Les bonnes pratiques en matière de sites e-commerce : le paiement (2/3)

Dans une démarche de vente en ligne il y a 3 grandes étapes à observer. La première est le respect de la réglementation. La deuxième consiste à bien choisir sa solution de paiement.

Au total, il existe 3 procédés de paiement en ligne pour les sites marchands.

Relais bancaire automatisé

Le relais bancaire automatisé constitue certainement la solution la plus professionnelle, et à ce titre, c'est celle qui est le plus fortement recommandée. Celle-ci se déroule en 3 phases successives.

Phase 1 : sélection des variables produits. L'internaute sélectionne ses variables produits et incrémente le panier de commande. Les informations sont alors stockées dans la base de données du site.

Phase 2 : sélection des variables personnelles. L'internaute indique ses variables personnelles en s'identifiant et/ou en créant un nouveau compte. A ce stade, les informations sont encore stockées dans la base de données du site.

Phase 3 : relais bancaire. L'internaute indique ses variables bancaires et quitte le site pour aller sur celui de la banque. Dans cette étape, un certain nombre de données sont transmises de façon cryptée (numéro, propriétaire, dates et cryptogramme).

Ces données ne sont désormais plus accessibles depuis le serveur du site mais sont directement envoyées au serveur de la banque, chargé des opérations de débit/crédit.

 Ce procédé est de loin le meilleur pour plusieurs raisons :

- Les internautes sont rassurés car ils savent que le site ne stocke pas les numéros de cartes bleues et bénéficiez donc d'une sécurité maximum.

- La banque se charge du débit/crédit en temps réel, ce qui facilite la montée en charge.

Dans ce procédé, l'architecture d'hébergement idéale (hors redondance) nécessite 3 serveurs :

- Un serveur pour les pages du site marchand.
- Un serveur dédié qui héberge la base de données.
- Un serveur passerelle, doté d'un certificat SSL crypté, qui est placé entre les serveurs du site et le serveur de la banque qui fera la transaction.

Cette solution ne présente aucun risque et implique 2 types de coûts différents :

- Ceux de l'agence pour le développement et l'hébergement du système de paiement en ligne.

- Ceux de l'établissement bancaire (contrat de vente à distance, % sur les transactions, assurances éventuelles complémentaires) qui sont à négocier avec le responsable de compte.


Organisme tiers

Les organismes tiers constituent une solution intermédiaire plus ou moins satisfaisante. Celle-ci se déroule en 3 phases successives.

Phase 1 : sélection des variables produits. L'internaute sélectionne ses variables produits et incrémente le panier de commande. Les informations sont alors stockées dans la base de données du site.

Phase 2 : sélection des variables personnelles. L'internaute indique ses variables personnelles en s'identifiant et/ou en créant un nouveau compte. A ce stade, les informations sont encore stockées dans la base de données du site.

Phase 3 : redirection vers l'organisme tiers. L'internaute indique ses variables bancaires et quitte le site pour aller sur celui d'un prestataire intermédiaire. Les données sont transmises de façon cryptée (numéro, propriétaire, dates et cryptogramme). Les opérations de débit/crédit seront ensuite traitées entre l'organisme choisi et la banque.

Cette solution implique 2 conséquences à mesurer :

- Une notion de confidentialité à évaluer puisque dans ce schéma une entreprise tiers dispose de données importantes quant à la base de données clients (nom, adresse, produits achetés, codes bancaires,...).

- Une notion de risque éventuel en cas de contentieux juridique puisque le cybermarchand n'a aucun contrôle sur ces organismes qui sont la plupart du temps immatriculés à l'étranger.


Trans action différée

Parmi les 3 procédés de paiement en ligne pour les sites marchands, la transaction différée constitue la solution la plus risquée, fortement déconseillée. Celle-ci se déroule en 3 phases successives.

Phase 1 : sélection des variables produits. L'internaute sélectionne ses variables produits et incrémente le panier de commande. Les informations sont alors stockées dans la base de données du site.

Phase 2 : sélection des variables personnelles. L'internaute indique ses variables personnelles en s'identifiant et/ou en créant un nouveau compte. A ce stade, les informations sont stockées dans la base de données du site.

Phase 3 : la transaction différée. L'internaute indique ses variables bancaires mais reste connecté sur le site. A ce stade les données saisies (numéro, propriétaire, dates et cryptogramme) demeurent situées dans l'environnement du site. Malgré toutes les précautions prises (sessions sécurisées, cookies, protocole SSL, cryptage de la base de données,...) le cybermarchand prend le risque de stocker des informations très sensibles.

Ce procédé présente 3 inconvénients majeurs :

- Un problème de responsabilité juridique, puisque le marchand stocke les numéros de cartes bleues (qu'il faut détruire après chaque transaction) ce qui engage sa responsabilité en cas de fraude.

- Un risque d'étanchéité des données puisque dans cette configuration, n'importe qu'elle personne de l'entreprise pourra librement consulter les données bancaires des clients.

- Un problème de montée en charge puisque le cybermarchand doit disposer d'un terminal de paiement physique à la manière d'un commerçant et effectuer chaque transaction en effectuant lui-même la saisie, ce qui devient pénalisant à partir d'un certain nombre de transactions.