logo Mercanet

Release 24.5

aller directement au contenu

Rechercher par mots clés

Vue d'ensemble

Pour rechercher dans la page utiliser Ctrl+F sur votre clavier

Cette page donne une vue d’ensemble du fonctionnement de la solution de lutte contre la fraude Go-No-Go.

Toutes les fonctionnalités de lutte contre la fraude décrites dans cette documentation sont gérées dans le Merchant Extranet.

Vous devez donc avoir souscrit à l’offre Gestion de la lutte contre la fraude – Go-No-Go pour pouvoir accéder à ces fonctionnalités.

L’accès au Merchant Extranet se fait via l’URL suivante :

https://acces-merchant.mercanet.bnpparibas.net/portal/home


image de la page de connexion au MEX

L’accès est sécurisé et nécessite un identifiant et un mot de passe.

Après identification, cliquez sur l'onglet 'Fraude' pour gérer la lutte contre la fraude pour votre offre.

Voir la partie 'Configurer des profils anti-fraude avec le Merchant Extranet' pour plus d'informations.

Avant de commencer, il est absolument essentiel pour vous de bien comprendre la manière dont les fraudeurs mènent leurs attaques.

Les fraudeurs sont très bien organisés et exploitent la plupart des faiblesses que comportent la sécurité et les aspects légaux du commerce électronique. Notamment :

  • ils opèrent à l'échelle internationale ;
  • ils se servent de citoyens honnêtes pour exercer leurs activités frauduleuses ;
  • ils se dissimulent derrière des serveurs mandataires étrangers ;
  • 3-D Secure n'est pas un obstacle pour eux ;
  • ils renouvellent leurs types d'attaques régulièrement.

Par conséquent, il est essentiel de comprendre au niveau commerçant les comportements frauduleux lors de la mise en œuvre des règles antifraudes. Il est également très important de surveiller les résultats régulièrement et de maintenir les bons paramétrages en fonction de cette surveillance. Cela nécessite généralement de mettre sur pied une cellule de gestion de la fraude de votre côté.

Le moteur de lutte contre la fraude s’appuie sur des profils antifraude afin d’évaluer les transactions. Ceux-ci sont composés de règles que vous configurez.

La gestion des règles antifraudes est un cercle vertueux qui débute par la création d’un profil antifraude efficace qui convient à votre activité. Elle se poursuit par des vérifications régulières des activités frauduleuses et l'affinage régulier du profil en question.

Note: l'onglet fraude du Merchant Extranet et les outils de rapports existants sont conçus pour vous permettre de gérer la solution antifraude de manière indépendante.

Une règle antifraude est une vérification effectuée sur l’un des critères de la transaction. Le critère contrôlé peut être par exemple le pays émetteur de la carte, la plage de montants, le numéro de la carte, l’adresse IP, l’identifiant du client, etc. Les règles sont classées par catégorie : géolocalisation, vélocité, liste, panier et divers.

Les règles sont de type GO (détectant une condition favorable à la poursuite de la transaction) ou NOGO (détectant une condition défavorable à la transaction).

Les règles doivent être activées et paramétrées dans un profil antifraude afin d’être exécutées. Pour la définition d’un tel profil, veuillez-vous référer à la définition d'un profil antifraude.

Une règle de type GO a pour objectif de détecter une condition favorable sur la transaction qui génère un GO au niveau de l’acceptation de celle-ci (exemple : identifiant client présent dans la liste blanche des clients).

Elle retourne un résultat positif si la condition est remplie et un résultat neutre dans le cas contraire.

Actuellement les règles de type GO sont basées sur la présence d’un élément de la transaction dans des listes blanches appelées aussi listes positives.

Une règle de type NOGO a pour objectif, de détecter une condition défavorable sur la transaction qui génère un NOGO au niveau de l’acceptation de la transaction (exemple : identifiant client présent dans la liste noire des clients).

Elle retourne un résultat négatif si la condition est remplie et un résultat neutre dans le cas contraire.

Les règles du type NOGO sont réparties en 5 catégories :

  • règles de géolocalisation ;
  • règles d'encours (vélocité) ;
  • règles de listes ;
  • règles de panier ;
  • règles diverses.

