Silné ověření zákazníka (SCA) je bezpečnostním požadavkem od Evropské unie pro bezkontaktní, online a mobilní platby. Silné ověření zákazníka je součástí revidované směrnice o platebních službách (PSD2), která byla vyvinuta pro zlepšení existujícího systému oznámení jednorázového hesla (OTP). Před deseti lety mělo smysl, aby zákazníci ověřovali svůj nákup pomocí TAN nebo SMS potvrzení, ale technologie elektronických plateb se posunula dál. A podvodníci našli skuliny. Směrnice PSD2 vyžaduje dvouprvkové ověření při pokladně. Ověření je na odpovědnosti banky zákazníka, ale je vaší zodpovědností jako online podnikatel vestavět do svých procesů kontroly. Jak ovlivní tento nový požadavek na ověření váš byznys? Bude snížení podvodů stát za větší tření při pokladně? Podívejme se.
Silné ověření zákazníků: co potřebují vědět podniky v oblasti e-commerce
13. 6. 2022
Iryna Agieieva
Vedoucí produktového týmu - platby
Kdy vstoupila v platnost silná zákaznická autentizace?
Evropský orgán pro bankovnictví schválil SCA v roce 2019, nicméně nová regulace nebyla uplatněna na elektronický obchod v EU až do 1. ledna 2021. Ve Spojeném království byla regulace aplikována na platby tváří v tvář od 15. září 2021.
Co je dvoufaktorová identifikace při Checkout?
Silné ověření zákazníka vyžaduje, aby ověření zákazníka zahrnovalo alespoň dva z následujících prvků:
Něco, co zná pouze zákazník
Něco, co vlastní pouze zákazník
Něco, co má pouze zákazník
Něco, co zná pouze zákazník
To může být heslo, pin, nebo odpověď na konkrétní otázku. Nejčastěji se jedná o existující heslo nebo 4 až 6místné číslo zaslané zprávou.
Něco, co vlastní pouze zákazník
Příklady zahrnují mobilní telefon, generátor tokenů, čtečku karet, stolní počítač, tablet nebo jakékoli jiné autorizované zařízení. Tato část kontroly se provádí bez aktivního zapojení zákazníka.
Něco, co má pouze zákazník
V podstatě jde o nějaký druh biometrických dat. Face ID nebo otisky prstů jsou dobrým příkladem. Silné ověření zákazníka vyžaduje, abyste splnili podmínky dvoufaktorového ověření, což pomáhá snížit pravděpodobnost podvodných činností. Například pomáhá udržet citlivá data zákazníků v bezpečí a soukromí před externími stranami.
Kdy se uplatňuje silné ověření zákazníka?
Silné ověření zákazníka (SCA) se spustí, když zákazník zahájí online transakci a jak banka zákazníka, tak vaše banka se nacházejí v EU nebo ve Spojeném království. Pokud například vracíte peníze zákazníkovi, SCA se neuplatňuje, protože transakce byla zahájena podnikem. Pokud je banka vašeho zákazníka v USA a vaše banka je v EU (nebo naopak), pak se SCA také neuplatňuje.
Které transakce jsou osvobozeny od silného ověření zákazníka?
EU si uvědomuje, že požadování dalších kroků pro online nákup přináší tření během citlivé části prodejního procesu. Aby se snížilo toto tření, udělali několik výjimek z pravidel SCA. Následující transakce jsou vyňaty z SCA:
Nízkorizikové transakce
Důvěryhodný poskytovatel plateb může být oprávněn vypočítat riziko podvodu pro transakci a rozhodnout se, zda povolit SCA nebo ne. Obecně výjimka vyžaduje, aby úroveň podvodu, kterou hlásí poskytovatel platebních služeb, byla nižší než referenční míra podvodů v celé EU pro stejný typ transakcí. Další faktory v kalkulaci zahrnují částku transakce do €500 a chování a geografickou polohu zákazníka ve vztahu k běžnému chování pro danou metodu online platby.
Je důležité vědět, že toto hodnocení provádí poskytovatel platebních služeb a nemá nic společného se zdravím nebo profilem vaší firmy.
Nízkohodnotné platby
Pokud zákazník uskutečnil méně než pět plateb za posledních 24 hodin, nebo pokud součet plateb za posledních 24 hodin je menší než €100, obvykle se to považuje za vyňaté.
Pravidelné platby
Když fakturujete svému zákazníkovi měsíčně prostřednictvím kreditní nebo debetní karty, SCA se použije pouze na první platbu. Pokud se částka každý měsíc mění, může být SCA použita. Pravidelné platby jsou obvykle faktury za pravidelné služby, předplatná nebo splátky. Pravidelné platby spravované přes SEPA inkaso mají své vlastní bezpečnostní postupy a jsou zcela oddělené od ochran SCA.
Členové na seznamu výjimek
Pokud váš zákazník používá obchodní kreditní kartu, což znamená kartu vydanou obchodním účtem jiné společnosti, pak budou pravděpodobně jakékoli transakce vyňaty, protože PSD2 se nevztahuje na nákupy B2B.
Jak funguje SCA s digitálními peněženkami?
Silné ověření zákazníka umožňuje rychlé a bezpečné platby s možnostmi digitálních peněženek, jako jsou Apple Pay a Google Pay. Pamatujte, že transakce musí splnit pouze dvě ze tří požadavků SCA, aby fungovala. Protože se digitální peněženky obvykle používají na mobilních telefonech nebo tabletech, které také mají nějaké FaceID nebo možnost otisku prstu, dva ze tří požadavků jsou již splněny. Nezáleží na tom, zda si zákazník vybere k zaplacení kreditní nebo debetní kartu. Pokud jejich banka dovolí registraci této karty s ApplePay nebo Google Wallet, je to v pořádku.
Jak implementujete SCA?
Jste povinni dodržovat nové požadavky SCA, pokud se na vás vztahují tyto kritéria:
Vaše podnikání sídlí v Evropském hospodářském prostoru, nebo provádíte platby jménem propojených účtů se sídlem v EHP
Vaši zákazníci jsou v EHP
Přijímáte kreditní nebo debetní karty
Nejjednodušší způsob, jak to udělat, je použít platební bránu kompatibilní se SCA, jako je Mollie.
Pokud pracujete s vlastní platební bránou, vaši vývojáři se musí ujistit, že přidali další vrstvy autentizace do procesu pokladny vašeho webu. Tyto dodatečné kontroly umožňují bankám překontrolovat informace zákazníků prostřednictvím dvoukrokového procesu identifikace zákazníka.
Pro objevování dalších relevantních tipů na to, jak udržet vaše elektronické platby bezpečné a v souladu s přepisy, kontaktujte Mollie. Zaregistrujte se dnes a začněte nabízet bezpečné platební metody ve vašem ecommerce obchodě.
Více novinek
Buďte v obraze
Nikdy nezmeškejte žádnou novinku. Dostávejte produktové novinky, zprávy a příběhy zákazníků přímo do své schránky.