Accéder au Merchant Extranet
Toutes les fonctionnalités de lutte contre la fraude décrites dans cette documentation sont gérées dans le Merchant Extranet.
Vous devez donc avoir souscrit à l’offre Business Score pour pouvoir accéder à ces fonctionnalités.
L’accès au Merchant Extranet se fait via l’URL suivante :
https://mex.fr.worldline.com/portal/home
L’accès est sécurisé et nécessite un identifiant et un mot de passe.
Après identification, cliquez sur l'onglet 'Fraude' pour gérer la lutte contre la fraude pour votre offre.
Voir la partie 'Configurer des profils anti-fraude avec le Merchant Extranet' pour plus d'informations.
Comprendre la lutte contre la fraude
Avant de commencer, il est absolument essentiel pour vous de bien comprendre la manière dont les fraudeurs mènent leurs attaques.
Les fraudeurs sont très bien organisés et exploitent la plupart des faiblesses que comportent la sécurité et les aspects légaux du commerce électronique. Notamment :
- ils opèrent à l'échelle internationale ;
- ils se servent de citoyens honnêtes pour exercer leurs activités frauduleuses ;
- ils se dissimulent derrière des serveurs mandataires étrangers ;
- 3-D Secure n'est pas un obstacle pour eux ;
- ils renouvellent leurs types d'attaques régulièrement.
Par conséquent, il est essentiel de comprendre au niveau commerçant les comportements frauduleux lors de la mise en œuvre des règles antifraudes. Il est également très important de surveiller les résultats régulièrement et de maintenir les bons paramétrages en fonction de cette surveillance. Cela nécessite généralement de mettre sur pied une cellule de gestion de la fraude de votre côté.
Le moteur de lutte contre la fraude s’appuie sur des profils antifraude afin d’évaluer les transactions. Ceux-ci sont composés de règles que vous configurez.
La gestion des règles antifraudes est un cercle vertueux qui débute par la création d’un profil antifraude efficace qui convient à votre activité. Elle se poursuit par des vérifications régulières des activités frauduleuses et l'affinage régulier du profil en question.
Définition d'une règle antifraude
Qu'est-ce qu'une règle antifraude ?
Une règle antifraude est une vérification effectuée sur l’un des critères de la transaction. Le critère contrôlé peut être par exemple le pays émetteur de la carte, la plage de montants, le numéro de la carte, l’adresse IP, l’identifiant du client, etc. Les règles sont classées par catégorie : géolocalisation, vélocité, liste, panier et divers.
Les règles doivent être activées et paramétrées dans un profil antifraude afin d’être exécutées. Pour la définition d’un tel profil, veuillez-vous référer à la définition d'un profil antifraude.
Règle positive et règle négative
Règle positive
Une règle positive a pour objectif de détecter une condition favorable au niveau de l’acceptation de la transaction (exemple : identifiant client présent dans la liste blanche des clients).
Elle retourne un score d’une valeur supérieure ou égale à zéro en fonction du paramétrage de la règle si la condition est remplie, et elle ne retourne pas de score dans le cas contraire.
Actuellement les règles positives sont basées sur la présence d’un élément de la transaction dans des listes blanches appelées aussi listes positives.
Règle négative
Une règle négative a pour objectif de détecter une condition défavorable au niveau de l’acceptation de la transaction (exemple : identifiant client présent dans la liste noire des clients).
Elle retourne un score d’une valeur inférieure ou égale à zéro en fonction du paramétrage de la règle si la condition est remplie, et elle ne retourne pas de score dans le cas contraire.
Les règles du type négatif sont réparties en 5 catégories :
- règles de géolocalisation ;
- règles d'encours (vélocité) ;
- règles de listes ;
- règles de panier ;
- règles diverses.
Configuration avancée
De base, certaines règles n’ont pas nécessairement un caractère positif ou négatif (par exemple les règles de géolocalisation ; vous pouvez vouloir favoriser certains pays ou en défavoriser d’autres) tandis que d’autres ont forcément un caractère positif (listes blanches) ou négatif (listes noires).
Par défaut les règles proposées sont configurables dans un mode de configuration simple, c’est-à-dire qu’une règle est définie comme étant positive ou négative.
Néanmoins, certaines règles bénéficient d’un mode de configuration avancée. En mode de configuration avancée, une même règle peut être à la fois positive et négative. Elle aura donc une influence positive, négative ou neutre sur le résultat du contrôle de la transaction en fonction du paramétrage de la règle et du contexte de transaction.
