ČASŤ I
Regulácia PSD2
V januári 2018 vošla do účinnosti regulácia Európskej únie s názvom PSD2 (Payment Service Directive), ktorá priniesla zmeny v oblasti bezpečnosti a zjednotenia platieb v rámci EÚ. Ako súčasť regulácie bola vydaná technická špecifikácia RTS (Regulatory Technical Standards) k posilneniu úrovne bezpečnostnej ochrany a redukcie objemu finančných podvodov. Kľúčovou požiadavkou je tzv. SCA, čo je označenie pre požiadavku na silné overenie užívateľov pri platbách na diaľku.
Čo je SCA (Strong Customer Authentication)?
SCA je nová európska požiadavka na zaistenie bezpečnejších online platieb. Keď držiteľ karty uskutoční online platbu, budú v čase transakcie vyžadované ďalšie úrovne autentizácia, teda overenie držiteľa. V minulosti mohli zákazníci jednoducho zadať číslo svojej karty a overovací kód CVV u tzv. 3D Secure transakcií, ale s predpismi PSD2 budú v čase platby vyžadované ďalšie informácie, prípadne overenie držiteľa karty.
SCA je viac než len zadávanie hesla. Overovanie musí zahŕňať aspoň dve z nasledujúcich overovacích metód:
Okrem "Vedomosti" môžu vaši zákazníci skombinovať "Niečo, čo vlastní", napríklad ich chytré hodinky, s "niečím, čo sú", ako je odtlačok prsta. Tento prístup sa často nazýva "dvoj-faktorová autentizácia", kedy z každej metódy môže byť použitá iba jedna možnosť.
Od 7.6. 2019 sú vám k dispozícii technické špecifikácie na stránkách https://www.gpwebpay.cz/ , vrátane detailních informácií k PSD2. Súčasne, od 7.6. je pripravená zodpovedať vaše otázky Aplikačná podpora GPE, prosím kontaktujte nás na gpwebpay@gpe.cz.
Predchodca PSD2: 3D Secure
Doteraz je v kartových schémach (Visa, Mastercard) používaný overovací nástroj nazvaný 3D Secure 1.0 ako spôsob overenia transakcií platobnými kartami počas nákupu v e-shope. Počas online platby dochádza k identifikácii držiteľa platobnej karty, presmerovaním na novú stránku, kde držiteľ zadá dynamický kód získaný z SMS správy zaslanej jeho bankou. Takéto riešenie však nie je moc pohodlné pre platby mobilom. Nová verzia 3D Secure 2.0, ktorá prichádza v rámci PSD2 uľahčí zhromažďovanie informácií od obchodníka a umožní riadiť a rozhodovať o úrovni overenia držiteľa karty v čase transakcie. A v prípade platieb mobilom (napr. MasterPass) sa zákazník môže overovať pomocou biometrických prvkov.
3DS 2.0 sa využíva ako nástroj na zdieľanie množstva dát medzi obchodníkom, spracovateľom a vydavateľom a tieto dáta sú využité na stanovenie parametrov rizika. Čím viac informácií poskytnete počas autentizácie, teda overenií držiteľa, tým vyššia je šanca na autorizáciu transakcie zo strany vydavateľa a zníženie požadovanej úrovne overenia držiteľa karty. Pred požiadavkami na 3DS 1.0 (čo bola prakticky prvá metóda overenie držiteľa karty prvkom, ktorý sa dynamicky mení s každou transakciou - napríklad zaslanie vygenerovaného kódu SMS správou z banky) a PSD2 mali vydávajúce banky zvyčajne iba možnosť identifikovať užívateľov jedným statickým heslom, ktoré si užívatelia museli pamätať. A samozrejme, na heslá sa ľahko zabúda. S SCA a 3DS 2.0 môže byť pre overenie identity užívateľa použitých viac dynamických prvkov. (Pozn. E-PIN nie je dynamickým prvkom). Na využitie 3D Secure sa viaže aj tzv. "Liability Shift", teda jednoducho, tá strana (vydavateľ alebo spracovateľ), ktorá nemá implementovaný protokol 3D Secure nesie finančnú zodpovednosť za transakcie, ktoré nie sú overené týmto protokolom.
