Authentification client forte (SCA) pour les développeurs de plugins et de thèmes WordPress
Publié: 2019-09-17Pour de nombreuses boutiques de plugins et de thèmes, l'authentification forte du client (SCA) a été un sujet brûlant ces derniers mois. Alors, de quoi parle exactement tout ce bruit et pourquoi est-il pertinent pour les développeurs de produits WordPress ?!
Commençons par un peu de contexte.
Qu'est-ce que l'authentification forte du client (SCA) ?
SCA est né de l'objectif de l'Union européenne (UE) de sécuriser les paiements en ligne, ce qui est un très bon objectif pour tout le monde, n'est-ce pas ? Nous voulons tous avoir des paiements en ligne sécurisés qui protègent la légitimité des achats dans le commerce électronique.
Afin d'atteindre l'objectif de sécuriser les paiements en ligne et de minimiser la fraude, l'UE a publié deux "directives sur les services de paiement" - PSD1 et PSD2 - et non, ce ne sont pas de nouveaux formats Photoshop. PSD2 a initialement donné aux entreprises des pays de l'UE jusqu'au 14 septembre 2019 pour mettre en œuvre des solutions sécurisées pour les paiements en ligne qui répondent aux exigences de la SCA.
Ces exigences n'ont pas été bien accueillies par de nombreux groupes, en particulier les grandes sociétés de cartes de crédit comme Visa et d'autres établissements de paiement en Europe, qui ont signé conjointement une déclaration expliquant les principaux défis de la transition vers la sécurisation des paiements avec l'authentification à 2 facteurs (2FA - requis pour de nombreux paiements). sous SCA) et demandant officiellement une période de mise en œuvre de 18 mois.
En réponse, l'Autorité bancaire européenne (EBA) a publié une déclaration qui reconnaît les défis auxquels les prestataires de services financiers seront confrontés pour répondre aux exigences de la SCA et prévoit une période de transition de 18 mois.
Alors, quelle est toute cette confusion?
Dans l'ensemble, ces allers-retours à un niveau aussi élevé du gouvernement et de l'industrie ont conduit à une tonne de confusion dans tous les secteurs concernant le calendrier, l'exécution et les exigences générales de la SCA. Alors, clarifions le mieux possible en fonction des informations actuellement disponibles.
L'image ci-dessous montre la chronologie la plus récente que nous avons trouvée pour PSD2 et qui correspond à tout ce que nous avons recherché sur SCA :
Source : https://www.signifyd.com/psd2-strong-customer-authentication/
Fondamentalement, tout le monde peut pousser un gros soupir de soulagement. La «date limite initiale» du 14 septembre est maintenant passée, et à cause de toutes ces discussions qui se déroulent à un niveau aussi élevé, beaucoup de gens s'inquiètent toujours du fait que de nombreux paiements en ligne vont tout simplement cesser de fonctionner, ce que nous pouvons dire en toute sécurité est pas le cas (du moins pas avant 2021).
Même compte tenu de ce délai, cela vaut la peine de dire que si vous vendez avec Freemius, nous nous en occupons !
Nous venons de mettre à jour l'ensemble de notre plateforme de paiement pour prendre pleinement en charge tous les aspects de SCA via nos passerelles de paiement pertinentes, bien avant la date d'entrée en vigueur du 14 mars 2021.
Cela ne rend pas SCA non pertinent pour les boutiques de plugins/thèmes - que vous vendiez ou non via Freemius. La SCA va affecter les paiements des consommateurs, et il est important d'être conscient de la nouvelle expérience de paiement qui sera requise pour de nombreux paiements de commerce électronique.
Qui est exactement impacté par SCA ?
Il y a encore un manque de clarté sur celui-ci. Initialement, le "mot dans la rue" était qu'il ne concernait que les commerçants de l'Espace économique européen (EEE) pour les transactions effectuées avec des cartes européennes. Ensuite, Stripe a commencé à communiquer que SCA pourrait également avoir un impact sur les marchands américains effectuant des transactions avec des cartes européennes.
