Accéder au Portail Sherlock's
Toutes les fonctionnalités de lutte contre la fraude décrites dans cette documentation sont gérées dans le Portail Sherlock's.
Vous devez donc avoir souscrit à l’offre Gestion de la lutte contre la fraude – Go-No-Go pour pouvoir accéder à ces fonctionnalités.
L’accès au Portail Sherlock's se fait via l’URL suivante :
https://sherlocks-extranet.secure.lcl.fr
L’accès est sécurisé et nécessite un identifiant et un mot de passe.
Après identification, cliquez sur l'onglet 'Fraude' pour gérer la lutte contre la fraude pour votre offre.
Voir la partie 'Configurer des profils anti-fraude avec le Portail Sherlock's' pour plus d'informations.
Comprendre la lutte contre la fraude
Avant de commencer, il est absolument essentiel pour vous de bien comprendre la manière dont les fraudeurs mènent leurs attaques.
Les fraudeurs sont très bien organisés et exploitent la plupart des faiblesses que comportent la sécurité et les aspects légaux du commerce électronique. Notamment :
- ils opèrent à l'échelle internationale ;
- ils se servent de citoyens honnêtes pour exercer leurs activités frauduleuses ;
- ils se dissimulent derrière des serveurs mandataires étrangers ;
- 3-D Secure n'est pas un obstacle pour eux ;
- ils renouvellent leurs types d'attaques régulièrement.
Par conséquent, il est essentiel de comprendre au niveau commerçant les comportements frauduleux lors de la mise en œuvre des règles antifraudes. Il est également très important de surveiller les résultats régulièrement et de maintenir les bons paramétrages en fonction de cette surveillance. Cela nécessite généralement de mettre sur pied une cellule de gestion de la fraude de votre côté.
Le moteur de lutte contre la fraude s’appuie sur des profils antifraude afin d’évaluer les transactions. Ceux-ci sont composés de règles que vous configurez.
La gestion des règles antifraudes est un cercle vertueux qui débute par la création d’un profil antifraude efficace qui convient à votre activité. Elle se poursuit par des vérifications régulières des activités frauduleuses et l'affinage régulier du profil en question.
Définition d'une règle antifraude
Qu'est-ce qu'une règle antifraude ?
Une règle antifraude est une vérification effectuée sur l’un des critères de la transaction. Le critère contrôlé peut être par exemple le pays émetteur de la carte, la plage de montants, le numéro de la carte, l’adresse IP, l’identifiant du client, etc. Les règles sont classées par catégorie : géolocalisation, vélocité, liste, panier et divers.
Les règles sont de type GO (détectant une condition favorable à la poursuite de la transaction) ou NOGO (détectant une condition défavorable à la transaction).
Les règles doivent être activées et paramétrées dans un profil antifraude afin d’être exécutées. Pour la définition d’un tel profil, veuillez-vous référer à la définition d'un profil antifraude.
Type de règle GO ou NOGO
Règle de type GO
Une règle de type GO a pour objectif de détecter une condition favorable sur la transaction qui génère un GO au niveau de l’acceptation de celle-ci (exemple : identifiant client présent dans la liste blanche des clients).
Elle retourne un résultat positif si la condition est remplie et un résultat neutre dans le cas contraire.
Actuellement les règles de type GO sont basées sur la présence d’un élément de la transaction dans des listes blanches appelées aussi listes positives.
Règle de type NOGO
Une règle de type NOGO a pour objectif, de détecter une condition défavorable sur la transaction qui génère un NOGO au niveau de l’acceptation de la transaction (exemple : identifiant client présent dans la liste noire des clients).
Elle retourne un résultat négatif si la condition est remplie et un résultat neutre dans le cas contraire.
Les règles du type NOGO sont réparties en 5 catégories :
- règles de géolocalisation ;
- règles d'encours (vélocité) ;
- règles de listes ;
- règles de panier ;
- règles diverses.
Mode décisif ou informatif
Les règles peuvent être paramétrées en mode décisif ou informatif.
Mode décisif
Une règle paramétrée en mode décisif a un impact sur le déroulement de la transaction.
