Silné ověření klienta – PSD2 SCA

Co je silné ověření zákazníka?

Silné Ověření Zákazníka neboli Strong Customer Authentication (SCA) je evropský regulační požadavek v rámci PSD2 (Payment service directive 2), který má omezit podvody a zvýšit bezpečnost online a bezkontaktních offline plateb. Chcete-li přijímat platby a splňovat požadavky SCA, musíte do procesu placení zabudovat další ověřování. SCA vyžaduje ověření skrz použití alespoň dvou z následujících tří prvků.

Jak tedy ověřit platbu?

V současné době je nejběžnější způsob ověřování online plateb, které splňuje SCA přes 3D Secure verze 2 (rozdíl mezi 3DS 1 a 3DS 2 popisujeme v jiném článku). Použití 3D Secure obvykle přidává další krok v platbě, kdy je držitel karty vyzván svou bankou k poskytnutí dalších informací k dokončení platby.

Proč ověřovat platbu

Transakce, které jsou silně ověřeny mají tzv. Liability shift (Přenesenou odpovědnost). V praxi to znamená, že jako obchodník jste krytí v případě podvodu a odpovědnost se přenáší na vydavatele karty. Pokud se neprovede silné ověření a klient reklamuje transakci z důvodu podvodu, nese odpovědnost obchodník.

Relevantní výjimky z SCA v rámci PSD2

Platby pod 30 €

Transakce pod 30 EUR jsou brány jako transakce s nízkou hodnotou a mohou být osvobozeny od SCA. O ověření však musíte vydavatelskou banku požádat. Kartu takto nemůžete použit více než pětkrát nebo pokud součet dříve osvobozených plateb přesáhne 100 EUR. Počítání této výjimky si řeší vydavatelská banka.

Transakce iniciované obchodníkem

Transakce uloženou kartou, které jsou iniciované obchodníkem a zákazník u této transakce není. Může se jednat o transakci Pro použití této výjimky je nutné úvodní transakci silně ověřit, následné transakce můžou využít tuto výjimku.

Předplatné s pevnou částkou

Tato výjimka se může uplatnit, když zákazník provede sérii opakujících se plateb za stejnou částku u stejného obchodníka. SCA je vyžadována pro první platbu zákazníka – následné platby však mohou být od SCA osvobozeny.

Co se stane, když výjimka selže?

I když výjimky mohou zrychlit a usnadnit platbu, rozhodující je zda vydavatelská banka výjimku přijme. Banky mohou vrátit kódy v rámci autorizace a tím lehce odmítnout platbu (tzv. soft decline). Tyto platby je pak nutné znovu odeslat zákazníkovi s požadavkem na silné ověření zákazníka. V praxi to znamená, že se platba zkusí autorizovat s výjimkou. Poté se nám vrátí odpověď ze serveru vydavatele, abychom ověřili klienta. Přesměrujeme tedy klienta na Access server vydavatele, aby se ověřil.

Navigace pro příspěvek