Comment faire apparaître le nom de son enseigne sur les relevés de compte de ses acheteurs?

December 5, 2017, 2:01 am

≫ Next: Comment changer le compte récepteur des fonds de ses paiements cartes?

≪ Previous: Remboursement ou Annulation? Comprendre la différence

Souvent les marchands souhaitent faire apparaître le nom de leur enseigne plutôt que le nom de leur société sur le relevé de leurs acheteurs lors d'un paiement carte.

Pour se faire, il faut distinguer 2 cas:

1. Le marchand passe directement par un acquéreur (une banque en France):

La plateforme de paiement ne connait que la référence du contrat d'acceptation/ Contrat VADS (au niveau international on appelle cela le MID comme Merchant IDentificator)

C'est donc la banque ou l'acquéreur qui dans les fichiers de compensation positionne le nom de l'enseigne.

La plateforme de paiement n'a pas d'action sur ce nom.

Dans ce cas, le marchand doit contacter sa banque/ Acquéreur qui acceptera ou non de changer le nom en fonction de son kbis et des marques déclarées par le marchand.

2. Le marchand passe par un établissement de paiement:

Il faut savoir qu'un établissement de paiement s'appuie forcément sur un Acquéreur/ Banque pour intégrer à son offre le contrat d'acceptation / Contrat VADS.

On lit souvent dans les forums "solution sans contrat VADS". Cela est totalement faux! Il y a toujours l'ouverture d'un contrat VAD effectuée par l'établissement de paiement. Soit de manière globalisée (Un contrat unique pour tous les marchands de l'établissement de paiement) ou soit de manière distincte (Un contrat par marchands). Cela dépend des Acquéreurs / Banques choisis par l'établissement de paiement.

Dans ce cas, l'établissement de paiement à la capacité de faire apparaître le nom du marchand associé au nom de l'établissement de paiement sur l'extrait de compte de son acheteur.

Il est d'usage d'utiliser un champ appelé "Soft description" qui va contenir le libellé de l'enseigne normalement toujours associé au nom de l'établissement de paiement.

↧

Comment changer le compte récepteur des fonds de ses paiements cartes?

December 13, 2017, 12:22 am

≫ Next: Clé alphanumérique et nouvel Algorithme de hachage SHA 256

≪ Previous: Comment faire apparaître le nom de son enseigne sur les relevés de compte de ses acheteurs?

De nombreux marchands désirent, en fonction de l'évolution de la relation avec leurs banquiers, changer le compte récepteur des fonds de leur contrat d'acceptation carte / Contrat VADS.

Pour se faire, il faut distinguer 2 cas:

1. Le marchand passe directement par un acquéreur (une banque en France):

La plateforme de paiement n'a jamais connaissance de votre numéro de compte. C'est donc un sujet à traiter exclusivement avec son Acquéreur/ Banque.

Dans ce cas le marchand doit contacter son Acquéreur / Banque pour valider le changement ou ouvrir un nouveau contrat si ce dernier change d'Acquéreur / Banque. Le numéro de contrat d'acceptation n'est pas portable d'une banque à l'autre.

Si le marchand change d'Acquéreur / Banque, il sera la plupart du temps obligé d'ouvrir un nouveau contrat d'acceptation carte tout en gardant l'ancien actif pour pouvoir effectuer des remboursements dans le futur. (et donc en gardant des fonds sur son ancien compte pour pouvoir faire les remboursements.

2. Le marchand passe par un établissement de paiement:

L'établissement gère la liste des comptes sur lesquels le marchand peut être crédité.

Après contrôles légaux relatifs aux comptes (titulaires en rapport avec la société, localisation géographique, etc..), l'établissement peut ajouter un nouveau compte sur lequel le marchand pourra recevoir ses paiements.

↧

Clé alphanumérique et nouvel Algorithme de hachage SHA 256

June 12, 2018, 5:22 am

≫ Next: Mettre son PHP à jour c'est garder une sécurité constante sur son site e-commerce

≪ Previous: Comment changer le compte récepteur des fonds de ses paiements cartes?

Afin d'augmenter la sécurité des échanges entre votre site marchand et la plateforme de paiement, PayZen By Lyra fait évoluer deux dispositifs disponibles et paramétrables depuis son back office.

La clé de signature des formulaires et des Web services : un nouveau format disponible alphanumérique

La clé permet de signer les échanges avec la plateforme de paiement.
Cette clé était jusqu’à présent uniquement de type numérique. Elle pourra désormais être générée au format alphanumérique.
Cette clé est présente dans votre environnement soit dans des fichiers de configuration, soit dans les interfaces de nos modules open source. Vous devez générer une clé alphanumérique uniquement si votre intégration technique le permet.
Le but de ce changement est d’augmenter la sécurité des échanges avec la plateforme de paiement

Fonctionnalité backoffice

Le backoffice permet de générer un format de clé différent pour le mode TEST et le mode PRODUCTION. Ceci permet de valider une phase de test avant de basculer en Production avec une clé de type Alphanumérique

Lorsque la régénération d'une clé est demandée , le type de clé à générer est proposer systématiquement.

Nouvel algorithme de signature SHA 256

La signature est un élément qui permet de contrôler l’authenticité des échanges avec la plateforme de paiement.
Actuellement la signature est générée avec un algorithme de hachage SHA 1. L’évolution permettra de générer la signature avec un algorithme de hachage SHA 256.
Utiliser un algorithme de hachage SHA 256 augmente la sécurité des échanges avec la plateforme de paiement.
Afin de faciliter la migration, il est possible d’activer l’algorithme SHA-256 en mode TEST et une fois que vous êtes prêts techniquement de l’activer en mode production.

Fonctionnalité backoffice

Le Back Office permet de choisir l'algorithme dans lequel sera générée la signature en fonction du mode ( TEST ou PRODUCTION ). Il est donc possible de tester l'algorithme SHA 256 en TEST avant d'appliquer cet algorithme en PRODUCTION.

Vous utilisez un module de paiement fournit par Payzen

Votre site marchand est construit sur un CMS e-commerce du marché ( Prestashop / Magento / Woocommerce etc … )
Vous utilisez nos modules de paiement.

Assurez-vous de mettre à jour le module de paiement qui intègre ces 2 évolutions
https://payzen.io/fr-FR/module-de-paiement-gratuit/

↧

Mettre son PHP à jour c'est garder une sécurité constante sur son site e-commerce

September 10, 2018, 5:23 am

≫ Next: Un nouveau type de transaction sur le Back Office PayZen : Le type "Vérification"

≪ Previous: Clé alphanumérique et nouvel Algorithme de hachage SHA 256

Le PHP - la base des sites Internet

Le PHP langage de programmation libre, principalement utilisé pour produire des pages Webs dynamiques. C'est un langage de base dans la création de sites Internet, et se trouve donc aussi dans la majorité des sites e-commerce.

Un langage qui évolue

La communauté PHP travaille constamment à faire évoluer ce langage pour rester à la pointe, corriger des bugs et apporter des solutions aux nouvelles failles de sécurité. Il est donc impératif de se tenir au courant des versions supportées et des nouvelles versions disponibles, pour garantir à votre commerce une sécurité sans faille.
Voici les versions supportées actuellement par la communauté de PHP.net

Les codes couleurs indiquent le support actif (vert), le support de sécurité critique uniquement (orange) et l'arrêt de support (rouge).
*tableau en date de juillet 2018. Retrouvez le tableau actualisé ici: http://php.net/supported-versions.php ou ici http://php.net/eol.php

Savez-vous quelle version PHP votre site e-commerce utilise ?

