Tokenisation des paiements : comment ça marche ?

Votre activité implique un service d'abonnement ou des paiements récurrents ? Si oui, vous avez déjà probablement été confronté à des échecs de paiement. Passés inaperçus, ceux-ci peuvent avoir un impact direct sur vos bénéfices.

En réalité, ces échecs de paiement posent problème à tout le monde, et surtout à vos clients. Bien souvent, ils s'aperçoivent de l'échec de leur paiement seulement quand le service s'arrête. Ils doivent alors re-saisir manuellement toutes leurs coordonnées, un processus long et frustrant.

Pour les entreprises, c'est une perte directe de revenus et de potentiels nouveaux clients.

Et s'il existait un moyen de réduire le risque d'échec d'un paiement, tout en ajoutant un niveau de sécurité supplémentaire ? Ce moyen porte un nom : la tokenisation (ou tokenization en anglais).

La tokenisation est une stratégie qui permet de remplacer des données sensibles par des données sécurisées et non-sensibles. En matière de paiement, la tokenisation prend en compte le numéro d’identification de la carte (PAN), la date d'expiration et le CVV2. Ces données sont cryptées et transformées en une combinaison de chiffres uniques - c'est notre token.

Une transaction déclenche le processus de création d'un token en temps réel, en connectant la carte du client à la banque émettrice, afin d'émettre un token spécifique pour la transaction. Le PAN est conservé à l'abri des regards, ce qui fait de la tokenisation un moyen fiable de renforcer la sécurité du paiement.

En tant que prestataire de services de paiement (PSP), Adyen peut agir en tant qu'émetteur. Notre service de tokenisation stocke en toute sécurité les données des cartes clients et génère un token qui peut être utilisé par une entreprise pour facturer les futurs achats, comme le montre le schéma ci-dessous.

Selon le type d'entreprise et de transaction, la tokenisation des paiements s'effectue de différentes manières.

La première fois qu'un consommateur saisit les informations de sa carte sur une plateforme, celle-ci peut être tokenisée et stockée dans un fichier, afin de ne plus avoir à saisir les données par la suite.

De plus, un système de Card on file - comme notre Account Updater - peut instantanément mettre à jour les données en cas de perte, d'expiration ou de vol de la carte, ce qui réduit le risque d'échec du paiement.

La carte stockée dans un fichier peut être utilisée pour deux types de transactions :

Abonnements et paiements récurrents - Les entreprises peuvent déclencher et collecter des paiements auprès de leurs utilisateurs sans aucun obstacle. Exemple : Netflix ou Spotify.

Paiements en un clic - Il suffit aux clients de confirmer une transaction pour que leur carte soit immédiatement débitée à l'aide des données pré-enregistrées. Il s'agit d'un excellent moyen de garantir un checkout rapide et optimisé, idéal pour les achats réguliers.

Pour être ajouté à un portefeuille électronique (E-wallet) comme Apple Pay ou Google Pay™, les données sensibles de la carte sont remplacées par un token stocké sur un appareil pour les paiements en ligne, in-app et en personne. Cela rend les portefeuilles électroniques largement accessibles, puisque de nombreuses entreprises les acceptent.

La sécurité est également accrue, car non seulement les tokens sont sûrs, mais leur sécurité intégrée signifie qu'ils répondent aux exigences de conformité de l'industrie des cartes de paiement (PCI) et de la directive sur les services de paiement (PSD2). Cela inclut l'authentification forte du client via des données biométriques telles que Touch ID ou la reconnaissance faciale.

La tokenisation est adaptée aux modèles commerciaux basés sur l'abonnement ou à toute entreprise qui génère une activité importante grâce à des clients réguliers. Il existe plusieurs avantages fondamentaux pour les entreprises qui la mettent en œuvre.

Sécurité : Si des fraudeurs volent des données de paiement tokenisées, cela ne signifie pas qu'ils peuvent voler de l'argent. En fait, ils ne peuvent pas du tout utiliser les tokens volés pour payer en ligne, puisqu'ils sont incapables de relier le token aux informations de paiement stockées en toute sécurité par le partenaire de paiement.

Réduction des coûts : Les entreprises peuvent économiser de l'argent à long terme grâce à la nature sécurisée de la tokenisation. En plus de réduire les coûts de mise en conformité grâce au champ d'application minimal de la norme PCI, elles courent moins de risques de violation des données qui pourraient entraîner des amendes importantes ou des batailles juridiques.

Paiements simplifiés : Comme nous l'avons vu ci-dessus, le processus de paiement est non seulement plus rapide avec la tokenisation - puisqu'il peut se faire en un seul clic - mais les taux de conversion sont également augmentés, notamment car les informations des cartes sont toujours à jour.

La tokenisation et le cryptage (ou chiffrement) sont deux moyens efficaces de protéger les données, mais il ne s'agit pas du même processus. Ils sont parfois utilisés à l'unisson pour créer un processus de paiement sécurisé du début à la fin, mais ils ne sont pas interchangeables. Il est donc important de connaître la différence entre les deux.

Alors que la tokenisation remplace les données sensibles par un token, les données originales restent présentes dans le cas du chiffrement. Elles sont transformées en une forme illisible accompagnée d'une clé. Cette clé de cryptage est partagée entre l'expéditeur et le destinataire, qui l'utilise pour décrypter les données de l'autre côté.

C'est cette méthode qui rend le cryptage idéal pour le transfert de données non structurées : des longs textes comme des documents sensibles (dossiers médicaux, informations financières, etc.) par exemple. Le cryptage convient également aux bases de données qui ne sont pas stockées sur plusieurs systèmes ou qui n'échangent pas régulièrement des informations.

Pour la tokenisation, un processus plus complexe est nécessaire pour accéder aux données originales protégées par le token.

Comme son nom l'indique, la détokenisation est le processus inverse de la tokenisation, qui consiste à récupérer les données exactes de la carte qui ont été saisies à l'origine. Le plus souvent, elle ne peut être effectuée qu'à l'aide du système d'origine utilisé pour la tokenisation. Mais, en de rares occasions, des applications autorisées peuvent procéder à la détokenisation dans un but commercial approuvé et strictement nécessaire, tel que la détection des fraudes.

Voilà donc comment fonctionne la tokenisation dans le monde des paiements. Nous espérons que cet article vous a aidé à mieux comprendre le processus et à déterminer s'il convient à votre entreprise.