Quand Payplug explique que Systempay est une solution archaïque

Quand on a des moyens réduits, il est facile de critiquer son voisin.

Un client Systempay a reçu récemment ce courriel de Payplug au sujet de la plateforme de paiement :

"Pour être tout à fait franc, votre solution actuelle est archaïque et ne répond pas aux besoins d'un site internet comme le votre. Je pense notamment au fait que la page de paiement est moche ( pas personnalisable ) et très peu responsive sur mobile alors que dans votre secteur 40 % du trafic vient des tablettes et mobiles. De plus, leur système 3DS est dépassé et vous fait perdre plein de vente"

Puisqu'on doit parler franchise, le paragraphe précédent mérite une réponse publique:

1. La sécurité et la norme PCI-DSS :

Systempay est un travail collaboratif entre la société Lyra Network et Natixis Paiement Solutions.
Ce travail a été lancé fin 2008 et a permis de démarrer les premiers clients fin 2009, puis de migrer 100% des clients SIPS1.0 et ensuite tous les clients SPPLUS en 2012. Plus de 10 000 clients ont été migrés.
Il est vrai que la plateforme va avoir bientôt 7 ans mais nous ne pensons pas qu'elle soit déjà comparable aux dinosaures du marché.

Depuis 2009, Lyra Network est PCI-DSS et renouvelle tous les ans sa certification. Son certificat est publié en ligne chaque année sur le site internet: 

Le ROC (report of compliance) est également mis à disposition des banques et acquéreurs qui le demandent.

Dans le même temps Payplug communique qu'il est PCI-DSS mais ne fait pas partie du listing Visa Europe qui se vérifie ici: http://www.visa.com/splisting/searchGrsp.do


A cette question Payplug répond qu'il faut payer pour être dans le listing. En fait il faut surtout payer une société d'audit certifiée qui envoie son rapport à Visa. Sur la base de ce rapport Visa valide l'ajout de la société au listing.

Le fait d'avoir des serveurs dans un environnement dit PCI-DSS ne donne aucune transitivité à l'agrément. Un site d'exploitation PCI-DSS signifie simplement  que si vous passiez l'audit, vous auriez traité la partie concernant la sécurité physique, qui n'est qu'un volet de l'agrément.
Après il est possible que pour des volumes de transaction très faibles, certains prestataires se contentent d'un "Self-assessment". En effet quand le volume de paiement est très faible, un simple déclaratif permet de se considérer PCI-DSS : 

(Self-Assessment Questionnaire (SAQ) A PCI DSS document, which is a validation tool for Merchants, and Service Providers who are not required to do on-site assessments for PCI DSS compliance.)

Cet agrément finalisé et publié par Visa a toutefois un intérêt, car il est obligatoire pour répondre aux appels d'offres et demandé par toutes les entités d'état.

La plateforme archaïque dont parle Payplug est celle de milliers de collectivités locales françaises qui font confiance à une plateforme agréée. C'était dans leur appel d'offres que Lyra a gagné en 2015.
L'agrément pci-dss a du bon, car toute société qui ne présente pas son certificat PCI-DSS à jour est éliminée lors d'un appel d'offres marché public ou sociétés privées qui connaissent l'importance de cet agrément.  



2. L'agrément du GIE CB



Le GIE Carte bancaire a imposé en 2014 un agrément à toutes les plateformes de paiement.
Lyra Network a été le premier à passer cet agrément. 


Cet agrément impose un certaine présentation au niveau de la page de paiement (données réglementaires) et des tickets envoyés aux acheteurs.
Il valide surtout  le bon fonctionnement des autorisations et des remises dans toutes les conditions de paiement 3DS (au moins 36 cas distincts)

Je ne sais pas si la plateforme est archaïque, mais elle respecte les normes.

Elle prépare son agrément CB2A5.5, car il est lui aussi obligatoire. 

3. La mocheté de la page


D'abord il n'y a pas une page mais des pages.
Car Systempay propose au moins 7 types d'intégration pour répondre à tous les besoins des marchands. 

