The site you requested may not be relevant in your area.

country flag

Przewodnik po dyrektywie PSD2

Komisja Europejska wprowadziła dyrektywę w sprawie usług płatniczych 2 (PSD2), aby poprawić bezpieczeństwo płatności, zwiększyć ochronę konsumentów oraz pobudzić innowacyjność i konkurencyjność. Dyrektywa PSD2 zawarta jest w przepisach większości państw członkowskich UE.

Praktyczny przewodnik po dyrektywie PSD2 - Płatności internetowe

Przygotuj swoją firmę do PSD2  Skontaktuj się z nami

Czas pozostały do wprowadzenia:

Count Down Timer

Materiały na temat dyrektywy PSD2

Aktualności Elavon na temat dyrektywy PSD2

  • W celu wsparcia wdrożenia technologii silnej autentykacji w oparciu o standard EMV w 2020 roku będą realizowane programy ułatwiające Organizacjom Kartowym, takim jak Visa czy Mastercard, uzyskanie zgodności regulacyjnej. Programy te zapewnią, że wszystkie płatności internetowe przetwarzane w Europejskim Obszarze Gospodarczym będą do 31 grudnia 2020 r. spełniać wymogi silnej autentykacji wynikające z dyrektywy w sprawie usług płatniczych 2 (PSD2). Silna autentykacja ma na celu ograniczenie liczby oszustw i podniesienie poziomu zaufania do płatności kartowych, pozwalając tym samym na dalszy rozwój tego sektora.

    Duże znaczenie ma więc tutaj aktywne zarządzanie kwestią zgodności z dyrektywą PSD2 oraz monitorowanie harmonogramu jej wdrażania. Konieczna w tym celu jest implementacja najnowszej wersji silnej autentykacji w oparciu o standard EMV. Organizacje Kartowe, agenci rozliczeniowi i dostawcy usług bramki płatniczej mogą określić jednak wcześniejsze terminy, aby zdążyć z wdrożeniem wszystkich zmian przed upływem oficjalnego terminu.

    Zalecamy, aby już teraz podjąć działania ukierunkowane na uzyskanie certyfikatu, a tym samym na uniknięcie kar. Na przykład, transakcje realizowane za pomocą urządzeń nieobsługujących kart z chipem i numerem PIN [pasek magnetyczny] oraz transakcje z ręcznym wprowadzaniem danych karty w obecności użytkownika karty [transakcje PKE] będą obciążone opłatami za użycie mniej bezpiecznych form płatności w środowiskach umożliwiających transakcje z fizyczną obecnością karty bez względu na to, czy transakcje te zostały wyłączone z zakresu zastosowania dyrektywy PSD2, np. transport. Wdrożenie wymogów dyrektywy PSD2 wiąże się z kosztami, jednak znacznie wiekszy będzie spadek wielkości sprzedaży, gdyż brak zgodności regulacyjnej będzie skutkować odrzuconymi transakcjami.

    Nie należy zapominać również o dodatkowych korzyściach silnej autentykajci EMV obejmujących większe bezpieczeństwo, interoperacyjność oraz elastyczność. Te z kolei sprzyjać będą innowacjom, usuwaniu barier na rynku oraz oferowaniu większego wyboru dla konsumenta.

    W naszym comiesięcznym biuletynie Zmiany Organizacji Kartowych prezentujemy nowe informacje dotyczące wpływu, jaki dyrektywa PSD2 ma na Państwa przedsiębiorstwo. Już dziś zapraszamy do kontaktu, aby omówić sposoby ograniczenia wysokości opłat oraz modyfikacji strategii przedsiębiorstwa, by w pełni wykorzystać możliwości płynące z wprowadzanych zmian. 