Les règles en mode décisif peuvent donner 3 types de résultat vis-à-vis de l’acceptation de la transaction :
- Résultat positif
Un résultat positif indique que le critère contrôlé est favorable à l’acceptation de la transaction.
Exemple : si l’identifiant client fait partie de la liste des clients VIP (règle liste blanche des identifiants clients), il n’est pas nécessaire de contrôler les autres critères.
- Résultat négatif
Un résultat négatif indique que le critère contrôlé est défavorable à l’acceptation de la transaction.
Exemple : en mode pré-autorisation, si la carte est dans la liste grise ou noire des cartes, on refuse la transaction.
- Résultat neutre
Un résultat neutre indique que le critère contrôlé n’est ni favorable ni défavorable à l’acceptation de la transaction.
Exemple : l’identifiant client ne fait pas partie de la liste des clients VIP (règle liste blanche des identifiants clients).
Mode informatif
Une règle paramétrée en mode informatif n’a pas d’impact sur le déroulement de la transaction. Le résultat de la règle vous est restitué pour analyse. Par exemple : si la règle pays de l’adresse IP est paramétrée en mode informatif, le résultat de la règle a uniquement pour effet la restitution du pays de l’adresse IP, mais n’a pas d’impact sur l’acceptation de la transaction.
Configuration avancée
De base, certaines règles n’ont pas nécessairement un caractère positif ou négatif (par exemple les règles de géolocalisation ; vous pouvez vouloir favoriser certains pays ou en défavoriser d’autres) tandis que d’autres ont forcément un caractère positif (listes blanches) ou négatif (listes noires).
Par défaut les règles proposées sont configurables dans un mode de configuration simple, c’est-à-dire qu’une règle est définie comme étant positive (GO) ou négative (NOGO).
Néanmoins, certaines règles bénéficient d’un mode de configuration avancée. En mode de configuration avancée, une même règle peut être à la fois positive (GO) et négative (NOGO). Elle aura donc une influence positive, négative ou neutre sur le résultat du contrôle de la transaction en fonction du paramétrage de la règle et du contexte de transaction.
Le choix d’activer le mode de configuration avancée se fait lors du paramétrage de la règle dans le profil. Il est possible de n’activer ce mode que pour certaines règles et de laisser le mode de configuration simple pour les autres.
Le paramétrage avancé d’une règle permet de spécifier les critères qui auront une influence positive ou négative sur le résultat.
Exemple avec la règle plage de montant configurée en décisif :
| Configuration de la règle (profil) | Montant de la transaction | Résultat | Conséquence en mode pré-authentification | |
|---|---|---|---|---|
| Mode de configuration simple |
|
45 | Négatif | Déclencher 3-D Secure |
| 150 | Neutre | Passer aux règles suivantes | ||
| 250 | Négatif | Déclencher 3-D Secure | ||
| Mode de configuration avancée | Plage positive :
Plage négative :
|
45 | Neutre | Passer aux règles suivantes |
| 100 | Positif | Débrayer 3-D Secure | ||
| 200 | Neutre | Passer aux règles suivantes | ||
| 350 | Négatif | Déclencher 3-D Secure | ||
| 450 | Neutre | Passer aux règles suivantes |
Exemple avec la règle authentification 3-D Secure configurée en décisif :
| Configuration de la règle (profil) | Statut 3-D Secure de la transaction | Résultat | Conséquence en mode pré-autorisation | |
|---|---|---|---|---|
| Mode de configuration simple | Statuts négatifs : ERROR |
SUCCESS | Neutre | Passer aux règles suivantes |
| ERROR | Négatif | Refuser la transaction avant la demande d'autorisation | ||
| Mode de configuration avancée | Statuts négatifs : ERROR Statuts positifs : SUCCESS |
SUCCESS | Positif | Passer à la demande d'autorisation directement sans passer par les autres règles |
| ERROR | Négatif | Refuser la transaction avant la demande d'autorisation |
Modes d'exécution et leurs impacts sur l'acceptation
Sherlock's offre deux modes de contrôle de lutte contre la fraude :
- mode pré-autorisation : permet d’arrêter les transactions frauduleuses avant la demande d’autorisation ;
- mode pré-authentification : permet de débrayer le 3-D Secure pour les transactions considérées comme non risquées.