ČÁSŤ II
SCA: Ako sa nové silné overenie podľa PSD2 dotkne vás?
Najprv si poďme povedať, akých typov platieb sa regulácia týka. Silné overenie klienta sa týka všetkých typov elektronických platieb vrátane bankových a kartových platieb, keď takéto platby nespadajú do výnimiek (o tých si povieme ďalej). SCA je aplikované na e-commerce, platby mobilom, platby na diaľku, vrátane platieb za prítomnosti karty a držiteľa. Týka sa všetkých transakcií uskutočnených kartou vydanou európskym vydavateľom a procesovanie európskym spracovateľom. Toto ustanovenie vyžaduje, aby platiaci zákazník bol overený tak, aby bolo preukázané, že ide o skutočného, oprávneného držiteľa platobnej karty. Na overenie platiaceho dôjde ešte predtým, než je platba autorizovaná a finančné prostriedky strhnuté z účtu držiteľa karty.
Ako to už býva, všetci e-commerce obchodníci musia byť v súlade s nariadením Európskej únie. Rozdeľme si vás, obchodníkov do dvoch skupín:
1/ Obchodníci využívajúci platobnú bránu bez pridaných funkcií
U týchto obchodníkov nie je nevyhnutne nutné niečo technicky meniť. Je tu ale jedno veľké "ale", ktoré môže výrazne ovplyvniť vaše podnikanie. Ak žiadne úpravy vo vašej integrácii platobnej brány neurobíte, bude po vašich zákazníkoch vždy vyžadované kompletné silné overenie, a teda na dokončenie nákupu na vašom e-shope pribudnú ďalšie kroky.
Veríme, že akýkoľvek ďalší krok naviac k dokončeniu nákupu u vás nežiaduci a preto odporúčame vašu súčasnú integráciu rozšíriť a maximálne tak eliminovať dopady na vaše podnikanie. Vďaka rozšíreniu integrácie umožníte vydavateľom platobných kariet pracovať s viacerými dátami o transakcii a umožniť mu nastaviť vlastné rizikové parametre takzvanej TRA (Transakčné riziková analýza, podľa TRS), ktoré budú pre vás i vašich zákazníkov na prospech.
2/ Obchodníci využívajúci platobnú bránu spolu s Opakovanou platbou alebo Uloženou kartou (One-Click alebo Registrovaná platba)
Bohužiaľ v tomto prípade musíte znova integrovať platobnú bránu vo svojich systémoch, aby ste boli v súlade s nariadením EÚ. Táto nová integrácia platobnej brány je teda povinná pre všetkých obchodníkov podporujúcich transakcie Opakovaná platba (Recurring; pre platby na premennú sumu transakcie) a Uložené karta (One-Click / Registrovaná platba). Ak tento krok nebudete realizovať, od 1. 9. 2019 prestanú tieto transakcie na vašej platobnej bráne fungovať.
Iste si poviete, že to je pre vás náklad navyše, kto ho bude hradiť a či ho nie je možné nejako obísť, napríklad odchodom ku konkurencii. Môžeme vám povedať, že ani u konkurencie sa týmto krokom nevyhnete, pravidlá sú platné pre všetkých poskytovateľov platobných riešení v rámci celej Európskej únie.
Zámerom PSD2 je vyžadovať SCA u všetkých online transakcií. Existujú však určité výnimky z tohto mandátu, a ak váš acquirer overenie SCA vyžaduje, súčasne použije najvhodnejší typ výnimky pre daný typ transakcie:
- Výnimka z TRA (Transakčná riziková analýza) môže byť acquirerom uplatnená pri transakciách v hodnote 100 - 500 EUR. Rozhodujúce "slovo" pri uplatnení výnimiek má ale vždy vydavateľ.
- Transakcie na nízke čiastky a s nízkym rizikom podvodu. Transakcie do 30 EUR budú oslobodené od SCA. Vydávajúci banka však bude sledovať výšku uskutočnených platieb.
- Akonáhle sú prekročené limity súčtu platieb bez SCA kumulatívne vo výške 100 EUR / 24 hodín bude vyžadované SCA. Taktiež každú 5. transakciu bude vyžadované overenie držiteľa podľa SCA zo strany vydavateľa platobnej karty.
