçant et un acquéreur et sont des accords privés. Les dispositions interbancaires sont précisées par les schemes qui les opèrent et sont publiques.
Livre blanc
6
Le panorama des exemptions d’authentification forte crée des opportunités pour les commerçants et pour les banques d’offrir à leurs clients des transactions optimales en mode « Frictionless ».
Grâce à 3DSv2, il devient possible d’activer ces exemptions. Néanmoins l’enchaînement des parties prenantes dans un échange 3DSv2 crée une certaine complexité pour déterminer si une transaction sera effectivement authentifiée et si une garantie de paiement sera appliquée.
• Le commerçant, via son PSP, devra fournir les données requises et exprimer sonsouhait éventuel de bénéficier d’une exemption.
• La banque acquéreur pourra traiter la demande 3DSv2 et transmettre à la banqueémettrice la demande d’authentification ou d’exemption.
• La banque émettrice prendra la décision finale en fonction des informationstransmises, de ses outils de scoring, et de sa politique de gestion du risque et de lafraude. Dans tous les cas, c’est la banque émettrice qui a le dernier mot.
Ce processus complète le mécanisme d’autorisation qui continue à être appliqué par la banque émettrice sur des critères financiers et de niveaux de service client.
Selon l’origine de la demande d’exemption, et la suite qui lui est donnée, la transaction fera l’objet d’une authentification forte (cas standard) ou sera «.frictionless » (cas optimisé), et bénéficiera ou non d’une garantie de paiement au sens interbancaire.
Acteurs Status de paiement Mécanisme technique
Transfert de responsabilité3DS V2 — Ecosystème de garantie de paiement
Environnement du commerçant / acquéreur
Interbancaire/PSPs Environnement du titulaire de carte/emetteur
Emetteur
ClientCommerçant
Acquéreur
Conditionscontractuellesspécifiques PRIVÉES
Garantie dupaiement
Interbanking
PAT PATSCA3DS
PUBLIC
Tableau 2. La garantie de paiement dans les 3 domaines.
Livre blanc
7
Ces nouvelles règles créent un environnement où la sécurisation des paiements repose sur la coopération et l’échange d’informations entre les différents acteurs.
Les commerçants et leurs PSP doivent œuvrer pour surveiller les transactions, appliquer un scoring et éventuellement demander l’exemption qui correspond au contexte du paiement.
A noter qu’un choix, parfois complexe, parmi les différents régimes d’exemption doit être fait par les commerçants puisque qu’une transaction ne peut bénéficier que d’un seul régime, même si elle est éligible à d’autres types d’exemptions.
Enfin, l’authentification forte doit être appliquée pour le déclenchement du «.frictionless » sur les prochains paiements intervenant dans une série d’opérations (White Listing ou paiements récurrents).
Ainsi le nouvel environnement créé par la DSP2, l’authentification forte et ses exemptions, ainsi que 3DSv2, permet aux banques et aux commerçants d’adapter le niveau d’authentification en fonction du contexte de la transaction de paiement. Une bonne maîtrise des règles et des données échangées doit permettre à chacun des acteurs de trouver le juste équilibre entre sécurité et fluidité du parcours d’achat.
A elles seules les possibilités de qualification en transactions de faible valeur, à risque contrôlé (RTA), en paiements récurrents, ou paiements initiés par le commerçant offrent de grands possibilités d’adaptation au contexte de la transaction pour éliminer les frictions éventuelles.
Optimiser l'utilisation des exemptions SCA
SCA capacity
Validationbanque acquéreur
Pas d’authentificationFermé Sept. 2019
authentification 3DS V1
Authentification forte
Authentification forte
Authentification forte
Authentification forte
Pas d’authentification
Aucune garantie de paiement
Aucune garantie de paiement
Garantie de paiment
Garantie de paiment
Garantie de paiment
Garantie de paiment
Garantie de paiment
Aucune
Oui
OuiOui
Non
Non
Non
Oui
Oui
NonNon
Après le 14/93DS
3DS
Frictionless
Frictionless
Autorisation
Fast’R by CB
Cas optimisé
Cas optimisé
Cas standardExemption
demandée?
Authentificationrequise?
Validationbanque émettrice
Validationbanque émettrice
Fast’R by CB
Domain commerçant Banque acquéreur Banque émettrice Authentification client Garantie de paiement
Tableau 3. Organigramme des exemptions SCA
Le tableau 3 illustre sous forme de logigramme les différentes combinatoires possibles.
