Importer les résultats 3D Secure
L’importation des résultats 3D Secure est un flux de paiement avancé qui vous permet d’intégrer vos authentifications 3D Secure externes à vos paiements Stripe en important le résultat de l’authentification. Vous devez importer les résultats 3D Secure si vous :
- Opèrent dans le secteur du voyage et reçoivent des numéros de carte et des cryptogrammes d’un agrégateur de voyages, comme Expedia ou Sabre
- Utilisez un fournisseur tiers pour effectuer l’authentification 3D Secure
Dans ces situations, vous pouvez transmettre directement les informations de carte et le cryptogramme à l’API PaymentIntent au lieu d’utiliser Stripe Elements pour recueillir les informations de paiement et exécuter 3D Secure.
Disponible dans :
Beta Tous les autres pays dans lesquels Stripe prend en charge les paiements par carte bancaire.
Non disponible dans :
Traiter un paiement avec des informations de carte
Si vous gérez les informations de carte sur votre serveur :
- Créez et confirmez un PaymentIntent avec les informations de carte bancaire et les informations 3D Secure en un seul appel à l’API.
- Lors de la création du PaymentIntent, définissez le paramètre confirm sur
true
. - Définissez le paramètre error_on_requires_action sur
true
lorsque vous confirmez le PaymentIntent pour empêcher Stripe d’effectuer une requête 3DS lors d’un refus de paiement conditionnel.
Traiter un paiement avec une API PaymentMethod
Si vous tokenisez les informations de carte avec l’API Payment Methods :
- Créez et confirmez un PaymentIntent avec l’ID du PaymentMethod et les informations 3D Secure en un seul appel à l’API.
- Lors de la création du PaymentIntent, définissez le paramètre confirm sur
true
. - Définissez le paramètre error_on_requires_action sur
true
lorsque vous confirmez le PaymentIntent pour empêcher Stripe d’effectuer une requête 3DS lors d’un refus de paiement conditionnel.
Mise en garde
Si vous avez l’intention de traiter un paiement avec un PaymentMethod peu de temps après la tokénisation des informations de carte, utilisez plutôt les données brutes de la carte.
Configurer des paiements futurs
Le protocole 3DS prend en charge deux catégories de messages :
- L’authentification des paiements : qui permet d’authentifier les titulaires de carte bancaire lors des transactions.
- L’authentification sans paiement : qui permet de vérifier des identités et des comptes.
Si vous souhaitez inscrire des clients en vue de paiements futurs, incluez le cryptogramme d’authentification sans paiement ainsi que les informations de carte bancaire ou l’ID de PaymentMethod à la création et la confirmation d’un SetupIntent.
Importer des résultats exemptés de l’authentification 3DS
Si vous obtenez un résultat 3D Secure en dehors de Stripe contenant une exemption de la SCA de type ‘low-risk’, vous pouvez signaler à Stripe la nature fondée sur l’exemption du résultat 3D Secure en utilisant le paramètre exemption_indicator.
Si l’analyse du risque de transaction en temps réel assurée par Stripe détermine que cela est approprié, Stripe demande l’exemption pour risque faible à l’émetteur et vous communique cette action en renvoyant exemption_indicator_applied dans la réponse à la demande d’autorisation.
Pour vérifier si Stripe a demandé l’exemption pour risque faible, développez latest_charge
et inspectez l’attribut three_d_secure.
{ "id": "pi_3aTnU0Aif3fLhNTb0le1BSXI", "object": "payment_intent", // ... "latest_charge": { "id": "ch_3aTnU1AifffLhNTb0tUoEZcd", "object": "charge", // ... "payment_method_details": { "card": {
Importation des résultats Cartes Bancaires
Afin d’utiliser l’importation 3DS pour les transactions traitées sur le réseau Cartes Bancaires, vous devez explicitement transmettre le réseau authentifié dans votre requête en utilisant le paramètre network.
Pour importer des cryptogrammes Cartes Bancaires, vous avez également besoin de données supplémentaires issues de votre serveur 3DS externe. Le tableau ci-dessous détaille ces champs supplémentaires obligatoires et recommandés.