Le choix d’activer le mode de configuration avancée se fait lors du paramétrage de la règle dans le profil. Il est possible de n’activer ce mode que pour certaines règles et de laisser le mode de configuration simple pour les autres.
Le paramétrage avancé d’une règle permet de spécifier les critères qui auront une influence positive ou négative sur le résultat.
Exemple avec la règle plage de montant configurée en décisif :
Configuration de la règle (profil) | Montant de la transaction | Résultat | Conséquence en mode pré-authentification | |
---|---|---|---|---|
Mode de configuration simple |
|
45 | Négatif | Déclencher 3-D Secure |
150 | Neutre | Passer aux règles suivantes | ||
250 | Négatif | Déclencher 3-D Secure | ||
Mode de configuration avancée | Plage positive :
Plage négative :
|
45 | Neutre | Passer aux règles suivantes |
100 | Positif | Débrayer 3-D Secure | ||
200 | Neutre | Passer aux règles suivantes | ||
350 | Négatif | Déclencher 3-D Secure | ||
450 | Neutre | Passer aux règles suivantes |
Exemple avec la règle authentification 3-D Secure configurée en décisif :
Configuration de la règle (profil) | Statut 3-D Secure de la transaction | Résultat | Conséquence en mode pré-autorisation | |
---|---|---|---|---|
Mode de configuration simple | Statuts négatifs : ERROR |
SUCCESS | Neutre | Passer aux règles suivantes |
ERROR | Négatif | Refuser la transaction avant la demande d'autorisation | ||
Mode de configuration avancée | Statuts négatifs : ERROR Statuts positifs : SUCCESS |
SUCCESS | Positif | Passer à la demande d'autorisation directement sans passer par les autres règles |
ERROR | Négatif | Refuser la transaction avant la demande d'autorisation |
Modes d'exécution et leurs impacts sur l'acceptation
Worldline Sips offre deux modes de contrôle de lutte contre la fraude :
- mode pré-autorisation : permet d’arrêter les transactions frauduleuses avant la demande d’autorisation ;
- mode pré-authentification : permet de débrayer 3-D Secure pour les transactions considérées comme non risquées.
Mode pré-autorisation
En mode pré-autorisation (le mode par défaut de contrôle de lutte contre la fraude de Worldline Sips), les règles sont exécutées avant la demande d’autorisation et après l’authentification 3-D Secure (si la boutique est enrôlée 3-D Secure). Si le résultat du contrôle est négatif, la transaction sera refusée avant la demande d’autorisation.
Pour les moyens de paiement avec redirection vers une page spécifique pour ce moyen de paiement (exemple : Paypal), le contrôle pré-autorisation est déclenché avant la redirection.
En fonction de votre besoin, vous définissez votre ou vos profils pré-autorisation en combinant :
- les règles GO et/ou NOGO ;
- les modes décisif et/ou informatif.
Un profil est informatif quand toutes les règles sont en mode informatif.
Un profil est décisif quand toutes les règles sont en mode décisif.
Un profil est mixte quand il comporte des règles en mode informatif et en mode décisif.
Type de profil | Worldline Sips / commerçant | Impacts sur l'acceptation |
---|---|---|
Profil informatif | Worldline Sips | Pas d’impact, Worldline Sips poursuit l’action de demande d’autorisation. |
Commerçant | Le commerçant doit analyser le résultat des règles et décider de la suite à donner à la transaction via les opérations de caisse annulation ou validation. | |
Profil décisif | Worldline Sips | Si le résultat est négatif, la transaction est
refusée par Worldline Sips, il n’y a pas de demande
d’autorisation. Si le résultat est positif ou neutre,
Worldline Sips poursuit l’acceptation en faisant une
demande d’autorisation. |
Commerçant | Pas d’impact sur l’acceptation de la transaction car le
commerçant a délégué à Worldline Sips la prise de
décision sur la fraude. Toutefois le commerçant peut analyser
le motif. |
|
Profil mixte | Worldline Sips | Idem au cas du profil décisif. |
Commerçant | Si la transaction est refusée, pas d’impact pour le
commerçant. Si la transaction est acceptée, le
commerçant doit analyser le résultat des règles en mode informatif
et décider de la suite à donner. |
Mode pré-authentification
En mode pré-authentification, les règles sont exécutées avant l’authentification 3-D Secure. Si le résultat du contrôle est positif, l’authentification 3-D Secure sera débrayée et Worldline Sips poursuit la demande d’autorisation.