Mode pré-autorisation
En mode pré-autorisation (le mode par défaut de contrôle de lutte contre la fraude de Sherlock's), les règles sont exécutées avant la demande d’autorisation et après l’authentification 3-D Secure (si la boutique est enrôlée 3-D Secure). Si le résultat du contrôle est négatif, la transaction sera refusée avant la demande d’autorisation.
Pour les moyens de paiement avec redirection vers une page spécifique pour ce moyen de paiement (exemple : Paypal), le contrôle pré-autorisation est déclenché avant la redirection.
En fonction de votre besoin, vous définissez votre ou vos profils pré-autorisation en combinant :
- les règles GO et/ou NOGO ;
- les modes décisif et/ou informatif.
Un profil est informatif quand toutes les règles sont en mode informatif.
Un profil est décisif quand toutes les règles sont en mode décisif.
Un profil est mixte quand il comporte des règles en mode informatif et en mode décisif.
| Type de profil | Sherlock's / commerçant | Impacts sur l'acceptation |
|---|---|---|
| Profil informatif | Sherlock's | Pas d’impact, Sherlock's poursuit l’action de demande d’autorisation. |
| Commerçant | Le commerçant doit analyser le résultat des règles et décider de la suite à donner à la transaction via les opérations de caisse annulation ou validation. | |
| Profil décisif | Sherlock's | Si le résultat est négatif, la transaction est
refusée par Sherlock's, il n’y a pas de demande
d’autorisation. Si le résultat est positif ou neutre,
Sherlock's poursuit l’acceptation en faisant une
demande d’autorisation. |
| Commerçant | Pas d’impact sur l’acceptation de la transaction car le
commerçant a délégué à Sherlock's la prise de
décision sur la fraude. Toutefois le commerçant peut analyser
le motif. |
|
| Profil mixte | Sherlock's | Idem au cas du profil décisif. |
| Commerçant | Si la transaction est refusée, pas d’impact pour le
commerçant. Si la transaction est acceptée, le
commerçant doit analyser le résultat des règles en mode informatif
et décider de la suite à donner. |
Mode pré-authentification
En mode pré-authentification, les règles sont exécutées avant l’authentification 3-D Secure. Si le résultat du contrôle est positif, l’authentification 3-D Secure sera débrayée et Sherlock's poursuit la demande d’autorisation.
Ce mode est applicable uniquement pour les transactions carte avec l’authentification 3-D Secure.
En fonction de votre besoin, vous définissez votre ou vos profils pré-authentification en combinant les règles GO et/ou NOGO.
Un profil est décisif quand toutes les règles sont en mode décisif.
Dans un profil Go-No-Go pour la phase de pré-authentification, il est uniquement possible de paramétrer des règles décisives. Des règles informatives dans un tel profil n’ont pas d’utilité à cette étape.
| Type de profil | Sherlock's / commerçant | Impacts sur l'acceptation |
|---|---|---|
| Profil décisif | Sherlock's | Si le résultat est positif, Sherlock's
débraye l’authentification 3-D Secure et poursuit le contrôle
pré-autorisation. Si le résultat est négatif ou neutre,
Sherlock's poursuit l’authentification 3-D Secure
avant de faire le contrôle pré-autorisation. |
| Commerçant | Le commerçant peut analyser le résultat des règles et décider de la suite à donner à la transaction via les opérations de caisse annulation ou validation. |
risque de refus en code A1 (soft decline) et pas de garantie de paiement : il n'est pas conseillé d'activer ce mode car, dans le cadre de la DSP2, une authentification 3-D Secure étant exigée, vous risquez de voir ces transcations refusées en code A1 (soft decline) ou, si tel n'est pas le cas, ces transactions ne bénéficieront pas de la garantie de paiement.
Définition d'un profil antifraude
Qu'est-ce qu'un profil antifraude ?
