Silne uwierzytelnianie klienta (SCA) to wymóg bezpieczeństwa Unii Europejskiej dotyczący płatności zbliżeniowych, internetowych i mobilnych. Silne uwierzytelnianie klienta jest częścią znowelizowanej dyrektywy w sprawie usług płatniczych (PSD2/PSD3), opracowanej w celu ulepszenia dotychczasowego systemu jednorazowych haseł (OTP). Proszenie klientów o uwierzytelnienie zakupu za pomocą kodu TAN lub potwierdzenia SMS miało sens 10 lat temu, ale technologia płatności elektronicznych poszła do przodu. A oszuści znaleźli luki prawne. Dyrektywa PSD2 wymaga dwuskładnikowej identyfikacji podczas płatności. Obowiązek uwierzytelnienia spoczywa na banku klienta, ale Twoim obowiązkiem jako firmy internetowej jest wdrożenie odpowiednich procesów weryfikacyjnych. Jak więc ten nowy wymóg uwierzytelniania wpłynie na Twój biznes? Czy ograniczenie oszustw będzie warte dodatkowych kroków podczas Checkout? Przyjrzyjmy się temu bliżej.
Silne Uwierzytelnienie Klienta: co firmy e-commerce muszą wiedzieć

Iryna Agieieva
Kierownik produktu - płatności

Kiedy weszło w życie uwierzytelnianie silne klienta?
Europejski Urząd Nadzoru Bankowego zatwierdził SCA w 2019 roku, jednak nowa regulacja nie została wdrożona dla e-commerce w UE do 1 stycznia 2021 roku. W Wielkiej Brytanii regulacja została zastosowana do płatności bezpośrednich 15 września 2021 roku.
Co to jest dwuetapowa identyfikacja przy Checkout?
Silne uwierzytelnianie klienta wymaga, aby uwierzytelnianie klienta obejmowało co najmniej dwa z następujących elementów:
Coś, co wie tylko klient
Coś, co posiada tylko klient
Coś, co ma tylko klient
Coś, co wie tylko klient
Może to być hasło, PIN lub odpowiedź na konkretne pytanie. Najczęściej stosuje się istniejące hasło lub 4- do 6-cyfrowy numer wysłany SMS-em.
Coś, co posiada tylko klient
Przykłady to telefon komórkowy, generator tokenów, czytnik kart, komputer stacjonarny, tablet lub inne autoryzowane urządzenie. Ta część sprawdzenia jest wykonywana bez aktywnego udziału klienta.
Coś, co ma tylko klient
W istocie, jest to pewien rodzaj danych biometrycznych. Dobrym przykładem jest Face ID lub odciski palców. Silne uwierzytelnianie klienta wymaga spełnienia warunków uwierzytelniania dwuskładnikowego, aby pomóc zmniejszyć prawdopodobieństwo działań oszukańczych. Na przykład pomaga to utrzymać dane klienta w bezpieczeństwie i prywatności przed osobami trzecimi.
Kiedy ma zastosowanie silne uwierzytelnianie klienta?
Silna Autoryzacja Klienta (SCA) jest uruchamiana, gdy klient inicjuje transakcję online, a zarówno bank klienta, jak i Twój bank znajdują się w UE lub Wielkiej Brytanii. Jeśli zwracasz pieniądze klientowi, na przykład, SCA nie ma zastosowania, ponieważ transakcja została zainicjowana przez firmę. Jeśli bank Twojego klienta znajduje się w USA, a Twój bank jest w UE (lub odwrotnie), wtedy SCA również nie ma zastosowania.
Które transakcje są zwolnione z silnego uwierzytelniania klienta?