Ce mode est applicable uniquement pour les transactions carte avec l’authentification 3-D Secure.
En fonction de votre besoin, vous définissez votre ou vos profils pré-authentification en combinant les règles GO et/ou NOGO.
Un profil est décisif quand toutes les règles sont en mode décisif.
Dans un profil Go-No-Go pour la phase de pré-authentification, il est uniquement possible de paramétrer des règles décisives. Des règles informatives dans un tel profil n’ont pas d’utilité à cette étape.
Type de profil | Worldline Sips / commerçant | Impacts sur l'acceptation |
---|---|---|
Profil décisif | Worldline Sips | Si le résultat est positif, Worldline Sips
débraye l’authentification 3-D Secure et poursuit le contrôle
pré-autorisation. Si le résultat est négatif ou neutre,
Worldline Sips poursuit l’authentification 3-D Secure
avant de faire le contrôle pré-autorisation. |
Commerçant | Le commerçant peut analyser le résultat des règles et décider de la suite à donner à la transaction via les opérations de caisse annulation ou validation. |
risque de refus en code A1 (soft decline) et pas de garantie de paiement : il n'est pas conseillé d'activer ce mode car, dans le cadre de la DSP2, une authentification 3-D Secure étant exigée, vous risquez de voir ces transcations refusées en code A1 (soft decline) ou, si tel n'est pas le cas, ces transactions ne bénéficieront pas de la garantie de paiement.
Définition d'un profil antifraude
Qu'est-ce qu'un profil antifraude ?
Un profil antifraude est un ensemble de règles que vous choisissez et paramétrez parmi les règles proposées par Worldline Sips. Les règles sont exécutées avant l’authentification 3-D Secure et avant la demande d’autorisation selon votre paramétrage (pour comprendre les modes pré-authentification et pré-autorisation, veuillez-vous référer aux modes d'exécution et leurs impacts sur l'acceptation).
Il existe 3 types de profils antifraude :
- le profil « offre » du distributeur ;
- les modèles de profil ;
- les profils marchands.
Un profil « offre » distributeur est défini par le distributeur et administré par Worldline. Il définit le périmètre des règles disponibles et des configurations éventuellement imposées. Si une boutique n’a pas de profil adapté au moyen de paiement utilisé alors c’est le profil offre distributeur qui s’applique.
Les modèles de profil sont définis et administrés par Worldline Sips, ils sont utilisés comme modèle pour créer les profils marchands.
Les profils marchands sont définis par vous pour votre boutique et administrés par vous et/ou le distributeur (selon le choix du distributeur). Ils peuvent être créés à partir d’un profil modèle. Le terme « profil de boutique », parfois également utilisé dans ce document, est équivalent au profil marchand.
Dans la suite de ce document, lorsque la notion de « profil » est évoquée, il s'agit de profils marchands.
Le paramétrage des profils antifraude se fait l'onglet fraude du Merchant Extranet.
Profils moyen de paiement et profil par défaut
Dans la plupart des cas, vous définissez un profil antifraude unique qui est appliqué à l’ensemble de vos transactions, quel que soit le moyen de paiement utilisé. Cependant, vous pouvez également définir des profils antifraudes supplémentaires ayant un paramétrage adapté à un ou plusieurs moyens de paiement particuliers.
Lorsqu’une transaction doit être évaluée, le système de contrôle du risque commence par chercher, au sein du paramétrage de la boutique un profil antifraude spécifique au moyen de paiement utilisé.
Si un tel profil n’est pas trouvé, le système cherche le profil par défaut de la boutique. Ce profil est un profil permettant d’analyser les transactions qui n’ont pas été traitées par des profils spécifiques aux moyens de paiement.
Pour créer un profil par défaut, il suffit de créer un profil sans lui attribuer de moyen de paiement.
Il ne peut y avoir qu’un seul profil actif pour un moyen de paiement donné. De même, il ne peut y avoir qu’un seul profil par défaut actif.
Par exemple, il est possible d'avoir :
- un profil dédié CB, VISA et MASTERCARD ;
- un profil dédié AMEX ;
- et un profil par défaut qui contrôlera les transactions payées avec un autre moyen de paiement.
Soit trois profils actifs simultanément.