Les règles peuvent être paramétrées en mode décisif ou informatif.

Une règle paramétrée en mode décisif a un impact sur le déroulement de la transaction.

Les règles en mode décisif peuvent donner 3 types de résultat vis-à-vis de l’acceptation de la transaction :

  • Résultat positif

    Un résultat positif indique que le critère contrôlé est favorable à l’acceptation de la transaction.

    Exemple : si l’identifiant client fait partie de la liste des clients VIP (règle liste blanche des identifiants clients), il n’est pas nécessaire de contrôler les autres critères.

  • Résultat négatif

    Un résultat négatif indique que le critère contrôlé est défavorable à l’acceptation de la transaction.

    Exemple : en mode pré-autorisation, si la carte est dans la liste grise ou noire des cartes, on refuse la transaction.

  • Résultat neutre

    Un résultat neutre indique que le critère contrôlé n’est ni favorable ni défavorable à l’acceptation de la transaction.

    Exemple : l’identifiant client ne fait pas partie de la liste des clients VIP (règle liste blanche des identifiants clients).

Une règle paramétrée en mode informatif n’a pas d’impact sur le déroulement de la transaction. Le résultat de la règle vous est restitué pour analyse. Par exemple : si la règle pays de l’adresse IP est paramétrée en mode informatif, le résultat de la règle a uniquement pour effet la restitution du pays de l’adresse IP, mais n’a pas d’impact sur l’acceptation de la transaction.

De base, certaines règles n’ont pas nécessairement un caractère positif ou négatif (par exemple les règles de géolocalisation ; vous pouvez vouloir favoriser certains pays ou en défavoriser d’autres) tandis que d’autres ont forcément un caractère positif (listes blanches) ou négatif (listes noires).

Par défaut les règles proposées sont configurables dans un mode de configuration simple, c’est-à-dire qu’une règle est définie comme étant positive (GO) ou négative (NOGO).

Néanmoins, certaines règles bénéficient d’un mode de configuration avancée. En mode de configuration avancée, une même règle peut être à la fois positive (GO) et négative (NOGO). Elle aura donc une influence positive, négative ou neutre sur le résultat du contrôle de la transaction en fonction du paramétrage de la règle et du contexte de transaction.

Le choix d’activer le mode de configuration avancée se fait lors du paramétrage de la règle dans le profil. Il est possible de n’activer ce mode que pour certaines règles et de laisser le mode de configuration simple pour les autres.

Le paramétrage avancé d’une règle permet de spécifier les critères qui auront une influence positive ou négative sur le résultat.

Exemple avec la règle plage de montant configurée en décisif :

Configuration de la règle (profil) Montant de la transaction Résultat Conséquence en mode pré-authentification
Mode de configuration simple
  • Min = 50
  • Max = 200
45 Négatif Déclencher 3-D Secure
150 Neutre Passer aux règles suivantes
250 Négatif Déclencher 3-D Secure
Mode de configuration avancée Plage positive :
  • Min = 50
  • Max = 150
Plage négative :
  • Min = 300
  • Max = 400
45 Neutre Passer aux règles suivantes
100 Positif Débrayer 3-D Secure
200 Neutre Passer aux règles suivantes
350 Négatif Déclencher 3-D Secure
450 Neutre Passer aux règles suivantes

Exemple avec la règle authentification 3-D Secure configurée en décisif :

Configuration de la règle (profil) Statut 3-D Secure de la transaction Résultat Conséquence en mode pré-autorisation
Mode de configuration simple Statuts négatifs :
ERROR
SUCCESS Neutre Passer aux règles suivantes
ERROR Négatif Refuser la transaction avant la demande d'autorisation
Mode de configuration avancée Statuts négatifs :
ERROR

Statuts positifs :

SUCCESS
SUCCESS Positif Passer à la demande d'autorisation directement sans passer par les autres règles
ERROR Négatif Refuser la transaction avant la demande d'autorisation
Figure 1. déroulement des traitements lors d'une transaction de paiement

image trop complexe pour être décrite, merci de prendre contact avec le support

En mode pré-autorisation (le mode par défaut de contrôle de lutte contre la fraude de Mercanet), les règles sont exécutées avant la demande d’autorisation et après l’authentification 3-D Secure (si la boutique est enrôlée 3-D Secure). Si le résultat du contrôle est négatif, la transaction sera refusée avant la demande d’autorisation.

