WooCommerce PSD2

PSD2 & WooCommerce: Ce que vous devez savoir pour votre boutique en ligne

Tu gères des boutiques en ligne avec WordPress ? Ou tu les installes pour tes clients ? Alors tu dois connaître la "deuxième directive européenne sur les services de paiement", plus connue sous le nom de PSD2. Elle prescrit de nouvelles procédures d'authentification des clients lors du processus de paiement. Nous citons les principales recommandations et plugins pour WooCommerce. tl;dr - pas de panique.

En règle générale, le PSD2 entre en jeu pour vous en tant que propriétaire de magasin lorsque vos clients paient par carte de crédit. Et même dans ce cas, votre fournisseur de services est responsable. Il suffit de s'assurer qu'ils sont déjà conformes à la directive PSD2. Pour être sûr, vérifiez également toutes les autres options de paiement que vous proposez. Plus d'informations à ce sujet dans un instant.

Il en va de même pour les agences et les indépendants. Vous devez vérifier ici le paiementPlugins ou les fournisseurs associés qui sont utilisés par vos clients : Ont-ils converti leurs processus au PSD2 ? Si ce n'est pas le cas, gardez un œil sur d'autres extensions. Vous trouverez des informations complètes sur WooCommerce dans notre e-book de plus de 70 pages WooCommerce pour les professionnels.

Note

Cet article de blog n'est pas un avis juridique. En tant qu'hébergeur deWordPress , nous nous sommes occupés nous-mêmes du PSD2. Cependant, nous ne sommes pas des avocats. Laissez-vous donc conseiller par un cabinet d'avocats approprié pour le droit en ligne.

Qu'est-ce que la PSD2 aka SCA ?

De nouvelles règles européennes pour les opérations de paiement devraient s'appliquer à partir du 14 septembre 2019 : la deuxième directive européenne sur les services de paiement, ou PSD2 en abrégé. Cela inclut l'obligation d'une authentification sécurisée des clients pour les offres de banque en ligne. En anglais : Strong Customer Authentication (SCA).

L'introduction des nouvelles règles de paiement sur Internet a certes été reportée entre-temps. "Temporairement", comme on dit. En effet, les autorités craignent que les entreprises ne soient pas encore suffisamment préparées à la directive. Et pourtant, tu devrais déjà mettre en œuvre ou faire mettre en œuvre la directive. Nous y reviendrons plus tard.

Il s'agit essentiellement de rendre les achats sur l'internet plus sûrs. L'authentification forte des clients - ou authentification à deux facteurs (2FA) - est alors exigée par la loi. De nombreuses banques ont déjà modifié leurs procédures, et votre banque vous a certainement déjà contacté.

Dans les boutiques en ligne, cela concerne principalement les paiements par carte de crédit. Sauf s'ils utilisent déjà une procédure sécurisée telle que 3-D Secure ou 3D-S. Mais attention : en raison de la PSD2, une procédure étendue est nécessaire ici aussi, appelée 3D Secure 2.0, ou 3DS2 en abrégé.

Jusqu'à présent, les clients n'avaient souvent besoin que de leur numéro de carte de crédit et du chiffre de contrôle correspondant pour effectuer un achat. À l'avenir, un numéro de transaction (TAN), qui est envoyé au téléphone portable ou au smartphone, et un mot de passe seront également nécessaires. Vous connaissez certainement cette procédure grâce à votre banque en ligne. Les listes papier avec des numéros de transaction, en abrégé iTAN, ne seront plus autorisées à l'avenir.

Note

Les achats sur compte et par prélèvement automatique ne sont pas concernés par la DSP2. Voir les explications de l'IT-Recht Kanzlei.

Que dois-tu savoir ?

À l'avenir, vous devrez vous assurer qu'une procédure sécurisée est utilisée lors de paiements par carte de crédit ou par d'autres services (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). Toutefois, vous ne devez généralement pas mettre en œuvre cette mesure vous-même ; c'est le travail des prestataires de services respectifs. A moins que vous n'utilisiez une solution très exotique ou faite par vous-même. Vous devez faire vérifier cela par un cabinet d'avocats spécialisé dans le droit en ligne en ce qui concerne la PSD2.

Tous les principaux fournisseurs travaillent fébrilement à la mise en œuvre de la nouvelle politique. Vérifiez auprès des services que vous utilisez : Qu'en est-il ici ? L'authentification est-elle déjà conforme à la directive PSD2 ? Les nouvelles règles européennes entrent enfin en vigueur et votre fournisseur de services n'est pas encore prêt ? Dans ce cas, vous devriez envisager de ne pas offrir cette option de paiement tant que des améliorations n'auront pas été apportées.

