Les tokens de paiement sont un sujet d'actualité dans le domaine des paiements. Cela s'explique par leur capacité à aider les entreprises à atteindre des taux d'autorisation plus élevés, à réduire la fraude et à permettre aux entreprises d'offrir une meilleure expérience client.
Cependant, que sont-ils exactement et comment fonctionnent-ils ?
La tokenisation des cartes bancaires est un identifiant numérique unique utilisé pour fournir une valeur tokenisée au lieu du numéro de compte primaire (PAN) dans toutes les étapes de la chaîne de paiement. Ces tokens remplacent les données sensibles des cartes, comme le numéro de compte et la date d'expiration figurant au recto d'une carte utilisée pour un paiement, sans exposer les détails réels du compte.
Les tokens sont générés automatiquement et en temps réel par les réseaux de cartes au fur et à mesure que les clients utilisent leurs cartes. Par exemple, lorsqu'ils paient sur un site d'e-commerce ou qu'ils paient à l'aide d'un portefeuille électronique, comme Apple Pay ou Google Pay.
Les tokens fonctionnent par le remplacement des données sensibles des cartes de crédit ou de débit par un token qui est complètement unique pour le client, le PAN et le commerçant. Ils sont émis par le réseau de cartes et stockés par le commerçant pour les transactions.
Voici comment fonctionne le processus de tokenisation des réseaux :
Pour initialiser la tokenisation, le client saisit les détails de sa carte comme d'habitude, y compris le PAN, le CVV et la date d'expiration de sa carte.
Une fois que le commerçant dispose des informations relatives à la carte du client, il les communique à son prestataire de services de paiement, qui demande un token auprès du réseau de cartes (Visa ou Mastercard, par exemple).
Le réseau de cartes génère alors automatiquement un token qu'il partage avec l'émetteur de la carte (la banque du titulaire de la carte) et le prestataire de services de paiement du commerçant.
Enfin, le PSP partage le token avec le commerçant, qui le stocke afin de l'utiliser pour les futurs paiements du titulaire de la carte. Comme il a été généré par le réseau de cartes, le token est valable dans l'ensemble de l'écosystème de paiement.
Lorsque le titulaire de la carte effectue une transaction, le token, qui représente la carte, est envoyé par le commerçant au réseau de cartes via le PSP. Outre le token, le réseau de cartes génère également un cryptogramme pour chaque autorisation individuelle, ce qui ajoute une couche de sécurité supplémentaire. Ce cryptogramme est unique pour le token, le commerçant et la transaction.
Lorsque le token atteint le réseau de cartes, il est décrypté et les données originales de la carte sont récupérées. Ces détails sont ensuite partagés avec l'émetteur de la carte afin d'être vérifiés.
L'émetteur de la carte peut maintenant vérifier les données de la carte, la transaction est traitée normalement et le paiement est approuvé. Les données originales de la carte n'ont jamais été partagées qu'entre le réseau de cartes et la banque émettrice. À toutes les autres étapes du processus, la tokenisation a été utilisée.
À travers divers exemples, nous verrons comment la tokenisation est mise en œuvre dans des scénarios tels que les paiements récurrents, les portefeuilles mobiles et le paiement en un clic, illustrant son rôle essentiel dans la sécurisation des données et la facilitation des transactions numériques.
Dans le cadre des souscriptions et des paiements récurrents, la tokenisation facilite les transactions en sauvegardant de manière sécurisée un token au lieu des détails de la carte bancaire. Ainsi, lorsqu'un abonnement mensuel ou un service nécessite un paiement périodique, le token est utilisé pour traiter le paiement sans nécessiter une nouvelle saisie des informations de la carte. Cela simplifie les transactions récurrentes pour à la fois les fournisseurs de services et les clients.
Les portefeuilles mobiles, tels que Apple Pay, Google Wallet ou Samsung Pay, utilisent la tokenisation pour sécuriser les transactions mobiles. Lorsqu'une carte de paiement est ajoutée à un portefeuille mobile, les informations de la carte sont tokenisées et stockées sous forme de token sécurisé. Lors d'un paiement, le token est transmis au lieu du numéro réel de la carte, ce qui permet d'effectuer des paiements sécurisés sans exposer les détails de la carte.
Le paiement par clic, souvent utilisé dans les achats en ligne pour une expérience d'achat rapide, repose également sur la tokenisation pour la sécurité. Une fois que le client a enregistré ses informations de paiement sur un site de commerce électronique, celles-ci sont tokenisées et un "paiement par clic" peut être activé. Lors des achats futurs, le client peut simplement cliquer sur un bouton pour effectuer l'achat en utilisant le token enregistré, sans avoir à saisir à nouveau les informations de paiement. Cette méthode offre une expérience d'achat fluide et sécurisée, en réduisant le temps de transaction et en augmentant la sécurité des données.
La tokenisation des réseaux est similaire à la tokenisation PCI (parfois appelée Vault Tokenization), effectuée par les acquéreurs ou les prestataires de services de paiement au nom de leurs commerçants. Cela permet de sécuriser les données des cartes entre le fournisseur de tokens et le commerçant afin de contribuer à réduire le champ d'application de la norme PCI DSS - c'est-à-dire la norme de sécurité des données de l'industrie des cartes de paiement dans son intégralité.