Vous pouvez créer autant de profils inactifs que nécessaire. Ceci permet par exemple de garder des profils en réserve pour des périodes particulières de l’année (soldes, fêtes…).
Paramétrage pondéré ou décisif des règles
Illustration du poids du paramétrage :
Paramétrage pondéré
Lors de la définition d'un profil, vous devez choisir, activer et ordonner les règles parmi celles qui vous sont proposées dans votre offre.
À l'activation d'une règle, le poids associé à la règle est à choisir en fonction de son importance :
- les règles positives ont un poids allant de 0 (neutre) à +3 (importance forte) ;
- les règles négatives ont un poids allant de 0 (neutre) à -3 (importance forte).
Si la condition de la règle est remplie, le score obtenu est le poids que vous paramétrez lors de l'activation de la règle dans le profil. Dans le cas contraire, le score obtenu est de 0.
Exemple : une règle négative d'importance moyenne (-2) donnera un score de -2 si la condition est remplie.
Les règles particulièrement importantes à vos yeux peuvent être paramétrées en mode décisif (voir ci-dessous).
Paramétrage décisif
Si l’une des règles est déterminante pour vous, vous pouvez la paramétrer en décisif, ce qui vous permet de prendre une décision sur l’acceptation de la transaction sans tenir compte des autres règles :
- pour les règles positives, le poids est de +4 ;
- pour les règles négatives, le poids est de -4.
Si la condition de la règle décisionnelle est remplie, le résultat des contrôles antifraude est déterminé uniquement en fonction de cette règle, quel que soit le résultat des autres règles. Dans le cas contraire, le résultat des contrôles antifraude est déterminé en fonction du score global.
Définition des plages rouge, orange et verte
En mode Business Score, chaque règle active du profil utilisé évalue un aspect de la transaction et peut produire un score.
Les scores des règles sont ensuite additionnées pour former un score global (veuillez vous référer au calcul du score global pour connaître les détails du calcul). Ce dernier est alors comparé aux seuils orange et vert paramétrés dans le profil afin de prendre une décision quant à la poursuite de la transaction.
Le score global s'inscrit entre deux bornes :
- la borne min. qui est la valeur obtenue si toutes les règles négatives et aucune règle négative se déclenchent ( c.-à-d. la somme des scores des règles négatives) ;
- la borne max. qui est la valeur obtenue si toutes les règles positives et aucune règle négative se déclenchent (c.-à-d. la somme des scores des règles positives).
Lors de la définition du profil, vous devez donc définir les seuils orange et vert entre les deux bornes min. et max., qui délimiteront trois plages de résultats possibles pour le score. Ces plages sont chacune associées à une couleur : vert, orange et rouge (veuillez vous référer aux modes d'exécution et leurs impacts sur l'acceptation pour plus de détails sur les couleurs et leur effet sur les transactions) :
- le seuil orange définit la valeur à partir de laquelle la zone orange commence;
- le seuil vert définit la valeur à partir de laquelle la zone verte commence.
Exemple 1 :
La borne min. est placée à -12 et la borne max. est placée à 0. La plage s'entend donc de -12 à 0.
Le seuil orange est placé à -8. La zone rouge commence donc -12 et d’arrête à -7.
Le seuil vert est placé à -4. La zone orange commence donc à -8 et s’arrête à -5.
La zone verte commence à -4 et s’arrête à 0.
Exemple 2 :
La borne min. est placée à -12 et la borne max. est placée à 0. La plage s'entend donc de -12 à 0.
Le seuil orange et le seuil vert sont tous les placés à -6. Il n'y a donc pas de zone orange.
La zone rouge s'arrête à -7 et la zone verte commence à -6.
Exemple 3 :
Exemple : un profil antifraude est configuré avec trois règles :
- règle 1, négatif, score associé -3 ;
- règle 2, négatif, score associé -2 ;
- règle 3, positif, score associé +3.
Par conséquent, vous devez positionner les seuils orange et vert entre les valeurs -5 (la borne min.) et +3 (la borne max.).
Dans le cas présent :
- le seuil orange est -2 ;
- le seuil vert est +1 ;
- la plage rouge se situe entre le score -5 et -3 ;
- la plage orange se situe entre le score -2 et 0 ;
- la plage verte se situe entre le score +1 et +3.