Pour connaitre la version PHP que votre site utilise, vous pouvez vous tourner vers votre hébergeur (OVH, Ex2, Nuxit, 1&1, Ikoula, Likuid....) ou utiliser la méthode suivante:

Créer un fichier texte à la racine de votre site nommé info.php par exemple.
Copier le code ci-dessous à l’intérieur du fichier et enregistrer :

<?php
phpinfo();
?>

Depuis le navigateur, accéder à la page www.url-de-votre-site.com/info.php pour voir l’information.
Supprimer le fichier info.php une fois que vous avez l’information.

Et le paiement ?

Avec la plateforme de paiement PayZen, vous êtes assuré de bénéficier de plugins qui supportent certaines versions obsolètes de PHP (jusqu'à PHP 5.3). Vos paiements sont en sécurité. Cependant, votre site peut être ouvert à d'autres dangers critiques de sécurité hors de notre portée.

Nous vous conseillons de mettre à jour votre PHP à la version PHP 7.1 ou plus. La durée de vie d’une version PHP est d’environ 2 ans et vous garantit une meilleure sécurité et compatibilité avec vos différents services autour de votre site e-commerce. Les dernières versions de nos plugins sont compatible avec les dernières versions de PHP et peuvent également vous permettre d'avoir accès à de nouvelles fonctionnalités.Toutes les infos ici: PayZen.io

AVANT de mettre à jour votre plugin

Avant de mettre à jour le plugin de paiement, vérifiez que le plugin choisi est bien compatible avec la version PHP de votre site (surtout si vous utilisez une version PHP inférieure à 5.3).
Dans le cas contraire, cela peut causer des dysfonctionnements de votre site, jusqu’à ce que vous rebasculiez sur une ancienne version de plugin compatible ou que vous mettiez à jour votre version PHP.

↧

Un nouveau type de transaction sur le Back Office PayZen : Le type "Vérification"

November 15, 2018, 9:03 am

≫ Next: CB2A 1.5 et la gestion des marques

≪ Previous: Mettre son PHP à jour c'est garder une sécurité constante sur son site e-commerce

Votre plateforme PayZen évolue et disposera bientôt d’une nouvelle fonctionnalité afin de vous apporter plus de visibilité sur l’activité de votre boutique sur les fonctions suivantes :

Enregistrement d’un moyen de paiement associé à un alias ( token )
Mise à jour d’un alias
Abonnement

Vous êtes concerné uniquement si vous utilisez la fonctionnalité d’enregistrement d’un moyen de paiement associé à un alias.

Cette fonctionnalité consiste à enregistrer les coordonnées d’un moyen de paiement ( CB , SEPA SDD, AMEX ) dans la plateforme PayZen.
En retour PayZen communique à votre boutique un alias ( clé , token ) associé à ce moyen de paiement après avoir vérifié les informations saisies par l’acheteur.
Votre boutique utilise ultérieurement l’alias afin de débiter votre client :

soit de manière unitaire
soit par l’exécution d’un récurrence d’abonnement.

Jusqu’à présent la seule façon de connaitre le bon déroulement de l’opération était l’analyse des paramètres de l’url de notification.
Aucune information n’était disponible dans le back-office concernant le processus de vérification effectué lors l’enregistrement de ce moyen de paiement.

CE QUI CHANGE pour vous marchand :

Un nouveau type de transaction dans le Back Office

Un nouveau type de transaction a été ajouté.
Une transaction de type vérification est de 0.00 Eur ou de 1.00 Eur ( le montant dépend su l'acquéreur sait traiter une demande de vérification avec un montant de 0.00 Eur.
Le montant est toujours exprimé dans la devise de votre contrat.
Une transaction de type "vérification " peut être acceptée ou refusée
Une transaction de type "vérification" n'est jamais remise en banque lors de l'enregistrement d'un moyen de paiement ou de la mise à jour d'un alias
Une transaction de type "vérification" a pour seul but de vous donner de la visibilité sur l’enregistrement d'un moyen de paiement ou de sa mise à jour d'un alias.

Le back office donne accès aux informations liées à la vérification du moyen de paiement ( Authentification 3DS etc ... )

INTERPRÉTATION
Exemple 1 : Type : Vérification / Statut Accepté / Montant du paiement 0.00 EUR ou 1,00 EUR

Succès de la vérification.
Création d’un alias associé au moyen de paiement.
Payzen a retourné à votre boutique l’alias associé au moyen de paiement.
Le montant est de 0.00 ou de 1,00 selon la version du protocole d’autorisation devotre acquéreur ( banque ). Le montant est exprimé dans la devise de votre contrat.
Il n’y a jamais de remise en banque.

Exemple 2 : Type : Vérification / Statut Refusé / Montant du paiement 0.00 EUR ou 1,00 EUR

Échec de la vérification
Aucun alias n’a été créé. ( échec souscription à un abonnement etc … )
Le montant est de 0.00 ou de 1,00 selon la version du protocole d’autorisation devotre acquéreur ( banque ). Le montant est exprimé dans la devise de votre contrat.
Il n’y a jamais de remise en banque.

Champs de recherche dans le Back Office

Le champs de recherche type de transaction intègrera ce nouveau type de transaction.

En savoir plus sur la vérification d’une carte

Les évolutions protocolaires d’autorisation en France comme à l’étranger permettent lors de l’enregistrement d’un moyen de paiement associé à un alias (REGISTER, REGISTER_UPDATE ou REGISTER_SUBSCRIBE ) de faire une « demande d’autorisation » avec un montant à zéro.
Ce service s’appelle par exemple chez Visa AVS (account verification service)
L’avantage de ce service avec un montant à 0 est qu’il ne crée plus de débit virtuel chez l’émetteur. Lors d’une demande d’autorisation à 1 XXX permettant de valider les données cartes, certains émetteurs montrent ce débit virtuel au porteur. Le porteur pense alors à tort qu’il va être débité. Dans la réalité ce débit virtuel de 1 XXX s’annule automatiquement à l’expiration de l’autorisation de 1 XXX ( XXX étant la devise utilisée )

Au fur et mesurede l’adoption du protocole AVS par tous les acquéreurs mondiaux, la demande d’autorisation à 1 XXX sera définitivement remplacée par une demande de vérification d’un montant égal 0 . (XXX étant la devise utilisée ).

CE QUI CHANGE pour votre intégration technique :

L’ajout de ce nouveau type de transaction n’engendre pas de modification technique. Il convient toutefois de s’assurer que l’ajout de ce nouveau type ne cause pas de désagrément.
3 types de requêtes de paiement sont concernés ( formulaire de paiement )

REGISTER ( vads_page_action= REGISTER / enregistrement des coordonnées d’un moyen de paiement )
REGISTER_SUBSCRIBE ( vads_page_action= REGISTER_SUBSCRIBE / enregistrement des coordonnées d’un moyen de paiement avec création d’un abonnement)
REGISTER_UPDATE ( vads_page_action= REGISTER_UPDATE / Mise à jour d’un alias existant )

Retour d’information :

vads_identifier_status=CREATED / NOT_CREATED / UPDATED / NOT_UPDATED

Si la vérification a échouée aucun Alias n’est créé ( NOT_CREATED ) lors d’un REGISTER ou REGISTER_SUBSCRIBE

Si la vérification est OK un alias est créé ( CREATED )lors d’un REGISTER ou REGISTER_SUBSCRIBE

Si la vérification a échouée aucun Alias n’est créé (NOT_UPDATED) lors d’un REGISTER_UPDATE

Si la vérification est OK un alias est créé (UPDATED )lors d’un REGISTER_UPDATE

vads_operation_type=VERIFICATION ( ce champs n’était pas renvoyé avant la mise en place de ce nouveau type )

Ce champ indique que la transaction est de type VERIFICATION

↧

CB2A 1.5 et la gestion des marques

December 6, 2018, 10:50 am

≫ Next: CB2A 1.5 pourquoi c'est mieux?

