Wszystko, co należy wiedzieć: zasady wyłączenia ze stosowania silnego uwierzytelniania klientów (SCA)
Strong Customer Authentication (SCA) lub „silne uwierzytelnianie klientów” jest nowym wymogiem w europejskim systemie płatniczym. Jego celem jest zredukowanie oszustw i zwiększenie bezpieczeństwa płatności. Jednak silne uwierzytelnianie klientów wymaga wykonania dodatkowego kroku w procesie płatności, który może negatywnie wpływać na wskaźnik konwersji i w najgorszym razie prowadzić do przerwania płatności.
Unijna dyrektywa w sprawie usług płatniczych PSD2 przewiduje w pewnych sytuacjach z niskim ryzykiem wyłączenia i definiuje kryteria, aby można było przeprowadzić transakcję także bez silnego uwierzytelnienia klienta. Jako sprzedawca korzystasz dzięki silnemu uwierzytelnianiu klientów ze zwiększonego bezpieczeństwa, a dzięki wyłączeniom (ang. „SCA Exemptions”) z lepszego wskaźnika konwersji w przypadku transakcji z niskim ryzykiem.
Z tego artykułu na blogu dowiesz się, kiedy musi być przeprowadzone silne uwierzytelnienie klientów oraz jak i w jakich przypadkach można ubiegać się o wyłączenia.
Co to jest silne uwierzytelnianie klientów?
Dla przypomnienia: przy silnym uwierzytelnianiu klientów wszystkie transakcje płatnicze z wyjątkiem określonych wyjątkowych sytuacji – muszą być silnie zabezpieczone, w tym celu muszą zostać zastosowane przynajmniej dwa z trzech następujących czynników:
Wiedza:
Hasło
PIN
Pytanie pomocnicze
Kolejność cyfr
Sprzęt:
Telefon komórkowy
Przenośne urządzenia elektroniczne
Token
Karta Smartcard
Biometryka:
Odcisk palca
Rozpoznanie głosu
Rozpoznanie tęczówki oka
Rysy twarzy
Podczas operacji płacenia bank prosi posiadacza karty o podanie dodatkowych informacji. To może być na przykład jednorazowy kod wysyłany na telefon komórkowy lub uwierzytelnienie za pomocą odcisku palca w aplikacji Mobile Banking.
Jakie istnieją wyłączenia w stosowaniu silnego uwierzytelniania klientów?
PSD2 przewiduje wyjątki, w przypadku których posiadacz karty nie musi przeprowadzać silnego uwierzytelnienia, a transakcje są przeprowadzane mimo tego jako „w pełni uwierzytelnione 3-D Secure”. Poprzez zastosowanie tych wyjątków od SCA uproszony zostaje proces płatniczy dla Twoich klientów, co pozytywnie wpływa na wskaźnik konwersji.
Dla Ciebie, jako sprzedawcy istotne są następujące wyjątki:
Małe kwoty | Płatności cykliczne | Sprzedawcy z tzw. białej listy | Niewielkie ryzyko |
---|---|---|---|
Płatności do EUR 30 – do łącznej kwoty EUR 100 lub pięciu kolejnych płatności. |
Od drugiej transakcji do tego samego odbiorcy z taką samą kwotą. | Właściciel karty tworzy białą listę zaufanych handlowców. | Ocena ryzyka transakcji dla kwot mieszczących się w określonych wartościach progowych. |
Tak korzystasz z wyłączeń ze stosowania silnego uwierzytelniania klientów
Jako klient Saferpay z podpisaną umową z Worldline jako centrum autoryzacyjno-rozliczeniowym, możesz wnioskować o wyłączenia w przypadku małych kwot, płatności cyklicznych i transakcji z niskim ryzykiem. Transakcje cykliczne u klientów Worldline są automatycznie rozpoznawane i zostaje złożony wniosek o wyłączenie, jeśli są one przeprowadzane zgodnie ze specyfikacją.
Bank posiadacza karty decyduje, czy wniosek o wyłączenie zostanie zaakceptowany czy odrzucony. Jeśli wnioskuje się o wyłączenie dla transakcji, która odpowiada specyfikacji, należy przy tym uwzględnić następujące aspekty:
- Odpowiedzialność za taką transakcję ponosi sprzedawca.
- Bank posiadacza karty może mimo wszystko odmówić wyłączenia i zażądać procedury SCA. W takim przypadku odpowiedzialność przechodzi na emitenta karty.
Wymagania dla wniosku o wyłączenie ze stosowania
O wyłączenie z zastosowania SCA dla transakcji można się ubiegać pod następującymi warunkami:
- Twoje centrum autoryzacyjno-rozliczeniowe, o ile nie jest to Worldline, wspiera reguły wyłączenia ze stosowania silnego uwierzytelnienia klientów.
- Istnieje umowa z Twoim centrum autoryzacyjno-rozliczeniowym na realizację wyłączeń „SCA Exemption”.
- Możesz przeprowadzić analizę ryzyka („real-time risk analysis”) transakcji.
- Gwarantujesz, że o wyłączenia ze stosowania SCA będziesz ubiegać się tylko dla tych transakcji, o które zgodnie z definicją wyłączeń w PSD2 można wnioskować.
W tych przypadkach procedura SCA nie jest wymagana
W poniższych przypadkach nie ma obowiązku stosowania SCA, dlatego nie trzeba wnioskować o wyłączenia:
- Anonimowe karty Prepaid
- Zamówienia pisemne, mailowe i telefoniczne (transakcje MOTO)
- Transakcje międzyregionalne, tzw. „one leg” (w przypadku gdy siedziba sklepu lub adres sprzedawcy znajduje się poza Europejskim Obszarem Gospodarczym EOG)
- Transakcje zainicjowane przez odbiorcę płatności
Dokumentacja techniczna
Przewodnik Saferpay Integration Guide w sekcji SCA Exemptions zawiera wszystkie niezbędne szczegóły techniczne, w jaki sposób wnioskować o wyłącznie dla transakcji:
FAQ
Opinia
Podobał się Państwu ten artykuł? Czy odpowiedział on na niektóre Państwa zapytania? Prosimy o informację:
Aby dalej rozwijać usługę Saferpay i jeszcze lepiej dostosować ją do Państwa potrzeb jako sprzedawcy, programisty i użytkownika końcowego, liczymy na Państwa opinię. Wiemy, jak cenny jest Państwa czas – i dlatego tym bardziej docenimy, jeśli prześlą nam Państwo swoją opinię. Nie ma znaczenia, czy chcą się Państwo podzielić z nami swoimi pomysłami, zgłosić problem, czy opowiedzieć o swoim sukcesie.
Z niecierpliwością czekamy na wiadomość od Państwa!