Déroulement et résultat d'un profil antifraude
Lorsqu’une transaction doit être évaluée, le système de lutte contre la fraude commence par chercher, au sein du paramétrage de la boutique, le profil antifraude associé au moyen de paiement. Si un tel profil n’est pas trouvé, le système utilise le profil par défaut de la boutique.
Le profil antifraude est déroulé avant la demande d'autorisation.
Les règles du profil sont exécutées en parallèle à l’exception des règles paramétrées en décisif qui sont exécutées dans l’ordre que vous définissez. Vous avez toujours la possibilité de débrayer ou de changer le paramétrage d’une ou de plusieurs règles pour une transaction donnée.
Débrayage dynamique des règles
Vous avez la possibilité de débrayer dynamiquement, dans la requête de la transaction, certaines règles du profil. Pour avoir la liste des directives de débrayage reportez-vous à l’Annexe désactivation dynamique de certaines règles du profil.
Surcharge dynamique des règles
Vous avez la possibilité de surcharger dynamiquement, dans la requête de la transaction, certaines règles du profil.
Les modalités de surcharge dynamique sont décrites dans la description et mise en oeuvre des règles.
Calcul du score global
Le score global, qui est le cumul des scores de toutes les règles, détermine le résultat des contrôles antifraude.
Pour un profil donné comportant n contrôles individuels :
- soit Rk le résultat du contrôle individuel indexé par k dans le
profil :
- 0 si non vérifié,
- 1 si vérifié,
- soit Pk le coefficient de pondération associé au contrôle individuel
indexé par k :
- 0 pour neutre,
- 1 pour faible,
- 2 pour moyen,
- 3 pour élevé,
- 4 pour décisif,
- soit Tk le caractère du contrôle individuel indexé par k :
- +1 si positif,
- -1 si négatif.
Le score global (S) de la transaction contrôlée avec ce profil s'obtiendra grâce à la formule suivante :
Résultat global
Le résultat final des contrôles antifraude de l'offre Business Score est représenté par une couleur. Il existe 5 couleurs.
Trois couleurs représentent le résultat obtenu à partir du score global :
- vert : le score global est supérieur ou égal au seuil vert du profil. Le résultat vert signifie que la transaction n'est pas risquée ;
- orange : le score global est supérieur ou égal au seuil orange du profil et inférieur au seuil vert. Le résultat orange signifie que la transaction est moyennement risquée ;
- rouge : le score global est inférieur au seuil orange du profil. Le résultat rouge signifie que la transaction est risquée.
Deux couleurs représentent un résultat obtenu par déclenchement d'une règle décisive :
- blanc : la condition d'une règle positive paramétrée en mode décisif est remplie, la règle a donné un résultat favorable. Le résultat blanc signifie que la transaction n'est pas risquée ;
- noir : la condition d'une règle négative paramétrée en mode décisif est remplie, la règle a donné un résultat défavorable. Le résultat noir signifie que la transaction est risquée.
Dans le cas où plusieurs règles décisives ont donné des résultats favorables et/ou défavorables, c'est la première règle exécutée de plus haute priorité qui fait foi. Ce qui signifie que l'ordre de définition des règles décisives dans le profil est important.
Il est important de comprendre que c'est la couleur qui décide si la transaction doit être honorée ou non :
- noir ou blanc : la décision est prise sans tenir compte du score global qui n'a qu'une valeur informative ;
- rouge, orange ou vert : la décision est prise à partir du score global de la transaction qui est comparé aux seuils orange et vert paramétrés.
Ainsi, il n'y a pas forcément de cohérence entre la couleur et le score global. Il est donc possible d'obtenir un résultat blanc avec un score global inférieur au seuil orange ou un résultat noir avec un score supérieur au seuil vert.
Exemple : profil paramétré avec 5 règles :
- règle 1 : liste blanche d'identifiants clients paramétrée en décisif (poids +4) ;
- règle 2 : liste noire de numéros de carte paramétrée en décisif (poids -4) ;
- règle 3 : encours par adresse IP (poids -3) ;
- règle 4 : pays émetteur de la carte (poids -2) ;
- règle 5 : pays de l'adresse IP (poids -2) ;
Seuil orange = 0, seuil vert = +2
Gestion du résultat orange
L’option CHALLENGE vous permet de mettre les transactions ORANGE en attente (état TO_CHALLENGE) pour vous permettre de vérifier le risque avant de poursuivre les autres étapes d’acceptation : validation, autorisation ou remise en banque.
