Le paiement en ligne directement dans le site marchand
En tant que Web-développeur, j'ai été plusieurs fois confronté à ce choix. Je construis mes sites de A à Z, donc sans utilisation de CMS préconstruis tel que Wordpress, Prestashop, Drupal etc..
Lorsqu'un de mes clients souhaite intégrer un paiement en ligne dans son site internet, je lui demande de choisir, selon sa banque, le moteur de paiement en ligne qu'il souhaite utiliser, Sogecommerce, Merkanet, etc.. Et je lui développe entièrement.
Durant le développement du système permettant d'intégrer le mode de paiement en ligne, ce genre de moteur nous propose plusieurs options, dont deux méthodes bien distinctes :
- Proposer un bouton lien qui pointe vers une page de paiement de la banque en envoyant au passage un identifiant de panier, un tarif, et d'autres informations relatives au paiement afin de le reconnaître. Le client clic sur le bouton CB, se retrouve sur une page d'un autre site internet, celui d'une banque, et saisie ces informations, puis revient (ou pas) vers le site marchand.
- Demander le numéro de CB dans le site marchand directement, puis envoyer, en plus des informations habituelles, le numéro de la CB, sa date d'expiration, son CVC (code de vérification de carte). Le client saisi dans la page du site marchand ses informations CB, puis valide, le site enregistre ces informations, puis transmet toutes les infos de paiement à la banque lui-même.
Personnellement, j'invite mes clients à choisir la version où l'on ne demande pas de CB du client directement dans la page du site, afin d'éviter tous les problèmes juridiques éventuels. La seule différence entre ces deux options, c'est que dans la seconde, votre site est en mesure de mémoriser en base de données les informations de carte bancaire de ses clients ainsi que toutes les données nécessaires pour un paiement en ligne, pour ma part, je trouve ça vraiment borderline....
Si certains sites, même les plus honnêtes, souhaitent mémoriser les moyens de paiement de leurs clients, c'est pour accélérer d'une paire de clics le prochain paiement sur leur site marchand, cependant, le client prend clairement un risque.
Non seulement le site pourrait être malveillant et utiliser ou revendre cette information, mais il peut aussi être la victime d'un hacker, qui récupère à son compte les données des cartes bancaires. Il ne faut pas croire, un site qui n'est pas du type gouvernemental, peut potentiellement avoir une faille de sécurité, et si ce n'est pas le cas aujourd'hui, rien ne nous indique que ce ne le sera pas demain. Ou même plus simplement, un employé mécontent sur le départ qui copie les numéros de CB de la base de données avant de partir, par exemple...
Certains me répondront que les sites qui demandent le CB directement dans sa page sont en HTTPS avec le cadenas, et mon navigateur m'indique devant l'URL que le site est sécurisé et son paiement en ligne aussi, les données sont privés lorsqu'elles sont transmises.
Et bien sachez que pour avoir son site en HTTPS (sur le protocole sécurisé), il faut simplement cocher une case dans son interface de l'hébergement, personne ne vous demande de carte d'identité ou autres.
Il considère ensuite votre site comme sécurisé parce qu'ils sont en mesure de retracer votre paiement d'abonnement à l'hébergement, et retrouver la personne responsable du site en cas de soucis.
Enfin, l'auteur du site déclare ne pas mal agir et ne pas arnaquer ses visiteurs depuis son formulaire de validation de protocole HTTPS. Partant de ce principe, votre site est sécurisé pour tout le monde.... Personnellement, je ne pense pas.
Certes, si votre CB est volé après avoir été utilisé, vous pourrez porter plainte vers l'auteur du site (si vous êtes sûr que ça provient de ce site en particulier), puis vous, ou votre banque, pourriez rentrer dans la spirale juridique du numéro de CB volé.. Cependant, l'auteur du site peut très bien être lui-même la victime d'un hacker, au final, votre numéro de CB est dans la nature, et vous avez perdu de l'argent.
D'autres m'indiqueront qu'a chaque paiement en ligne, ils reçoivent un SMS avec un code de validation du paiement, et donc en plus des informations de CB, il faudrait aussi avoir le téléphone pour acheter sur internet.
