Questions fréquemment posées
Questions fréquemment posées
3DS v2
Les exclusions sont des transactions qui n’entrent PAS dans l’application de la réglementation PSD2 (authentification forte):
• Commande mail / commande téléphonique (MOTO)
• Le PSP du marchant (aussi appelé l’acquéreur) ou le PSP de l’acheteur (aussi appelé le fournisseur de méthode de paiement de l’acheteur) est hors de la zone EEE.
• Les cartes de paiement anonymes avec une valeur maximale de 150 € (article 63)
• MIT - Transactions Initiées par le Marchant
Les exemptions sont des transactions entrant DANS l'application de la réglementation PSD2 (authentification forte):
• Transactions de faible valeur
• Abonnements
• Analyse de risque
• Whitelisting
Que se passe-t-il si le marchand demande 3-D Secure et que la banque émettrice ne le déclenche pas ?
À moins que l’authentification soit une étape obligatoire (c.-à-d. en cas d’enregistrement de carte ou de transaction initiale d’une série de transactions récurrentes), les émetteurs peuvent décider de transmettre l’authentification. Dans ce type de scénario, l’émetteur sera responsable en cas de rejet de débit.
Ajouter valeur de la carte (Add Card Value) fait référence au cas où un fournisseur de portefeuille utilise le protocole 3DS pour ajouter une carte à son portefeuille. Cette procédure sera mise en œuvre par le fournisseur de portefeuille concerné.
Si vous utilisez notre page page de paiement PostFinance PostFinance s’occupera de tous les champs obligatoires.
Si vous êtes intégré en DirectLink, ce qui signifie que vous avez votre propre page de paiement, nous avons un exemple Javascript disponible sur la page de support pour collecter les données obligatoires.
Pour la collecte facultative d'informations, reportez-vous à notre page de support pour savoir comment intégrer avec PostFinance.
La COF en résumé : le client effectue une première transaction avec un commerçant via 3D-S (CIT). À partir de cette première expérience, le commerçant est en mesure d’effectuer des transactions récurrentes (abonnement ou avec l’autorisation du client -> création d’un jeton), identifiées en tant que transactions MIT.
Les MIT font partie des exceptions envisagées avec la 3DSv2., si elles remplissent toutes les conditions suivantes:
- transactions ultérieures à une CIT initiale
- La CIT a été effectuée avec une authentification obligatoire
- Un lien d’identification dynamique est créé entre la CIT initiale et les MIT ultérieures
Après l’authentification initiale, des exceptions/exclusions s’appliquent:
- Soit en raison d’exceptions légales récurrentes qui s’appliquent aux abonnements avec un montant et une périodicité fixes (il est conseillé aux commerçants d’authentifier le montant total et de fournir le détail du nombre de paiements autorisés avec les détenteurs de carte)
- Soit parce que les autres types de transactions sont exclues du périmètre de la SCA... au risque exclusif du commerçant en cas de débit rejeté (protection limitée au montant authentifié) ET besoin pour l’émetteur d’accepter ce risque :
- COF non programmée: le principe des transactions ultérieures est convenu avec le détenteur de la carte, mais le montant et/ou la périodicité n’est pas fixé(e)
- Pratiques sectorielles: progressif, absence de présentation, etc...
Pour la période de transition, les programmes ont défini une identification par défaut à utiliser pour les MIT ultérieures créées avant l’introduction de la 3DS v2.
Notre plate-forme de test est prête pour supporter les tests. Un simulateur est disponible pour créer tous les scénarios de tests.
Des cartes de test ont été fournies et peuvent être trouvées sur le site de support ainsi que dans l'environnement TEST (Configuration > Information technique > Info de test).
Si vous voulez commencer à utiliser la version 2 du 3DS en production, contactez-nous.
La version 2 du 3D-Secure est une évolution des programmes 3D-Secure version 1 existants: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy et JCB J/Secure. Il est basé sur une spécification élaborée par EMVco. EMVCo a pour objectif de faciliter l'interopérabilité et l'acceptation mondiales des transactions de paiement sécurisées. Il est supervisé par les six organisations membres d’EMVCo - American Express, Discover, JCB, Mastercard, UnionPay et Visa - et soutenu par des dizaines de banques, marchands, processeurs, vendeurs et autres parties prenantes du secteur qui participent en tant qu’associés EMVCo.
L'une des principales différences de la version 2 réside dans le fait que l'émetteur peut utiliser un grand nombre de données issues de la transaction afin de déterminer le risque de la transaction (analyse basée sur les risques). Pour les transactions à faible risque, les émetteurs ne contestent pas la transaction (par exemple, n'envoient pas de SMS au titulaire de la carte) bien qu'ils authentifient la transaction (transaction fluide – sans authentification forte). Inversement, pour les transactions à haut risque, les émetteurs exigeront que le titulaire de la carte s'authentifie avec un SMS ou un moyen biométrique (challenge) ou autre.
Par ailleurs, l’authentification forte (SCA) requise à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, comme spécifié dans DSP2, entraînera une augmentation substantielle du nombre de transactions nécessitant l'utilisation de l'authentification 3-D Secure. L'utilisation de la version 2 de 3-D Secure devrait limiter autant que possible l'impact négatif sur la conversion.