≪ Previous: Un nouveau type de transaction sur le Back Office PayZen : Le type "Vérification"

Pour être en conformité avec la DSP2, il est désormais obligatoire de permettre aux porteurs d'une carte CB (comme carte bancaire et pas carte bleue) de choisir leur marque préférée sur la page de paiement.

C'est obligatoire et Payzen a généralisé au 5/12/2018 cette possibilité à presque tous les acquéreurs. nous devrions terminer cette migration en Janvier une fois que les acquéreurs retardataires seront prêts.

Comment cela fonctionne-t-il?

Notre page de paiement a évolué de la façon suivante pour être en conformité avec la DSP2:

Par défaut apparait un logo à droite du champ carte. Ce logo est en attente de définition:

Lorsque l'acheteur saisit les premiers chiffres de sa carte, on fait une reconnaissance de la marque de sa carte en tenant compte des préférences du marchand (liées au contrat d'acceptation qu'il a signé avec sa banque)

Dans le cas présent le logo pour le BIN 483733, le logo CB apparait par défaut car c'est le choix par défaut du marchand de donner la priorité à la marque CB:

Ce bin est un bin cobrandé VISA. L'acheteur, s'il le souhaite, peut alors sélectionner VISA à la place de CB.

Quelle conséquence:

Dans le message d'autorisation du protocole CB2A 1.5, nous devons indiquer la marque que l'acheteur a sélectionnée. Si la marque reste CB, l'autorisation est traitée au sein du réseau national géré par le GIE CB.

Si l'acheteur choisit VISA, l'acquéreur qui reçoit la demande d'autorisation doit l'envoyer au switch de Visa (qui pourra alors facturer sa prestation réseau). Ensuite Visa devra revenir vers la banque de l'émetteur via son propre réseau et non plus via le réseau CB.

Dans le cas d'un BIN qui n'est pas un BIN appartenant au réseau CB, le logo qui s'affiche est celui de la marque de sa carte (Visa ou Mastercard) .

Comment savoir si l'acheteur a changé de marque:

2 façons existent:

1. dans le back-office Payzen, nous vous indiquons la marque par défaut de votre contrat d'acceptation et la marque que l'acheteur a sélectionnée.

Dans le cas ci-dessous, l'acheteur a choisi le logo MASTERCARD, même si sa carte est une carte CB émise par une banque française. Sa demande d'autorisation jusqu'à l'émetteur n'a pas transité par le réseau du GIE CB, mais par le switch de Mastercard.

2. L'url de notification instantanée (IPN):

Dans cette url, nous avons ajouté un nouveau champ "vads_brand_management" qui vous permet de récupérer pour chaque paiement ces mêmes informations: marque par défaut, marque réellement sélectionnée. (voir notre documentation de référence sur ce sujet)

La plateforme de paiement sur Internet Payzen permet à tous ses marchands d'être conformesà la législation imposée par la DPS2.

↧

CB2A 1.5 pourquoi c'est mieux?

December 10, 2018, 12:39 pm

≫ Next: A savoir : Gérer le code retour autorisation "10" pour les paiements créés via les Web services

≪ Previous: CB2A 1.5 et la gestion des marques

Avec le protocole CB2A 1.5 qui est pratiquement généralisé à tous les acquéreurs français, on note 2 grandes évolutions:

> La vérification de cartes
> Le redressement temps réel d'autorisations

1) La vérification de cartes:

Jusqu'à présent pour vérifier une carte, il était commun de faire une autorisation de 1€.

Avec la multiplication des cartes prépayées et des cartes à débit immédiat, les émetteurs faisaient apparaître en temps réel un débit virtuel sur le compte correspondant à cette autorisation de 1€. Car dans la réalité on fait réellement une autorisation de 1€, autorisation qui s'ajoute aux autorisations courantes de la carte. Comme cette autorisation n'était jamais capturée, il fallait attendre la date de fin d'expiration pour libérer le 1€.

Dans le cas de cartes étrangères, ce délai pouvait aller jusqu'à 30 jours.

Au bout de ce délai l'émetteur annulait cette autorisation et restaurait le solde virtuel de la carte.

Nous étions régulièrement sollicités par des réclamations de marchands dont les clients ne comprenaient pas ce débit sur leur compte en banque.

Maintenant, avec la vérification de carte l'émetteur reçoit une "demande d'autorisation" avec un montant à 0€ qui est spécifiques à ce service.

Il n'y a plus de débit virtuel sur le compte. Il n'y a plus d'expiration d'autorisation à prévoir.

Désormais pour tous les acquéreurs et types de carte (CB, VISA, MASTERCARD) qui le supportent, nous ferons toujours des vérifications de carte dans les cas suivants:

Création d'un alias de carte (REGISTER)
Mise à jour d'un alias de carte (REGISTER_UPDATE)
Demande de paiement dont la date de remise en banque est au delà de la durée de vie de l'autorisation

A ce jour (4/12/2018) ce protocole est disponible pour tous les acquéreurs français excepté le Credit Agricole / CIC-CME et HSBC qui devrait se mettre à jour en Janvier 2019.

2) Le redressement

Cette opération qui existe depuis très longtemps dans les distributeurs automatiques de carburant n'était pas disponible sur Internet (pour le protocole CB2A).

Désormais avec le protocole CB2A 1.5, il est possible d'envoyer une annulation d'autorisation à l'émetteur.

Si cette demande est acceptée, l'émetteur restaure le solde de la carte.

Les cas d'utilisation sont les suivants:

Annulation d'une autorisation par le marchand.
Expiration d'une autorisation non validé par le marchand (si le marchand utilise pour ses paiement la validation manuelle).

ATTENTION:

Les émetteurs ont désormais obligation d'acquitter positivement ces messages si les conditions sont remplies (référence correcte sur la transaction initiale).

Mais l'acquittement positif ne veut pas dire que tous les émetteurs à ce jour restaurent réellement le solde en temps réel. Certains acquittent la demande de redressement mais ne traitent pas (encore) la demande de restauration du solde porteur et attendent l'expiration de l'autorisation

Au fur et mesure des mises à jour de leurs systèmes, ce message devrait toujours restaurer le solde du porteur.

A ce jour plus de 55 000 contrats marchands bénéficient de ces 2 fonctionnalités car leur contrat d'acceptation carte suit le protocole CB2A 1.5 avec PayZen.

↧

A savoir : Gérer le code retour autorisation "10" pour les paiements créés via les Web services

December 22, 2018, 2:57 pm

≫ Next: Le paiement en n fois sur internet

≪ Previous: CB2A 1.5 pourquoi c'est mieux?

Le protocole "autorisation" permet de lancer une demande d'autorisation pour un montant et recevoir comme réponse une demande d'autorisation partielle.