  • W dniu 16 października 2019 r. Europejski Urząd Nadzoru Bankowego (EUNB) ogłosił, że okres na wdrożenie silnego uwierzytelniania zgodnego z Dyrektywą o usługach płatniczych (PSD2) będzie trwać 15 miesięcy zaczynając od dnia 14 września 2019 r. Silne uwierzytelnianie należy wdrożyć do wszystkich płatności elektronicznych realizowanych w Europejskim Obszarze Gospodarczym (EOG) do dnia 31 grudnia 2020 r.

    Europejski Urząd Nadzoru Bankowego potwierdził złożony charakter środowiska płatniczego w Europie oraz związane z tym wyzwania. Aby łatwiej rozwiązywać trudności, EUNB przyznał właściwym organom krajowym pewną elastyczność działania. Niezbędny jest dodatkowy czas, aby zapewnić, że wszystkie podmioty zainteresowane działające w ekosystemie; banki, agenci rozliczeniowi oraz sprzedawcy nabędą odpowiednie narzędzia służące pełnemu wdrożeniu dyrektywy PSD2. Podmioty te muszą przeprowadzić wdrożenie terminowo, a także powinny dążyć do minimalizacji wpływu prac na klientów.

    Podczas przedłużonego okresu EUNB i Komisja Europejska będą ze szczególną uwagą monitorować wdrożenie Dyrektywy. Wszyscy uczestnicy, w tym właściwe organy krajowe, są zobowiązani do pełnego uczestnictwa oraz realizacji wszystkich powierzonych obowiązków nadzorczych. Każdy podmiot musi opracować i zrealizować swój plan migracji w przyśpieszonej procedurze.

    Firma Elavon wyraziła swoje poparcie wobec paneuropejskiego planu migracji, który jest spójny, jednolity oraz skuteczny wobec wszystkich państw członkowskich. Do tej pory jednak kilka właściwych organów krajowych wyraziło chęć zastosowania różnorodnyuch koncepcji wdrażania uwierzytelnienia, co może powodować powstanie różnic na etapie implementacji. W takim przypadku proces dostosowywania rozwiązań przez sprzedawców oraz dostawców usług płatniczych może być trudny, kosztowny oraz czasochłonny.

    Firma Elavon podejmie współpracę z właściwymi organami krajowymi w celu realizacji swojego planu migracji. Aktualnie wykonujemy działania w celu zwiększenia zakresu komunikacji oraz informacji przekazywanych naszym klientom i partnerom.

    Z przyjemnościa informujemy, że wdrożenie silnego uwierzytelniania zgodnie z dyrektywą PSD2 spowoduje minimalne utrudnienia. Komunikat EUNB oznacza, że właściwe organy krajowe nie będą podejmować żadnych działań egzekwowania prawa wobec podmiotów, których może to dotyczyć, pod warunkiem że te podmioty wykonują swój plan migracji i terminowo zrealizują planowane etapy tego planu.

    Naszym celem jest umożliwienie Państwu wdrożenie silnego uwierzytelniania zgodnie z przepisami poprzez zastosowanie silnej autentykacji V2 w ramach naszej modernizowanej platformy. Aby zapewnić sprawne wdrożenie zmian, prowadzimy aktywną współpracę z wszystkimi naszymi partnerami i dostawcami usług bramki płatniczej mających połączenie z naszą platformą płatniczą.

    Realizacja obowiązków związanych z silną autentykacją PSD2 jest naszym głównym priorytetem. Nasz zespół ekspertów stale oferuje pomoc w optymalizacji usług świadczonych klientom oraz ograniczeniu liczby odrzuconych transakcji i utraconej sprzedaży.

    Okres wdrożenia ma konkretne ramy czasowe; termin upływa 31 grudnia 2020 r.

    W tym okresie należy wykonać wszystkie czynności umożliwiające przygotowanie płatności internetowych do uwierzytelniania za pomocą silnej autentykacji V2. W przypadku wcześniejszego wdrożenia silnej autentykacji V1 należy wykonać aktualizację do silnej autentykacji V2. Proces aktualizacji nie jest skomplikowany, a dostawca bramki płatniczej udzieli Państwu szczegółowych informacji.