En bref, 3-D Secure version 2 signifie :
• Vous devrez implémenter le 3-D Secure avant le 1er janvier 2021 si vos transactions tombent sous les exigences relatives aux directives de l'UE PSD2 SCA (au cas où vous ne supporteriez pas déjà le 3-D Secure).
• La transmission de données supplémentaires est conseillé (et dans certains cas requis) lors de l’envoie de la transaction pour soutenir l'évaluation des risques effectuée par l'émetteur dans le cas de 3-D Secure version 2.
• Nous vous conseillons de vérifier si votre politique de confidentialité en ce qui concerne le GDPR est à jour, car vous pourriez partager des données supplémentaires avec des tiers.
• Une expérience utilisateur bien meilleure pour vos clients
Le marché s’attend à un pourcentage substantiel des transactions utilisant la version 2 de 3-D Secure qui suivra un flux fluide, ce qui n’exige rien de plus du détenteur de la carte par rapport aux flux de paiement actuels de la solution 3-D Secure. Cela signifie que vous bénéficiez d’une hausse en matière de sécurité et de transfert de responsabilité fourni par les programmes 3-D Secure, tandis que la conversion de votre procédé de check-out ne devrait pas être affectée négativement.
L’Autorité bancaire européenne (ABE) et les banques nationales de chaque pays affecté ont convenu d’un sursis (jusqu’en mars 2020 au minimum). Ceci permet à chaque acteur du secteur de l’e-commerce de comprendre tous les aspects relatifs à cette nouvelle réglementation. Nous vous conseillons toutefois d’activer 3DS sur tous vos comptes dès que possible.
Notre environnement TEST étant prêt, nous vous conseillons de commencer à tester votre intégration dès que possible.
Cliquez ici si vous utilisez la page eCommerce. Cliquez ici si vous utilisez votre propre page.
Pour faciliter les choses à la fois pour les commerçants et les consommateurs, PSD2 permet certaines exemptions de l’authentification forte des clients. Il est important de noter que toutes les transactions qui qualifient pour une exemption ne seront pas automatiquement exemptées. Dans le cas de transactions par carte, par exemple, c’est la banque émettrice qui décide si une exemption est approuvée ou non. Ainsi, même si une transaction est éligible à une exemption, le client peut néanmoins être amené à effectuer une authentification forte, si la banque émettrice de la carte choisit de l’exiger.
Si l’émetteur applique la nouvelle procédure PSD2 et que 3-D Secure (3DS) n’est pas activé dans le compte du marchand, la transaction sera refusée via un nouveau code d'erreur - "soft decline". Par conséquent, veuillez vous assurer que 3DS est actif pour chaque méthode de paiement par carte de votre(vos) compte(s). Si vous êtes intégrés avec DirectLink (server to Server), vous devez implémenter le mécanisme du "soft decline" comme décrit dans notre guide.
Cette situation est possible uniquement si vous êtes intégré via DirectLink seulement (page du commerçant / FlexCheckOut), en tant que PostFinance page de paiement hébergée, PostFinance recueille les données obligatoires.
Tout d’abord, PostFinance identifiera le flux à rediriger vers la v1 ou la v2 en fonction du numéro de la carte.
Si la carte est associée à la V2, les cas suivants peuvent se produire:
Données obligatoires:
- Si des données erronées sont transmises, la transaction est bloquée
- S’il manque des données, PostFinance redirigera votre transaction vers le flux de la v1
- Si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais redirigée vers le flux de la v1
Données recommandées ou facultatives:
- si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais elle ne peut pas bénéficier de l’exception.
A partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, les règles d’authentification forte entreront en vigueur pour tous les paiements digitaux en Europe. À l'heure actuelle, les banques, les prestataires de services de paiement et les réseaux de cartes travaillent tous sur des solutions techniques qui répondront aux exigences de la DSP2. Pour accepter les paiements après le 1er janvier, vous devrez vous assurer que ces solutions techniques fonctionneront avec votre boutique en ligne.
Afin d’accepter les paiements des plus grands réseaux de cartes au monde, Visa, Mastercard et Amex, il est impératif que vous ayez implémenté la solution de sécurité 3D-Secure pour votre boutique en ligne. Le 3D-Secure est utilisé depuis 2001 et vise à améliorer la sécurité des transactions par carte en ligne, mais une nouvelle version a été développée pour faciliter les exigences de l’authentification forte de la DSP2.
Nous vous recommandons d'utiliser 3D-Secure, car cela permet d'éviter les risque de fraude et vous dégage également de toute responsabilité en cas de fraude. À partir du 1er janvier 2021, le 3D-Secure sera également nécessaire pour accepter les paiements des principales cartes.
3DSv2 invite les marchands à envoyer des informations supplémentaires (obligatoire / recommandé..). Tout ce que vous devez savoir, en tant que marchand peut être trouvé ici:
Étant donné que 3DSv2 introduit une authentification frictionless, il est possible que le temps de traitement d’une transaction soit réduit. À l’inverse, si une authentification approfondie du client (Strong Customer Authentifcation) est demandée, le temps de traitement pourrait être plus long.
