Guide de migration vers la SCA pour les plateformes Connect
Découvrez comment mettre votre plateforme Connect à jour pour l'authentification forte du client (SCA).
L’authentification forte du client concerne les entreprises établies dans l’Espace économique européen (EEE) qui acceptent les paiements en ligne de clients au sein de l’EEE. De nombreux paiements par carte bancaire nécessitent une authentification supplémentaire via 3D Secure. Depuis le 14 septembre 2019, les transactions qui ne respectent pas les nouvelles directives d’authentification peuvent être refusées par l’institution financière d’un client.
Si vous créez les types de paiements suivants, il vous faut mettre à jour votre plateforme :
- Des paiements directs sur un compte connecté établi dans l’EEE.
- Des paiements indirects dès lors que le paramètre
on_est défini et qu’il spécifie un compte connecté établi dans l’EEE.behalf_ of - Des paiements et transferts distincts si votre plateforme est établie dans l’EEE ou dès lors que le paramètre
on_est défini et qu’il spécifie un compte connecté établi dans l’EEE.behalf_ of
Choisir une intégration prête pour la SCA
Vous devez mettre à jour votre intégration Stripe pour répondre aux exigences de la SCA. Par exemple, la SCA exige que les paiements hors session soient authentifiés lorsque les clients saisissent des informations de paiement, et les paiements hors session ultérieurs peuvent nécessiter que le client revienne à l’application pour s’authentifier à nouveau.
Choisissez Stripe Checkout s’il prend en charge les fonctionnalités requises par votre intégration. Checkout est une page de paiement hébergée qui peut être adaptée à votre image de marque, et prend en charge les abonnements récurrents ainsi que la SCA pour vos comptes connectés. Il permet de créer des paiements directs ainsi que des paiements indirects pour Connect.
Si vous souhaitez créer des paiements personnalisés, utilisez l’API Payment Intents, car l’ancienne API Charges n’est pas compatible avec la SCA. L’API Payment Intents prend en charge les mêmes fonctionnalités Connect que l’API Charges.
Comprendre les changements sur Connect
Changements affectant les paiements indirects
Si vous utilisez les paramètres destination, destination[account] ou destination[amount] avec l’API Charges, notez qu’ils ont été remplacés par transfer_ et transfer_ à la fois dans l’API Charges et dans l’API Payment Intents. Consultez le tableau suivant pour en savoir plus.
| Cas d’usage | API Charges | API Payment Intents |
|---|---|---|
| Votre plateforme est le marchand enregistré, mais vous souhaitez créer un transfert vers un compte connecté une fois le paiement finalisé | Impossible | Définissez transfer_data[destination] sur l’ID du compte connecté. |
| Vous voulez que votre compte connecté soit l’entité de règlement, mais sans créer de transfert vers ce compte une fois le paiement finalisé | Définissez on_ sur l’ID du compte connecté | Aucun changement |
| Vous voulez que votre compte connecté soit l’entité de règlement et vous souhaitez créer un transfert vers ce compte une fois le paiement finalisé | Définissez destination ou destination[account] sur l’ID du compte connecté | Définissez transfer_data[destination] et on_behalf_of sur l’ID du compte connecté. |
| Vous souhaitez percevoir une commission de plateforme | Définissez application_ sur le montant souhaité | Définissez application_fee_amount sur le montant souhaité |
| Vous souhaitez transférer un montant partiel vers votre compte connecté une fois le paiement finalisé | Définissez destination[amount] sur le montant à transférer | Définisseztransfer_data[amount] sur le montant à transférer |
Règles 3D Secure et Radar
Stripe Checkout et l’API Payment Intents déclenchent le processus d’authentification 3D Secure dynamique sur la base de vos règles Radar définies. Avec Connect, les règles que vous créez s’appliquent uniquement aux paiements créés sur le compte de la plateforme. Les paiements créés directement sur le compte connecté sont soumis aux règles du compte connecté. Configurez vos règles par défaut et testez votre intégration avec des cartes de test 3D Secure.
