Comment se préparer à des transactions d'authentification client forte en Europe pour les achats intégrés ?

Récemment, les nouvelles officielles de l'App Store d'Apple ont mentionné des informations sur l'authentification des clients, et cela à partir du 31 décembre 2020. La législation de l'UE a introduit des exigences strictes en matière d'authentification des clients (SCA) pour les utilisateurs de l'Espace économique européen (EEE), ce qui pourrait affecter la façon dont ils effectuent des achats en ligne. Et pour les jeux et les applications avec achats intégrés, leurs développeurs s'y sont-ils préparés à l'avance ? L'App Store et Apple Pay prendront alors en charge une authentification client forte, et vous devrez vérifier l'implémentation de StoreKit et Apple Pay dans votre application pour vous assurer que les achats sont traités correctement.

ASO World passera en revue les points clés avec vous, et si votre application ou votre jeu inclut des achats intégrés et que votre marché cible inclut l'EEE, vous devrez en outre confirmer que vous êtes préparé en conséquence.

Comprendre les concepts de base de l'authentification forte du client

Qu'est-ce que l'authentification forte du client (SCA) ?

L'authentification forte du client est un ensemble de règles de vérification d'identité introduites par votre banque ou votre fournisseur de services de paiement pour maximiser la sécurité de vos fonds et limiter la fraude. 2019 voit l'introduction d'une nouvelle règle dans l'EEE appelée Strong Customer Authentication (SCA), conçue pour renforcer encore la sécurité des paiements et limiter la fraude.

Le processus de règlement des achats en ligne dans l'EEE impliquerait SCA et devrait entrer en vigueur le 31 décembre 2020. Pour les développeurs d'applications Apple App Store, vous devez aller faire attention à savoir si votre règlement in-app est affecté. .

Qu'est-ce que le mode de paiement SCA ?

L'authentification forte du client (SCA) est une nouvelle exigence réglementaire en Europe qui oblige les payeurs à confirmer l'acceptation autonome des paiements et la nécessité de répondre aux exigences de la SCA, et vous devez avoir une autre vérification d'identité intégrée au processus de paiement. Les spécificités incluent la nécessité d'une double authentification pour de nombreux paiements par carte bancaire en ligne en Europe. Sans cette authentification, de nombreux paiements peuvent être refusés par la banque du client. Cette règle a pour but de réduire la fraude et d'améliorer la sécurité des paiements en ligne.

Qu'est-ce qui a changé avec les paiements SCA ?

Les paiements par carte traditionnels impliquent généralement deux étapes : l'autorisation et la capture. La banque ou l'émetteur de la carte du client décide d'approuver un paiement, ce qui est considéré comme une autorisation, et effectue une rétrofacturation sur la carte, ce qui est considéré comme une capture.

Avec SCA, une étape obligatoire supplémentaire est requise avant l'autorisation et la capture : la vérification. Cette étape permet de protéger le client contre la fraude. Pour valider un paiement, les clients doivent répondre à la demande d'informations de leur banque et fournir des informations complémentaires en conséquence. Il peut s'agir d'informations qu'ils connaissent, comme un mot de passe ; il peut s'agir de quelque chose qu'ils utilisent, comme un téléphone ; alternativement, cela pourrait être une partie de leur corps, comme une empreinte digitale.

L'authentification 3DS est l'un des moyens les plus courants de vérifier les paiements. Celui-ci peut être identifié par son nom de marque, tel que "Visa Secure" ou "MasterCard Identity Check". Une nouvelle version de cette méthode est désormais disponible, appelée 3DS 2.0 Authentication, qui devrait devenir la méthode standard de vérification des paiements.

Quelle que soit la méthode que vous utilisez, le client doit participer à la session et donner la vérification en personne, c'est-à-dire qu'il doit utiliser votre site Web ou votre application. Cette étape est plus facile à ajouter pour les entreprises qui collectent les paiements directement auprès des clients ; c'est plus compliqué pour les entreprises qui collectent les paiements après que le client a quitté le processus de paiement (parfois appelé "hors session").

Quels changements ont été apportés au processus de paiement de l'App Store d'Apple à la suite des règles de la SCA ?

La directive sur les services de paiement (PSD2) est un règlement de l'UE qui exige une vérification stricte de l'identité du client (SCA) pour certains achats en ligne afin de prévenir la fraude. Dans les magasins d'applications, les applications qui initient certaines transactions via des cartes de crédit ou de débit doivent être authentifiées par une banque ou un fournisseur de services de paiement avant de pouvoir être effectuées.