Livre blanc
8
7 clés pour réussir l’authentification forteVotre organisation est-elle prête à mettre en œuvre L’authentification forte et développer son architecture 3DSv2 qui réponde aux RTS ?
Si oui, n’attendez pas la fin de la période de transition et de bienveillance des régulateurs dont la date cible est fixée à fin 2020. Nous recommandons 7 actions clés à entreprendre dès maintenant :
1 – Maintenir une veille active sur le sujet : Bien des éléments de mise en œuvre restent encore flous et seront clarifiés dans les mois à venir. Le calendrier sera précisé ainsi que le détail des modalités d’application des exemptions.
Des clarifications pourront être apportées par le régulateur, par exemple sur le détail du calcul du taux de fraude pour l’Analyse du Risque de la Transaction TRA. Les communautés interbancaires doivent aussi préciser comment elles vont appliquer des fonctionnalités comme la liste de « bénéficiaire de confiance » (White Listing) dont l’impact sur les systèmes et référentiels pourrait être considérable.
2 – Définir une stratégie de gestion des exemptions : Tous les acteurs de la chaine du paiement sont concernés par l’application des exemptions, soit parce qu’ils en demandent le bénéfice (commerçant et acquéreur), soit parce qu’ils leur revient de décider d’appliquer le « Frictionless » (banques émettrices).
Ces choix sont à pondérer en fonction de la garantie de paiement qui sera apportée ou non selon le cas (voir Tab. 3).
3 – Optimiser le taux de fraude pour l’Analyse du Risque Transaction TRA : Les commerçants et acquéreurs doivent veiller à ce que leur TRA soit en dessous des seuils (Tab. 1) pour bénéficier de ce régime d’exemption. Les acquéreurs pourraient envisager des stratégies commerciales ciblant des commerçants à taux faible contribuant à diminuer leurs taux global – ou inversement des commerçant à taux élevés avec une tarification adaptée.
4 – Implémenter un système d’analyse du risque : L’introduction de l’Analyse du Risque Transaction et la nécessité pour l’émetteur de se prononcer sur les demandes transmises par les acquéreurs, rendent nécessaire l’implémentation d’un système d’analyse du risque dans le contexte de L’authentification forte.
Cette analyse du risque est différente par nature et par finalité des systèmes d’autorisation déjà existants, et qu’elle vient compléter. Elle fait notamment appel aux éléments de contexte de la transaction et pourra utiliser des moteurs d’Intelligence Artificielle.
5 – Migrer à 3DSv2.2 dans les meilleurs délais : La migration à 3DSv2 doit être une priorité pour tous les acteurs afin de gérer au mieux toutes les situations client et apporter le niveau de sécurisation attendu. Alors qu’une première version 3DSv2.1 permet d’échanger les données requises et de gérer un nombre réduit d’exemptions, la version 3DSv2.2 couvre l’intégralité des régimes d’exemption et notamment l’Analyse du Risque Transaction TRA.
Cependant les versions v1 et v2 du protocole 3DS continueront à coexister pendant un certain temps. Les commerçants devront donc supporter les deux versions jusqu’à la mise en œuvre définitive du 3DSv2 afin de bénéficier du transfert de responsabilité.
Livre blanc
9
6 – Veiller à optimiser les parcours utilisateurs sous toutes leurs formes : Les normes techniques pour la mise en œuvre de L’authentification forte (RTS) offrent une variété d’options qui permettent d’adapter le traitement de L’authentification forte selon le contexte de la transaction. Les différents acteurs de la chaine de paiement, commerçant, PSP, acquéreur et émetteur devront veiller à optimiser les parcours utilisateurs en rapport avec la sécurité et la garantie de paiement appliqués à la transaction.
7 – Intégrer la data dans la stratégie d’authentification : Une stratégie d’authentification reposera sur l’utilisation pertinente des données, pour appliquer la meilleure décision arbitrant entre service au client, fluidité du paiement, sécurisation, niveau de fraude (TRA), impact financier et garantie de paiement.
Les acteurs du paiement devront s’assurer de la qualité et la disponibilité des données traitées, et de leur conformité au RGPD.
Des travaux importants devront également être engagés pour mettre en œuvre les listes de « bénéficiaire de confiance » (White Listing), créer organiser et maintenir les référentiels commerçants et porteurs.
