Contenu
Principe de fonctionnement
Le module LCLF fonctionne sur le principe suivant :
- Chaque transaction se trouve affectée à une liste.
- Chaque liste, à l'exception de la noire, contient des règles que vous aurez déterminées et qui s'appliqueront à la transaction.
Les listes
Il existe cinq listes dans le module LCLF :
- La liste Nouveaux clients
- La liste Standard (= clients connus)
- La liste Blanche
- La liste Grise
- La liste Noire
Toutes les listes permettent d'y enregistrer des identifiants client. Les listes grises et noires permettent en plus d'enregistrer des éléments à risque tels que des domaines d'adresses email, des plages d'adresses IP ou encore des cartes bancaires. Voir la liste complète.
Les éléments peuvent être mis en liste définitivement ou temporairement. En cas de mise en liste temporaire, nous vous recommandons une durée de 90 jours : le délai moyen pour recevoir un impayé étant de un à deux mois, si vous recevez un impayé dans l'intervalle, vous pouvez alors bloquer définitivement les éléments.
Les listes standard, blanche, grise et noire peuvent être alimentées par fichier à l'aide d'un traitement batch. Vous pouvez donc nous communiquer des listes de clients ou éléments à risque que vous souhaitez inclure dans ces listes.
Passage automatique en liste Clients connus (liste Standard)
Le module de lutte contre la fraude vous permet de distinguer vos nouveaux clients des clients connus selon des critères d'historique que vous définissez : nombre de transactions acceptées et/ou ancienneté du compte. Cela permet alors d'appliquer des règles moins fortes sur les comptes établis.
Par défaut, un identifiant client est placé dans la liste des Nouveaux clients. Si vous avez défini des critères de passage en liste Standard (clients connus), celui-ci se fait alors automatiquement lorsque les seuils sont atteints (traitement batch la nuit suivante).
Cette fonction est disponible dans le menu Configuration.
- cette fonction nécessite de passer à Payline un identifiant client.
- si vous ne passez pas d'identifiant client, vos transactions seront soumises aux règles de la liste Standard (= liste par défaut).
- si le passage automatique en liste Standard n'est pas configuré, vos clients resteront dans la liste Nouveaux Clients.
Fonctionnement des listes
Lorsqu'une transaction est initiée, le module va déterminer dans un premier temps l'appartenance éventuelle d'un ou plusieurs éléments de cette transaction à la liste blanche, noire ou grise et appliquer les règles d'une de ces listes le cas échéant. La liste blanche prime sur la liste noire qui prime sur la liste grise. Par exemple, si une carte bancaire est en liste noire mais qu'elle est utilisée par un identifiant client en liste blanche, nous appliquerons les règles de la liste blanche.
Si aucune appartenance à ces trois listes n'est détectée, le module va alors déterminer s'il s'agit d'une transaction effectuée par un nouveau client ou par un client connu (identifiant client en liste Nouveaux clients ou Standard). Le module contrôle alors la transaction avec l'ensemble des règles paramétrées pour la liste identifiée.
Exemple : un client sans historique sera soumis aux règles de la liste des nouveaux clients. Toutefois, s'il se connecte d'une adresse IP que vous avez mise en liste grise, la transaction sera alors soumise aux règles de la liste grise.
La liste des Nouveaux clients
Tout nouveau client sera soumis aux règles de cette liste si aucun élément de la transaction (IP, carte, domaine email, etc.) n'appartient à la liste blanche, grise ou noire. Vos règles doivent être relativement strictes pour cette liste puisque les fraudeurs sont le plus souvent des clients sans historique.
La liste Standard
Dans cette liste se trouveront vos clients connus, donc présentant un risque de fraude moindre. Le module LCLF vous laisse définir les critères d'ancienneté et de nombre de transactions qui feront qu'un client passera de la liste nouveaux clients à la liste standard. Cette fonction est disponible dans le menu Configuration et expliquée ici.
La liste Blanche
La liste blanche est la liste pour laquelle vos règles fraude sont les plus souples. Vous y mettez vos clients de confiance afin de leur faciliter l'achat.
Certains marchands n'appliquent aucun filtre à cette liste. Cela nécessite alors de n'y mettre que des clients en lesquels vous avez totalement confiance. Il conviendra toutefois de s'assurer que leur compte n'a pas été piraté.