Avec le lancement de la plateforme en juillet, nous avons amélioré les détails relatifs à l’aperçu des transactions. Les transactions individuelles accessibles contiennent à présent des informations détaillées sur le flux qui a été utilisé (3DS v1 historique ou 3DS v2). Vous trouverez plus d’informations dans nos notes de version 04.133 dans le back-office par le biais de Assistance > Versions de la plateforme > Version 04.133
En outre, nous avons ajouté le nouveau paramètre VERSION_3DS à notre outil de reporting électronique.
Les valeurs possibles pour VERSION_3DS sont
V1 (pour 3DS v1)
V2C (pour 3DS v2 avec flux avec processus d’identification)
V2F (pour 3DS v2 avec flux frictionless)
Pour ajouter ce paramètre au téléchargement de vos fichiers de transaction, suivez les instructions fournies dans cette vidéo :
Dans un tel cas, PostFinance gérera automatiquement une procédure de secours vers 3-D Secure v1.
La deuxième Directive Européenne relative aux Services de Paiement (2015/2366 DSP2), entrée en vigueur en janvier 2018 et qui vise à assurer la protection des consommateurs pour tous les types de paiement, en promouvant un paysage de paiements encore plus ouverts et concurrentiels. En tant que fournisseur de services de paiement, nous sommes fiers d’être certifiés selon la norme DSP2 depuis le 29 mai 2018.
L'une des principales exigences de la DSP2 concerne l’authentification forte (SCA) qui sera requise pour toutes les transactions électroniques dans l'UE à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni. L’authentification forte exigera que les détenteurs de cartes s'identifient avec au moins DEUX des trois méthodes suivantes :
• quelque chose qu’ils connaissent (code PIN, mot de passe, …)
• quelque chose qu’ils possèdent (lecteur de carte, mobile, …)
• quelque chose qu’ils sont (reconnaissance vocale, empreinte digitale, …)
Cela signifie que vos clients ne pourront plus, en pratique, effectuer un paiement par carte en ligne en utilisant uniquement les informations figurant sur leurs cartes. Par exemple, ils devront valider leur identité via une application bancaire connectée à leur téléphone et nécessitant un mot de passe ou une empreinte digitale pour approuver leur achat.
Plus d'informations sur DSP2 sont disponibles ici : https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf
Pourrions-nous fournir une authentification sécurisée effectuée sur un autre MPI que le PostFinance?
Non et ce n’est pas non plus prévu.
Co-badging
Si vous acceptez des marques locales disponibles sur des cartes émises au sein de l’UE, vous êtes impactés.
Cette page est uniquement présentée pour les marchands eCom acceptant d’autres marques que Visa, MasterCard ou Amex, mais qui n’envoient pas la marque à utiliser pour accepter la transaction. L’envoi de la marque à utiliser pour accepter la transaction supprimera la page.
Si vous acceptez les marques Carte Bancaire (France), Bancontact (Belgium) or Dankort (Denmark),vous devez être conformes. La réglementation n’indique pas de « marques », mais fournit un cadre cumulatif :
- La carte doit être émise au sein de l’UE.
- La marque ne doit pas être limitée (les marques limitées sont celles émises par des marchands, utilisées pour acquérir un nombre limité de biens ou services, fournies pour être utilisées dans le secteur public, etc…)
- Le marchand doit déjà accepter la marque. Si un marchant accepte un paiement avec une marque X ou Y, le marchand doit autoriser le payeur à choisir quelle marque utilisée quand le payeur utilise une carte incluant les 2 marques X et Y.
Quand la conformité est légalement requise (le marchand accepte des marques présents sur des cartes européennes soumises à la règlementation), mais que le marchand n’est pas conforme, les autorités locales de chaque Etat membre peuvent infliger une amende au marchand. L’amende peut varier d’un pays à l’autre.
La conformité est d’ores et déjà requise, mais pas mises en place par tous les participants et chaque pays de l’UE est libre de décider quand les pénalités entreront en vigueur. Nous invitons tous les marchands à se mettre en conformité dès que possible, notamment pour les marchés où les cartes co-badgées sont fortement utilisées (ex : En France, pour les marchands acceptant la Carte Bancaire).
Si vous utilisez les URLs de redirection (eCom) et acceptez des marques qui peuvent potentiellement être impactées par la réglementation ou potentiellement co-badgée avec une autre marque impactée par la réglementation, nous devons nous assurer que le payeur aura la possibilité d’exprimer le cas échéant un choix de marque et donc nous affichons une page de sélection. Pour éviter cette page de sélection, envoyez la marque qui doit être utilisée pour accepter la transaction.
Configuration
Si vous souhaitez modifier le PSPID d’un compte de production existant, veuillez contacter votre gestionnaire de compte PostFinance qui vous créera un compte.
Le PSPID de votre compte existant ne peut être changé mais un nouveau compte avec un nouvel Identifiant peut être créé pour vous.
Veuillez noter que ce service est payant.