Alors que tout le monde s'habitue encore lentement aux nouvelles directives de paiement, la situation continue d'évoluer rapidement. Nous pouvons dire avec certitude que SCA affectera de nombreux paiements en ligne en relation avec les cartes européennes, où que vous soyez, et il est essentiel de vous assurer que votre passerelle de paiement est parfaitement préparée pour gérer les exigences PSD2 sous SCA.
SCA a-t-il un impact sur les abonnements créés précédemment qui n'ont pas encore été authentifiés ?
L'une des principales préoccupations initiales était que SCA exigerait une revérification des paiements d'abonnement existants , ce qui, vous pouvez l'imaginer, pourrait causer des troubles aux entreprises de commerce électronique qui dépendent de leurs revenus récurrents pour continuer à fonctionner (comme de nombreuses boutiques de plug-ins et de thèmes).
Certaines des directives publiées par Stripe ont expliqué que de nombreux paiements seront éligibles à des "exemptions" à SCA, y compris les paiements d'abonnement commencés avant le 14 septembre, qui seront généralement "exclus".
Pour les paiements d'abonnement commençant après le 14 septembre 2019, il est important d'utiliser les dernières API de vos passerelles de paiement pertinentes, qui doivent intégrer les exigences SCA pour la vérification. Ces paiements pourront bénéficier d'exemptions aux nouvelles exigences car ils auront fait l'objet d'un processus de vérification interne en temps réel.
Dans l'ensemble, l'accord est que les paiements inférieurs à 30 € n'ont généralement pas à passer par une vérification supplémentaire si le taux de fraude pour la banque du client est très faible - c'est ce qu'on appelle des « exemptions ».
Selon la cote de fraude de l'émetteur du paiement, le plafond d'exemption pour vérification peut augmenter jusqu'à 100 €, voire jusqu'à 250 € si la banque émettrice a très peu d'activités frauduleuses associées.
Voici ce que dit le site Web de Stripe sur le sujet :
Source : https://stripe.com/en-de/guides/strong-customer-authentication#low-risk-transactions
Sur la base de la chronologie plus proche du début de cet article, chaque pays de l'UE doit commencer à appliquer PSD2 après le 14 mars 2021, ce qui signifie que vous ne rencontrerez peut-être aucun problème de paiement à l'avenir si votre solution est mise à niveau avant la date d'application (mais vous avez de meilleures chances d'éviter les problèmes si votre passerelle de paiement et vos API sont à jour dès que possible).
Le principal risque que nous pouvons voir est que les paiements d'abonnement commencés après le 14 septembre 2019 qui ne passent pas par le processus de vérification 2FA requis par SCA - ou obtiennent une exemption - peuvent ne pas être renouvelés correctement lorsque l'abonnement doit être renouvelé. Ces paiements peuvent nécessiter une nouvelle vérification, mais ce n'est pas encore tout à fait clair, et nous ne manquerons pas de mettre à jour cet article au fur et à mesure que de nouvelles informations seront disponibles. Si vous trouvez quelque chose en ligne à ce sujet, n'hésitez pas à poster dans les commentaires et à nous le faire savoir !
Même avec la période de transition prolongée, vous devez vous assurer que votre solution de commerce électronique et toutes les passerelles de paiement concernées ont effectué la transition vers la vérification des paiements via SCA afin de minimiser le risque d'échec des paiements.
Les paiements bénéficieront d'une exemption aux exigences de la SCA en temps réel en fonction des seuils de paiement et des taux de fraude OU nécessiteront une vérification via 2FA pendant le processus de paiement pour ajouter une couche de sécurité supplémentaire lorsque le risque de paiement est jugé trop élevé.
Tout cela se passera dans les coulisses. Si vous vendez des plugins et des thèmes via votre propre boutique en ligne, vous devez adapter votre solution existante pour utiliser les dernières API avec des passerelles appropriées.
Comment fonctionnent exactement SCA et PSD2 ?