Comment DXC peut vous aiderDXC Technology peut vous aider à vous prévaloir des règles d’exemptions d’authentification forte, mettre en place les stratégies adaptées et les décliner opérationnellement - avec des services de conseil, le développement d’applications, d’API, de mise en œuvre de dispositifs de cybersécurité et bien plus encore.
Nous possédons une expérience éprouvée dans les secteurs Banque/Assurance et les marchés de capitaux.
Nos solutions adoptent une approche agnostique sur le plan technologique axée sur l’architecture afin d’aider les banques à se transformer de façon structurée et résiliente.
DXC possède également une expertise avancée dans le secteur de la grande distribution et du e-commerce.
Nous tirons parti des nouvelles technologies numériques émergentes pour aider nos clients à prospérer dans une ère de changements et d’attentes croissantes de nos clients.
Notre expertise en matière d’expérience utilisateur et nos analyses sur la conception de services innovants peuvent aider votre entreprise à renforcer sa relation clients, notamment en optimisant leurs processus d’achat.
1. Autorité bancaire européenne, “Avis de l’ABE sur les éléments d’authentification forte du client dans le cadre de la DSP2”, juin 2019 : https://eba.europa.eu/documents/10180/2622242/EBA+Opinion+on+SCA+elements+under+PSD2+.pdf
2. Autorité bancaire européenne, “L’ABE ouvre la voie à des paiements électroniques ouverts et sécurisés pour lesconsommateurs dans le cadre de la DSP2”, février 2017 : https://eba.europa.eu/-/eba-paves-the-way-for-open-and-secure-electronic-payments-for-consumers-under-the-PSD2
Livre blanc
10
Glossaire
Abréviation Nom complet Définition3DSv2 3-D Secure
(3 Domains)Protocole de sécurité conçu pour lutter contre la fraude par carte de paiement en authentifiant les parties dans chaque domaine. Comme son nom l’indique, il opère dans trois domaines : émetteur, acquéreur et interbancaire.La version 3DSv2 concerne l’authentification du titulaire d’une carte de paiement dans le domaine émetteur. Elle est adaptée aux nouveaux supports utilisés par les achats en ligne.
ABE Autorité Bancaire Européenne
Autorité indépendante de l’Union Européenne qui assure une réglementation et une surveillance prudentielle efficace et cohérente dans l’ensemble du secteur bancaire européen. L’ABE a pour mission de maintenir une stabilité financière au sein de l’UE et de préserver l’intégrité, l’efficacité et le bon fonctionnement du secteur bancaire de l’UE.
AISP Account Information Service Provider
Prestataire de service tiers qui agit en tant qu’agrégateur des données relatives aux différents comptes d’un utilisateur de services de paiement (particulier ou professionnel). Il doit être agréé par l’autorité compétente de l’État membre d’origine (ACPR pour la France).
API Application Programming Interface
Interface de programmation (API) est un ensemble normalisé de méthodes qui sert de façade par laquelle un client consomme des services/ressources provenant d’un ou plusieurs logiciels.
ASPSP Account Servicing Payment Service Provider
Établissement de paiement traditionnel auprès duquel un utilisateur de services de paiement détient un ou plusieurs comptes ou à partir duquel il émet des paiements.
ACS Access Control Server
Serveur de contrôle d’accès basé sur les protocole 3-D Secure mis en place par l’émetteur permettant de vérifier si l’authentification est disponible pour un numéro de carte donné et authentifier l’utilisateur pour des transactions spécifiques.
BCE Banque Centrale Européenne
Institution monétaire de l’Union européenne. Elle définit les grandes orientations de la politique monétaire et prend les décisions nécessaires à leur mise en œuvre. Elle gère la monnaie unique « euro ».
Livre blanc
11
Abréviation Nom complet Définition
EC Commission Européenne
Institution de l’Union Européenne chargée de proposer la législation, de mettre en œuvre les décisions, de faire respecter les traités de l’UE et de gérer les affaires courantes de l’UE.
CS Card Scheme Réseaux de paiements par carte qui définit un ensemble unique de règles, de pratiques, de normes qui régissent l’exécution des opérations de paiement par carte.
DSP2 Directive sur les Services de Paiement
Directive européenne ayant pour objectif que les services financiers contribuent à un écosystème de paiements plus intégré et plus efficace.
EMV Europay, MasterCard, Visa
Norme technique et standard international de sécurité pour réduire la fraude et les contrefaçons de cartes de paiement à puce, les terminaux de paiement et les distributeurs automatiques de billets qui les acceptent.
