DirectLink with 3-D Secure

Transcriptie

1

2 Inhoudsopgave 1. 3-D Secure v Inleiding D-transactieverloop via DirectLink Bijkomende verzoekparameters Bijkomende retourvelden Opmerkingen 2. 3-D Secure v2.1 (Beschikbaar in TEST) 2.1 Introduction D-transactieverloop via DirectLink Bijkomende verzoekparameters Bijkomende retourvelden Opmerkingen Page 1 of 9-05/07/2019

3 1. 3-D Secure v Inleiding Met het 3-D Secure-protocol kan de kaarthouder geïdentificeerd worden tijdens het aankoopproces. De kaarthouder moet tijdens het identificatieproces met het internet verbonden zijn. 3-D Secure werkt dan ook niet voor betalingen via callcenters of periodieke betalingen. Visa implementeerde het 3-D Secure-protocol onder de naam Verified By Visa, MasterCard onder de naam SecureCode, JCB onder de naam J-Secure en American Express onder de naam SafeKey. Het principe achter de integratie van DirectLink met 3-D Secure is dat de betaling wordt gestart in DirectLink-modus en wordt voltooid in e-commerce-modus indien om authenticatie van de kaarthouder wordt verzocht. Dit document beschrijft de integratie van het 3-D Secure-protocol in DirectLink. Meer informatie over DirectLink en e-commerce vindt u in de documentatie over DirectLink en e-commerce D-transactieverloop via DirectLink De transactie verloopt volgens onderstaande stappen: U stuurt ons een DirectLink-verzoek voor de transactie, dat enkele bijkomende parameters bevat (zie Bijkomende verzoekparameters). Ons systeem ontvangt het kaartnummer in uw verzoek en controleert online of de kaart is geregistreerd in de VISA/MasterCard /JCB/AmEx-directory (geregistreerd betekent dat voor dat kaartnummer identificatie mogelijk is, met andere woorden dat het om een 3-D Secure-kaart gaat). Als de kaarthouder geregistreerd is, bevat het antwoord op het DirectLink-verzoek een specifieke betalingsstatus en HTML-code die moet worden teruggestuurd naar de klant om het identificatieproces te starten (zie Bijkomende retourvelden). Het blok HTML-code start automatisch het identificatieproces tussen de kaarthouder (de klant) en de bank die zijn kaart heeft uitgegeven. De kaarthouder identificeert zich op de pagina van de uitgevende bank. Ons systeem ontvangt het identificatie-antwoord van de uitgever. Als de identificatie is geslaagd, stuurt ons systeem de eigenlijke financiële transactie naar de acquirer. U ontvangt het resultaat van het volledige identificatie- en online autorisatieproces via de feedbackkanalen in e-commerce-modus. Opmerkingen: Of er overdracht van aansprakelijkheid is, hangt af van uw overeenkomst met uw acquirer. Wij raden u dan ook aan om de voorwaarden te controleren bij uw acquirer. Als de kaarthouder niet geregistreerd is (in stap 3), ontvangt u het standaard DirectLink -XML-antwoord met het resultaat van het online autorisatieproces. Om de precieze betalingsstatus/foutcodes te ontvangen (in stap 7), moet u de online of offline feedback na verkoop activeren zoals beschreven in de e-commerce documentatie Bijkomende verzoekparameters Behalve de standaard DirectLink-parameters moet u ook de volgende informatie versturen: FLAG3D Vaste waarde: "Y" Geeft ons systeem de opdracht om 3-D Secure-identificatie uit te voeren indien nodig. Page 2 of 9-05/07/2019