Si vous ne possédez pas l'option CHALLENGE, la transaction est acceptée.
Vous disposez de X jours pour mesurer le risque de la fraude et valider ou refuser la transaction. X est la valeur maximale entre la validité de l’autorisation et le délai de capture (captureDay) que vous définissez lors du paiement (veuillez-vous reférer à l'exemple ci-dessous).
Pour mesurer le risque de la transaction, vous pouvez exploiter le champ scoreInfo qui contient le détail de l'exécution des règles : ce champ est retourné par Worldline Sips dans la réponse de paiement (Sips Paypage, Sips Office).
Deux opérations de caisse sont mises à votre disposition :
- acceptChallenge, pour accepter la transaction ;
- refuseChallenge, pour refuser la transaction (état REFUSED).
Ces deux opérations sont disponibles sur les interfaces suivantes :
- Sips Office (veuillez vous reportez aux documentations Sips Office SOAP, Sips Office JSON et Sips Office Batch) ;
- Sips Office Extranet ;
- Merchant Extranet ;
Les principales règles de gestion des opérations challenge :
- si la transaction est créée en mode VALIDATION, il est possible de combiner l'acceptation du challenge et la validation de la transaction en une seule étape ;
- une transaction dont le challenge est accepté poursuit son cycle de vie (remise, remboursement, etc.) ;
- une transaction dont le challenge est refusé arrive à la fin de son cycle de vie (état REFUSED) ;
- une transaction en état TO_CHALLENGE peut être annulée. Si aucune opération n'est effectuée sur la transaction dans le délai, la transaction expire ;
- la gestion du résultat orange est applicable uniquement pour les transactions CB, Visa, Mastercard et Amex.
Ci-dessous le cycle de vie d'une transaction avec la gestion du résultat orange :
En fonction du moment où le challenge est accepté, du captureDay, du captureMode et de la durée maximale de validité d’une autorisation, le jour de la remise en banque varie.
On distingue ici les cas d’utilisation en mode AUTHOR_CAPTURE et en mode VALIDATION.
Mode AUTHOR_CAPTURE
- Cas d'utilisation 1 :
- Le captureDay est inférieur à la limite de durée maximale de validité d’une autorisation
- Le challenge est accepté avant la fin du délai captureDay
- La remise en banque se fait comme prévu à la fin du délai captureDay
Exemple : captureDay à 3, durée de l’autorisation à 6. Le challenge est accepté à J+2 :
- Cas d'utilisation 2 :
- Le captureDay est inférieur à la limite de durée maximale de validité d’une autorisation
- Le challenge est accepté après la fin du délai captureDay
- La remise en banque se fait le soir de l’acceptation du challenge
Exemple : captureDay à 3, durée de l’autorisation à 6. Le challenge est accepté à J+4 :
- Cas d'utilisation 3 :
- Le captureDay est supérieur à la limite de durée maximale de validité d’une autorisation
- Le challenge est accepté après la fin de validité de la demande d'autorisation
- Une nouvelle demande d’autorisation a lieu et la remise en banque se fait en respectant le captureDay
Exemple : durée de l’autorisation à 6. Le challenge est accepté à J+7, captureDay à 10:
Mode VALIDATION
- Cas d'utilisation 1 :
- Le captureDay est inférieur à la limite de durée maximale de validité d’une autorisation
- Le challenge est accepté avant la fin du délai captureDay
- La validation est effectuée après acceptation du challenge et avant ou le même jour que le captureDay
- La remise en banque se fait le soir de la validation
Exemple : captureDay à 3, durée de l’autorisation à 6. Le challenge est accepté à J+2, la validation à J+3:
- Cas d'utilisation 2 :
- Le captureDay est supérieur à la limite de durée maximale de validité d’une autorisation
- Le challenge est accepté avant la fin du délai captureDay
- L’autorisation est jouée pendant l’opération de validation
- La remise en banque se fait le soir de l’acceptation du challenge avec une nouvelle demande d'autorisation
Exemple : captureDay à 7, durée de l’autorisation à 6. Le challenge est accepté à J+2, la validation à J+3:
Nous vous conseillons de faire la validation en même temps que l’acceptation du challenge en valorisant le champ validationIndicator dans la requête acceptChallenge à « Y ».
