De nombreuses entreprises peuvent s’intéresser à la construction de leur propre passerelle de paiement: les commerçants souhaitant réduire les frais de service de paiement, les startups souhaitant proposer une passerelle dans une région mal desservie, ou les entreprises en ligne qui ont commencé avec un service en marque blanche qui leur présente maintenant des limitations techniques au lieu d’un support.
Cependant, trop de personnes ne comprennent pas pleinement la taille et la portée de la création d’une passerelle de paiement à partir de zéro. Il existe de nombreuses idées fausses sur les étapes de création et d’exécution de votre propre passerelle de paiement.
Dans cet article, nous répondrons à de nombreuses questions pour vous donner une idée complète de ce qui est nécessaire pour créer votre propre solution de passerelle de paiement à partir de zéro.
Par où commencer ?
Vous pensez peut-être avoir besoin de parler avec des développeurs ou des fournisseurs de services technologiques lorsque vous envisagez de créer une passerelle de paiement. Après tout, c’est une solution numérique pour accepter les paiements par carte de crédit.
Cependant, cette croyance est erronée; la première chose que vous devrez faire est d’établir des relations d’affaires avec un processeur de paiement ou une banque acquéreuse.
Pourquoi ai-je besoin d’un processeur de paiement?
Si vous souhaitez proposer une passerelle de paiement en tant que service, vous avez besoin de quelque chose pour la connecter. Ce quelque chose est le processeur de paiement. Un processeur de paiement, parfois appelé service marchand, déplace la transaction via le réseau de paiement. Parfois, une banque acquéreuse peut être un processeur de paiement.
Le processeur avec lequel vous choisissez de vous associer vous fournira des informations techniques pour intégrer votre passerelle à son système. Selon les types de paiement que vous souhaitez accepter, vous devrez peut-être vous associer et vous intégrer à plusieurs processeurs.
Pourquoi ai-je besoin d’une banque acquéreuse?
Si vous êtes un commerçant qui souhaite avoir sa propre passerelle de paiement, vous aurez besoin d’un processeur de paiement et d’une banque acquéreuse. Les commerçants ont déjà besoin d’un compte marchand pour accepter les paiements numériques, qui sont fournis par les banques acquéreuses.
Un partenaire acquéreur est une banque ou une institution financière (IF) qui traite les paiements par carte de crédit ou de débit pour le compte d’un commerçant. La banque acquéreuse que vous choisissez assumera le risque pour votre entreprise et, à ce titre, exigera certains engagements financiers en raison de rétrofacturations, de remboursements, de retours ACH et de fraudes potentielles.
Une banque acquéreuse n’est pas la même qu’une banque commerciale, qui propose des comptes chèques et des comptes d’épargne. Une banque commerciale peut avoir une division d’acquisition, mais toutes les banques commerciales ne peuvent pas souscrire des comptes marchands. Assurez-vous que l’institution financière avec laquelle vous souhaitez vous associer peut vous créer un compte marchand.
1. Le client lance un achat numérique. 2. Le commerçant transmet les informations du titulaire de la carte à la passerelle de paiement. 3. La passerelle de paiement crypte les informations du titulaire de carte et les transmet au processeur de paiement. 4. Le processeur de paiement vérifie les informations du titulaire de la carte et les transmet au réseau de cartes. 5. Le réseau de cartes transmet les informations à la banque émettrice. 6-9. Selon le montant des fonds sur le compte du titulaire de la carte, un message approuvé ou refusé est retransmis sur le réseau de paiement. 10. Si le paiement est approuvé, les fonds sont transférés sur le compte du commerçant auprès de sa banque acquéreuse.
De quelles spécifications techniques ai-je besoin?
Votre processeur de paiement de choix fournira les spécifications nécessaires pour intégrer votre passerelle de paiement à leur système et à l’ensemble du réseau de paiement. Si vous prévoyez d’accepter de nombreux types de paiement différents, vous devrez peut-être obtenir des spécifications supplémentaires auprès d’autres acquéreurs ou processeurs.
