Programia - Tvorba e-shopů, shop, eShop, e-shop, B2C, B2B

MENUZAVŘÍT
Úvod Novinky Přichází zpřísnění pravidel bankovního styku u e-commerce platforem. Co už nebude stačit?

Přichází zpřísnění pravidel bankovního styku u e-commerce platforem. Co už nebude stačit?

19.8. 2019

Online placení za nákup produktů a služeb je jednoduché a pohodlné, a proto také hojně využívané. Postupně už není potřeba ani klasická platební karta, všechno hravě zaplatíte skrze mobilní telefon. To s sebou ale přináší riziko podvodů a snahu o prolomení bezpečnostních opatření. V souvislosti s tím už brzy vejde v platnost povinnost silného ověření klienta podle nové evropské směrnice o platebním styku PSD 2. Kdy se tak stane, co přesně se změní a jak to ovlivní naše e-shopy?

Kdy vejdou změny u platebního styku v platnost

Ke zpřísnění pravidel o bankovním styku u e-commerce platforem dojde co nevidět. Už od 1. 9. 2019 nebude stačit dosavadní ověření klienta přes 3D Secure platební bránu. Nová evropská směrnice o platebním styku PSD 2 (nahradí stávající PSD 1) udává obchodníkům povinnost zavedení silné autentizace zákazníků o několika krocích a v současné době používaná technologie 3D Secure pro ověření již těmto požadavkům nedokáže vyhovět.
Pro online prodejce to znamená, že například přihlášení do internetového bankovnictví a platba kartou na internetu budou muset projít důkladnějším ověřením, než jak jsme byli doposud zvyklí. Řešení nabízí nová generace technologie 3D Secure → 3D Secure 2.0.
Bezpečné placení
Počínaje zářím 2019 se stane silné ověření klienta povinné a v roce 2020 dojde k ukončení platební brány 3D Secure 1.0 a plně ji nahradí nová 3D Secure 2.0.

Co požaduje silná autentizace zákazníků (SCA)

První směrnice o platebním styku PSD 1 (Payment Services Directive) vytvořila komplexní regulatorní rámec pro poskytování platebních služeb, ale ten už nyní stačit nebude. Některé položky uvedené ve směrnici byly nejednoznačné nebo příliš obecné, z čehož pramenila řada problémů včetně obtíží při vstupu nových hráčů na trh. PSD 2 má za cíl toto změnit a posílit ochranu spotřebitele.
Právě proto obsahuje bezpečnostní řešení v podobě silné autentizace zákazníků (Strong Customer Authentication = SCA), která se týká všech typů elektronických plateb a vyžaduje použití alespoň dvou ze tří ověřovacích prvků:
  • Znalost (heslo nebo PIN)
  • Vlastnictví (mobilní telefon nebo jiné chytré zařízení)
  • Jedinečnost (některý z biometrických znaků)
Tři ověřovací prvky
Tímto způsobem se s jistotou ověří identita platícího zákazníka a sníží se riziko zneužití hesla nebo platebních údajů. K ověření dojde vždy ještě před autorizací platby a stržením finančních prostředků z účtu držitele karty. Zdroj: Globalpayments.cz.
Při aplikaci SCA pak záleží na tom, zda obchodník využívá technologii 3D Secure nebo platební bránu spolu s opakovanou platbou či uloženou kartou. Ti obchodníci, kteří již využívají platbu kartou 3D Secure s využitím API HTTP, nemusí provádět žádné změny, případně jen drobné úpravy pro maximální komfort svých zákazníků. Ostatní obchodníci musí provést implementaci nové platební brány. Více informací o nutných změnách se dozvíte na následujících stránkách:
  • Globalpayments.cz, kde zjistíte více o SCA a jak se nové silné ověření dle PSD2 dotkne právě vás.
  • Gbwebpay.cz, kde najdete bližší rady a upozornění k implementaci potřebných změn. 

Nový ověřovací protokol aneb od 3D Secure 1.0 k 3D Secure 2.0

Současné ověření online platby bez přítomnosti platební karty probíhá přes technologii 3D Secure 1.0, což je tří doménový bezpečnostní protokol, který snižuje riziko podvodných plateb.
1. doména: nabyvatel (banka, které budou peníze vyplaceny).
2. doména: vydavatel (banka, která vydala kartu zákazníka).
3. doména: interoperabilita (platební infrastruktura, která umožňuje výše uvedeným dvěma stranám vyměňovat si údaje o držiteli karty.).
Protokol používá zprávy ve formátu XML, které posílá pomocí šifrované SSL komunikace. Ověřuje tak pravost účastníků transakce způsobem, jenž nemůže rozpoznat e-shop ani podvodník. Funguje to podobně jako když při platbě v kamenné prodejně zadáte ověřovací PIN kód.

