Présentation
La confirmation des paiements sécurisés (SPC) est une norme Web proposée qui permet aux clients de s'authentifier auprès d'un émetteur de carte de crédit, d'une banque ou d'un autre fournisseur de services de paiement à l'aide d'un authentificateur de plate-forme, généralement activé avec la fonctionnalité de déverrouillage de l'écran d'un appareil, telle qu'un lecteur d'empreinte digitale. Cela se produit généralement avec un protocole d'authentification des paiements tel que EMV 3-D Secure ou Open Banking. EMV 3-D Secure, par exemple, est compatible avec SPC dans sa version 2.3. Nous avions annoncé précédemment le lancement de SPC pour Google Chrome sous macOS et Windows, et nous avions fourni des guides du développeur pour l'inscription et l'authentification.
À partir de M109 (actuellement en version bêta), SPC sera également disponible sur Google Chrome sur Android. Les utilisateurs pourront utiliser le verrouillage de l'écran de leur appareil pour valider leur paiement sur les sites marchands qui utilisent SPC.
Si vous souhaitez tester SPC, n'hésitez pas à l'essayer sur notre site Web de démonstration ou demandez à votre fournisseur de services de paiement s'il prévoit de l'accepter pour authentifier les paiements des utilisateurs.
Authentification forte pour les paiements
L'authentification joue un rôle important dans la prévention des fraudes de paiement. Cependant, aujourd'hui, l'authentification des paiements utilise souvent des méthodes de validation peu efficaces (par exemple, un code CVC) ou délicates (par exemple, l'OTP par SMS). Ces méthodes d'authentification peuvent soit exposer les utilisateurs à la fraude, soit provoquer l'abandon de panier en raison de frictions.
SPC s'appuie sur Web Authentication (WebAuthn) pour appliquer une authentification forte aux transactions de paiement, à l'aide d'authentificateurs de plate-forme intégrés aux appareils des utilisateurs. La partie d'authentification (appelée partie de confiance dans WebAuthn), telle que la banque émettrice ou un fournisseur de services de paiement, enregistre l'utilisateur dans un processus unique sur son site Web ou lors d'une transaction traditionnelle. Ils peuvent ensuite utiliser l'inscription pour authentifier l'utilisateur lors des flux de paiement ultérieurs.
Tant que le tiers de confiance est le même (par exemple, la même banque émettrice), l'utilisateur doit pouvoir utiliser un enregistrement pour tous les futurs paiements effectués auprès de cette partie de confiance sur tous les marchands intégrant SPC.
Modifications apportées à l'API
Les développeurs peuvent suivre le guide d'implémentation existant écrit pour l'intégration sur ordinateur afin de découvrir le fonctionnement de l'API.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
La propriété payment indique qu'il s'agit d'un identifiant SPC. Pour savoir comment l'utiliser, consultez le guide d'inscription précédent.
Actuellement, ce code crée des identifiants non visibles qui fonctionnent pour SPC. Une fois que les identifiants détectables seront pris en charge par SPC pour Google Chrome sur Android, ce code passera automatiquement à la création d'identifiants détectables.
Ressources
Découvrez comment implémenter la confirmation de paiement sécurisé.