Un profil antifraude est un ensemble de règles que vous choisissez et paramétrez parmi les règles proposées par Sherlock's. Les règles sont exécutées avant l’authentification 3-D Secure et avant la demande d’autorisation selon votre paramétrage (pour comprendre les modes pré-authentification et pré-autorisation, veuillez-vous référer aux modes d'exécution et leurs impacts sur l'acceptation).
Il existe 3 types de profils antifraude :
- le profil « offre » du distributeur ;
- les modèles de profil ;
- les profils marchands.
Un profil « offre » distributeur est défini par le distributeur et administré par LCL. Il définit le périmètre des règles disponibles et des configurations éventuellement imposées. Si une boutique n’a pas de profil adapté au moyen de paiement utilisé alors c’est le profil offre distributeur qui s’applique.
Les modèles de profil sont définis et administrés par Sherlock's, ils sont utilisés comme modèle pour créer les profils marchands.
Les profils marchands sont définis par vous pour votre boutique et administrés par vous et/ou le distributeur (selon le choix du distributeur). Ils peuvent être créés à partir d’un profil modèle. Le terme « profil de boutique », parfois également utilisé dans ce document, est équivalent au profil marchand.
Dans la suite de ce document, lorsque la notion de « profil » est évoquée, il s'agit de profils marchands.
Le paramétrage des profils antifraude se fait l'onglet fraude du Portail Sherlock's.
Profils moyen de paiement et profil par défaut
Dans la plupart des cas, vous définissez un profil antifraude unique qui est appliqué à l’ensemble de vos transactions, quel que soit le moyen de paiement utilisé. Cependant, vous pouvez également définir des profils antifraudes supplémentaires ayant un paramétrage adapté à un ou plusieurs moyens de paiement particuliers.
Lorsqu’une transaction doit être évaluée, le système de contrôle du risque commence par chercher, au sein du paramétrage de la boutique un profil antifraude spécifique au moyen de paiement utilisé.
Si un tel profil n’est pas trouvé, le système cherche le profil par défaut de la boutique. Ce profil est un profil permettant d’analyser les transactions qui n’ont pas été traitées par des profils spécifiques aux moyens de paiement.
Pour créer un profil par défaut, il suffit de créer un profil sans lui attribuer de moyen de paiement.
Il ne peut y avoir qu’un seul profil actif pour un moyen de paiement donné. De même, il ne peut y avoir qu’un seul profil par défaut actif.
Par exemple, il est possible d'avoir :
- un profil dédié CB, VISA et MASTERCARD ;
- un profil dédié AMEX ;
- et un profil par défaut qui contrôlera les transactions payées avec un autre moyen de paiement.
Soit trois profils actifs simultanément.
Vous pouvez créer autant de profils inactifs que nécessaire. Ceci permet par exemple de garder des profils en réserve pour des périodes particulières de l’année (soldes, fêtes…).
Déroulement d'un profil antifraude
Les règles sont déclenchées séquentiellement suivant l'ordre du paramétrage du profil.
La première règle paramétrée en mode décisif qui donne un résultat positif pour les règles GO, ou négatif pour les règles NOGO, arrête le déclenchement de la suite des règles décisives.
Les règles en mode informatif sont déclenchées systématiquement.
Pour la restitution du résultat des règles en informatif ou en décisif veuillez-vous référer à la restitution du résultat des règles. Le schéma ci-dessous décrit le déclenchement de règles.
Débrayage dynamique des règles
Vous avez la possibilité de débrayer dynamiquement, dans la requête de la transaction, certaines règles du profil. Pour avoir la liste des directives de débrayage consultez la donnée cardProductProfil dans le dictionnaire des données.
Surcharge dynamique des règles
Vous avez la possibilité de surcharger dynamiquement, dans la requête de la transaction, certaines règles du profil.
Les modalités de surcharge dynamique sont décrites dans la description et mise en oeuvre des règles.
