EMV 3D Secure pojawia się na horyzoncie, przynosząc niespodziewane korzyści

Upowszechnienie technologii mobilnych i alternatywnych kanałów płatności ułatwiło konsumentom dokonywanie zakupów przez Internet i doprowadziło do szybkiego rozwoju handlu elektronicznego. Jednak podczas gdy handel cyfrowy nadal zyskuje na popularności, wzrasta również liczba przypadków oszustw, ponieważ weryfikacja tożsamości klienta w transakcjach bez fizycznej obecności karty staje się prawdziwym wyzwaniem.

Począwszy od września 2019 r. Zmieniona dyrektywa w sprawie usług płatniczych Unii Europejskiej, znana również jako PSD2, wprowadzi nowe wymagania i rozpocznie się egzekwowanie standardów silnego uwierzytelniania klientów (SCA – z ang. ‘Strong Customer Authentication’) dla płatności online w celu zwalczania oszustw. Protokół przesyłania komunikatów EMV 3D Secure (3DS2) będzie główną metodą pomagającą w spełnianiu wymagań PSD2 – SCA. W tym podstawowym przewodniku wyjaśniamy, czym jest protokół 3DS2 oraz jakie są jego zalety, a także co musisz zrobić, aby Twoja działalność spełniała wymagania 3D Secure.

Czym jest silne uwierzytelnianie klientów (SCA) przewidywane przez PSD2?

W 2015 r. wprowadzono pierwszą Dyrektywę w sprawie usług płatniczych (PSD1) w celu uregulowania usług płatniczych i dostawców usług płatniczych w Unii Europejskiej i Europejskim Obszarze Gospodarczym. Później gwałtowne zmiany w sektorze płatniczym doprowadziły UE do aktualizacji Dyrektywy w sprawie usług płatniczych. Druga dyrektywa w sprawie usług płatniczych (PSD2) zawiera kilka artykułów i nakazów, z których jeden koncentruje się na mocnym uwierzytelnianiu klientów (SCA). SCA zakłada uwierzytelnianie dwuskładnikowe, które będzie obowiązkowe w przypadku pewnych transakcji.

Silne uwierzytelnienie klientów (SCA) wymaga zastosowania co najmniej dwóch z trzech poniższych elementów.

Dotychczas dodatkowe kroki bezpieczeństwa, czyli uwierzytelnianie dwuskładnikowe, były wymagane tylko w przypadku transakcji uznawanych za obarczone wysokim ryzykiem. Aby akceptować transakcje po wprowadzeniu SCA w Europie we wrześniu 2019 r., akceptanci sprzedający towary konsumentom europejskim będą musieli unowocześnić stosowane metody uwierzytelniania, umożliwiając uwierzytelnianie dwuskładnikowe lub pogodzić się ze spadkiem sprzedaży. Innymi słowy, uwierzytelnianie dwuskładnikowe stanie się domyślnym standardem wszystkich transakcji inicjowanych przez klientów w Europie, chyba że zastosowanie ma wyłączenie.

Porównanie 3DS1 i 3DS2

EMV Three Domain Secure, znany również akceptantom jako 3D Secure 2 to narzędzie uwierzytelniające lub protokół wprowadzony przez EMVCo i największe organizacje płatnicze, aby pomóc konsumentom w uwierzytelnianiu tożsamości przy transakcjach kartami, które nie są fizycznie obecne, poprzez zapewnienie dodatkowej warstwy zabezpieczeń.

Dotychczas stosowany protokół 3D Secure 1 umożliwiał przekazywanie danych pomiędzy najważniejszymi uczestnikami ekosystemu płatności w celu uwierzytelnienia transakcji.

3DS2 to najnowsza wersja tego protokołu uwierzytelniania, która zapewnia ulepszenia uwzględniające wymogi regulacyjne SCA Unii Europejskiej, potrzebę obsługiwania nowych kanałów płatności, takich jak portfele cyfrowe, oraz spadające współczynniki konwersji. Dzięki systemowi 3DS2 akceptanci będą mogli umieścić dodatkową warstwę zabezpieczeń w swoich procesach transakcyjnych, co pomoże im spełnić nowe przepisy dotyczące uwierzytelniania SCA i skuteczniej zwalczać oszustwa, bez uszczerbku dla komfortu klientów.