Le délai d’activation des méthodes de paiement dépend des facteurs suivants :
- Il faut généralement compter une semaine pour qu’un acquéreur ou une banque valide l’affiliation. Si vous êtes déjà affilié, l’activation ne prendra que quelques jours.
- Certaines méthodes de paiement nécessitent des vérifications supplémentaires avant de pouvoir les activer. C’est le cas de 3-D Secure, qui est demandé directement auprès de VISA ou de MasterCard (et non de l’acquéreur).
Avec PostFinance Collect, vous pouvez activer plusieurs méthodes de paiement à la fois.
Invoicing
Si vous souhaitez modifier votre adresse de facturation ou la méthode de paiement de vos factures, veuillez envoyer un e-mail, en mentionnant votre PSPID, à notre service clientèle.
Notre service clientèle traitera votre demande.
Veuillez contacter notre équipe qui pourra vous aider à obtenir une copie.
Transactions
Vous ne pouvez effectuer des remboursements que sur les transactions pour lesquelles les fonds ont été déjà transférés vers votre compte bancaire. L’annulation ou la suppression d’un paiement est possible avant qu’il n’ait été entièrement traité, c’est-à-dire avant l’heure limite de la journée, moment auquel toutes les transactions de la veille sont traitées.
Pour connaître l’heure limite de l’acquéreur, nous vous recommandons de le contacter directement.
Vous pouvez facilement rembourser un paiement en cliquant sur le bouton « Rembourser » dans l’aperçu des commandes d’une transaction (dans « Afficher les transactions »). Si votre compte le permet, vous pouvez également effectuer des remboursements avec une demande DirectLink ou l’option de téléchargement de fichier Batch (en cas de transactions multiples).
Sachez que l’option « Remboursement » doit être activée sur votre compte.
Cliquez sur Gérer vos transactions pour obtenir plus d’informations.
Dans le menu de votre compte PostFinance, vous pouvez facilement rechercher vos transactions en cliquant sur « Opérations », puis sur « Afficher les transactions » ou « Historique financier », selon le type de résultat que vous recherchez.
Cliquez sur Consulter vos transactions pour obtenir plus d’informations.
Troubleshooting
Il existe différentes raisons pour lesquelles vous ne pouvez pas rembourser une transaction. Vous devez tenir compte des éléments suivants (à condition d’avoir activé l’option « Remboursement » de votre compte) :
- La transaction présente le statut « incomplet », par exemple un statut erroné ou en attente (91, 92, etc.) qui ne permet pas d’effectuer le remboursement.
- Si la transaction est autorisée (statut 5), aucun paiement n’a été effectué à ce stade. Dans ce cas, vous devez annuler l’autorisation au lieu d’effectuer un remboursement.
- La méthode de paiement utilisée n’est pas compatible avec la fonction de remboursement, ce qui peut être le cas avec certaines cartes de crédit, méthodes de banque en ligne et méthodes de paiement « hors ligne » (virement bancaire, par exemple).
Demandez à un utilisateur administrateur sur votre PSPID de désactiver l’authentification à 2 facteurs pour vous ou contactez l’équipe du service à la clientèle.
Les exclusions sont des transactions qui n’entrent PAS dans l’application de la réglementation PSD2 (authentification forte):
• Commande mail / commande téléphonique (MOTO)
• Le PSP du marchant (aussi appelé l’acquéreur) ou le PSP de l’acheteur (aussi appelé le fournisseur de méthode de paiement de l’acheteur) est hors de la zone EEE.
• Les cartes de paiement anonymes avec une valeur maximale de 150 € (article 63)
• MIT - Transactions Initiées par le Marchant
Les exemptions sont des transactions entrant DANS l'application de la réglementation PSD2 (authentification forte):
• Transactions de faible valeur
• Abonnements
• Analyse de risque
• Whitelisting
Que se passe-t-il si le marchand demande 3-D Secure et que la banque émettrice ne le déclenche pas ?
Si vous utilisez notre page page de paiement PostFinance PostFinance s’occupera de tous les champs obligatoires.
Si vous êtes intégré en DirectLink, ce qui signifie que vous avez votre propre page de paiement, nous avons un exemple Javascript disponible sur la page de support pour collecter les données obligatoires.
Pour la collecte facultative d'informations, reportez-vous à notre page de support pour savoir comment intégrer avec PostFinance.
La COF en résumé : le client effectue une première transaction avec un commerçant via 3D-S (CIT). À partir de cette première expérience, le commerçant est en mesure d’effectuer des transactions récurrentes (abonnement ou avec l’autorisation du client -> création d’un jeton), identifiées en tant que transactions MIT.
Les MIT font partie des exceptions envisagées avec la 3DSv2., si elles remplissent toutes les conditions suivantes:
- transactions ultérieures à une CIT initiale
- La CIT a été effectuée avec une authentification obligatoire
- Un lien d’identification dynamique est créé entre la CIT initiale et les MIT ultérieures
Après l’authentification initiale, des exceptions/exclusions s’appliquent:
- Soit en raison d’exceptions légales récurrentes qui s’appliquent aux abonnements avec un montant et une périodicité fixes (il est conseillé aux commerçants d’authentifier le montant total et de fournir le détail du nombre de paiements autorisés avec les détenteurs de carte)
- Soit parce que les autres types de transactions sont exclues du périmètre de la SCA... au risque exclusif du commerçant en cas de débit rejeté (protection limitée au montant authentifié) ET besoin pour l’émetteur d’accepter ce risque :
- COF non programmée: le principe des transactions ultérieures est convenu avec le détenteur de la carte, mais le montant et/ou la périodicité n’est pas fixé(e)
- Pratiques sectorielles: progressif, absence de présentation, etc...
