Dernière mise à jour : 29 octobre 2024.
Le 15 mars 2024, un ensemble de lignes directrices sectorielles décrivant les mesures de sécurité applicables aux entreprises qui effectuent des paiements par carte au Japon, les « Credit Card Security Guidelines », a été révisé (Credit Card Security Guidelines Version 5.0).
Les Credit Card Security Guidelines stipulent que les marchands qui effectuent des ventes en ligne (utilisateurs de Stripe) doivent activer 3D Secure d'ici fin mars 2025 afin de lutter contre la fraude.
3D Secure (3DS) est un dispositif qui fournit une couche supplémentaire d'authentification pour les paiements par carte bancaire et dégage les entreprises de toute responsabilité en cas de paiements par carte frauduleux.
Stripe exigera 3DS sur tous les paiements applicables à partir du 31 mars 2025. Dans certains cas, vous pouvez décider d'utiliser ou non 3DS.
En janvier 2025, Stripe commencera à exiger 3DS sur un petit pourcentage de paiements, jusqu'à atteindre 100 % des paiements d'ici le 31 mars 2025, à l'exclusion des paiements qui sont exemptés de l'exigence 3DS. Vous devez apporter les modifications nécessaires à votre intégration de Stripe d'ici à la fin de l'année 2024 pour éviter les échecs de paiement.
Si vos préparatifs pour 3DS se prolongent au-delà de décembre 2024, vous pouvez demander à être exclu du calendrier de janvier, mais Stripe exigera toujours 3DS sur tous les paiements applicables à partir du 1er avril 2025.
Les paiements par carte bancaire sur les anciennes API qui ne prennent pas en charge 3DS (API Charges et API Orders) commenceront à nécessiter l’authentification 3DS à partir d’avril 2025, résultant en des échecs de paiement. D'ici le 30 juin 2025, tous les paiements par carte bancaire sur ces API échoueront.
Dans certains cas, vous pouvez décider d'appliquer ou non 3DS. Lorsque les paiements sont effectués sans 3DS en utilisant une exemption, le transfert de responsabilité ne s'applique en cas de paiements frauduleux. Veuillez vous référer à notre documentation pour voir comment Stripe met en œuvre les exemptions 3DS.
Si vous utilisez déjà Stripe, vous devrez peut-être vérifier votre intégration pour vous assurer que 3DS est pris en charge.
Nous vous recommandons d'utiliser des numéros de cartes test de Stripe pour vérifier que votre intégration fonctionne avec 3DS. Pour en savoir plus sur les tests, consultez notre documentation.
Ni l'API Charges, ni l'API Orders ne prennent en charge 3D Secure 2. Par conséquent, si votre compte utilise ces anciennes API, les paiements par carte bancaire échoueront. Nous vous recommandons vivement de migrer vers l'API Payment Intents dès que possible pour éviter les échecs.
Vous devrez vous assurer que votre intégration peut gérer l'état requires_action pour inviter vos clients à authentifier leurs paiements. Il se peut que vous deviez mettre à jour votre intégration pour gérer l'authentification des cartes.
De même, si vous finalisez les paiements sur le serveur, vous devez prendre des mesures supplémentaires pour afficher le flux d’authentification 3DS côté client. Reportez-vous à ce guide pour en savoir plus.
Vous devrez soit passer à la version 2019-03-14 ou à une version plus récente de l'API, soit utiliser le paramètre payment_behavior comme décrit dans ce guide pour vous assurer que les paiements initiaux des abonnements de vos clients sont authentifiés.
Si vous utilisez Stripe par le biais d'une intégration ou d'une plateforme tierce, vous devrez vous renseigner directement auprès de ces derniers pour savoir s'ils sont prêts.
Soyez prêt à répondre aux questions de vos clients sur 3DS. En outre, si nécessaire, veillez à ce que votre contenu d'assistance destiné à vos clients décrive les exigences liées à 3DS.
Stripe Radar aide à prévenir la fraude en analysant les données de paiement de plus d'un million d'entreprises dans le monde et en détectant et bloquant les paiements frauduleux. Radar utilise le machine learning pour effectuer des évaluations des risques basées sur des centaines de signaux, notamment le type de carte, le pays d'utilisation, l'appareil et le comportement. Stripe propose trois règles Radar par défaut qui nécessitent l'utilisation dynamique de 3DS. En définissant ces règles dans le Dashboard, une authentification supplémentaire peut être demandée aux clients lorsque l'entreprise émettrice de leur carte exige 3DS.
Grâce à Radar for Fraud Teams, qui permet de définir des règles personnalisées, les entreprises peuvent adapter leurs propres paramètres de gestion des risques pour 3DS. Les requêtes 3DS peuvent être basées sur des niveaux de risque ou des métadonnées spécifiques, ce qui permet d'éviter le blocage excessif des paiements légitimes, de réduire le taux de refus de paiement et de maximiser les revenus.
L'utilisation de Radar peut contribuer à atténuer la perte de conversion tout en permettant de prendre des mesures anti-fraude fondées sur le risque. En outre, Radar peut être utilisé pour effectuer l'analyse de risque requise pour les paiements par carte initiés par le client.
Les transactions pour lesquelles une carte physique est utilisée en personne ne sont pas concernées.
Aucune amende n'est prévue, mais une enquête peut être menée par Stripe ou l'acquéreur, qui peuvent demander au marchand d'adopter les mesures de sécurité appropriées pour empêcher toute utilisation frauduleuse et protéger les numéros de carte de crédit, s'il ne l'a pas fait. Si, malgré ces instructions, le marchand n'adopte pas les mesures de sécurité requises, il peut être radié de la liste des marchands.
Dans la plupart des cas, l'utilisation de 3DS n'entraîne pas de frais supplémentaires. Toutefois, si votre compte est assorti d’un plan tarifaire personnalisé, il se peut que vous ayez à payer des frais pour chaque tentative d’authentification via 3DS.
Si vous utilisez Stripe par le biais d'une intégration ou d'un plugin tiers, il se peut que vous deviez encore apporter des modifications à votre système pour vous conformer aux nouvelles exigences de 3DS. Les étapes exactes dépendent de la mise en œuvre de votre fournisseur tiers. Nous vous recommandons de contacter votre fournisseur de logiciels tiers ou de plugins dès que possible pour confirmer qu'il se prépare à respecter ces réglementations et pour comprendre les mises à jour que vous pourriez avoir à faire de votre côté.