Podczas gdy przepływ zadań w protokole 3DS1 koncentrował się głównie na prostym żądaniu dostarczenia danych uwierzytelniających (umieszczenie kodu na statycznej stronie internetowej, uwierzytelnianie za pomocą wiadomości SMS itp.), 3DS2 umożliwia rozbudowane przesyłanie danych pomiędzy akceptantami, posiadaczami kart oraz ich wystawcami, w stopniu znacznie większym niż kiedykolwiek wcześniej, co umożliwia bardziej dokładne uwierzytelnianie. Akceptanci mogą weryfikować transakcje komunikując się z bankiem – wystawcą karty klienta. Nie wymaga to od klienta pamiętania kodu PIN, ani przekierowywania go na kolejną stronę internetową. Rezultatem jest bezproblemowa zapłata, chociaż w niektórych przypadkach może być konieczne użycie żądania uwierzytelnienia w celu potwierdzenia tożsamości użytkownika. Porównaj dwa przepływy przedstawione poniżej, aby lepiej poznać ich cechy:

3DS 1.0

Reguły mają swoje wyjątki, co dotyczy również 3DS2

tabela_payu

Niektóre transakcje będą wyłączone ze stosowania protokołu 3DS2. Dotyczy to między innymi:

  • Transakcji o niskiej wartości – Transakcje o wartości niższej niż 30 euro każda, przy czym dozwolone jest nie więcej niż pięć transakcji z rzędu lub suma transakcji nie przekraczająca 100 euro (zależy od wydawcy karty, który licznik zastosuje). Po przekroczeniu wartości licznika wymagane będzie zastosowanie SCA w celu potwierdzenia tożsamości oraz wyzerowania licznika.
  • Transakcji o niskim ryzyku – Transakcję należy uznać za transakcję o niskim ryzyku, jeżeli przeszła pomyślnie ocenę ryzyka w czasie rzeczywistym, dokonaną przez agenta rozliczeniowego lub wydawcę.
  • Akceptantów z białej listy (zaufani odbiorcy) – Klienci mogli wpisać na białą listę każdego akceptanta, którego uznają za godnego zaufania po pierwszym uwierzytelnieniu. W takim przypadku większość kolejnych etapów uwierzytelniania nie będzie już wymagana. Decyzja o udostępnieniu tego rodzaju listy zaufanych odbiorców należy do wydawcy karty.
  • Zamówień pocztowych i telefonicznych – Dane kart płatniczych zbierane od klientów przez telefon.
  • Transakcji powtarzających się / abonamentów oraz transakcji inicjowanych przez akceptanta – Usługa oparta na subskrypcji, w której występują powtarzające się płatności o tej samej/ różnej wartości. Jednak moment wyrażenia zgody na cykliczne obciążanie karty i zapisanie karty będzie wymagała silnego uwierzytelnienia.

6 korzyści, które 3DS2.0 daje akceptantom

Zastosowanie 3DS2 zapewnia akceptantom szereg korzyści. Należy do nich zaliczyć:

  1. 3DS2 pomaga spełnić nowe wymagania SCA, które przewidują uwierzytelnianie dwuskładnikowe jako wymóg dla wszystkich płatności elektronicznych. Jeśli masz dużą liczbę klientów w Europie, stosowanie 3DS2 jest konieczne dla kontynuowania działalności.
  2. 3DS2 chroni działalność operacyjną zapewniając solidny poziom bezpieczeństwa i ma potencjał do zwalczania przypadków nadużyć finansowych.
  3. 3DS2 zapewnia duży komfort klientom. Bezprzewodowa identyfikacja klientów może przyczynić się do skrócenia procesu zapłaty i zmniejszenia liczby przypadków porzucania koszyka zamówień.
  4. 3DS2 poprawia wskaźniki akceptacji, ponieważ uwierzytelnianie jest szybkie i może odbywać się na tej samej stronie.
  5. 3DS2 pozwala na łatwe natywne wbudowywanie przepływów uwierzytelniania do aplikacji lub serwisów internetowych.
  6. 3DS2 pomaga w przeniesieniu ryzyka akceptantów (ryzyko przejmuje bank wydający kartę).

Mamy nadzieję, że powyższe informacje pomogą rzucić nieco światła i rozwiać obawy związane z 3DS2. Wkrótce napiszemy o tym więcej.