PSD2 & WooCommerce: Ce que vous devez savoir pour votre boutique en ligne

7 Min.
WooCommerce PSD2
Dernière mise à jour le

Vous gérez des boutiques en ligne avec WordPress ? Ou les mettre en place pour vos clients ? Alors vous devriez connaître la "deuxième directive européenne sur les services de paiement", mieux connue sous le nom de PSD2. Elle prescrit de nouvelles procédures pour l'authentification des clients au cours du processus de paiement. Nous citons les recommandations les plus importantes pour l'action et Plugins pour WooCommerce.

Tl;dr - ne paniquez pas.

En général, le PSD2 est particulièrement utile pour vous en tant que propriétaire d'un magasin lorsque vos clients paient par carte de crédit. Et même dans ce cas, votre fournisseur de services a un devoir. Il suffit de s'assurer qu'il est déjà conforme à la directive PSD2. Pour être sûr, vérifiez également toutes les autres options de paiement que vous proposez. Plus d'informations à ce sujet dans un instant.

Il en va de même pour les agences et les indépendants. Vous devez vérifier ici les fournisseurs de paiementPlugins ou les fournisseurs associés utilisés par vos clients : Ont-ils changé leurs processus pour le PSD2 ? Sinon, cherchez d'autres extensions. Vous WooCommerce trouverez des informations complètes dans notre livre électronique de plus de 70 pages WooCommerce pour les professionnels.

Note

Cet article de blog n'est pas un avis juridique. Comme hébergeur WordPress nous avons nous-mêmes étudié le DSP2. Mais nous ne sommes pas des avocats. Demandez donc conseil à un cabinet d'avocats spécialisé dans le droit en ligne.

Qu'est-ce que le PSD2 ou SCA ? Et qui cela concerne-t-il ?

À partir du 14 septembre 2019, de nouvelles règles européennes devraient s'appliquer aux opérations de paiement : la Deuxième directive européenne sur les services de paiementPSD2 en abrégé. Cela inclut l'obligation d'une authentification sécurisée des clients pour les services bancaires en ligne. En anglais : Strong Customer Authentication (SCA).

L'introduction des nouvelles règles de paiement sur Internet a été même si elle a été reportée. "Temporairement", comme ils disent. En effet, les autorités craignent que les entreprises ne soient pas encore suffisamment préparées à la directive. Et pourtant, vous devriez mettre en œuvre la directive maintenant ou la faire mettre en œuvre. Plus d'informations à ce sujet plus tard.

WooCommerce gratis Hébergement

L'enjeu principal est de rendre les achats sur Internet plus sûrs. A Authentification forte des clients - ou encore l'authentification à deux facteurs (2FA) - est alors légalement requise. De nombreuses banques ont déjà converti leurs processus, et votre banque vous a probablement déjà contacté.

Pour les boutiques en ligne, cela concerne principalement les paiements par carte de crédit. Sauf s'ils sont déjà couverts par une procédure sécurisée telle que 3-D sécurisé ou 3D-S run. Mais attention : en raison de la DSP2, une procédure étendue est également requise ici, appelée 3D Secure 2.0court 3DS2.

Jusqu'à présent, les clients n'avaient souvent besoin que de leur numéro de carte de crédit et du chiffre de contrôle associé pour effectuer un achat. À l'avenir, un numéro de transaction (TAN), qui est envoyé au téléphone portable ou au smartphone, et un mot de passe seront également nécessaires. Vous connaissez probablement cette procédure grâce à votre banque en ligne. Les listes papier avec des numéros de transaction, en abrégé iTAN, ne seront plus autorisées à l'avenir.

Note

Les achats sur compte et par prélèvement automatique ne sont pas concernés par la DSP2. Voir les explications de la Cabinet d'avocats spécialisé dans les technologies de l'information.

Que devez-vous savoir en tant qu'exploitant d'un magasin ou professionnel du travail ?

À l'avenir, vous devez vous assurer que lorsque vous payez par carte de crédit ou par d'autres services (PayPal, Stripe, Amazon Pay, Apple Pay, etc.), une procédure sécurisée est utilisée. En règle générale, vous n'êtes toutefois pas obligé de mettre en œuvre cette mesure vous-même, c'est là qu'interviennent les prestataires de services respectifs. A moins que vous n'utilisiez une solution très exotique ou faite maison. Vous devez les faire vérifier pour la DSP2 par un cabinet d'avocats approprié spécialisé dans le droit en ligne.

