Afin de garantir un parcours d’achat sécurisé sur leur site Internet, les e-commerçants doivent respecter différents standards de sécurité des paiements. Pour obtenir un label de qualité correspondant à la sécurité de vos paiements, vous devrez vous adresser aux organismes décernant des certifications de paiement sécurisés qui procéderont alors à la vérification de vos processus d’achat.
Le standard PCI DSS pour les paiements par carte de crédit
PCI DSS est le standard de sécurité des données de l’industrie des cartes de paiement (Payment Card Industry Data Security Standards). Développé par différents émetteurs de cartes de crédit, le standard international PCI DSS est un ensemble d’exigences en matière de sécurité destinées aux e-commerçants traitant des données de carte de crédit. Ainsi, seuls les e-commerçants en conformité avec la norme PCI DSS sont autorisés à conserver les données de cartes de crédit.
Pour être en conformité, les boutiques en ligne sont tenues de prouver périodiquement qu’elles respectent toujours les standards de sécurité. Voici la liste des rapports de sécurité qu’un e-commerçant doit fournir afin d’obtenir la norme de sécurité PCI DSS :
Auto-évaluation (annuelle) : dans ce questionnaire, l’e-commerçant fournit des données générales sur l’entreprise, sur ses liens avec d’autres entreprises et des détails techniques sur le traitement des informations relatives aux cartes de paiement.
Balayage de sécurité (trimestriel) : il s’agit ici d’identifier d’éventuelles failles dans les IP et les domaines externes par lesquels des pirates pourraient accéder à des données de cartes de crédit. Pour cela, on analyse entre autres les composants du réseau, les systèmes d’exploitation et les applications.
Audit externe (annuel) : ce contrôle de sécurité effectué sur le terrain s’adresse avant tout aux grandes entreprises traitant plusieurs millions de transactions par an. Il comprend notamment la visite des locaux de serveurs, des entretiens avec les collaborateurs, la vérification de la documentation de processus et des directives de durcissement ainsi qu’une vérification de la configuration du système.
L’importance de la DSP2 sur la sécurité des paiements
La 2e Directive Européenne sur les Services de Paiement (DSP2) est une directive qui s’applique principalement aux paiements en devises de l’UE/EEE. Elle vise à renforcer la sécurité des paiements dans le trafic des paiements numérique et la protection des consommateurs. Afin de se conformer aux exigences de la DSP2, les organismes de cartes de crédit Visa et Mastercard, conjointement avec l’association d’entreprises EMVCo, ont mis en place une procédure de sécurité 3D Secure. Appelée « 3DS 2 », cette solution d’authentification est conforme à la DSP2 et s’applique aux pays de l’UE et à la Suisse.
L’authentification à deux facteurs, gage d’une protection renforcée pour les clients
Depuis le 1er janvier 2021, les e-commerçants doivent désormais sécuriser toutes leurs transactions à l’aide d’une authentification forte du client (Strong Customer Authentication, SCA). Celle-ci repose sur une authentification à deux facteurs, qui combine deux facteurs minimum parmi les trois suivants :
facteur de connaissance : quelque chose que l’acheteur connaît, p. ex. un mot de passe
facteur de propriété : quelque chose que le client a en sa possession, p. ex. un smartphone pour recevoir un code PIN pour finaliser une transaction
facteur d’inhérence : une caractéristique unique et personnelle, comme une empreinte digitale
Exemple : Si un internaute choisit le paiement par virement bancaire, il devra d’abord saisir son mot de passe sur son environnement bancaire en ligne. Puis, il devra confirmer son identité par reconnaissance faciale sur son smartphone afin de finaliser la transaction.
Une sécurité des paiements supplémentaire pour les commerçants
L’authentification à deux facteurs permet de garantir un processus d’achat sécurisé non seulement pour les clients, mais aussi pour les vendeurs. C’est un moyen simple, rapide et économique pour vérifier l’identité de l’internaute, ce qui permet de réduire le risque de fraude. La directive permet aussi une plus grande sécurité des paiements pour l’« instant payment », comme le virement SEPA instantané, désormais proposé par la plupart des banques françaises, ou comme Bancontact en Belgique. Il s’agit de méthodes de paiement particulièrement sûres pour les vendeurs, puisque…
... l’achat est payé instantanément et le processus de paiement est directement authentifié, ce qui accélère le traitement et l’envoi de la commande.
... les clients ne peuvent pas annuler rétroactivement un paiement authentifié. L’instantanéité diminue ainsi le risque de paiements annulés pour les commerçants en ligne.
Toutefois, en raison de la sécurité accrue des paiements grâce à la DSP2, il est encore plus important pour les boutiques en ligne de réduire le processus des transactions au strict minimum et de les structurer de façon claire. Car si cela implique pour l’internaute de cliquer un trop grand nombre de fois, il risque d’abandonner sa commande.