3DSecure
Od září 2019 musí všechny evropské banky zavést "silnou autentizaci karty" (SCA), aby vyhověly PSD2. Ale co přesně je PSD2 a proč ji musí banky dodržovat?
Co je směrnice PSD2?
PSD2 je druhá směrnice o platebních službách, navržená zeměmi Evropské unie a poprvé zavedená v roce 2017 s cílem prolomit monopol bank na údaje svých uživatelů. To umožňuje obchodníkům získat data z účtu svých zákazníků z jejich banky s jejich svolením. PSD2 si klade za cíl dosáhnout tohoto cíle tím, že vyžaduje silnější kontroly totožnosti při placení on-line.
Klíčovým prvkem PSD2 je zavedení dalších ověřování zabezpečení pro online transakce, známé jako silné ověřování zákazníků (SCA – Strong customer authentication). To znamená, že zákazníci již nebudou moci zaplatit on-line pouze pomocí údajů z jejich kreditní nebo debetní karty. Budou muset navíc poskytnout další formu identifikace. Silné ověřování zákazníků (SCA) je definováno jako "ověřování založené na použití dvou nebo více prvků“ rozdělených do kategorií:
Znalosti (heslo, PIN, tajná otázka, číselná sekvence)
Držení (Mobilní telefon, nositelná zařízení, Token, Smartcard)
Inherence (otisk prstu, rozpoznávání hlasu, rozpoznávání duhovky, obličejové rysy)
Tato tři kritéria musí být na sobě nezávislá. Od září 2019 již někteří vydavatelé platebních nástrojů zamítají platby, které vyžadují SCA, ale nesplňují tato kritéria.
Silné ověřování zákazníků bude pevný požadavek pro transakce na POS terminálech i pro transakce elektronického obchodu. Z hlediska elektronického obchodu činí prosazování SCA od září 2019 3DSecure 2.0 o to důležitější pro obchodníky podnikající v Evropě.
Co je 3DSecure?
3DSecure, také známý jako autentizace plátce, je bezpečnostní protokol iniciovaný a vytvořený společnostmi Visa a MasterCard. Jeho cílem je poskytnout dodatečnou ochranu obchodníkům a zákazníkům, kteří zajišťují online platby. 3DSecure ověřuje držitele karty během zpracování online plateb podobně jako při zadávání PIN kódu u POS transakce.
3DSecure 2.0 – Zásadní změna
Jednou z hlavních změn 3DS 2.0 je, že nabídne možnost ověření transakce pomocí biometrické metody, tedy něco, co dnes nabízí většina mobilních telefonů. Používáním otisků prstů nebo rozpoznávání obličeje se počet podvodů potenciálně výrazně sníží a zároveň zvýší pohodlí pro spotřebitele. Jsou tam ale i další vylepšení: bude odstraněno problematické platební okno a 3DS 2.0 bude k dispozici také pro platební metody mobilní a digitální peněženky. Jedná se o zásadní změnu, protože dříve mohly být použity pouze karty. Mimo jiné bude nově poskytována podpora nativních SDK pro operační systémy iOS a Android.
Nová verze navíc pomáhá snížit počet požadavků na autentizaci tím, že vyžaduje, aby vydávající banky přijímaly a využívaly větší počet datových bodů při hodnocení rizik k určení, zda je požadavek oprávněný. Některé z těchto datových bodů, například e-mailová adresa nebo fakturační adresa, budou dodány zákazníky, zatímco jiné pocházejí z dat zařízení a prohlížeče zákazníka.
A konečně, dalším významným důsledkem 3DS 2.0 je, že když zákazník provede nákup, vydavatel bude mít možnost souhlasit s "hladkým průběhem" („frictionless flow“) - kde je platba povolena bez dalších bezpečnostních opatření. Alternativně může vzniknout požadavek, aby byla platba ověřena, což vede k tomu, že vydavatel provede ověření zákazníka založené na hodnocení rizik a případně požádá o další zabezpečení, jako je dvou faktorové ověření. „Hladké platby“ jsou výhodné jak pro zákazníky, tak pro obchodníky, protože jejich platby mohou být provedeny rychle a hladce.
Klíčové dopady těchto změn: vydavatel je ten, kdo má poslední slovo. Pokud vydávající banky mají dostatečné údaje o zákazníkovi, který realizuje transakci, sníží se potřeba požadavků na další ověřování.
Hlavní výhody:
– Plynulý platební proces („hladká platba“ nebo „frictionless flow“)
– Inteligentní mechanismy odhalování podvodů ke snížení úvěrových karetních podvodů
– Méně požadavků na dodatečnou autentizaci plateb díky autentizaci založené na hodnocení rizik
– Kompletní integrace v internetovém obchodě a aplikaci
PSD2 SCA výjimky
Pokud je transakce mimo rámec nařízení PSD2, PSD2 nebude vyžadovat, aby obchodníci požadovali další autentizaci nakupujícího. Jedná se např. o transakce typu poštovními příkazy a telefonními příkazy (MO/TO).