- Transakcie s nízkym rizikom sú tiež oslobodené od SCA. Limity rizikovosti stanovuje vždy vydavateľ platobnej karty.
- Predplatné alebo opakujúce sa (recurring) transakcie na pevnú sumu. Iba počiatočná transakcia bude vyžadovať SCA. Ak sa suma zmení, bude 3D Secure požadované pre každú novú transakciu. To predstavuje výzvu pre opakujúce sa transakcie s premenlivou hodnotou v čase. Niektoré produkty majú napríklad variabilnú cenu za obdobie na základe použitia. Tieto typy transakcií sú považované za "transakcie iniciované obchodníkmi". Tie sú vyňaté z požiadaviek PSD2 a SCA.
- Dôveryhodní "Whitelisted" obchodníci. Zákazníci môžu prideliť svoje obľúbené e-shopy do zoznamu dôveryhodných príjemcov platieb, ktorý spravuje ich vydavateľ - teda banka, ktorá zákazníkovi vydala platobnú kartu. Dôveryhodní obchodníci budú oslobodení od 3D Secure a SCA pri ďalších nákupoch. Zoznam "dôveryhodných obchodníkov" vytvára vydavateľ, ktorý je zodpovedný za prípadný dopad rizík z takýchto transakcií. Možnosť pridať svojich dôveryhodných obchodníkov zo strany držiteľa platobnej karty bude závisieť na jeho vydavateľskej banke.
- Inter-regionálne transakcie. Platby, pri ktorých vydavateľ platobnej karty (issuer) alebo spracovateľ kartové transakcie (acquirer) nemajú sídlo v Európskej únii, sa tiež považujú za oslobodené.
Záverom
V najbližších dielach nášho "seriálu" o implementácii PSD2 v prostredí e-commerce vás zoznámime s požiadavkami zmien pri jednotlivých platieb prostredníctvom porovnávacej tabuľky.
-------------------------------------------
English version
PART I
PSD2 Regulation
The European Payment Service Directive (PSD2) came into effect in January 2018 in order to strengthen security and harmonise payments across EU markets. Regulatory Technical Standards (RTS) have been published as part of the regulation to enhance security levels and reduce financial fraud. The key requirement is the so-called SCA, which is a requirement for strong user authentication for remote payments.
What is Strong Customer Authentication (SCA)?
SCA is a new European demand for safer online payments. When the cardholder makes an online payment, additional authentication levels, ie, the cardholder's verification, will be required at the time of the transaction.
In the past, customers could simply enter their card number and CVV verification code for so-called 3D Secure transactions, but PSD2 will require additional information or cardholder verification at the time of payment.
SCA is more than just entering a password. Verification must include at least two of the following authentication methods:
In addition to "Knowledge", your customers can combine "Something They Own", such as their smart watches, with "Something they are" like fingerprint. This approach is often called "two-factor authentication" where only one option can be used from each method.
Implementation Changes Timeline
On June 7th 2019 are technical specifications available on https://www.gpwebpay.cz/ , including detailed information to PSD2. At the same time, from June 7th, 2019 you may contact GPE Application Support Team, that is ready to assist you and reply to your PSD2 concerns. Please, contact us on [email protected]. We will inform you about the deadline for implementing changes in integration in the production environment.
Pre- PSD2: 3D Secure
So far, a verification tool called 3D Secure 1.0 (developed by card schemes /e.g. Visa, Mastercard) is used as a way of verifying payment card transactions during an e-shop purchase. At the time of online payment, the cardholder is identified by redirecting to a new page where enters the dynamic code obtained from the SMS message sent by his / her bank. However, such a solution is not very convenient for mobile payments. The new version of 3D Secure 2.0, which comes with PSD2, will facilitate the collection of information from the merchant and allow to control and decide on the level of cardholder authentication at the time of the transaction. And in the case of mobile payments (eg MasterPass), the customer can verify himself using biometric features.