Et bien non ... , vous n'être pas protégé non plus, car dans certains sites, notamment à l'étranger, le paiement n'active pas de vérification via votre mobile, donc la seule limitation du voleur de CB sera certains sites qui appliquent la politique de la sécurité du SMS. De plus ce système semble destiné à disparaitre, car ils se sont aperçus que la réception de ce genre de SMS peut aussi être piratée désormais.
Pour résumé, si un site internet vous demande vos informations de CB directement dans ses propres pages, souvent sous le résumé du panier, à moins d'avoir une totale confiance, je vous conseillerais d'éviter de les saisir, même si le site indique HttpS, et une sécurité sur les informations transmises. Le plus sûr reste de payer sur une page dont l'url correspond à une vraie banque, à l'extérieur du site internet du marchand. Autrement, le marchand sera en mesure de mémoriser dans sa base de données vos informations bancaires.
Autrement, vous avez aussi très souvent l'option Paypal, et vous n'avez pas besoin de compte Paypal forcément pour l'utiliser, vous pourrez (lors du paiement sur le site Paypal) rentrer vos informations de CB directement, sans frais supplémentaires, sans compte utilisateur. C'est le marchand qui aura des frais pour rapatrier l'argent de Paypal vers son propre compte.
Le paiement en ligne directement dans le site marchand
En tant que Web-développeur, j'ai été plusieurs fois confronté à ce choix. Je construis mes sites de A à Z, donc sans utilisation de CMS préconstruis tel que Wordpress, Prestashop, Drupal etc..
Lorsqu'un de mes clients souhaite intégrer un paiement en ligne dans son site internet, je lui demande de choisir, selon sa banque, le moteur de paiement en ligne qu'il souhaite utiliser, Sogecommerce, Merkanet, etc.. Et je lui développe entièrement.
Durant le développement du système permettant d'intégrer le mode de paiement en ligne, ce genre de moteur nous propose plusieurs options, dont deux méthodes bien distinctes :
- Proposer un bouton lien qui pointe vers une page de paiement de la banque en envoyant au passage un identifiant de panier, un tarif, et d'autres informations relatives au paiement afin de le reconnaître. Le client clic sur le bouton CB, se retrouve sur une page d'un autre site internet, celui d'une banque, et saisie ces informations, puis revient (ou pas) vers le site marchand.
- Demander le numéro de CB dans le site marchand directement, puis envoyer, en plus des informations habituelles, le numéro de la CB, sa date d'expiration, son CVC (code de vérification de carte). Le client saisi dans la page du site marchand ses informations CB, puis valide, le site enregistre ces informations, puis transmet toutes les infos de paiement à la banque lui-même.
Personnellement, j'invite mes clients à choisir la version où l'on ne demande pas de CB du client directement dans la page du site, afin d'éviter tous les problèmes juridiques éventuels. La seule différence entre ces deux options, c'est que dans la seconde, votre site est en mesure de mémoriser en base de données les informations de carte bancaire de ses clients ainsi que toutes les données nécessaires pour un paiement en ligne, pour ma part, je trouve ça vraiment borderline....
Si certains sites, même les plus honnêtes, souhaitent mémoriser les moyens de paiement de leurs clients, c'est pour accélérer d'une paire de clics le prochain paiement sur leur site marchand, cependant, le client prend clairement un risque.
Non seulement le site pourrait être malveillant et utiliser ou revendre cette information, mais il peut aussi être la victime d'un hacker, qui récupère à son compte les données des cartes bancaires. Il ne faut pas croire, un site qui n'est pas du type gouvernemental, peut potentiellement avoir une faille de sécurité, et si ce n'est pas le cas aujourd'hui, rien ne nous indique que ce ne le sera pas demain. Ou même plus simplement, un employé mécontent sur le départ qui copie les numéros de CB de la base de données avant de partir, par exemple...