Impact de la SCA sur l’enregistrement des moyens de paiement
Dans le cadre de la SCA, l’authentification est requise lors de l’enregistrement d’une carte afin de recueillir l’autorisation du client et de pouvoir bénéficier d’exemptions hors session pour les paiements hors session ultérieurs. Pour réduire le nombre de clients qui doivent authentifier leur moyen de paiement, mettez à jour votre intégration afin d’utiliser les paiements hors session avec l’API Payment Intents dans un flux de paiement ou en dehors de celui-ci.
Si vous dupliquez des moyens de paiement enregistrés pour les réutiliser sur plusieurs comptes connectés, le partage d’un moyen de paiement avec un compte connecté partage automatiquement l’autorisation du client. Les paiements hors session sont alors possibles sur n’importe lequel des comptes connectés de la plateforme sans que le client n’ait à réauthentifier son moyen de paiement.
Déterminer si des modifications sont nécessaires de la part de vos comptes connectés
Dans la plupart des cas, une fois que vous avez mis à jour votre intégration de paiements pour la SCA, vos comptes connectés n’ont aucune tâche supplémentaire à effectuer.
Si vous fournissez votre propre API de paiements à vos comptes connectés en plus ou au-dessus de l’API de Stripe, vos comptes connectés peuvent avoir à apporter des ajustements pour continuer à accepter des paiements sur votre plateforme. Par exemple, si vous gérez une plateforme d’abonnements sur Stripe dans laquelle vos comptes connectés vous transmettent des informations de paiement à l’aide de votre propre API, puis que vous transmettez ces informations de paiement à l’API de Stripe, les deux API doivent être prêtes pour la SCA. Si c’est le cas pour votre plateforme, informez vos comptes connectés des changements qu’ils doivent apporter.
Implémenter et tester le nouveau chemin d'intégration
Après avoir identifié votre approche d’intégration et déterminé si vos comptes connectés doivent effectuer des ajustements, suivez les guides de migration pertinents pour Stripe Checkout, Stripe Billing ou l’API Payment Intents.
Une fois l’implémentation terminée, configurez vos règles 3D Secure dynamiques pour tester votre intégration au moyen de cartes de test 3D Secure. Veillez à tester à la fois les cas de réussite et d’échec de l’authentification.
Communiquer auprès de vos comptes connectés
Enfin, expliquez à vos comptes connectés de quelle manière la SCA les affecte et informez-les de la date à laquelle votre plateforme sera prête pour la SCA, qu’ils aient ou non besoin d’apporter des modifications.
Communiquez-leur en particulier les informations suivantes :
L’authentification forte du client (SCA) est une nouvelle exigence réglementaire européenne visant à réduire la fraude et à rendre les paiements en ligne plus sûrs. Depuis l’entrée en vigueur de la réglementation SCA le 14 septembre 2019, les paiements en ligne nécessitent une authentification supplémentaire du client. Les transactions qui ne respectent pas les nouvelles dispositions en vigueur pourront être rejetées par la banque de vos clients. Ce règlement s’applique aux transactions pour lesquelles à la fois l’entreprise et la banque du titulaire de la carte sont situées dans l’Espace économique européen (EEE).
Si vous le souhaitez, vous pouvez également les renvoyer à notre vidéo sur la SCA et à notre guide.
Comment votre plateforme prendra en charge la SCA
Si vous ne migrez pas vers une solution prête pour la SCA, contactez tous vos comptes connectés ayant un volume d’activité significatif avec des clients européens afin qu’ils puissent passer à une autre solution avant de subir des refus de paiement dus à la SCA.
Les éventuelles mesures à prendre par vos comptes connectés
Si aucune action n’est requise de la part de vos comptes connectés, faites-le-leur savoir. De même, si des mesures s’imposent, fournissez-leur des instructions sur les modifications à apporter.
Comment la SCA affectera leur activité
La SCA modifie le tunnel de paiement pour les paiements par carte. Les paiements nécessitant une authentification doivent être soumis à la technologie 3D Secure (mieux connue sous les noms de marque « Verified by Visa » ou encore « Mastercard SecureCode »), qui ajoute généralement une étape supplémentaire au cours de laquelle le titulaire de la carte est invité à fournir une information d’identification complémentaire, telle qu’un code d’accès à usage unique ou un ID biométrique.