Réglementation de l'encaissement en ligne

Sécurité et obligations : ce que vous devez savoir

 

Connaître et comprendre les normes de sécurité et la réglementation associées à votre activité de e-commerce et de paiement en ligne est essentiel à votre développement.
Les solutions SP Plus et Jepaieenligne sont certifiées PCI-DSS et 3D-Secure. Grâce à la mise en œuvre de ce standard de sécurité des données et à l’authentification renforcée des porteurs de carte, sans surcoût, vous valorisez l’image de sérieux de votre site et de votre activité. Vos clients paient ainsi en toute confiance.
Et pour ceux d’entre vous développant une activité de vente à distance, voici quelques clefs pour comprendre le cadre juridique spécifique conçu pour protéger le consommateur.

La sécurité des données des cartes bancaires : Le standard PCI-DSS

Le Payment Card Industry Data Security Standard (PCI DSS) est un standard international de sécurité des données sensibles. Il a été défini par le PCI-SSC (Payment Card Industry Security Standards Council), une organisation fondée en 2005 par les principaux systèmes de paiement par carte : Mastercard, Visa, American Express, Discover Financial Services et JCB.

Le standard définit les normes de protection de la confidentialité et de l’intégrité des données pouvant être utilisées et conservées dans le cadre de paiements par carte, notamment sur Internet (par exemple : obligation de crypter les données conservées, interdiction de stocker le cryptogramme visuel…).

Il a notamment pour objectif d’éviter les vols de fichiers comportant des numéros de carte, et à défaut de limiter les conséquences de ces éventuels vols de fichiers.

Il s’applique à tous les acteurs qui stockent, traitent ou transmettent des données de cartes bancaires, en particulier aux commerçants et aux sites de e-commerce, mais aussi aux hébergeurs des systèmes de paiement par carte, dont les banques.

Le processus de contrôle du niveau de conformité de ces acteurs vis-à-vis du référentiel PCI-DSS varie proportionnellement au volume de transactions traitées.

Pour obtenir des informations complémentaires :

– le site du PCI Security Standards Council, 

– deux documents réalisés par le GIE Cartes Bancaires :

 

Une sécurité supplémentaire pour les paiements en ligne : 3D-Secure

3D-Secure est un programme créé par les émetteurs internationaux Visa (Verified By Visa) et Mastercard (Mastercard Secure Code) afin de renforcer la sécurité des paiements en ligne.

Il repose sur la mise en place d’un contrôle supplémentaire lors d’un paiement en ligne : en complément des données bancaires, l’acheteur est invité à s’authentifier en saisissant une donnée personnelle permettant à sa banque de l’identifier et de valider l’opération.

Ce dispositif s’accompagne d’une évolution réglementaire appelée “transfert de responsabilité”.
Son principe est de faire supporter le risque d’impayé émis pour contestation du porteur à la banque de celui-ci et non plus à la banque du commerçant, si le porteur a validé son paiement en renseignant sa donnée personnelle, que sa banque a validé cette authentification et que le commerçant a respecté les mesures de sécurité énoncées dans les conditions générales de son contrat monétique commerçant (VADS).

Quels sont les avantages de ce dispositif ?
3D-Secure présente de nombreux avantages, tant pour votre activité que pour vos clients :
Pour votre site marchand :
– vous diminuez la fraude et les impayés,
– vous bénéficiez du transfert de responsabilité des impayés pour contestation de l’acheteur vers la banque de celui-ci,
– vous ne supportez pas de surcoût à la mise en place de ce dispositif sur votre site marchand.

Pour vos clients, l’utilisation de méthodes d’authentification forte renforce la confiance qu’ils ont dans le paiement en ligne.

Quel est le périmètre de 3D-Secure ?
Depuis le 1er octobre 2008, le programme 3D-Secure est disponible pour les transactions françaises. Il s’applique donc aux porteurs français, détenteurs d’une carte bancaire CB, Visa ou Mastercard, qui effectuent des achats sur un site marchand français.

Le programme 3D-Secure ne concerne que les paiements unitaires sur Internet.
Ne sont pas concernés, pour le moment, les paiements :
– fractionnés (N.B. : le premier paiement est cependant 3D-Secure),
– récurrents,
– de vente à distance classique (téléphone, courrier…),
– créés directement par le commerçant sur un outil de back-office (création, duplication de transactions), puisque le porteur n’est pas présent.

A ce jour, le transfert de responsabilité ne concerne pas les cartes privatives, ni certaines cartes commerciales des réseaux Visa et Mastercard (telles que les cartes professionnelles et affaires). 

Quelles sont les méthodes d’authentification ?
Les méthodes d’authentification sont propres à chaque banque.
Depuis la fin 2010, sous l’impulsion de la Banque de France, toutes les banques françaises ont équipé leurs porteurs de carte bancaire d’une méthode d’authentification forte.
Néanmoins, si un porteur de carte bancaire ne dispose pas de code d’authentification, il doit se rapprocher de sa banque.

Une protection accrue pour les consommateurs : le cas de la Vente à Distance (VAD)

La vente à distance dispose d’un cadre juridique spécifique protecteur pour le consommateur, complémentaire aux dispositions liées au commerce électronique et au paiement en ligne :
– droit de rétractation de 7 jours, sans justificatif, propre à la vente à distance,
– droit de contestation de 13 mois de la réalité ou du montant de la transaction effectuée par internet par carte bancaire auprès de sa banque.

Pour obtenir des informations complémentaires  vous pouvez consulter le site de la Fédération des Entreprises de Vente à Distance (FEVAD).