Silné ověřování online plateb. Jak se to dotkne e‑shopů a zákazníků?

29. 4. 2021

Nový rok nám přinesl mnoho změn a vládních nařízení. Jednou z nich je i nová regulace o bezpečných online platbách. Víte, co je to směrnice PSD2? Pokud ne, nevadí. Rádi Vás seznámíme s touto směrnici a novým nařízením o ochraně eshopů před podvodnými platbami.

PSD2

Nová směrnice Evropské unie s názvem PSD2 (Payment Service Directive) vešla v platnost už roku 2018. Předpis přinesl změny v oblasti bezpečnosti a sjednocení plateb v rámci Evropské unie. Součástí této regulace byla též i technická specifikace tzv. RTS (Regulatory Technical Standards), která slouží k posílení úrovně bezpečnostní ochrany a redukce objemu finančních podvodů. Zásadním požadavkem je tzv. SCA, označení pro požadavek na silné ověření uživatelů při online platbách.

 

NOVÁ SMĚRNICE PSD2

SCA

SCA (Strong Customer Authentication) jako nový evropský požadavek slouží k zajištění bezpečných online plateb. Když zákazník provede online platbu, tak v době transakce bude potřeba další autentizace. Dříve stačilo zadat číslo kreditní karty a dále jen ověřovací kód CVV u 3D Secure transakcí. Nové předpisy s PSD2 vyžadují další informace, které budou nezbytné pro dokončení platby. SCA už není jen o zadávání hesla.

 

ONLINE PLATBY BEZPEČNĚ

Silné ověření aneb co vlastně znamená další autentizace

Každý zákazník musí být nově ověřen kombinací dvou různých způsobů ze tří možných. A tím je za prvé údaj, který zná pouze uživatel např. přihlašovací údaje, pin a heslo. Dále je to věc, kterou má zákazník u sebe jako je např. mobil, karta, token. Zařízení token nebo USB token vám vygeneruje či uschová hesla. Co všechno token umí: vytváření kvalifikovaných elektronických podpisů, autentizaci při vzdáleném přístupu, ověření online plateb, přihlášení do internetového bankovnictví, ukládání privátních klíčů a digitálních certifikátů. Posledním způsobem ověření je biometrický údaj, což je například otiskem prstu, skenem obličeje nebo duhovky. Klasické ověření platby přes SMS kód, již banky nesmí vyžadovat od 1.1.2021. K ověření tedy postačí aplikace mobilního bankovnictví v chytrém telefonu a v případě, že jej nevlastníte, banka Vám udělí speciální ePIN, který bude sloužit k autorizaci plateb. Pozor jen u ePINU je důležité vědět, že není jednorázový a je potřeba si ho pamatovat. 

U silného ověření mohou banky také udělit výjimku tzv. transakční analýzu. To znamená, že banka rozhoduje o konkrétní podobě silného ověření a zákazník ji nebude muset autentizovat. Mezi výjimky patří opakující se transakce se stálou částkou, transakce do určité částky a také sem patří white list dobře známých eshopů.

Jaké změny se týkají provozovatelů eshopů

Banky vyžadují dostávat od eshopů ke každé platbě doplňkové informace o každém zákazníkovi. Konkrétně se jedná o tyto informace:

  • jméno a příjmení
  • e-mailovou adresu
  • telefonní číslo 
  • adresu/dodací (ulice, město, PSČ, stát)
  • popř. číslo na pevnou linku
  • fakturační adresu

Pokud máte eshop na míru, tak nezapomeňte a zajistěte si včas s vašimi vývojáři rozšíření integrace u platební brány, a to nejpozději do konce září 2021. Pozor, jedná se o povinný požadavek, vznesený ze strany karetní asociace Mastercard. V případě, že máte hotové “krabicové” řešení eshopu, k upravení integrace dojde ze strany provozovatele eshopové platformy. Rozšířením integrace umožníte svým zákazníkům jednodušší ověření v 3D secure, což nepovede ke snížené konverzi plateb.