Il y a également des changements dans le "virement immédiat". D'après le fournisseur Klarna, le processus reçoit une étape d'authentification supplémentaire qui doit être prise en charge par la banque concernée. Tu devrais observer quel service de paiement sera le plus facile à utiliser à l'avenir et si cela aura un impact sur ta conversion dans la boutique.

Important

Vos fournisseurs transmettent-ils des données différentes qu'auparavant en raison de la DSP2 ? Ou vous intégrez de nouveaux services de paiement ? Vous devrez peut-être alors adapter vos textes juridiques dans WooCommerce.

Que dit WooCommerce ?

Les fabricants de WooCommerce consacrer un billet de blog séparé au sujet. Selon eux, la plupart des prestataires de services de paiement s'appuient sur 3D Secure 2 pour répondre aux exigences.

En général, les services appropriés devraient à l'avenir prendre en compte au moins deux des trois étapes suivantes pour garantir une "Strong Customer Authentication" :

  • Demandez des informations que seul le client connaît. Par exemple, son mot de passe ou la réponse à une question de sécurité.
  • L'envoi d'une authentification à un "processus contrôlé par le client". Selon WooCommerce , cela peut être un jeton matériel ou une notification push sur ton smartphone.
  • Utilisation d'un identifiant physique unique pour le client. Par exemple, une empreinte digitale ou une identification faciale.

Tu souhaites connaître les détails exacts ? Ce sont les contrats de l'UE qui déterminent les exigences concrètes, c'est-à-dire si la réponse à une question de sécurité est suffisante. Voir la version actuelle des "Normes réglementaires pour une authentification forte des clients".

En fonction de l'état de l'art - et des méthodes les plus susceptibles d'être exploitées par les pirates informatiques - il y aura probablement quelques ajustements à moyen et long terme. La lutte pour plus de sécurité ressemble toujours à un jeu du chat et de la souris.

Possibilités d'intégration

WooCommerce cite quelques fournisseurs ou leurs plugins WordPress qui doivent être "PSD2 ready" dès maintenant. Nous avons mis un lien vers ces extensions ici pour toi :

Vous utilisez d'autres méthodes et réseaux de paiement que ceux mentionnés ici ? Demandez aux développeurs respectifs si et quand le PSD2 sera mis en œuvre. Si ce n'est pas le cas, vous devez alors chercher un autre site Plugin ou un autre service.

Nous sommes heureux de vos réactions

Vous avez déjà demandé à votre fournisseur d'accès ? Ou avez-vous un conseil à nous donner sur Plugin? N'hésitez pas à partager vos expériences dans les commentaires.

Les règles de la PSD2 s'appliquent également aux paiements dans le cadre du modèle d'abonnement. Par exemple, si vous travaillez avec Plugin WooCommerce Abonnements pour permettre des paiements récurrents.

La DSP2 ou le SCA s'appliquent-ils également aux commerçants en dehors de l'UE ?

Cela ne dépend pas nécessairement de l'endroit où les concessionnaires sont basés. Ici, WooCommerce s'exprime très clairement :

Le SCA s'applique également si la banque acquéreuse ou le processeur est situé dans l'Espace économique européen (EEE) et que l'instrument de paiement du client a été émis dans l'EEE.

L'Espace économique européen comprend tous les États membres de l'Union européenne plus l'Islande, le Liechtenstein et la Norvège. Un commerçant à l'étranger doit donc travailler intégralement avec les fournisseurs de services, les banques et les clients nationaux afin de ne pas être affecté par la DSP2 ou l'authentification forte des clients. C'est l'une des raisons pour lesquelles les prestataires de services de paiement internationaux sont si pressés de répondre aux objectifs. L'appel européen à plus de sécurité sur Internet a des implications mondiales.

Les TAN par SMS resteront-ils autorisés ?

Parallèlement à la PSD2, une discussion parallèle s'est développée dans les milieux spécialisés sur le degré de sécurité du TAN par SMS (également appelé mTAN). Voir l'article Banque en ligne et PSD2 sur heise.de. Récemment, on a signalé un nombre croissant de tentatives d'attaques au cours desquelles le téléphone portable ou le smartphone de la victime est pris en charge. Par exemple, par le biais de courriels de phishing ou d'applications manipulées.

