Guide AuthoriPay sur les changements PSD2

Authentification forte du client, lien dynamique et
Accès aux fournisseurs de paiement tiers

DERNIÈRE MISE À JOUR 19 août 2020

Les changements à venir, qui doivent être mis en œuvre par la DSP2, font actuellement couler beaucoup d'encre. Nous soulignons ici la nature de ces changements, l'impact qu'ils auront et ce que les entreprises doivent faire en conséquence.

Quels sont les changements à venir suite à la DSP2 ?

La DSP2 apporte deux changements importants, dont vous avez peut-être déjà entendu parler :

  1. Authentification forte du client (SCA) et liens dynamiques
  2. Accès aux comptes de paiement par des tiers fournisseurs de services de paiement (TPP)

Ces deux mesures auront un impact important sur les prestataires de services de paiement qui offrent des comptes de paiement accessibles en ligne et qui doivent apporter les modifications nécessaires avant la date limite récemment repoussée au 14 mars 2021 pour les entreprises du Royaume-Uni et au 31 décembre 2020 pour les entreprises de l'Union européenne.

Authentification forte des clients AuthoriPay

Authentification forte du client (SCA) et liens dynamiques

Bien qu'elles soient largement connues, les règles relatives à l'authentification forte du client sont peu comprises, ce qu'elles impliquent et quand elles doivent être utilisées. Nous en donnerons ici un aperçu :

Quand faut-il utiliser l'authentification forte du client et le lien dynamique ?

Les prestataires de services de paiement sont tenus d'appliquer le SCA et le Dynamic Linking chaque fois qu'un client accède à distance à son compte de paiement pour effectuer l'une des opérations suivantes :

  • Initie une instruction de paiement électronique
  • Consultation du solde et/ou de l'historique des transactions
  • Effectue toute action susceptible d'entraîner un risque de fraude au paiement ou d'autres abus.

Qu'est-ce qu'un compte de paiement ?

Dans la DSP2, un compte de paiement est défini très simplement comme un compte (pas nécessairement un compte bancaire) utilisé pour le traitement des paiements. À l'exception des services de transfert d'espèces en personne (comme Western Union), la plupart des prestataires de services de paiement offriront un compte à leurs clients pour le traitement des paiements et relèveront donc de cette définition.

Qu'est-ce que l'accès à distance ?

Dans le contexte de l'ACS, l'accès à distance signifie l'accès par un canal électronique à distance, tel que l'internet (via un portail en ligne) ou une application mobile.

Par souci de clarté, les instructions de paiement acceptées par courrier électronique ou par téléphone ne relèvent pas, à ce jour, des règles de l'ACS.

Qu'en est-il des paiements par carte ?

Pour les paiements par carte, le SCA ne sera exigé que lorsqu'un titulaire de carte initie un paiement par l'intermédiaire du site web d'un commerçant (ou d'une autre plateforme de commerce électronique).

Qu'est-ce que l'authentification forte du client ?

Les règles de l'ACS signifient que, dans ces circonstances, le client devra utiliser deux des trois exigences suivantes en matière de justificatifs de sécurité :
Authentification forte des clients AuthoriPay

Connaissances

Quelque chose que le client connaît

Authentification forte des clients AuthoriPay

Possession

Quelque chose que le client a

Authentification forte des clients AuthoriPay

Inhérence

Quelque chose que le client est

Pour que l'ACS fonctionne, le prestataire de services de paiement doit s'assurer que si un client perd l'une de ces informations d'identification, son compte reste en sécurité car la deuxième information d'identification est toujours en place et n'est pas compromise par la perte de la première.

Comment cela peut affecter une entreprise

Les entreprises qui offrent un accès en ligne via l'internet (par exemple par le biais d'un portail) en sont un bon exemple. En règle générale, les clients fournissent les informations d'identification suivantes :

  • Un nom d'utilisateur, qui dans la plupart des cas est leur adresse électronique ; et
  • Un mot de passe unique.