Sur le plan fonctionnel, les exigences SCA sont satisfaites grâce à l'utilisation de 3D Secure 2.0 (3DS2) pour vérifier les paiements en ligne jugés trop risqués en utilisant 2FA.
Le processus de paiement réel pour les clients européens ressemblera à ce qu'il est actuellement aujourd'hui, ce qui signifie que leur paiement est probablement exempté de SCA, ou les clients devront passer par un deuxième niveau de vérification dans le processus de paiement.
L'étape de vérification supplémentaire dans 3DS2 demande l'un des trois facteurs de sécurité décrits dans cet avis de l'Autorité bancaire européenne comme la connaissance, la possession ou l'héritage. Voici les définitions de base des 3 facteurs de sécurité qui peuvent être vérifiés dans le processus de paiement :
Connaissance = informations cachées comme un mot de passe, un code PIN ou des réponses à des questions secrètes.
Possession = Un appareil physique quelconque, comme un lecteur de carte ou un jeton USB
Inhérence = Données biométriques telles qu'une empreinte digitale ou une reconnaissance faciale, souvent issues d'appareils mobiles.
De nombreuses passerelles de paiement incluent déjà ces types de facteurs dans leur flux de paiement, donc, selon votre passerelle, vos utilisateurs peuvent ne pas voir de changements dans leur expérience de paiement sur votre boutique. Ils peuvent implémenter 3DS2 en arrière-plan ou si d'autres options pour répondre à SCA sont/deviennent disponibles, celles-ci peuvent également être utilisées. 3DS2 est simplement la réponse de l'industrie du paiement en ligne pour maintenir une expérience utilisateur transparente tout en répondant aux nouvelles exigences de sécurité.
Abonnez-vous et obtenez un exemplaire gratuit de notre livre
11 techniques éprouvées pour augmenter le taux de réussite de vos litiges de carte de crédit de 740 %
Partager avec un ami
Saisissez l'adresse e-mail de votre ami. Nous leur enverrons seulement ce livre par e-mail, l'honneur du scout.
Merci pour le partage
Génial - une copie de '11 Techniques éprouvées pour augmenter votre taux de réussite des litiges de carte de crédit de 740%' vient d'être envoyée à . Vous voulez nous aider à faire passer le mot encore plus ? Allez-y, partagez le livre avec vos amis et collègues.
Merci pour votre subscription!
- nous venons d'envoyer votre copie de '11 techniques éprouvées pour augmenter votre taux de réussite des litiges de carte de crédit de 740%' à .
Vous avez une faute de frappe dans votre e-mail ? cliquez ici pour modifier l'adresse e-mail et envoyer à nouveau.
Innover l'expérience utilisateur avec 3DS 2.0
En fait, alors que SCA ajoute une couche de complexité pour le développement, il a le potentiel d'améliorer considérablement l'expérience de l'utilisateur final lors du paiement. 3DS 2.0 apporte les avantages d'une réduction de la fraude, d'une plus grande disponibilité des options de paiement et d'un processus de vérification et de paiement potentiellement plus rapide, car les fournisseurs de paiement seront tenus d'inclure 2FA dans leurs flux de paiement comme procédure de vérification possible. Ainsi, certains clients peuvent en fait voir une expérience de paiement considérablement améliorée par rapport à ce qu'ils avaient auparavant.
Freemius est heureux de profiter de cette opportunité pour innover notre processus de paiement afin de répondre à ces nouvelles exigences afin que nos partenaires vendeurs de plugins ou de thèmes n'aient pas à le faire !
Comment SCA affecte les partenaires de vente Freemius
Notre équipe a travaillé dur pour s'assurer que la transition vers SCA se déroule en douceur et sans douleur pour tout le monde. Nous avons passé beaucoup de temps à étudier les implications de SCA pour l'expérience utilisateur de vos clients, et nous l'avons maintenant entièrement intégré à notre Checkout.
Gardez à l'esprit que ce processus peut être légèrement différent selon le mode de paiement utilisé, le type de carte de crédit et l'émetteur de carte utilisé par le client.