Restitution du résultat des règles
Mode pré-autorisation
Le résultat de l’exécution du profil de pré-autorisation est restitué dans les champs complementaryCode, complementaryInfo, preAuthorisationProfile, preAuthorisationProfileValue et preAuthorisationRuleResultList :
- complementaryCode contient le code spécifique de la règle décisive ou informative qui a retourné un résultat négatif (pour les règles du type NOGO) ou positif (pour les règles du type GO). Si aucune règle décisive ou informative n’a retourné de résultat positif ou négatif, le champ vaut 00 ;
- complementaryInfo* contient 3 types
d’informations :
- le résultat de chaque règle (décisive ou informative) exécutée
dans le profil marchand au format <RULE_RESULT XX=Y XX=Y …
XX=Y /> :
Lettre(s) Description Valeur XX Code de la règle. Pour connaître les codes de règles, veuillez vous référer à la liste des règles. Y Résultat d'exécution N : résultat négatif P : résultat positif O : résultat neutre U : règle pas exécutée car transaction incomplète (par exemple donnée non renseignée) X : règle non applicable à ce type de transaction B : règle non exécutée car vous l'avez débrayée E : règle non exécutée suite à erreur technique D : règle non exécutée suite à erreur de la surcharge dynamique - les informations complémentaires générées par les règles
exécutées.
Pour connaître les informations détaillées, veuillez-vous référer à la description et mise en oeuvre des règles. Notez que seules certaines règles alimentent le champ complementaryInfo,
- les informations sur la carte de paiement utilisée le cas
échéant.Pour connaître les informations détaillées, veuillez-vous référer aux informations carte,
- le résultat de chaque règle (décisive ou informative) exécutée
dans le profil marchand au format <RULE_RESULT XX=Y XX=Y …
XX=Y /> :
- preAuthorisationProfile contient le nom du profil antifraude exécuté avant la demande d’autorisation ;
- preAuthorisationProfileValue contient l’identifiant unique de la version du profil exécuté. Cette information est utile pour pouvoir retrouver le profil dans l’état où il se trouvait au moment de l’exécution des règles ;
- preAuthorisationRuleResultList contient une liste du résultat détaillé de chaque règle exécutée avant la demande d’autorisation.
| Objet | Description | Valeur |
|---|---|---|
| ruleCode | Code de la règle. | Pour connaître les codes de règles, veuillez-vous référer à la liste des règles. |
| ruleType | Type de la règle. | Pour connaître le type de chaque règle, veuillez-vous
référer à la liste des règles. Si le mode de configuration
avancée est activé sur une règle, la valeur du champ
ruleType est valorisée à « MI ». |
| ruleWeight | D : si la règle est paramétrée en décisif dans le profil | |
| I : si la règle est paramétrée en informatif dans le profil | ||
| ruleSetting | Type de configuration de la règle. | D : dynamique (valeur donnée dans la requête de paiement) |
| S : statique (valeur venant du profil fraude) | ||
| I : statique imposée dans la configuration de l'offre distributeur | ||
| N : pas de configuration (lorsque la règle ne nécessite aucune configuration) | ||
| ruleResultIndicator | Résultat d'exécution de la règle. | N : résultat négatif |
| P : résultat positif | ||
| O : résultat neutre | ||
| U : règle non exécutée car transaction incomplète (par exemple donnée non renseignée) | ||
| X : règle non applicable à ce type de transaction | ||
| B : règle non exécutée car vous l'avez débrayée | ||
| E : règle non exécutée suite à erreur technique | ||
| D : règle non exécutée suite à erreur de la surcharge dynamique | ||
| ruleDetailedInfo | Informations complémentaires générées par la règle. | Pour connaître les informations détaillées, veuillez-vous référer à la description et mise en oeuvre des règles. |
Ces champs vous sont restitués sur les interfaces suivantes :
- la réponse automatique et la réponse manuelle de Sherlock’s Paypage ;
- la réponse des connecteurs Sherlock’s Office (services Checkout, CashManagement (duplication) et Diagnostic) ;
- Portail Sherlock's ;
- le journal des transactions à l’exception du champ preAuthorisationRuleResultList.