L'Office fédéral de la sécurité de l'information (BSI) écrit à ce sujet:

Bien que la procédure mTan soit pratique et conviviale, elle comporte malheureusement aussi certains risques. Dans certaines circonstances, les criminels peuvent intercepter ou rediriger les SMS envoyés pour l'authentification ... Le BSI recommande donc de ne pas utiliser les procédures mTAN.

Dans le cadre du PSD2, le mTAN doit rester autorisé jusqu'à présent. Cependant, les banques cherchent déjà des alternatives. Heise mentionne pushTAN, chipTAN, photoTAN, appTAN et signaturTAN.

Quels sont les objectifs du PSD2 ?

La directive ne vise pas seulement à rendre les transactions de paiement (en ligne) plus sûres. Les initiateurs espèrent également que la concurrence sur le marché deviendra plus forte. La Bundesbank français l'indique comme suit dans ses informations sur le PSD2:

Par exemple, les consommateurs ne doivent pas se connecter au système bancaire en ligne de leur établissement de crédit lorsqu'ils effectuent un achat sur Internet, mais peuvent initier le transfert via un service d'initiation de paiement proposé sur le site du commerçant.

Plus loin :

La DSP2 réglemente l'accès de ces "tiers prestataires de services de paiement" aux comptes de paiement des prestataires de services de paiement titulaires de comptes. Toutefois, l'accès n'est accordé à ces fournisseurs que si vous, en tant que titulaire du compte, y consentez explicitement.

À l'avenir, il y aura beaucoup plus d'acteurs sur le marché des paiements en ligne. Les banques et les établissements de crédit perdent du pouvoir. L'intégration des "prestataires de services de paiement tiers" - qui sont toutefois sous la supervision et le contrôle des autorités de surveillance nationales - permet le développement de services et d'idées commerciales entièrement nouveaux. En Allemagne, cette autorité de surveillance est l'Autorité fédérale de surveillance financière (BaFin).

Exceptions au DSP2

Plusieurs médias et banques font état de cas exceptionnels dans lesquels les prestataires de services de paiement peuvent se passer d'une authentification forte du client. On évoque ainsi une limite de 30 euros pour les "opérations de paiement électronique à distance". En dessous de ce seuil, l'authentification bidirectionnelle ne serait pas obligatoire. Pour plus d'informations, consulte l'article de blog PSD2 et SCA du cabinet d'avocats Wilde Beuger Solmecke.

La BaFin elle-même mentionne un seuil de 50 euros, mais pour les paiements par carte sans contact. Pour les paiements par carte sur Internet, elle s'exprime plus vaguement. Les prestataires de services de paiement pourraient y effectuer une analyse des risques liés aux transactions. Selon l'Agence fédérale :

Chaque paiement entrant est automatiquement vérifié pour déterminer si le risque de fraude est faible ... Si les informations de paiement dont dispose le prestataire de services de paiement donnent l'impression d'un risque accru de fraude, le prestataire de services de paiement doit procéder à une authentification forte du client.

Les indices d'un risque accru de fraude devraient être, par exemple, un écart par rapport aux modèles de comportement habituels du client. Ou une similarité avec des modèles de fraude connus. Des assouplissements correspondants sont également envisagés dans le domaine du B2B. Et il doit y avoir une liste blanche dans laquelle une banque peut classer ses entreprises clientes comme des bénéficiaires de paiement fiables.

Toutefois, en tant qu'exploitant d'un magasin, vous ne devez généralement pas vous occuper vous-même de ces limites, à condition qu'un prestataire de services soit interposé.

Autres sources

Vous voulez en savoir plus sur le PSD2 ou SCA ? Voici des articles appropriés pour les utilisateurs et les développeurs :

Tu trouveras d'autres conseils sur WooCommerce dans notre e-book de plus de 70 pages WooCommerce pour les professionnels : boutiques en ligne avec WordPress . Il s'adresse aux freelances, aux agences, aux professionnels du WP, mais aussi aux débutants.

Tes questions sur la PSD2

Quelles sont tes questions ? N'hésite pas à utiliser la fonction commentaire. Tu veux plus de conseils sur WordPress & WooCommerce? Alors suis-nous sur Twitter, Facebook ou via notre newsletter.

Contribution à la photo : William Iven

As-tu aimé cet article ?

Tes évaluations nous permettent d'améliorer encore plus notre contenu.

Laisse un commentaire

Ton adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués d'un *.