Dans le cas où l'autorisation partielle est supportée par l'émetteur de la carte, l'émetteur renvoie dans le champ "montant" du message de réponse le montant autorisé (qui est inférieur au montant initial) et un code retour autorisation égal à 10 (protocole ISO 8583)

Dans quel cas va-t-on trouver ce type de réponse:

Cartes Titre-Restaurant où le solde maximum possible est de 19€ par jour
Cartes Cadeaux lorsqu'elle sont des cartes Visa ou MasterCard

Lorsque Lyra / PayZen gère sur sa page de paiement, la capture des données cartes, il gère automatiquement ce code retour et propose à l'acheteur de compléter le solde restant à payer par un autre moyen de paiement. Si l'acheteur ne finalise pas le complément, Lyra gère l'annulation de l'autorisation partielle.

Que se passe-t-il dans le cas d'autorisation via WS?

Le site marchand a la responsabilité de la capture des données de la carte, il va donc faire une demande d'autorisation via un WS (REST ou SOAP).

3 cas sont possibles:

l'autorisation est acceptée pour le montant initial: code retour 0. pas d'autres actions à réaliser pour le marchand
l'autorisation est refusée et l'acheteur doit utiliser un autre moyen de paiement
l'autorisation renvoie le code retour 10.

Dans le cas du code retour 10, le site doit considérer que l'autorisation est partielle et il doit effectuer le traitement suivant:

annuler l'autorisation partielle s'il ne sait pas gérer le complément. Car sans annulation, le paiement sera capturé pour son montant partiel.
ou demander à payer le solde avec un autre moyen de paiement. Le complément sera égal au montant initial moins le montant de l'autorisation partielle. Si le paiement du solde échoue, le site marchand devra alors annuler l'autorisation partielle via le WS d'annulation. Sinon le porteur sera débité de l'autorisation partielle non annulée.

Remarque:

Certains acquéreurs refusent de recevoir des montants trop petits. Si par exemple, le montant initial est de 19€ et que l'autorisation partielle porte sur 18,90€, il n'est pas possible avec tous les acquéreurs de faire une demande d'autorisation de 10 centimes. Dans ce cas, l'autorisation de 10 centimes sera refusée et le marchand devra annuler l'autorisation partielle.

Cet article est à destination des marchands PCI DSS qui veulent accepter les Titres-Restaurant avec une capture sur leur site.

↧

Le paiement en n fois sur internet

January 5, 2019, 2:44 am

≫ Next: Comprendre le code retour autorisation iso 54

≪ Previous: A savoir : Gérer le code retour autorisation "10" pour les paiements créés via les Web services

Le support Lyra /Payzen reçoit souvent ce type de mail:

Comment se passe votre paiement en plusieurs fois. Est il sécurisé ou le client peut il annuler les paiements différé?

Tout d'abord ce n'est pas vraiment notre paiement en n fois. C'est un outil aux services des marchands que la plupart des plateformes de paiement proposent.

Pour répondre à la question, il faut d'abord comprendre ce qu'est le paiement en n fois (en Europe car en Amérique c'est très différent):

L'objectif du marchand est d'offrir une facilité de paiement à ses clients.

On distingue 2 types de financement des achats pour répondre à la question:

l'échéancier de paiement via un organisme de crédit. Dans ce cas le marchand doit signer avec un organisme de paiement qui assume le risque et le recouvrement. Bien sûr ce n'est pas gratuit pour le marchand. Il est normalement payé rapidement mais doit payer une commission à l'organisme de crédit. L'acheteur signe un contrat de financement en ligne qui l'engage en terme de remboursement.
Le marchand joue le rôle d'organisme de crédit et prend le risque. La plateforme de paiement n'est un organisme de crédit. elle est une solution technique.

Solutions d'organisme de crédit disponibles en France:

ONEY (ex banque ACCORD). Disponible dans Payzen et ses marques blanches (https://www.oney.fr/)
CHOOZEO (solution du groupe BPCE). Disponible dans Systempay (http://www.choozeo.com/)
BNPP Personal finance (ex-cetelem). Disponible dans Payzen et ses marques blanches (http://www.distribution.cetelem.fr/credit/magasins/produits/3-4X-CB/)
FranFinance (sera disponible dans Sogecommerce, ClicandPay du groupe CDN, Payzen, ..en Q2/2019 (https://www.franfinance.fr/)
Presto de BNPP Personal Finance, sera disponible dans Payzen Q2/2019 (http://mon-credit.org/cetelem-presto/)
Sofinco (offre plutôt confidentielle du groupe Crédit Agricole). Pas de projet d'intégration dans Payzen. (https://www.sofinco.fr/)

Les conditions d'obtention sont à voir avec chaque organisme de crédit. Toutes les activités ne sont pas éligibles et certains organismes demandent un chiffre d'affaire minimum.

Tous ne sont pas faciles à paramétrer, pour ne pas dire lourds à intégrer.

Le marchand joue le rôle d'organisme de crédit et prend le risque:

Nous répondons maintenant à cette question:
Le paiement est-il sécurisé ou le client peut il annuler les paiements différés?

Le paiement n'est "sécurisé" que sur la première échéance si le paiement est associé à l'authentification de l'acheteur avec un transfert de responsabilité (3D secure)
Les autres échéances n'ont aucune "sécurité". Si l'acheteur résilie sa carte ou n'a pas de fonds lors de l'échéance suivante, le marchand devra gérer le litige avec son acheteur.

Donc la réponse est:
Le paiement n'est pas sécurisé au-delà de la première échéance et n'est pas sécurisé si la première échéance n'a pas de transfert de responsabilité. L'acheteur peut annuler les paiements différés en résiliant sa carte ou être sans fonds à la date des échéances suivantes.

Lire (ou relire) aussi:

http://www.le-paiement-sur-internet.fr/2016/02/paiement-en-n-fois-risques-mesurer.html

↧

Comprendre le code retour autorisation iso 54

January 9, 2019, 2:17 pm

≫ Next: J'ai testé Google Pay sur internet et c'est de la daube

≪ Previous: Le paiement en n fois sur internet

En iso, le code retour 54 veut dire : Date de validité de la carte dépassée.

Et nous avons souvent des réclamations de marchands qui nous disent ne pas comprendre ce code retour, car la date d'expiration sur le plastique n'est pas expirée.

Il existe des codes ISO pour dire carte perdue ou carte volée. Il n'existe pas vraiment de code pour dire carte résiliée.

Donc certains émetteurs renvoie ce code lorsque la carte a été résiliée avant la date, soit par le porteur, soit par la banque.

Le plastique bien évidemment ne se met pas à jour et lorsque cette carte sert à un abonnement, il n'est pas anormal avant la date d'expiration théorique de la carte de rencontrer le code 54.

Tous les émetteurs ne l'utilisent pas pour dire carte résiliée, mais c'est une des interprétations du code 54.

↧

J'ai testé Google Pay sur internet et c'est de la daube

January 16, 2019, 5:10 am

≫ Next: Accepter les Titres-Restaurant sur Internet: qui a dit que c'était simple?

≪ Previous: Comprendre le code retour autorisation iso 54

Pourquoi?

C'est simple: au bout de 3 paiements, votre compte est bloqué. Et pourtant j'ai une configuration où je demande le CVV à chaque paiement. Pour valider ce moyen de paiement j'ai joué avec mes comptes emails et mes cartes personnelles.
Pas beaucoup de paiements. 3 en Pesos colombiens pour montrer le fonctionnement de REDEBAN depuis Bogota et 2 en Soles pour montrer le fonctionnement avec Procesos au Pérou.
Cela a suffit pour que Google me bloque mes 2 comptes avec des montants très faibles.