La liste Grise
La liste grise permet de recenser plusieurs types d'éléments à risque auxquels vous souhaitez toujours appliquer des contrôles fraude.
Idéalement, vous devrez paramétrer votre liste grise pour déclencher 3D-Secure systématiquement pour les transactions en carte bancaires.
Fraude 3DSecure
La liste Noire
La liste noire est la plus stricte : toute transaction faite avec un élément de la liste noire sera refusée.
Éléments que vous pouvez ajouter dans les listes
| Critère | Liste Blanche | Liste Grise | Liste Noire |
|---|---|---|---|
| Identifiant client |  | | |
| Numéro de carte bancaire | | | |
| Compte acheteur (Paypal, Skrill) | | | |
| Adresse IP | | | |
| Plage de BIN | | | |
| Type de carte | | | |
| Plage d'adresses IP | | | |
| Adresse email | | | |
| Numéro de téléphone | | | |
| Pays du client (= pays de l'IP) | | | |
| Pays émetteur de la carte | | | |
| Domaine de l'adresse email | | | |
| Nom du client | | |
Le tableau ci-dessus liste les critères qui sont analysés pour déterminer l'appartenance à une liste.
Rappel de l'ordre des priorités : liste blanche > liste noire > liste grise. La logique est donc la suivante :
- si une transaction contient des éléments en liste blanche, ce sont les règles de la liste blanche qui seront appliquées, même si cette transaction contient aussi des éléments des listes noire ou grise.
- si une transaction contient des éléments en liste noire mais pas d’éléments en liste blanche, c’est la règle de la liste noire qui est appliquée (refus de la transaction), même si cette transaction contient aussi des éléments de la liste grise.
Ajouter un élément en liste
L'ajout en liste blanche, grise ou noire d'un élément se fait soit via le menu Listes > Actions > Créer (menu complet), soit via la page Détail d'une transaction (menu partiel). Les deux méthodes sont détaillées ci-dessous.
Via le menu Listes
Exemple : vous souhaitez ajouter le domaine d'adresse email yopmail.com en liste noire :
- sélectionnez la liste dans laquelle vous souhaitez ajouter l'élément
- sélectionnez le type d'élément Domaine d'adresse email
- renseignez l'élément yopmail.com
- affectez un motif à l'élément
- sélectionnez une date de sortie de liste. Si aucune date n'est renseignée, l'élément restera en liste indéfiniment (mais peut être supprimé manuellement si besoin)
- facultatif : laissez un commentaire
- Sauvegardez
Un client se présentant alors avec une adresse email @yopmail.com verra sa transaction refusée (sauf si son identifiant ou adresse IP est en liste Blanche).
Via Détails d'une transaction
Depuis la page de détails d'une transaction, vous avez aussi la possibilité de rapidement passer en liste grise ou noire les éléments suivants :
- Identifiant client
- Adresse IP
- Numéro de carte
- Compte acheteur PayPal, Skrill, etc
Exemple avec le numéro de carte :
Les règles
IMPORTANT :
1 - Si vous créez une règle via Mes actions anti-fraude > Configurer mes règles > Par défaut, cette règle se dupliquera dans les autres listes (nouveaux clients, blanche, grise). Vous pouvez ensuite modifier les paliers dans les autres listes. Cette fonctionnalité peut vous faire gagner du temps mais est à utiliser avec précaution.
Les règles ainsi dupliquées dans les autres listes apparaitront avec la mention « règle par défaut » en rouge. Si vous modifiez une de ces règles, elle ne sera alors plus solidaire de la règle d'origine créée en liste par défaut. Une modification de la règle d'origine n'entrainera alors plus de modification de l'autre règle.
2 - Les règles créées en liste par défaut sont celles qui sont appliquées aux clients de la liste Standard. Un client en liste Standard est un client qui a déjà effectué plus de X transactions et/ou existe depuis X mois, ces paramètres étant définis ici.
Les actions possibles
Pour la majorité des règles les actions suivantes sont disponibles :
- Demander une authentification forte : la transaction est soumise à l'authentification par le protocole 3D-Secure v1 ou v2 (challenge indicator 03 si v2)
- Refuser la transaction : le paiement est refusé catégoriquement
- Aucune action : la règle n'a aucun impact sur le paiement mais vous permet de tester une règle avant de lui attribuer une action 3DS ou refus. Elle vous permet aussi de faire de la surveillance sans impacter le parcours client.
