Що таке Strong Customer Authentication: навіщо впроваджується і що зміниться

Нові правила проведення платежів Євросоюзу непомітно торкнулися всіх. Якщо ви купували щось у Європі або користувалися сервісами будь-якої з європейських країн, то при оплаті товару чи послуги могли помітити, що платіжна система просить підтвердити ваш платіж: ввести пароль або відсканувати відбиток пальця. Невелике нововведення, якого багато користувачів могли навіть не помітити. Зате якщо ви ведете бізнес у Європі, надаєте послуги або щось продаєте, вам явно довелося зіткнутися з проблемою того, як впровадити SCA і як зробити його красивим, зручним та зрозумілим для клієнтів.

SCA – Strong Customer Authentication, сувора перевірка покупця – норма директиви Євросоюзу про платіжні послуги на внутрішньому ринку. Дія нормативу спрямована на підвищення безпеки платежів загалом, і у сфері електронної комерції зокрема. SCA набув чинності ще у 2019 році, але на реалізацію технології давалося кілька відстрочок. Тепер же, у 2023 році, планується, що в Євросоюзі норматив Strong Customer Authentication розгорнеться на повну. Як це позначиться на покупках, що зміниться для клієнтів і що потрібно знати підприємцям – все це ми розібрали.

Основне про директиву та норматив

PSD2 (Payment Service Directive 2015/2366) – Платіжна директива Євросоюзу. Це звід положень, які регулюють усі платіжні послуги в Європі. Головне завдання PSD2 – забезпечити безпеку транзакцій користувачів та розширити систему банківських послуг на ринку ЄС. Крім SCA, директива передбачає впровадження системи Open Banking – технології, що дозволяє користувачам відкривати свої банківські дані стороннім сервісам для зручнішої та швидшої оплати; та 3D Secure – двофакторної автентифікації під час онлайн-оплати кредитними/дебетовими/передплаченими картками.

PSD2 була прийнята у 2015 році, і її нормативи покроково набирали чинності. Останнім етапом було завершення впровадження Strong Customer Authentication у 2019 році, але після кількох відстрочок повністю норма запрацює лише у 2022 році.

Strong Customer Authentication – допоміжний рівень автентифікації користувачів, вбудований у процес оформлення замовлення у продавця, купівлі товару або проведення будь-якої транзакції. Підприємці, продавці, бізнес та провайдери зобов’язуються додавати до сценарію оплати додаткову верифікацію клієнта.

Застосування SCA, верифікація та винятки

SCA використовується лише при проведенні онлайн-платежів. Норматив не зачіпає оплату у фізичних магазинах та пряме дебетування.

Продавці зобов’язані додавати ще один ступінь перевірки особистості покупців, і якщо раніше для оплати можна було ввести дані банківської картки та підтвердити запит платежу одноразовим паролем, то тепер цього недостатньо. Тепер, крім цього, користувач повинен зробити одну з дій:

  • ввести стандартний пароль, PIN-код або секретне слово,
  • підтвердити особу, відсканувавши відбиток пальця, обличчя або сітківку ока,
  • підтвердити ID пристрою, за допомогою якого проводиться платіж.

Для користувачів прикласти палець до сканера або ввести пароль – справа кількох секунд, але для власників бізнесу додавання ще одного ступеня перевірки – справжній головний біль, тому багато провайдерів та компаній досі зволікають із застосуванням SCA. Щоб прискорити впровадження нових правил, платіжні організації почали відхиляти транзакції, які не відповідають вимогам. Тому продавцям важливо, щоб платежі йшли через провайдерів, які підтримують SCA.

Із загальних правил є винятки. В основному вони стосуються повторюваних платежів та невеликих транзакцій:

  • платежі до 30 євро. Невеликі покупки не вимагатимуть підтвердження, але для попередження шахрайства серія дрібних переказів реєструватиметься,
  • транзакції з низьким рівнем ризику до 500 євро. Рівень ризику оцінюється продавцем та сферою торгівлі,
  • оплата підписок. Підписки на Netflix, YouTube, Apple Music оплачуватимуться автоматично та непомітно, нові правила ЄС не стосуються великого міжнародного бізнесу,
  • платежі, ініційовані продавцем. Якщо клієнти прив’язують свої картки до сервісів, наприклад, у застосунках таксі, то оплата відбуватиметься автоматично і підтвердження не вимагатиме,
  • одноразові платежі. Платежі, в яких одна зі сторін знаходиться за межами ЄС, також не підтверджуються,
  • транзакції поштою/телефоном,
  • транзакції з анонімними передплаченими картками.

Використання SCA через оркестровку платежів

Технічну сторону Strong Customer Authentication забезпечує протокол безпеки 3D Secure 2.0 (3DS2). Не всі власники бізнесу готові розбиратися з нововведеннями та боротися з відхиленими транзакціями, тому підприємцям вигідно співпрацювати з партнерами по оплаті. Такі партнери беруть на себе відповідальність за проведення платежів та дотримання вимог або перенаправляють транзакції провайдеру, що працює за умовами SCA.

