Vente à distance : renforcer la confiance

CB ajuste constamment la sécurisation du paiement par carte aux risques de la vente à distance. Les règles qui accompagnent les pratiques de paiement propres au développement des nouvelles pratiques commerciales (utilisation d'Internet, du mobile, réservations, abonnements, etc.), font également l'objet d'ajustements réguliers.

Ainsi, plusieurs dispositifs, mis en place par le Groupement des Cartes Bancaires CB, permettent d'assurer la sécurisation des transactions de paiement initiées à distance par carte CB.

A / Le cryptogramme visuel :

Il correspond aux 3 derniers chiffres inscrits au dos de la carte, à l'emplacement de la signature. C'est le premier dispositif de sécurité important, car il renforce l'identification du client.

Les commerçants doivent le demander à leur client lors de tout paiement à distance. Son contrôle peut permettre de refuser la transaction en cas d'erreur.

Pour une plus grande souplesse d'utilisation, cette obligation ne s'applique pas aux paiements récurrents comme les abonnements.

Le stockage du cryptogramme visuel est interdit.
Pour en éviter tout mauvais usage, le cryptogramme visuel ne doit pas être conservé dans les fichiers des commerçants et prestataires de services.

Ceci s'applique à tous les commerçants recevant des paiements à distance, quelle que soit la manière dont le numéro est communiqué (sur un bon de commande, un serveur vocal interactif, par Internet ou par téléphone...).

B / La demande d'autorisation :

Lors d'une transaction payée à distance avec une carte CB, la banque du client est contactée par la banque du commerçant : c'est la demande d'autorisation.
Cette demande, véhiculée par le réseau interbancaire CB (e-rsb®)* a pour but de vérifier que :

• le numéro de carte existe
• la date d'expiration est correcte
• la carte n'a pas été signalée comme étant volée ou perdue
• le plafond de paiement de la carte n'a pas été dépassé.

Si toutes ces conditions sont réunies, la banque du client autorise la transaction.

Attention, obtenir l'autorisation ne signifie pas que le paiement est garanti.
L'attribution d'un numéro d'autorisation n'entraîne pas le règlement du prix de la commande effectuée.
Elle signifie que la carte n'a pas été signalée comme volée ou perdue et que les sommes ne dépassent pas les plafonds d'utilisation au moment de l'autorisation.
Ceci confère au commerçant une information de sécurité supplémentaire sur la qualité de son client.

* dans le cas où la banque du commerçant et la banque du client seraient différentes

C / L'authentification en ligne :

Pour disposer d'une sécurité optimale, le commerçant doit rechercher à identifier son client, c'est-à-dire vérifier qu'il est le véritable porteur de la carte utilisée pour le paiement.

Pour cela, les banques CB proposent l'architecture de paiement 3D Secure, qui leur permet d'acheminer des informations relatives à l'authentification de leurs clients.

Cette architecture permet, à partir de la demande effectuée par le serveur du commerçant, de remonter à la banque de son client, de l'authentifier, de recueillir son accord sur les conditions de réalisation de la transaction (montant, etc.) et d'établir des preuves ou certificat justifiant la transaction effectuée par le client.

C'est une chaîne sécurisée qui n'entraîne aucune complexité supplémentaire pour le commerçant car elle est d'ores et déjà intégrée par les fournisseurs de services de paiement.

D / Une protection supplémentaire : le PCI DSS

Le programme PCI DSS (Payment Card Industry Data Security Standard) a été adopté par tous les réseaux internationaux de cartes pour établir des règles de protection des données liées aux cartes et à leur utilisation et à leur stockage.

Il s'applique directement au commerçant ou à l'hébergeur de son système de paiement. Il définit des règles d'exigence en matière de sécurité que commerçants et/ou prestataires doivent respecter.

L'application du programme est auditée par les banques.
Il est donc très important de bien veiller à respecter ses règles, qui visent à protéger commerçants et clients.

Pour tous les détails, prenez contact avec votre banquier.

Surfez intelligent Tous les conseils de la Direction du développement des médias. Pour en savoir plus, rendez-vous sur le site!