Jak funguje 3D Secure ověření (zjednodušeně)

→ Zadání platebních údajů
→ Ověření, že je karta navedena v systému 3D Secure
→ Zaslání unikátního kódu přes SMS na mobilní telefon
→ Ověření držitele karty vyplněním kódu
→ Autorizace
→ Realizace platby
3D Secure ověření
To, že platba proběhne v režimu 3D Secure, může e-shop svým zákazníkům ukázat a komunikovat tak, aby se platby kartou nebáli (krom oficiálního textu Verified by Visa, Mastercard Secure Code).

Nevýhody ověřovacího protokolu 3D Secure 1.0

Jak už jsme si řekli, je zásadním problémem 3D Secure 1.0 nemožnost splnit požadavky, které ukládá SCA pod hlavičkou evropské směrnice PSD 2. Další nevýhodu představuje jeho špatná funkčnost na mobilních telefonech a chytrých zařízeních.
Z tohoto důvodu bylo nezbytné vyvinout nový ověřovací protokol, který uživatelům nabídce přesně to, co potřebují, v souladu s evropskou směrnicí.

Jak funguje 3D Secure 2.0 nové generace

3D Secure 2.0 představuje novou a modernější verzi ověřovacího protokolu 3D Secure. Dokáže zpracovat mnohem větší objem dat a je schopen ověřit totožnost uživatele pomocí biometriky a jiných zařízení než je stolní počítač či notebook.
Rovněž umožňuje do nákupního košíku integrovat další bezpečnostní vrstvu tak, aby bylo splněno silné ověření klienta. Přitom usnadňuje výměnu dat mezi obchodníky, vlastníky a vydavateli karet pro přesné ověření totožnosti zákazníků. Díky tomu není potřeba zadávat PIN kód a proces platby probíhá velmi hladce. Ne všechno však do působnosti 3D Secure 2.0 spadá.

Transakce, které jsou vyňaty z režimu 3DS 2

  • Transakce s nízkou hodnotou (méně než 30 EUR).
  • Transakce s nízkým rizikem (na hodnocení rizika se podílí nabyvatel a vydavatel).
  • Obchodníci a důvěryhodní příjemci uvedení na bílé listině.
  • Údaje o kartách sbírané od zákazníků po telefonu.
  • Opakované transakce (kromě první platby).

Jakým způsobem bude placení nejjednodušší

Realizace online nákupů bude velmi snadná především na zařízeních, které umí snímat biometrické prvky, jako například otisk prstu, sken obličeje či duhovky, a dále s nimi pracovat.
Biometrické prvky
Do budoucna banky navrhují přidělení tzv. e-PINů, unikátních čísel, které by byly přiřazené ke každé platební kartě. Při online placení by se pak tento PIN zadával stejně jako při placení v kamenných prodejnách jen bez přítomnosti platební karty. Další variantou pro ověřovací faktor Znalost by také mohly být ověřovací otázky ve znění například: „Co nejraději snídáte?“, na které by si uživatel předem vyplnil odpovědi ve svém internetovém bankovnictví. Při placení by pak na některou, náhodně vybranou otázku musel odpovědět.

4 výhody, které 3DS 2 přináší obchodníkům

  1. Chrání platební operace klientů a zvyšuje důvěryhodnost e-shopu.
  2. Přispívá ke zrychlení procesu v nákupním košíku (autentizace je rychlá a může probíhat na stejné stránce), a tím ke snížení množství jeho opuštění.
  3. Riziko za transakce přebírá vydávající banka.
  4. Díky 3DS 2 je možné jednoduše vytvořit autentizační toky nativně v aplikacích nebo na webových stránkách.

Naši klienti mohou být naprosto klidní

Můžeme vás ubezpečit, že na změny v online bankovním styku jsme připraveni. Pokud se vyskytnou nějaké dodatečné požadavky v rámci silného uživatelského ověření, zapracujeme je ihned, jakmile se je od bank dozvíme. Takovým způsobem, aby bylo vše v souladu s evropskou směrnicí PSD 2.