3-D Secure

Le MPI et 3-D Secure

Le MPI (Merchant-Plug-In) est un composant installé sur les serveurs de Paybox. Il permet l’authentification des 3 intervenants de la transaction (Commerçant, Client Acheteur, Banques) à travers un ensemble de dialogues dans le cadre du programme 3-D Secure. C’est le même composant qui est intégré au service Paybox System et qui offre le service 3-D Secure par le biais d’un navigateur. Ce dialogue est réalisé selon des spécifications VISA et MASTERCARD et se décompose en 2 échanges :

1) Un premier échange vérifie sur les Directory Serveurs VISA et MASTERCARD que la carte du porteur fait partie du programme 3-D Secure (porteur dit « enrôlé »).

Les messages sont le VEReq (Verify Enrollment Request) et le VERes (Verify Enrollment Response).

2) Si la carte fait partie du programme 3-D Secure, un deuxième échange redirige le porteur vers le site d’authentification de la banque émettrice de la carte.

Les messages sont le PAReq (Payer Authentication Request) et le PARes (Payer Authentication Response).

Le résultat de ces échanges permettra ou non de poursuivre le paiement avec un appel au service Paybox Direct. La conception du module Paybox ‘Remote MPI’ a été prévue pour répondre à 2 critères :

  • Rester fidèle aux spécifications VISA et MASTERCARD : Les données en réponse sont celles fournies par le MPI et retournées au format défini dans les spécifications VISA et MASTERCARD.
  • Facilité l’adéquation avec les interfaces Paybox Direct existantes : Les données 3-D Secure nécessaires à la demande d’autorisation sont stockées dans un contexte Paybox. Un unique identifiant de contexte retourné par Paybox à la fin de la session 3-D Secure est réintroduit au niveau des interfaces Paybox Direct existantes et permet de récupérer toutes les informations d’authentification 3-D Secure du paiement en cours.

Cet identifiant de contexte ne concerne que les données d’authentification 3-D Secure. Il reste tout de même nécessaire de renseigner en plus les paramètres obligatoires et existants du service Paybox Direct.

Protocole d’échange

Appel

C’est un CGI installé sur les serveurs Paybox qui donne l’accès au MPI de PAYBOX. Ce CGI peut être appelé via les URLs :

• https://tpeweb.paybox.com/cgi/RemoteMPI.cgi
• OU https://tpeweb1.paybox.com/cgi/RemoteMPI.cgi
En cas d’indisponibilité d’une URL, vous pouvez vous connecter à la seconde.

Pour réaliser l’authentification porteur, il faut rediriger le client sur une de ces URLs en envoyant les paramètres par la méthode POST.
La liste des paramètres est détaillée dans le paragraphe  Dictionnaire de données

Exemple d’appel via un formulaire HTML :

Réponse

Les données de retour se décomposent en 2 ensembles :

  • Les données utiles à l’intégration.
  • ID3D
  • StatusPBX
  • Check
  • Les données 3-D Secure en sortie du MPI, présentes à titre informatif.

Si la variable StatusPBX a la valeur « Autorisation à faire », vous pouvez émettre une demande d’autorisation avec Paybox Direct.

Pour faire référence à l’authentification 3-D Secure, vous devez aussi récupérer le contenu de la variable ID3D en retour de Remote MPI et transmettre cette variable dans la requête Paybox Direct.

L’appel Paybox Direct doit être fait immédiatement après le retour du MPI. Passé un délai de 5 minutes, l’authentification sera considérée expirée et Paybox n’effectuera pas la demande d’autorisation en mode 3-D Secure.
Dans le cas d’un mauvais passage de paramètres au CGI, seuls les champs IdSession,  StatusPBX et Check sont renvoyés lorsque les vérifications des paramètres et notamment de l’IdMerchant sont probantes.