Pour la période de transition, les programmes ont défini une identification par défaut à utiliser pour les MIT ultérieures créées avant l’introduction de la 3DS v2.
Notre plate-forme de test est prête pour supporter les tests. Un simulateur est disponible pour créer tous les scénarios de tests.
Des cartes de test ont été fournies et peuvent être trouvées sur le site de support ainsi que dans l'environnement TEST (Configuration > Information technique > Info de test).
Si vous voulez commencer à utiliser la version 2 du 3DS en production, contactez-nous.
La version 2 du 3D-Secure est une évolution des programmes 3D-Secure version 1 existants: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy et JCB J/Secure. Il est basé sur une spécification élaborée par EMVco. EMVCo a pour objectif de faciliter l'interopérabilité et l'acceptation mondiales des transactions de paiement sécurisées. Il est supervisé par les six organisations membres d’EMVCo - American Express, Discover, JCB, Mastercard, UnionPay et Visa - et soutenu par des dizaines de banques, marchands, processeurs, vendeurs et autres parties prenantes du secteur qui participent en tant qu’associés EMVCo.
L'une des principales différences de la version 2 réside dans le fait que l'émetteur peut utiliser un grand nombre de données issues de la transaction afin de déterminer le risque de la transaction (analyse basée sur les risques). Pour les transactions à faible risque, les émetteurs ne contestent pas la transaction (par exemple, n'envoient pas de SMS au titulaire de la carte) bien qu'ils authentifient la transaction (transaction fluide – sans authentification forte). Inversement, pour les transactions à haut risque, les émetteurs exigeront que le titulaire de la carte s'authentifie avec un SMS ou un moyen biométrique (challenge) ou autre.
Par ailleurs, l’authentification forte (SCA) requise à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, comme spécifié dans DSP2, entraînera une augmentation substantielle du nombre de transactions nécessitant l'utilisation de l'authentification 3-D Secure. L'utilisation de la version 2 de 3-D Secure devrait limiter autant que possible l'impact négatif sur la conversion.
En bref, 3-D Secure version 2 signifie :
• Vous devrez implémenter le 3-D Secure avant le 1er janvier 2021 si vos transactions tombent sous les exigences relatives aux directives de l'UE PSD2 SCA (au cas où vous ne supporteriez pas déjà le 3-D Secure).
• La transmission de données supplémentaires est conseillé (et dans certains cas requis) lors de l’envoie de la transaction pour soutenir l'évaluation des risques effectuée par l'émetteur dans le cas de 3-D Secure version 2.
• Nous vous conseillons de vérifier si votre politique de confidentialité en ce qui concerne le GDPR est à jour, car vous pourriez partager des données supplémentaires avec des tiers.
• Une expérience utilisateur bien meilleure pour vos clients
Le marché s’attend à un pourcentage substantiel des transactions utilisant la version 2 de 3-D Secure qui suivra un flux fluide, ce qui n’exige rien de plus du détenteur de la carte par rapport aux flux de paiement actuels de la solution 3-D Secure. Cela signifie que vous bénéficiez d’une hausse en matière de sécurité et de transfert de responsabilité fourni par les programmes 3-D Secure, tandis que la conversion de votre procédé de check-out ne devrait pas être affectée négativement.
L’Autorité bancaire européenne (ABE) et les banques nationales de chaque pays affecté ont convenu d’un sursis (jusqu’en mars 2020 au minimum). Ceci permet à chaque acteur du secteur de l’e-commerce de comprendre tous les aspects relatifs à cette nouvelle réglementation. Nous vous conseillons toutefois d’activer 3DS sur tous vos comptes dès que possible.
Notre environnement TEST étant prêt, nous vous conseillons de commencer à tester votre intégration dès que possible.
Cliquez ici si vous utilisez la page eCommerce. Cliquez ici si vous utilisez votre propre page.
Pour faciliter les choses à la fois pour les commerçants et les consommateurs, PSD2 permet certaines exemptions de l’authentification forte des clients. Il est important de noter que toutes les transactions qui qualifient pour une exemption ne seront pas automatiquement exemptées. Dans le cas de transactions par carte, par exemple, c’est la banque émettrice qui décide si une exemption est approuvée ou non. Ainsi, même si une transaction est éligible à une exemption, le client peut néanmoins être amené à effectuer une authentification forte, si la banque émettrice de la carte choisit de l’exiger.
