Conformité PSD2 : authentification forte des clients sans friction

La DSP2 élève le niveau des exigences de sécurité régissant la validation des transactions financières et réglemente l'accès aux données bancaires avec, notamment, la généralisation de l'authentification forte pour des opérations spécifiques, dont le paiement en ligne. E-commerçants, prestataires de services de paiement, banques, n'ayez pas peur de perdre vos clients en vous conformant à la DSP2.

Qu'est-ce que le règlement PSD2 ?

La 2e directive européenne sur les services de paiement (DSP2) a pour objectif de renforcer la sécurité des paiements. Adoptée en novembre 2015, elle est entrée en vigueur dans toute l'Union européenne en janvier 2018 (même si certaines dispositions restent à mettre en œuvre), et relève le niveau des exigences de sécurité accompagnant la validation des transactions financières et réglemente l'accès aux données bancaires.

Dans le domaine des dispositifs de sécurité, l'élément le plus sensible de la DSP2 est l'utilisation généralisée de l'authentification multifactorielle (MFA) pour certaines transactions, y compris les paiements en ligne.

La sécurité des paiements est assurée par une authentification forte grâce à la directive PSD2

Qu'est-ce que l'authentification forte, également connue sous le nom de MFA (Multifactor Authentication) ?

L'authentification est dite forte lorsqu'un utilisateur doit, pour se connecter ou valider son opération, fournir deux éléments de catégories différentes parmi les trois possibles. Les trois catégories de facteurs d'identification sont les suivantes

quelque chose que je connais: l'exemple le plus courant est le mot de passe pour les applications ou le code PIN pour les cartes de paiement.
quelque chose que je possède: un téléphone, un ordinateur, une clé USB, un appareil connecté. Les possibilités sont nombreuses. Le facteur de possession est généralement appelé "jeton".
quelque chose que je suis: il s'agit essentiellement de biométrie - empreintes digitales, rétine, voix, reconnaissance faciale.

Conformité PSD2 : opérations nécessitant une authentification forte du client (SCA)

l'accès et la gestion du compte de paiement

qui peut être soit un compte de dépôt ouvert auprès d'un établissement bancaire, soit un compte auprès de l'un des prestataires de services de paiement.

paiement en ligne

par carte de crédit ou par virement.

transaction en ligne présentant un risque de fraude important

comme la validation d'un nouveau bénéficiaire de transfert.

La DSP2 prévoit quelques exceptions à ces règles, en listant les transactions considérées comme peu risquées. Ces exceptions comprennent les paiements jusqu'à 50 euros en mode sans contact ou 30 euros en ligne, ou les virements à un bénéficiaire préalablement validé par une authentification forte.

Non, la validation par SMS n'est pas une authentification forte

La principale conséquence de la DSP2 est que le processus habituel du système de sécurité des paiements (3D Secure), qui valide les opérations en envoyant par SMS un mot de passe à usage unique (OTP) que l'utilisateur doit ressaisir, n'est plus conforme. Il repose en effet sur un seul facteur, la possession d'un téléphone mobile, et peut très facilement être contourné par une cyberattaque de type SMShing.

La directive modifie donc le parcours du client dans le commerce électronique à son point le plus crucial : la validation du paiement. D'où les craintes des commerçants en ligne qui s'inquiètent d'une augmentation des abandons de panier en raison de ce qu'ils perçoivent comme un parcours client plus complexe. Cette inquiétude est facilement compréhensible si l'on considère uniquement les solutions d'authentification multifactorielle les plus répandues. Généralement peu sécurisées, elles sont également compliquées à utiliser, nécessitant souvent la réintroduction d'un mot de passe à usage unique obtenu par des moyens plus ou moins pratiques.

Toutefois, cela n'est pas inévitable, comme l'illustre inWebo MFA , dont la mise en œuvre permet non seulement de se conformer à la directive PSD2, mais aussi de réduire les frictions dans le processus de paiement, y compris par rapport à l'expérience actuellement offerte par 3D Secure.

Conformité PSD2 : TrustBuilder.io MFA, la solution d'authentification multi-facteurs qui répond à toutes les attentes

Se conformer à l'ensemble de la réglementation PSD2 est un projet complexe, qui nécessite de nombreuses compétences. La bonne nouvelle est que la solution MFA d'inWebo ne se contente pas de cocher toutes les cases nécessaires à la sécurisation des transactions, mais offre également des avantages exclusifs pour faciliter la mise en œuvre et améliorer l'expérience de l'utilisateur.

