Présentation
La confirmation de paiement sécurisée (SPC, Secure Payment Confirmation) est une norme Web proposée qui permet aux clients de s'authentifier auprès d'un émetteur de carte de crédit, d'une banque ou d'un autre fournisseur de services de paiement à l'aide d'un authentificateur de plate-forme, généralement activé avec la fonctionnalité de déverrouillage de l'écran d'un appareil, comme un lecteur d'empreinte digitale. Cela se produit généralement lors d'un protocole d'authentification des paiements tel que EMV 3-D Secure ou Open Banking. EMV 3-D Secure, par exemple, est compatible avec le SPC dans sa version de spécification v2.3. Nous avons annoncé précédemment que SPC a été lancé pour Google Chrome sur macOS et Windows, et nous avons fourni des guides pour les développeurs concernant l'enregistrement et l'authentification.
À partir de M109 (actuellement sur le canal bêta), la fonctionnalité de contrôle des paramètres de confidentialité sera également disponible sur Google Chrome sur Android. Les utilisateurs pourront utiliser le verrouillage de l'écran de leur appareil pour finaliser le processus de validation du paiement sur les sites marchands qui utilisent le SPC.
Si vous souhaitez tester le SPC, n'hésitez pas à l'essayer sur notre site Web de démonstration ou à demander à votre fournisseur de services de paiement s'il prévoit de l'utiliser pour authentifier les paiements des utilisateurs.
Authentification forte pour les paiements
L'authentification joue un rôle important dans la prévention des fraudes liées aux paiements. Cependant, l'authentification des paiements utilise souvent des méthodes de validation faibles (par exemple, le code CVC) ou contraignantes (par exemple, le code OTP par SMS). Ces méthodes d'authentification peuvent laisser les utilisateurs vulnérables aux fraudes ou entraîner l'abandon du panier en raison des frictions.
La SPC s'appuie sur la Web Authentication (WebAuthn) pour fournir une authentification forte aux transactions de paiement à l'aide d'authentificateurs de plate-forme intégrés aux appareils des utilisateurs. La partie authentifiante (appelée "partie de confiance" dans WebAuthn), telle que la banque émettrice ou un fournisseur de services de paiement, enregistre l'utilisateur dans un processus unique, soit sur son site Web, soit lors d'une transaction authentifiée de manière traditionnelle. Ils peuvent ensuite utiliser l'enregistrement pour authentifier l'utilisateur dans les flux de paiement ultérieurs.
Tant que la partie de confiance est la même (par exemple, la même banque émettrice), l'utilisateur doit pouvoir utiliser un seul enregistrement pour tous les futurs paiements avec cette partie de confiance auprès de tous les marchands qui intègrent SPC.
Modifications apportées à l'API
Les développeurs peuvent suivre le guide d'implémentation existant écrit pour l'intégration sur ordinateur pour découvrir le fonctionnement de l'API.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
La propriété payment indique qu'il s'agit d'identifiants SPC. Consultez le guide d'inscription précédent pour savoir comment l'utiliser.
Actuellement, ce code crée des identifiants non détectables qui fonctionnent pour SPC. Une fois que les identifiants détectables seront compatibles avec SPC pour Google Chrome sur Android, ce code passera automatiquement à la création d'identifiants détectables.
Ressources
Implémenter la confirmation de paiement sécurisée