- Qu’est-ce que la DSP 2 ?
- Quels sont les principaux changements ?
- L'authentification forte
- L’authentification sans friction
- La sélection du mode d’authentification
- Les exemptions
- Votre version du module est-elle à jour pour la DSP2 ?
- Votre boutique est basée sur un module officiel PayPlug : Prestashop, WooCommerce, Magento, Shopify
- Votre boutique est basée sur un autre CMS
- Vous avez développé votre boutique en utilisant l’API de PayPlug
- Quels sont les risques si vous n'êtes pas à jour ?
Qu’est-ce que la DSP 2 ?
Adoptée le 24 juillet 2013, la nouvelle version de la directive sur les services de paiement (dite DSP 2) a pour objectif principal de fluidifier le paiement sur Internet entre le commerçant et la banque de l'acheteur ainsi que d'augmenter la sécurité des transactions en ligne.
Cette nouvelle directive entre progressivement en application en 2021. Pour être continuellement informés sur ce sujet, nous vous recommandons de suivre notre blog.
Quels sont les principaux changements ?
Le principal changement concerne la gestion de l'authentification du payeur.
L'authentification forte
L’objectif de la mise en place de l’authentification forte est de renforcer la sécurité des paiements en se basant sur au moins 2 des points de contrôles suivants :
- Quelque chose que le client connaît (Connaissance) : par exemple un mot de passe
- Quelque chose que le client possède (Possession) : un téléphone, un ordinateur, un boitier …
- Quelque chose que le client est (Inhérence) : une empreinte digitale, reconnaissance faciale …
C’est la banque de votre client qui décidera pour ce dernier quels sont les points de contrôles qui devront être utilisés dans le cadre de l’authentification.
Les banques devraient commencer à communiquer durant l’été auprès de leur client sur les méthodes d’authentification et les solutions qu’elles vont privilégier.
L’authentification sans friction
Au travers de cette méthode, votre client n'est pas soumis au 3-D Secure v2.0. Cette procédure simplifiée est rendue possible grâce à une meilleur communication entre les différents acteurs composant la chaîne de traitement des paiements. En effet, la DSP 2 prévoit une liste d’informations devant être remontées obligatoirement sur chaque paiement. Par exemple, les adresses de livraison et de facturation doivent désormais être fournies sur toutes les transactions.
La sélection du mode d’authentification
Dans le cadre du traitement d’un paiement 3 acteurs sont impliqués dans le processus de déclenchement du mode d’authentification :
- PayPlug : votre solution de paiement
- L’acquéreur : la banque qui réalise les “demandes” de transaction pour vous
- La banque émettrice : la banque utilisée par votre client
Ainsi lorsqu’un client viendra sur votre boutique pour effectuer un achat, lors du paiement PayPlug va demander l’authentification forte ou sans friction, l’acquéreur valide (ou non) le choix et c’est en définitive la banque émettrice qui aura le dernier mot et qui acceptera (ou non) la préférence émise initialement.
En fonction de la réponse de sa banque, votre client sera soumis à une authentification forte ou bien une authentification sans friction.
Les exemptions
L’objectif de la DSP 2 est de fluidifier les paiements malgré le renforcement de l’authentification. Ainsi, différentes exemptions ont été mises en place :
- Les paiements à faible risque : L’authentification forte n’est pas requise lorsque la solution de paiement dispose d’un système performant d’analyse des risques et lorsque le taux de fraude de son acquéreur est bas.
- Paiements inférieurs à 30€ : Les montants inférieurs à 30€ ne sont pas soumis à l’authentification forte. Cependant celle-ci est tout de même requise tous les 5 paiements (même en deçà de 30€) et lorsque le montant cumulé excède 100€.
- Paiements initiés par le marchand (récurrent et fractionné) : Les paiements récurrents ou fractionnés avec un montant fixe ne sont pas concernés (une fois le 1er paiement effectué) car ils sont considérés comme étant “initiés par le marchand”.
- Paiements d’entreprises : Les paiements effectués via des canaux dédiés d’entreprises. Exemple : centrales de voyages.
- Hors zone Euro : Les transactions où soit le marchand, soit le payeur est situé hors de la zone Euro. La DSP2 étant une règlementation européenne, certaines banques de certains pays n'ont pas de 3DS requis ce qui explique que certains clients non pas une carte permettant une vérification par 3DS .
Votre version du module est-elle à jour pour la DSP2 ?
Votre boutique est basée sur un module officiel PayPlug : Prestashop, WooCommerce, Magento, Shopify
Si votre version du module répond au critère minimum, alors vous êtes bien compatible avec la DSP2. Les paiements en 1-clic sont également correctement traités.
Le tableau ci-dessous présente les versions des modules officiels PayPlug compatibles avec la DSP2.
| Version du CMS | Version minimale du module | Version recommandée |
| PrestaShop 1.4 et 1.5 | 2.24.1 | 2.24.1 |
| PrestaShop 1.6.0 | 2.30.1 | 2.30.1 |
| PrestaShop 1.6.1 et au delà | 2.30.1 | > 3.5 |
| PrestaShop 1.7.x | 3.1 | > 3.5 |
| Magento 1.x | 1.9 | Ne s'applique pas |
| Magento 2.x | 1.13 | > 1.19 |
| WooCommerce | 1.1 | > 1.4 |
| Shopify | Compatible sans besoin de mise à jour | |
Votre boutique est basée sur un autre CMS
Ces dernières années plusieurs développeurs ont proposé des modules afin de rendre notre service disponible sur d’autres plateformes (cmonsite, e-monsite, Wizishop, etc.) De notre côté nous nous efforçons de les contacter pour leur demander d’effectuer une mise à jour.
Si vous êtes dans ce cas, n’hésitez pas à contacter les propriétaires de ces modules pour vérifier qu'ils sont bien compatibles.
Vous avez développé votre boutique en utilisant l’API de PayPlug
Si vous avez développé une intégration technique pour un site sur mesure en vous basant sur notre documentation, les critères sont les suivants.
1. Concernant les paiements simples.
- Vous devez utiliser le versioning avec la version 2019-08-06
- Votre version de la bibliothèque doit être la 3.0 minimum
- Les propriétés Billing et Shipping ne sont pas obligatoires mais fortement recommandées.
- Des explications détaillées figurent dans notre guide PDF en pièce jointe en bas de la page.
2. Concernant les paiements en 1-clic en intégration technique, une adaptation supplémentaires est nécessaire. Nous vous recommandons fortement de consulter le guide au format PDF disponible en pièce jointe en bas de la page.
Quels sont les risques si vous n'êtes pas à jour ?
Nous avons de notre côté identifié 3 risques importants :
- En cas de non mise à jour du module ou de l'intégration, les paiements simples continuent de fonctionner normalement. Cependant il y a de fortes chances que l’authentification forte par le 3-D Secure soit systématique et concerne donc tous les paiements.
- Si la banque émettrice de la carte n’est pas compatible avec la DSP 2, les paiements continuent aussi de fonctionner normalement. En cas de paiement sous le seuil du 3-D Secure, l’authentification forte ne devrait pas être nécessaire. Au-dessus du seuil c’est l’ancien système qui continue à fonctionner.
- Si vous utilisez le 1-Clic, les transactions basées sur ce mode de paiement ne fonctionneront plus à partir du 15 Avril 2021.
Pour aller plus loin :