Avec TrustBuilder.io MFA Authentification multifactorielle en mode SaaS

l'accès aux comptes est protégé

TrustBuilder.io MFA peut être facilement déployé et intégré pour protéger l'accès externe aux comptes de dépôt bancaire ou aux comptes des fournisseurs de paiement.

les opérations sensibles et les changements d'état sont scellés par un lien dynamique

Ce lien dynamique, conformément à la DSP2, assure la traçabilité et la sécurité de toutes les transactions jugées à risque telles que l'ajout d'un bénéficiaire de transfert.

l'authentification forte du client (SCA) est assurée

SCA (Strong Customer Authentication) implique une authentification avec au moins 2 facteurs, ce qui exclut les solutions de mot de passe à usage unique par SMS. TrustBuilder.io offre la gamme la plus complète de facteurs de connexion, avec ses tokens mobiles, de bureau, de navigateur (Deviceless et Smartphoneless).

Condition essentielle pour que ses clients bancaires soient certifiés PSD2, inWebo est un Fournisseur de Services Essentiels Externalisés certifié, garantissant la résilience du service MFA .

Comment être conforme à la directive PSD2 en offrant un parcours client sans friction ?

Cependant, le principal obstacle à la mise en conformité avec la DSP2 n'est pas technique mais, comme nous l'avons vu, lié aux craintes de changements dans le parcours de paiement.

C'est là qu'intervient l'un des principaux différentiateurs de la solution inWebo : l'authentification forte sans smartphone, via un simple navigateur. Le jeton Deviceless (ou Smartphoneless) permet au client de s'authentifier conformément à la directive PSD2 sans autre dispositif de confiance que son navigateur, grâce à un simple code PIN réutilisable. Ce résultat est obtenu tout en garantissant le plus haut niveau de sécurité d'accès de toutes les solutions MFA grâce à l'utilisation d'une technologie propriétaire de clé aléatoire dynamique. Pour en savoir plus sur cette prouesse technologique, consultez notre article MFA.

La mise en place de la solution inWebo MFA non seulement ne dégrade pas l'expérience de connexion, mais la simplifie même en supprimant la nécessité d'avoir un smartphone, de disposer d'une connexion au réseau mobile pour recevoir le SMS et de ressaisir un code unique, source majeure d'erreurs et d'abandons de paiement.

L'itinéraire est donc simplifié. Mais il est aussi unifié. Avec des centaines d'intégrations disponibles, via des connecteurs, son mode API ou son SDK, la solution inWebo MFA peut être déployée sur tous les accès applicatifs, et pas seulement sur les accès aux comptes bancaires. Ainsi, l'utilisateur qui souhaite se connecter à son email, valider une transaction, ou accéder au VPN de son entreprise, bénéficiera d'une interface unifiée, d'une expérience de login uniforme et même d'un code PIN unique (ou tout autre facteur de connaissance) sans aucune dégradation de la sécurité.

Ne craignez pas la conformité à la DSP2

Commerçants en ligne, prestataires de services de paiement, banques, vous n'avez pas à craindre de perdre vos clients en vous conformant à la directive PSD2. Avec TrustBuilder.io, vous pouvez combiner une authentification forte des clients avec un parcours client sans friction. Et en prime, vous obtiendrez une solution Full SaaS MFA qui peut être déployée en quelques clics sur des milliers d'utilisateurs, sans aucune contrainte d'équipement.

Regardez la rediffusion de notre webinaire

PSD2 et authentification forte du client SCA : combiner sécurité et expérience utilisateur simplifiée

La DSP2 est la directive révisée sur les services de paiement publiée par la Commission européenne qui réglemente les services de paiement dans l'ensemble de l'Union européenne. La directive sur les services de paiement a été adoptée en novembre 2015 (DSP1), puis mise en œuvre dans toute l'Union européenne en janvier 2018 (DSP2). La directive relève le niveau des exigences de sécurité régissant la validation des transactions financières et réglemente l'accès aux données bancaires.

La conformité à la DSP2 exige que les services financiers mettent en place une authentification forte du client (SCA) pour trois types d'opérations : (i) l'accès et la gestion du compte de paiement, (ii) le paiement en ligne et (iii) les transactions en ligne présentant un risque de fraude important.

La DSP2 renforce la concurrence sur le marché des paiements en permettant aux établissements non bancaires d'offrir des services nouveaux et innovants à leurs clients. Ainsi, depuis l'adoption de la DSP1 en 2007, de nouveaux services de paiement en ligne ont vu le jour - connus sous le nom de FinTechs ou "Third Party Providers (TTP)". Avec la DSP2, les FinTechs ont été tenues de suivre les mêmes règles que les prestataires de services de paiement traditionnels, ce qui garantit qu'elles peuvent offrir leurs services dans toute l'UE.