MOTO Mail Order / Telephone Order
Paiement lors d’une commande par e-mail ou par téléphone.
OTP One Time Password Mot de passe à usage unique utilisé comme facteur d’authentification
PAO Payment Account Owner
Payeur dans le cadre d’un service d’initiation de paiement. Comprend également les personnes autorisées à effectuer des paiements à partir de leurs comptes respectifs.
PSIP Prestataire de Services d’Initiation de Paiement
Prestataire de service tiers qui agit en tant qu’initiateur de paiement pour le compte d’un utilisateur de services (PSU). Il doit être agréé par l’autorité compétente de l’État membre d’origine (ACPR pour la France).
PSP Payment Services Provider – Prestatairede Services dePaiement
Entreprises agréées pour offrir des services de paiement. Elles peuvent être : • établissements de crédit qui peuvent
effectuer des opérations de banque,émettre et gérer de la monnaieélectronique et fournir des services depaiement ;
• établissements de monnaie électroniquequi peuvent émettre et gérer de lamonnaie électronique et fournir desservices de paiement ;
• nouveaux établissements de paiementpouvant fournir des services depaiement.
PSU Payment Service User
Utilisateur du service de paiement - personne physique ou morale - qui détient un ou plusieurs comptes ou à partir duquel il émet des paiements.
Livre blanc
12
Abréviation Nom complet Définition
RGPD Règlement Général sur la Protection des Données
Règlement de l’Union Européenne en matière de protection des données à caractère personnel. Il renforce et unifie la protection des données pour les individus au sein de l’Union Européenne.
RTS Regulatory Technical Standards
Normes techniques de réglementation fixées par l’Autorité bancaire européenne (ABE) qui définissent les obligations de sécurité imposées aux PSP. Ces normes se concentrent en particulier sur L’authentification forte, ses exemptions et les communications ouvertes et sécurisées entre les ASPSP, les PISP et les AISP.
SCA Strong Customer Authentication
Authentification forte du Client reposant sur la vérification d’au moins 2 facteurs d’authentification parmi les 3 formes suivantes :• Connaissance : Quelque chose que seul
l’utilisateur connaît (mot de passe, code,numéro d’identification personnel...)
• Propriété / Possession : Quelque choseque seul l’utilisateur possède (clé, carteà puce, appareil mobile,…)
• Inhérence : Quelque chose quel’utilisateur est (biométrie, empreintesdigitales,…)
SEPA Single Euro Payments Area
Espace unique de paiement en euros, constitué d’un ensemble de règles visant à créer un marché unique pour tous les clients émetteurs et bénéficiaires des paiements.
SCT SEPA Credit Transfer Protocole définissant un instrument de paiement en euro sur base de virement, destiné à l’exécution de transferts de fonds entre comptes situés dans la zone SEPA. Il est exécuté à l’initiative le débiteur (le client) à destination du créancier (destinataire).
SDD SEPA Direct Debit Protocole définissant un instrument de paiement en euro sur base de prélèvement, destiné à l’exécution de transferts de fonds entre comptes situés dans la zone SEPA. Il est exécuté à l’initiative du créancier (commerçant), autorisé préalablement par le débiteur (le client) grâce à l’établissement d’un mandat.
TRA Transaction Risk Analysis
Exemption prévue dans les RTS pour les transactions de moins de 500€, à faible taux de fraude estimé sur la base d’un outil d’analyse de risque.
White Paper
Gardez une longueur d’avance. Abonnez-vous.www.dxc.technology/optin
ContactJean-François DelormePartner Paiements DXC Technology +33 6 47 28 34 [email protected]
A propos des auteursJean-François Delorme, Partner Paiements DXC Technology pour l’Europe du Sud
Bachirou Ba, consultant Paiements DXC Technology
Hela El Jeddi, consultante Paiements DXC Technology
Tony Causse, consultant Paiements DXC Technology
27
A propos de DXC Technology
Première société de services informatiques indépendante au monde,
DXC Technology gère et modernise les systèmes critiques de ses
clients, tout en intégrant de nouvelles solutions digitales pour obtenir
de meilleurs résultats. Son envergure et ses ressources globales, ses
plateformes d’innovation, son indépendance technologique et son
écosystème de partenaires permettent à 6000 clients du secteur
public et du secteur privé, dans 70 pays, de faire du changement un
catalyseur de succès.
© 2019 DXC Technology Company.Tous droits réservés.
Pour en savoir plus rendez-vous surwww.dxc.technology