Il y a ici un problème par rapport à l'ACS, car dans l'état actuel des choses, ces deux éléments seraient considérés comme quelque chose que le client connaît (connaissance). Par conséquent, nous n'utiliserions qu'un seul des justificatifs de sécurité requis, et non deux.
Une façon de rendre cette situation conforme aux nouvelles règles serait de changer l'adresse électronique de quelque chose que le client connaît à quelque chose qu'il possède (possession). Pour que cela fonctionne, vous devez prouver que le client a accédé à cette adresse électronique. Pour ce faire, vous pourriez utiliser l'adresse électronique en conjonction avec un mot de passe à usage unique (OTP).
Dans ce scénario, le client devrait saisir son adresse électronique et un mot de passe unique. Le prestataire de services de paiement devra alors générer le mot de passe à usage unique à l'adresse électronique que le client devra ensuite fournir.
Il ne s'agit là que d'un exemple de la manière dont l'ACS peut affecter une entreprise et il en existe bien d'autres qu'il convient d'examiner individuellement.
En outre, il existe le concept de liaison dynamique, qui doit être appliqué chaque fois qu'un paiement électronique est initié.

Authentification forte des clients AuthoriPay

Qu'est-ce que la liaison dynamique ?

Les règles relatives à la liaison dynamique prévoient expressément que, lorsqu'un payeur demande un paiement électronique, des mesures doivent être mises en œuvre pour répondre à un certain nombre d'exigences, qui sont expliquées dans le tableau ci-dessous :
Exigences en matière de liens dynamiques
Ce que cela signifie en termes pratiques
Le payeur est informé du montant de l'opération de paiement et du bénéficiaire ;

En termes simples, cela signifie que lorsqu'il effectue un paiement, le payeur doit être informé du montant envoyé et du nom du bénéficiaire. Par exemple, si le client verse 1 000 euros à Jean Dupont, cela doit être clairement visible pour lui. Il convient de noter que les règles ne précisent pas comment vous devez afficher ces informations au client, ce qui vous laisse une certaine marge de manœuvre.
Le code d'authentification généré est spécifique au montant de l'opération de paiement et au bénéficiaire convenu par le payeur lors de l'initiation de l'opération ; Cela signifie essentiellement que, lorsque vous autorisez le paiement, vous devez générer un code d'authentification spécifique à cette transaction et qui ne peut être utilisé pour aucune autre transaction. Le code généré peut prendre n'importe quelle forme, à condition que vous puissiez le lier au paiement en question.
Le code d'authentification accepté par le prestataire de services de paiement correspond au montant spécifique initial de l'opération de paiement et à l'identité du bénéficiaire acceptée par le payeur ;

En d'autres termes, le prestataire de services de paiement ne peut utiliser qu'un seul code d'authentification par paiement. Étant donné le nombre de systèmes qu'une entreprise utilise pour traiter un seul paiement, il est possible que chacun de ces systèmes génère son propre code d'autorisation. Le prestataire de services de paiement doit en choisir un seul pour servir de code d'autorisation lié dynamiquement.
Toute modification du montant / bénéficiaire entraîne l'invalidation du code d'authentification généré ; En cas de modification du montant de la transaction ou du bénéficiaire, le code d'authentification doit être annulé et un nouveau code, répondant aux exigences susmentionnées, doit être émis.

Accès aux comptes de paiement par des prestataires de services de paiement tiers

Authentification forte des clients AuthoriPay

Suite à l'initiative Open Banking, à partir du 14 septembre 2019, les prestataires de services de paiement qui offrent des comptes de paiement accessibles en ligne aux payeurs devront permettre aux prestataires de services de paiement tiers réglementés (TPP) d'accéder au compte de leurs clients, en utilisant leurs identifiants SCA.

On sait peu de choses sur ce règlement particulier, et nous allons donc l'exposer ici :

- Qu'est-ce qu'un prestataire de services de paiement tiers ?
- Qui doit autoriser l'accès à ces prestataires ?
- Quelles sont les exigences spécifiques ?

