Authentification 3-D Secure : Navigateur

3-D Secure 2.2 est un protocole d’authentification de paiement d’EMVCo conçu pour réduire la fraude avec carte absente en évaluant le risque en fonction des données de la transaction et de l’appareil, tout en prenant en charge d’autres mesures d’atténuation du risque, telles qu’une contestation du titulaire de carte. Dans certains cas, l’utilisation de 3-D Secure pour vos transactions transfère la responsabilité pour certaines rétrofacturations en raison d’une fraude liée à une transaction avec carte absente. Vous pouvez alors utiliser votre compte de commerçant pour fournir des biens et services avec assurance.

1. Activation de la fonctionnalité 3-D Secure

Service de soutien aux ventes de Moneris

Numéro de téléphone : 1 855 465-4980

Pour activer la fonctionnalité de transaction Visa Secure, Mastercard Identity Check ou American Express SafeKey, appelez le service de soutien aux ventes de Moneris pour que Moneris vous inscrive au programme et active la fonctionnalité dans votre compte.

2. Navigateur : Processus sans heurts et contestation (Challenge Flow)

Le processus d’authentification standard dans le navigateur peut aller dans une direction ou l’autre : un processus « sans heurts » ou un processus « de contestation » (ou « avec heurts »). 

Le processus « sans heurts » est transparent pour le titulaire de carte. Si l’institution financière émettrice dispose de suffisamment de renseignements pour évaluer le risque et assumer la responsabilité, il se présentera sous la forme d’une tentative ou d’un succès d’authentification accompagné d’une valeur CAVV. Aucune contestation n’est présentée au titulaire de carte. Les étapes 5 à 10 du diagramme de processus sont omises.

Dans le processus de contestation, l’institution financière émettrice peut décider de prendre une mesure supplémentaire et d’émettre une contestation auprès du titulaire de carte.  Le navigateur du titulaire de carte est alors redirigé vers la plateforme 3DS de l’émetteur à des fins d’authentification. Une fois l’authentification terminée, le navigateur du titulaire de carte est à nouveau redirigé vers le site du commerçant. Le serveur du commerçant émet alors une requête entre serveurs à Moneris afin d’obtenir la valeur CAVV de la contestation réussie du titulaire de carte.

3. Recherche de carte (Lookup)
(facultative)

La requête de recherche de carte lance la prise d’empreinte du navigateur du titulaire de carte avec Moneris. Votre site Web de commerçant collecte les données de la carte et envoie un appel à l’endpoint (point de terminaison) POST /three-d-secure/card-lookups de l’API de Moneris. Notre serveur répondra avec les champs “threeDSecureMethodData” et “threeDSecureMethodURL” requis à la prochaine étape pour se connecter au serveur de contrôle d’accès (ACS) de la banque émettrice.

4. Authentification 3DS

Moneris communique avec le répertoire 3DS et le système de l’ACS de cet émetteur afin de fournir une évaluation initiale du risque. Moneris renvoie une réponse au commerçant avec “threeDSecureTransactionStatus” qui indique l’action à prendre par votre site Web :

  • Il faut inclure “threeDSecureDeviceChannel” = “BROWSER” et “threeDSecureRequestType” = “CARDHOLDER”, ce qui indique que vous authentifiez une transaction amorcée par le titulaire de carte par l’entremise d’un navigateur.

    • Pour une authentification amorcée par le commerçant, veuillez consulter 3RI.

  • Si vous avez traité une recherche de carte précédemment, vous devez inclure le champ “threeDSecureCompletionIndicator” = “SUCCESS”. Sinon, utilisez la mention “UNAVAILABLE” si une tentative de recherche n’a pas été faite ou “FAILURE” si la tentative a été échouée.

  • Les champs suivants sont requis pour les authentifications par l’entremise d’un navigateur : "threeDSecureRequestType", "threeDSecureNotificationUrl", "threeDSecureChallengeRequested", "threeDSecureChallengeWindowSize", "browserUserAgent", "browserJavaEnabled", "browserScreenHeight", "browserScreenWidth" et "browserLanguage".

  • threeDSecureTansactionStatus” = “AUTHENTICATED” signifie que le site Web peut passer immédiatement à la transaction financière au moyen du code de vérification d’authentification du titulaire de carte (valeur “CAVV”) fourni. Il s’agit d’un processus de transaction sans heurts qui n’a pas de contestation. Notre passerelle renvoie une réponse HTTP de 200.