Profil informatif
| Champ | Description |
|---|---|
| Résultat neutre | |
| responseCode | Valorisé en fonction de la réponse d’autorisation |
| acquirerResponseCode | Valorisé en fonction de la réponse d’autorisation |
| complementaryCode | Valorisé en fonction des règles informatives exécutées, sinon 00** |
| complementaryInfo* | Valorisé en fonction des règles déroulées |
| preAuthorisationProfile | Nom du profil antifraude exécuté |
| preAuthorisationProfileValue | Identifiant unique du profil exécuté |
| preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
Profil décisif ou mixte
| Champ | Description |
|---|---|
| Résultat neutre | |
| responseCode | Valorisé en fonction de la réponse d’autorisation |
| acquirerResponseCode | Valorisé en fonction de la réponse d’autorisation |
| complementaryCode | Valorisé en fonction des règles informatives exécutées, sinon 00* |
| complementaryInfo* | Valorisé en fonction des règles déroulées |
| preAuthorisationProfile | Nom du profil antifraude exécuté |
| preAuthorisationProfileValue | Identifiant unique du profil exécuté |
| preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
| Résultat positif | |
| responseCode | Valorisé en fonction de la réponse d’autorisation |
| acquirerResponseCode | Valorisé en fonction de la réponse d’autorisation |
| complementaryCode | Valorisé en fonction de la règle GO qui a généré l’accord |
| complementaryInfo* | Valorisé en fonction des règles déroulées |
| preAuthorisationProfile | Nom du profil antifraude exécuté |
| preAuthorisationProfileValue | Identifiant unique du profil exécuté |
| preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
| Résultat négatif | |
| responseCode | Valorisé à 05 |
| acquirerResponseCode | Non renseigné |
| complementaryCode | Valorisé en fonction de la règle NOGO qui a généré le refus |
| complementaryInfo* | Valorisé en fonction des règles déroulées |
| preAuthorisationProfile | Nom du profil antifraude exécuté |
| preAuthorisationProfileValue | Identifiant unique du profil exécuté |
| preAuthorisationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
* Le champ complementaryInfo est déprécié. Il n’évoluera plus et cessera à terme d’être alimenté. Les informations qu’il contient sont disponibles dans une version améliorée, dans le champ preAuthorisationRuleResultList.
** Voir la liste des règles
Mode pré-authentification
Le résultat de l’exécution du profil de pré-authentification est restitué dans les champs preAuthenticationProfileValue, preAuthenticationProfile, preAuthenticationValue et preAuthenticationRuleResultList :
- preAuthenticationValue contient le code spécifique de la règle décisive qui a retourné un résultat négatif (pour les règles du type NOGO) ou positif (pour les règles du type GO). Si aucune règle décisive n’a retourné de résultat positif ou négatif, le champ est vide ;
- preAuthenticationProfile contient le nom du profil antifraude exécuté avant l’authentification ;
- preAuthenticationProfileValue contient l’identifiant unique de la version du profil exécuté. Cette information est utile pour pouvoir retrouver le profil dans l’état où il se trouvait au moment de l’exécution des contrôles ;
- preAuthenticationRuleResultList contient une liste du résultat détaillé de chaque règle exécutée avant l’authentification.
Chaque objet contenu dans le champ preAuthenticationRuleResultList correspond au résultat d’une règle et contient les mêmes valeurs que le champ preAuthorisationRuleResultList en pré-autorisation. Pour en connaître le contenu, veuillez-vous référer au mode pré-autorisation.