- Pas de préférence : action 3DSv2 qui indique à l'émetteur que le commerçant ne se positionne pas concernant l'évaluation du risque (challenge indicator 01)
- Exiger une authentification forte : action 3DSv2 qui indique à l'émetteur qu'une authentification forte est requise pour se conformer à la DSP2, par exemple dans le cas d'une première échéance de paiement recurrent (challenge indicator 04)
- Suggérer une authentification sans friction : action 3DS qui indique à l'émetteur que le commerçant ne considère pas la transaction comme à risque (challenge indicator 02)
Notez que l'action Bloquer qui figurait précédemment dans la liste des actions possibles a été déplacée. Elle se présente maintenant comme une action supplémentaire sous le titre plus parlant Mettre la transaction en attente de validation manuelle. Il est donc maintenant possible de combiner une demande de 3DS avec une validation manuelle.
Le périmètre d'une règle
De nombreux commerçants utilisent des configurations multi-points de vente et multi-contrats. Le module de gestion des risques de fraude prend en compte ce besoin en permettant un paramétrage spécifique des règles par point de vente et par contrat.
A l'opposé, si vous faites une règle de refus que vous ne voulez appliquer qu'à certains moyens de paiements, il vous faut sélectionner les contrats associés.
Les règles standards
Les règles standards sont des règles préexistantes dans le module de gestion du risque. Elles reflètent le besoin général dans la lutte contre la fraude.
| Nom de la règle | Description |
|---|---|
| Montant maximum | Se déclenche pour tout montant au-delà du seuil que vous avez fixé |
| Montant minimum | Se déclenche pour tout montant en-deçà du seuil que vous avez fixé |
| Cumul client | Contrôle le montant cumulé des transactions que vous autorisez par client sur une période** Se déclenche lorsque le seuil que vous avez fixé est atteint |
| Vélocité client | Contrôle le nombre maximum de transactions que vous autorisez par client sur une période** |
| Cumul moyen de paiement | Contrôle le montant cumulé des transactions que vous autorisez par moyen de paiement sur une période* Se déclenche lorsque le seuil que vous avez fixé est atteint |
| Vélocité moyen de paiement | Contrôle le nombre maximum de transactions que vous autorisez par moyen de paiement sur une période* |
| Cumul IP | Contrôle le montant cumulé des transactions que vous autorisez par adresse IP sur une période* Se déclenche lorsque le seuil que vous avez fixé est atteint |
| Vélocité IP | Contrôle le nombre maximum de transactions que vous autorisez par adresse IP sur une période* |
| Cumul numéro de téléphone portable | Contrôle le montant cumulé des transactions que vous autorisez par numéro de téléphone portable sur une période* Se déclenche lorsque le seuil que vous avez fixé est atteint |
| Vélocité numéro de téléphone portable | Contrôle le nombre maximum de transactions que vous autorisez par numéro de téléphone portable sur une période* |
| Résultat 3DSecure | Contrôle le résultat de l'authentification 3DSecure afin de refuser certains cas de figure |
| Gestion des cartes virtuelles | Déclenche une action sur les transactions par cartes identifiées comme virtuelles ou non-virtuelles |
| Pays de l'adresse IP | Déclenche une action en fonction du pays de l'adresse IP |
| Pays émetteur du moyen de paiement | Déclenche une action en fonction du pays du moyen de paiement |
| Nombre de cartes acceptées par client | Contrôle le nombre de cartes de paiement que vous autorisez par client sur une période |
| Nombre de comptes ewallet ou bancaire acceptés par client | Contrôle le nombre de comptes de type PayPal ou bancaire que vous autorisez par client sur une période |
| Nombre de clients acceptés par carte | Contrôle le nombre de clients que vous autorisez à utiliser une même carte de paiement sur une période* |
| Nombre de clients acceptés par compte ewallet ou bancaire | Contrôle le nombre de clients que vous autorisez à utiliser un même compte de type PayPal ou bancaire* |
| Nombre de client par numéro de téléphone portable | Contrôle le nombre de clients que vous autorisez à utiliser un même numéro de téléphone portable sur une période* |