  • threeDSecureTansactionStatus” = “AUTHENTICATED_ATTEMPTED” signifie que le site Web peut passer immédiatement à la transaction financière au moyen du code de vérification d’authentification du titulaire de carte (valeur “CAVV”) fourni. Il s’agit d’une preuve de la tentative d’authentification même si elle a été échouée. Notre passerelle renvoie une réponse HTTP de 200.

    threeDSecureTansactionStatus” = “CHALLENGE_AUTHENTICATION_REQUIRED” indique que le titulaire de carte doit recevoir une contestation. Pour présenter la contestation, vous devez utiliser la requête POST et mettre un formulaire (<form>) avec un champ “creq”, qui contient les données de la contestation (ChallengeData), lié à l’URL définit dans le champ “ChallengeURL”. Notre passerelle renvoie une réponse HTTP de 202. Consultez la section Présentation de la contestation pour obtenir d’autres instructions.

  • Pour connaître d’autres résultats d’état de la transaction 3DS, consultez l’onglet Référence API.

Moneris communique avec le répertoire 3DS et le système de l’ACS de cet émetteur afin de fournir une évaluation initiale du risque. Moneris renvoie une réponse au commerçant avec “threeDSecureTansactionStatus” qui indique l’action à prendre par votre site Web :

5. Présentation de la contestation au titulaire de carte

Dans les cas où une contestation est requise à des fins d’authentification (“threeDSecureTansactionStatus” = “CHALLENGE_AUTHENTICATION_REQUIRED”), votre site Web de commerçant doit envoyer un HTTP POST à l’URL de contestation pour l’ACS de la banque émettrice avec les données de la contestation envoyées en tant que valeur “creq”. Le système de l’ACS présentera une contestation au titulaire de carte qui fournira tous les identifiants requis par son émetteur.

Le formulaire peut être produit dynamiquement avant d’être ajouté au DOM et soumis ou il peut être créé et soumis d’une manière adaptée à votre environnement.  Il peut être construit comme une redirection de page complète ou présenté comme iFrame en ligne droite ou comme une intégration Lightbox. 

  • Si vous souhaitez qu’il soit chargé dans un espace défini, il doit être conforme à la taille précisée dans la variable “threeDSecureChallengeWindowSize” (taille de la fenêtre de contestation 3DS) de la requête.

  • L’« action » est récupérée dans la variable “ChallengeURL” (URL de contestation) et le champ “creq” est récupéré dans la variable “ChallengeData” (données de contestation).



<form method="POST" action="https://3dsurl.example.com/do3DS">
<input name="creq" value="thisissamplechallengedata1234567890"> </form>  

Vous trouverez, à droite de l’écran, un exemple de formulaire statique de base pour vous aider à visualiser les données et les champs qui doivent être envoyés. 

Utilisez ce code pour présenter une contestation au titulaire de carte dans son navigateur.

Après la contestation, l’ACS de l’émetteur répond avec un champ “cres” par l’entremise du HTTP POST à votre “threeDSecureNotificationUrl” fourni dans la requête POST de création d’authentification. Vous aurez besoin de cette valeur pour obtenir les valeurs de l’indicateur CE (ECI) et du CAVV nécessaires à l’authentification par une recherche de valeur (lookup) d’authentification POST.

6. Recherche de valeur (lookup) d’authentification

Valeur d’authentification 3DS

* La variable “threeDSecureAuthenticationValue” (valeur d’authentification 3DS) contient le code de vérification d’authentification du titulaire de carte (CAVV), la valeur d’authentification du titulaire de compte (AAV) ou la valeur de vérification American Express (AEVV) pour chaque marque de carte. Moneris simplifie ces valeurs et les combine en un seul champ dans notre API.

Une fois la contestation du titulaire de carte terminée, vous devez obtenir les variables “threeDSecureAuthenticationValue”* et “ecommerceIndicator” (ECI) de nos systèmes. Pour l’étape finale du processus d’authentification 3DS, vous devrez envoyer une requête à l’endpoint (point de terminaison) POST /three-d-secure/cavv-lookups.

La requête doit inclure ce qui suit :

  • Le champ “challengeResponse”, qui contient la réponse “cres” de l’avis de réponse de la contestation.

En réponse, Moneris renverra les résultats de la contestation et, lors d’une contestation réussie, obtiendra les variables “threeDSecureAuthenticationValue” et “ecommerceIndicator” à des fins d’utilisation dans un paiement financier subséquent.

7. Conclusion du paiement

Avec les résultats de votre authentification 3DS, vous pouvez maintenant passer à l’étape du paiement de façon sécuritaire. Suivez les instructions d’un processus de paiement (une étape, deux étapes associées à d’autres scénarios de paiement) et ajoutez ce qui suit :

  • Pour la variable “ecommerceIndicator”, mettez la valeur de votre authentification 3DS.

  • Mettez l’objet facultatif “threeDSSecureData” avec ce qui suit :

    • la variable “threeDSecureAuthenticationValue” de l’authentification 3DS;

    • la variable “threeDSecureServerTransactionID” qui correspond à votre authentification 3DS.

Renseignements additionnels

Définitions de l’API

Consultez les endpoints (points de terminaison), les formats des demandes et des réponses, ainsi que les modes d’authentification de ce scénario.

Définitions de l’API