  • Page en redirection personnalisable:  Cette page est full responsive depuis 2 ans. La version précédente n'était pas responsive mais reconnaissait dynamiquement l'équipement pour adapter la page. Cette page respecte les données réglementaires demandées par le GIE. La version responsive possède un haut niveau de personnalisation et propose à l'utilisateur une page performante sur mobile. 
  • Page en redirection silencieuse pour les marchands PCI-DSS qui gèrent la saisie des données carte sur leur site et qui ne souhaitent pas implémenter les WS.
  • WebServices : pour les marchands PCI-DSS
  • Iframe : pour les marchands qui veulent une intégration en Iframe. La page de paiement dans ce cas s'allège de certaines données et images
  • API REST /Embedded payment form : qui permet sans être PCI-DSS d'incruster les champs de saisie des données cartes dans la page du site marchand
  • API REST / pop-in : solution sur laquelle s'appuie Payplug
  • In-apps : La plateforme propose une méthodologie d'intégration avec une library plus simple qu'un SDK


Sur le paiement carte, la page de paiement ne se contente pas de gérer 3 champs, mais elle s'adapte aux contraintes de la carte et de l'acquéreur et ce, de façon transparente pour le marchand ou son intégrateur:
  • la carte Bancontact n'a pas de CVV
  • la carte Edenred n'a pas de date d'expiration
  • les cartes de crédit en Amérique Latine permettent de payer en n fois .Il faut donc pouvoir proposer à l'acheteur de choisir son nombre de mensualités
  • les cartes Visa de crédit en Argentine demandent le nom du porteur et le numéro de DNI
  • les cartes Visa au Pérou demandent le nom du porteur
  • les cartes privatives à Tahiti demandent une authentification du porteur avec un mécanisme non 3DS.
  • l'api de la carte UPOP demande seulement de saisir la carte avant de faire une redirection chez UPOP.
  • ...
Lyra Network a donc des solutions dynamiques en fonction de l'acquéreur et du type de carte.

Lyra Network ne répond pas avec une solution basique, purement CB, qui n'a pas été chercher les agréments obligatoires mais avec une multitude de solutions et dans le respect des agréments. 

4. La gestion des marques de carte:


C'est un sujet chaud et d'actualité. L'acheteur doit pouvoir changer de "brand" sur la page de paiement. C'est à dire que si on lui propose Visa, l'acheteur doit pouvoir changer de Visa à CB (qui ne veut pas dire carte bleue mais carte bancaire) ou MasterCard et inversement.
Le protocole d'autorisation évolue car il faut désormais indiquer dans la demande d'autorisation le choix explicite de l'acheteur. 
Lyra Network finalise cette intégration dans le respect du protocole CB2A 5.5
Tous les acteurs sont invités à le faire et nous invitons donc Payplug à faire de même, car il faut un peu se gratter la tête. De plus il faut aussi passer l'agrément 5.5 du GIE CB car le GIE CB a mis à jour son agrément pour les plateformes de paiement. 

> Vu que Payplug s'appuie encore sur une API Lemon Way, il faudra d'abord que Lemon Way adapte son API, puis qu'Atos adapte l'api qu'utilise Lemon WAY. Comme c'est du SIPS1.0 abandonné par ATOS, cela peut prendre un peu de temps...

Visa collera des amendes à toutes les pages de paiement qui ne permettent pas de changer la "brand" de la carte. Qu'on se le dise, la chasse ouvre bientôt!

5. Les moyens de paiement


Certaines plateformes sous-traitent à l'américain ACI (apparemment la voie coûteuse qu'a choisie Payplug).
Lyra Network a pris le parti de faire soi-même l'intégration des moyens de paiement sur sa plateforme. C'est la seule façon de maitriser et d'avoir un contact direct avec l'acquéreur. Ce qui nous donne à ce jour une intégration entre autres avec:
  • Paypal et Paypal Sandbox
  • SDD
  • SCT
  • Cado carte
  • Ideal
  • Giropay
  • EPS
  • Paybox.at
  • Amex (y compris les spécificités du marché argentin et mexicain)
  • Bancontact
  • JCB
  • Diners Discovery
  • Concardis 
  • Six 
  • Postfinance
  • Oney
  • Illicado
  • e-Chèques vacances
  • Edenred carte déjeuner Belgique
  • CSV cartes cadeaux
  • Wirecard
  • Paylife Autriche
  • Card Process Autriche
  • Hobex Autriche
  • Elavon Europe
  • Sabadell (Espagne)
  • Cetelem (toutes les offres)
  • Cartes Cora
  • Global Payment Brésil
  • Stone Brésil
  • Cielo Brésil avec gestion des cartes de débit / crédit
  • Rede Brésil avec gestion des cartes de débit / crédit
  • Getnet Brésil
  • Firstdata Brésil
  • Itau Brésil
  • Boleto bancario Brésil
  • Transbank Chile avec WebPay Mall, WebPay Normal et WebPay Completa
  • Procesos Mastercard Peru
  • Visanet Peru
  • Prisma Argentine
  • Firstdata Argentine
  • Firstdata Urugay
  • RuPay en Inde
  • Prizm en Inde
  • ATOM en Inde
  • Et bien d'autres ...
et bientôt:
  • DCC et MCP de Fintrax
  • Bonsucesso Brésil
  • BBVA Mexico
  • Banorte Mexico
  • et j'ai du en oublier