Ces spécifications techniques vous informeront de la technologie que vous pouvez ou devez utiliser pour construire votre passerelle de paiement.
Que faire si je veux vendre dans plusieurs endroits géographiques?
Vous aurez besoin d’une relation avec un processeur qui fonctionne dans tous les emplacements. Cela peut signifier un partenariat avec un processeur spécifique qui opère dans plusieurs emplacements, ou des partenariats avec plusieurs processeurs.
Les réglementations locales de la ou des régions dans lesquelles vous souhaitez faire des affaires pèseront également sur le choix de la technologie pour votre passerelle de paiement. Nous avons reçu des demandes d’aide à la création de passerelles pour opérer, par exemple, en Amérique latine et en Malaisie; les lois et normes locales peuvent rendre la croissance difficile pour d’autres fournisseurs de paiement populaires comme PayPal, ce qui semble laisser un vide ouvert pour d’autres fournisseurs.
Cependant, les obstacles pour les grandes entreprises sont des obstacles pour une raison; ils ne sont pas toujours aussi faciles à surmonter par les autres.
Combien coûte la construction d’une passerelle de paiement ?
Notre estimation théorique pour la création d’un produit minimum viable de passerelle de paiement (MVP) se situe entre 200K $ et 250K $. Cela dépend bien sûr de la fonctionnalité que vous souhaitez intégrer à votre passerelle. Le MVP décrit ici vous permettrait au moins d’accepter les paiements par carte de crédit et de débit.
Combien de temps faut-il pour construire une passerelle de paiement ?
Construire une passerelle de paiement à partir de zéro peut prendre des années. Une solution plus rapide consiste à licencier un produit en marque blanche, qui peut être opérationnel en quelques mois seulement. De nombreux produits en marque blanche peuvent être personnalisés en fonction des besoins de votre entreprise.
Il peut également prendre des mois ou des années pour que les processeurs ou les acquéreurs décident de s’intégrer à votre passerelle de paiement, ce qui la rend viable pour une utilisation sur le marché.
Pour créer une passerelle de paiement MVP à partir de zéro, nous estimons à peu près jusqu’à six mois. Cette estimation fluctuera probablement en fonction des spécificités de votre demande.
Ne vais-je pas économiser de l’argent à long terme si je construis ma propre passerelle?
Peut-être, si votre volume de traitement est suffisamment important. Beaucoup supposent à tort que s’ils hébergent leur propre solution de passerelle de paiement, ils peuvent éliminer les frais de traitement de carte de crédit qu’ils paient à leur processeur.
Des frais d’utilisation et / ou de traitement du réseau de cartes seront toujours exigés par des fournisseurs tels que Visa et Mastercard.
Les coûts d’échange et de règlement ne peuvent être éliminés qu’avec des intégrations directes avec des fournisseurs de réseaux de cartes. Ce niveau d’intégration n’a vraiment de sens que si votre entreprise traite de très gros volumes de transactions, par exemple des milliards.
Les suppléments peuvent être réduits en possédant votre propre passerelle de paiement, mais cela dépend à nouveau si le volume de vos transactions compense le coût de construction et d’exploitation d’une passerelle de paiement.
Posséder et exploiter votre propre passerelle de paiement entraîne également un coût supplémentaire de paiement pour la maintenance des serveurs et des produits de passerelle.
Il ne vaut la peine de prendre un produit open source en interne ou de développer le vôtre que si l’élimination de certains frais liés aux passerelles tiers compense le prix annuel de la maintenance des passerelles, de l’audit PCI DSS, des certifications et d’autres coûts innombrables.