Mr Google, votre système anti-fraude, c'est de la daube.
Il m'interdit de payer tout simplement.

Et comme il n'existe aucune procédure pour se débloquer, et bien on ne sait pas comment faire.

Mes développeurs pour valider en production leur développement sont aussi restés bloqués une semaine.

Comment cela se passe:

Lorque nous appelons Google Pay depuis Chrome, nous avons une configuration où nous imposons de saisir le CVV pour chaque carte (c'est au choix du marchand):

Quand vous avez cet écran, ce n'est pas du tout un problème.
C'est l'intelligence artificielle de Google Pay qui a détecté que vous étiez un fraudeur.
et votre compte est totalement bloqué
En fait de l'intelligence artificielle à l'envers: tout est conçu pour ne pas payer:

Moralité: Google Pay avec ce niveau de contrôle de fraude mal fait, c'est de la daube!

↧

Accepter les Titres-Restaurant sur Internet: qui a dit que c'était simple?

January 17, 2019, 12:00 am

≫ Next: Implémenter Payzen ou Edenred pour accepter les cartes restaurants?

≪ Previous: J'ai testé Google Pay sur internet et c'est de la daube

Il y a plus désormais plus d'un an, nous nous sommes lancés dans l'acceptation des Titres-Restaurant dématérialisés (carte) en ligne au départ en gérant les cartes de 2ème génération.
Par la suite nous avons découvert que c'était un peu plus compliqué que prévu.

Cet article explique la gymnastique qu'il faut gérer pour répondre aux professionnels de la restauration.

On trouve sur le marché à ce jour les types de cartes restaurant suivantes:

Cartes dites de premières génération. Ce sont des cartes 4 coins. Elles sont émises sous la marque Visa ou MasterCard. Edenred par exemple émet des cartes MasterCard prépayées pendant que Apetiz et Sodexo émettent des cartes Visa. Ces cartes sont acceptées dans les terminaux de paiement CB2A si le code MCC du commerçant est compatible avec l'activité restauration. Avec certains émetteurs, il faut demander au préalable pour son contrat commerçant l'ouverture du flux autorisation chez l'émetteur des Titres-Restaurant.
Cartes de première génération avec un code BIN (6 premiers chiffres) inconnues des réseaux Visa ou MasterCard. Dans ce cas, il faut implémenter une API pour aller chercher une "vraie carte" et son solde. Avec la "vraie" carte on peut alors faire une autorisation via le contrat d'acceptation du commerçant.
Cartes de deuxième génération: ce sont des cartes 3 coins qui passent exclusivement par le réseau d'acceptation CONECS.
Cartes hybrides (carte première et deuxième génération) : Ces cartes peuvent être acceptées soit via Conecs, soit via le contrat d'acceptation du commerçant.

Si vous m'avez suivi, on peut maintenant parler de l'acceptation de ces cartes dans PayZen:

Cartes de première génération: lorsque nous les détectons, nous sommes capables de demander une autorisation partielle et de proposer le paiement du complément par un autre moyen de paiement (Carte bancaire par exemple). Si le contrat du marchand est 3DSecure, ces cartes sont soumises à 3DS. En cas de code retour 10 (autorisation partielle), nous n'allons pas gérer un refus (lire: savoir-gerer-le-code-retour-10) mais nous allons proposer de payer avec un autre moyen de paiement le complément.
Cartes de première génération avec un code BIN: nous appelons l'api de l'émetteur pour récupérer le solde journalier restant et la carte à utiliser pour faire l'autorisation. Si le solde est suffisant pour payer le panier, le transaction est dénouée. Sinon, nous proposons de payer le complément par un autre moyen de paiement.
Cartes de deuxième génération: nous envoyons toutes les demandes d'autorisation à CONECS. A ce jour toutes les cartes sont acceptées sauf Edenred qui bloque les paiements via ce canal. Nous gérons le complément avec un autre moyen de paiement pour les cartes de 2ème génération également.
Cartes mixtes (2ème et 1ère génération): nous envoyons les demandes d'autorisation à CONECS pour les émetteurs UP, APETIZ et SODEXO. Nous envoyons les demandes d'autorisation à Edenred via le contrat d'acceptation carte (on passe en 4 coins) puisque le canal CONECS est fermé. Et on gère le complément comme avec une carte de première génération.

Simple non?

PayZen décomplexifie totalement pour les marchands cette gestion de cartes en :

proposant à leurs clients la même fluidité de parcours de paiement en ligne qu'importe le type de Carte Titres-Restaurant utilisée. (tester le parcours de paiement)
simplifiant l'intégration et l'activation de ce moyen de paiement (voir la documentation technique)

↧

Implémenter Payzen ou Edenred pour accepter les cartes restaurants?

January 24, 2019, 5:56 am

≫ Next: 2018: une année très riche techniquement

≪ Previous: Accepter les Titres-Restaurant sur Internet: qui a dit que c'était simple?

Cet article a pour but d'ouvrir le débat au sujet des APIs de paiement que les marchands doivent implémenter pour accepter les cartes Titres-Restaurant en e-commerce.

Tout d'abord avant de continuer la lecture de ce post nous vous invitons à lire cet article.

Après l'avoir lu (si vous m'avez suivi jusqu'au bout), vous comprenez maintenant que le sujet n'est pas simple.

Un certain nombre de nos clients restaurateurs nous ont remonté avoir été interpellés pour ne pas implémenter nos solutions Lyra (PayZen & Lyra Collect) avec comme arguments:

Edenred a le monopole du marché
L'API d'Edenred est Plug&Play
C'est simple comme un bonjour.

Le monopole:

Tout d'abord, même si Edenred est une entreprise avec une part de marché importante en France (environ 1/3 du marché), il existe 3 autres émetteurs de Titres-Restaurant: Natixis intertitres, Sodexo et UP qui présentent donc 2/3 du marché.

Et nous pouvons nous féliciter d'avoir 3 champions internationaux: Edenred, Sodexo et UP.

Natixis Intertitres (qui est notre fournisseur chez Lyra) reste une entreprise franco-française sans ambition internationale à ce jour.

Ces 3 champions internationaux ont su adapter leur système d'information aux règles locales de tout type de bénéfices salariés soit par du développement local dans les pays où ils opèrent, soit par de la croissance externe. Edenred a par exemple racheté récemment Good Card au Brésil. Ces 3 entreprises sont des champions français en Amérique latine, en Inde, en Europe...

Lyra offre une solution permettant de couvrir toutes les cartes Titres-Restaurant MasterCard, Visa et Conecs de tous les émetteurs. Des propres dires d'Edenred, cela représente déjà actuellement 85% de leurs cartes en circulation et bientôt 100% quand toutes leurs cartes seront hybrides. (à la fois Mastercard et Conecs). Quant aux autres émetteurs, cela représente déjà 100% de leurs cartes.

Donc en implémentant uniquement l'API d'Edenred, vous vous rajoutez du travail d'intégration (cf ci-dessous), vous vous privez des 3 autres émetteurs ainsi que d'un accès à près de 100% du marché des cartes Titres-Restaurant actuellement en service.