Restitution du résultat des règles
Mode pré-autorisation
Le résultat de l'exécution du profil de pré-autorisation est restitué dans les champs ci-dessous :
- scoreColor, le résultat des règles représenté par une couleur ;
- scoreValue, la valeur du score global ;
- scoreProfile, le profil antifraude exécuté ;
- preAuthorisationProfileValue, l'identifiant unique de la version du profil exécuté. Cette information est utile pour pouvoir retrouver le profil dans l'état où il se trouvait au moment de l'exécution des contrôles ;
- scoreThreshold, les seuils paramétrés sur le profil ;
- scoreInfo, les informations détaillées des règles exécutées ;
- preAuthorisationRuleResultList, une liste du résultat détaillé de chaque règle exécutée avant la demande d'autorisation.
Chaque objet contenu dans le champ preAuthorisationRuleResultList correspond au résultat d'une règle et contient les valeurs suivantes :
- ruleCode, le code de la règle. Pour connaître les codes de règles, veuillez-vous référer à la liste des règles ;
- ruleType, le type de la règle. Pour connaître le type de chaque règle, veuillez vous référer à la liste des règles ;
- ruleWeight, le poids de la règle défini dans le profil :
- 0 : neutre,
- 1 : importance faible,
- 2 : importance moyenne,
- 3 : importance forte,
- 4 : décisive,
- ruleSetting, indique le type de configuration de la
règle :
- D : dynamique dans la transaction,
- S : statique dans la configuration commerçant,
- I : statique imposée dans la configuration de l'offre distributeur,
- N : pas de configuration (lorsque la règle ne nécessite aucune configuration),
- ruleResultIndicator, le résultat d'exécution de la règle :
- N : résultat négatif,
- P : résultat positif,
- O : résultat neutre,
- U : règle non exécutée car transaction incomplète (ex. donnée non renseignée),
- X : la règle n'est pas applicable à ce type de transaction,
- B : règle non exécutée car débrayée par le commerçant,
- E : règle non exécutée suite à erreur technique,
- D : règle non exécutée suite à erreur de la surcharge dynamique,
- ruleDetailedInfo, informations complémentaires générées par cette règle.
Pour connaître les informations détaillées de chaque règle, veuillez vous référer à la description et mise en oeuvre des règles.
Ces champs vous sont restitués sur les interfaces suivantes :
- les réponses automatique et manuelle de Sips Paypage ;
- la réponse des connecteurs Worldline Sips (services Checkout, CashManagement (duplication) et Diagnostic) ;
- le Merchant Extranet ;
- le journal des transactions à l'exception des champs scoreInfo et preAuthorisationRuleResultList.
Champ | Description |
---|---|
Résultat en vert / blanc | |
responseCode | Valorisé en fonction de la réponse d'autorisation |
acquirerResponseCode | Valorisé en fonction de la réponse d'autorisation |
scoreColor | WHITE/GREEN |
scoreValue | Valeur du score global |
scoreProfile | Nom du profil antifraude exécuté |
preAuthorisationProfileValue | Identifiant unique du profil exécuté |
scoreThreshold | Seuils paramétrés sur le profil |
scoreInfo | Valorisé en fonction des règles déroulées |
transactionStatus | Valorisé en fonction de la réponse d'autorisation et du mode de capture |
preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
Résultat en orange | |
responseCode | Valorisé en fonction de la réponse d'autorisation |
acquirerResponseCode | Valorisé en fonction de la réponse d'autorisation |
scoreColor | ORANGE |
scoreValue | Valeur du score global |
scoreProfile | Nom du profil antifraude exécuté |
preAuthorisationProfileValue | Identifiant unique du profil exécuté |
scoreThreshold | Seuils paramétrés sur le profil |
scoreInfo | Valorisé en fonction des règles déroulées |
transactionStatus | Valorisé en fonction de la réponse d'autorisation et de l'option challenge du commerçant |
preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
Résultat en rouge / noir | |
responseCode | Valorisé à 05 |
acquirerReponseCode | Non renseigné |
scoreColor | BLACK/RED |
scoreValue | Valeur du score global |
scoreProfile | Nom du profil antifraude exécuté |
preAuthorisationProfileValue | Identifiant unique du profil exécuté |
scoreThreshold | Seuils paramétrés sur le profil |
scoreInfo | Valorisé en fonction des règles déroulées |
TransactionStatus | REFUSED |
preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
Mode pré-authentification
Le résultat de l'exécution du profil de pré-authentification est restitué dans les champs ci-dessous :
- preAuthenticationColor, le résultat des règles représenté dans couleur ;
- preAuthenticationValue, la valeur du score global ;
- preAuthenticationThreshold, les seuils paramétrés sur le profil ;
- preAuthenticationInfo, les informations détaillées des règles exécutées ;
- preAuthenticationProfile, le nom du profil antifraude exécuté avant l'authentification ;
- preAuthorisationProfileValue, l'identifiant unique de la version du profil exécuté. Cette information est utile pour pouvoir retrouver le profil dans l'état où il se trouvait au moment de l'exécution des contrôles.