Pour les moyens de paiement avec redirection vers une page spécifique pour ce moyen de paiement (exemple : Paypal), le contrôle pré-autorisation est déclenché avant la redirection.

En fonction de votre besoin, vous définissez votre ou vos profils pré-autorisation en combinant :

  • les règles GO et/ou NOGO ;
  • les modes décisif et/ou informatif.

Un profil est informatif quand toutes les règles sont en mode informatif.

Un profil est décisif quand toutes les règles sont en mode décisif.

Un profil est mixte quand il comporte des règles en mode informatif et en mode décisif.

Type de profil Mercanet / commerçant Impacts sur l'acceptation
Profil informatif Mercanet Pas d’impact, Mercanet poursuit l’action de demande d’autorisation.
Commerçant Le commerçant doit analyser le résultat des règles et décider de la suite à donner à la transaction via les opérations de caisse annulation ou validation.
Profil décisif Mercanet Si le résultat est négatif, la transaction est refusée par Mercanet, il n’y a pas de demande d’autorisation.
Si le résultat est positif ou neutre, Mercanet poursuit l’acceptation en faisant une demande d’autorisation.
Commerçant Pas d’impact sur l’acceptation de la transaction car le commerçant a délégué à Mercanet la prise de décision sur la fraude.
Toutefois le commerçant peut analyser le motif.
Profil mixte Mercanet Idem au cas du profil décisif.
Commerçant Si la transaction est refusée, pas d’impact pour le commerçant.
Si la transaction est acceptée, le commerçant doit analyser le résultat des règles en mode informatif et décider de la suite à donner.

Un profil antifraude est un ensemble de règles que vous choisissez et paramétrez parmi les règles proposées par Mercanet. Les règles sont exécutées avant l’authentification 3-D Secure et avant la demande d’autorisation selon votre paramétrage (pour comprendre les modes pré-authentification et pré-autorisation, veuillez-vous référer aux modes d'exécution et leurs impacts sur l'acceptation).

Il existe 3 types de profils antifraude :

  • le profil « offre » du distributeur ;
  • les modèles de profil ;
  • les profils marchands.

Un profil « offre » distributeur est défini par le distributeur et administré par BNP Paribas. Il définit le périmètre des règles disponibles et des configurations éventuellement imposées. Si une boutique n’a pas de profil adapté au moyen de paiement utilisé alors c’est le profil offre distributeur qui s’applique.

Les modèles de profil sont définis et administrés par Mercanet, ils sont utilisés comme modèle pour créer les profils marchands.

Les profils marchands sont définis par vous pour votre boutique et administrés par vous et/ou le distributeur (selon le choix du distributeur). Ils peuvent être créés à partir d’un profil modèle. Le terme « profil de boutique », parfois également utilisé dans ce document, est équivalent au profil marchand.

IMPORTANT: les modèles de profil et les profils marchands sont cloisonnés en pré-autorisation et pré-authentification. Par exemple, un modèle de profil en pré-autorisation ne peut pas servir à créer les profils marchands en pré-authentification. Un profil marchand en pré-authentification ne peut pas s’appliquer à l’étape de pré-autorisation lors d’un paiement.

Dans la suite de ce document, lorsque la notion de « profil » est évoquée, il s'agit de profils marchands.

Le paramétrage des profils antifraude se fait l'onglet fraude du Merchant Extranet.

Dans la plupart des cas, vous définissez un profil antifraude unique qui est appliqué à l’ensemble de vos transactions, quel que soit le moyen de paiement utilisé. Cependant, vous pouvez également définir des profils antifraudes supplémentaires ayant un paramétrage adapté à un ou plusieurs moyens de paiement particuliers.

Lorsqu’une transaction doit être évaluée, le système de contrôle du risque commence par chercher, au sein du paramétrage de la boutique un profil antifraude spécifique au moyen de paiement utilisé.

