Nový rok nám přinesl mnoho změn a vládních nařízení. Jednou z nich je i nová regulace týkající se bezpečnosti a ověřování online plateb. Víte, co je to směrnice PSD2? Pokud ne, nevadí. Rádi Vás seznámíme s touto směrnici a novým nařízením o ochraně e‑shopů před podvodnými platbami.
PSD2
Nová směrnice Evropské unie s názvem PSD2 (Payment Service Directive) vešla v platnost už roku 2018. Předpis přinesl změny v oblasti bezpečnosti a sjednocení plateb v rámci Evropské unie. Součástí této regulace byla též i technická specifikace tzv. RTS (Regulatory Technical Standards), která slouží k posílení úrovně bezpečnostní ochrany a redukce objemu finančních podvodů. Zásadním požadavkem je tzv. SCA, označení pro požadavek na silné ověření uživatelů při online platbách.
NOVÁ SMĚRNICE PSD2
SCA
SCA (Strong Customer Authentication) jako nový evropský požadavek slouží k zajištění bezpečných online plateb. Když zákazník provede online platbu, tak v době transakce bude potřeba další autentizace. Dříve stačilo zadat číslo kreditní karty a dále jen ověřovací kód CVV u 3D Secure transakcí. Nové předpisy s PSD2 vyžadují další informace, které budou nezbytné pro dokončení platby. SCA už není jen o zadávání hesla.
ONLINE PLATBY BEZPEČNĚ
Silné ověřování online plateb aneb co vlastně znamená další autentizace
Každý zákazník musí být nově ověřen kombinací dvou různých způsobů ze tří možných. A tím je za prvé údaj, který zná pouze uživatel např. přihlašovací údaje, pin a heslo. Dále je to věc, kterou má zákazník u sebe jako je např. mobil, karta, token. Zařízení token nebo USB token vám vygeneruje či uschová hesla. Co všechno token umí: vytváření kvalifikovaných elektronických podpisů, autentizaci při vzdáleném přístupu, ověření online plateb, přihlášení do internetového bankovnictví, ukládání privátních klíčů a digitálních certifikátů. Posledním způsobem ověření je biometrický údaj, což je například otiskem prstu, skenem obličeje nebo duhovky. Klasické ověření platby přes SMS kód, již banky nesmí vyžadovat od 1.1.2021. K ověření tedy postačí aplikace mobilního bankovnictví v chytrém telefonu a v případě, že jej nevlastníte, banka Vám udělí speciální ePIN, který bude sloužit k autorizaci plateb. Pozor jen u ePINU je důležité vědět, že není jednorázový a je potřeba si ho pamatovat.
U silného ověření mohou banky také udělit výjimku tzv. transakční analýzu. To znamená, že banka rozhoduje o konkrétní podobě silného ověření a zákazník ji nebude muset autentizovat. Mezi výjimky patří opakující se transakce se stálou částkou, transakce do určité částky a také sem patří white list dobře známých e‑shopů.
Jaké změny se týkají provozovatelů e‑shopů
Banky vyžadují dostávat od e‑shopů ke každé platbě doplňkové informace o každém zákazníkovi. Konkrétně se jedná o tyto informace:
- jméno a příjmení
- e-mailovou adresu
- telefonní číslo
- adresu/dodací (ulice, město, PSČ, stát)
- popř. číslo na pevnou linku
- fakturační adresu
Pokud máte e‑shop na míru, tak nezapomeňte a zajistěte si včas s vašimi vývojáři rozšíření integrace u platební brány, a to nejpozději do konce září 2021. Pozor, jedná se o povinný požadavek, vznesený ze strany karetní asociace Mastercard. V případě, že máte hotové “krabicové” řešení e‑shopu, k upravení integrace dojde ze strany provozovatele e‑shopové platformy. Rozšířením integrace umožníte svým zákazníkům jednodušší ověření v 3D secure, což nepovede ke snížené konverzi plateb.