Découvrez les acteurs de l'écosystème Web Payments, leurs interactions et comment y participer.
Anatomie des paiements Web
Web Payments comprend plusieurs normes Web :
- API Payment Request : l'API Payment Request permet de payer rapidement et facilement grâce à une UI de navigateur native. Il offre un parcours de paiement cohérent tout en réduisant la nécessité pour les utilisateurs de saisir leurs informations de livraison et de paiement à chaque paiement.
- API Payment Handler : l'API Payment Handler ouvre l'écosystème aux fournisseurs de paiement en permettant à leurs applications de paiement Web de servir de modes de paiement sur les sites Web des marchands via l'API Payment Request standard.
- Identifiants de mode de paiement : les identifiants de mode de paiement définissent la manière dont les chaînes (
https://google.com/pay,https://apple.com/apple-pay, etc.) peuvent être utilisées pour identifier un mode de paiement. En plus des identifiants de modes de paiement standardisés, il permet à chacun de définir son propre mode de paiement avec des identifiants de modes de paiement basés sur des URL. - Fichier manifeste du mode de paiement : le fichier manifeste du mode de paiement définit le fichier manifeste lisible par machine, décrivant comment un mode de paiement participe à l'écosystème de paiement et comment ces fichiers doivent être utilisés.
Fonctionnement de la procédure de demande de paiement
Une transaction en ligne implique généralement quatre participants.
| Joueurs | Description | Utilisation de l'API |
|---|---|---|
| Clients | Utilisateurs qui suivent un parcours de paiement pour acheter des articles en ligne. | N/A |
| Marchands | Entreprises qui vendent des produits sur leur site Web | API Payment Request |
| Prestataires de services de paiement | Entreprises tierces qui traitent réellement les paiements, c'est-à-dire qui débitent les clients et créditent les marchands. Également appelés passerelles de paiement ou processeurs de paiement. | API Payment Request |
| Gestionnaires de paiement | Entreprises tierces qui fournissent des applications qui stockent généralement les identifiants de paiement des clients et, sur autorisation de leur part, les fournissent aux marchands pour traiter une transaction. | API Payment Handler |
- Le client accède au site Web d'un marchand, ajoute des articles à un panier et lance le processus de paiement.
- Le marchand a besoin des informations de paiement du client pour traiter la transaction. Ils présentent une UI de demande de paiement au client à l'aide de l'API Payment Request. L'UI liste différents modes de paiement spécifiés par les identifiants de mode de paiement. Les modes de paiement peuvent inclure les numéros de carte de crédit enregistrés dans le navigateur ou les gestionnaires de paiement tels que Google Pay, Samsung Pay et d'autres. Le marchand peut éventuellement demander l'adresse de livraison et les coordonnées du client.
- Si le client choisit un mode de paiement tel que Google Pay, Chrome lance une application de paiement native à la plate-forme ou une application de paiement Web. Cette étape dépend entièrement de l'implémentation du gestionnaire de paiement, basée sur le manifeste du mode de paiement. Une fois le paiement autorisé par le client, le gestionnaire de paiement renvoie une réponse à l'API Payment Request, qui la transmet au site du marchand. (Si le paiement est de type push, comme les virements bancaires ou les paiements en cryptomonnaie, il est déjà traité lorsque le marchand reçoit la réponse.)
- Le site du marchand envoie un identifiant de paiement à un PSP pour traiter le paiement et lancer le transfert de fonds. En général, il est également nécessaire de valider le paiement côté serveur.
- Le PSP traite le paiement en demandant de manière sécurisée un transfert de fonds de la banque ou de l'émetteur de carte de crédit du client au marchand, puis renvoie un résultat de réussite ou d'échec au site Web du marchand.
- Le site Web du marchand informe le client de la réussite ou de l'échec de la transaction et affiche l'étape suivante (par exemple, l'expédition de l'article acheté).
Avertissement : Dépendance aux PSP
Si vous êtes un marchand et que vous souhaitez accepter les paiements par carte de crédit, les PSP sont un maillon important de la chaîne de traitement des paiements. L'implémentation de l'API Payment Request ne dispense pas d'utiliser un PSP.
Les marchands s'appuient généralement sur un PSP tiers pour traiter les paiements, pour des raisons de commodité et de coût. Cela s'explique principalement par le fait que la plupart des PSP respectent la norme PCI DSS, une norme de sécurité des informations qui régit la sécurité des données des titulaires de cartes.
Étant donné qu'il peut être coûteux et difficile d'atteindre et de maintenir une conformité stricte à la norme PCI DSS, la plupart des marchands préfèrent s'appuyer sur un PSP conforme pour éviter de passer eux-mêmes par le processus de certification. Toutefois, certaines grandes entreprises financièrement solides obtiennent leur propre certification PCI DSS afin d'éviter de dépendre de tiers.
C'est particulièrement important lorsque vous manipulez un numéro de compte principal (PAN) comme identifiant de paiement, c'est-à-dire le numéro gravé sur la carte. Pour gérer un seul avec JavaScript, vous devez respecter le SAQ PCI A-EP.
Déléguer le traitement des paiements à un PSP conforme à la norme PCI DSS simplifie donc les exigences du site du marchand et garantit l'intégrité des informations de paiement pour le client.
Étape suivante
Pour en savoir plus sur les champs et les méthodes de l'API Payment Request, consultez Fonctionnement de l'API Payment Request.