Pour les développeurs avec des achats intégrés dont le marché cible inclut l'EEE, les points suivants doivent être abordés :

• Pour les renouvellements automatiques, SCA est requis pour la première transaction uniquement.

• Les achats inférieurs à 30 € peuvent ne pas nécessiter de SCA.

• Pour les achats effectués avec Apple Pay, aucune autre authentification ne sera requise pour les appareils qui répondent déjà aux exigences de la SCA.

• Les achats effectués à l'aide de la facturation mobile, d'autres services de paiement ou des soldes d'identifiant Apple (via des cartes-cadeaux ou des fonds de recharge) ne nécessiteront pas d'authentification supplémentaire.

Ainsi, les développeurs d'applications impliqués dans les paiements intégrés doivent vérifier si vos utilisateurs rencontrent des problèmes avec le processus de paiement et peuvent envisager des options de canal de paiement, etc. pour résoudre le problème en conséquence.

Comment faire face aux problèmes causés par SCA dans l'EEE ?

1) Utilisez StoreKit pour traiter les transactions

Pour les achats intégrés nécessitant une SCA, le système invitera l'utilisateur à vérifier sa carte de crédit ou de débit. Ils sortiront du processus d'achat, se rendront sur le site Web ou l'application de leur banque ou de leur fournisseur de services de paiement pour s'authentifier, puis seront redirigés vers l'App Store. Ils verront ici un message les informant que l'achat a été effectué. La gestion de cette transaction interrompue est similaire à une approbation d'"achat" qui nécessite l'approbation d'un approbateur à domicile, ou à des conditions générales mises à jour de l'App Store que l'utilisateur doit accepter avant de finaliser l'achat.

Assurez-vous que votre application peut gérer correctement les transactions interrompues en initialisant l'observateur de transactions pour répondre aux nouvelles transactions et synchroniser les transactions en attente avec Apple. L'observateur aide votre application à gérer les transactions SCA, et lorsqu'un utilisateur quitte l'application, la transaction SCA peut mettre à jour votre file d'attente de paiement avec un statut "échec" ou "retardé". Lorsqu'un utilisateur est redirigé vers l'App Store pour s'authentifier, une nouvelle transaction avec le statut "Acheté" est immédiatement transmise au développeur de l'application et peut inclure une nouvelle valeur pour cette propriété d'identifiant de transaction. Vous pouvez tester des scénarios d'achat cassés dans un bac à sable pour un identifiant Apple bac à sable spécifique.

2) Utilisez Apple Pay pour traiter les transactions

Apple Pay inclut une authentification intégrée et ne nécessite aucune authentification supplémentaire de votre banque. Cependant, pour éviter les problèmes de paiement lors de l'utilisation d'Apple Pay, sur votre application, assurez-vous d'utiliser le bon code pays dans votre demande de paiement et que le montant final s'affiche sur le formulaire de paiement.

La valeur du code de pays pour la demande de paiement PK (pour l'application) et la demande de paiement Apple Pay (pour le site Web) doit être définie sur le code de pays à deux lettres correct dans le pays où vous traitez les fonds. Définir la valeur ici correctement garantit que le code conforme PSD2 est utilisé lorsque le code pays du commerçant et l'émetteur de la carte de l'utilisateur sont situés dans l'EEE.

Indiquez le montant final sur le formulaire de paiement au lieu du montant en attente. Cela facilitera un lien dynamique où le montant de la transaction et l'identifiant du commerçant sont inclus dans le mot de passe pour prouver l'origine et l'authenticité de la transaction.

Bien sûr, vous pouvez également utiliser d'autres canaux de collecte tiers, mais avant de le faire, vous devez confirmer que ces prestataires de services de collecte ont ouvert une API de paiement spécifique basée sur les nouvelles règles SCA qui peuvent vous aider à faire face à ce changement et à profiter de toutes les possibilités d'exemption SCA possibles.

En résumé

Étant donné que la mise en œuvre approche, nous vous recommandons de préparer vos processus de paiement afin d'être prêt pour la SCA dès que possible. À mesure que les banques européennes renforcent leur mise en œuvre de ces exigences, cela aidera à prévenir une augmentation des baisses et à prévenir la perte de clients au cours de plusieurs étapes du processus de certification. La nouvelle API de paiement et les autres solutions prenant en charge SCA sont conçues pour tenir compte de cette incertitude.