PSD2 - Strong Customer Authentication: hvad betyder det for dig?

Strong Customer Authentication - eller sikker autentificering af kunder - er den store ukendte faktor i PSD2. Regeringerne har stadig ikke besluttet sig for, hvordan reglerne skal implementeres i lokal lovgivning, og webshopejere er stadig ikke helt klar over, hvad de skal gøre. Dette indlæg vil hjælpe dem på vej.

Hvad er Strong Customer Authentication

Strong Customer Authentication (SCA) er et af de helt store emner i PSD2 - især fordi det er et af de mandater, som påvirker webshopejere.

Modsat selve PSD2 er de regulatoriske tekniske standarder for SCA endnu ikke trådt i kraft. Det forventes, at de vil være gældende fra september 2019. EU anbefaler dog, at webshopejere allerede nu begynder at forberede sig på lovgivningen og finde løsninger, der følger lovens regler.

I dag autentificeres en kunde ved at han, ved betaling, oplyser en kode eller et password - i hvert fald i de fleste tilfælde. Strong Customer Authentication kræver - ja, du gættede rigtigt - en stærkere autentificeringsproces. De nye regler kræver, at kunder autentificeres gennem mindst to af følgende tre metoder:

1. Noget kunden ved, fx. et password eller en kode

2. Noget kunden har, fx. et engangs-password

3. Noget kunden er, fx. et fingeraftryk

På den måde sikrer man sig, at kunden er den retmæssigt ejer af det kort, som de betales med.

Hvornår er SCA ikke nødvendigt?

Selvom SCA bliver normen efter september 2019, vil der fortsat være nogle få tilfælde, hvor en transaktion kan gennemføres uden sikkerhedsfunktionen. Disse er:

• Onlinebetalinger under 30 Euro (ca. 225 DKK) (SCA skal dog anvendes for hver 100 Euro (ca. 750 DKK), der bruges og for hver femte transaktion)
• Abonnementsbetalinger af samme beløb, fx. dit Netflix-abonnement
• Lavrisikotransaktioner (baseret på indløsers vurdering)
• Transaktioner til en selv
• Sikre betalinger mellem virksomheder (når de behandles gennem et sikkert system)

Men i de fleste tilfælde, vil du skulle anvende SCA på transaktionerne i din webshop. Det lyder måske en smule kompliceret, men der er nogle meget simple løsninger på markedet. To af de mest populære måder, hvorpå man kan overholde PSD2, er ved at anvende 3-D Secure på sine transaktioner, eller ved at kunderne betaler med Apple Pay. Du skal blot finde en indløser og en betalingsgateway som understøtter dette, og så kan de hurtigt hjælpe dig i gang.

Overhold SCA med 3-D Secure

Du kan overholde SCA-reglerne ved at anvende 3-D Secure i din webshop. 3-D Secure er et begreb, som dækker over Visas Visa Secure (tidligere kendt som Verified by Visa) og Mastercards Mastercard SecureCode.

Med 3-D Secure tilføjer du et ekstra step i autentificeringsprocessen. På den måde vil du ende med at bruge to af de tre kriterier nævnt ovenfor, når du autentificerer dine kunder. 3-D Secure bruger “noget kunden ved”, oftest ved at bede om CVV-koden på betalingskortet, samt “noget kunden har”, ved at sende et engangs-password til kundens mobil. Dette password indtastes i et pop-up eller in-frame vindue, som ser cirka sådan her ud:

At du overholder SCA-reglerne, er ikke den eneste fordel ved at anvende 3-D Secure. Det medfører nemlig også et ansvarsskift, hvilket betyder, at så snart din webshop forsøger at anvende 3-D Secure på en transaktion, er du ikke længere ansvarlig i tilfælde af svindel - det er altså en ret god deal! Læs mere om 3-D Secure her.

Hos Clearhaus tilbyder vi Conditional 3-D Secure. Det giver dig mulighed for at opstille nogle regler for, hvornår 3-D Secure skal anvendes. Det betyder, at du kan vælge kun at have 3-D Secure aktiveret på transaktioner fra bestemte områder eller over et vist beløb. Lige nu kan du selv vælge disse områder og beløb, men når SCA-reglerne træder i kraft, vil vi sikre at 3-D Secure kun er aktiveret for lande inden for EU og for transaktioner over 30 Euro - hvis det er det, du ønsker, selvfølgelig.

Overhold SCA med Apple Pay

En del digitale wallets, inklusiv Apple Pay, opfylder kravene for SCA. De fungerer typisk på stort set samme måde; kortinformationen gennemes (som en token) på telefonen (det kunden har), og en transaktion gennemføres ved brug af en biometrisk feature, fx. fingeraftryk, irisscan eller ansigtsgenkendelse (det kunden er).

Lad os tage et eksempel med Apple Pay. Først opretter kunden en Apple Pay-konto og registrerer sit kort. Dette kan gøres på både iPhones, iPads, Macs og Apple Watches. Derefter vælger kunden hvor han vil foretage sit køb. Det kan både være POS, i en app eller i en webshop. For at gennemføre købet skal han bruge Face ID eller fingeraftryk til at godkende transaktionen. Når man betaler i en app, ser det sådan her ud:

Når kunder betaler med digitale wallets, såsom Apple Pay, skal du ikke bekymre dig om 3-D Secure og SCA - det er der helt styr på. Med Clearhaus kan du acceptere betalinger med Apple Pay i din webshop.

Opsummering

Til trods for, at der bliver talt en del om Strong Customer Authentication, er det ret nemt at overholde reglerne. 3-D Secure er den mest anbefalede løsning, da Apple Pay (og lignende) ikke er en mulighed for alle dine kunder. Selvfølgelig tilfredsstiller du både EU og dine kunder bedst ved at tilbyde begge løsninger.