UE ma świadomość, że wprowadzanie dodatkowych kroków podczas zakupów online powoduje utrudnienia w tak wrażliwym momencie procesu sprzedaży. Aby pomóc w ich zmniejszeniu, wprowadzono kilka wyjątków od zasad SCA. Następujące transakcje są zwolnione z SCA:
Transakcje o niskim ryzyku
Uznany dostawca usług płatniczych może mieć możliwość oszacowania ryzyka oszustwa dla danej transakcji i zdecydowania, czy zastosować SCA. Ogólnie rzecz biorąc, warunkiem zwolnienia jest to, aby poziom oszustw zgłaszany przez dostawcę usług płatniczych był niższy niż referencyjne wskaźniki oszustw w całej UE dla tego samego rodzaju transakcji. Inne czynniki uwzględniane w kalkulacji to kwota transakcji poniżej 500 € oraz zachowanie i lokalizacja geograficzna klienta w odniesieniu do typowych zachowań dla danej metody płatności online.
Pamiętaj, że ocena ta jest dokonywana przez dostawcę usług płatniczych i nie ma nic wspólnego z kondycją ani profilem Twojej firmy.
Płatności o niskiej wartości
Jeśli klient dokonał mniej niż pięciu płatności w ciągu ostatnich 24 godzin lub jeśli suma płatności w ciągu ostatnich 24 godzin wynosi mniej niż 100 €, transakcja jest zazwyczaj zwolniona z tego wymogu.
Płatności cykliczne
Gdy rozliczasz się z klientem co miesiąc za pomocą karty kredytowej lub debetowej, SCA ma zastosowanie tylko do pierwszej płatności. Jeśli kwota zmienia się co miesiąc, SCA może zostać zastosowane. Płatności cykliczne to zazwyczaj faktury za regularne usługi, subskrypcje lub raty. Płatności cykliczne obsługiwane przez polecenie zapłaty SEPA mają własne procedury bezpieczeństwa i są całkowicie niezależne od ochrony SCA.
Członkowie białej listy
Jeśli Twój klient korzysta z firmowej karty kredytowej, czyli wydanej na konto biznesowe innej firmy, wszelkie transakcje będą prawdopodobnie zwolnione z tego wymogu, ponieważ dyrektywa PSD2 nie ma zastosowania do zakupów B2B.
Jak działa SCA z portfelami cyfrowymi?
Silne Uwierzytelnianie Klienta umożliwia szybkie i bezpieczne płatności z opcjami portfeli cyfrowych, takich jak Apple Pay i Google Pay. Pamiętaj, że transakcja musi spełniać tylko dwa z trzech wymagań SCA, aby działać. Ponieważ portfele cyfrowe są zazwyczaj używane na telefonach komórkowych lub tabletach, które również mają pewne możliwości rozpoznawania twarzy lub odcisków palców, dwa z trzech wymagań są już spełnione. Nie ma znaczenia, czy klient wybierze kartę kredytową czy debetową do zapłaty. Tak długo, jak ich bank pozwala zarejestrować daną kartę w ApplePay lub Google Wallet, są gotowi do działania.
Jak wdrażasz SCA?
Jesteś zobowiązany do przestrzegania nowych wymogów SCA, jeśli spełnione są te kryteria:
Twoja firma znajduje się w Europejskim Obszarze Gospodarczym lub realizujesz płatności w imieniu powiązanych kont z siedzibą w EOG
Twoi klienci znajdują się w EOG
Akceptujesz karty kredytowe lub debetowe
Najprostszym sposobem na to jest użycie bramki płatniczej zgodnej z SCA, takiej jak Mollie.
Jeśli korzystasz z niestandardowej bramki płatniczej, Twoi programiści muszą upewnić się, że dodali dodatkowe warstwy uwierzytelniania do procesu realizacji zakupów na Twojej stronie. Dodatkowe kontrole pozwalają bankom na sprawdzenie danych klientów przez dwuetapowy proces identyfikacji klienta.
Aby dowiedzieć się więcej o wskazówkach dotyczących zabezpieczania i zgodności płatności ecommerce, skontaktuj się z Mollie. Zapisz się już dziś i zacznij oferować bezpieczne metody płatności w swoim sklepie internetowym.
Więcej aktualizacji
Stay up to date
Never miss an update. Receive product updates, news and customer stories right into your inbox.