Tous les grands fournisseurs travaillent fébrilement à la mise en œuvre de la nouvelle directive. Vérifiez auprès des services que vous utilisez : Quel est le score ici ? L'authentification est-elle déjà conforme à la directive PSD2 ? Les nouvelles règles européennes entrent enfin en vigueur et votre prestataire de services n'est pas encore prêt ? Dans ce cas, vous devez vous assurer de ne pas proposer l'option de paiement tant qu'elle n'a pas été améliorée.

Des changements ont également été apportés au "virement bancaire instantané". La procédure reçoit selon le fournisseur Klarna une étape d'authentification supplémentaire à prendre en charge par la banque concernée. Vous devez observer quel service de paiement peut être utilisé à l'avenir et si cela a un impact sur votre Conversion dans le magasin.

Important

Vos fournisseurs transmettent des données différentes qu'auparavant par le biais de la DSP2 ? Ou vous intégrez de nouveaux services de paiement ? Vous devrez peut-être alors modifier votre Textes juridiques en WooCommerce s'adapter.

Qu'en dites-vous WooCommerce?

Les fabricants de WooCommerce consacrer un propre billet de blog. Selon elle, la plupart des fournisseurs de services de paiement s'appuient sur 3D Secure 2 pour répondre aux exigences.

En général, les services appropriés devraient envisager au moins deux des trois étapes suivantes pour garantir une "authentification forte des clients" à l'avenir :

  • Demander des informations que seul le client connaît. Par exemple, son mot de passe ou la réponse à une question de sécurité.
  • L'envoi d'une authentification à un "processus contrôlé par le client". Il peut s'agir d'un jeton matériel à haute voix WooCommerceou d'une notification "push" sur votre smartphone.
  • Utilisation d'un identifiant physique unique pour le client. Par exemple, une empreinte digitale ou une identification faciale.

Vous souhaitez connaître les détails exacts ? Le caractère concret des exigences, par exemple si la réponse à une question de sécurité est suffisante, est déterminé par les traités de l'UE. Voir le dernière édition sur les "Normes réglementaires pour une authentification forte des clients".

En fonction de l'état de l'art - et des techniques les plus susceptibles d'être exploitées par les pirates informatiques - il peut y avoir quelques ajustements à faire à moyen et long terme. La lutte pour plus de sécurité ressemble toujours à un jeu du chat et de la souris.

Quelles sont les possibilités d'intégration ?

WooCommerce nomme certains fournisseurs ou leurs WordPress -Plugins, qui sont censés être "prêts pour le PSD2" dès maintenant. Nous avons relié les extensions ici pour vous :

Vous utilisez d'autres méthodes et réseaux de paiement que ceux mentionnés ici ? Demandez aux développeurs respectifs si et quand le PSD2 sera mis en œuvre. Si ce n'est pas le cas, vous devez alors chercher une alternative Plugin ou un service.

Nous vous remercions de vos commentaires

Vous vous êtes déjà renseigné auprès de votre fournisseur ? Ou vous avez un Pluginconseil à nous donner ? Partagez vos expériences dans les commentaires.

Les règles de la DSP2 s'appliquent également aux paiements dans le cadre du modèle d'abonnement. Par exemple, si vous utilisez le Plugin WooCommerce Abonnements travailler pour permettre des paiements récurrents.

WooCommerce pour les free-lances et les agences

La DSP2 ou le SCA s'appliquent-ils également aux opérateurs en dehors de l'UE ?

Elle ne dépend pas nécessairement du siège social des concessionnaires. C'est WooCommercetout à fait clair :

Le SCA s'applique également si la banque acquéreuse ou le transformateur acquéreur est situé dans l'Espace économique européen (EEE) et si l'instrument de paiement du client a été émis dans l'EEE.

L'Espace économique européen comprend tous les États membres de l'Union européenne plus l'Islande, le Liechtenstein et la Norvège. Un commerçant à l'étranger doit donc travailler entièrement avec les fournisseurs de services, les banques et les clients nationaux afin de ne pas être affecté par la DSP2 ou l'authentification forte des clients. C'est l'une des raisons pour lesquelles les prestataires de services de paiement internationaux sont si pressés de satisfaire aux exigences. L'appel européen à plus de sécurité sur Internet a des implications mondiales.

Le TAN par SMS restera-t-il autorisé ?

