RoomCloud NOUVELLES

Strong Customer Authentication
Qu’est-ce qui va changer pour les hôteliers à partir du 14 septembre?

Le 14 septembre 2019, de nouvelles règles d’authentification des paiements en ligne entreront en vigueur en Europe, conformément à la deuxième directive sur les services de paiement ou PSD2. La proposition date de 2015 et vise à mieux protéger les consommateurs lorsqu’ils paient en ligne et à promouvoir le développement des paiements en ligne et mobiles.

Qu’est-ce que le Strong Customer Authentication?

L’une des principales implications de PSD2 est l’introduction du Strong Customer Authentication (SCA), une norme de sécurité qui améliorera la sécurité dans le secteur des paiements. Fondamentalement, demander la carte de crédit d’un client n’est pas suffisamment sécurisé pour les transactions en ligne. Des étapes supplémentaires sont donc nécessaires.
Le point principal de SCA est l’authentification à deux facteurs. Le SCA exige d’authentifier le paiement avec au moins deux des trois éléments suivants.

  • Ce que le client SAIT (par exemple, un mot de passe ou un code PIN)
  • Quelque chose que le client A (par exemple, téléphone ou Hardware Token)
  • Quelque chose que le client EST (par exemple, reconnaissance d’empreintes digitales ou du visage)

Les banques devront refuser les paiements qui nécessitent le SCA et qui ne répondent pas à ces critères.

Quand est-ce que SCA est requis?

La nouvelle norme de sécurité exige que les prestataires de services de paiement utilisent un Strong Customer Authentication lorsque :

  1. Le fournisseur de la carte est européen. L’émetteur de la carte n’est pas le fournisseur de la carte de crédit (VISA, MasterCard, AMEX), mais la banque elle-même. Pour cette raison, la «nationalité» du client final n’a pas vraiment d’importance.
  2. L’acquéreur est européen. Dans ce cas, c’est généralement la banque de l’hôtelier.

Qui sera concerné par SCA?

Le SCA affectera toute entreprise recevant des paiements en ligne de leurs clients. Pour cette raison, le secteur hôtelier doit être à jour. Dans le secteur hôtelier, cela affectera particulièrement les entreprises qui facturent leurs clients au moment de la réservation. En d’autres termes, dans le cas de tarifs non remboursables et de paiements effectués au moment de la réservation.

Gardez à l’esprit que les hôtels ne subiront pas d’inspections ni d’amende s’ils n’appliquent pas le PSD2. La seule responsabilité des hôteliers en ce qui concerne les ventes directes en ligne sera de choisir la plateforme de paiement appropriée, qui doit être adaptée à PSD2.

Que doivent faire les propriétaires?

Comme nous l’avons dit, la nouvelle réglementation requiert avant tout que les passerelles de paiement et le secteur bancaire s’adaptent. Pour faire simple, les hôteliers et les propriétaires n’ont rien à faire, à part choisir le bon prestataire de paiement.

Quand une propriété reçoit une réservation, il peut y avoir 2 scénarios:

Réservation remboursable: le client paie à l’hôtel et il n’y a pas de transaction en ligne. Dans ce cas, PSD2 ne s’applique pas.
Réservation non remboursable: l’hôtel doit utiliser une passerelle de paiement en ligne permettant de vérifier la double authentification du client pour les transactions nécessitant l’application de PSD2.

Un établissement peut-il utiliser un lecteur de carte pour charger les cartes reçues d’une réservation en ligne?

Il y a deux autres situations particulières que nous devons considérer:
– Réservations non remboursables sans passerelle de paiement en ligne (le paiement est effectué manuellement à l’hôtel).
– No-shows ou annulations en dehors de la période autorisée

Lorsque la propriété reçoit les détails de la carte sur Internet et que la transaction a l’obligation d’appliquer PSD2, le client doit la confirmer via une double authentification. Pour cette raison, un hôtel ne peut PAS charger manuellement une carte à l’aide d’un lecteur de carte car il ne bénéficiera pas d’une double authentification du client.

Pour le moment, une solution à cette situation serait de recevoir le paiement par téléphone ou par mail. Comme nous le verrons plus tard, les réservations effectuées par téléphone ou par courrier électronique (MO-TO) sont exemptées de la SCA. Dans ce cas, la propriété pourra recevoir des paiements en configurant le lecteur de carte sur MO-TO. Cependant, cette solution n’est viable que dans le court terme, surtout si l’hôtelier fait face à de nombreuses rétrofacturations.

En résumé, si une propriété n’utilise pas actuellement une passerelle de paiement en ligne pour accepter des paiements, nous vous suggérons de commencer par en utiliser une. À l’avenir, il sera plus compliqué d’accepter des paiements à l’aide d’un lecteur de carte de crédit physique avec une carte liée à une réservation en ligne.

Exemptions au Strong Customer Authentication

Ces types de transactions doivent être libres de PSD2:

Les transactions inférieures à 30 € seront considérées comme «faible valeur» et le SCA pourrait ne pas s’appliquer.
– Le Client qui effectue une série de paiements récurrents pour le même montant, à la même entreprise. Le premier paiement nécessite le SCA. Les prochains frais pourraient être exemptés du SCA.
– Transactions effectuées en collectant les détails de la carte par téléphone ou par mail (vente par téléphone ou par mail)
Utilisation de “lodged” cards pour effectuer des paiements (par exemple, lorsqu’une carte d’entreprise utilisée pour gérer les frais de déplacement d’un employé est détenue directement avec un online travel agent) et des paiements d’entreprise effectués à l’aide de numéros de carte virtuels.

Notez que les fournisseurs de paiement (comme Stripe) pourront demander ces exemptions lors du traitement du paiement. La banque du titulaire de carte reçoit la demande, évalue le niveau de risque de la transaction et décide en dernier ressort d’approuver ou non l’exemption.

Pour toute information complémentaire concernant l’authentification forte du client, veuillez contacter sales.roomcloud@tecnes.com