La principale différence entre la tokenisation de réseaux et la tokenisation PCI réside dans le fait que c'est le réseau de cartes qui émet le token, et non l'acquéreur ou le prestataire de services de paiement. Cela rend les tokens interopérables dans l'ensemble de l'écosystème de paiement, et pour un plus grand nombre de cas d'utilisation.
Il y a de nombreuses façons dont la tokenisation de réseaux peut aider les entreprises. Les quatre principaux avantages sont les suivants :
Les paiements par carte font l'objet de contrôles de plus en plus nombreux, notamment en raison des exigences de l'Authentification Forte du Client (SCA) en Europe. Mais, à un moment donné, la sécurité supplémentaire devient un point de friction pour les consommateurs, ce qui conduit à l'abandon du panier. Selon nos données, 12 % des retailers européens ont vu leur taux d'approbation diminuer en raison de l'impact précoce de la SCA.
Intégrée au sein de la stratégie d'authentification, la tokenisation de réseau peut contribuer à réduire le champ d'application des exigences du SCA. La diminution du nombre d'authentifications par challenge ou par étape réduit les frictions liées aux paiements et améliore les taux d'autorisation et le succès des paiements. Selon Visa, les commerçants utilisant des Network Tokens voient leur taux d'autorisation augmenter d'environ 2 %.
À partir d'avril 2022, Visa a réduit de dix points en moyenne les frais d'interchange pour les commerçants effectuant des transactions avec des tokens sans utilisation de carte. Cela inclut les transactions effectuées à l'aide de portefeuilles électroniques tels qu'Apple Pay et Google Pay.
En effet, comme les transactions sans présentation de carte sont généralement plus vulnérables à la fraude que les transactions avec présentation de carte, elles sont soumises à des frais d'interchange plus élevés. Étant donné que les tokens contribuent à réduire les taux de fraude, Visa peut réduire les frais d'interchange en conséquence.
Il n'y a pas si longtemps, le seul moyen de résoudre le problème des cartes périmées était d'informer les clients que leur carte allait bientôt expirer ou qu'elle avait déjà expiré. Cependant, contrairement aux cartes, les tokens n'ont pas de date d'expiration, ce qui minimise le risque de désabonnement involontaire.
Ainsi, la tokenisation de réseau est une excellente solution pour toute entreprise cherchant à générer des revenus importants à partir de clients récurrents avec des modèles commerciaux de type card-on-file, proposant les paiements récurrents ou sous forme d'abonnement.
Un token est une trace permanente des informations relatives à une carte, et le réseau de cartes est chargé de maintenir la correspondance entre la carte et le token. Cela signifie qu'il met automatiquement à jour les informations de la carte lorsqu'elle expire ou est remplacée. Ainsi, le client n'a pas besoin de mettre à jour les informations relatives à sa carte et, comme le commerçant dispose toujours d'une carte valide dans son dossier, les refus de paiement sont réduits. Ces deux facteurs se traduisent par une meilleure expérience de paiement pour le client.
Étant donné qu'ils sont compatibles avec l'ensemble de l'écosystème de paiement, la tokenisation réduit considérablement la fraude. Plutôt que de remplacer les détails de la carte à un stade spécifique, comme le fait la tokenisation PCI, un token de reseau masque les données de la carte à tous les stades de la transaction. Le commerçant n'a donc à manipuler que le token, ce qui réduit considérablement le risque que des informations sensibles soient exposées à des fraudeurs. En outre, le cryptogramme créé pour chaque transaction individuelle renforce la sécurité.
Comme indiqué ci-dessus, la sécurité de bout en bout assurée par la tokenisation de réseau signifie que les données des titulaires de cartes sont à l'abri des fraudeurs. Le token utilisé pour la transaction ne contient aucune information exploitable, donc même s'il est intercepté, le titulaire de la carte ne risque rien.
La tokenisation de réseau permet aux entreprises de se conformer plus facilement à la norme PCI en réduisant la quantité de données de paiement soumises aux exigences de la norme PCI-DSS. Comme les entreprises peuvent traiter des transactions sans exposer les données de leurs clients, la conformité est optimisée et elles peuvent consacrer moins de temps et de ressources à la sécurité des paiements.
Comment est-ce que la tokenisation de réseaux améliore les taux d'autorisation ?
Comme les détails des cartes sont automatiquement mis à jour par le réseau de cartes et que moins de comptes sont suspendus en raison d'activités frauduleuses, le nombre de refus causés par la fraude et les cartes périmées est considérablement réduit, ce qui se traduit par une augmentation des taux d'autorisation.
Comment Checkout.com utilise la tokenisation
Chez Checkout.com, nous disposons d'une solution de tokenisation des paiements gérée par opt-in. Chaque fois qu'une nouvelle carte est utilisée dans une transaction, elle peut automatiquement partager un token en votre nom avec Visa et Mastercard.
Nous travaillons également en direct avec les réseaux de cartes et les émetteurs pour garantir que tous les tokens sont automatiquement mis à jour lorsque les détails de la carte changent, afin que vous n'ayez pas à le faire.
Améliorez votre expérience client, réduisez la fraude et augmentez vos taux d'autorisation grâce à la solution de tokenisation de Checkout.com.