| Plage horaire risquée | Déclenche une action si la transaction a lieu dans une plage horaire définie |
| Contrôle pays transaction/émetteur du moyen de paiement | Déclenche une action si le pays de la carte est différent du pays de l'adresse IP |
| Ancienneté du compte client | Déclenche une action en fonction de l'âge du compte du client |
| Média de paiement | Déclenche une action en fonction du type d'appareil (mobile, ordinateur) utilisé par le client |
| Mise en quarantaine | En cas d'échec du fait d'une règle LCLF, les éléments de la transaction sont mis en quarantaine |
| AVS | Contrôle l'adresse de facturation (cartes UK, CA et US seulement) |
| Listes libres | Utiliser une liste libre |
* Trois périodes sont configurables :
- Courte 00h01 à 23h59
- Moyenne1 à 7 jours
- Longue 1 mois
* Le module LCLF fait abstraction de la casse lorsque vous passez une adresse email dans le champ identifiant client, ce qui permet de stopper les fraudeurs qui utiliseraient des variantes de leur adresse email pour contourner les seuils de déclenchement. Donc, si un client fait une première transaction avec l’adresse email bob@email.com puis une deuxième avec BoB@email.com, le module LCLF enregistrera deux transactions pour l’identifiant client normalisé bob@email.com. Il en va de même pour les différentes cartes bancaires ou comptes e-wallet (PayPal) qui seront associés à l’identifiant client.
Les règles génériques
Les règles génériques permettent de contrôler des champs des web services tels que les adresses email, le nombre de commandes à date (order count) ou encore des données privées à l'aide d'un champ comparateur. Notez que cette fonctionnalité étant relativement complexe, elle ne vous est pas disponible directement. Vous devez contacter le support Payline pour la création d'une règle générique.
Exemple tiré d'un cas réel : un fraudeur ouvre de multiples comptes avec des adresses email toutes différentes mais qui contiennent toutes le mot 'zira'. Une règle générique peut alors être créée comme suit :
Si buyer.customerId contient zira alors déclencher 3D-Secure
Cas particulier : si votre règle contient deux règles génériques pointant sur des éléments de la commande (désignation, marque, quantité…), la règle contrôlera la présence conjointe des deux éléments sur une même ligne de commande, ce qui vous permet de contrôler les achats multiples d’articles à risque.
Les règles composées
Le module LCLF vous permet de combiner plusieurs règles en une seule de manière à affiner celle-ci.
Par exemple, si on crée une règle composée avec les règles suivantes :
- Montant maximum cumulé par client = 100 EUR sur 30 jours
- Ancienneté du compte < 30
Alors une transaction déclenchera la règle si le client est en compte depuis moins de 30 jours ET le cumul de ses dépenses est supérieur à 100 EUR sur les 30 derniers jours.
Cette méthode a deux avantages :
- Elle vous permettra de mieux vous y retrouver lorsque vous ferez un export de vos transactions pour analyser les performances de vos règles.
- Vous pourrez modifier facilement vos règles (ajout ou suppression de règles simples).
Les listes libres
Les listes libres sont une fonctionnalité qui vous permet de constituer des listes d’éléments (IPs, domaines d'adresses email, codes postaux...) que vous pouvez ensuite utiliser comme condition dans des règles fraude.
Cette fonctionnalité offre plus de souplesse et de possibilités que les listes grise et noire. Par exemple, plutôt que mettre des adresses IP en liste grise et ainsi affecter tous les clients qui utiliseraient ces adresses IP, vous pouvez constituer une liste de ces IPs puis créer une règle composée qui utiliserait cette liste ainsi que d'autres conditions telles qu'un seuil de montant ou l'ancienneté du compte.
Vous pouvez aussi mettre en liste des éléments partiels grâce au système « wildcard » déjà utilisé pour l’écran de recherche de transactions. Par exemple :
- 13* pour le département des Bouches du Rhône
- *123@gmx.fr pour toutes les adresses email se terminant par *123@gmx.fr
- *yopmail* pour les adresses email utilisant les domaines yopmail.com et yopmail.fr
La fonctionnalité Listes libres ne tient pas compte des accents ni des majuscules. Il n’est donc pas nécessaire d’enregistrer les variantes d’un même élément.