N’oubliez pas la sécurité
Le partenariat avec un processeur et l’obtention de spécifications techniques pour l’intégration ne sont que la pointe de l’iceberg. Les commerçants recherchent des passerelles de paiement sécurisées pour renforcer la confiance des clients. Des passerelles de paiement sécurisées avec des mécanismes de détection de la fraude peuvent aider à éviter les rétrofacturations et autres problèmes résultant d’achats frauduleux.
Dans les sections suivantes, nous discuterons d’autres concepts qui peuvent avoir un impact sur votre capacité à créer et à exploiter votre propre passerelle de paiement.
Qu’est-ce que la norme PCI DSS ?
Les entreprises qui gèrent les informations sur les titulaires de carte doivent se conformer à la Norme de sécurité des données de l’industrie des cartes de paiement, ou PCI DSS. PCI DSS est une liste de pratiques que les entreprises utilisent pour améliorer la sécurité des transactions par carte et défendre les informations du titulaire de carte contre le vol.
Selon Rodolphe Simonetti, directeur général mondial chez Verizon, il existe une corrélation étroite entre le manque de conformité PCI DSS et les cyber-violations. « Nos données montrent que nous n’avons jamais enquêté sur une violation de données de sécurité de carte de paiement pour une organisation conforme à la norme PCI DSS », a-t-il déclaré dans le rapport sur la sécurité des paiements 2019 de Verizon. » La conformité fonctionne. »
Une faille de sécurité ne consiste pas seulement à perdre des informations sur les clients: les entreprises subissent également une perte de confiance des clients, des ventes futures ou la menace d’une action en justice. Ils sont passibles d’amendes pour non-respect de la norme PCI DSS et, s’ils en ont une, de la perte de leur compte marchand.
De quel niveau de conformité PCI DSS ai-je besoin ?
Il existe quatre niveaux de conformité PCI DSS. Décider lequel vous devez rencontrer est un processus compliqué, mais se décompose généralement en quatre domaines:
- Collecte : Les informations du titulaire de carte seront-elles collectées sur le navigateur du client, le serveur du commerçant ou le serveur de passerelle de paiement ?
- Stockage : Les données de la carte seront-elles stockées sur les serveurs du commerçant ou sur les serveurs de la passerelle de paiement ?
- Transmission : Comment les données de la carte seront-elles transmises à la passerelle ?
- Traitement : Les informations du titulaire de la carte seront-elles traitées par le commerçant ou par la passerelle de paiement ?
Les technologies suivantes peuvent aider à sécuriser les informations des clients et à les protéger contre les cyberattaques. Cependant, l’utilisation d’une ou d’une combinaison de ces technologies ne constitue pas une conformité PCI DSS.
La conformité PCI DSS est un ensemble de normes à multiples facettes qui couvrent un éventail de sujets et de disciplines. Pour en savoir plus sur la norme PCI DSS, consultez le site Web du Conseil des normes de sécurité PCI.
EMV
EMV (qui signifie EuroPay, Mastercard et Visa) est la norme mondiale pour les paiements de crédit et de débit basés sur la technologie des cartes à puce. Chaque transaction par carte à puce contient des dizaines d’informations échangées entre la carte, le terminal de point de vente et la banque acquéreuse ou l’hôte du processeur.
EMV ne remplace pas la conformité PCI; EMV a été créé pour se défendre contre l’utilisation frauduleuse des cartes dans un magasin. Si vous souhaitez accepter des transactions par carte, vous devrez être en mesure de prouver que vous avez le support nécessaire pour gérer les transactions EMV.
EMV 3-D Secure
EMV Three-Domain Secure, ou 3DS, est un protocole de messagerie qui permet aux consommateurs de s’authentifier lorsqu’ils effectuent des achats de commerce électronique et de m-commerce par carte non présente (CNP). Le protocole fournit une couche de sécurité supplémentaire qui aide à prévenir les transactions CNP non autorisées, protégeant ainsi le commerçant de la fraude. La 3DS comprend les trois domaines du domaine marchand/acquéreur, du domaine émetteur et du domaine d’interopérabilité.