Dans le cas de l’API Edenred :

Toute l’analyse et les développements associés spécifiques aux cartes Titres-Restaurant sont laissés à la charge des e-Commerçants dont le métier n’est pas le paiement (exemple du paiement complémentaire, du redressement,…).

L’API Edenred ne gère que les cartes d'Edenred et ne gère pas les cartes des 3 autres émetteurs (2/3 du marché). Il faudra donc faire des développements complémentaires pour intégrer les autres émetteurs.

L’API Edenred n’est donc pas plug and play

mais génère en réalité beaucoup plus de travail et plusieurs intégrations pour un accès à une part minoritaire du marché des Titres-Restaurant contrairement au solution Lyra.

Plug & play:

Documentation

Lyra met beaucoup d'énergie à fournir ses documentations en 4 langues. Nous nous respectons les cultures locales et considérons que tout le monde ne lit pas l'anglais. Donc nos clients français trouveront une documentation en français et aussi en anglais pour intégrer les cartes Titres-Restaurant. Pas seulement en Anglais.

L'API de Lyra travaille une signature. Cela sert à quoi?

A vérifier que les données postées ne sont pas altérées par l'acheteur depuis son navigateur.

Dans le cas d'Edenred, il n'y a pas ce type de contrôle. Nous vous invitons à contrôler que le montant renvoyé dans ce qu'ils appellent l'url de webhook est bien le montant de l'aller. A noter que toutes les plateformes de paiement parlent plutôt d'IPN (instant payment notification) et pas de webhook.

Comme l'IPN (le webhook) est un processus critique, Lyra a mis en place des mails d'alerte en temps réel lorsqu'elle est en échec (et oui nos chers marchands ont des serveurs qui ne répondent pas toujours) et en cas d'échec nous savons activer un procesus de rejeu automatique.

Il nous semble que rien de cela n'existe dans l'IPN (webhook) d'Edenred.

Lyra permet de faire un traitement sur l'url de retour (celle qui est appelée quand on clique sur le bouton retourner à la boutique) et qui contient les mêmes paramètres que l'IPN.

Dans le cas d'Edenred, nous ne savons pas car ce n'est pas bien documenté. On sait juste que cela renvoie success ou failure. Donc l'usage du contrôle de l'IPN est obligatoire entre autre à cause du contrôle sur montant!

Imprécisions

J'aime bien relire nos documentations avant publication car je n'aime pas qu'on nous pose des questions en cas d'imprécision. Il est possible d'appeler l'API d'Edenred en précisant la langue du client et même en définissant la spécificité locales (français de France versus français du Canada par exemple)

Il est important de pouvoir parler de carte restaurant, de carte à bouffer ou de carte à grailler. (et pas à gratter. On n'est pas à la française des jeux)

L'exemple donné dans la définition du paramètre est fr-FR.
L'exemple donné dans l'exemple de code est fr-fr.

C'est peut-être pareil. Je n'ai pas été vérifié. Mais c'est imprécis.

La devise suit l'iso 4217. Mais il faut aller voir l'exemple de code pour savoir qu'il faut passer EUR.

Car l'iso 4217 peut être numérique ou alphanumérique. Là encore c'est imprécis.

Simple comme un bonjour:

Cette API permet d'accepter toutes les cartes Edenred. Cela ne fait aucune doute.

Mais en cas de solde insuffisant, elle ne permet pas de proposer un complément de paiement avec un autre moyen de paiement au client. Moyen de paiement qui peut-être un autre Titre-restaurant ou une carte de paiement (CB, Visa, AMEX, ..)

L'argument qu'Edenred présente contre Lyra est que cela ne sert à rien car 95% des paiements n'ont pas besoin de complément.

Qui a envie de perdre 5% du chiffre d'affaires?

Par ailleurs l'API renvoie un état pending.

Qu'en fait-on?

Soit c'est accepté en temps réel, soit c'est refusé. Mais que fait-on du pending?

Il n'existe en plus aucune API pour aller vérifier l'état final et éventuellement l'annuler en cas de changement d'état.

Les solutions de Lyra sont simples car ils permettent d'accepter tous les émetteurs (sauf les cartes 2ème génération non hybride d'Edenred via Conecs, mais elles sont minoritaires).

Lyra permet de gérer le paiement du solde restant à payer en cas de solde insuffisant sur la carte Titres-restaurant.

Et comme les nouvelles cartes 2ème génération sont désormais des cartes mixtes / Hybrides (première génération et 2ème génération), elles seront acceptées sur le contrat d'acceptation CB. Ce qui laisse un peu de boulot à Edenred pour aller chercher sa commission d'interchange chez le marchand.

On laisse donc juger les e-commerçants restaurateur s'il y a lieu de faire une double intégration ou de faire confiance à Lyra.

Car Lyra supporte bien sûr CB, Visa, MasterCard mais aussi Amex, Diners, Discovery, JCB, le Wallet de Google Pay, les cartes Cora, etc...

Donc pourquoi développer 2 fois?

Moi j'ai choisi mais je ne suis pas impartial.

😉

↧

2018: une année très riche techniquement

January 30, 2019, 1:47 pm

≫ Next: Google Pay au Pérou avec Procesos

≪ Previous: Implémenter Payzen ou Edenred pour accepter les cartes restaurants?

Retour sur les évolutions en 2018 de la plateforme PayZen

France

Généralisation du protocole CB2A1.5 aux acquéreurs français avec gestion de la marque (DSP2), du redressement (annulation de l'autorisation avant remise en banque) et aussi des autorisations 0 euros. Il reste à migrer à ce jour HSBC, Crédit Agricole et CIC/CME qui n'étaient pas prêts à fin 2018 : Relire notre article
Acceptation des Titres-Restaurant première et deuxième génération pour les émetteurs de Titres-Restaurant dématérialisés (TRD)
Développement de Google Pay
Changement de HSM
Suppression des protocoles TLS1.0 et TLS1.1
9 ème renouvellement de notre certification PCI-DSS
Nouvelles APIs WS REST en complément des WS SOAP
Nouvelle APIs Javascript pour gérer la saisie des données carte en mode embarqué dans un site e-commerce et en mode pop-in
Lancement du développement du 3DS server en remplaçant du MPI 3DS secure 1.0
Support de l'acquéreur PPRO (Alipay, WechatPay, ..)
Support des cartes BNP Personal Finance en direct et en marque blanche (exemple Cora)
Lancement de Lyra Collect (établissement de paiement) proposant une solution e-commerce clef en main
Nouveau site documentaire plébiscité pour la clarté de sa documentation
Encore et toujours des mises à jour de nos modules de paiement pour tous les CMS Open Source et toujours gratuits.