Champ | Description | Facultatif |
---|---|---|
electronic_commerce_indicator | L’indicateur ECI (Electronic Commerce Indicator) est renvoyé par votre fournisseur 3D Secure et indique le niveau de l’authentification effectuée. | Facultatif. À inclure si disponible. |
L’algorithme de calcul du cryptogramme utilisé par l’ACS de l’émetteur de la carte pour calculer le cryptogramme d’authentification. Également appelé cavvAlgorithm. Extension du message ARes/RReq : | Obligatoire | |
L’indicateur d’exemption renvoyé par Cartes Bancaires dans l’ARes. Il s’agit d’un bitmap de 3 octets (octet de poids faible en premier et bit de poids fort en premier) codé en Base64. Chaîne (4 caractères). Extension du message ARes : | Facultatif. À inclure si disponible. | |
Score de risque renvoyé par Cartes bancaires dans l’ARes. Valeur numérique entre 0 et 99. Extension du message ARes/RReq : | Facultatif. À inclure si disponible. | |
Le | Facultatif. À inclure si disponible. | |
requestor_challenge_indicator | L’indicateur de challenge (threeDSRequestorChallengeInd ) demandé dans l’AReq envoyée à l’ACS de l’émetteur de la carte. Chaîne contenant 2 chiffres de 01 à 99. | Facultatif. À inclure si disponible. |
Fournissez le plus grand nombre possible de ces champs supplémentaires afin d’augmenter vos chances de voir l’autorisation aboutir.
Exemptions avec le réseau Cartes Bancaires
Si une exemption de SCA vous a été accordée sur 3DS, vous devez soumettre le paramètre cb_exemption
, le paramètre exemption_indicator
ou les deux. Si l’un de ces paramètres indique que l’exemption vaut pour un faible risque déterminé par l’analyse du risque de la transaction de l’acquéreur, Stripe réévalue la transaction, comme décrit dans Importer les résultats d’exemption 3DS.
- Si vous avez accès à
cb_exemption
, transmettez cette valeur sans renseignerexemption_indicator
. Stripe déduit l’indicateur d’exemption approprié en fonction decb_exemption
. - Si vous transmettez à la fois les paramètres
cb_exemption
etexemption_indicator
, assurez-vous qu’ils indiquent tous les deux correctement l’état d’exemption. - En cas de non-concordance pour laquelle
exemption_indicator=none
et le bitmap danscb_exemption
indiquent que l’exemption appliquée est une exemption à faible risque, Stripe rejette la requête.
Tests
Vous pouvez valider votre intégration en mode test à l’aide de la carte test d’authentification requise : 4000 0027 6000 3184
ou pm_card_authenticationRequired
.
La simulation accepte tout résultat 3D Secure correctement formaté. Par exemple :
- Version :
2.1.0
- Indicateur de commerce électronique :
02
- Cryptogramme :
M6+990I6FLD8Y6rZz9d5QbfrMNY=
- ID de transaction :
5f5d08f2-8c36-4f72-99d1-57b4fb70b7d5
Ou :
- Version :
2.2.0
- Indicateur de commerce électronique :
05
- Cryptogramme :
4BQwsg4yuKt0S1LI1nDZTcO9vUM=
- ID de transaction :
f879ea1c-aa2c-4441-806d-e30406466d79
Exemptions accordées via 3DS
En mode test, pour toutes les cartes qui incluent le paramètre exemption_indicator
, la valeur exemption_indicator_applied
renvoyée est définie sur true. Pour tester une création de PaymentIntent qui ne passe pas le contrôle TRA interne et qui renvoie la valeur false, utilisez le numéro de carte bancaire 4000 0000 0001 6123
et définissez exemption_indicator=low_risk
.
Cartes Bancaires
Vous pouvez utiliser les cartes co-badgées suivantes pour tester l’importation des résultats Cartes bancaires :
Vous pouvez utiliser n’importe quelle valeur cb_exemption
valide dans vos tests. Par exemple :
AAAA
- Aucune exemption accordéeBAAA
- Exemption pour faible risque accordée
Comme pour le flux d’exemptions standard, lorsque la valeur de cb_exemption
correspond à un risque faible, seule la carte de test 4000 0000 0001 6123
renvoie la valeur « false » pour l’attribut exemption_indicator_applied.
Utilisation du PAN brut
Stripe demande aux utilisateurs de valider que les données du titulaire de la carte soient traitées de manière sécurisée et en conformité avec la norme PCI DSS (Payment Card Industry Data Security Standard) avant d’accorder l’accès aux API de données de cartes bancaires brutes.
Pour les entreprises qui ont besoin de cette fonctionnalité, Stripe impose des exigences strictes, notamment :
- Validation de la conformité à la norme PCI DSS
- Soumission au processus de vérification rigoureux de Stripe
- Consentement au maintien de contrôles supplémentaires en plus des paramètres de sécurité par défaut de Stripe
Consultez l’article d’assistance Activer l’accès aux API de données brutes de carte pour en savoir plus sur l’activation.
Note
Pour les comptes bénéficiant d’une tarification personnalisée, si vous indiquez Stripe comme acquéreur dans la requête 3D Secure, Stripe répercutera les coûts de réseau applicables à 3D Secure, conformément au contrat que vous avez passé avec Stripe.