Importer les résultats 3D Secure

Traiter les paiements lorsque 3D Secure est exécuté en dehors de Stripe.

Importing 3DS results is an advanced payment flow that allows you to incorporate your external 3DS authentication into your Stripe payment by importing the authentication result. You need to import 3DS results if you:

Opèrent dans le secteur du voyage et reçoivent des numéros de carte et des cryptogrammes d’un agrégateur de voyages, comme Expedia ou Sabre
Use a third-party provider to perform 3DS

In these situations, you can pass the card details and cryptogram directly to the Payment Intents API instead of using Stripe Elements to collect payment details and run 3DS.

3DS est disponible dans les pays suivants :

Australie

Canada

États-Unis

Hong Kong

Mexique

Nouvelle-Zélande

Royaume-Uni

Singapour

Suisse

Beta Tous les autres pays dans lesquels Stripe prend en charge les paiements par carte bancaire.

3DS n’est pas disponible dans les pays suivants :

Inde

Malaisie

Thaïlande

Traiter un paiement avec des informations de carte

Si vous gérez les informations de carte sur votre serveur :

Create and confirm a PaymentIntent with the card details and 3DS details in one API call.
Lors de la création du PaymentIntent, définissez le paramètre confirm sur true.
Définissez le paramètre error_on_requires_action sur true lorsque vous confirmez le PaymentIntent pour empêcher Stripe d’effectuer une requête 3DS lors d’un refus de paiement conditionnel.

Traiter un paiement avec une API PaymentMethod

Si vous tokenisez les informations de carte avec l’API Payment Methods :

Create and confirm a PaymentIntent with the PaymentMethod ID and 3DS details in one API call.
Lors de la création du PaymentIntent, définissez le paramètre confirm sur true.
Définissez le paramètre error_on_requires_action sur true lorsque vous confirmez le PaymentIntent pour empêcher Stripe d’effectuer une requête 3DS lors d’un refus de paiement conditionnel.

Mise en garde

Si vous avez l’intention de traiter un paiement avec un PaymentMethod peu de temps après la tokénisation des informations de carte, utilisez plutôt les données brutes de la carte.

Configurer des paiements futurs

Le protocole 3DS prend en charge deux catégories de messages :

L’authentification des paiements : qui permet d’authentifier les titulaires de carte bancaire lors des transactions.
L’authentification sans paiement : qui permet de vérifier des identités et des comptes.

Si vous souhaitez inscrire des clients en vue de paiements futurs, incluez le cryptogramme d’authentification sans paiement ainsi que les informations de carte ou l’ID de PaymentMethod à la création et la confirmation d’un SetupIntent.

Importer des résultats exemptés de l’authentification 3DS

If you obtain a 3DS result outside of Stripe that contains a ‘low-risk’ SCA exemption, you can flag the exemption-based nature of the 3DS result to Stripe by using the exemption_indicator parameter.

Si l’analyse du risque de transaction en temps réel assurée par Stripe détermine que cela est approprié, Stripe demande l’exemption pour les transactions à faible risque à l’émetteur et vous communique cette action en renvoyant exemption_indicator_applied dans la réponse à la requête d’autorisation.

Pour vérifier si Stripe a demandé l’exemption pour les transactions à faible risque, développez latest_charge et inspectez l’attribut three_d_secure.

{
    "id": "pi_3aTnU0Aif3fLhNTb0le1BSXI",
    "object": "payment_intent",
    // ...
    "latest_charge": {
        "id": "ch_3aTnU1AifffLhNTb0tUoEZcd",
        "object": "charge",
        // ...
        "payment_method_details": {
            "card": {

Importation des résultats Cartes Bancaires

Afin d’utiliser l’importation 3DS pour les transactions traitées sur le réseau Cartes Bancaires, vous devez explicitement transmettre le réseau authentifié dans votre requête en utilisant le paramètre network.

Pour importer des cryptogrammes Cartes Bancaires, vous avez également besoin de données supplémentaires issues de votre serveur 3DS externe. Le tableau ci-dessous détaille ces champs supplémentaires obligatoires et recommandés. Ces recommandations s’appliquent lorsque vous importez des résultats 3DS en utilisant PaymentIntents et SetupIntents.