Si un tel profil n’est pas trouvé, le système cherche le profil par défaut de la boutique. Ce profil est un profil permettant d’analyser les transactions qui n’ont pas été traitées par des profils spécifiques aux moyens de paiement.

Pour créer un profil par défaut, il suffit de créer un profil sans lui attribuer de moyen de paiement.

Attention: si aucun profil actif n'est disponible sur la boutique, c'est le profil offre du distributeur qui sera appliqué.

Il ne peut y avoir qu’un seul profil actif pour un moyen de paiement donné. De même, il ne peut y avoir qu’un seul profil par défaut actif.

Par exemple, il est possible d'avoir :

  • un profil dédié CB, VISA et MASTERCARD ;
  • un profil dédié AMEX ;
  • et un profil par défaut qui contrôlera les transactions payées avec un autre moyen de paiement.

Soit trois profils actifs simultanément.

Vous pouvez créer autant de profils inactifs que nécessaire. Ceci permet par exemple de garder des profils en réserve pour des périodes particulières de l’année (soldes, fêtes…).

Les règles sont déclenchées séquentiellement suivant l'ordre du paramétrage du profil.

La première règle paramétrée en mode décisif qui donne un résultat positif pour les règles GO, ou négatif pour les règles NOGO, arrête le déclenchement de la suite des règles décisives.

Les règles en mode informatif sont déclenchées systématiquement.

Pour la restitution du résultat des règles en informatif ou en décisif veuillez-vous référer à la restitution du résultat des règles. Le schéma ci-dessous décrit le déclenchement de règles.

Figure 2. procédure de déclenchement d'un profil antifraude

image trop complexe pour être décrite, merci de prendre contact avec le support

Vous avez la possibilité de débrayer dynamiquement, dans la requête de la transaction, certaines règles du profil. Pour avoir la liste des directives de débrayage consultez la donnée cardProductProfil dans le dictionnaire des données.

IMPORTANT: vous ne pouvez pas débrayer les règles imposées par le distributeur.
Note: le débrayage dynamique est applicable aux règles actives dans des profils pré-authentification et pré-autorisation (pour comprendre les modes pré-authentification et pré-autorisation, veuillez-vous référer aux modes d’exécution (pré-autorisation & pré-authentification) et leur impacts sur l’acceptation).

Vous avez la possibilité de surcharger dynamiquement, dans la requête de la transaction, certaines règles du profil.

Les modalités de surcharge dynamique sont décrites dans la description et mise en oeuvre des règles.

IMPORTANT: vous ne pouvez pas surcharger les règles imposées par le distributeur.
Note: la surcharge dynamique est applicable aux règles actives dans des profils pré-authentification et pré-autorisation (pour comprendre les modes pré-authentification et pré-autorisation, veuillez-vous référer aux modes d’exécution et leurs impacts sur l’acceptation).

Le résultat de l’exécution du profil de pré-autorisation est restitué dans les champs complementaryCode, complementaryInfo, preAuthorisationProfile, preAuthorisationProfileValue et preAuthorisationRuleResultList :

  • complementaryCode contient le code spécifique de la règle décisive ou informative qui a retourné un résultat négatif (pour les règles du type NOGO) ou positif (pour les règles du type GO). Si aucune règle décisive ou informative n’a retourné de résultat positif ou négatif, le champ vaut 00 ;
  • complementaryInfo* contient 3 types d’informations :
    1. le résultat de chaque règle (décisive ou informative) exécutée dans le profil marchand au format <RULE_RESULT XX=Y XX=Y … XX=Y /> :
      Lettre(s) Description Valeur
      XX Code de la règle. Pour connaître les codes de règles, veuillez vous référer à la liste des règles.
      Y Résultat d'exécution N : résultat négatif
      P : résultat positif
      O : résultat neutre
      U : règle pas exécutée car transaction incomplète (par exemple donnée non renseignée)
      X : règle non applicable à ce type de transaction
      B : règle non exécutée car vous l'avez débrayée
      E : règle non exécutée suite à erreur technique
      D : règle non exécutée suite à erreur de la surcharge dynamique
    2. les informations complémentaires générées par les règles exécutées.

