AuthoriPay Guide to Strong Customer Authentication and granting access to Third-Party Providers
Authentification forte du client, lien dynamique et
Accès aux fournisseurs de paiement tiers
There are 2 significant requirements mandated under PSD2, both of which you may have heard of:
- Authentification forte du client (SCA) et liens dynamiques
- Accès aux comptes de paiement par des tiers fournisseurs de services de paiement (TPP)
Both have a significant impact on Payment Service Providers who offer payment accounts that are accessible online.
Authentification forte du client (SCA) et liens dynamiques
While Strong Customer Authentication is widely referenced, its practical application and regulatory requirements are often misunderstood. This section provides a clear overview of what SCA entails and when it must be applied.
Quand faut-il utiliser l'authentification forte du client et le lien dynamique ?
Les prestataires de services de paiement sont tenus d'appliquer le SCA et le Dynamic Linking chaque fois qu'un client accède à distance à son compte de paiement pour effectuer l'une des opérations suivantes :
- Initie une instruction de paiement électronique
- Consultation du solde et/ou de l'historique des transactions
- Effectue toute action susceptible d'entraîner un risque de fraude au paiement ou d'autres abus.
Qu'est-ce qu'un compte de paiement ?
Dans la DSP2, un compte de paiement est défini très simplement comme un compte (pas nécessairement un compte bancaire) utilisé pour le traitement des paiements. À l'exception des services de transfert d'espèces en personne (comme Western Union), la plupart des prestataires de services de paiement offriront un compte à leurs clients pour le traitement des paiements et relèveront donc de cette définition.
Qu'est-ce que l'accès à distance ?
Dans le contexte de l'ACS, l'accès à distance signifie l'accès par un canal électronique à distance, tel que l'internet (via un portail en ligne) ou une application mobile.
Par souci de clarté, les instructions de paiement acceptées par courrier électronique ou par téléphone ne relèvent pas, à ce jour, des règles de l'ACS.
Qu'en est-il des paiements par carte ?
Qu'est-ce que l'authentification forte du client ?
Connaissances
Quelque chose que le client connaît
Possession
Quelque chose que le client a
Inhérence
Quelque chose que le client est
Comment cela peut affecter une entreprise
Les entreprises qui offrent un accès en ligne via l'internet (par exemple par le biais d'un portail) en sont un bon exemple. En règle générale, les clients fournissent les informations d'identification suivantes :
-
Un nom d'utilisateur, qui dans la plupart des cas est leur adresse électronique ; et
-
Un mot de passe unique.
Il y a ici une problématique liée à l'ACS (Authentification Client Forte), car dans l'état actuel, ces deux éléments seraient considérés comme des facteurs de connaissance du client. Cela signifie que l'on ne respecterait pas l’exigence des deux facteurs d’authentification distincts requis.
Pour se conformer aux nouvelles réglementations, une solution serait de requalifier l’adresse électronique comme un élément de possession plutôt que de connaissance. Cela nécessiterait une preuve que le client a bien accès à cette adresse électronique. Une méthode efficace serait d’associer l’adresse e-mail à un mot de passe à usage unique (OTP).
Dans ce scénario, le client devrait fournir son adresse e-mail ainsi qu’un OTP envoyé à cette même adresse. Le prestataire de services de paiement générerait l’OTP et l’enverrait par e-mail, obligeant ainsi le client à prouver la possession de cette adresse en saisissant le code reçu.
Cet exemple illustre comment l’ACS peut impacter une entreprise, mais chaque situation mérite une analyse spécifique pour s’assurer de la conformité. De plus, il ne faut pas oublier le principe de liaison dynamique, qui doit être appliqué à chaque initiation de paiement électronique.
Qu'est-ce que la liaison dynamique ?
Exigences en matière de liens dynamiques |
Ce que cela signifie en termes pratiques |
| Le payeur est informé du montant de l'opération de paiement et du bénéficiaire ; |
En termes simples, cela signifie que lorsqu'il effectue un paiement, le payeur doit être informé du montant envoyé et du nom du bénéficiaire. Par exemple, si le client verse 1 000 euros à Jean Dupont, cela doit être clairement visible pour lui. Il convient de noter que les règles ne précisent pas comment vous devez afficher ces informations au client, ce qui vous laisse une certaine marge de manœuvre. |
| Le code d'authentification généré est spécifique au montant de l'opération de paiement et au bénéficiaire convenu par le payeur lors de l'initiation de l'opération ; | Cela signifie essentiellement que, lorsque vous autorisez le paiement, vous devez générer un code d'authentification spécifique à cette transaction et qui ne peut être utilisé pour aucune autre transaction. Le code généré peut prendre n'importe quelle forme, à condition que vous puissiez le lier au paiement en question. |
| Le code d'authentification accepté par le prestataire de services de paiement correspond au montant spécifique initial de l'opération de paiement et à l'identité du bénéficiaire acceptée par le payeur ; |
En d'autres termes, le prestataire de services de paiement ne peut utiliser qu'un seul code d'authentification par paiement. Étant donné le nombre de systèmes qu'une entreprise utilise pour traiter un seul paiement, il est possible que chacun de ces systèmes génère son propre code d'autorisation. Le prestataire de services de paiement doit en choisir un seul pour servir de code d'autorisation lié dynamiquement. |
| Toute modification du montant / bénéficiaire entraîne l'invalidation du code d'authentification généré ; | En cas de modification du montant de la transaction ou du bénéficiaire, le code d'authentification doit être annulé et un nouveau code, répondant aux exigences susmentionnées, doit être émis. |
Accès aux comptes de paiement par des prestataires de services de paiement tiers
Payment Service Providers who offer payment accounts that are accessible online to payers have to allow regulated Third-Party Payment Providers (TPP’s) to access their customers account, using their SCA credentials.