 6. Les marques blanches

Lyra Network a conçu une plateforme à destination des banques. Cette plateforme est réellement un levier commercial par sa richesse. Elle a été conçue pour donner une autonomie totale de gestion aux services monétiques des banques. 
Tellement archaïque que la Société Générale, un leader du e-commerce, vient de lancer sa nouvelle offre e-commerce SOGECOMMERCE avec Lyra Network :



Ce qui nous donne une plateforme plébiscitée par :
  • le groupe Banque Populaire + Bred + Banque de Savoie + Banque Chaix + Natixis
  • le groupe Caisse d'Epargne + Crédit Coopératif + CDC + Banque Palatine
  • le Groupe Crédit du Nord et leur représentation en France, la Banque Courtois dans le Sud-Ouest, la BanqueTarneaud dans le Centre-Ouest-Atlantique, la Banque Nuger en Auvergne, la Banque Kolb dans l’Est, la Banque Rhône-Alpes, la Banque Laydernier en Savoie et la Société Marseillaise de Crédit dans le Sud-Est qui vendent Payzen depuis Janvier 2017
  • le groupe Société générale avec son offre Sogecommerce qui est la référence en e-commerce en France
  • l'OSB à Tahiti
  • la CSB à Nouméa qui prépare sa migration vers Payzen
  • YesBank en Inde
  • Innocard en Suisse 
  • et d'autres à venir que je ne vais pas dévoiler aujourd'hui
Peut-on encore faire une comparaison et dire que c'est archaïque? 

J'ajoute bien évidemment que cette plateforme sait faire des paiements fractionnés.
Par exemple, je commence à payer avec un chèque vacances ou une carte cadeau et je finis avec une carte de débit ou de crédit. 

6. 3DS

De plus, leur système 3DS est dépassé et vous fait perdre plein de vente"

Passons sur le "S" absent dans la phrase.

Manisfestement par cette phrase on touche un peu le fond de l'incompétence.
Je serais curieux de savoir si "l'ingénieur commercial" qui a écrit cette phrase sait ce que veut dire le "3" et le "D" de 3D-secure. 


3DS est un standard qui date de 2002 imposé par Visa rejoint par MasterCard (MasterCard Secure Code), Amex (Safekey), Diners (ProtectBuy) et d'autres brands privatives (Cofinoga)
Pour faire du 3DS VbV, il faut un MPI agréé par Visa. Pour Mastercard, il faut un mpi agréé  MasterCard Secure Code et pour Amex un MPI agréé Safekey. 

Il a 3 façons d'implémenter 3DS dans une plateforme de paiement:

  • Ce que les experts font : Développer leur propre MPI. Ce qu'a réalisé Lyra Network. Nous avons renouvelé notre certification MasterCard l'année dernière (c'est obligatoire tous les 2 ans) et devrons refaire celle de Visa (VbV) cette année. Nous avons un MPI qui sait gérer aussi les spécificités du marché Brésilien et Indien. Régulièrement des acquéreurs nous demandent de les aider à passer la certification MasterCard, ce que nous avons fait il y a peu de temps pour plusieurs acquéreurs dont Rede Brésil et Bon sucesso Brésil par exemple.

Envoyé : jeudi 19 janvier 2017 15:50
À : 'Malick Mxxxxxxx'
Objet : RE: Functional test Configuration || CIS-2016-12593 || 3D Secure code MPI Implementation for La Banque Internationale pour ...........

Dear Malick,

I am extremely astonished to see the results sent by you looks perfectly fine. We had received cent percent test results in the phase of testing in just one drive. Great effort from the Lyra team.

