Strong Customer Authentication (SCA) er et sikkerhedskrav fra Den Europæiske Union for kontaktløse, online og mobile betalinger. Strong Customer Authentication er en del af den reviderede betalingsservicedirektiv (PSD2), der er udviklet til at forbedre det eksisterende engangskodeords (OTP) notifikationssystem. At bede kunder om at godkende deres køb med en TAN eller SMS-bekræftelse gav mening for 10 år siden, men elektronisk betalingsteknologi har udviklet sig. Og svindlere har fundet smuthuller. PSD2-direktivet kræver to-form identifikation ved checkout. Autentificeringsbyrden ligger på kundens bank, men det er dit ansvar at indbygge processerne for kontrollen som en online virksomhed. Så hvordan vil dette nye autentificeringskrav påvirke din virksomhed? Vil reduktionen af svindel være det værd, sammenlignet med mere friktion ved checkout? Lad os tage et kig.
Stærk kundeautentifikation: hvad ecommerce virksomheder skal vide
Iryna Agieieva
Produktchef - betalinger
Hvornår trådte Strong Customer Authentication i kraft?
Den Europæiske Banktilsynsmyndighed godkendte SCA i 2019, men den nye regulering blev ikke håndhævet for e-handel i EU før den 1. januar 2021. I Storbritannien blev reguleringen anvendt på ansigt-til-ansigt betalinger den 15. september 2021.
Hvad er to-faktor-identifikation ved checkout?
Stærk kundeautentifikation kræver, at kundeautentifikation skal indeholde mindst to af følgende elementer:
Noget kun kunden ved
Noget kun kunden ejer
Noget kun kunden har
Noget kun kunden ved
Dette kan være en adgangskode, pin-kode eller et svar på et specifikt spørgsmål. Dette håndteres oftest af en eksisterende adgangskode eller et tal på 4- til 6-cifre, der sendes via sms.
Noget kun kunden ejer
Eksempler inkluderer en mobiltelefon, token generator, kortlæser, stationær computer, tablet eller en hvilken som helst anden autoriseret enhed. Denne del af kontrollen udføres uden aktiv input fra kunden.
Noget kun kunden har
Grundlæggende er dette en form for biometriske data. Face ID eller fingeraftryk er et godt eksempel. Stærk kundeautentifikation kræver, at du opfylder betingelserne for tofaktorautentifikation for at hjælpe med at reducere sandsynligheden for svigagtige aktiviteter. For eksempel hjælper det med at holde følsomme kundedata sikre og private fra eksterne parter.
Hvornår gælder Strong Customer Authentication?
Strong Customer Authentication (SCA) aktiveres, når en kunde starter en online transaktion, og både kundens bank og din bank er placeret inden for EU eller Storbritannien. Hvis du tilbagebetaler penge til en kunde, gælder SCA for eksempel ikke, fordi transaktionen er igangsat af virksomheden. Hvis din kundes bank er placeret i USA, og din bank er i EU (eller omvendt), gælder SCA heller ikke.
Hvilke transaktioner er fritaget fra Strong Customer Authentication?
EU er klar over, at det kræver ekstra trin for et onlinekøb, hvilket introducerer friktion under en følsom del af salgsprocessen. For at hjælpe med at reducere denne friktion har de lavet nogle undtagelser for SCA-reglerne. Følgende transaktioner er undtaget fra SCA:
Lavrisiko-transaktioner
En veletableret betalingsudbyder kan få lov til at beregne svindelrisikoen for en transaktion og afgøre, om SCA skal anvendes eller ej. Generelt kræver undtagelsen, at niveauet af svindel, som betalingsudbyderen rapporterer, skal være lavere end reference-svindelraterne i hele EU for den samme type transaktioner. Andre faktorer i beregningen inkluderer, at transaktionen er under €500, samt kundens adfærd og geografiske placering i forhold til normal adfærd for den online betalingsmetode.
Det er vigtigt at vide, at denne vurdering udføres af betalingsudbyderen og har intet at gøre med sundheden eller profilen for din virksomhed.
Lavværdi-betalinger
Hvis kunden har foretaget færre end fem betalinger i de sidste 24 timer, eller hvis summen af betalingerne i de sidste 24 timer er mindre end €100, anses det normalt for undtaget.
Tilbagevendende betalinger
Når du fakturerer din kunde månedligt via kredit- eller betalingskort, anvendes SCA kun på den første betaling. Hvis beløbet ændrer sig hver måned, kan SCA anvendes. Tilbagevendende betalinger er normalt fakturaer for faste tjenester, abonnementer eller afdrag. Tilbagevendende betalinger, der administreres gennem SEPA Direct Debit, har deres egne sikkerhedsprocedurer og er helt adskilt fra SCA-beskyttelse.
Whitelist-medlemmer
Hvis din kunde bruger et erhvervskreditkort, hvilket betyder et, der er udstedt af en anden virksomheds erhvervskonto, vil alle transaktioner sandsynligvis være undtaget, da PSD2 ikke gælder for B2B-køb.
Hvordan fungerer SCA med digitale tegnebøger?
Stærk kundeautentifikation tillader hurtige og sikre betalinger med digitale wallet-muligheder som Apple Pay og Google Pay. Husk, en transaktion behøver kun at opfylde to ud af de tre SCA-krav for at fungere. Da digitale wallets normalt bruges på mobiltelefoner eller tablets, som også har en form for FaceID eller fingeraftryksmulighed, er to af de tre krav allerede opfyldt. Det er ligegyldigt om kunden vælger et kreditkort eller et kredit debit-kort til betalingen. Så længe deres bank tillader, at kortet registreres med ApplePay eller Google Wallet, er de klar til at gå i gang.
Hvordan implementerer du SCA?
Du er forpligtet til at overholde de nye SCA-krav, hvis disse kriterier gælder:
Din virksomhed er beliggende i Det Europæiske Økonomiske Samarbejdsområde, eller du udfører betalinger på vegne af tilknyttede konti, der er baseret i EØS
Dine kunder er i EØS
Du accepterer kredit- eller debetkort
Den nemmeste måde at gøre det på er ved at bruge en SCA-kompatibel betalingsgateway, såsom Mollie.
Hvis du arbejder med en skræddersyet betalingsgateway, skal dine udviklere sørge for, at de har tilføjet de ekstra autentificeringslag til din side's checkout flow. De ekstra kontrolpunkter giver banker mulighed for at krydstjekke kundernes oplysninger gennem den to-trins kundeidentifikationsproces.
For at opdage flere relevante tips til at holde dine ecommerce betalinger sikre og kompatible, kontakt Mollie. Tilmeld dig i dag og begynd at tilbyde sikre betalingsmetoder i din ecommerce butik.
Flere opdateringer
Hold dig opdateret
Gå aldrig glip af en opdatering. Modtag produktopdateringer, nyheder og kundehistorier direkte i din indbakke.