EMV 3DS rationalise l’expérience utilisateur en améliorant la communication « en arrière-plan » entre la banque émettrice, l’acquéreur et le commerçant.
Tokenisation
La tokenisation, le processus de protection des données sensibles en les remplaçant par un jeton, est souvent utilisée pour prévenir la fraude par carte de crédit. Dans la segmentation en jetons de carte de crédit, le numéro de compte principal du titulaire de la carte est remplacé par le jeton. Le jeton est ensuite passé par les différents réseaux nécessaires au traitement du paiement, mais les coordonnées bancaires réelles ne sont jamais exposées car elles sont conservées dans un coffre-fort de jetons sécurisé.
La segmentation en jetons en elle-même ne rendra pas un marchand compatible PCI, mais elle est considérée comme une « meilleure pratique. »Cela peut aider à réduire la portée de la PCI DSS.
P2PE
Le P2PE, ou cryptage peer-to-peer, permet aux organisations de créer une communication sécurisée entre les appareils et protège les informations sensibles transmises contre l’exposition à des appareils intermédiaires sur le même réseau.
Le P2PE est souvent utilisé comme solution de conformité pour la norme PCI DSS.
Alternatives à la création de votre propre passerelle de paiement
Service en marque blanche
Un service en marque blanche peut être un moyen rapide de se lancer et de proposer votre propre solution de paiement. Cela peut également réduire les coûts de traitement en réduisant le nombre d’intermédiaires entre votre entreprise et votre acquéreur / sous-traitant.
Il existe de nombreuses variantes de services en marque blanche, de la solution hébergée à la passerelle dédiée en passant par le logiciel de passerelle de paiement open source sous licence.
Si vous craignez que la marque blanche ne fournisse pas le niveau de personnalisation que vous recherchez, il existe des options. Un client qui nous a parlé de ce scénario exact a appris que la création d’une passerelle de paiement à partir de zéro n’était pas une solution rentable pour leurs problèmes concernant la personnalisation de leur passerelle en marque blanche actuelle. Au lieu de cela, ils ont fini par négocier le contrôle de leur code source afin d’implémenter plus rapidement les modifications nécessaires. Vous pouvez également vous associer à un fournisseur de services technologiques pour mettre en œuvre les changements à votre rythme.
Fournisseur de services de remplacement
Si vous êtes actuellement en partenariat avec l’un des PSP bien connus comme Stripe, Paypal ou Square, il existe des alternatives. Cependant, ces fournisseurs sont des leaders du marché pour une raison— leur innovation technique les distingue des autres.
En tant que tel, bien que vous puissiez vous associer à l’un de leurs concurrents, le prix facturé ne sera pas beaucoup plus bas que ce que vous payez actuellement. De même, il sera difficile de trouver une alternative qui présente des avantages technologiques importants sur eux en raison de leur statut de leader du marché.
Conclusion
Maintenant que vous avez une perspective complète de la création d’une passerelle de paiement, êtes-vous toujours intéressé par la création de votre propre passerelle? Parlez avec l’un de nos experts en paiements dès aujourd’hui.
Softjourn est un fournisseur mondial de services technologiques avec plus de dix ans d’expérience avec les fournisseurs de services de paiement de cartes &. Nous avons créé des solutions créatives ou augmenté les équipes techniques internes pour fournir un support et une expertise spécifique au projet, ce qui permet de générer des fonctionnalités génératrices de revenus.
Nous nous spécialisons dans l’activation et la préservation de la sécurité des cartes prépayées, le développement de simulateurs de transactions pour gagner du temps de déploiement et la création d’approches répétables et stratégiques pour gérer le recouvrement des paiements. Nous aidons nos clients – processeurs de paiement, banques, acquéreurs de transactions et fournisseurs de services de cartes prépayées — en tirant parti de notre expertise pour augmenter leurs parts de marché.