This completes the Functional test phase. I will share the official confirmation asap.


Regards,
Vijaya Txxxxxxx
Implementation Project Manager
Mastercard Technologies 

  • Ce que font certains: Acheter un MPI. Il existe des vendeurs de MPI mais en général l'intégration n'est pas aisée. On a même commencé par ce chemin que nous avons vite abandonné car le produit que je ne citerai pas, n'était pas bon. L'inconvénient majeur d'une solution externe est le nombre important de redirections (minimum 4 au lieu de seulement 2 quand on maîtrise le produit en interne). 2 est le minimum et le plus optimisé.
  • Pour les autres : Acheter du service MPI pour accéder au DS (Directory Server) de Visa, MasterCard. Ce que nous vendons puisque nous sommes experts dans le domaine :-)
Doit-on dire que notre 3DS est dépassé? 
Notre MPI 3D Secure est agréé par Visa, Mastercard et Amex. Par son intégration, il permet de suivre le parcours de l'acheteur et comprendre s'il y a un problème de DS, de communication entre le DS et l'ACS (Affilated Computer Services), de communication entre le MPI et l'ACS, etc..
Il n'y a pas 36 façons de faire du 3DS. C'est normé, donc dire que c'est dépassé revient finalement  à dire que Visa a une norme d'authentification dépassée. Ce n'est pas tout à fait faux, car se prépare un 3DS 2.0, mais cela reste l'unique solution avec garantie de paiement émetteur sur un paiement Carte.

Au sujet de 3DS, nous essayons aussi d'être le plus didactique possible en donnant:

  • le statut de la carte (dans l'exemple ci-dessous: la carte était enrôlée par l'émetteur)
  • le statut de l'authentification du porteur (a été identifié correctement)
  • les informations sur le CAVV
  • l'indicateur de commerce électronique qui sera envoyé dans la demande d'autorisation
  • une information sur la validé de la signature du message renvoyé par l'ACS. Une signature invalide entraîne un rejet
  • l'url du serveur d'authentification du porteur pour mieux identifier les erreurs et surveiller les ACS en défaut
  • l'information importante sur le transfert de responsabilité qui indique si le marchand est protégé ou pas. 
  • une information globale sur le déroulement de l'authentification qui permet de comprendre jusqu'où est allé l'acheteur. 




J'en conclus qu'en fait c'est tellement compliqué pour Payplug de faire du 3DS qu'il faut mieux ne pas en faire.
Mais les marchands ont le droit de réclamer une garantie de paiement et c'est 3DS qui l'apporte.
Si le marchand accepte le risque il peut désactiver sélectivement le 3DS par transaction ou en permanence si sa banque l'accepte. 

Perdre des ventes ou subir la fraude:
C'est un compromis souvent difficile pour un marchand peu armé pour lutter contre la fraude. J'ai cru comprendre que certains avec un moteur basé sur les données de 2000 paiements par jour, savaient mieux faire que Cybersource qui analyse plus d'1 paiement sur 6 de la planète, qui a des connexions en temps réel avec gmail, outlook and co pour contrôler les emails, etc. Un peu de sérieux avant d'annoncer des performances! 

A noter que l'agrément du GIE CB impose pour les CB pures (encore faut-il savoir les reconnaître et savoir ce que veut dire une CB pure) d'interroger les DS de Visa et MasterCard. Pas si simple que cela. :-) 

7. La compétence

Depuis plus d'un an, nous livrons une version par semaine
Notre modèle de livraison continue c'est Amazon (pas au niveau social), mais au niveau de la réactivité.
Livrer toutes les semaines de nouvelles fonctionnalités et des corrections de bugs (nous n'avons pas qu'une page ni qu'un moyen de paiement et nous avons parfois des bugs) c'est une performance. 
Tous les jours nous exécutons des dizaines de milliers de tests de non régression pour livrer avec un risque minimum. Donc oui, nos marchands n'attendent pas des mois les corrections, n'attendent pas une fois par an les évolutions. La livraison continue ce n'est pas archaïque. 