Champ	Description	Facultatif
electronic_commerce_indicator	The Electronic Commerce Indicator (ECI) is returned by your 3DS provider and indicates what degree of authentication was performed.	Facultatif. À inclure si disponible.
cb_avalgo	L’algorithme de calcul du cryptogramme utilisé par l’ACS de l’émetteur de la carte pour calculer le cryptogramme d’authentification. Également appelé cavvAlgorithm. Extension du message ARes/RReq : `CB-AVALGO`	Obligatoire
cb_exemption	L’indicateur d’exemption renvoyé par Cartes Bancaires dans l’ARes. Il s’agit d’un bitmap de 3 octets (octet de poids faible en premier et bit de poids fort en premier) codé en Base64. Chaîne (4 caractères). Extension du message ARes : `CB-EXEMPTION`	Facultatif. À inclure si disponible.
cb_score	Score de risque renvoyé par Cartes bancaires dans l’ARes. Valeur numérique entre 0 et 99. Extension du message ARes/RReq : `CB-SCORE`	Facultatif. À inclure si disponible.
ares_trans_status	Le `transStatus` renvoyé par l’ACS de l’émetteur de la carte dans l’ARes.	Facultatif. À inclure si disponible.
requestor_challenge_indicator	L’indicateur de challenge (`threeDSRequestorChallengeInd`) demandé dans l’AReq envoyée à l’ACS de l’émetteur de la carte. Chaîne contenant 2 chiffres de 01 à 99.	Facultatif. À inclure si disponible.

Fournissez le plus grand nombre possible de ces champs supplémentaires afin d’augmenter vos chances de voir l’autorisation aboutir.

Exemptions avec le réseau Cartes Bancaires

Si une exemption de SCA vous a été accordée sur 3DS, vous devez soumettre le paramètre cb_exemption, le paramètre exemption_indicator ou les deux. Si l’un de ces paramètres indique que l’exemption vaut pour un faible risque déterminé par l’analyse du risque de la transaction de l’acquéreur, Stripe réévalue la transaction, comme décrit dans Importer les résultats d’exemption 3DS.

Si vous avez accès à cb_exemption, transmettez cette valeur sans renseigner exemption_indicator. Stripe déduit l’indicateur d’exemption approprié en fonction de cb_exemption.
Si vous transmettez à la fois les paramètres cb_exemption et exemption_indicator, assurez-vous qu’ils indiquent tous les deux correctement l’état d’exemption.
En cas de non-concordance pour laquelle exemption_indicator=none et le bitmap dans cb_exemption indiquent que l’exemption appliquée est une exemption à faible risque, Stripe rejette la requête.

Tests

Vous pouvez valider votre intégration en mode test à l’aide de la carte test d’authentification requise : 4000 0027 6000 3184 ou pm_card_authenticationRequired.

The simulation accepts any correctly-formatted 3DS result. For example:

Version : 2.1.0
Indicateur de commerce électronique : 02
Cryptogramme : M6+990I6FLD8Y6rZz9d5QbfrMNY=
ID de transaction : 5f5d08f2-8c36-4f72-99d1-57b4fb70b7d5

Ou :

Version : 2.2.0
Indicateur de commerce électronique : 05
Cryptogramme : 4BQwsg4yuKt0S1LI1nDZTcO9vUM=
ID de transaction : f879ea1c-aa2c-4441-806d-e30406466d79

Exemptions accordées via 3DS

En mode test, pour toutes les cartes qui incluent le paramètre exemption_indicator, la valeur exemption_indicator_applied renvoyée est définie sur true. Pour tester une création de PaymentIntent qui ne passe pas le contrôle TRA interne et qui renvoie la valeur false, utilisez le numéro de carte bancaire 4000 0000 0001 6123 et définissez exemption_indicator=low_risk.

Cartes Bancaires

Vous pouvez utiliser les cartes co-badgées suivantes pour tester l’importation des résultats Cartes bancaires :

Marque	CVC	Date
Cartes bancaires / Visa	3 chiffres aléatoires	Toute date postérieure à la date du jour
Cartes bancaires / Mastercard	3 chiffres aléatoires	Toute date postérieure à la date du jour
Cartes bancaires / Visa	3 chiffres aléatoires	Toute date postérieure à la date du jour

Vous pouvez utiliser n’importe quelle valeur cb_exemption valide dans vos tests. Par exemple :

AAAA - Aucune exemption accordée
BAAA - Exemption pour faible risque accordée

Comme pour le flux d’exemptions standard, lorsque la valeur de cb_exemption correspond à un risque faible, seule la carte de test 4000 0000 0001 6123 renvoie la valeur « false » pour l’attribut exemption_indicator_applied.

Utilisation du PAN brut

Stripe demande aux utilisateurs de valider que les données du titulaire de la carte soient traitées de manière sécurisée et en conformité avec la norme PCI DSS (Payment Card Industry Data Security Standard) avant d’accorder l’accès aux API de données de cartes bancaires brutes.

For businesses that require this functionality, Stripe imposes strict requirements, including:

Validation de la conformité à la norme PCI DSS
Submission to the Stripe review process
Consentement au maintien de contrôles supplémentaires en plus des paramètres de sécurité par défaut de Stripe

Consultez l’article d’assistance Activer l’accès aux API de données brutes de carte pour en savoir plus sur l’activation.

Note

For accounts with custom pricing, if you specify Stripe as your acquirer in the 3D Secure request, Stripe passes network costs applicable to 3DS through, per your agreement with Stripe.

Voir aussi

3D Secure options on PaymentIntents