    Jeśli nie korzystali Państwo wcześniej z silnej autentykacji, wymaganych będzie więcej czynności, w tym programistycznych. Prosimy o szybkie podjęcie działań i nawiązanie kontaktu z dostawcą usług płatniczych lub programistą aplikacji webowych w celu określenia zakresu prac.

    Dalsze informacje będziemy przekazywać Państwu natychmiast po ich publikacji. Jeśli jednak mają Państwo pytania dotyczące powyższych kwestii, prosimy o kontakt z opiekunem handlowym lub działem obsługi klienta.

Wyjaśnienia dotyczące dyrektywy PSD2

  • Czy kiedyś zastanawialiście się, dlaczego MIT to zawsze COF, lecz nie wszystkie COF to MIT i że nie trzeba żadnego, jeśli się stosuje CIT, ale jeśli chce się korzystać z COF i MIT, i tak najpierw trzeba mieć CIT?

    Pewnie nie. Macie ważniejsze sprawy do załatwienia. Klienci będą doceniać, że Wasza firma będzie rozróżniać powyższe.

    Wytłumaczymy to tak, abyście mogli odgrywać rolę w zapewnianiu braku zakłóceń płatności dla klientów, jednocześnie mając kontrolę nad tym, gdzie spoczywa odpowiedzialność w przypadku oszustwa. Jeśli chcecie zminimalizować wpływ regulacji PSD2 SCA, która niebawem wejdzie w życie w całej Europie, warto zrozumieć jej wymogi i zapewnić, że wszystkie ścieżki płatności Waszych klientów są zgodne z wymaganiami organizacji kartowych oraz z nadchodzącym wdrożeniem regulacji PSD2 SCA1.

    • Wdrażane w całej Europie nowe regulacje bezpieczeństwa mają na celu redukcję oszustw poprzez wprowadzenie silnego uwierzytelniania klienta (SCA), szczególnie w środowisku wirtualnym oraz w przypadku transakcji internetowych. Silne uwierzytelnianie działa już w większości systemów fizycznych punktów sprzedaży w całej Europie, poprzez stosowanie transakcji z chipem i kodem PIN. Jest to niezmiernie skuteczne w redukcji najczęstszych form oszustw.

      Poziom bezpieczeństwa użytkownika karty i sprzedawcy zapewniany przez chip i kod PIN w przestrzeni fizycznej jest teraz wymagany w zdalnych kanałach transakcji internetowych. Nieuniknione jest to, że wraz z korzyściami płynącymi ze zwiększonych wymogów bezpieczeństwa w sprawnych procesach przetwarzania płatności klientów pojawi się ryzyko zakłóceń w procesie płatności dokonywanych przez klientów. Wszyscy chcemy, by doświadczenia naszych klientów związane z płatnościami były bezproblemowe, unikając porzucania kart, zwiększając współczynniki zatwierdzenia transakcji oraz optymalizując sprzedaż, jednocześnie chroniąc środowisko płatności oraz nas samych, zarówno jako konsumentów, jak i sprzedawców, przed oszustami.

      Należy pamiętać, że wyjątki od obowiązku stosowania procedury silnego uwierzytelniania są dostępne jedynie w ograniczonych i ściśle kontrolowanych okolicznościach. W przeciwnym wypadku zgodnie z prawem Wydawcy kart będą musieli kwestionować (przekazywać) wszystkie transakcje elektroniczne wymagające autoryzacji do silnego uwierzytelniania, jednak bez dowodu wcześniejszego uwierzytelnienia.  

      Korzystanie z wymogów transakcji, które opiszemy poniżej, będzie kluczowe w zakresie możliwości ciągłego zapewniania bezpiecznych procesów, które stosujemy obecnie. Zapewnia pełną zgodność z prawem europejskim, z regułami organizacji kartowych oraz z obowiązkami użytkownika sieci systemów płatności, które wspierają Waszą firmę. 