Créer une liste
Mes actions anti-fraude > Gérer mes listes > Listes libres
Un menu apparait contenant des sous-menus :
Le menu Client, par exemple, permet de constituer des listes d’identifiants client, d’identifiants de comptes PayPal (= compte acheteur), de noms de famille ou de numéros de portables :
Créons une liste de domaines d’adresses email. Pour cela, sélectionnez le menu Email puis entrez vos domaines sous la forme *@domaine :
Votre liste est créée et apparait comme suit :
Utiliser une liste
Les listes libres se comportent comme les règles fraude : vous pouvez leur attribuer une action ou les utiliser comme condition d’une règle composée. Une fois créées, vous les trouverez dans la liste des règles disponibles.
Créons une règle composée pour la liste des Nouveaux clients :
Sélectionnez Liste libre dans le menu des règles disponibles :
Sélectionnez la liste que vous souhaitez utiliser :
Votre liste vient s’ajouter à la règle composée :
Ajoutons une condition de montant max à 120 EUR :
Vous avez maintenant créé une règle qui déclenchera une demande d’authentification forte pour les transactions de plus de 120 EUR faites par les clients appartenant à la liste Nouveaux clients et utilisant un des domaines de la liste Domaines email - niveau 1.
Les mises en liste automatiques
Le module de lutte contre la fraude Payline offre une fonction permettant de faire passer automatiquement en liste grise ou noire certains éléments d'une transaction en fonction du code retour de la banque ainsi que sur réception d'un avis de mise en opposition d'une carte.
Cette fonction non-seulement soulage vos équipes fraude mais permet aussi une action instantanée : lors de sa tentative suivante, le client sera soumis aux règles de la liste choisie (grise ou noire).
Mise en liste sur code retour de la banque
Dans l'exemple ci-dessous, si une transaction retourne un code Carte volée (code 1209) ou Carte perdue (1208) ou encore génère un impayé, l'identifiant client ainsi que l'adresse IP seront passés en liste grise pour une période de 90 jours sauf si cet identifiant est en liste blanche.
Toutes les transactions suivantes avec le même identifiant client ou la même adresse IP sur une période de 90 jours seront alors soumises aux règles de la liste grise.
Mise en liste sur carte en opposition
Le module LCLF vous permet d'être alerté lorsqu'une carte du réseau CB utilisée récemment sur votre site vient d'être mise en opposition. Vous pouvez aussi paramétrer cette fonction pour que l'identifiant client soit automatiquement mis en liste grise.
Dans l'exemple ci-dessous, si nous recevons un avis de mise en opposition d'une carte utilisée dans les trois derniers jours sur votre site, vous recevrez une alerte et l'identifiant client sera mis en liste grise pour 90 jours si le client est nouveau. Le motif attribué est "Carte en opposition".
Notez que la fonctionnalité de Device Fingerprinting n'est plus disponible sur Monext Online.
Notez que ces alertes ne fonctionnent que pour les cartes du réseau Cartes Bancaires, donc des cartes de banques françaises affiliées au réseau CB
Les alertes de mise en opposition vous seront très utiles pour détecter d'éventuelles fraudes, en particulier avec des transactions authentifiées 3DS. En effet, l'absence d'impayé ne signifie pas que vous n'avez pas de fraude et ces alertes peuvent vous permettre de vous en apercevoir. Exemple ici avec une transaction de 350 EUR, montant élevé pour le site concerné : la carte a été mise en opposition moins de 30 minutes après la transaction, ce qui laisse penser que cette transaction n'était pas autorisée (c'est le cas).
Les motifs
Les motifs permettent d'identifier facilement la raison d'un déclenchement d'une règle LCLF. Ils peuvent être attribués aux règles ainsi qu'aux éléments mis en liste. C'est vous qui les nommez.
Par exemple, si vous mettez un client en liste grise et que vous lui attribuez le motif « client à risque », si ce client fait une nouvelle tentative de paiement ce motif apparaitra dans le pavé Fraude de l'écran Détail d'une transaction ainsi que dans les exports de transactions.
Les motifs attribués aux règles apparaissent aux mêmes endroits ainsi que dans les emails d'alerte.