8. La richesse fonctionnelle

On a vu que Payplug propose le moyen de paiement CB. Un moyen de paiement! 
Au-delà des multiples moyens de paiement de notre catalogue, il y a la richesse de nos APIs pour répondre aux besoins des marchands:

Pour cela, Lyra propose du:
  • paiement récurrent carte
  • paiement récurrent avec paiement initial (dépot de caution par exemple)
  • paiement différé
  • paiement récurrent et single SDD
  • paiement par fichier
  • paiement one clic
  • paiement mail soit en masse (WS), soit depuis le back-office avec une bibliothèque de template, soit en générant des liens à la volée à insérer dans les mails marchands
  • paiement par SVI
  • paiement mpos 
  • paiement manuel depuis le Back-office
  • paiement type "je paie en ligne" de la Caisse d'Epargne"
  • et bien sûr des remboursements partiels, des remises partielles, des annulations, des duplications, etc
  • rapprochement bancaire (si option souscrite auprès de sa banque)
  • et de la gestion d'impayés (si option souscrite auprès de sa banque)
  • des IPN avec des alertes en cas d'erreur et des rejeux automatiques
En fait une bibliothèque d'outils répondant aux besoins des marchands petits, moyens et grands. On ne fait pas que du paiement mail ni qu'une page de paiement en pop-in. 

9. Les modules de paiement pour les solutions Open Source

Depuis 2010, Lyra maintient une bibliothèque de modules de paiement gratuits réalisés en interne.
Certains confient à Prestashop le soin de développer un module et payent pour être dans le cœur du CMS. 
Nous c'est l'inverse. Prestashop vient pleurer pour qu'on soit dans leur store. Comme ils ne vendent pas le module, ils vendent l'installation pour tous ceux qui ne veulent pas lire nos documentations d'installation et qui sont dépensiers. 😅
Notre compétence dans les modules est aussi une compétence sur les solutions open source elles-mêmes. Notre support technique sait résoudre à peu près tous les effets de bord de modules tiers. Même quand nous ne sommes pas responsables des bugs lors de la notification du paiement, nous aidons.

Plus de 40 modules sont en ligne. Plutôt bien faits car on sait que nos concurrents s'en inspirent pour construire leur propre bibliothèque. 

A ces modules, il faut ajouter notre intégration dans des solutions comme Oxatis, PowerBoutique, Ugal, Shopify, Wizishop, King-eshop, etc..
Plusieurs centaines de solutions en mode SaaS. 

10. Documentation

Une plateforme de paiement, ce n'est pas qu'une page de paiement avec 3 champs!
Ce sont des APIs, des moyens de paiements, des modules, un Back Office marchand, un Back Office acquéreur, des exemples de codes, un support technique performant et disponible, une gestion des forums et aussi une documentation en ligne.

La nôtre est gérée par un CMS DITA. Désolé ce nom doit déjà faire mal aux oreilles du dénigreur.
Et oui, pour gérer des documentations en marque blanche qui n'ont pas les mêmes contenus, il faut savoir gérer des documentations personnalisées, en 4 langues pour les documentations techniques et en 14 langues pour les pages de paiement.
Cela demande de l'investissement logiciel et des ressources humaines pour piloter tout cela.

Une plateforme de paiement c'est tout cela. des briques et encore des briques.
Elle ne s'est pas construite en jour et elle a nécessité un investissement de plusieurs dizaines de millions d'euros. 
Pendant que certains affichent moins de 1M€ de CA (vraisembablement moins de 500K€ de CA annuel en 2016), Lyra dépense plusieurs millions d'euros par an pour développer sa plateforme internationale.

Nous savons que le chemin est encore long pour être un grand acteur international. Nous sommes juste 150 fois plus grands que le dénigreur et encore 10 à 50 fois plus petits que les grands acteurs auxquels nous nous comparons et vers lequels nous regardons.

Donc au lieu de dénigrer, regardez vers le haut et mesurez le chemin qu'il vous reste à faire. 

Nous sommes 100% indépendants, nous n'avons jamais demandé à l'Europe de financer nos projets et nous n'avons pas fait d'augmentation de capital. Nous avons créé plus de 250 emplois et nous n'avons jamais vendu l'entreprise. Nous nous développons sur nos fonds propres et n'avons pas de dettes.
Nous sommes un des 2 derniers indépendants en Europe et nous en sommes fiers. 


Commentaires

  1. Magnifique article ! Espérons de depuis ils sont passés dans le coin, et, dommage qu'il n'arrive pas juste en dessous de leur site dans le moteur de recherches !!

    RépondreSupprimer

Enregistrer un commentaire