    • Podstawy silnego uwierzytelniania zostały dobrze udokumentowane w innym miejscu niniejszej strony internetowej, jednak powtórzenie podstawowych faktów pomoże w wyborze opcji podczas rozważania wdrożenia wymogów interakcji z klientem oraz transakcji płatniczych. 

      • Zamiarem regulacji PSD2 SCA jest zabezpieczenie WSZYSTKICH transakcji elektronicznych, we WSZYSTKICH kanałach, za pomocą silnego uwierzytelniania.  Istnieje bardzo niewiele wyjątków od tej reguły i są one ograniczone. 
      • Silne uwierzytelnianie oznacza płatności z użyciem kart z technologią EMV chip i kodów PIN oraz kart zbliżeniowych w fizycznych punktach sprzedaży. W kanałach transakcji internetowych najbardziej dostępne uwierzytelnienie będzie dostarczane przez protokół EMV 3DS.
      • Według głównych wytycznych, jeżeli klient jest „w trakcie sesji”, obecny, podłączony do internetu lub w fizycznym punkcie sprzedaży i z tego względu może zaakceptować prośbę o uwierzytelnienie wystawcy karty w czasie rzeczywistym, wtedy MUSI nastąpić jego uwierzytelnienie.
      • Podobnie, jeżeli klient nie jest „w trakcie sesji” i nie jest obecny, na prośbę o uwierzytelnienie ze strony jego wystawcy karty NIE można zareagować. Zgodnie z powyższym niektóre typy transakcji są uważane za nie podlegające uwierzytelnieniu lub poza zakresem regulacji.
      • W przypadku transakcji „w trakcie sesji”, po uwierzytelnieniu, zostanie z Was zdjęta odpowiedzialność za ewentualne oszustwa.
      • W przypadku transakcji „poza sesją”, gdy nie będą uwierzytelnione, zostanie na Was nałożona odpowiedzialność za oszustwa.

      Należy podjąć decyzje w następujących kwestiach:

      • Jak kontynuować lub zmodyfikować interakcje z klientami przy pierwszym kontakcie.
      • Jak ustanowić z nimi procedury przetwarzania transakcji poprzez zgody, wspierane przez Regulamin.
      • Jak zrównoważyć dążenie do efektywnego procesu obsługi transakcji z ryzykiem przeniesienia odpowiedzialności za oszustwo, na bazie podjętych decyzji.  
    • Definicje transakcji płatniczej są proste. Jednakże wprowadzenie powyższych wymogów może być wyzwaniem, ponieważ każda organizacja kartowa nieco inaczej opisuje zestaw rodzajów transakcji, wytyczne i wymagania; terminologia każdej z nich jest również nieco inna, więc zacznijmy od definicji. 

    • Powyższy opis odnosi się do jakiejkolwiek transakcji, w której użytkownik karty bierze aktywny udział w transakcji w czasie rzeczywistym. Nazywamy to „w trakcje sesji” i dotyczy to zarówno transakcji z obecnością użytkownika karty (chip i kod PIN w POS) oraz transakcji bez obecności użytkownika karty (zakupy w Internecie lub w sieci / aplikacji).

      Według podstawowych zasad PSD2 SCA podanych powyżej, kiedy użytkownik karty jest „w trakcie sesji” i należy go uwierzytelnić, a zatwierdzenia transakcji wystawców karty znoszą z Ciebie odpowiedzialność za ewentualne oszustwa. Zwykle jest to proces obejmujący zakłócenia, jednak można ustawić go tak, aby je usunąć, jeśli Wydawca karty się zgodzi. 