Ces champs vous sont restitués sur les interfaces suivantes :
- les réponses automatique et manuelle de Sherlock’s Paypage ;
- la réponse des connecteurs Sherlock’s Office (CashManagement (duplication) et Diagnostic) ;
- Portail Sherlock's ;
- le journal des transactions à l’exception du champ preAuthorisationRuleResultList.
| Champ | Description |
|---|---|
| Résultat neutre | |
| preAuthenticationValue | Valorisé à vide* |
| preAuthenticationProfile | Nom du profil antifraude exécuté |
| preAuthenticationProfileValue | Identifiant unique du profil exécuté |
| preAuthenticationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
| Résultat positif (3DS débrayé) | |
| preAuthenticationValue | Valorisé en fonction de la règle GO qui a généré l’accord* |
| preAuthenticationProfile | Nom du profil antifraude exécuté |
| preAuthenticationProfileValue | Identifiant unique du profil exécuté |
| preAuthenticationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
| Résultat négatif | |
| preAuthenticationValue | Valorisé en fonction de la règle NOGO qui a généré le refus* |
| preAuthenticationProfile | Nom du profil antifraude exécuté |
| preAuthenticationProfileValue | Identifiant unique du profil exécuté |
| preAuthenticationRuleResultList | Liste du résultat détaillé de chaque règle exécutée |
____________________
* Voir les différents codes dans la liste des règles
Limites d'utilisation
Moyens de paiement
L'offre globale Sherlock's propose divers moyens de paiements internationaux, comme les cartes Visa/Mastercard, le portefeuille numérique Paypal, le virement iDeal, le prélèvement SDD, etc.
Les règles ne s'appliquent pas nécessairement à tous les moyens de paiement.
Pour les moyens de paiement single message**, la définition des profils informatifs est techniquement possible, mais le résultat du contrôle n’aura aucun impact sur l’acceptation de la transaction.
Pour savoir si une règle antifraude est applicable à un moyen de paiement, veuillez-vous référer aux correspondances entre moyens de paiement et règles antifraude (annexe correspondance entre moyens de paiement et règles de fraude).
** Moyen de paiement en single message : autorisation et remise en une étape, comme les virements tel que Ideal, Sofort, Paybutton ou Paypal en mode immédiate. Moyen de paiement en dual message : autorisation et remise en deux étapes.
Opérations
Les profils antifraudes s’appliquent aux transactions, ainsi qu’aux opérations de caisse provoquant la création d’une nouvelle transaction (duplication).
Ainsi les opérations de caisse standards qui manipulent les transactions existantes (validation, annulation, remboursement…) ne font pas l’objet des contrôles antifraudes.
Paiement en n fois
Pour le paiement en N fois, seul le 1er paiement est soumis aux contrôles antifraudes.
Transfert de données dans la requête
Pour certaines règles, il est nécessaire de transmettre des données dans la requête. L’absence des données entraîne la non-exécution de la requête.
Par exemple, pour la règle de l’encours par identifiant client, il est nécessaire de transmettre l’identifiant du client dans la requête. Sinon la règle ne sera pas déclenchée.
Mode d'exécution et règles
Les règles ne s'appliquent pas nécessairement aux 2 modes (pré-authentification et pré-autorisation).
Par exemple la règle Authentification 3-D Secure n’est pas disponible en pré-authentification. En effet, cette règle se base sur le résultat de l’authentification 3-D Secure, or le profil antifraude de pré-authentification est appliqué en amont. Cette règle n’est pas applicable avant l’authentification.
Informations carte
Dans le cas d’un paiement par carte, certaines informations relatives à la carte sont retournées dans le champ complementaryInfo. Les informations retournées incluent :
- le pays émetteur de la carte ;
- le réseau de la carte ;
- le code d'émetteur de la carte et le nom d'émetteur de la carte ;
- le code produit de la carte et le nom de produit de la carte ;
- le profil produit de la carte.
Les informations sont retournées au format suivant : <CARD_INFOS BDOM=<nom d’émetteur de la carte> COUNTRY=<pays émetteur de la carte> PRODUCTCODE=<code produit de la carte> NETWORK=<réseau de la carte> BANKCODE=<code d'émetteur de la carte> PRODUCTNAME=<nom de produit de la carte> PRODUCTPROFILE=<produit profil de la carte>/>$
Pour la liste de codes pays, veuillez-vous référer à la donnée countryList dans le dictionnaire des données.
Pour la liste de réseaux, veuillez-vous référer à la donnée cardScheme dans le dictionnaire des données.
Pour la liste de produits profils, veuillez-vous référer à la donnée cardProductProfil dans le dictionnaire des données.