Pokud transakce spadá do některé z výjimek silného ověřování zákazníků (SCA), obchodníci s největší pravděpodobností nebudou muset požadovat další autentizaci, pokud vydavatel nerozhodne jinak. Rozhodnutí vždy náleží vydávající bance. Níže jsou uvedeny transakce, které jsou vyjmuty z SCA (challenge flow):
Transakce odeslané obchodníkem na „seznamu důvěryhodných obchodníků“ (white listovaných): Pokud zákazník přidá obchodníka na seznam důvěryhodných obchodníků, po prvním silném ověření jsou vyjmuty všechny následné.
Transakce, které mají nárok na výjimku. To však musí implementovat každý vydavatel zvlášť.
Transakce iniciované obchodníkem (MIT): Transakce, při které zákazník není přítomen v okamžiku nákupu. Obchodníci obvykle iniciují transakce poté, co zákazník souhlasí s řadou MIT v počáteční registrační transakci. Počáteční transakce iniciovaná nakupujícím by měla být silně ověřena. To zahrnuje například opakované poplatky ve stejné hodnotě (jako v případě modelu předplatného).
Transakce nízké hodnoty: Transakce nižší než 30 EUR mohou mít nárok na výjimky. Je však stále zapotřebí silného ověření po každých pěti transakcích nebo když celková vyňatá hodnota dosáhne 100 EUR.
Transakce s nízkým rizikem založené na analýze rizika transakcí (TRA): Na základě úrovně podvodů procesora plateb a vydavatele karet může být výjimka TRA udělena u všech transakcí pod určitou částku.
Zabezpečené podnikové transakce: Transakce pomocí virtuálních karet, uložených karet a plateb z centrálních cestovních účtů. Tyto transakce jsou považovány za již zabezpečené prostřednictvím stávajících podnikových protokolů. Celé rozsahy pro tento typ karet jsou v současné době v držení vydávajících bank a nejsou komunikovány karetními schématy.
Meziregionální transakce: pokud se procesor plateb nebo vydavatel karet nacházejí mimo Evropu, nespadají do oblasti působnosti PSD2.
3DS 2.0 – Jak to funguje
Jak je uvedeno výše, jednou z nových funkcí 3DS 2.0 je existence nového toku ověřování nazývaného „hladká platba“ (Frictionless flow). To je jeden ze základních rozdílů mezi 3DS 1 a 3DS 2.0. S „hladkou platbou“, vydavatel může schválit transakci bez interakce s držitelem karty na základě ověření založeném na analýze rizika (RBA) provedené v ACS.
Další rozdíl lze nalézt ve způsobu, jakým je požadavek na autentizaci sdělen vydavatelem karty obchodníkovi. V 3DS 1 se to provádí prostřednictvím držitele karty, zatímco v EMV 3DS 2.0 je to sděleno prostřednictvím tzv. Directory serveru. Informování obchodníka o výsledcích ověřování prostřednictvím samostatného kanálu rovněž zvyšuje zabezpečení.
Často kladené otázky
Co je PSD2?
Revidovaná směrnice o platebních službách (PSD2) je definována Evropským orgánem pro bankovnictví a jejím cílem je regulovat nové zúčastněné strany a zlepšit bezpečnost vzájemných výměn. Mezi těmito pravidly je to standard RTS-SCA (Regulatory Technical Standard – Strong Customer Authentication), který vyžaduje silné ověřování zákazníků od 14. září 2019.
Jsou ovlivněny všechny transakce?
Transakce v rámci prodeje na dálku typu MO/TO (Mail Order / Telephone Order), platby iniciované obchodníkem (MIT) a nesouvisející se zákazníkem, stejně jako transakce mezi držiteli karet nebo mezi procesory obchodníků mimo evropský hospodářský prostor nepodléhají pravidlům RTS-SCA.
Co se stane po 14. září pokud mé transakce nejsou autentizovány?
Riskujete zamítnutí autorizace pro neověřené transakce. Pokud lze použít výjimku definovanou RTS-SCA, silné ověření držitele karty se nepoužije. Je důležité si uvědomit, že výjimky mohou obejít silné ověřování zákazníků, ale nejsou povinností. Nezapomeňte také, že i když jsou splněny podmínky pro uplatnění výjimky, konečné rozhodnutí spočívá na vydavatelích karet, kteří jej nemusí udělit, v závislosti na vlastních kritériích (technická způsobilost k jeho řízení, riziko podvodu, ujednání dohodnutá s držitelem karty atd.).
Proč musíte jednat teď?
Cílem silné autentizace zákazníků prostřednictvím 3DS v2 je snížit podvody se vzdálenými platbami a zároveň výrazně zlepšit uživatelskou zkušenost držitele karty, zejména tím, že vydavateli (bance držitele karty) poskytne více informací o souvislosti transakce, aby se mohl rozhodnout, zda má nebo nemá pokračovat v silném ověření totožnosti držitele karty.
Co je nového v programu 3D Secure v2?