Internationalisation

Lyra a continué à enrichir sa plateforme de paiement PayZen pour couvrir plus de pays:

a) Europe

Ajout de l'acquéreur FirstData Europe comme acquéreur multi-devises
PayZen a finalisé son intégration avec la plateforme européenne de BNPP ATC pour faire de l'acquisition dans des devises autres que Euro.

b) Brésil

Cielo (dernière API 3.0 avec 3DS, support des cartes de crédit+débit, autorisation 0 dollar)
Rede (dernière API REST avec 3DS 2.1, support des cartes de credit+débit et autorisation 0 dollar)
Firstdata (support des cartes ELO et Hypercard et support de 3DS )
Global Payment (support du 3DS et ajout des cartes ELO et Hypercard)
Getnet Santander (3DS)
Boleto bancario registrado en mode fichier
Boleto registrado online d'ITAU
Ajout de l'acquéreur Bon Sucesso

c) Argentine

PayZen a ajouté une intégration avec:

Firstdata Argentine (Mastercard, Mastercard Cordobesa, Argencard, Diners, ..)
Prisma Argentine (Visa, Tarjeta Naranja, Cabal, ...)
Link PEI (cartes de débit)
PIM (wallet de la banque de la nation argentine)

d) Pérou

PayZen a ajouté une intégration avec:

Procesos (acquéreur Mastercard, Amex, Diners, ..). Lyra est désormais la marque blanche de Procesos acquéreur Mastercard au Pérou.
Visanet Pérou (acquéreur Visa)
Gestion des paiements récurrents pour les 2 acquéreurs

e) Chili

PayZen a ajouté une intégration avec:

Transbank pour les paiements récurrents via WebPay Completa

f) Mexico

PayZen a ajouté une intégration avec :

Banamex via l'acquéreur EVO
Firsta Data Mexique

g) US / Canada

Toujours avec EVO, PayZen propose désormais le paiement sur internet pour les commerçants ayant une activité aux US et au Canada.

h) Colombie

PayZen dispose à ce jour d'une intégration avec REDEBAN et est en train d'ajouter PSE (disponible en Mars 2019)

i) Inde

PayZen propose désormais en Inde une intégration avec

ATOMCC
KOTAKCC
ATOMIB
les wallets MobiKwik, PayUMoney, Citrus Pay, AirtelMoney et FreeCharge

En plus de proposer sa plateforme technique PayZen , Lyra opère désormais en tant que collecteur de fonds via son offre Lyra Collect.

↧

Google Pay au Pérou avec Procesos

January 31, 2019, 11:48 pm

≫ Next: Code retour autorisation égal à 3 : accepteur invalide

≪ Previous: 2018: une année très riche techniquement

Procesos est l'acquéreur péruvien qui traite les cartes MasterCard, Diners, AMEX et les cartes privatives comme CMR, Ripley, etc.

Procesos propose plusieurs API de paiement et Google Pay n'est pas utilisable avec toutes les APIs.

Pour payer avec Google Pay, il faut utiliser à ce jour l'api WS de Procesos et prochainement l'API basée sur le protocole ISO 8583.

Nous avons validé le bon fonctionnement avec un marchand qui possède l'API WS de Procesos avec saisie du CVV/CVV2.

Le marchand a créé son wallet Google Pay, a accepté les conditions générales de Google Pay et a demandé la saisie du CVV/CVV2 sur la page de choix des cartes gérées par Google PAY.

Regardons maintenant comment se passe un paiement en SOLES:

Le bouton Google Pay apparaît sur la page des moyens de paiement disponibles.

Google Pay va ouvrir une iframe avec les cartes disponibles dans le wallet de l'utilisateur:

La configuration de Google Pay de ce marchand demande la saisie du CVV chez Google Pay.

Une fois le CVV saisi, Google Pay envoie à la plateforme de paiement les données cartes cryptées (carte, date d'expiration et CVV).

Ce marchand a une configuration qui permet à l'acheteur d'acheter en plusieurs échéances.

Comme cette configuration de paiement n'est pas connu de Google Pay, nous allons insérer une page intermédiaire avant de faire l'autorisation afin de collecter les informations manquantes:

Tous les champs reçus de Google Pay sont non modifiables et partiellement visibles.

L'acheteur peut choisir le nombre d'échéances. Une fois cette sélection faite, nous pouvons faire une demande d'autorisation.

Dans le cas de paiement accepté, le ticket s'affiche et montre que le paiement a été initié depuis le wallet de Google Pay.

Dans le Back-Office le marchand retrouve l'origine du paiement dans le détail de la transaction.

L'onglet authentification rappelle aussi que c'est un paiement initié depuis Google Pay:

Voir une autre démo en vidéo

↧

Code retour autorisation égal à 3 : accepteur invalide

February 1, 2019, 1:59 pm

≫ Next: Ne pas confondre authentification de l'acheteur et autorisation

≪ Previous: Google Pay au Pérou avec Procesos

S'il y a un code retour qui est particulièrement bloquant, c'est bien le code retour 3.

Que veut dire ce code retour:

En général il correspond aux états suivants de votre contrat d'acceptation carte:

votre banque / acquéreur a clôturé le contrat, soit parce que vous l'avez demandé, soit parce que votre niveau de fraude est trop élevé, soit parce que votre société a fermé.
votre banque a clôturé le contrat parce qu'il est inactif depuis trop longtemps. (aucun paiement n'a été enregistré depuis plusieurs mois)
votre banque a incorrectement créé votre contrat (il a par exemple été défini comme contrat de proximité alors que vous vouliez un contrat e-commerce)

Dans tous les cas, la plateforme de paiement ne peut rien faire.

Vous devez vous rapprocher de votre banque / acquéreur pour traiter le sujet.

03 est un état permanent.

Aucun paiement ne peut plus être enregistré sur votre site.

↧

Ne pas confondre authentification de l'acheteur et autorisation

February 4, 2019, 1:24 pm

≫ Next: Vous changez de banque et vous vous demandez quel est l'impact dans Payzen?

≪ Previous: Code retour autorisation égal à 3 : accepteur invalide

Nous avons souvent des réclamations de marchands qui nous expliquent que le porteur s'est correctement authentifié, mais que le paiement a été ensuite refusé et que c'est de notre faute.

L'authentification dans le cas de 3D Secure a pour but, comme son nom l'indique, de vérifier que l'acheteur est bien le porteur de la carte.

Différents procédés d'authentification existent à ce jour, mais pour respecter la DSP2, ces procédés vont se durcir, voire se compliquer, mais ce n'est pas le sujet de cet article.

Pour authentifier un porteur, on se base sur le numéro de carte et la date d'expiration de la carte.

Tous les serveurs d'authentification ne contrôlent pas la date d'expiration (vrai en Espagne, plutôt faux en France), mais à partir du numéro de carte, l'émetteur de la carte va contrôler que l'acheteur est vraiment le porteur.

A ce jour, la méthode la plus répandue (et plutôt déclarée non conforme à la DSP2) est le SMS.

Une fois que le porteur est authentifié, il revient sur la plateforme de paiement pour l'autorisation.

Deux choses importantes:

la plateforme de paiement ne gère pas l'authentification mais la délègue à l'émetteur (banque du porteur)
le cryptogramme n'est absolument pas contrôlé à ce stade et il n'est jamais envoyé au serveur d'authentification.

Une fois authentifié, nous récupérons dans le flux de réponse en cas d'authentification positive différents champs (XID, CAVV/UCAF, ACS version, TID..) qui nous permettent de faire une demande d'autorisation avec le CVV et les données 3DS.

Sans les champs en provenance du serveur d'authentification, il n'y aura jamais de transfert de garantie.

La bonne construction de la demande d'autorisation est vitale et l'envoi des tous ces champs spécifiques n'est pas forcément simple à traiter. Les agréments servent aussi à cela.

Certains marchands appellent souvent le support pour nous expliquer que notre passerelle de paiement ne fonctionnent pas, car l'autorisation est refusée

Authentifier n'est pas autoriser

L'émetteur de la carte même si le porteur est authentifié va appliquer ses contrôles de solde, d'encours, de nombre de paiements sur la période, etc...

et bien évidemment générer des refus.

Refus qui n'ont rien d'anormal mais que l'émetteur doit pouvoir expliquer à son porteur.

