Outils anti-fraude avancésBêta
Les outils anti-fraude avancés de Stripe Issuing vous aident à identifier et à prévenir la fraude sur les transactions. Utilisez nos fonctionnalités de webhook en temps réel pour approuver ou rejeter des autorisations avec l’API.
Ce guide vous aide à comprendre comment utiliser ces fonctionnalités et ces indicateurs pour réduire les transactions frauduleuses tout en minimisant l’impact sur les transactions légitimes.
Présentation
Utilisez les outils anti-fraude d’Issuing pour obtenir un accès illimité aux indicateurs suivants basés sur l’API, par autorisation ou par carte :
Contrôles proactifs : prévenir la fraude avant l’autorisation | |
3D Secure (3DS) | Vérifie les titulaires de cartes pour les achats en ligne. |
Contrôles en temps réel : contrer la fraude au moment de l’autorisation | |
Stripe Defence Layer | Bloque automatiquement les transactions à risque sévère selon la modélisation des risques de Stripe. |
Challenges anti-fraude | Déclenche la vérification des autorisations par SMS. Utilisez cette fonction pour vérifier les utilisateurs ou pour permettre aux utilisateurs de vérifier Stripe. |
Indicateurs d’autorisation | |
Contrôles suivant l’autorisation : limiter les futures fraudes | |
Alertes pour carte compromise | Stripe évalue si une carte a été compromise ou non dans le cadre d’une attaque par test de cartes. |
Intégration
Pour prendre des décisions éclairées lors de l’autorisation, mettez à jour votre logique d’autorisation de webhook en temps réel pour intégrer ces indicateurs. En savoir plus sur les paramètres recommandés.
Ensemble complet de contrôles anti-fraude
Stripe offre des fonctionnalités complémentaires aux fonctionnalités anti-fraude, telles que le contrôle des dépenses, l’ouverture de litiges, la gestion des tokens et les outils de gestion de cartes. Découvrez comment gérer la fraude avec la suite complète de contrôles et d’outils de Stripe Issuing.
3D Secure (3DS)
3DS utilise l’authentification multi-facteurs pour réduire la fraude liée aux transactions en ligne sans présentation de la carte. Cette vérification est déclenchée par les entreprises dans les flux de paiement en ligne et nécessite une authentification multi-facteurs (généralement via un SMS ou un e-mail contenant un code d’accès unique envoyé par Stripe).
Protection contre la fraude en ligne avec la vérification 3DS et la conformité SCA
Dans la plupart des cas, les marchands sont responsables des pertes liées à la fraude dans le cadre des transactions sans présentation de la carte. Pour se protéger, les entreprises peuvent déclencher la vérification 3DS afin de réduire les chances d’accepter une transaction frauduleuse. Si un marchand déclenche la vérification 3DS, le titulaire de la carte a besoin d’effectuer cette étape de vérification si vos cartes Stripe sont enregistrées dans 3DS. Au Royaume-Uni et dans l’UE, 3DS est la norme pour la mise en œuvre des exigences réglementaires de l’authentification forte du client.
Demander l’inscription de vos cartes
Vous devez demander l’inscription de votre compte Issuing auprès du service d’assistance pour utiliser le système 3DS. Une fois inscrites, vos cartes seront configurées pour déclencher une vérification supplémentaire lors des autorisations pour lesquelles un marchand demande le 3DS.
En savoir plus sur l’authentification des titulaires de carte à l’aide de 3D Secure.
Stripe Defense Layer
L’outil de surveillance propriétaire de Stripe permet d’identifier les transactions à risque sévère et de les refuser avant qu’elles n’aient un impact sur vos résultats. Tous les utilisateurs Issuing bénéficient de Stripe Defence Layer, qui fournit plusieurs contrôles automatiques pour aider à réduire votre exposition à la fraude sans modifier la responsabilité des pertes. Entre autres considérations, Stripe tente de bloquer les autorisations qui :
- Semblent être des tests frauduleux de cartes
- Semblent présenter un risque extrêmement élevé selon notre modélisation du risque
Ces défenses ont généralement un impact sur un sous-ensemble très limité (moins de 0,5 %) d’autorisations.
Challenges anti-fraude
Les challenges anti-fraude vous permettent de demander une vérification supplémentaire par SMS dans des situations où vous ne souhaitez pas refuser purement et simplement une autorisation potentiellement risquée.
Dans le cadre de la protection contre la fraude, il peut arriver que des faux positifs soient refusés. Pour permettre aux titulaires de cartes de passer outre d’éventuels refus de faux positifs et limiter la gêne pour eux, vous pouvez déclencher une vérification par SMS.
La vérification par SMS fonctionne comme une option de remplacement en cas de refus de paiement. Pour les titulaires de carte, le flux de travail se déroule comme suit :
- Tentative d’autorisation, mais qui se solde par un refus.
- Réponse à une invite de vérification par SMS (envoyé au numéro de téléphone du titulaire de la carte enregistré sur Stripe).
- Deuxième tentative d’autorisation et obtention de l’approbation.
Pour activer ce flux, utilisez les invites par SMS gérées par Stripe ou les invites par SMS gérées par l’utilisateur :
Invites par SMS gérées par Stripe
Stripe déclenche automatiquement une vérification par SMS pour les autorisations qu’il juge à haut risque. Si le titulaire de la carte parvient à effectuer la vérification sous 60 minutes, la combinaison marchand/titulaire de carte sera validée pendant 7 jours pour les autorisations suivantes et les refus de paiement liés aux risques seront ignorés. Nous vous recommandons d’utiliser cette option si vous êtes un utilisateur Issuing qui connait les seuils de risque appliqués par Stripe et qui préfère que Stripe gère le processus de rapprochement de l’autorisation après vérification et de l’état de l’alerte par SMS.