Certains me répondront que les sites qui demandent le CB directement dans sa page sont en HTTPS avec le cadenas, et mon navigateur m'indique devant l'URL que le site est sécurisé et son paiement en ligne aussi, les données sont privés lorsqu'elles sont transmises.
Et bien sachez que pour avoir son site en HTTPS (sur le protocole sécurisé), il faut simplement cocher une case dans son interface de l'hébergement, personne ne vous demande de carte d'identité ou autres.
Il considère ensuite votre site comme sécurisé parce qu'ils sont en mesure de retracer votre paiement d'abonnement à l'hébergement, et retrouver la personne responsable du site en cas de soucis.
Enfin, l'auteur du site déclare ne pas mal agir et ne pas arnaquer ses visiteurs depuis son formulaire de validation de protocole HTTPS. Partant de ce principe, votre site est sécurisé pour tout le monde.... Personnellement, je ne pense pas.
Certes, si votre CB est volé après avoir été utilisé, vous pourrez porter plainte vers l'auteur du site (si vous êtes sûr que ça provient de ce site en particulier), puis vous, ou votre banque, pourriez rentrer dans la spirale juridique du numéro de CB volé.. Cependant, l'auteur du site peut très bien être lui-même la victime d'un hacker, au final, votre numéro de CB est dans la nature, et vous avez perdu de l'argent.
D'autres m'indiqueront qu'a chaque paiement en ligne, ils reçoivent un SMS avec un code de validation du paiement, et donc en plus des informations de CB, il faudrait aussi avoir le téléphone pour acheter sur internet.
Et bien non ... , vous n'être pas protégé non plus, car dans certains sites, notamment à l'étranger, le paiement n'active pas de vérification via votre mobile, donc la seule limitation du voleur de CB sera certains sites qui appliquent la politique de la sécurité du SMS. De plus ce système semble destiné à disparaitre, car ils se sont aperçus que la réception de ce genre de SMS peut aussi être piratée désormais.
Pour résumé, si un site internet vous demande vos informations de CB directement dans ses propres pages, souvent sous le résumé du panier, à moins d'avoir une totale confiance, je vous conseillerais d'éviter de les saisir, même si le site indique HttpS, et une sécurité sur les informations transmises. Le plus sûr reste de payer sur une page dont l'url correspond à une vraie banque, à l'extérieur du site internet du marchand. Autrement, le marchand sera en mesure de mémoriser dans sa base de données vos informations bancaires.
Autrement, vous avez aussi très souvent l'option Paypal, et vous n'avez pas besoin de compte Paypal forcément pour l'utiliser, vous pourrez (lors du paiement sur le site Paypal) rentrer vos informations de CB directement, sans frais supplémentaires, sans compte utilisateur. C'est le marchand qui aura des frais pour rapatrier l'argent de Paypal vers son propre compte.
Le paiement en ligne directement dans le site marchand
En tant que Web-développeur, j'ai été plusieurs fois confronté à ce choix. Je construis mes sites de A à Z, donc sans utilisation de CMS préconstruis tel que Wordpress, Prestashop, Drupal etc..
Lorsqu'un de mes clients souhaite intégrer un paiement en ligne dans son site internet, je lui demande de choisir, selon sa banque, le moteur de paiement en ligne qu'il souhaite utiliser, Sogecommerce, Merkanet, etc.. Et je lui développe entièrement.
Durant le développement du système permettant d'intégrer le mode de paiement en ligne, ce genre de moteur nous propose plusieurs options, dont deux méthodes bien distinctes :
- Proposer un bouton lien qui pointe vers une page de paiement de la banque en envoyant au passage un identifiant de panier, un tarif, et d'autres informations relatives au paiement afin de le reconnaître. Le client clic sur le bouton CB, se retrouve sur une page d'un autre site internet, celui d'une banque, et saisie ces informations, puis revient (ou pas) vers le site marchand.
- Demander le numéro de CB dans le site marchand directement, puis envoyer, en plus des informations habituelles, le numéro de la CB, sa date d'expiration, son CVC (code de vérification de carte). Le client saisi dans la page du site marchand ses informations CB, puis valide, le site enregistre ces informations, puis transmet toutes les infos de paiement à la banque lui-même.
