les enjeux des nouvelles réglementations de paiement pour ... · (article 17) exemptions...
TRANSCRIPT
Les enjeux des nouvelles réglementations de paiement pour les voyages d’affairesGrégoire Toussaint - Edgar, Dunn & Company
Paris - 19 Novembre 2019
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
2
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
3
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Le programme de réformes de l’Union Européenne pour faciliter accès et innovation dans les paiements
4
* Les dates indiquent quand la législation a été adoptée par le Conseil de l’Union Européenne
2000 2010 2020
2000
Agenda de
Lisbonne
2000
Directive sur la
Monnaie
Electronique 1
2001
Réglementation
SEPA
2007
Directive sur les
Services de
Paiement (DSP) 1
2009
Directive Monnaie
Electronique 2
2009
Directive sur les
Services de
Paiement 1
mise à jour
2012
Directive sur les
Services de Paiement 1
mise à jour
2015
Régulation sur
l’interchange
(IFR)
2016
Directive sur
les Services de
Paiement 2
Régulation
interchange
(IFR) 2.0
Directive sur
les Services
de Paiement
3.0
Potentiellement
dans le futur
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
En 2007, la DSP 1 (Directive sur les Services de Paiement) a créé des nouveaux types d’entités liées aux paiements
Des établissements non bancaires fournissant des services de paiement
5
Etablissement de
paiement (EP)
Etablissement de
monnaie
électronique (EME)
DSP 1 en 2007 Régulation moins
contraignante /
Périmètre plus
limité
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
En 2017, la DSP 2 a créé d’autres types d’entités appelées les TPPs « Third Party Provider »
Et exige que les banques offrent aux TPPs un accès aux comptes clients
6
Accès aux
comptes et
initiation de
paiement
DSP 2 en 2016Third Party
Provider
(TPP)
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
7
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Ces mesures d’authentification doivent être complétées pour vérifier
l’identité du payeur avant que les paiements ne soient autorisés
8
Etape de sécurité supplémentaire pour identifier
formellement le titulaire du compte bancaire / de la carte
Mesures doivent être effectuées par la banque du
titulaire de la carte / émetteur de la carte
Date initiale d’entrée en vigueur des règles relatives à
l’authentification forte : 14 Septembre 2019
Nouvelles mesures
de sécurité pour les
paiements en ligne
et en proximité
1. Mesure recommandée pour les Travel Managers : vérifier que votre
émetteur de cartes commerciales connaît l’authentification forte et est prêt pour le
passage à l’authentification forte
L’authentification forte introduit de nouvelles mesures de sécurité pour lutter contre la fraude
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
2 facteurs parmi trois catégories d’authentification doivent être utilisés pour authentifier le payeur
9
Catégorie
Connaissance
Possession
Inhérence
Quelque chose que seul
l’utilisateur connait
Quelque chose que seul
l’utilisateur possède
Quelque chose que
l’utilisateur est
Mot de passe, code PIN
Téléphone portable, carte à puce
appareil connecté
Biométrie : reconnaissance faciale/vocale,
empreinte digitale
Catégorie Exemple
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
10
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Transactions en dehors du périmètre de l’authentification forte
11
En dehors du
périmètre
d’application de
l’authentification
forte
MOTO (centre d’appel téléphonique)
Prélèvement et Transactions Initiées par le Marchand
Paiements non-européens (one-leg-out : émetteur ou
acquéreur en dehors l’Europe)
Cartes prepayées et anonymes
2. Mesure recommandée pour les Travel Managers : prendre
connaissance des types de paiements que vos voyageurs d’affaires effectuent –
êtes-vous impactés par l’authentification forte ?
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Paiements Corporate
(Article 17)
Exemptions permettant de ne pas recourir à l’authentification forte
12
Exemptions pertinentes pour l’e-commerce
Transactions de faibles montants
(Article 16)
Bénéficiaires de confiance
(Article 13)
Transactions récurrentes
(Article 14)
Approche d’analyse par les risques
(Article 18)
3. Mesure recommandée pour les Travel Managers : demander à vos émetteurs s’ils ont
déjà fait des demandes auprès des régulateurs pour bénéficier des exemptions nécessaires
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Critères pour appliquer l’approche d’analyse par les risques
Le taux de fraude de l’émetteur ou l’acquéreur doit être en dessous du
taux de fraude référence
13
Seuil – Valeur de
transactionCartes Virements
EUR 500 0.01% 0.005%
EUR 250 0.06% 0.010%
EUR 100 0.13% 0.015%
Taux de fraude référence en valeur de la transaction (%)
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
L’authentification forte ajoute une étape d’authentification avant l’autorisation
14
Titulaire de
carte
Le porteur de carte initie le paiement
5
6
En supposant que l’authentification forte a été
menée avec succès, une procédure d’autorisation
commencera -> La demande d’autorisation est
envoyée à l’acquéreur qui procède aux contrôles,
et envoie ensuite la demande d’autorisation à
l’émetteur via le scheme
L’émetteur effectue des contrôles (ex :
disponibilité des fonds) et ensuite il accepte ou
refuse la demande d’autorisation
L’acquéreur traite le paiement et notifie au
marchand que le paiement a été effectué
En utilisant 3D Secure, le marchand envoie la
demande d’authentification du serveur 3DS
hébergé par l’acquéreur à l’ACS (Access
Control Server) de l’émetteur, via le scheme
3L’émetteur évalue le risque de la transaction et
vérifie l’identité en utilisant les données
additionnelles -> Décide de continuer avec
l’authentification forte avec ‘challenge’ ou de
passer outre ‘sans friction’ -> l’émetteur effectue
les contrôles et envoie les résultats au marchand
3
5
6
Acquéreur
