Bezpieczne płacenie w Internecie

Klienci nie muszą już zapamiętywać haseł i mogą łatwo potwierdzać płatności z aplikacji mobilnej. Uwierzytelnienie klienta w 3-D Secure 2 jest w pełni zintegrowane z procesem sprzedaży. Odpowiedzialność za nieuczciwe transakcje przechodzi w całości na emitenta karty.

3-D Secure 2 opiera się na procesie uwierzytelniania opartym na ocenie ryzyka i wykorzystuje dodatkowe dane transakcyjne, na podstawie których sprzedawcy i emitenci kart sprawdzają, czy płatność została zainicjowana przez właściciela karty i decydują, czy proces płatności będzie kontynuowany, czy przerwany. W procesie weryfikacji uwzględniono również inne czynniki, takie jak zwyczaje związane z płatnościami lub cyfrowy „odcisk palca”. W tak zwanym procesie „Frictionless Flow” identyfikowane są transakcje o niskim poziomie ryzyka. Nie jest wymagane rzeczywiste uwierzytelnienie klienta, a proces dokonywania płatności przez właściciela karty jest realizowany bez przerw.

• Sprawna realizacja płatności (Frictionless Flow)
• Zwiększenie współczynnika konwersji
• Mniej przerwanych płatności dzięki uwierzytelnieniu opartemu na ocenie ryzyka
• Pełna integracja ze sklepem internetowym i aplikacją mobilną
• Inteligentne mechanizmy wykrywania oszustw w celu ograniczenia oszustw związanych z kartami kredytowymi

Wspólnie z dostawcami rozwiązań zadbaj o to , żeby standard bezpieczeństwa 3-D Secure 2 został prawidłowo zaimplementowany:

• Skontaktuj się z dostawcą usług płatniczych w celu technicznej integracji nowego standardu bezpieczeństwa.
• Wspólnie z dostawcą platformy sklepowej zapewnij integrację z dostawcą usług płatniczych (może zaistnieć potrzeba aktualizacji interfejsu między dostawcą usług płatniczych a Twoim sklepem internetowym lub dokonania innych zmian).
• Aby zapewnić przyjazne dla klienta uwierzytelnianie oparte na ocenie ryzyka, 3-D Secure 2. wykorzystuje 10-krotnie więcej danych właścicieli kart oraz sklepów internetowych, umożliwiając zwiększenie liczby punktów kontrolnych i obniżenie liczby oszustw. Dane te obejmują również dane osobowe, takie jak nazwisko właściciela karty, numer telefonu, adres e-mail, adres IP, adres na fakturze i adres dostawy. Dlatego też zalecamy rozszerzenie oświadczenia o ochronie danych osobowych zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO).
• W twoim sklepie internetowym wymień logo i nazwy: Mastercard SecureCode na Mastercard Identity Check oraz Verified by Visa na Visa Secure.
• Jesteś klientem Worldline i korzystasz z Saferpay w swoim sklepie internetowym? Sprawdź na naszej stronie z najczęściej zadawanymi pytaniami, czy musisz coś zrobić.

• Do tej pory nie używasz 3-D Secure? Nie jest to zgodne z PSD 2. Nawiąż kontakt z naszymi specjalistami i pozwól, abyśmy Ci doradzili w kwestii kroków wymaganych do implementacji 3-D Secure 2.

Zmieniona dyrektywa w sprawie usług płatniczych (PSD2) została zdefiniowana przez Europejski Urząd Nadzoru Bankowego i ma na celu uregulowanie kwestii związanych z nowymi interesariuszami oraz poprawę bezpieczeństwa transakcji. Wśród tych regulacji pojawiła się zasada RTS-SCA (Regulacyjny standard techniczny – silne uwierzytelnienie klienta), która od 14 września 2019 r. będzie wymagała silnego uwierzytelnienia klienta.

Gdy zbliżał się pierwotny termin 14 września 2019 roku, coraz więcej krajów europejskich dostrzegło, że duża liczba przedsiębiorstw z branży e-commerce i banków nie mogły dotrzymać tego już raz przesuniętego terminu.

Szacuje się, że europejskie sklepy internetowe straciłyby około 20% przychodów, jeśli nie mogłyby dotrzymać terminu wprowadzenia zmian. Europejski Urząd Nadzoru Bankowego (EUNB), który jest odpowiedzialny za techniczne standardy regulacyjne, ostatecznie zdecydował dopuścić kolejne przesunięcie terminu.

Nowy i ostateczny termin, który został ogłoszony zgodnie ze stanowiskiem EUNB, to 31 grudnia 2020 roku, a odpowiednie właściwe organy krajowe (NCA) w całej Europie poinformowały o przesunięciu terminu właściwe krajowe jednostki, tzn. banki, dostawców usług płatniczych i sklepy internetowe.