Hlavní novinky 3D Secure v2 jsou:
Hladší a integrovanější zákaznická zkušenost, zejména pro mobilní aplikace.
Nové metody ověřování na straně banky držitele karty.
Správa výjimek a „hladké platby“ („Frictionless“).
Co jsou to „hladké platby“ („Frictionless“)?
V závislosti na kontextu a informacích obsažených v požadavku o platbu provede vydavatel karty analýzu rizik a může se rozhodnout transakci neautentizovat. Pokud požadavek na „hladkou platbu“ („frictionless“) pochází od vydavatele karty, obchodník bude mít prospěch z přesunu odpovědnosti. Naopak, pokud obchodník provedl vlastní analýzu rizik a požádal vydavatele o „hladkou platbu“ („frictionless“), pak k přesunu odpovědnosti na vydavatele nedochází.
Jaké jsou výjimky ze silného ověřování zákazníka (SCA) pro vzdálené platby?
RTS stanoví pět možností osvobození pro platby na dálku (elektronický obchod):
Důvěryhodní příjemci na White listu
White-listace je možnost držitele karty, aby sdělil vydavateli své karty, obecně své bance, obchodníka, kterému důvěřuje a pro kterého si nepřeje provést silné ověření zákazníka při provádění vzdálené transakce, za předpokladu, že tato transakce splňuje bezpečnostní kritéria stanovená bankou.
Opakované transakce
Výjimka ze silného ověřování zákazníka se použije pro řadu vzdálených transakcí na stejnou částku pro jednoho příjemce. Silné ověření zákazníka je však vyžadováno pro první transakci (smlouvu) nebo pro každou změnu podmínek řady.
Transakce s nízkou hodnotou
Výjimku ze silného ověřování zákazníků pro vzdálenou platbu nízké hodnoty lze uplatnit:
Pokud je částka transakce nižší než 30 EUR.
Pokud od poslední transakce se silným ověřením zákazníka držitele, maximální částka transakcí na dálku nízké hodnoty, bez ohledu na obchodníka, nebo počet vzdálených transakcí nízké hodnoty nepřekročí strop (kritéria rychlosti) definované RTS-SCA (max 100 EUR nebo 5 transakcí, podle uvážení emitenta, který může také snížit tyto stropy).
Firemní platby
Výjimky platí také pro platby iniciované podniky debetováním obchodního účtu (například centrální vypořádací karty, centralizované účty a virtuální karty). Naproti tomu firemní karty (s debetními kartami z bankovního účtu zaměstnance za zvláštních podmínek) jsou podobné transakcím B2C a tato zvláštní výjimka se na ně nevztahuje.
Analýza transakčních rizik
Výjimku ze silného ověřování zákazníků pro vzdálenou transakci označovanou jako "analýza rizik" může nabýt acquirer (jménem obchodníka) a vydavatel, pokud jsou splněny následující dvě podmínky:
Transakce je prohlášena za bezpečnou (například žádná infekce pracovní stanice uživatele malwarem, žádné abnormální výplaty plátcem, umístění plátce, historie transakcí atd.).
Míra podvodů (pro transakce na dálku) pro platební zařízení (pro acquirerskou banku a pro vydavatelskou banku, ale nikoli pro obchodníka nebo jeho PSP) je nižší než přednastavené stropy:
– 0,13%, pokud je částka transakce nižší než 100 EUR.
– 0,06%, pokud je částka transakce nižší než 250 EUR.
– 0,01%, pokud je částka transakce nižší než 500 EUR.
– Osvobození se nevztahuje na transakce nad 500 EUR.
Co se stane, pokud výjimka selže?
Výjimky nejsou automatické, a i když jsou splněny podmínky pro jejich udělení, konečné rozhodnutí spočívá na vydavateli (bance držitele karty), který je může, ale nemusí udělit. Vydavatel odešle „soft decline“ (podmínečné zamítnutí) platby, které vede k opětovnému předložení platby požadující od držitele karty SCA.
Kdy bude implementováno 3D Secure v2?
Implementace 3D Secure v2, která vyžaduje změny v celém elektronickém platebním řetězci, je od září 2019 prováděna postupně v závislosti na jednotlivých zainteresovaných stranách (platební modul, obchodní banky, sítě, vydavatelské banky).
Doporučujeme vám, abyste se co nejdříve obrátili na poskytovatele brány PSP, abyste věděli, zda je již schopen vás podpořit při implementaci 3DS v2.
Kdy skončí 3D Secure v1?
Konec 3D Secure v1 je vyhlášen v prosinci 2020 pro Visa a Mastercard.
Co se stane s následnými opakovanými transakcemi v případě, že první transakce byla provedena bez SCA před 14. zářím 2019?
Worldline, acquirer a vydavatel nebudou blokovat následné transakce počáteční transakce, ke které došlo před 14. zářím 2019 a budou dále pokračovat v jejich realizaci.
U opakovaných plateb provedených po 14. září 2019, Worldline doporučuje realizovat u první transakce SCA a toto uvést v následných transakcích v zájmu dosahování stejné míry schvalování.