Nous ne savons en général jamais expliquer le code retour sauf quand il n'a pas argent sur son compte ou qu'il a dépassé son encours.

Il est donc préférable , au lieu de demander l'analyse des codes retour de refus, de conseiller votre client à contacter sa banque directement pour connaitre la raison du refus. (banque qui accusera souvent la plateforme, mais c'est juste l'histoire du service client qui ne veut pas être dérangé😉😉)

↧

Vous changez de banque et vous vous demandez quel est l'impact dans Payzen?

February 6, 2019, 1:00 am

≫ Next: Le BIN grossit et il va falloir s'y préparer!

≪ Previous: Ne pas confondre authentification de l'acheteur et autorisation

Un changement de banque entraîne en général un changement de contrat d'acception carte.

En revanche, un changement de banque au sein d'un même groupe n’entraîne pas forcément de changement de contrat mais le compte bancaire de rattachement dont nous n'avons jamais connaissance doit être changé. C'est de la responsabilité de votre banque.

Que faut-il faire et quelles précautions prendre?

A) Contrat d'acceptation paiement manuel

Il suffit de nous communiquer le nouveau contrat en nous précisant que c'est un contrat dédié au paiement manuel. (suivant les banques il faut un contrat dédié pour les paiements e-commerce et un autre pour les paiements manuels. Il n'y a pas de règles généralisées)

Une fois que nous avons renseigné ce contrat, il est normalement opérationnel.

Vous pouvez depuis le Back-office Payzen by Lyra changer l'ordre des priorités en allant dans "Paramétrage Boutique" puis l'onglet "Association contrat boutiques".

Nous vous conseillons de ne pas clôturer tout de suite l'ancien contrat car les remboursements ne peuvent se faire que sur l'ancien contrat.

Sinon si vous avez besoin de rembourser, vous devrez le faire par une autre moyen (chèque, virement..)

B) Contrat d'acceptation paiement e-commerce

Il suffit de nous communiquer le nouveau contrat en nous précisant que c'est un contrat dédié au paiement e-commerce.

Une fois le contrat saisi, vous devez prendre la précaution suivante:

Si vous faites du 3DS, il y a un délai d'enrôlement chez MasterCard de 5 jours ouvrés.

Pour Visa, c'est immédiat.

Nous vous recommandons donc de ne pas utiliser ce contrat tant que vous n'avez pas reçu de notre part l'activation 3DS pour MasterCard.

Une fois que l'enrôlement 3D Secure est finalisé, vous pouvez depuis votre Back-office PayZen changer les priorités des contrats.

Points d'attention:

- Normalement l'enrôlement se fait sur le numéro de contrat.

Cependant quelques banques (groupe BPCE) enrôlent sur le numéro de société. Dans ce cas l'enrôlement du nouveau contrat est immédiat car son identifiant ne change pas.

- Si toutes les autorisations renvoient le code retour 03, c'est que votre contrat a été mal initialisé par votre banque. Une fois que vous avez activé le nouveau contrat, il est vital de vérifier que les paiements passent correctement. Idéalement en faisant vous-même un paiement.

Nous ne pouvons jamais garantir que votre banque a correctement déclaré sans son système d'information votre contrat d'acceptation.

↧

Le BIN grossit et il va falloir s'y préparer!

February 14, 2019, 2:03 pm

≫ Next: Google Pay avec First Data Brésil

≪ Previous: Vous changez de banque et vous vous demandez quel est l'impact dans Payzen?

La date peut sembler lointaine mais elle a été arrêtée: Avril 2022.

Quelle révolution va-t-on voir à cette date?

Votre numéro de carte chez Visa et MasterCard fait en général 16 chiffres. Les 6 premiers chiffres s'appellent le BIN comme Bank Identification Number.

Pour faire face à l'explosion des banques et établissements de paiement dans le monde, Les réseaux Visa et MasterCard ont décidé de garder la même longueur de 16 pour un numéro de carte, mais de passer le bin de 6 à 8.

On a déjà eu besoin de passer de 8 numéros de téléphone à 10. Le Brésil a aussi augmenté la longueur de son numéro de téléphone dans certaines régions. Toutes ces opérations se préparent à l'avance.

Là, on va devoir gérer une évolution plutôt complexe pour les acquéreurs et les émetteurs de carte.

Je ne vais pas lister tous les impacts mais par exemple cela veut dire que tous les logiciels de terminaux de paiement qui gèrent des listes noires souvent sur une plage de BIN vont devoir être mis à jour.

Intéressant car Lyra a un produit de suivi de campagne (LUMA) qui prendra tout son sens dans cette Nième mise à jour des terminaux.

Côté paiement en ligne, nous utilisons la table des BINs pour déterminer le code produit de la carte en associant des règles anti-fraude au code produit. Tout cela va changer. Il va falloir travailler sur 8.

A ce jour la gestion de la marque (protocole CB2A 1.5) se fait sur la reconnaissance jusqu'à 6 caractères pour choisir entre CB et/ou Visa/MasterCard. Il faudra aller jusqu'à 8 chiffres

La table des BINs nous donne aussi le nom de l'émetteur de la carte. Tout cela devra être revu.

En résumé les années à venir sont 3 années de festivité autour du BIN et d'investissements majeurs pour être prêts à la date fatidique.

Qui a dit que le paiement était un long fleuve tranquille?

↧

Google Pay avec First Data Brésil

February 18, 2019, 1:30 am

≫ Next: Comment ajouter le bouton Google Pay dans Chrome ou Firefox

≪ Previous: Le BIN grossit et il va falloir s'y préparer!

First Data Brésil est un acquéreur brésilien qui traite les cartes de crédit au Brésil.

L'intégration que propose la plateforme de paiement LYRA avec Firstdata s'appuie sur l'api IPG.

Nous avons validé le bon fonctionnement de la plateforme de paiement Lyra avec cette API.

Le marchand a créé son wallet Google Pay depuis le Back Office marchand, a reconnu avoir lu et accepté les conditions générales de Google Pay et a demandé la saisie du CVV/CVV2 sur la page de choix des cartes gérées par Google PAY.

Regardons maintenant comment se passe un paiement en REAL:

Le bouton Google Pay apparaît sur la page des moyens de paiement disponibles.

Lorsque l'acheteur sélectionne le bouton Google Pay, Google Pay ouvre une iframe avec les cartes disponibles dans le wallet de l'utilisateur:

La configuration de Google Pay de ce marchand demande la saisie du CVV dans l'iframe de Google Pay.

Une fois reçu les données cartes cryptées depuis Google Pay (carte, date d'expiration et CVV), la plateforme analyse la configuration du marchand:

Ce marchand a une configuration qui permet à l'acheteur d'acheter en plusieurs échéances.

Comme cette configuration de paiement n'est pas connue de Google Pay, nous allons insérer une page intermédiaire avant de faire la demande d'autorisation afin de collecter les informations manquantes:

Tous les champs reçus de Google Pay sont non modifiables et partiellement visibles.

L'acheteur peut sélectionner le nombre d'échéances. La demande d'autorisation est faite après validation du nombre d'échéances.

Dans le cas de paiement accepté, le ticket s'affiche et montre que le paiement a été initié depuis le wallet de Google Pay.

Dans le Back Office le marchand retrouve l'origine du paiement dans le détail de la transaction.

L'onglet authentification rappelle aussi que c'est un paiement initié depuis Google Pay:

↧