4 HTTP_ACCEPT Het veld Accept in de verzoekheader in de browser van de kaarthouder wordt gebruikt om bepaalde mediatypes te specificeren die aanvaard worden voor het antwoord. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld: Accept: */* HTTP_USER_AGENT Het veld User-Agent in de verzoekheader in de browser van de kaarthouder bevat informatie over de agent van de gebruiker van wie het verzoek uitgaat. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld: User-Agent: Mozilla/4.0 (compatibel; MSIE 6.0; Windows NT 5.0) Hoe de identificatiepagina aan de klant wordt getoond. Mogelijke waarden: WIN3DS MAINW: om de identificatiepagina in het hoofdvenster weer te geven (standaardwaarde). POPUP: om de identificatiepagina weer te geven in een pop-upvenster en nadien terug te keren naar het hoofdvenster. POPIX: om de identificatiepagina weer te geven in een pop-upvenster en nadien in het pop-upvenster te blijven. ACCEPTURL De URL van de webpagina die aan de klant wordt getoond als de betaling werd geautoriseerd (of wacht op autorisatie). DECLINEURL De URL naar waar de klant wordt doorgestuurd wanneer het maximale aantal mislukte autorisatiepogingen is bereikt (standaard 10, maar kan worden gewijzigd op de pagina Technical Information (Technische informatie), in de sectie Payment retry (Betaalpogingen) van het tabblad Global transaction parameters (Algemene transactieparameters). EXCEPTIONURL De URL van de webpagina die aan de klant wordt getoond als het resultaat van de betaling onzeker is. PARAMPLUS om de diverse parameters en hun waarden te versturen die u vermeld wilt zien in het verzoek na verkoop of de uiteindelijke doorverwijzing. COMPLUS om een waarde te versturen die u vermeld wilt zien in het verzoek na verkoop of de output. LANGUAGE De taal van de klant, bijvoorbeeld: "en_us" Optioneel TP Om de opmaak van de pagina order_a3ds te wijzigen, kunt u via deze parameter de naam of URL van een template versturen (ga naar e-commerce: Dynamische sjabloon). Ga voor meer informatie naar Transactiefeedback Bijkomende retourvelden Als de kaarthouder niet geregistreerd is, wordt het normale DirectLink-antwoord teruggestuurd. Als de kaarthouder geregistreerd is, worden volgende (bijkomende) velden teruggestuurd: STATUS Nieuwe waarde: "46" (wacht op identificatie). Page 3 of 9-05/07/2019

5 HTML-code in BASE64-codering die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de klant. Deze tag wordt toegevoegd als subtag van de algemene XML-tag <ncresponse>. Het veld HTML_Answer bevat HTML-code die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de browser van de klant. HTML_ANSWER Deze code laadt automatisch de identificatiepagina van de uitgevende bank in een pop-upvenster of in het hoofdvenster, naargelang de waarde van parameter WIN3DS. Om te voorkomen dat de HTML-tags in de inhoud van de XML-tag HTML_ANSWER interfereren met de rest van de XML die wordt teruggestuurd als antwoord op het DirectLink-verzoek, wordt de inhoud van HTML_ANSWER door ons systeem BASE64-gecodeerd voordat het antwoord wordt teruggestuurd. Die inhoud moet bijgevolg BASE64-geDEcodeerd worden voor hij wordt toegevoegd aan de HTML-pagina die naar de kaarthouder wordt gestuurd Opmerkingen Testkaarten Met de volgende testkaarten kunt u een 3-D Secure-geregistreerde kaart simuleren in onze testomgeving: Merk Kaartnummer Vervaldatum Wachtwoord VISA Willekeurige datum in de toekomst MasterCard Willekeurige datum in de toekomst American Express Willekeurige datum in de toekomst Foutieve identificatie Als een transactie wordt geblokkeerd wegens foutieve identificatie is het transactieresultaat: STATUS = 0 NCSTATUS = 5 NCERROR = Page 4 of 9-05/07/2019

6 2. 3-D Secure v2.1 (Beschikbaar in TEST) 2.1 Introduction In 2013 publiceerde de Europese Commissie een voorstel voor de herziene versie van de richtlijn betreffende betalingsdiensten, die PSD2 (Payment Services Directive) wordt genoemd. Hiermee werd de verwerking van betalingen vereenvoudigd en werden de regels en voorschriften inzake betalingsdiensten in de EU ingevoerd. Zo ontstond de behoefte aan een nieuwe versie van 3-D Secure; v2.1. De grootste verandering is dat u als merchant wordt gevraagd om meer gegevens te delen: uitgevers hebben gegevenspunten nodig zodat ze een nauwkeurige beslissing kunnen nemen, wat uiteindelijk leidt naar een vlotte afhandeling. Maar u bent degene die de eigenlijke gegevens verzamelt. Met 3DS v2 wordt de risicobeoordeling doeltreffender uitgevoerd, maar daarvoor moet het hele systeem veranderen, zodat u de gegevens kunt doorgeven aan de uitgever D-transactieverloop via DirectLink De transactie omvat de volgende stappen: 1. U stuurt ons een DirectLink-request voor de transactie met een aantal bijkomende parameters. Deze parameters kunnen worden ingedeeld in drie groepen:> a. Verplichte parameters die moeten worden vastgelegd op de betaalpagina waar de kaarthouder de kaartgegevens invoert. Parameter browseracceptheader* Exacte inhoud van de HTTP accept-headers zoals die van de browser van de kaarthouder naar de merchant verzonden werden. browsercolordepth Waarde die de bitdiepte aanduidt van het kleurenpalet dat afbeeldingen weergeeft, in bits per pixel. Verkregen van de browser van de kaarthouder door middel van de kleurdiepte-eigenschap. browserjavaenabled Boolean die aanduidt of de browser van de kaarthouder Java kan uitvoeren. Waarde wordt teruggezonden vanuit de eigenschap "navigator javaenabled". browserlanguage Waarde die de taal van de browser aanduidt zoals gedefinieerd wordt in IETF BCP47. Teruggezonden vanuit de eigenschap "navigatortaal". browserscreenheight Totale hoogte van het scherm van de kaarthouder in pixels. Waarde wordt teruggezonden vanuit de eigenschap "schermhoogte". browserscreenwidth Totale breedte van het scherm van de kaarthouder in pixels. Waarde wordt teruggezonden vanuit de eigenschap "schermbreedte". browsertimezone Tijdsverschil tussen UTC-tijd en de lokale tijd van de browser van de kaarthouder, in minuten. browseruseragent* Exacte inhoud van de HTTP useragent header. * HTTP_ACCEPT en HTTP_USER_AGENT moeten niet worden verzonden met browsersacceptheader en browseruseragent. Wij vullen deze met de browserparameters. Opmerking: vergeet alsjeblieft niet om de parameters in je SHA-handtekening te berekenen. Page 5 of 9-05/07/2019