    • Określane również mianem Transakcji z kartą w dokumentacji, odnoszą się do każdej transakcji, gdzie użytkownik karty wcześniej zapisał dane swojej karty płatniczej w Twoich systemach, aby łatwiej było z nich korzystać przy przyszłych transakcjach. Po zrealizowaniu transakcji COF przyszłe transakcje CIT mogą korzystać z tych ram COF w celu uproszczenia płatności. Użytkownik karty może poinstruować, aby używać jego zapisanych danych, by nie musiał wpisywać szczegółów płatności przy kolejnych zakupach. Sama transakcja COF nie określa przeniesienia odpowiedzialności. Niezakłócony przebieg transakcji może być lub nie być dostępny. Jest tak dlatego, ponieważ dane uwierzytelniające COF można stosować do transakcji zarówno typu CIT, jak i MIT. Transakcje MIT pokazują prawdziwą korzyść umożliwienia stosowania danych COF, ponieważ umożliwiają one realizację transakcji MIT, gdy użytkownik karty nie bierze aktywnego udziału w przyszłych transakcjach. 

    • Odnosi się to do transakcji, w której użytkownik karty NIE bierze aktywnego udziału w transakcji, lecz udziela zgodny na generowanie transakcji w jego imieniu w ramach uprzedniej zgody.

      Zgodnie z podstawowymi zasadami PSD2 SCA, gdy użytkownik karty nie jest „w trakcie sesji” i nie może być dodatkowo uwierzytelniony w czasie rzeczywistym, wydawcy przeniosą odpowiedzialność za oszustwa na Ciebie. Efektem jest przebieg transakcji bez zakłóceń.

      Transakcje MIT są generowane tylko przez sprzedawcę i użytkownik karty nie musi być „w trakcie sesji”, z tego względu zastosowanie silnego uwierzytelniania do tych transakcji nie powiedzie się.  Ze względu na to, że użytkownik karty nie jest dostępny w celu uwierzytelnienia transakcji, te typy transakcji są jednymi z niewielu, których regulacja PSD2 SCA nie dotyczy.

      Uwaga: istnieją ścisłe zasady dotyczące stosowania każdego rodzaju transakcji. Niestosowanie się do tych wymogów, a także do właściwego oznaczania transakcji w tym zakresie SPOWODUJE odrzucenie lub porzucenie transakcji, co ostatecznie spowoduje utratę sprzedaży.

      Transakcje MIT można stosować jedynie, gdy dochodzi do wstępnej transakcji CIT (uwierzytelnienie użytkownika karty oraz umożliwienie zastosowania danych COF za pierwszym razem), a następnie przy stosowaniu zachowanych danych oraz uprzedniej umowy użytkownika karty zgodnie z Regulaminem, w celu ustanowienia umowy dotyczącej transakcji MIT z wystawcą karty użytkownika. We wszystkich przypadkach transakcja MIT musi się odnosić do oryginalnej interakcji użytkownika karty oraz do wyników uwierzytelnienia. Każde kolejne transakcje MIT będą informować Wydawcę karty, że proces uwierzytelnienia został już zrealizowany i że ta transakcja to tylko kolejna seria MIT, na którą wcześniej wyrażono zgodę, którą uwierzytelniono i zatwierdzono. 

    • Bez wątpienia, sprzedawcy wszelkich typów i rodzajów mogą skorzystać na wygodzie umożliwienia wykorzystywania danych COF dla swoich klientów w celu lojalizacji klienta oraz upraszczania płatności. Dane COF można stosować, gdy użytkownik karty jest „w trakcie sesji” (CIT) lub nie jest „w trakcie sesji” (MIT).

      Kombinacja stosowania transakcji CIT, COF i MIT zapewnia obfite połączenie typów transakcji i ścieżek klienta u sprzedawców wielu typów i w różnych procesach płatności, z których wszystkie zgodne są z wymogami PSD2 SCA – o ile ustanowi się wymagania MIT, transakcje będą prawidłowo oznaczane dla Wydawców oraz uzyskane zostaną zgody użytkownika karty.

