L’autorisation

En monétique, l’autorisation est le mécanisme de consultation de la banque du porteur (émetteur) afin de savoir s’il autorise ou pas la transaction. Ce mécanisme se traduit par une question (demande d’autorisation) et une réponse (réponse à la demande d’autorisation).

Remarque : l’autorisation n’est pas systématique en France pour les paiements

Demande d’autorisation

La demande d’autorisation est un flux transmis par le point d’acceptation (TPE, GAB, automate, site web, …) à destination de l’émetteur. Il véhicule une multitude de données comme :

  • Le montant de l’opération
  • La devise de la monnaie
  • Le numéro de la carte
  • Date d’expiration de la carte
  • Date et heure de la transaction
  • Cryptogramme (ARQC, CVx2, …)
  • etc.

Lorsque le point d’acceptation et la carte décident de traiter la transaction on-line (demande d’autorisation à l’émetteur), le point d’acceptation appelle dans un premier temps le système acquéreur (Système d’Autorisation Acquéreur (SAA) ou le Gestionnaire de GAB (GDG)).

Sur réception de la demande d’autorisation, le système acquéreur réalise quelques contrôles comme la vérification de l’identifiant de l’accepteur, etc. Il transmet ensuite la demande au Serveur d’Autorisation Émetteur (SAE).

Note : Cf. ci-dessous pour connaître les intermédiaires entre le SAA et le SAE.

Le SAE effectue également plusieurs contrôles métiers avant de donner son aval :

  • Authentification de la carte (vérification du cryptogramme piste ou puce)
  • Vérification du code confidentiel (lorsque la méthode de vérification du porteur est PIN online)
  • Contrôle du solde : le solde du compte est-il suffisant ?
  • Contrôle des plafonds (mensuel, hebdomadaire) : les plafonds sont-ils atteints ?
  • Analyse des risques (identification des comportements inhabituels) pour minimiser le risque de fraude
  • etc.

Il existe également des mécanismes de délégation automatique (stand-in) dans le cas où le SAE n’est pas joignable. Ainsi, le réseau qui a été appelé peut répondre à la place du SAE au SAA.

Lorsque l’émetteur a pris sa décision, il répond à l’acquéreur.

Réponse à la demande d’autorisation

La réponse à la demande d’autorisation est le flux retour et emprunte le même chemin que la demande en sens inverse. Elle contient principalement le code réponse indiquant au point d’acceptation s’il convient d’accepter ou non l’opération. Pour des raisons de sécurité évidentes, certains champs renseignés dans la demande d’autorisation ne seront pas reconduits dans la réponse (Cryptogramme Visuel, …).

Lorsque le système acquéreur reçoit la réponse, il interprète la réponse et transmet sa propre réponse au point d’acceptation. Selon le code réponse reçu du système acquéreur, le point d’acceptation (TPE, GAB, …) accepte ou refuse la transaction.

Remarque : le système acquéreur peut changer le code réponse transmis par le SAE dans sa réponse au point d’acceptation dans le cadre de la gestion du risque acquéreur.

Lorsque l’émetteur et l’acquéreur sont le même établissement financier ou qu’ils sont « partenaires », le système acquéreur (SAA, GDG) contacte directement le SAE. Dans le cas contraire, la demande d’autorisation et la réponse sont véhiculées par les réseaux (CB, Visa, Mastercard).

Exemple : Réseau CB

S’il s’agit d’acquéreur CB et d’émetteur CB, le point d’acceptation contacte le système acquéreur via le protocole CB2A Auto.

Ensuite, le système acquéreur transcode la demande d’autorisation pour la mettre au format CBAE avant de la router sur le réseau interbancaire e-RSB. Ce dernier achemine la demande d’autorisation vers le SAE en se basant sur l’identifiant de l’organisme destinataire (si le champ est renseigné) ou sur les premiers chiffres du numéro de la carte (généralement sur les 6 premiers chiffres : il s’agit du Bank Identification Number plus connu sous l’acronyme BIN) qui lui est obligatoire. Le SAE effectue ses contrôle métiers et rend son verdict en construisant la réponse.

Remarque : si l’accepteur et le porteur appartiennent à la même banque, la demande d’autorisation sera directement transmise au SAE sans passer par l’e-RSB.

La réponse empruntera le chemin inverse. Le SAE transmet sa réponse au e-RSB qui achemine la réponse au SAA. Le SAA modifie éventuellement la réponse, la transcode en format CB2A Auto et transmet au point d’acceptation (TPE, GAB, etc.).

Pour les réseaux Visa et Mastercard, cela fait intervenir plusieurs nœuds selon que l’émetteur (ou l’acquéreur) se situe en France, en Europe, ou à l’extérieur de l’Europe. Le nom des passerelles pour la partie internationale pourra faire l’objet d’un futur article si plusieurs d’entre vous manifestent leur intérêt.

0 commentaires à propos de “L’autorisation

  1. Rétroliens : La pré-autorisation (cas du DAC / PLBS) | Monétique

  2.  » Le nom des passerelles pour la partie internationale pourra faire l’objet d’un futur article si plusieurs d’entre vous manifestent leur intérêt. »
    Bonjour, cet article est très intérressant, je vous en remercie. Je serait fortement intéressée pour connaître le cheminement à l’international svp (Europe et Hors Europe)? D’avance merci . SB

  3. Bonjour,
    Je suis également très intéressé pour connaître les différents nœuds intervenant dans le processus d’autorisation et concernant les opérations internationales.
    Merci pour votre retour.

  4. bonsoir, un loueur de camion me demande une pré autorisation par carte bancaire de 1000 euros pour une location de camion, si mon compte bancaire n’est pas approvisionné de 1000 euros ma pré autorisation sera t elle refusée ? Merci

    • Bonjour Françoise,
      Cela dépend de votre carte. S’agit-il d’une carte à auto systématique (comme électron) ? Si non,
      Cela dépend plutôt de votre capacité de paiement mensuelle. Au pire, vous pouvez demander une augmentation exceptionnelle du plafond. Attention aux agios en revanche…
      Cdlt
      Kévin

  5. Bonjour,
    Pour ces demandes d’auto, est ce qu‘on utilise des middlewares (comme WebSphere MQ par exemple) pour l’envoyer et recevoir la réponse ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*