Si l’émetteur applique la nouvelle procédure PSD2 et que 3-D Secure (3DS) n’est pas activé dans le compte du marchand, la transaction sera refusée via un nouveau code d'erreur - "soft decline". Par conséquent, veuillez vous assurer que 3DS est actif pour chaque méthode de paiement par carte de votre(vos) compte(s). Si vous êtes intégrés avec DirectLink (server to Server), vous devez implémenter le mécanisme du "soft decline" comme décrit dans notre guide.
Cette situation est possible uniquement si vous êtes intégré via DirectLink seulement (page du commerçant / FlexCheckOut), en tant que PostFinance page de paiement hébergée, PostFinance recueille les données obligatoires.
Tout d’abord, PostFinance identifiera le flux à rediriger vers la v1 ou la v2 en fonction du numéro de la carte.
Si la carte est associée à la V2, les cas suivants peuvent se produire:
Données obligatoires:
- Si des données erronées sont transmises, la transaction est bloquée
- S’il manque des données, PostFinance redirigera votre transaction vers le flux de la v1
- Si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais redirigée vers le flux de la v1
- si aucune donnée n’est transmise, la transaction n’est PAS bloquée, mais elle ne peut pas bénéficier de l’exception.
A partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni, les règles d’authentification forte entreront en vigueur pour tous les paiements digitaux en Europe. À l'heure actuelle, les banques, les prestataires de services de paiement et les réseaux de cartes travaillent tous sur des solutions techniques qui répondront aux exigences de la DSP2. Pour accepter les paiements après le 1er janvier, vous devrez vous assurer que ces solutions techniques fonctionneront avec votre boutique en ligne.
Afin d’accepter les paiements des plus grands réseaux de cartes au monde, Visa, Mastercard et Amex, il est impératif que vous ayez implémenté la solution de sécurité 3D-Secure pour votre boutique en ligne. Le 3D-Secure est utilisé depuis 2001 et vise à améliorer la sécurité des transactions par carte en ligne, mais une nouvelle version a été développée pour faciliter les exigences de l’authentification forte de la DSP2.
Nous vous recommandons d'utiliser 3D-Secure, car cela permet d'éviter les risque de fraude et vous dégage également de toute responsabilité en cas de fraude. À partir du 1er janvier 2021, le 3D-Secure sera également nécessaire pour accepter les paiements des principales cartes.
3DSv2 invite les marchands à envoyer des informations supplémentaires (obligatoire / recommandé..). Tout ce que vous devez savoir, en tant que marchand peut être trouvé ici:
En outre, nous avons ajouté le nouveau paramètre VERSION_3DS à notre outil de reporting électronique.
Les valeurs possibles pour VERSION_3DS sont
V1 (pour 3DS v1)
V2C (pour 3DS v2 avec flux avec processus d’identification)
V2F (pour 3DS v2 avec flux frictionless)
Pour ajouter ce paramètre au téléchargement de vos fichiers de transaction, suivez les instructions fournies dans cette vidéo :
La deuxième Directive Européenne relative aux Services de Paiement (2015/2366 DSP2), entrée en vigueur en janvier 2018 et qui vise à assurer la protection des consommateurs pour tous les types de paiement, en promouvant un paysage de paiements encore plus ouverts et concurrentiels. En tant que fournisseur de services de paiement, nous sommes fiers d’être certifiés selon la norme DSP2 depuis le 29 mai 2018.
L'une des principales exigences de la DSP2 concerne l’authentification forte (SCA) qui sera requise pour toutes les transactions électroniques dans l'UE à partir du 1er janvier 2021 pour l'Union Européenne et à partir du 14 septembre 2021 pour le Royaume-Uni. L’authentification forte exigera que les détenteurs de cartes s'identifient avec au moins DEUX des trois méthodes suivantes :
• quelque chose qu’ils connaissent (code PIN, mot de passe, …)
• quelque chose qu’ils possèdent (lecteur de carte, mobile, …)
• quelque chose qu’ils sont (reconnaissance vocale, empreinte digitale, …)
Cela signifie que vos clients ne pourront plus, en pratique, effectuer un paiement par carte en ligne en utilisant uniquement les informations figurant sur leurs cartes. Par exemple, ils devront valider leur identité via une application bancaire connectée à leur téléphone et nécessitant un mot de passe ou une empreinte digitale pour approuver leur achat.
Plus d'informations sur DSP2 sont disponibles ici : https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf
Pourrions-nous fournir une authentification sécurisée effectuée sur un autre MPI que le PostFinance?
Si vous acceptez des marques locales disponibles sur des cartes émises au sein de l’UE, vous êtes impactés.
Cette page est uniquement présentée pour les marchands eCom acceptant d’autres marques que Visa, MasterCard ou Amex, mais qui n’envoient pas la marque à utiliser pour accepter la transaction. L’envoi de la marque à utiliser pour accepter la transaction supprimera la page.
Si vous acceptez les marques Carte Bancaire (France), Bancontact (Belgium) or Dankort (Denmark),vous devez être conformes. La réglementation n’indique pas de « marques », mais fournit un cadre cumulatif :
- La carte doit être émise au sein de l’UE.