      Wymogi transakcji MIT nieznacznie się różnią u różnych organizacji kartowych, lecz są wszechstronne i obejmują szeroki zakres scenariuszy przetwarzania transakcji. Kategorie typowych transakcji MIT są dostępne w celu umożliwiania płatności regularnych, transakcji ratalnych oraz niezaplanowanych zdarzeń i ścieżek COF.

      W ramach transakcji MIT definiuje się również kilka „branżowych” transakcji MIT, które umożliwiają sprzedawcom realizację nowej lub istniejącej praktyki handlowej – w następstwie pierwotnej interakcji z użytkownikiem karty, której nie można było przeprowadzić w ramach jednej transakcji. Dostępne opcje będą obejmowały dodatkowe uwierzytelnienia, ponowne przesłania, ponowne uwierzytelnienia, stosowanie opłat z opóźnieniem i za „brak obecności”, zgodnie z procedurami Waszej firmy dotyczącymi anulowania.

      Ramy transakcji MIT dotyczą wszelkich form transakcji internetowych, jednak są szczególnie ważne w sektorze podróży i hotelowym, który polega na potrzebie przetwarzania opłat użytkownika karty przed, w trakcie oraz po dostarczeniu towarów i usług, zwykle, gdy użytkownik karty nie jest już „w trakcie sesji”. Koncepcje te są fundamentalne w tym sektorze, więc w przyszłym miesiącu będziemy skupiać się na tym temacie bardziej szczegółowo.

      Na razie przedstawimy zaledwie kilka potencjalnych przypadków wykorzystywania transakcji, gdzie zastosowanie transakcji CIT, COF i MIT może być wykorzystywane do płynnej realizacji procesu oraz utrzymania zgodności z regulacjami:

      • Płatności regularne – utworzenie serii transakcji na tę samą kwotę, np. w przypadku abonamentu lub członkostwa
      • Raty lub przedpłaty – umożliwiające użytkownikowi karty rozłożenie kosztów większego zakupu
      • Uwierzytelnienia narastające – gdzie wydatki użytkownika karty przekraczają uwierzytelnioną uprzednio kwotę
      • Opłaty z opóźnieniem – umożliwiają pobranie dodatkowych opłat po realizacji oryginalnych usług.
      • Brak obecności – gdy sprzedawca może pobierać opłaty za usługi, co do zakupu których użytkownik karty zawarł umowę, jednak nie spełnił warunków tej umowy.
      • Ponowne uwierzytelnienia – zakup dokonany po oryginalnej transakcji, aby włączyć sytuacje związane z opóźnieniem/rozdziałem dostawy lub przedłużonym pobytem/wynajmem.
    • Bezwarunkowemu wdrożeniu regulacji PSD2 SCA będzie towarzyszyła równie silna regulacja organizacji kartowej, monitorująca prawidłowe stosowanie transakcji MIT oraz innych wyjątków „poza zakresem”, a także wyjątków dotyczących silnego uwierzytelniania. Zapewnienie, by ramy transakcji były prawidłowo ustanowione wymaga procedur firmowych, a także dostosowania technologii, w celu gwarancji akceptacji i zatwierdzeń Wydawcy karty.

      Nieprawidłowe ustanowienie umów, nieprawidłowe oznaczanie transakcji lub niewłaściwe korzystanie z wymogów w jakikolwiek sposób, spowoduje odrzucenie transakcji i utratę sprzedaży.

    • Sprzedawcy oferujący użytkownikom karty możliwość przechowywania ich danych w swojej dokumentacji, muszą uzyskać zgodę użytkownika karty, dlatego też należy ustanowić i utrzymywać odpowiednią umowę (Regulamin).