On sait peu de choses sur ce règlement particulier, et nous allons donc l'exposer ici :
- Qu'est-ce qu'un prestataire de services de paiement tiers ?
- Qui doit autoriser l'accès à ces prestataires ?
- Quelles sont les exigences spécifiques ?
1. Qu'est-ce qu'un prestataire de services de paiement tiers (TPP) ?
Un TPP est un nouveau type de service de paiement réglementé, qui a été officiellement introduit par la DSP2 (bien qu'il existe en réalité depuis longtemps). Les TPP peuvent être divisés en deux types de services :
- Fournisseurs de services d'information sur les comptes (AISP)
- Prestataires de services d'initiation de paiement (PISP)
Fournisseurs de services d'information sur les comptes (AISP)
Les AISP utiliseront les identifiants SCA d'un client pour se connecter à son compte et rassembler les informations transactionnelles et les détails du solde. Ces informations peuvent être utilisées pour diverses raisons, telles que l'analyse des dépenses ou la vue d'ensemble de la situation financière.
Prestataires de services d'initiation de paiement (PISP)
Les PISP utiliseront les identifiants SCA d'un client pour se connecter à son compte et ordonner un paiement directement au bénéficiaire désigné par le client. Les PISP n'entreront jamais en possession des fonds eux-mêmes.
2. Qui doit autoriser l'accès aux PPT ?
Officiellement, si vous êtes considéré comme un prestataire de services de paiement (ASPSP) et que vous permettez à vos clients d'accéder à distance à leur compte de paiement, vous devez également permettre l'accès aux TPP.
Pour clarifier, un ASPSP est une personne qui fournit et gère un compte de paiement pour un donneur d'ordre. Si vous n'autorisez pas votre client à effectuer des paiements (par exemple, les acquéreurs marchands, dont les clients reçoivent des paiements mais ne les effectuent pas), cette règle ne s'applique pas.
3. Quelles sont les exigences spécifiques ?
Les entreprises doivent non seulement autoriser l'accès aux TPP, mais aussi mettre en place des procédures pour vérifier qu'ils sont réglementés. Il y a des choses spécifiques qu'un prestataire de services de paiement doit faire avant d'autoriser l'accès :
- Vérifier les informations d'identification SCA et émettre un jeton d'accès
- Vérifier le certificat eIDAS du fournisseur TPP
- Vérifier le statut réglementaire du fournisseur TPP
Les entreprises peuvent le faire en utilisant un système dédié (soit intégré, soit acheté sur étagère) ou en autorisant simplement le fournisseur de TPP à utiliser le même canal que le client. Lorsque les entreprises utilisent un système dédié, elles doivent en informer l'autorité de régulation et lui fournir des détails sur son fonctionnement.
Comment cela affecte le paysage des paiements.
Les diagrammes ci-dessous montrent le paysage des paiements avant et après la mise en œuvre des nouvelles règles de la DSP2. Ils illustrent non seulement l'impact des nouvelles règles, mais aussi la quantité de travail nécessaire pour s'y conformer.
Que doivent faire les entreprises ?
En raison de ces nouvelles règles, les entreprises devront analyser les services qu'elles offrent, déterminer s'ils entrent dans le champ d'application et quel en sera l'impact, puis mettre en place un projet pour s'assurer qu'elles sont conformes à la date limite.
Il y a beaucoup de choses à prendre en compte et peu de temps pour se préparer. Pour obtenir des informations et des conseils plus spécifiques à votre entreprise, contactez-nous dès aujourd'hui.
Si vous souhaitez discuter de n'importe quel aspect de votre entreprise et des implications de l'ACS, demandez une heure de conseil gratuite dès aujourd'hui !
Prendre contact
AuthoriPay Ltd, Milton Hall, Ely Road, Cambridge, CB24 6WZ.