ContenuContent
Sommaire | ||||
---|---|---|---|---|
|
hidden | true |
---|
Historique des évolutions
Le tableau ci-dessous liste les dernières modifications effectuées sur ce document.
Version
Date
Modifications
Acteur
17/10/2009
1.A
Création du document
24/11/2009
1. B
Ajout de la partie 3DSecure DIRECT
24/10/2011
1.C
Correction du nom du champ authentication3DSecure
03/12/2012
1.D
Revue du document
Introduction
Banking and Connection Prerequisites 3DSecure
This treatment is based on the establishment of an additional control during an online purchase: in addition to banking data, the buyer will validate his payment by entering a secret data that will have provided his bank.
This system is accompanied by a regulatory change called "liability shift" or "transfer of responsibility", the principle of which is to bear the risk of unpaid invoices for the bearer's challenge to the bearer's bank and no longer to the merchant, if the holder has validated his payment by filling in the 3D Secure data and the merchant has complied with the security measures set out in the general terms and conditions of his e-commerce contract with his bank.
The payment solution Payline has performed a 3DSecure certification with banks, as well as with Visa and MCI.
Subscription
The merchant must subscribe to a VADS contract (VAD type 3D Secure). The merchant informs Payline that he has subscribed to a VADS contract with 3DSecure, and the customer wishes to subscribe to the 3DSecure option. The Payline team must register the merchant with Visa and MCI, "10 days is required" Upon confirmation of the Visa and MCI networks, the Payline team informs the merchant that he will activate the VADS contract. Upon activation of the VADS contract, all flows on this contract will be 3DS transactions.
Prerequisites for using Payline payment solution
La solution 3D Secure en mode interface Direct assure le transfert sécurisé des données sensibles et traite les demandes d'authentification, d'autorisation.
Les points d'intégration :
- verifyEnrollment est nécessaire pour assurer l'authentification et doAuthorization pour réaliser l'autorisation ;
- récupérer le résultat de la transaction avec gettransactionDetails.
Vous devez vérifier la clé d'accès des services et configuration le paramétrage SOAP UI.
The 3D Secure solution in Direct interface mode ensures the secure transfer of sensitive data and processes requests for authentication and authorization.
Integration points:
- verifyEnrollment is required to provide authentication and doAuthorization to perform the authorization;
- get the result of the transaction with gettransactionDetails.
You must check the service access key and configure the SOAP UI setting.
3D-Secure in Direct Interface mode with a payment
This page presents the two web services "verifyEnrollment and doAuthorization" to perform a 3DSecure transaction using the direct interface mode of the payment solution Payline.
Step 1 - verifyEnrollment :
This first call web service makes it possible to verify the eligibility of the bearer to the 3DSecure device, and therefore to know if the cardholder is registered with a VISA or Mastercard Directory Server.
Here is an example of a request / response for the
Introduction
Pré-requis bancaire et de connexion 3DSecure
Ce traitement repose sur la mise en place d'un contrôle supplémentaire lors d'un achat en ligne : en complément des données bancaires, l'acheteur validera son paiement en saisissant une donnée secrète que lui aura fourni sa banque.
Ce dispositif s'accompagne d'une évolution réglementaire appelée "liability shift" ou "transfert de responsabilité" dont le principe est de faire supporter le risque d'impayé émis pour contestation du porteur à la banque du porteur et non plus au commerçant, si le porteur a validé son paiement en renseignant les données 3D Secure et que le commerçant a respecté les mesures de sécurité énoncées dans les conditions générales de vente de son contrat de commerce électronique souscrit auprès de sa banque.
La solution de paiement Payline a déroulé une certification 3DSecure avec les banques, ainsi qu'avec Visa et MCI.
Souscription
Le commerçant doit souscrire auprès de sa banque à un contrat VADS (VAD type 3D Secure).
Le commerçant informe Payline qu'il a souscrit à un contrat VADS avec 3DSecure, et le client souhaite souscrire à l'option 3DSecure.
L'équipe Payline, doit procéder à l'enregistrement du commerçant auprès de Visa et MCI, « un délai de 10 jours est nécessaire »
Dès confirmation des réseaux Visa et MCI, l'équipe Payline informe le commerçant qu'il va procéder à l'activation du contrat VADS.