      Pour connaître les informations détaillées, veuillez-vous référer à la description et mise en oeuvre des règles. Notez que seules certaines règles alimentent le champ complementaryInfo,

    3. les informations sur la carte de paiement utilisée le cas échéant.
      Pour connaître les informations détaillées, veuillez-vous référer aux informations carte,
  • preAuthorisationProfile contient le nom du profil antifraude exécuté avant la demande d’autorisation ;
  • preAuthorisationProfileValue contient l’identifiant unique de la version du profil exécuté. Cette information est utile pour pouvoir retrouver le profil dans l’état où il se trouvait au moment de l’exécution des règles ;
  • preAuthorisationRuleResultList contient une liste du résultat détaillé de chaque règle exécutée avant la demande d’autorisation.
Chaque objet contenu dans le champ preAuthorisationRuleResultList correspond au résultat d’une règle et contient les valeurs suivantes :
Objet Description Valeur
ruleCode Code de la règle. Pour connaître les codes de règles, veuillez-vous référer à la liste des règles.
ruleType Type de la règle. Pour connaître le type de chaque règle, veuillez-vous référer à la liste des règles.
Si le mode de configuration avancée est activé sur une règle, la valeur du champ ruleType est valorisée à « MI ».
ruleWeight D : si la règle est paramétrée en décisif dans le profil
I : si la règle est paramétrée en informatif dans le profil
ruleSetting Type de configuration de la règle. D : dynamique (valeur donnée dans la requête de paiement)
S : statique (valeur venant du profil fraude)
I : statique imposée dans la configuration de l'offre distributeur
N : pas de configuration (lorsque la règle ne nécessite aucune configuration)
ruleResultIndicator Résultat d'exécution de la règle. N : résultat négatif
P : résultat positif
O : résultat neutre
U : règle non exécutée car transaction incomplète (par exemple donnée non renseignée)
X : règle non applicable à ce type de transaction
B : règle non exécutée car vous l'avez débrayée
E : règle non exécutée suite à erreur technique
D : règle non exécutée suite à erreur de la surcharge dynamique
ruleDetailedInfo Informations complémentaires générées par la règle. Pour connaître les informations détaillées, veuillez-vous référer à la description et mise en oeuvre des règles.

Ces champs vous sont restitués sur les interfaces suivantes :

  • la réponse automatique et la réponse manuelle de Paypage ;
  • la réponse des connecteurs Office (M2M) (services Checkout, CashManagement (duplication) et Diagnostic) ;
  • Merchant Extranet ;
  • le journal des transactions à l’exception du champ preAuthorisationRuleResultList.

Profil informatif

Champ Description
Résultat neutre
responseCode Valorisé en fonction de la réponse d’autorisation
acquirerResponseCode Valorisé en fonction de la réponse d’autorisation
complementaryCode Valorisé en fonction des règles informatives exécutées, sinon 00**
complementaryInfo* Valorisé en fonction des règles déroulées
preAuthorisationProfile Nom du profil antifraude exécuté
preAuthorisationProfileValue Identifiant unique du profil exécuté
preAuthorisationRuleResultList Liste du résultat détaillé de chaque règle exécutée

Profil décisif ou mixte

Champ Description
Résultat neutre
responseCode Valorisé en fonction de la réponse d’autorisation
acquirerResponseCode Valorisé en fonction de la réponse d’autorisation
complementaryCode Valorisé en fonction des règles informatives exécutées, sinon 00*
complementaryInfo* Valorisé en fonction des règles déroulées
preAuthorisationProfile Nom du profil antifraude exécuté
preAuthorisationProfileValue Identifiant unique du profil exécuté
preAuthorisationRuleResultList Liste du résultat détaillé de chaque règle exécutée
Résultat positif
responseCode Valorisé en fonction de la réponse d’autorisation
acquirerResponseCode Valorisé en fonction de la réponse d’autorisation
complementaryCode Valorisé en fonction de la règle GO qui a généré l’accord
complementaryInfo* Valorisé en fonction des règles déroulées
preAuthorisationProfile Nom du profil antifraude exécuté
preAuthorisationProfileValue Identifiant unique du profil exécuté
preAuthorisationRuleResultList Liste du résultat détaillé de chaque règle exécutée
Résultat négatif
responseCode Valorisé à 05
acquirerResponseCode Non renseigné
complementaryCode Valorisé en fonction de la règle NOGO qui a généré le refus
complementaryInfo* Valorisé en fonction des règles déroulées
preAuthorisationProfile Nom du profil antifraude exécuté
preAuthorisationProfileValue Identifiant unique du profil exécuté
preAuthorisationRuleResultList Liste du résultat détaillé de chaque règle exécutée