- preAuthenticationRuleResultList, une liste du résultat détaillé de chaque règle exécutée avant l'authentification.
Chaque objet contenu dans le champ preAuthenticationRuleResultList correspond au résultat d’une règle et contient les mêmes valeurs que le champ preAuthorisationRuleResultList en pré-autorisation. Pour en connaître le contenu, veuillez vous référer au mode pré-autorisation.
Ces champs vous sont restitués sur les interfaces suivantes :
- les réponses automatique et manuelle de Sips Paypage ;
- la réponse des connecteurs Sips Office (services Checkout, CashManagement (duplication) et Diagnostic) ;
- le Merchant Extranet ;
- le journal des transactions à l'exception des champs preAuthenticationInfo et preAuthenticationRuleResultList.
Champ | Description |
---|---|
Résultat en vert / blanc | |
preAuthenticationColor | WHITE/GREEN |
preAuthenticationValue | Valeur du score global |
preAuthenticationThreshold | Seuils paramétrés sur le profil |
preAuthenticationInfo | Les informations détaillées des règles exécutées |
preAuthenticationProfile | Nom du profil antifraude exécuté |
preAuthenticationProfileValue | Identifiant unique du profil exécuté |
preAuthenticationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
Résultat en orange / rouge / noir | |
preAuthenticationColor | BLACK/RED/ORANGE |
preAuthenticationValue | Valeur du score global |
preAuthenticationThreshold | Seuils paramétrés sur le profil |
preAuthenticationInfo | Informations détaillées des règles exécutées |
preAuthenticationProfile | Nom du profil antifraude exécuté |
preAuthenticationProfileValue | Identifiant unique du profil exécuté |
preAuthenticationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
Limites d'utilisation
Moyens de paiement
L'offre globale Worldline Sips propose divers moyens de paiements internationaux, comme les cartes Visa/Mastercard, le portefeuille numérique Paypal, le virement iDeal, le prélèvement SDD, etc.
Les règles ne s'appliquent pas nécessairement à tous les moyens de paiement.
Pour les moyens de paiement single message**, la définition des profils informatifs est techniquement possible, mais le résultat du contrôle n’aura aucun impact sur l’acceptation de la transaction.
Pour savoir si une règle antifraude est applicable à un moyen de paiement, veuillez-vous référer aux correspondances entre moyens de paiement et règles antifraudes.
____________________
** Moyen de paiement en single message : autorisation et remise en une étape, comme les virements tel que Ideal, Paybutton ou Paypal en mode immédiate. Moyen de paiement en dual message : autorisation et remise en deux étapes.
Opérations
Les profils antifraudes s’appliquent aux transactions, ainsi qu’aux opérations de caisse provoquant la création d’une nouvelle transaction (duplication).
Ainsi les opérations de caisse standards qui manipulent les transactions existantes (validation, annulation, remboursement…) et credit holder ne font pas l’objet des contrôles antifraudes.
Paiement en n fois
Pour le paiement en N fois, seul le 1er paiement est soumis aux contrôles antifraudes.
Transfert de données dans la requête
Pour certaines règles, il est nécessaire de transmettre des données dans la requête. L’absence des données entraîne la non-exécution de la requête.
Par exemple, pour la règle de l’encours par identifiant client, il est nécessaire de transmettre l’identifiant du client dans la requête. Sinon la règle ne sera pas déclenchée.
Mode d'exécution et règles
Les règles ne s'appliquent pas nécessairement aux 2 modes (pré-authentification et pré-autorisation).
Par exemple la règle Authentification 3-D Secure n’est pas disponible en pré-authentification. En effet, cette règle se base sur le résultat de l’authentification 3-D Secure, or le profil antifraude de pré-authentification est appliqué en amont. Cette règle n’est pas applicable avant l’authentification.