Paiement Express Multi-CB : son fonctionnement

Paiement Express Multi-CB est une option du TPE virtuel dans les Pack + et Pack Expert. Elle permet de faciliter au maximum le processus de paiement pour le client. Son principe est d'associer les données de la carte bancaire du client (jusqu'à 3 cartes bancaires maximum) à un « alias » unique que le site web du ecommerçant fourni lors du paiement.

Attention, l'option Paiement Express Multi-CB n'est pas disponible pour vos clients équipés du navigateur Internet Explorer dans les versions 5 à 8.
Il leur est recommandé d'utiliser une version d'Internet Explorer plus récente ou un autre navigateur.

Fonctionnement pour le client

Lors du premier paiement, l'authentification 3D-Secure du client est obligatoire(1) pour que la carte soit stockée et associée à l'alias en toute sécurité. Lors des paiements ultérieurs, le client n'aura plus qu'à choisir la carte avec laquelle il veut payer et saisir le code de vérification (CVV) qui figure au dos de sa carte.

Depuis le lien « Gérer cette carte », associé à chaque carte, le client a la possibilité :

  • de positionner une carte par défaut, celle-ci sera proposée prioritairement pour le paiement (symbole ).
  • de modifier une carte, c'est-à-dire de changer le nom de cette carte (symbole ).
  • de supprimer une carte en cas de carte perdue/volée/expirée (symbole ).

L'ajout d'une carte dans le portefeuille se fait toujours à l'occasion d'un acte de paiement d'un bien ou d'un service proposé par le ecommerçant et ce en 3DS.

Cette option n'est disponible que pour les modes de paiement immédiat, différé et partiel.

Risques et recommandations

Sécurité

  • Risques de fraude et 3D-Secure
    Seule la première transaction d'enregistrement est 3D-Secure donc le commerçant est exposé au risque d'impayé sur toutes les transactions de paiement suivantes réalisées uniquement avec la saisie du CVV.
    Nous comptons donc sur 3D-Secure lors de la première transaction pour authentifier un client et ne pas enregistrer un fraudeur et nous comptons sur la sécurité mise en place autour du compte client sur le site ecommerce pour éviter la fraude sur les paiements suivants.

  • Recommandations de sécurité
    La sécurité du compte client sur le site ecommerce est primordiale. Les recommandations de sécurité qui peuvent être données aux commerçants sont les suivantes :

    • Création du compte :
      La création du compte client doit être sécurisée par un mot de passe respectant les règles de sécurité (6 caractères minimum avec lettres, chiffres, minuscules, majuscules, caractères spéciaux) et être validée par un envoi d'email et/ou toute autre mesures de sécurité (captcha , images à cliquer...).

    • Modification du compte :
      Toute modification du compte client, notamment l'adresse de livraison doit faire l'objet, lors du paiement suivant cette modification, d'une saisie complète du n° de CB en 3D-Secure. Pour cela le commerçant peut forcer la saisie complète du n° de CB grâce à un paramètre envoyé lors de la transaction de paiement.

Informations à communiquer au client

Le « Paiement Express » est une nouvelle façon de payer pour les clients qui peuvent donc être désorientés. Le commerçant doit informer clairement ses clients, dans les CGV/CGU et/ou dans le tunnel de commande et/ou au moment de payer. L'information doit porter sur l'absence de stockage du n° de CB par le commerçant ( « n° ce carte bancaire stocké par « Monetico Paiement » la plateforme sécurisée du CM-CIC »), sur la possibilité donnée au client de ne pas (plus) utiliser ce service de paiement et de supprimer la (les) cartes enregistrées. Le commerçant doit également recommander de n'enregistrer que des cartes dont le client est le véritable porteur (pas de carte de l'épouse, des enfants...).

Mise en place technique

Lors du premier paiement le flux d'informations envoyé par le serveur e‑commerce (flux aller/ CGI1) doit comporter l'alias du client dans le champ « option ». Ce champ est décrit dans la documentation technique en ligne.
Le paramètre à renseigner se compose de la sorte : aliascb=client1.

Lors des paiements suivants, si l'alias est fourni, le paiement sera réalisé en express, c'est-à-dire avec l'affichage des cartes déjà enregistrées et uniquement par la saisie du cryptogramme visuel associé à la carte choisie.
Il est possible de forcer la saisie complète du numéro de CB lors d'un évènement sur le compte client qui pourrait donner lieu à une suspicion de fraude. Ce champ est décrit dans la même documentation ci-dessus.
Le paramètre à renseigner se compose de la sorte : forcesaisiecb=1.

Le commerçant est informé grâce au « retour paiement » (CGI2/callback) que la carte a bien été associée à l'alias.
Le paramètre fourni est du type : cbenregistree=1 pour une carte enregistrée =0 pour un échec.

Le commerçant récupère dans ce cas le hachage irréversible (HMAC-SHA1) du numéro de la carte de crédit utilisée pour effectuer le paiement et qui a été enregistrée (identifiant de manière unique une carte de crédit pour un commerçant donné). Le commerçant récupère également les 6 premiers et 4 derniers chiffres de la carte bancaire du client, séparés par des étoiles (123456******7890) ce qui lui permet par exemple de l'afficher dans le compte de son client.

> Consultez la documentation technique

Webservice de gestion des cartes

Ce Webservice sous forme de requête https permettra au ecommerçant de :

  • définir une carte comme étant une carte par défaut ;
  • supprimer une carte ;
  • modifier une carte ;
  • récupérer la liste des cartes enregistrées dans le portefeuille du client (la liste des cartes enregistrées sous l'alias).

Ce Webservice a pour vocation à être utilisé dans le site marchand pour permettre au client de visualiser et gérer le cas échéant, les cartes qu'il a enregistrées dans son portefeuille.

> Consultez la documentation technique du webservice de gestion des cartes

(1) Sauf en cas de cumul de l'option Paiement Express Multi-CB et 3D-Secure débrayable