Dès activation du contrat VADS, tous les flux transitant sur ce contrat seront des transactions 3DS.
Pré-requis d'utilisation de la solution de paiement Payline
La solution 3D Secure en mode interface Direct assure le transfert sécurisé des données sensibles et traite les demandes d'authentification, d'autorisation.
Les points d'intégration :
- verifyEnrollment est nécessaire pour assurer l'authentification et doAuthorization pour réaliser l'autorisation ;
- récupérer le résultat de la transaction avec gettransactionDetails.
Vous devez vérifier la clé d'accès des services et configuration le paramétrage SOAP UI.
3D-Secure en mode interface direct avec un paiement
Cette page présente les deux web services « verifyEnrollment et doAuthorization » permettant d'effectuer une transaction 3DSecure en utilisant le mode interface direct de la solution de paiement Payline.
Etape 1 : verifyEnrollment
Ce premier appel web service permet de vérifier l'éligibilité du porteur au dispositif 3DSecure, et donc de savoir si le porteur de la carte est bien enregistré auprès d'un Directory Server VISA ou Mastercard.
Voici un exemple de requête / réponse pour le web services verifyEnrollment:
verifyEnrollmentRequest | verifyEnrollmentResponse |
---|---|
<impl:verifyEnrollmentRequest> | <verifyEnrollmentResponse> <termUrlName>TermUrl</termUrlName> |
Once the verifyEnrollment is done, authentication to the ACS server must be performed. For this, it is necessary to send the information of the verifyEnrollment on the authentication server.
Sending information
To send this information, simply create an HTML form in POST if you want to create a link if GET:
POST: The information will be sent to the authentication server through the form below. The field names and values are dynamically retrieved from the verifyEnrollmentResponse.
- session tracking: value to retrieve in the verifyEnrollment response
Envoi des informations
Pour envoyer ces informations, il suffit de créer un formulaire HTML en si POST ou de constuire un lien si GET :
POST : Les informations seront envoyées au serveur d'authentification à travers le formulaire ci-dessous. Les noms des champs et des valeurs sont récupérés dynamiquement du verifyEnrollmentResponse.
- suivi de la session : valeur à récupérer dans la réponse du verifyEnrollment
- mdFieldName = MD
- mdFieldValue = 1Fz9nEnAZJNn8NvXEKDT
authentication request: value to retrieve in the verifyEnrollment
- pareqFieldName = PaReq
- pareqFieldValue = eJxVkdtuwjAMhl+l4gGaA...
- Address where the authentication server. This address must be able to retrieve a form sent in "POST" and containing the answer of the authentication of the user. Adresse où le serveur d'authentification. Cette adresse doit être capable de récupérer un formulaire envoyé en « POST » et contenant la réponse de l'authentification de l'utilisateur.
- termUrlName = TermUrl
termUrlValue = https://acs.modirum.com/mdpayacs.php
- termUrlName = TermUrl
Exemple de formulaire HTML pour réaliser un test sur votre serveur :
Sample HTML form to perform a test on your server:
HTML formFormulaire HTML |
---|
<form name="downloadForm" action="https://acs.modirum.com/mdpayacs/pareq" method="POST"> |
Réception des informations retournées lors de l'authentification
Le serveur d'authentification envoi son message sur l'URL renseignée dans le paramètre TermURL (envoyé dans le formulaire précédent). Dans le formulaire de réponse, deux champs doivent être récupérés pour poursuivre la transaction en mode 3DSecure :
- Le champ MD : toujours le même champ permettant le suivi de la session
- le champ PaRes (Payer Authentication Response) : chaine de caractères cryptée contenant la réponse du serveur d'authentification. La valeur du champ PaRes va permettre de valider ou non la transaction comme une transaction 3DSecure.