Швидке перемикання на провайдерів, які підтримують SCA та 3DS2, використання винятків із правил Strong Customer Authentication – це спосіб використання оркестровки платежів для безперешкодного прийому транзакцій. Оркестровкою платежів займається платіжна система Payoneer, тому її сервіс Payment Orchestration Platform можна використовувати як один із варіантів роботи. Оркестрова платформа працює з більш ніж 100 валютами та 200 країнами. Payoneer входить до мережі зі 100 глобальних та місцевих провайдерів платежів, а це дозволяє системі масштабувати, уніфікувати та оптимізувати налаштування та проведення платежів незалежно від ринку та регіону. До загальної системи провайдерів, крім Payoneer, також входять Bank of America, Google Pay, Alipay, AfterPay, Checkout, Credit Agricole, WeChat Pay та багато інших. Працюючи з партнерами, підприємець може займатися розвитком бізнесу та “передоручати” сервісам впровадження SCA та питання проведення оплати.

Основні з’єднання SCA

3DS2

Як ми вже говорили, безпеку SCA забезпечує протокол 3D Secure 2.0 (3DS2). 3DS2 – це покращена версія 3DS1, і саме її намагаються використовувати провайдери, тому, щоб якнайшвидше впровадити 3DS2 у вжиток, деякі емітенти підвищують плату за використання 3DS1 або повністю забороняють його. Заходи можуть здатися досить жорсткими, але на їх застосування є причина: при правильному використанні 3DS2 знижує рівень відхилень транзакцій на 70%, якщо порівнювати з 3DS1. А оскільки кількість soft-відхилень стала стрімко зростати, необхідність у 3DS2 стала ще очевиднішою.

Ще одна важлива перевага 3DS2: цей протокол аналізує ризики набагато глибше за допомогою провайдерів та емітентів, тому його використання підвищує рівень запобігання шахрайським та нелегальним операціям. Проводячи роботу, 3DS2 перевіряє ризики більшої кількості точок даних, звіряє пакети інформації з інформацією провайдерів, аналізує винятки з двофакторної автентифікації, орієнтується на клієнта та конкретну операцію. Транзакції з мобільних пристроїв також безпечніші з 3DS2, ніж з 3DS1.

Soft-відхилення

За останні кілька років кількість відхилених емітентами та есквайрами операцій на території ЄС сильно зросла. Пов’язано це з набранням чинності норм PSD2 загалом, і з розвитком SCA зокрема. Soft-відхилення показує, що транзакція була ініційована продавцем без урахування норм SCA, тому банк не пропускає транзакцію та надсилає підтвердження автентифікації. Платіж можна надіслати заново лише за умови миттєвого реагування продавця або його партнерів, які займаються проведенням оплати.

Якщо проводиться одноразовий платіж, ініційований клієнтом, продавець, провайдер та емітент врахували вимоги SCA, але платіж все одно був відхилений, транзакція пройде повторно через 3DS, але вже без участі клієнта. Якщо ж платіж повторюваний та ініційований продавцем, то при відхиленні транзакції гроші тимчасово заблокуються. Оскільки клієнт не присутній під час проведення повторюваного платежу, пізніше йому доведеться заново ввести дані своєї картки, щоб запустити 3DS, та підтвердити свою особу відповідно до умов Strong Customer Authentication.

Майбутнє електронної комерції

Сфера торгівлі все активніше цифровізується. Це дозволяє клієнтам простіше та швидше купувати товари, а підприємцям – продавати по всьому світу, розширювати свій бізнес та просуватися в інтернеті, не маючи фізичних точок. Однак нові технології дають простір для дій шахраям, і банки, клієнти, платежі стають вразливими. Щоб перешкоджати незаконним операціям та обману, вводяться нові правила та посилюється захист. Саме тому європейська директива PSD2 та технологія 3DS2 так потрібні сьогодні. Їх впровадження на території ЄС трохи змінює звичний хід торгівлі та додає додатковий ступінь захисту. Транзакції додатково прискорюються за рахунок інтелектуальних винятків із нормативу Strong Customer Authentication, які забезпечують безперешкодну автоматичну перевірку при збереженні високих стандартів безпеки. Використання винятків стало ще простішим завдяки оркестровці платежів.

Робота в інтернеті
Легальний фриланс
Новини Payoneer
Зміни на краще: про ребрендинг Payoneer
Зміни на краще: про ребрендинг Payoneer
Нові можливості щодо використання коштів: що підготувала Payoneer для своїх клієнтів
Нові можливості щодо використання коштів: що підготувала Payoneer для своїх клієнтів
2Checkout став Verifone: що таке Verifone і які зміни відбудуться
2Checkout став Verifone: що таке Verifone і які зміни відбудуться
DMCA.com Protection Status
Огляди платіжних систем
DMCA.com Protection Status