      • Należy poinformować użytkownika karty, że dane są przechowywane, określając, w jaki sposób użytkownik karty zostanie powiadomiony o jakichkolwiek zmianach w umowie oraz określając datę wygaśnięcia umowy.
      • Należy poinformować użytkowników karty, w jaki sposób będą wykorzystywane ich dane.
      • Należy powiadomić użytkownika karty o tożsamości i lokalizacji sprzedawcy oraz o kwocie transakcji lub jak zostanie ona naliczona.
      • Częstotliwość (regularna) lub zdarzenie (nieplanowane COF), które spowoduje wygenerowanie transakcji.
      • W przypadku płatności ratalnych, całkowita cena zakupu oraz warunki rat, w tym ich daty, kwoty i waluta.
      • Należy powiadomić użytkownika karty w przypadku zmian warunków korzystania.
      • Należy powiadomić użytkownika karty o wszelkich procedurach dotyczących anulowania i zwrotu pieniędzy.
      • Należy zachować umowę na czas udzielonej zgody i udostępnić ją wydawcy na żądanie.
      • Jeżeli wymagają tego obowiązujące prawa lub regulacje, należy zapewnić dowód zgody uzyskanej od użytkownika karty.
      • Należy poinformować wydawcę poprzez proces transakcji, że dane są przechowywane w dokumentacji.
      • Należy zidentyfikować i oznaczyć transakcje odpowiednimi wskaźnikami przy korzystaniu z przechowywanych danych. 
    • Umożliwienie transakcji inicjowanych przez sprzedawcę zależy od wielu tych samych ujawnień w zakresie zgody uzyskiwanej od użytkownika karty, jakie są wymagane w ramach danych COF, co zawsze jest wymogiem wstępnym przetworzenia transakcji MIT.

      Wymogi transakcji MIT zostały zaprojektowane, aby zapewnić Wydawcom karty (zarówno uwierzytelniającemu, jak i zatwierdzającemu) szerszy kontekst transakcji, umożliwiający podejmowanie bardziej świadomych decyzji oraz minimalizację niepotrzebnych odrzuceń.

      Wymogi te umożliwiają nam określenie intencji transakcji MIT poprzez wykorzystanie odpowiednich identyfikatorów (kody przyczyny komunikatu). Korzystanie z tych wymogów dostarcza również dowód wcześniejszej transakcji poprzez utworzenie połączenia za pomocą unikalnego (Identyfikatora transakcji) poprzedniej lub oryginalnej transakcji.

      Sprzedawcy muszą powiązać transakcję MIT z pierwotną transakcją przy wykorzystaniu unikalnego Identyfikatora transakcji, wygenerowanego w trakcie realizacji pierwotnej transakcji CIT. Dla niektórych typów transakcji MIT (regularnych, ratalnych i nieplanowanych COF, które określane są również mianem stałych transakcji MIT), Identyfikator transakcji wygenerowany przez poprzednią transakcję serii może być wykorzystany jako element łączący z kolejną transakcją.   

    • COF – przy pobieraniu danych do przechowywania po raz pierwszy, oprócz podanych już wymogów w zakresie przetwarzania dla firmy, sprzedawcy muszą:

      • Przesłać transakcję płatności (uwierzytelnienie) w momencie pobrania danych, jeżeli kwota ma zostać przetworzona w tym samym czasie. Jeżeli w momencie pobrania danych nie musi zostać pobrana żadna kwota, sprzedawca (lub jego agent, przy korzystaniu z podmiotów zewnętrznych dokonujących rezerwacji) musi dostarczyć uwierzytelnienie wartości zerowej (ang. zero-value authorisation, ZVA), które odnosi się do Account Verification Authorisation Visa, Account Status Inquiry Mastercard).  Uwaga: to jest już istniejące wymaganie dotyczące płatności ratalnych oraz transakcji regularnych w Europy, które opiera się na danych COF.
      • Należy określić w transakcji, że dane są przechowywane. Uwaga: jeżeli transakcja pierwszej płatności lub ZVA zostanie odrzucona, dane nie będą mogły być zapisane i przechowywane, a sprzedawca nie może wykorzystywać ich do kolejnych transakcji.
      • Uwaga: wydawca nie odrzuci transakcji w oparciu o brak kodu CVV2, jeżeli prośba o uwierzytelnienie będzie dotyczyła kolejnej transakcji po zapisaniu danych. Reguła ta dotyczyła wcześniej jedynie transakcji regularnych, jednakże obecnie dotyczy regularnych, ratalnych, nieplanowanych COF oraz wszelkich transakcji inicjowanych przez użytkownika karty (CIT) z użyciem danych COF
    • Teraz możemy powrócić i odpowiedzieć na pytania z pierwszego zdania tego wpisu.