Personnellement, j'invite mes clients à choisir la version où l'on ne demande pas de CB du client directement dans la page du site, afin d'éviter tous les problèmes juridiques éventuels. La seule différence entre ces deux options, c'est que dans la seconde, votre site est en mesure de mémoriser en base de données les informations de carte bancaire de ses clients ainsi que toutes les données nécessaires pour un paiement en ligne, pour ma part, je trouve ça vraiment borderline....
Si certains sites, même les plus honnêtes, souhaitent mémoriser les moyens de paiement de leurs clients, c'est pour accélérer d'une paire de clics le prochain paiement sur leur site marchand, cependant, le client prend clairement un risque.
Non seulement le site pourrait être malveillant et utiliser ou revendre cette information, mais il peut aussi être la victime d'un hacker, qui récupère à son compte les données des cartes bancaires. Il ne faut pas croire, un site qui n'est pas du type gouvernemental, peut potentiellement avoir une faille de sécurité, et si ce n'est pas le cas aujourd'hui, rien ne nous indique que ce ne le sera pas demain. Ou même plus simplement, un employé mécontent sur le départ qui copie les numéros de CB de la base de données avant de partir, par exemple...
Certains me répondront que les sites qui demandent le CB directement dans sa page sont en HTTPS avec le cadenas, et mon navigateur m'indique devant l'URL que le site est sécurisé et son paiement en ligne aussi, les données sont privés lorsqu'elles sont transmises.
Et bien sachez que pour avoir son site en HTTPS (sur le protocole sécurisé), il faut simplement cocher une case dans son interface de l'hébergement, personne ne vous demande de carte d'identité ou autres.
Il considère ensuite votre site comme sécurisé parce qu'ils sont en mesure de retracer votre paiement d'abonnement à l'hébergement, et retrouver la personne responsable du site en cas de soucis.
Enfin, l'auteur du site déclare ne pas mal agir et ne pas arnaquer ses visiteurs depuis son formulaire de validation de protocole HTTPS. Partant de ce principe, votre site est sécurisé pour tout le monde.... Personnellement, je ne pense pas.
Certes, si votre CB est volé après avoir été utilisé, vous pourrez porter plainte vers l'auteur du site (si vous êtes sûr que ça provient de ce site en particulier), puis vous, ou votre banque, pourriez rentrer dans la spirale juridique du numéro de CB volé.. Cependant, l'auteur du site peut très bien être lui-même la victime d'un hacker, au final, votre numéro de CB est dans la nature, et vous avez perdu de l'argent.
D'autres m'indiqueront qu'a chaque paiement en ligne, ils reçoivent un SMS avec un code de validation du paiement, et donc en plus des informations de CB, il faudrait aussi avoir le téléphone pour acheter sur internet.
Et bien non ... , vous n'être pas protégé non plus, car dans certains sites, notamment à l'étranger, le paiement n'active pas de vérification via votre mobile, donc la seule limitation du voleur de CB sera certains sites qui appliquent la politique de la sécurité du SMS. De plus ce système semble destiné à disparaitre, car ils se sont aperçus que la réception de ce genre de SMS peut aussi être piratée désormais.
Pour résumé, si un site internet vous demande vos informations de CB directement dans ses propres pages, souvent sous le résumé du panier, à moins d'avoir une totale confiance, je vous conseillerais d'éviter de les saisir, même si le site indique HttpS, et une sécurité sur les informations transmises. Le plus sûr reste de payer sur une page dont l'url correspond à une vraie banque, à l'extérieur du site internet du marchand. Autrement, le marchand sera en mesure de mémoriser dans sa base de données vos informations bancaires.
Autrement, vous avez aussi très souvent l'option Paypal, et vous n'avez pas besoin de compte Paypal forcément pour l'utiliser, vous pourrez (lors du paiement sur le site Paypal) rentrer vos informations de CB directement, sans frais supplémentaires, sans compte utilisateur. C'est le marchand qui aura des frais pour rapatrier l'argent de Paypal vers son propre compte.