Préparation à l'authentification forte du client

L’authentification forte du client (SCA), une règle en vigueur depuis le 14 septembre 2019 dans le cadre de la réglementation DSP2 en Europe, nécessite de modifier la manière dont vos clients européens authentifient les paiements en ligne. Pour les paiements par carte, vous devez utiliser 3D Secure afin de satisfaire aux exigences de la SCA. Les institutions financières de vos clients peuvent refuser les transactions qui ne respectent pas les nouvelles directives d’authentification.

Pour prendre en charge la SCA :

1. Déterminez si la SCA a un impact sur votre entreprise.
2. Décider quel produit prêt pour la SCA convient le mieux à votre entreprise
3. Effectuer les changements dès maintenant pour éviter les refus de paiement.

Si vous utilisez un plugin, une plateforme ou un partenaire d’extension tiers, contactez votre partenaire Stripe pour voir si des modifications sont nécessaires pour prendre en charge la SCA. Contactez le service d’assistance si vous avez des questions.

Entreprises et paiements concernés

Mettez à jour votre intégration Stripe pour prendre en charge la SCA si toutes les conditions suivantes s’appliquent :

• Votre entreprise est établie au sein de l’Espace économique européen ou vous créez des paiements au nom de comptes connectés établis dans l’EEE
• Vous servez des clients dans l’EEE.
• Vous acceptez les cartes (de crédit ou de débit).

Bien que certaines transactions à faible risque (en fonction du volume des taux de fraude associés au prestataire de paiement ou à la banque) ne nécessitent pas d’authentification, les banques peuvent toute de même demander au client d’exécuter l’authentification. Même si vous traitez principalement des transactions à faible risque, mettez à jour votre intégration afin que vos clients puissent effectuer l’authentification lorsque la banque le demande. En savoir plus sur les exemptions à la SCA.

Produits et API prêts pour la SCA

Que vous collectiez des paiements ponctuels ou que vous enregistriez des cartes pour les réutiliser ultérieurement, Stripe fournit des produits préconfigurés et personnalisables pour vous aider à respecter les exigences de la SCA.

Les intégrations qui ne sont pas prêtes pour la SCA, comme celles qui utilisent l’ancienne API Charges, peuvent connaître des taux élevés de refus de la part des banques qui appliquent la SCA.

Paiements ponctuels

Acceptez les paiements par carte avec l’API Payment Intents et Checkout, un flux de paiement prédéfini hébergé par Stripe qui gère automatiquement les exigences de la SCA pour vous. Checkout est personnalisable et vous permet d’accepter des paiements pour des achats ponctuels et des abonnements sur votre site Web.

• Migrer vers l’API Payment Intents
• Utiliser une page de paiement préconfigurée
• Créer un tunnel de paiement personnalisé

Réutilisation des cartes

Save a card for later reuse with the Payment Intents API and the Setup Intents API. You can also use Checkout to automatically handle SCA requirements, or use Billing to handle SCA for subscriptions.

• Utiliser une page de paiement préconfigurée
• Créer un flux personnalisé pour enregistrer les informations de carte bancaire

Migration vers la SCA

Vous devrez peut-être mettre à jour votre intégration pour prendre en charge la SCA. Pour plus d’informations sur les modifications à apporter, y compris des recommandations de produits spécifiques établies en fonction du cas d’usage, consultez les guides suivants :

• Migrer vers l’API Payment Intents
• Flux de paiement conformes à la SCA

Mettre à jour les plugins et les bibliothèques de développeur

Vous devrez peut-être mettre à jour votre bibliothèque de plugin Stripe ou votre bibliothèque développeur pour prendre en charge la SCA. Si vous êtes à la recherche d’un plugin prêt pour la SCA, visitez Stripe Partners.

Identifier votre plugin sur notre plateforme

Pensez à inclure des informations d’identification dans vos plugins et bibliothèques tierces afin que nous puissions vous contacter en cas de modifications futures ou de mises à jour critiques de l’API. Utilisez la fonction setAppInfo pour fournir ces informations dans votre intégration Stripe.

Nous vous encourageons à rejoindre le programme Partenaires Stripe. L’inscription est gratuite et vous y trouverez davantage de ressources destinées aux développeurs qui conçoivent des plugins. Prenez connaissance de nos recommandations de bonnes pratiques.

Déterminer votre chemin d’intégration

Considérez les éléments suivants :

• Utilisez Stripe Checkout pour collecter les paiements à l’aide d’un formulaire personnalisable. Vous pouvez intégrer le formulaire de paiement sur votre site Web ou l’héberger sur Stripe.
• Pour mieux contrôler votre tunnel de paiement, utilisez l’API Payment Intents et l’API Setup Intents avecElements, PaymentMethods, Customers, et Connect. Ces API affichent des flux d’authentification, tels que 3DS 2, enregistrent les cartes bancaires à utiliser ultérieurement, et prennent en charge la SCA.
• Pour les paiements récurrents, utilisez Stripe Billing pour gérer les abonnements et factures.
• Inscrivez un endpoint de webhook pour votre compte ou vos comptes connectés, et gérez-les avec l’API Webhooks.

Si aucune de ces options ne convient à votre intégration, contactez-nous.

Tester l’authentification dynamique

Une fois la nouvelle approche d’intégration implémentée, configurez vos règles Radar 3D Secure dynamiques de façon à tester votre intégration à l’aide de vos cartes de test 3D Secure. Veillez à tester à la fois les cas de réussite et d’échec de l’authentification.

Informez vos clients et Stripe

Dès que vous avez terminé la mise à jour, fournissez à vos clients une mise à jour prête pour la SCA. Vous pouvez partager le Guide d’authentification forte du client avec vos clients pour les aider à comprendre ces évolutions réglementaires. Lorsque vous publiez une mise à jour prête pour la SCA, informez Stripe également. Nous orientons les utilisateurs vers des solutions prêtes pour la SCA sur la page Partenaires Stripe.

Utiliser d’anciens mandats

Si vous collectez des paiements alors que votre client n’utilise pas activement votre application, la SCA peut exiger que votre client se réauthentifie, même s’il s’est authentifié dans le passé. Pour ces paiements hors session, vous pouvez utiliser les API Stripe pour identifier votre client une seule fois pendant une session, puis réutiliser la carte bancaire à plusieurs reprises en hors session.

Vous pouvez également utiliser d’anciens mandats (parfois appelés droits acquis) pour les paiements hors session qui respectent la période d’admissibilité suivante, quels que soient le montant et la fréquence des paiements :

• Cartes de clients européens enregistrées avant le 31 décembre 2020
• Cartes de clients du Royaume-Uni enregistrées avant le 14 septembre 2021

Stripe recherche automatiquement les transactions réalisées avec la carte avant les dates listées ci-dessus. S’il les trouve, Stripe a recours à l’ancien mandat pour gérer la transaction en cours. Si la banque accepte l’ancien mandat, la transaction est considérée comme hors du périmètre d’application de la SCA et peut se poursuivre sans authentification supplémentaire.

Si la banque refuse l’ancien mandat, l’état du PaymentIntent passe à requires_payment_method, et vous devez demander à votre client de compléter le paiement.

Enregistrer les cartes après la période d’éligibilité

Une fois que la SCA prend effet, vous pouvez utiliser l’API Payment Intents pour enregistrer et réutiliser les cartes, et l’API Setup Intents pour être admissible aux exemptions hors session. Vous pouvez également enregistrer des cartes en utilisant Stripe Checkout.

Préparation de vos cartes enregistrées pour la SCA

Pour que Stripe puisse réutiliser des mandats précédents, vous devez utiliser l’API Payment Intents et indiquer à Stripe que le paiement a lieu hors session.

Entrée en vigueur de la SCA

Préparez vos flux de paiement pour la préparation à la SCA dès que possible, si les réglementations SCA vous affectent. Cela peut aider à prévenir une augmentation des refus de cartes européennes et à vous préparer en cas d’application précoce de la loi par les banques. En savoir plus sur l’application selon les pays.

S’assurer que votre intégration est prête pour la SCA

Votre intégration est prête pour la SCA lorsque vous traitez tous vos paiements à l’aide de produits prêts pour la SCA, tels que Checkout, Billing, l’API Payment Intents ou une solution partenaire prête pour la SCA.

De plus, veuillez effectuer les opérations suivantes :

• Testez l’authentification 3DS avec nos cartes de test réglementaires pour vous assurer que votre intégration peut gérer 3DS.
• Pour les paiements hors session, configurez et identifiez la carte bancaire lors de l’enregistrement du moyen de paiement, puis utilisez l’API pour indiquer les paiements hors session.
• Si vous utilisez le Billing API pour des abonnements ou des factures, assurez-vous que votre intégration peut gérer les états incomplets.

Comprendre les paiements incomplets et les refus ou échecs de paiement

Les paiements peuvent ne pas aboutir, car ils sont incomplets, refusés ou ont échoué. Pour les paiements bloqués dans un état incomplete (Dashboard) ou requires_action (API), veuillez procéder comme suit :

• Assurez-vous que votre client n’authentifie pas activement un paiement pendant une session. Il se peut également que votre client ait abandonné le tunnel de paiement.
• Vérifiez que vous gérez les actions suivantes, comme l’authentification.
• Définissez off_session sur true lors de la création d’un paiement hors session.

Les banques peuvent refuser les paiements qui nécessitent une authentification 3DS, mais pour lesquels 3DS n’est pas activé.

Si un paiement hors session échoue, mais que vous pensez qu’il est exempté des exigences de la SCA, procédez comme suit :

• Assurez-vous d’identifier la carte bancaire lors de l’enregistrement des détails du moyen de paiement, que ce soit pendant un paiement ou sans paiement.
• Lors de l’enregistrement de cartes lors d’un paiement, définissez setup_future_usage sur off_session.
• Lorsque vous enregistrez des cartes bancaires sans paiement, utilisez l’API Setup Intents et définissez usage sur off_session.

Les exemptions ne sont pas garanties et les paiements hors session peuvent toujours nécessiter une authentification par la banque.

Afficher les paiements refusés

1. Dans le Dashboard, allez dans Transactions >Paiements.

2. Dans la liste déroulante Filter by: status, effectuez l’une des opérations suivantes :

   • Sélectionnez Failed pour afficher les paiements hors session refusés.
   • Sélectionnez Incomplete pour afficher les paiements refusés pendant une session.

3. Cliquez sur Appliquer.

4. Passez la souris sur le badge d’état pour connaître la raison.

Surveiller les litiges

Lors de la surveillance des litiges, sachez que les paiements authentifiés via 3DS sont soumis à la règle du transfert de responsabilité. Si un titulaire de carte conteste un paiement 3DS comme étant frauduleux, en général, ce n’est plus vous, mais l’émetteur de la carte qui en devient responsable. Si l’émetteur de la carte applique des exemptions, le paiement n’est pas authentifié par 3D Secure, et le transfert de responsabilité ne s’applique donc pas.

Collecter l’autorisation de réutiliser les cartes

Lorsque vous configurez votre tunnel de paiement pour enregistrer une carte bancaire à l’aide de l’API Payment Intents ou de l’API Setup Intents, Stripe marque les paiements hors session ultérieurs sous la forme de transactions initiées par le marchand (MIT). Ces transactions nécessitent un accord (également appelé mandat) entre vous et votre client.

Sur votre site Web ou votre application, couvrez au minimum les éléments suivants :

• Le consentement du client vous autorisant à déclencher un paiement ou une série de paiements en son nom
• La fréquence prévue des paiements (ponctuels ou récurrents)
• La façon dont vous déterminez le montant à payer

Dans votre tunnel de paiement, faites référence aux conditions de paiement :