- La marque ne doit pas être limitée (les marques limitées sont celles émises par des marchands, utilisées pour acquérir un nombre limité de biens ou services, fournies pour être utilisées dans le secteur public, etc…)
- Le marchand doit déjà accepter la marque. Si un marchant accepte un paiement avec une marque X ou Y, le marchand doit autoriser le payeur à choisir quelle marque utilisée quand le payeur utilise une carte incluant les 2 marques X et Y.
Quand la conformité est légalement requise (le marchand accepte des marques présents sur des cartes européennes soumises à la règlementation), mais que le marchand n’est pas conforme, les autorités locales de chaque Etat membre peuvent infliger une amende au marchand. L’amende peut varier d’un pays à l’autre.
La conformité est d’ores et déjà requise, mais pas mises en place par tous les participants et chaque pays de l’UE est libre de décider quand les pénalités entreront en vigueur. Nous invitons tous les marchands à se mettre en conformité dès que possible, notamment pour les marchés où les cartes co-badgées sont fortement utilisées (ex : En France, pour les marchands acceptant la Carte Bancaire).
Si vous utilisez les URLs de redirection (eCom) et acceptez des marques qui peuvent potentiellement être impactées par la réglementation ou potentiellement co-badgée avec une autre marque impactée par la réglementation, nous devons nous assurer que le payeur aura la possibilité d’exprimer le cas échéant un choix de marque et donc nous affichons une page de sélection. Pour éviter cette page de sélection, envoyez la marque qui doit être utilisée pour accepter la transaction.
Configuration
Si vous souhaitez modifier le PSPID d’un compte de production existant, veuillez contacter votre gestionnaire de compte PostFinance qui vous créera un compte.
Le PSPID de votre compte existant ne peut être changé mais un nouveau compte avec un nouvel Identifiant peut être créé pour vous.
Veuillez noter que ce service est payant.
Le délai d’activation des méthodes de paiement dépend des facteurs suivants :
- Il faut généralement compter une semaine pour qu’un acquéreur ou une banque valide l’affiliation. Si vous êtes déjà affilié, l’activation ne prendra que quelques jours.
- Certaines méthodes de paiement nécessitent des vérifications supplémentaires avant de pouvoir les activer. C’est le cas de 3-D Secure, qui est demandé directement auprès de VISA ou de MasterCard (et non de l’acquéreur).
Avec PostFinance Collect, vous pouvez activer plusieurs méthodes de paiement à la fois.
Invoicing
Si vous souhaitez modifier votre adresse de facturation ou la méthode de paiement de vos factures, veuillez envoyer un e-mail, en mentionnant votre PSPID, à notre service clientèle.
Notre service clientèle traitera votre demande.
Veuillez contacter notre équipe qui pourra vous aider à obtenir une copie.
Transactions
Vous ne pouvez effectuer des remboursements que sur les transactions pour lesquelles les fonds ont été déjà transférés vers votre compte bancaire. L’annulation ou la suppression d’un paiement est possible avant qu’il n’ait été entièrement traité, c’est-à-dire avant l’heure limite de la journée, moment auquel toutes les transactions de la veille sont traitées.
Pour connaître l’heure limite de l’acquéreur, nous vous recommandons de le contacter directement.
Vous pouvez facilement rembourser un paiement en cliquant sur le bouton « Rembourser » dans l’aperçu des commandes d’une transaction (dans « Afficher les transactions »). Si votre compte le permet, vous pouvez également effectuer des remboursements avec une demande DirectLink ou l’option de téléchargement de fichier Batch (en cas de transactions multiples).
Sachez que l’option « Remboursement » doit être activée sur votre compte.
Cliquez sur Gérer vos transactions pour obtenir plus d’informations.
Dans le menu de votre compte PostFinance, vous pouvez facilement rechercher vos transactions en cliquant sur « Opérations », puis sur « Afficher les transactions » ou « Historique financier », selon le type de résultat que vous recherchez.
Cliquez sur Consulter vos transactions pour obtenir plus d’informations.
Troubleshooting
Il existe différentes raisons pour lesquelles vous ne pouvez pas rembourser une transaction. Vous devez tenir compte des éléments suivants (à condition d’avoir activé l’option « Remboursement » de votre compte) :
- La transaction présente le statut « incomplet », par exemple un statut erroné ou en attente (91, 92, etc.) qui ne permet pas d’effectuer le remboursement.
- Si la transaction est autorisée (statut 5), aucun paiement n’a été effectué à ce stade. Dans ce cas, vous devez annuler l’autorisation au lieu d’effectuer un remboursement.
- La méthode de paiement utilisée n’est pas compatible avec la fonction de remboursement, ce qui peut être le cas avec certaines cartes de crédit, méthodes de banque en ligne et méthodes de paiement « hors ligne » (virement bancaire, par exemple).
Demandez à un utilisateur administrateur sur votre PSPID de désactiver l’authentification à 2 facteurs pour vous ou contactez l’équipe du service à la clientèle.
Si vous souhaitez modifier le PSPID d’un compte de production existant, veuillez contacter votre gestionnaire de compte PostFinance qui vous créera un compte.
Le PSPID de votre compte existant ne peut être changé mais un nouveau compte avec un nouvel Identifiant peut être créé pour vous.
Veuillez noter que ce service est payant.
