Tento článok pridávame hlavne pre tých, ktorým vŕta hlavou, ako reálne platba prebieha na pozadí, nielen z pohľadu užívateľa. Práve tu zájdeme do trochu väčšieho detailu a odkryjeme vám tajomstvo priebehu platby kartou.
V rámci Slovenskej republiky je najčastejší priebeh platby cez tzv. Dual message autorizáciu. Používa ju Mastercard aj VISA. Tento proces platby kartou je možné rozdeliť do nasledujúcich troch fáz:
Autentizácia je proces potvrdenia totožnosti držiteľa karty. V tejto fáze sa overuje, či je číslo karty správne alebo nie, a tiež či je zákazník vykonávajúci transakciu skutočný vlastník zadanej karty. Autentizácia iba overuje identitu, nekontroluje zostatok na účte zákazníka, nevykonáva pohyb na účte ani nekontroluje expiráciu a cvv/cvc.
Na autentizáciu sa používa 3-D Secure protokol (3DS), ktorý vznikol práve pre zvýšenie bezpečnosti online platieb kartou. 3DS sa stále vyvíja a jeho vývoj v tejto chvíli najviac formuje EMVco. Najčastejšie používané protokoly v čase písania článku sú 3DS 2.1.x, 3DS 2.2.x. a 3DS 1.0.2 (tento má ohlásený koniec podpory vo VISA a Mastercard k októbru 2022).
Priebeh Autentizácie
Zákazník si z e-shopu Shoptet vyberie tovar.
Po potvrdení objednávky je zákazníkovi zobrazená platobná brána. Brána sa môže zobraziť v Inline alebo Redirect verzii. Zákazník zadáva platobné údaje.
Shoptet Pay začína platbu v Acquirera (Adyen).
Acquirer pošle dotaz na Directory server kartovej asociácie. Asociácia potvrdí zaradenie/nezaradenie binu karty do systému 3D Secure a jeho verziu. Adyen posiela požiadavku na autentizáciu podľa podporovanej verzie 3D Secure. Directory server kontaktuje Access control server vydavateľa karty. Späť posiela buď potvrdenie autentizácie (môže nastať v prípade, že sa využije nejaká výnimka z PSD2) alebo informáciu, kam presmerovať zákazníka pre autentizáciu.
Adyen odovzdáva Shoptet Pay, informáciu o autentizácii alebo kam presmerovať zákazníka pre autentizáciu. Podľa verzie sa môže stať, že pri nižšej verzii 3DS sa zákazník redirectuje na stránku Access control servera alebo pri vyšších verziách 3DS je možné, že sa nie je nutné redirectovať a použije sa tzv. Native 3DS. V oboch prípadoch sa zákazníkovi zobrazí stránka pre autentizáciu.
Zákazník sa autentizuje. Pri 3DS 1.0.2 sa autentizuje pomocou SMS. Modernejší 3DS 2 vie autentizovať pomocou OTP (jednorazové heslo) alebo napríklad biometriou. 3DS 2 bolo navrhnuté tak, aby dokázala splniť požiadavky na SCA (Strong customer autentification) vyplývajúce z PSD2 regulácie.
Issuer posiela informáciu o autentizácii na directory server a ten odovzdáva informácie na 3DS secure server. Klient je presmerovaný späť na Shoptet Pay.
V prípade, že autentizácia prebehla úspešne, Adyen má všetky potrebné informácie pre Autorizáciu transakcie.
V prípade neúspešnej Autentizácie posiela Adyen späť chybu na Shoptet Pay
Autorizácia
V Autorizácii už nejde iba o identifikáciu majiteľa karty, ale riešime, či je zákazník schopný zaplatiť. Kontroluje sa teda stav prostriedkov na účte a ďalšie ochranné prvky na karte. Pokiaľ je všetko v poriadku, vydavateľ karty blokuje peňažné prostriedky zákazníka. Vo chvíli keď prejde autorizácia, obchodník vie, že zákazník má zablokované peniaze a môže počítať s tým, že mu prídu na účet a vydáva tovar.
Priebeh Autorizácie
Adyen pošle dáta z Autentizácie a vytvorí Autorizačnú vetu. Toto pošle do Autorizačného systému asociácií. Asociácia zasiela informácie k vydavateľovi karty.
Autorizačný systém vydavateľa karty vyhodnotí, či je zákazník schopný zaplatiť. Ak áno, odosiela informáciu o Autorizácii a vytvára blokáciu na účte zákazníka. Ak nie, odosiela informáciu, prečo transakciu neautorizovali. V rámci PSD2 získali vydavateľa kariet možnosť tzv. Challenge. To znamená, že si môžu vyžiadať dodatočnú Autentizáciu.
Adyen posiela informácie o Autorizácii do Shoptet Pay. Shoptet Pay zobrazí Zákazníkovi stav transakcie. Pokiaľ bola transakcia zamietnutá, dá zákazníkovi možnosť platbu opakovať.
Pokiaľ prebehla v poriadku, odovzdáva Shoptet Pay informáciu do Shoptetu
Shoptet zobrazuje zákazníkovi potvrdenie o zaplatení a sumarizácii.
Zúčtovanie a Vyrovnanie (Clearing a Settlement)
Máme autorizované, ale stále nemám peniaze. Na to slúži Zúčtovanie a Vyrovnanie. Zúčtovanie prebieha v hromadných dávkach a nie je potrebné preňho z pohľadu obchodníka nič robiť. Zúčtovanie si rieši Acquirer na svojej strane. Akonáhle sa dorobí Zúčtovanie je na rade Vyrovnanie. Vyrovnanie slúži na vyrovnanie peňazí medzi Acquirery, Issuery a asociáciou.
Priebeh Zúčtovania a Vyrovnania
Zúčtovanie prebieha nasledujúci deň po transakcii tzn. D+1 pracovné dni. Acquireri zasielajú všetky transakcie, ktoré chcú Zúčtovať.
Asociácia spracuje Zúčtovacie a Vyrovnávacie reporty a tie zašle na Acquirery a Issuery. Toto celé prebehne D+1 pracovné dni
Nasleduje fáza Vyrovnania, kde je potrebné, aby si Acquireri a Issueri medzi sebou vyrovnali účty. Vyrovnanie sa vykonáva na účty jednotlivých Acquirer a Issuer bankovým prevodom. Peniaze Acquireri dostanú D+2 pracovné dni.
D+2 dostáva Adyen peniaze a zasiela peniaze priamo Obchodníkom, ktorým prídu peniaze D+3. Niektorí Acquireri/Payment facilitátori sú schopní poslať peniaze Obchodníkom už D+1, pretože nečakajú až sa vykoná Vyrovnanie a peniaze prídu od Asociácií, ale peniaze vyplatia z vlastných rezerv a peniaze im prídu nasledujúci pracovný deň.