7 <script type="text/javascript" language="javascript"> function createhiddeninput(form, name, value) { var input = document.createelement("input"); input.setattribute("type", "hidden"); input.setattribute("name", name); input.setattribute("value", value); form.appendchild(input); } var myccforms = document.getelementsbyname("myform"); if (myccforms!= null && myccforms.length > 0) { var myccform = myccforms[0]; createhiddeninput(myccform, "browsercolordepth", screen.colordepth); createhiddeninput(myccform, "browserjavaenabled", navigator.javaenabled()); createhiddeninput(myccform, "browserlanguage", navigator.language); createhiddeninput(myccform, "browserscreenheight", screen.height); createhiddeninput(myccform, "browserscreenwidth", screen.width); createhiddeninput(myccform, "browsertimezone", new Date().getTimezoneOffset()); } </script> b. Vereiste bijkomende parameters Bijkomende verzoekparameters). c. Optionele bijkomende parameters (lijst met parameters) die, als ze worden opgestuurd, een positieve impact hebben op de conversie van de transacties. Afhankelijk van de informatie in deze parameters kan er mogelijk een vlotte authenticatie plaatsvinden, waarbij de kaarthouder zich niet meer moet authenticeren en zo de transactie sneller wordt afgerond. Als er echter geen van deze parameters worden doorgegeven, dan wordt de gebruikelijke omleiding voor de authenticatie uitgevoerd. Ons systeem ontvangt het kaartnummer in uw verzoek en controleert online of de kaart is geregistreerd in de VISA/MasterCard/JCB/AmExdirectory (geregistreerd betekent dat voor dat kaartnummer identificatie mogelijk is, met andere woorden dat het om een 3-D Secure-kaart gaat). 2. Als de kaarthouder wordt geregistreerd, zijn er, afhankelijk van het antwoord van het programma en indien de bijkomende parameters van 1.c (Optionele bijkomende parameters-lijst met parameters) hierboven al dan niet werden doorgegeven (gegeven als de kaarthouder is geregistreerd voor 3-D Secure), twee soorten authenticatie mogelijk: 2.1. Een vlotte authenticatie: De kaarthouder hoeft zichzelf niet fysiek te authenticeren omdat de authenticatie op de achtergrond heeft plaatsgevonden zonder hun invoer. In dit geval is de schuldverschuiving bij de uitgevende bank Een authenticatie met challenge: De kaarthouder moet zich verder identificeren. i. Het antwoord aan het DirectLink-request bevat een specifieke betaalstatus en een html-code die moet worden teruggestuurd naar de klant om het identificatieproces in gang te zetten (cf. Bijkomende retourvelden). De blok html-code zal het identificatieproces tussen de kaarthouder (klant) en zijn uitgevende bank automatisch in gang zetten. ii. De kaarthouder identificeert zich op de pagina van de uitgevende bank. iii. Ons systeem ontvangt het identificatie-antwoord van de uitgever. Page 6 of 9-05/07/2019