Cinématique d’un paiement 3-D Secure avec Remote-MPI

ÉTAPE IMPACT COMMERÇANT DESCRIPTION
1 oui L’acheteur passe une commande sur le site Web du commerçant.
2 oui L’acheteur saisit ses informations carte (PAN, date d’expiration, cryptogramme visuel) sur le site Web du commerçant.
3 oui Le commerçant redirige l’acheteur vers une URL de Paybox en vue de son authentification “3-D Secure”.
4 non Demande de vérification de l’enrôlement du porteur auprès des Directories Servers de Visa et MasterCard.
5 non Récupération de l’état sur l’enrôlement du porteur et de l’URL de redirection du porteur vers sa banque.
5 bis oui Cette étape se produit uniquement dans les 3 cas de figure ci-dessous :
1) Erreur d’accès au MPI
2) Erreur pendant la transmission du VEReq/VERes
Pour les cas 1 et 2 :
L’identifiant de contexte ID3D n’est pas renseigné.
Une demande d’autorisation non 3-D Secure peut tout de même être effectuée en appelant les interfaces Paybox Direct sans le paramètre ID3D.
3) Le porteur  n’est pas enrôlé
L’identifiant de contexte ID3D est renseigné.
Une demande d’autorisation non 3-D Secure peut tout de même être effectuée en appelant les interfaces Paybox Direct avec le paramètre ID3D.
Les étapes 6 à 9 ne sont pas présentes dans la cinématique.
Le porteur est alors redirigé vers une page du site Web du commerçant.
5 ter oui En cas de non enrôlement du porteur au programme 3-D Secure, ce dernier est redirigé vers une page du site Web du commerçant. Etape présente uniquement en cas de non enrôlement du porteur et les étapes 6 à 9 ne sont pas présentes dans la cinématique.
6 non Redirection du porteur vers sa banque en vue de son authentification.
7 non Récupération de l’état sur l’authentification du porteur par sa banque.
8 oui Notification (appel serveur à serveur) sur l’état de l’authentification du porteur et sur la suite à donner pour la demande d’autorisation. Si le porteur n’est pas authentifié la demande d’autorisation n’est pas à faire auprès de la banque acquéreur.
9 oui Quel que soit l’état de l’authentification du porteur, ce dernier est redirigé vers une page du site Web du commerçant.
10 oui Appel du « service Web » Paybox Direct pour la demande d’autorisation auprès de la banque du commerçant.
Les informations sur l’état de l’authentification du porteur sont stockées chez Paybox pendant 5 minutes sous l’identifiant ID3D.
L’identifiant de contexte ID3D est donc à renseigner lors de l’appel aux interfaces Paybox Direct, en plus des paramètres existants.
A partir de cette étape, les actions sont totalement désynchronisées des précédentes.
11 non Demande d’autorisation faite par Paybox auprès de l’acquéreur.
12 oui Restitution de l’état de la demande d’autorisation dans la même session de connexion que l’étape 10.

 

URLs d’appel et Adresses IP

Pour utiliser les services PAYBOX Remote MPI :

PLATE-FORME URL D’ACCÈS
Pré-production https://preprod-tpeweb.paybox.com/cgi/RemoteMPI.cgi
Principale https://tpeweb.paybox.com/cgi/RemoteMPI.cgi
Secours https://tpeweb1.paybox.com/cgi/RemoteMPI.cgi

L’adresse IP entrante est l’adresse sur laquelle le système d’information du Marchand va se connecter pour réaliser la transaction.
L’adresse IP sortante est l’adresse avec laquelle le système d’information du Marchand verra arriver les flux de retour en fin de transaction (appels de l’URL HTTP par exemple).

Il est important que ces adresses entrantes et sortantes soient autorisées dans les éventuels filtres sur les adresses IP paramétrés sur les infrastructures hébergeant les systèmes d’information du Marchand.

PLATE-FORME ADRESSE ENTRANTE ADRESSE SORTANTE
Pré-production 195.101.99.73 195.101.99.76
Principale 194.2.160.64
194.2.160.66
194.2.160.75
194.2.160.80
194.2.160.82
194.2.160.91
195.25.7.146
195.25.7.157
195.25.7.159
195.25.67.0
195.25.67.2
195.25.67.11
194.2.122.158
194.2.122.190
195.25.7.166
195.25.67.22