1
4
1
4
Schéma des flux lors de l’authentification avant l’étape d’autorisation
2
Challenge
potentiel de
l’authenti-
fication forte
2 ACS
(Access
Control
Server)
Access
Control
Server
Marchand
Serveur
3DS
Scheme
Emetteur
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
15
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
EMV 3D Secure v2 est une nouvelle norme de sécurité des réseaux de paiement
Une solution compatible avec la réglementation portant sur
l’authentification forte de l’Union Européenne
16
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
3D Secure v2 est la mise à jour de la version 3DS v1 pour être en conformité avec la réglementation
17
3D-Secure
v1.0
(1999)
EMV 3D-
Secure v2.1
(2017)
4. Mesure recommandée pour les Travel Managers : mettre à jour votre
politique de voyage et de formation pour inclure l’authentification forte dans les
paiements des déplacements professionnels
EMV 3D-
Secure v2.2
(2019)
L’évolution des différentes version du protocole 3D Secure :
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
EMV 3D Secure v2 prend en charge différentes expériences utilisateur
18
Une fois que le
consommateur a
confirmé le paiement,
le flux de EMV 3D
Secure commence
Le consommateur se
connecte à son app
de banque en ligne en
utilisant son empreinte
digitale (2ème facteur :
‘inhérence’ avec
l’empreinte digitale)
La banque : vérifie
l’identité, complète les
conditions de
l’authentification forte et
renvoie le consommateur
au site du marchand
La banque décide
d’effectuer un
challenge/friction et
transmet une
notification a l’appareil
enregistré (1er facteur :
‘possession’ avec le
téléphone)
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Authentification forte : impact, complexité et incertitude
19
5. Mesure recommandée pour les Travel Managers : assurer une bonne
communication interne sur les changements auprès des voyageurs d’affaires
Impact &
Complexité:
Responsabilité
et Exemption
Interprétation
des règles:
Manque
d’orientations de
l’ABE
Préparation de
l’écosystème:
Migration vers
3D Secure 2.2
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
20
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
De nouveaux services sont développés par les fournisseurs de paiement pour supporter la complexité relative à l’authentification forte
21
Gestion intelligente
des exemptions
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
L’ABE a publié une première opinion sur les aspects liés à l’authentification forte en Juin 2019…
22
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
… avant d’établir une période de transition jusqu’à fin décembre 2020
23
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
La mise en place de l’authentification forte et du 3D Secure v2 requièrent une période de transition
Notamment pour la préparation de l’écosystème et la disponibilité de
la solution 3DS v2.2
24
20202019
Août 2018
Lancement
du EMV
3DS v2
14th Sept 2019
Date initiale
Face aux problèmes potentiels sur l’ensemble du e-commerce de l’économie, le régulateur
a décidé d’une période de transition jusqu’au 31 décembre 2020
Test lab de la
solution
Certification
EMV
Certification
scheme
Début de
l’adoption de
l’éco-système
Adoption de
l’ensemble de
l’éco-système
31 Déc 2020
Période de
transition
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Focus sur les paiements corporate : réglementation et récentes mises à jour
25
Exemptions initialement prévues pour les flux de trésorerie des entreprises
Transactions du business travel exclues de la réglementation :
1. Cartes logées 2. Cartes virtuelles
3. Cartes corporates
sauvegardées dans le profil
client du business traveller au
sein du TMC
Il est pertinent d’échanger avec son émetteur de cartes commerciales et son TMC / agence(s) de
voyages pour confirmer les méthodes de paiement rentrant dans le périmètre de la réglementation
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Focus sur les paiements corporate : exemption de l’authentification forte
26
MasterCard indique clairement les exemptions
pour les cartes logées, cartes virtuelles et
cartes corporates logées au sein d’une TMC
MasterCard indique clairement les exemptions
pour les cartes logées, cartes virtuelles et
cartes corporates logées au sein d’une TMC
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Focus sur les paiements corporate : exemption de l’authentification forte
27
Cartes corporates
sauvegardées dans le
profil client du business
traveller au sein du TMC
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
1 Contexte et objectifs de l’authentification forte
2 Aperçu des règles liées à l'authentification forte
3 Transactions en dehors du périmètre et exemptions
4 3D Secure
5 Récentes informations sur l'authentification forte
Agenda
28
6 Travel Managers : cinq aspects pour se préparer
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Travel Managers : cinq aspects pour se préparerpour l’authentification forte
29
011. Vérifier que votre
émetteur de cartes
commerciales connaît
l’authentification forte et
est prêt pour le passage
à l’authentification forte
033. Demander à vos
émetteurs s’ils ont déjà
fait des demandes
auprès des régulateurs
pour bénéficier des
exemptions
nécessaires
055. Assurer une bonne
communication interne
sur les changements
auprès des voyageurs
d’affaires
02
04
2. Prendre connaissance
des types de paiements
que vos voyageurs
d’affaires effectuent –
êtes-vous impactés par
l’authentification forte ?
4. Mettre à jour votre
politique de voyage et
de formation pour inclure
l’authentification forte
dans les paiements des
déplacements
professionnels
Il est pertinent d’échanger avec son émetteur de cartes commerciales et son TMC / agence(s) de
voyages pour confirmer les méthodes de paiement rentrant dans le périmètre de la réglementation
AIRPLUS. YOUR TRAVEL PAYMENT COMPANY.
Avez-vous des questions?
30
Merci!