8 iv. Als de identificatie is geslaagd, stuurt ons systeem de eigenlijke financiële transactie naar de acquirer. 3. U ontvangt het resultaat van het volledige identificatie- en online autorisatieproces via de feedbackkanalen in e-commerce-modus Bijkomende verzoekparameters Behalve de standaard DirectLink-parameters moet u ook de volgende informatie versturen: FLAG3D Vaste waarde: "Y" Geeft ons systeem de opdracht om 3-D Secure-identificatie uit te voeren indien nodig. HTTP_ACCEPT* Het veld Accept in de verzoekheader in de browser van de kaarthouder wordt gebruikt om bepaalde mediatypes te specificeren die aanvaard worden voor het antwoord. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld: Accept: */* HTTP_USER_AGENT* Het veld User-Agent in de verzoekheader in de browser van de kaarthouder bevat informatie over de agent van de gebruiker van wie het verzoek uitgaat. Deze waarde wordt gebruikt door de uitgever om na te gaan of de browser van de kaarthouder compatibel is met het identificatiesysteem van de uitgever. Bijvoorbeeld: User-Agent: Mozilla/4.0 (compatibel; MSIE 6.0; Windows NT 5.0) Hoe de identificatiepagina aan de klant wordt getoond. Mogelijke waarden: WIN3DS MAINW: om de identificatiepagina in het hoofdvenster weer te geven (standaardwaarde). POPUP: om de identificatiepagina weer te geven in een pop-upvenster en nadien terug te keren naar het hoofdvenster. POPIX: om de identificatiepagina weer te geven in een pop-upvenster en nadien in het pop-upvenster te blijven. ACCEPTURL De URL van de webpagina die aan de klant wordt getoond als de betaling werd geautoriseerd (of wacht op autorisatie). DECLINEURL De URL naar waar de klant wordt doorgestuurd wanneer het maximale aantal mislukte autorisatiepogingen is bereikt (standaard 10, maar kan worden gewijzigd op de pagina Technical Information (Technische informatie), in de sectie Payment retry (Betaalpogingen) van het tabblad Global transaction parameters (Algemene transactieparameters). EXCEPTIONURL De URL van de webpagina die aan de klant wordt getoond als het resultaat van de betaling onzeker is. PARAMPLUS om de diverse parameters en hun waarden te versturen die u vermeld wilt zien in het verzoek na verkoop of de uiteindelijke doorverwijzing. COMPLUS om een waarde te versturen die u vermeld wilt zien in het verzoek na verkoop of de output. LANGUAGE De taal van de klant, bijvoorbeeld: "en_us" Optioneel TP Om de opmaak van de pagina order_a3ds te wijzigen, kunt u via deze parameter de naam of URL van een template versturen (ga naar e-commerce: Dynamische sjabloon). Page 7 of 9-05/07/2019

9 *HTTP_ACCEPT en HTTP_USER_AGENT moeten niet worden verzonden als browseracceptheader en browseruseragent worden verzonden. Ga voor meer informatie naar Transactiefeedback Bijkomende retourvelden Als de kaarthouder niet geregistreerd is, wordt het normale DirectLink-antwoord teruggestuurd. Als de kaarthouder geregistreerd is, worden volgende (bijkomende) velden teruggestuurd: STATUS Nieuwe waarde: "46" (wacht op identificatie). HTML-code in BASE64-codering die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de klant. Deze tag wordt toegevoegd als subtag van de algemene XML-tag <ncresponse>. Het veld HTML_Answer bevat HTML-code die moet worden toegevoegd aan de HTML-pagina die wordt teruggestuurd naar de browser van de klant. HTML_ANSWER Deze code laadt automatisch de identificatiepagina van de uitgevende bank in een pop-upvenster of in het hoofdvenster, naargelang de waarde van parameter WIN3DS. Om te voorkomen dat de HTML-tags in de inhoud van de XML-tag HTML_ANSWER interfereren met de rest van de XML die wordt teruggestuurd als antwoord op het DirectLink-verzoek, wordt de inhoud van HTML_ANSWER door ons systeem BASE64-gecodeerd voordat het antwoord wordt teruggestuurd. Die inhoud moet bijgevolg BASE64-geDEcodeerd worden voor hij wordt toegevoegd aan de HTML-pagina die naar de kaarthouder wordt gestuurd Opmerkingen Testkaarten Met de volgende testkaart kunt u een 3-D Secure-geregistreerde kaart simuleren in onze testomgeving: Vlotte authenticatie Merk Kaartnummer Vervaldatum VISA Willekeurige datum in de toekomst Mastercard Willekeurige datum in de toekomst American Express Willekeurige datum in de toekomst Authenticatie met challenge Merk Kaartnummer Vervaldatum VISA Willekeurige datum in de toekomst Mastercard Willekeurige datum in de toekomst Page 8 of 9-05/07/2019

10 Authenticatie met challenge American Express Willekeurige datum in de toekomst Opmerking: u kunt hier meer testkaarten downloaden. Foutieve identificatie Als een transactie wordt geblokkeerd wegens foutieve identificatie is het transactieresultaat: STATUS = 0 NCSTATUS = 5 NCERROR = Page 9 of 9-05/07/2019