Invites SMS gérées par l’utilisateur
Vous pouvez répondre à un webhook d’autorisation par une décision de refus et une demande de vérification par SMS. Dans de tels scénarios, vous pouvez définir votre propre logique pour déclencher des invites par SMS. Nous vous recommandons d’utiliser cette option si vous utilisez Issuing et que vous préférez être propriétaire de la logique de déclenchement des invites par SMS.
En savoir plus sur le flux des challenges anti-fraude et sur la manière de définir votre propre logique.
Indicateurs d’autorisation
À l’étape de l’autorisation, nous fournissons un ensemble complet d’indicateurs que vous pouvez utiliser pour prendre des décisions éclairées via des webhooks en temps réel.
En savoir plus sur les indicateurs d’autorisation.
Indicateur | Description |
---|---|
Données de vérification | Si le CVV, l’expiration, l’adresse de facturation, le code postal et le code PIN (à la saisie) correspondent à ceux enregistrés |
Probabilité de contestation pour fraude | Indique si une autorisation peut être contestée ou non en cas de fraude |
Alertes pour marchand à haut risque | Risque de litige du marchand acquéreur sur une transaction |
Risque de test de cartes bancaires | Évaluation visant à déterminer si l’autorisation s’inscrit dans le cadre d’un test de cartes frauduleux |
Score de risque de Stripe
Stripe utilise une variété d’indicateurs de risque pour évaluer le niveau de risque d’une autorisation, puis met cette évaluation à votre disposition via l’API. Vous pouvez intégrer l’évaluation de Stripe à votre logique de décision lorsque vous déterminez si vous devez approuver ou refuser une autorisation.
En savoir plus sur le score de risque de Stripe.
Alerte pour carte compromise
Stripe vous informe via l’API lorsque nous pensons qu’une carte a été compromise. Cela vous permet d’annuler et de réémettre une carte, de soumettre des litiges ou d’informer un titulaire de carte.
Prévenir les abus ultérieurs et communiquer avec les titulaires de cartes
L’annulation d’une carte suspectée d’être compromise peut vous aider à prévenir l’utilisation frauduleuse des numéros PAN qui ont été compromis après l’activité frauduleuse initiale. Vous pouvez utiliser ces indicateurs pour lancer des communications et un flux de réémission pour les titulaires de carte. Si Stripe constate qu’un PAN valide a été utilisé dans un test de cartes par le biais d’une autorisation approuvée, nous signalons la carte comme étant potentiellement compromise.
Atténuer les risques et prendre des mesures
Lorsque Stripe observe une autorisation réussie lors d’une forte attaque par test de cartes (risk_assessment.card_testing_risk.risk_level
défini sur la valeur elevated
ou highest
), le champ fraud_warning.type
de l’objet Card est renseigné avec la valeur card_testing_exposure
. La valeur started_at
correspond à la date à laquelle l’autorisation réussie dans le cadre de l’attaque par test de cartes a eu lieu. Lorsqu’une carte a été affectée plusieurs fois dans le cadre d’une attaque par test de cartes, la valeur par défaut correspond au premier horodatage du premier incident. Une fois que Stripe a rempli le champ type
avec card_testing_exposure
, nous vous recommandons de contacter le titulaire de la carte, d’annuler la carte et d’en émettre une nouvelle. Cela permet d’atténuer le risque d’autorisations ultérieures sur ce qu’un acteur frauduleux suppose être un PAN valide qu’il peut utiliser frauduleusement.
En savoir plus sur les alertes pour carte compromise.
Paramètres recommandés
Pour commencer, activez les paramètres suivants qui correspondent aux besoins de votre entreprise. Bien que ces paramètres ne soient pas forcément adaptés à votre modèle économique, à votre zone géographique ou au comportement de vos titulaires de carte, vous pouvez vous y référer lorsque vous utilisez les outils de Stripe. Contactez-nous pour obtenir de l’aide sur le réajustement de ces seuils.
Optimisation du taux d’approbation | Équilibre taux d’approbation et prévention des risques | Optimisation de la prévention des risques | |
---|---|---|---|
Contrôles proactifs | |||
3D Secure (3DS) | S’inscrire | S’inscrire | S’inscrire |
Contrôles des webhooks en temps réel | |||
Stripe Defence Layer | Activé par défaut | Activé par défaut | Activé par défaut |
Challenges anti-fraude | Activé par défaut, déclenchement via un webhook | Facultatif | Facultatif |
Indicateurs d’autorisation | |||
Score de risque de Stripe | Blocage des autorisations dont le score est supérieur à 75 | Blocage des autorisations dont le score est supérieur à 50 | Blocage des autorisations dont le score est supérieur à 25 |
Contrôles suivant l’autorisation | |||
Alertes pour carte compromise | Si rempli, annulation de la carte et émission d’une nouvelle carte | Si rempli, annulation de la carte et émission d’une nouvelle carte | Si rempli, annulation de la carte et émission d’une nouvelle carte |
Les outils anti-fraude avancés d’Issuing sont actuellement limités aux utilisateurs de la version bêta. Vous devez être un client Issuing pour accéder à la version bêta. Pour demander l’accès à la version bêta, connectez-vous à votre compte Stripe et actualisez la page. Contactez Stripe pour obtenir plus d’informations.