Aby jednak zapobiec sytuacji, w której przedłużenie terminu skłoniłoby niektóre ze stron do niepodejmowania jakichkolwiek działań do momentu zbliżenia się nowego terminu, EUNB – stojący ponad właściwymi organami krajowymi (NCA) – zażądał od stron konkretnych planów wdrożenia silnego uwierzytelnienia klientów jako warunek przesunięcia. Innymi słowy EUNB zadbał o to, aby nie znaleźli się ponownie w tej samej sytuacji, gdy będzie zbliżał się kolejny termin.

Ostatecznie należy podkreślić, iż sprzedawcy i ich dostawcy usług płatniczych najpóźniej pod koniec pierwszej połowy 2020 roku mają być gotowi pod kątem technicznym, aby mieć wystarczającą ilość czasu do przetestowania całego łańcucha przetwarzania płatności ze swoimi centrami autoryzacyjno-rozliczeniowymi, organizacjami płatniczymi i emitentami kart. Istnieje prawdopodobieństwo zaistnienia różnych interpretacji nowych przepisów, a ich dostosowanie może wymagać czasu i musi być zakończone najpóźniej przed rozpoczęciem sezonu bożonarodzeniowego.

Od 1 stycznia 2021 roku Worldline nie będzie więcej przetwarzał transakcji niezgodnych z PSD2.

Nie, transakcje sprzedaży na odległość typu MOTO (Mail Order Telephone Order), płatności inicjowane przez sprzedawcę bez udziału klienta, jak również transakcje pomiędzy właścicielami kart lub akceptantami spoza europejskiego obszaru gospodarczego nie podlegają regulacji RTS-SCA.

Celem silnego uwierzytelnienia klienta (SCA) poprzez 3-D Secure 2 jest ograniczenie oszustw związanych z płatnościami na odległość przy jednoczesnej znacznej poprawie łatwości obsługi dla właściciela karty, w szczególności przez dostarczenie emitentowi (bankowi właściciela karty) większej ilości informacji na temat kontekstu transakcji, aby umożliwić temu ostatniemu podjęcie decyzji, czy powinien zastosować procedurę SCA w konkretnym przypadku.

1. Jeśli korzystasz już z 3-D Secure 1.0 dla wszystkich swoich transakcji, przejście na 3-D Secure 2 pozwoli uniknąć uwierzytelnienia klienta dla niektórych transakcji. Zwiększy to współczynnik konwersji, jednocześnie chroniąc przed oszustwami.
2. Jeśli w ogóle nie korzystasz z 3-D Secure 1.0 (tylko transakcje „SSL”) lub korzystasz z niego częściowo (Dynamic 3-D Secure), wdrożenie 3-D Secure 1.0 lub 3-D Secure 2 jest i tak obowiązkowe dla zapewnienia zgodności z zasadą SCA. W przeciwnym razie, możesz się spodziewać wielu odrzuconych przez emitentów transakcji nieprzeprowadzanych za pośrednictwem 3-D Secure. 3-D Secure 2 zapewni Ci lepszy współczynnik konwersji niż 3-D Secure 1.0.
   

Głównymi uzupełnieniami 3-D Secure 2 są:

• Płynniejsza i bardziej zintegrowana obsługa przez klienta, szczególnie w przypadku aplikacji mobilnych.
• Nowe metody uwierzytelniania po stronie banku właściciela karty.
• Zarządzanie wyłączeniami i sprawna realizacja płatności (Frictionless).

Frictionless Flow oznacza transakcję płatniczą bez żądania dodatkowego uwierzytelnienia.
W zależności od kontekstu i informacji zawartych w żądaniu autoryzacji, emitent karty przeprowadza analizę ryzyka i może podjąć decyzję o nieuwierzytelnianiu transakcji. Jeżeli decyzja „Frictionless Flow” zostanie podjęta przez emitenta, wówczas kontrahent skorzysta z zasady przeniesienia odpowiedzialności. I odwrotnie, jeżeli kontrahent przeprowadził własną analizę ryzyka i zażąda od emitenta „Frictionless Flow”, wówczas nie skorzysta on z zasady przeniesienia odpowiedzialności.

RTS przewiduje dwa wyjątki dla płatności w kasie:

• Transakcje zbliżeniowe o niskich kwotach

Zwolnienie z wymogu SCA w przypadku płatności zbliżeniowej może zostać zastosowane:

➔ jeżeli kwota transakcji nie przekracza EUR 50,
➔ jeżeli od czasu ostatniej transakcji z użyciem silnego uwierzytelnienia klienta przez właściciela karty maksymalna kwota transakcji zbliżeniowych, niezależnie od kontrahenta, lub liczba transakcji zbliżeniowych nie przekroczyła określonej przez RTS-SCA wartości (maks. EUR 150 lub 5 transakcji, w zależności od emitenta, który może również obniżyć te limity).