3DS 2.0 is used as a tool for sharing the data between a merchant, processor and issuer, and these data are used to determine the level of risk. The more information you provide at the time of authentication, that is, the cardholder's verification, the greater the chances of the issuer authorizing the transaction and reducing the required cardholder's verification level. Prior to requests for 3DS 1.0 (which was practically the first method of cardholder authentication by an element that dynamically changes with each transaction - such as sending generated code by SMS from a bank) and PSD2 - issuing banks usually only had the ability to identify a user with one static password which users had to remember. And of course, passwords are easy to forget. With SCA and 3DS 2.0, multiple dynamic elements can be used to verify user identity. (Note that the e-PIN is not a dynamic element).The use of 3D Secure is also linked to the so-called “Liability Shift”, i.e. simply that party (issuer or acquirer) that has not implemented the 3D Secure protocol bears financial responsibility for transactions not verified by this protocol.
PART II
SCA: How does the new strong PSD2 verification affect you?
First, let's say what types of payments the regulation is about. Strong client verification applies to all types of electronic payments, including bank and card payments, if such payments are not covered by the exceptions (we will discuss them further). SCA is applied to e-commerce, mobile payments, and remote payments, including cardholder payments. It applies to all card transactions issued by a European issuer and processed by a European acquirer. This provision requires the paying customer to be verified to prove that it is a genuine, authorized cardholder. Paying validation will occur before the payment is authorized and funds are debited from the cardholder's account. As is the case, all e-commerce merchants must comply with European Union regulations. Let's split you, merchants into two groups:
Merchants using a payment gateway without added features
It is not absolutely necessary for such merchants to undergo technical changes. But there is still one big "however" that can significantly affect your business. If you do not make any adjustments to your payment gateway integration, your customers will always be required to undergo a complete strong verification and thus additional steps are required to complete the purchase at your e-shop. We believe that any further steps in addition to completing the purchase is undesirable, so we recommend expanding your existing integration to maximize your business impact. By expanding the integration, you will enable payment card issuers to work with more transaction data and allow them to set their own risk parameters, the so-called TRA (Transaction Risk Analysis, according to TRS), that will benefit you and your customers.
Merchants using a payment gateway with a Recurring and One-Click payments
Unfortunately, in this case you have to re-integrate the payment gateway in your systems to comply with the EU Regulation. This new payment gateway integration is mandatory for all merchants supporting Recurring (payments on variable transaction amount) and One-Click (on registered cards) transactions. If you do not implement this change, from September 1, 2019, these transactions will cease to operate on your payment gateway. You will surely say that this is an extra cost for you, asking who will pay for it and whether it can be bypassed, for example, by going to the competition. We affirm you, that even with competitors, these steps will not be avoided, since the regulation is mandate to all payment solution providers throughout the European Union.
Exceptions to SCA
PSD2 intends to require SCA for all online transactions. However, there are some exceptions to this mandate, and if your acquirer requires SCA, it will also use the most appropriate exception type for given transaction type:
- Acquirer may apply an exemption from TRA (Transaction Risk Analysis) to transactions of 100 - 500 EUR. However, the issuer always has a determent word when applying exceptions.
- Transactions on low amounts and with a low risk. Transactions up to EUR 30 will be exempt from SCA. However, the issuing bank will monitor the amount of payments made. SCAs will be required as soon as the total sum of payments without SCA is cumulatively 100 EUR / 24 hours. Also, every 5th transaction will require a SCA cardholder verification by the credit card issuer.
Low risk transactions are also exempt from SCA. The risk level is always set by the card issuer. - Subscription or recurring transactions on a fixed amount . Only the initial transaction will require SCA. If the amount changes, 3D Secure will be required for each new transaction. This poses a challenge for recurring transactions with variable value over time. For example, some products have a variable price over time based on usage. These types of transactions are treated as "merchant initiated transactions" (MIT) and are exempt from the PSD2 and SCA.
- Trustworthy “Whitelisted “merchants. Customers can assign their favourite e-shops to the list of trusted merchants managed by their issuer - the bank that issued the payment card to the customer. Trusted merchants will be exempted from 3D Secure and SCA for further purchases. The list of "trusted merchants" is created by the issuer who bears responsibility for the potential impact of the risks arising from such transactions.The ability to add trusted merchants by the cardholder will depend on his/her issuing bank.
- Inter-regional transactions
- Payments where the issuer or acquirer is not established in the European Union are also deemed to be exempt.
In Conclusion
In the next episode of our "series" on PSD2 implementation in the e-commerce environment, we will introduce you to the requirements for changes applicable on individual types of payments through a comparison table.