En appuyant sur le bouton « Commander » ou équivalent, le client passe une commande sur le site web ou éventuellement saisit les données de sa carte à l’aide d’un répondeur téléphonique automatisé.

Si la commande se fait via un site Internet, le navigateur Internet du client crypte les informations à transmettre entre le navigateur et le serveur Internet du commerçant. Parmi d’autres méthodes, cela peut être fait via le cryptage SSL (Couche de socket sécurisée). Le service de paiement peut permettre l’envoi de données de transaction directement du navigateur du client à la passerelle, en contournant les systèmes du fournisseur. Cela réduit les obligations de conformité du fournisseur à la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) sans rediriger le client depuis le site Web.

Le vendeur transmet ensuite les détails de la transaction au réseau de paiement. Il s’agit d’une autre connexion cryptée (SSL) au serveur de paiement hébergé par le service de paiement.

Le service de paiement convertit le message XML en ISO 8583 ou un format de message variant (le format compris par les clés EFT). Il transmet les informations de la transaction au processeur de paiement utilisé par la banque acheteuse du vendeur.

Le processeur de paiement transmet les informations de la transaction à l’émetteur de la carte (par exemple Visa / MasterCard / American Express). Si une MasterCard est utilisée, le fournisseur de la carte agit également en tant que banque émettrice. Après cela, il donne une réponse directe approuvée ou refusée au service de paiement. Sinon, l’émetteur de la carte dirige la transaction vers la banque qui a émis la bonne carte.