• Transakcje na samoobsługowych terminalach w parkomatach lub środkach komunikacji

• Transakcje cykliczne

Zwolnienie z wymogu silnego uwierzytelnienia klienta ma zastosowanie do serii transakcji na odległość na taką samą kwotę na rzecz jednego beneficjenta. Jednakże silne uwierzytelnienie klienta jest wymagane przy pierwszej transakcji (umowie) lub przy każdej zmianie warunków serii.

• Niska kwota transakcji

Zwolnienie z wymogu silnego uwierzytelnienia klienta w przypadku niskiej kwoty transakcji na odległość może zostać zastosowane:

➔ jeżeli kwota transakcji nie przekracza EUR 30,
➔ jeżeli od czasu ostatniej transakcji z użyciem silnego uwierzytelnienia klienta przez właściciela maksymalna kwota transakcji na odległość, niezależnie od kontrahenta, lub liczba transakcji na odległość nie przekroczyła limitu określonego przez RTS-SCA (maks. EUR 100 lub 5 transakcji, w zależności od emitenta, który może również obniżyć te limity).

• Analiza ryzyka transakcyjnego

Zwolnienie z wymogu silnego uwierzytelniania klienta w przypadku transakcji na odległość, zwane „analizą ryzyka”, może zostać zastosowane przez centrum autoryzacyjno-rozliczeniowe (w imieniu kontrahenta) oraz przez emitenta, jeżeli spełnione są dwa poniższe warunki:

➔ Transakcja została uznana za bezpieczną (nie stwierdzono np.: zainfekowania komputera użytkownika przez złośliwe oprogramowanie, nietypowej lokalizacji płatnika, nietypowych płatności, czy nietypowej historii transakcji).
➔ Wskaźnik oszustw (w przypadku transakcji na odległość) dla instytucji płatniczej (dla centrali autoryzacyjno-rozliczeniowej Banku i emitenta Banku, ale nie dla kontrahenta lub jego dostawcy usług płatniczych) jest niższy od ustalonych limitów:

➩ 0,13%, jeżeli kwota transakcji jest mniejsza niż EUR 100.
➩ 0,06%, jeżeli kwota transakcji jest mniejsza niż EUR 250.
➩ 0,01%, jeżeli kwota transakcji jest mniejsza niż EUR 500.
➩ Zwolnienie z wymogu SCA nie ma zastosowania do transakcji powyżej EUR 500.

Zwolnienia nie są rutynowe i nawet jeżeli warunki zwolnienia są spełnione, ostateczna decyzja należy do emitenta (banku właściciela karty), który może udzielić zwolnienia lub nie. Emitent prześle odmowę płatności, co skutkuje koniecznością ponowienia płatności przez właściciela karty z zastosowaniem silnego uwierzytelnienia klienta.

Wdrożenie 3-D Secure 2, które wymaga zmian w całym łańcuchu płatności elektronicznych, będzie przeprowadzane stopniowo w zależności od różnych interesariuszy zajmujących się płatnościami (moduł płatności, banki kontrahentów, sieci, banki emitenci). Zalecamy jak najszybsze skontaktowanie się ze swoim dostawcą usług płatniczych, aby dowiedzieć się, czy może on zaoferować wsparcie we wdrożeniu 3-D Secure 2.

Koniec 3-D Secure 1.0 dla Visa i Mastercard zapowiedziano na grudzień 2020 r.

Worldline jako centrum autoryzacyjno-rozliczeniowe nie będzie blokować kolejnych transakcji początkowej transakcji, która miała miejsce przed 31 grudnia, i nadal będzie je akceptować. W przypadku płatności cyklicznych dokonanych po 31 grudnia, Worldline zaleca przeprowadzenie SCA dla pierwszej z nich i odniesienie się do niej w kolejnej transakcji w celu utrzymania wskaźnika zatwierdzonych transakcji.

Krajowe organy regulacyjne nadzorują działalność lokalnych centrów autoryzacyjno-rozliczeniowych i emitentów. Najważniejsza dla kontrahenta jest jednak lokalizacja jego centrum autoryzacyjno-rozliczeniowego, ponieważ to zadecyduje o tym, czy można zastosować fazę przejściową. Ponadto kontrahenci prowadzący działalność międzynarodową powinni zapoznać się z przepisami obowiązującymi w krajach, w których prowadzą działalność gospodarczą. Rzeczywiście z dniem 14 września niektórzy emitenci w Europie będą zobowiązani do obsługi silnego uwierzytelnienia klienta. Oznacza to, że ci emitenci prawdopodobnie odrzucą transakcje kartami przetwarzane bez użycia 3-D Secure.