Parallèlement à la PSD2, une discussion parallèle s'est développée dans les cercles d'experts sur le degré de sécurité du TAN par SMS (également appelé mTAN). Voir l'article Banque en ligne et PSD2 sur heise.com. Récemment, il y a eu de plus en plus de rapports de tentatives d'attaques dans lesquelles le téléphone portable ou le smartphone de la victime est pris d'assaut. Par exemple, via des courriers électroniques de phishing ou des applications manipulées.

L'Office fédéral de la sécurité de l'information (BSI) écrit à ce sujet:

Bien que la procédure mTan soit pratique et conviviale, elle comporte malheureusement aussi certains risques. Dans certaines circonstances, les criminels peuvent intercepter ou rediriger des SMS envoyés pour authentification... Le BSI recommande donc de ne pas utiliser les procédures mTAN.

Dans le cadre du PSD2, le mTAN doit rester autorisé jusqu'à présent. Mais les banques cherchent déjà des alternatives. Heise nomme pushTAN, chipTAN, photoTAN, appTAN et signatureTAN.

Que devrait faire le DSP2 ?

La directive ne vise pas seulement à rendre les transactions de paiement (en ligne) plus sûres. Les initiateurs espèrent également que la concurrence sur le marché deviendra plus forte. La français Bundesbank le formule dans son Informations sur la DSP2 comme suit :

Les consommateurs n'ont pas besoin de se connecter au système de banque en ligne de leur banque lorsqu'ils font des achats sur Internet, par exemple, mais peuvent commander le virement par l'intermédiaire d'un service d'initiation de paiement proposé sur le site web du commerçant.

Continuez :

La directive PSD2 réglemente l'accès de ces "prestataires de services de paiement tiers" aux comptes de paiement auprès des prestataires de services de paiement titulaires du compte. Toutefois, l'accès n'est accordé à ces fournisseurs que si vous, en tant que titulaire du compte, y consentez explicitement.

À l'avenir, il y aura donc beaucoup plus d'acteurs sur le marché des paiements en ligne. Les banques et les établissements de crédit perdent du pouvoir. L'implication de "prestataires de services de paiement tiers" - qui sont toutefois sous la supervision et le contrôle des autorités de surveillance nationales - permet le développement de services et d'idées commerciales totalement nouveaux. En Allemagne, cette autorité de surveillance est la Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Exceptions au DSP2

Divers médias et banques font état de cas exceptionnels où les prestataires de services de paiement peuvent se passer d'une authentification forte des clients. Par exemple, une limite de 30 euros est mentionnée pour les "transactions électroniques de paiement à distance". En dessous de ce seuil, une authentification bidirectionnelle n'est pas nécessairement requise. Vous trouverez de plus amples informations dans le billet de blog PSD2 et SCA du cabinet d'avocats Wilde Beuger Solmecke.

Hébergement WordPress écoresponsable

Le La BaFin elle-même mentionne un seuil de 50 euros, mais pour les paiements par carte sans contact. Elle s'exprime plus vaguement lorsqu'elle paie par carte sur Internet. Les prestataires de services de paiement pourraient y effectuer une analyse des risques liés aux transactions. C'est ce que dit l'Agence fédérale :

Chaque paiement entrant est automatiquement vérifié pour déterminer si le risque de fraude est faible ... Si les informations de paiement dont dispose le prestataire de services de paiement donnent l'impression d'un risque accru de fraude, il doit procéder à une authentification forte des clients.

Les indices d'un risque accru de fraude devraient, par exemple, être un écart par rapport aux schémas de comportement habituels du client. Ou une similitude avec des modèles de fraude connus. Une détente appropriée est également prévue pour le B2B. Et il doit y avoir une liste blanche sur laquelle une banque peut classer ses entreprises clientes comme des bénéficiaires de confiance.

Toutefois, en tant qu'exploitant de magasin, vous n'avez généralement pas à vous soucier de ces limites vous-même, si un prestataire de services est impliqué.

Autres sources

Vous voulez en savoir plus sur le PSD2 ou SCA ? Voici des articles techniques appropriés pour les utilisateurs et les développeurs :

Vous WooCommercetrouverez d'autres conseils dans notre livre électronique de plus de 70 pages WooCommerce pour les professionnels : boutiques en ligne avec WordPress. Il s'adresse aux freelances, aux agences, aux professionnels du WP mais aussi aux débutants.

Vous avez des questions sur le PSD2 et WooCommerce? N'hésitez pas à utiliser la fonction de commentaire. Vous voulez plus de conseils sur WordPress & WooCommerce? Alors, suivez-nous Twitter, Facebook ou sur notre Newsletter.

Photo : William Iven

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .