EMV 3D Secure

Le protocole EMV 3D Secure permet à l'acheteur de s'authentifier auprès de l'émetteur de la carte lors d'un paiement en ligne.

L'authentification peut être réalisée :

• sans interaction du porteur (authentification "frictionless"), dans ce cas, le porteur n’est pas explicitement invité à s’authentifier lors de son paiement.
• avec interaction du porteur (authentification forte ou "challenge").

Dans le cas d'une authentification forte, différentes méthodes d'authentification sont mises en œuvre par chaque banque, comme par exemple :

• l'authentification par application mobile. L'acheteur reçoit une notification sur son smartphone et s'authentifie via l'application mobile de sa banque en saisissant un code secret ou grâce à ses données biométriques. Il confirme le paiement depuis l'application, puis retourne sur le site marchand.
• l'authentification par code de sécurité. L'acheteur reçoit un code à usage unique envoyé par SMS. Il renseigne ce code sur la page d'authentification afin de s'authentifier.

Le protocole prévoit aussi l'authentification de l'acheteur par les données de l'équipement utilisé lors du paiement.

Pour cela, lors de la phase d'authentification, un script est executé afin d'obtenir l'empreinte de l'équipement ("fingerprint" ou "3DS method").

Schéma de principe de l'authentification

Principe de fonctionnement du service PCI/Charge/Authenticate

Le principe général s'applique à l'authentification EMV 3D Secure.

Remarques

• l'instruction reçue peut être de type CHALLENGE ou FINGERPRINT,
• la page d'authentification peut être affichée dans une iFrame visible ou invisible,
• une demande d'autorisation peut être envoyée à l'acquéreur si le statut de l'authentification est SUCCESS, ATTEMPT ou NOT_ENROLLED.

  Les autres cas doivent aboutir à un paiement refusé.