Un motif est composé d'un code, d'un message court et d'un message long. Ce dernier n'apparaît que sur l'écran de configuration des motifs et ne sert qu'à éventuellement fournir plus d'information sur le motif. Considérez-le comme un bloc-notes.
Exemple de motif:
Ce motif se retrouve dans un email d'alerte de déclenchement d'une règle :
Notez que le code est appelé « code de refus », ce qui porte à confusion et sera changé prochainement.
Notez aussi qu'il existe un motif par défaut, appliqué si vous n'avez pas défini de motif personnalisé :
- Code : PAY001
- Message court : Fraude suspectée
- Message long : La transaction a été détectée comme frauduleuse
Les autres motifs prédéfinis sont les suivants :
- Mise en liste automatique, affecté aux éléments mis en liste automatiquement suite à un code retour bancaire de type carte perdue, carte volée, etc.
- Carte en opposition, affecté aux éléments mis en liste automatiquement suite à une alerte de mise en opposition d'une carte
Les alertes
Le module LCLF vous permet de recevoir des alertes par email ou notification serveur dans les cas suivants :
déclenchement d'une règle.
transaction passant par la liste noire
avis de mise en opposition d'une carte
Les alertes sont particulièrement utiles dans le cas où vous créez une règle LCLF de surveillance qui ne déclenche pas 3D-Secure, lorsque vous souhaitez tester une règle et en mesurer son impact ainsi que pour détecter des fraudes sur des transactions authentifiées 3DS (alertes de mise en opposition)
Configurer les destinataires
Pour utiliser les alertes, vous devrez commencer par ajouter les destinataires des emails ou notifications serveur. Le séparateur des emails est le point-virgule. Maximum 150 caractères.
Menu : Mes actions anti-fraude > Gérer mes alertes > Configurer mes destinataires
Activer les alertes pour les règles
Les alertes se configurent pour chaque règle et fonctionnalité individuellement, ainsi vous pouvez sélectionner les règles pour lesquelles vous souhaitez recevoir une alerte de déclenchement. L'écran d'édition de chaque règle vous propose l'option :
Pour les alertes sur les transactions passant par la liste noire, c'est un paramétrage via le menu Mes actions anti-fraude > Configurer mes règles > Pour ma liste noire
Vous recevrez alors des alertes indiquant Liste noire - Motif, comme dans l'exemple ci-dessous :
L'alerte par email
L'email que vous recevez contient les tableaux suivants :
Un résumé de la transaction avec un lien sur le numéro de transaction vers la page Détail d'une transaction
Les règles déclenchées
L'historique sur 7 jours, limité à 20 lignes, du client, du moyen de paiement et de l'adresse IP
Les alertes par notifications serveur « getAlertDetails »
Lorsque que le module anti-fraude enverra une alerte suite à une fraude détectée lors du contrôle de la règle concernée, Monext Online appellera l'URL de notification configurée par le commerçant et lui communiquera l'identifiant de l'alerte. Cet identifiant permettra de faire appel à ce nouveau web service afin d'aller récupérer toutes les informations relatives à l'alerte. L'utilisation ainsi que le détail des informations remontées par ce web service sont décrits dans la documentation « Descriptif des appels webservices de la solution de paiement Monext Online » et disponibles en annexe de ce document.
Traiter mes alertes
Cet écran permet d'afficher le statut des notifications.
La page Détail d'une transaction
Sur la page Détail d'une transaction sur le centre d'administration, il est possible de visualiser les différentes informations liées à la lutte contre la fraude.Un code retour 04002 dans le pavé ÉTAT vous informe que la transaction a été refusée suite à un déclenchement d'une règle fraude. Ce code apparaitra si la transaction a déclenché une règle de refus ou si elle a déclenché une règle 3D-Secure et que le client ne s'est pas authentifié.
Le pavé FRAUDE permet de voir rapidement si une règle s’est déclenchée. Cette zone affiche :
- l'une des règles déclenchées
- la liste dans laquelle se trouve la transaction
- le motif correspondant à la règle déclenchée
Le lien Plus de détails ouvre un pop-up affichant toutes les informations renvoyées par le module de lutte contre la fraude.
Ce pop-up contient les informations suivantes :
- L'appartenance ou non de chaque élément de la transaction à une liste
- Le résultat de toutes les règles exécutées sur la transaction
- Les temps de traitement de chaque règle