Le délai d’activation des méthodes de paiement dépend des facteurs suivants :
- Il faut généralement compter une semaine pour qu’un acquéreur ou une banque valide l’affiliation. Si vous êtes déjà affilié, l’activation ne prendra que quelques jours.
- Certaines méthodes de paiement nécessitent des vérifications supplémentaires avant de pouvoir les activer. C’est le cas de 3-D Secure, qui est demandé directement auprès de VISA ou de MasterCard (et non de l’acquéreur).
Avec PostFinance Collect, vous pouvez activer plusieurs méthodes de paiement à la fois.
Si vous souhaitez modifier votre adresse de facturation ou la méthode de paiement de vos factures, veuillez envoyer un e-mail, en mentionnant votre PSPID, à notre service clientèle.
Notre service clientèle traitera votre demande.
Veuillez contacter notre équipe qui pourra vous aider à obtenir une copie.
Transactions
Vous ne pouvez effectuer des remboursements que sur les transactions pour lesquelles les fonds ont été déjà transférés vers votre compte bancaire. L’annulation ou la suppression d’un paiement est possible avant qu’il n’ait été entièrement traité, c’est-à-dire avant l’heure limite de la journée, moment auquel toutes les transactions de la veille sont traitées.
Pour connaître l’heure limite de l’acquéreur, nous vous recommandons de le contacter directement.
Vous pouvez facilement rembourser un paiement en cliquant sur le bouton « Rembourser » dans l’aperçu des commandes d’une transaction (dans « Afficher les transactions »). Si votre compte le permet, vous pouvez également effectuer des remboursements avec une demande DirectLink ou l’option de téléchargement de fichier Batch (en cas de transactions multiples).
Sachez que l’option « Remboursement » doit être activée sur votre compte.
Cliquez sur Gérer vos transactions pour obtenir plus d’informations.
Dans le menu de votre compte PostFinance, vous pouvez facilement rechercher vos transactions en cliquant sur « Opérations », puis sur « Afficher les transactions » ou « Historique financier », selon le type de résultat que vous recherchez.
Cliquez sur Consulter vos transactions pour obtenir plus d’informations.
Troubleshooting
Il existe différentes raisons pour lesquelles vous ne pouvez pas rembourser une transaction. Vous devez tenir compte des éléments suivants (à condition d’avoir activé l’option « Remboursement » de votre compte) :
- La transaction présente le statut « incomplet », par exemple un statut erroné ou en attente (91, 92, etc.) qui ne permet pas d’effectuer le remboursement.
- Si la transaction est autorisée (statut 5), aucun paiement n’a été effectué à ce stade. Dans ce cas, vous devez annuler l’autorisation au lieu d’effectuer un remboursement.
- La méthode de paiement utilisée n’est pas compatible avec la fonction de remboursement, ce qui peut être le cas avec certaines cartes de crédit, méthodes de banque en ligne et méthodes de paiement « hors ligne » (virement bancaire, par exemple).
Demandez à un utilisateur administrateur sur votre PSPID de désactiver l’authentification à 2 facteurs pour vous ou contactez l’équipe du service à la clientèle.
Vous ne pouvez effectuer des remboursements que sur les transactions pour lesquelles les fonds ont été déjà transférés vers votre compte bancaire. L’annulation ou la suppression d’un paiement est possible avant qu’il n’ait été entièrement traité, c’est-à-dire avant l’heure limite de la journée, moment auquel toutes les transactions de la veille sont traitées.
Pour connaître l’heure limite de l’acquéreur, nous vous recommandons de le contacter directement.
Vous pouvez facilement rembourser un paiement en cliquant sur le bouton « Rembourser » dans l’aperçu des commandes d’une transaction (dans « Afficher les transactions »). Si votre compte le permet, vous pouvez également effectuer des remboursements avec une demande DirectLink ou l’option de téléchargement de fichier Batch (en cas de transactions multiples).
Sachez que l’option « Remboursement » doit être activée sur votre compte.
Cliquez sur Gérer vos transactions pour obtenir plus d’informations.
Dans le menu de votre compte PostFinance, vous pouvez facilement rechercher vos transactions en cliquant sur « Opérations », puis sur « Afficher les transactions » ou « Historique financier », selon le type de résultat que vous recherchez.
Cliquez sur Consulter vos transactions pour obtenir plus d’informations.
Il existe différentes raisons pour lesquelles vous ne pouvez pas rembourser une transaction. Vous devez tenir compte des éléments suivants (à condition d’avoir activé l’option « Remboursement » de votre compte) :
- La transaction présente le statut « incomplet », par exemple un statut erroné ou en attente (91, 92, etc.) qui ne permet pas d’effectuer le remboursement.
- Si la transaction est autorisée (statut 5), aucun paiement n’a été effectué à ce stade. Dans ce cas, vous devez annuler l’autorisation au lieu d’effectuer un remboursement.
- La méthode de paiement utilisée n’est pas compatible avec la fonction de remboursement, ce qui peut être le cas avec certaines cartes de crédit, méthodes de banque en ligne et méthodes de paiement « hors ligne » (virement bancaire, par exemple).