Dernière mise à jour : 29 octobre 2024.
Le 15 mars 2024, un ensemble de directives du secteur décrivant les mesures de sécurité applicables aux entreprises qui effectuent des paiements par carte au Japon, les « Directives relatives à la sécurité des cartes de crédit », a été révisé (Directives relatives à la sécurité des cartes de crédit, version 5.0).
Les Directives relatives à la sécurité des cartes de crédit stipulent que les marchands qui effectuent des ventes en ligne (utilisateurs de Stripe) doivent activer le protocole 3D Secure d'ici fin mars 2025 afin de lutter contre la fraude.
L'authentification 3D Secure (3DS) est un mécanisme qui fournit un niveau supplémentaire d'authentification pour les paiements par carte de crédit et dégage les entreprises de toute responsabilité en cas de paiements par carte frauduleux.
Stripe exigera l'authentification 3DS sur tous les paiements applicables à partir du 31 mars 2025. Dans certains cas, vous pouvez décider d'utiliser ou non l'authentification 3DS.
En janvier 2025, Stripe commencera à exiger l'authentification 3DS sur un petit pourcentage de paiements, jusqu'à atteindre la totalité des paiements d'ici le 31 mars 2025, à l'exclusion des paiements qui sont exemptés de l'exigence de l'authentification 3DS. Vous devez apporter les modifications nécessaires à votre intégration de Stripe d'ici à la fin de l'année 2024 pour éviter les échecs de paiement.
Si vos préparatifs pour l'authentification 3DS se prolongent au-delà de décembre 2024, vous pouvez demander à être exclu(e) du calendrier de janvier, mais Stripe exigera toujours l'authentification 3DS sur tous les paiements applicables à partir du 1er avril 2025.
Les paiements par carte bancaire sur les anciennes API qui ne prennent pas en charge l'authentification 3DS (API Charges et API Orders) commenceront à nécessiter l'authentification 3DS et donc à échouer, à partir d'avril 2025. D'ici le 30 juin 2025, tous les paiements par carte bancaire sur ces API échoueront.
Dans certains cas, vous pouvez décider d'appliquer ou non l'authentification 3DS. Lorsque les paiements sont effectués sans l'authentification 3DS en utilisant une exemption, le transfert de responsabilité pour les paiements frauduleux ne s'applique pas. Veuillez consulter notre documentation pour voir comment Stripe met en œuvre les exemptions relatives à l'authentification 3DS.
Si vous utilisez déjà Stripe, vous devrez peut-être vérifier votre intégration pour vous assurer que l'authentification 3DS est prise en charge.
Nous vous recommandons d'utiliser des numéros de cartes tests de Stripe pour vérifier que votre intégration fonctionne avec l'authentification 3DS. Pour en savoir plus sur les tests, consultez notre documentation.
Ni l'API Charges, ni l'API Orders ne prennent en charge l'authentification 3D Secure 2. Par conséquent, si votre compte utilise ces anciennes API, les paiements par carte bancaire échoueront. Nous vous recommandons de migrer vers l'API Payment Intents dès que possible pour éviter les échecs.
Vous devrez vous assurer que votre intégration peut gérer l'état requires_action pour inviter vos clients à authentifier leurs paiements. Il est possible que vous deviez mettre à jour votre intégration pour gérer l'authentification des cartes.
De même, si vous finalisez les paiements sur le serveur, vous devrez prendre des mesures supplémentaires pour afficher le flux d'authentification 3DS côté client. Consultez ce guide pour en savoir plus.
Vous devrez soit passer à la version 2019-03-14 ou à une version plus récente de l'API, soit utiliser le paramètre payment_behavior comme décrit dans ce guide pour vous assurer que les paiements initiaux des abonnements de vos clients sont authentifiés.
Si vous utilisez Stripe au moyen d'une intégration ou d'une plateforme tierce, vous devrez vous renseigner directement auprès de cette dernière pour savoir si elle est prête.
Soyez prêt(e) à répondre aux questions de vos clients sur l'authentification 3DS. De plus, si nécessaire, assurez-vous que votre contenu d'assistance destiné à vos clients décrive les exigences liées à l'authentification 3DS.
Stripe Radar aide à prévenir la fraude en analysant les données de paiement de plus d'un million d'entreprises dans le monde et en détectant et bloquant les paiements frauduleux. Radar utilise l'apprentissage automatique pour effectuer des évaluations des risques fondées sur des centaines d'indicateurs, notamment le type de carte, le pays d'utilisation, l'appareil et le comportement. Stripe propose trois règles Radar par défaut qui nécessitent l'utilisation dynamique de l'authentification 3DS. En définissant ces règles dans le Dashboard, une authentification supplémentaire peut être demandée aux clients lorsque l'entreprise émettrice de leur carte exige l'authentification 3DS.
Grâce à Radar for Fraud Teams, qui permet de définir des règles personnalisées, les entreprises peuvent adapter leurs propres paramètres de gestion des risques pour l'authentification 3DS. Les requêtes relatives à l'authentification 3DS peuvent être fondées sur des niveaux de risque ou des métadonnées spécifiques, ce qui permet d'éviter le blocage excessif des paiements légitimes, de réduire le taux de refus de paiement et de maximiser les revenus.
L'utilisation de Radar peut contribuer à atténuer la perte de conversion tout en permettant de prendre des mesures contre la fraude fondées sur le risque. De plus, Radar peut être utilisé pour effectuer l'analyse de risque requise pour les paiements par carte effectués par le client.
Les transactions pour lesquelles une carte physique est utilisée en personne ne sont pas concernées.
Aucune amende n'est prévue, mais une enquête peut être menée par Stripe ou l'acquéreur, qui peuvent demander au marchand d'adopter les mesures de sécurité appropriées pour empêcher toute utilisation frauduleuse et protéger les numéros de carte de crédit, s'il ne l'a pas fait. Si, malgré ces instructions, le marchand n'adopte pas les mesures de sécurité requises, il peut être radié de la liste des marchands.
Dans la plupart des cas, l'utilisation de l'authentification 3DS n'entraîne pas de frais supplémentaires. Toutefois, si votre compte dispose d'un plan tarifaire personnalisé, il est possible que vous ayez à payer des frais pour chaque tentative d'authentification 3DS.
Si vous utilisez Stripe au moyen d'une intégration ou d'un module d'extension tiers, il est possible que vous deviez encore apporter des modifications à votre système pour vous conformer aux nouvelles exigences de l'authentification 3DS. Les étapes exactes dépendent de la mise en œuvre de votre fournisseur tiers. Nous vous recommandons de contacter votre fournisseur de logiciels tiers ou de modules d'extension dès que possible pour confirmer qu'il se prépare à respecter ces réglementations et pour comprendre les mises à jour que vous pourriez avoir à faire de votre côté.