Exemple de script (ici écrit en PHP) permettant de récupérer la réponse à l'authentification
Receipt of information returned during authentication
The authentication server sends its message to the URL entered in the TermURL parameter (sent in the previous form). In the response form, two fields must be retrieved to continue the transaction in 3DSecure mode:
- The MD field: always the same field allowing the follow-up of the session
- the Payer Authentication Response (PaRes) field: an encrypted string containing the response of the authentication server. The value of the PaRes field will validate or not the transaction as a 3DSecure transaction.
These two fields are retrieved and allow to complete the doAuthorizationRequest in 3DSecure mode.
Sample script (here written in PHP) to retrieve the response to authentication:
Script PHP : receive_form.php |
---|
<?php |
Remarque Note: ce script doit être placé sur un serveur web démarré et dans un dossier correspondant à l'adresse envoyé via le champ TermURL. This script must be placed on a started web server and in a folder corresponding to the address sent via the TermURL field.
Example: if the server is local it is quite possible to put as value Exemple : si le serveur est en local il est tout à fait possible de mettre comme valeur :
TermURL = http://127.0.0.1/3DSecure/receive_form.php
EtapeStep 2 : doAuthorizathion
avec les paramètres 3Dwith3D Secure settings
L'appelThe web
service de la méthode doAuthorization permet d'effectuer directement la transaction avec les paramètres 3DSecure. Les paramètres renseignés : md / pares permettent de vérifier l'authentification et donc l'identité de l'utilisateur avant d'effectuer la transaction.Si les paramètres sont corrects, la transaction est alors directement effectuée comme pour le doAuthorization classique
service call of the doAuthorization method allows you to directly perform the transaction with the 3DSecure parameters.
The parameters entered: md / pares make it possible to check the authentication and thus the identity of the user before carrying out the transaction.
If the parameters are correct, the transaction is then directly carried out as for the classic doAuthorization.
doAuthorizationRequest | doAuthorizationResponse |
<impl:doAuthorizationRequest> | <doAuthorizationResponse> |
Extrait | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
3D-Secure en mode interface direct avec la possibilité ou pas d'effectuer un paiement Il est possible d'utiliser la fonction 3DSecure implémentée sur la solution de paiement Payline, sans utiliser la fonction standard de Payline « effectuer un paiement », donc vous utiliserez uniquement les deux premières étapes décrites ci-dessous. Étape 1 : appel du web service verifyEnrollmentComme expliqué précédemment, cette première action permet de vérifier l'enrôlement de la carte de l'utilisateur. Les éléments obligatoires de la méthode verifyEnrollment sont :
Étape 2 : authentificationUne fois le verifyEnrollment effectué, l'authentification auprès du serveur ACS doit être effectuée. Pour cela, il est nécessaire d'envoyer les informations du verifyEnrollment sur le serveur d'authentification. Les informations attendues par le MPI sont le MD (pour le suivi de session) et le paReq (requête d'authentification). Envoi des informationsPour envoyer ces informations, il suffit de créer un formulaire HTML regroupant les champs MD et paReq et pointant vers le serveur d'authentification.
Attention ces valeurs sont générés de manière dynamique et se renouvelleront à chaque demande. Réception des informations retournées lors de l'authentification
Étape 3 : doAutorizationLa dernière étape dans le cadre d'une transaction 3DSecure via l'interface Payline DIRECT est l'envoi d'une requête doAuthorization. Comme dans le cadre d'une transaction classique, le doAuthorization contiendra les champs obligatoires suivant :
|
Boack Office
Menu
'Suivi technique des appels webservice' pour retrouver l'appel du web service verifyEnrollment permet de voir le détail du verifyEnrollment. 'Technical follow-up of webservice calls' to find the call of the web service verifyEnrollment allows to see the details of the verifyEnrollment.
The result of the 3DSecure transaction is then visible in the Payline Administration Center: on the results of a search and in the detail of the transaction 3DSecure tab:
Screen searches for transactions:
Detail of the 3DSecure transaction
Le résultat de la transaction 3DSecure est alors visible dans le centre d'administration Payline : sur les résultats d'une recherche et dans le détail de la transaction onglet 3DSecure :
Ecran recherche des transactions :
Détail de la transaction 3DSecureSchéma du paiement 3D Secure
3D Secure payment scheme
Extrait | ||
---|---|---|
| ||
|