1. Qu'est-ce qu'un prestataire de services de paiement tiers (TPP) ?

Un TPP est un nouveau type de service de paiement réglementé, qui a été officiellement introduit par la DSP2 (bien qu'il existe en réalité depuis longtemps). Les TPP peuvent être divisés en deux types de services :

  • Fournisseurs de services d'information sur les comptes (AISP)
  • Prestataires de services d'initiation de paiement (PISP)

Fournisseurs de services d'information sur les comptes (AISP)

Les AISP utiliseront les identifiants SCA d'un client pour se connecter à son compte et rassembler les informations transactionnelles et les détails du solde. Ces informations peuvent être utilisées pour diverses raisons, telles que l'analyse des dépenses ou la vue d'ensemble de la situation financière.

Prestataires de services d'initiation de paiement (PISP)

Les PISP utiliseront les identifiants SCA d'un client pour se connecter à son compte et ordonner un paiement directement au bénéficiaire désigné par le client. Les PISP n'entreront jamais en possession des fonds eux-mêmes.

2. Qui doit autoriser l'accès aux PPT ?

Officiellement, si vous êtes considéré comme un prestataire de services de paiement (ASPSP) et que vous permettez à vos clients d'accéder à distance à leur compte de paiement, vous devez également permettre l'accès aux TPP.
Pour clarifier, un ASPSP est une personne qui fournit et gère un compte de paiement pour un donneur d'ordre. Si vous n'autorisez pas votre client à effectuer des paiements (par exemple, les acquéreurs marchands, dont les clients reçoivent des paiements mais ne les effectuent pas), cette règle ne s'applique pas.

3. Quelles sont les exigences spécifiques ?

Les entreprises doivent non seulement autoriser l'accès aux TPP, mais aussi mettre en place des procédures pour vérifier qu'ils sont réglementés. Il y a des choses spécifiques qu'un prestataire de services de paiement doit faire avant d'autoriser l'accès :

  1. Vérifier les informations d'identification SCA et émettre un jeton d'accès
  2. Vérifier le certificat eIDAS du fournisseur TPP
  3. Vérifier le statut réglementaire du fournisseur TPP

Les entreprises peuvent le faire en utilisant un système dédié (soit intégré, soit acheté sur étagère) ou en autorisant simplement le fournisseur de TPP à utiliser le même canal que le client. Lorsque les entreprises utilisent un système dédié, elles doivent en informer l'autorité de régulation et lui fournir des détails sur son fonctionnement.

Authentification forte des clients AuthoriPay

Comment cela affecte le paysage des paiements.

Les diagrammes ci-dessous montrent le paysage des paiements avant et après la mise en œuvre des nouvelles règles de la DSP2. Ils illustrent non seulement l'impact des nouvelles règles, mais aussi la quantité de travail nécessaire pour s'y conformer.

Que doivent faire les entreprises ?

En raison de ces nouvelles règles, les entreprises devront analyser les services qu'elles offrent, déterminer s'ils entrent dans le champ d'application et quel en sera l'impact, puis mettre en place un projet pour s'assurer qu'elles sont conformes à la date limite.

Il y a beaucoup de choses à prendre en compte et peu de temps pour se préparer. Pour obtenir des informations et des conseils plus spécifiques à votre entreprise, contactez-nous dès aujourd'hui.

Authentification forte des clients AuthoriPay
Authentification forte des clients AuthoriPay

Si vous souhaitez discuter de n'importe quel aspect de votre entreprise et des implications de l'ACS, demandez une heure de conseil gratuite dès aujourd'hui !

Prendre contact

    AuthoriPay Ltd, Milton Hall, Ely Road, Cambridge, CB24 6WZ.

    +44 (0) 1223 82 82 66

    contact@authoripay.co.uk

    En nous contactant, vous consentez à recevoir des courriels de marketing occasionnels et pertinents de la part d'AuthoriPay Ltd. 

    Votre adresse électronique ne sera communiquée à AUCUN partenaire.

    Toutes les demandes de désabonnement sont traitées dans les 24 heures.