* Le champ complementaryInfo est déprécié. Il n’évoluera plus et cessera à terme d’être alimenté. Les informations qu’il contient sont disponibles dans une version améliorée, dans le champ preAuthorisationRuleResultList.

** Voir la liste des règles

L'offre globale Mercanet propose divers moyens de paiements internationaux, comme les cartes Visa/Mastercard, le portefeuille numérique Paypal, le virement iDeal, le prélèvement SDD, etc.

Les règles ne s'appliquent pas nécessairement à tous les moyens de paiement.

Pour les moyens de paiement single message**, la définition des profils informatifs est techniquement possible, mais le résultat du contrôle n’aura aucun impact sur l’acceptation de la transaction.

Pour savoir si une règle antifraude est applicable à un moyen de paiement, veuillez-vous référer aux correspondances entre moyens de paiement et règles antifraude (annexe correspondance entre moyens de paiement et règles de fraude).

** Moyen de paiement en single message : autorisation et remise en une étape, comme les virements tel que Ideal, Paybutton ou Paypal en mode immédiate. Moyen de paiement en dual message : autorisation et remise en deux étapes.

Les profils antifraudes s’appliquent aux transactions, ainsi qu’aux opérations de caisse provoquant la création d’une nouvelle transaction (duplication).

Ainsi les opérations de caisse standards qui manipulent les transactions existantes (validation, annulation, remboursement…) ne font pas l’objet des contrôles antifraudes.

Pour le paiement en N fois, seul le 1er paiement est soumis aux contrôles antifraudes.

Pour certaines règles, il est nécessaire de transmettre des données dans la requête. L’absence des données entraîne la non-exécution de la requête.

Par exemple, pour la règle de l’encours par identifiant client, il est nécessaire de transmettre l’identifiant du client dans la requête. Sinon la règle ne sera pas déclenchée.

Les règles ne s'appliquent pas nécessairement aux 2 modes (pré-authentification et pré-autorisation).

Par exemple la règle Authentification 3-D Secure n’est pas disponible en pré-authentification. En effet, cette règle se base sur le résultat de l’authentification 3-D Secure, or le profil antifraude de pré-authentification est appliqué en amont. Cette règle n’est pas applicable avant l’authentification.

Dans le cas d’un paiement par carte, certaines informations relatives à la carte sont retournées dans le champ complementaryInfo. Les informations retournées incluent :

  • le pays émetteur de la carte ;
  • le réseau de la carte ;
  • le code d'émetteur de la carte et le nom d'émetteur de la carte ;
  • le code produit de la carte et le nom de produit de la carte ;
  • le profil produit de la carte.

Les informations sont retournées au format suivant : <CARD_INFOS BDOM=<nom d’émetteur de la carte> COUNTRY=<pays émetteur de la carte> PRODUCTCODE=<code produit de la carte> NETWORK=<réseau de la carte> BANKCODE=<code d'émetteur de la carte> PRODUCTNAME=<nom de produit de la carte> PRODUCTPROFILE=<produit profil de la carte>/>$

Pour la liste de codes pays, veuillez-vous référer à la donnée countryList dans le dictionnaire des données.

Pour la liste de réseaux, veuillez-vous référer à la donnée cardScheme dans le dictionnaire des données.

Pour la liste de produits profils, veuillez-vous référer à la donnée cardProductProfil dans le dictionnaire des données.

Retourner en haut de page Besoin d'aide ?

Besoin d'aide ?

Fermer