Si vos clients rencontrent des problèmes lors du paiement après cette nouvelle mise à jour, assurez-vous de leur demander une capture d'écran. Pour de nombreux paiements, ils devront utiliser une sorte de vérification secondaire sur l'appareil qu'ils utilisent - soit une empreinte digitale, des informations de sécurité supplémentaires sur leur profil de paiement avec leur système bancaire, ou d'autres données biométriques. Cela peut être la raison pour laquelle les paiements sont bloqués - mais le client devra toujours le vérifier correctement si la demande fonctionne correctement.
Si vous avez du mal avec les passerelles…
Nous savons que de nombreuses plates-formes de commerce électronique de l'écosystème ont du mal à répondre aux exigences de la SCA, et beaucoup de travail est confié à l'administrateur du site Web pour s'assurer que votre plate-forme est à jour avec les dernières versions de plug-in, les exigences du serveur, etc.
Si vous avez des maux de tête avec cela, il est important que vous preniez le temps d'y remédier car avant que vous ne vous en rendiez compte, certains de vos paiements de clients européens cesseront tout simplement de fonctionner, ce qui signifie que votre entreprise est freinée par le succès. Ne laissez pas SCA vous dévorer vivant :
Peu importe où vous vivez et comment vous vendez vos plugins et thèmes, vous devez disposer d'une solution de vente et de licence qui permette à votre activité de plugins et de thèmes de prospérer. Nous avons entendu des plaintes d'un groupe de développeurs selon lesquelles leur solution de vente ne prend pas encore en charge SCA, et nous pouvons certainement sympathiser avec ce sentiment après des années d'expérience à aider les boutiques de plugins et de thèmes à se développer et à atteindre leur plus grand potentiel.
Nous avons créé ce tableau utile des principales plates-formes utilisées pour vendre des plugins ou des thèmes et le statut des passerelles prises en charge par SCA disponibles via ces plates-formes. Nous garderons ce tableau à jour au fur et à mesure que les choses changeront.
| Prise en charge de la plate-forme de commerce électronique WordPress pour SCA par la passerelle de paiement | ||
| Passerelle de paiement | Plate-forme | |
| WooCommerce | EDD (téléchargements numériques faciles) | |
| 2Paiement sur place | Non supporté | Non supporté |
| Paiement Amazon | Prise en charge | Non supporté |
| Autoriser.net | Non supporté | Non supporté |
| Braintree | Prise en charge | Non supporté |
| Passerelle de paiements mondiaux (anciennement Realex) | Prise en charge | Non supporté |
| Paiements PayPal avancés | Non supporté | Non supporté |
| PayPal Pro | Non supporté | Assistance bientôt disponible |
| Bande | Prise en charge | Assistance bientôt disponible |
| Sage paie | Prise en charge | Non supporté |
Quoi ensuite?
À long terme, nous vous tiendrons au courant des modifications ultérieures apportées aux passerelles de paiement, afin que vous puissiez disposer des connaissances nécessaires pour prendre les bonnes décisions sur la façon de vendre vos plugins et thèmes WordPress. Nous savons que les passerelles de paiement peuvent être un énorme problème à gérer pour les développeurs, en particulier lorsque vous souhaitez principalement vous concentrer sur le développement et le marketing de votre produit.
En ce qui concerne la SCA, les choses changent assez rapidement dans cet espace, et il n'y a toujours pas beaucoup de clarté car chaque pays met en œuvre les réglementations à des moments différents. Nous continuerons à faire nos recherches et à informer les gens au fur et à mesure que les choses progressent.
J'espère que ces informations vous aideront à gérer la transition plus efficacement et n'hésitez pas à poser des questions dans les commentaires !
* Cet article ne doit pas être interprété comme fournissant des conseils juridiques. Nous vous recommandons fortement de contacter un professionnel du droit pour vous assurer que votre entreprise reste à jour avec les dernières réglementations applicables à votre entreprise.