      MIT to zawsze COF – Aby można było wygenerować transakcję płatności, gdy użytkownik karty jest poza sesją (MIT), trzeba przechowywać dane użytkownika karty wcześniej (COF). Nie można uwierzytelnić użytkownika karty, ponieważ nie jest „w trakcie sesji”

      Nie wszystkie COF to MIT – Jeżeli użytkownik karty odwiedzi sklep osobiście lub w Internecie, może poprosić o wykorzystanie przechowywanych przez Was swoich danych (COF).  Nie jest to transakcja MIT (brak wymagania uwierzytelnienia), lecz CIT (uwierzytelnienie musi zostać wykonane, gdy użytkownik karty będzie „w trakcie sesji”).

      Nie trzeba żadnego w przypadku CIT – z definicji, jeśli nie stosuje się przechowywanych danych (COF), nie można samemu zainicjować transakcji (MIT), a więc użytkownik karty musi być „w trakcie sesji” i uwierzytelniony za każdym razem (CIT) 

      Ale jeśli chce się skorzystać z COF i MIT, najpierw i tak trzeba użyć CIT? – silne uwierzytelnianie jest obowiązkowe, gdy dane są po raz pierwszy przechowywane w Waszych systemach (COF); umowy dotyczące transakcji MIT mogą zostać ustanowione jedynie po pomyślnym uwierzytelnieniu pierwszej transakcji serii. Jedynym sposobem na zrealizowanie wstępnego uwierzytelnienia jest, gdy użytkownik karty będzie „w trakcie sesji” (CIT).

    Ciąg dalszy w przyszłym miesiącu 

    Właściwe korzystanie z wymogów COF i MIT jest kluczowe dla minimalizacji zakłóceń, unikania odrzuceń oraz zgodności z nadchodzącymi regulacjami PSD2 SCA.

    Wielu z Was już stosuje te wymogi, gdyż u niektórych organizacji kartowych są one już wprowadzone i wykorzystywane. Ich właściwe wykorzystywanie oraz znaczenie są teraz ważniejsze niż kiedykolwiek, gdyż wymogi te będą niezbędnymi procesami radzenia sobie z nadchodzącymi regulacjami.

    Czas na powtórkę procesu płatności, aby zapewnić, że prawidłowo identyfikujecie, oznaczacie i przetwarzacie te rodzaje transakcji z wyprzedzeniem, zanim regulacje PD2 SCA będzie obowiązywać na Waszym rynku.

    Transakcje nieprawidłowo oznaczone lub niezgodne z regułami wymogów zostaną odrzucone lub przeniesione do protokołu 3DS, gdy użytkownik karty nie będzie już „w trakcie sesji” – za każdym razem efektem będzie niepowodzenie transakcji i utrata sprzedaży.

    Z powodu ich istotności dla branży podróży i sektora hotelowego, w następnym miesiącu bardziej zagłębimy się w wymogi transakcji MIT. Korzystanie z pośrednich kanałów rezerwacji niesie za sobą nowe wyzwania dla sektora, w którym wcześniej niezaangażowane strony, takie jak zewnętrzne portale do rezerwacji, teraz będą musiały być bliżej zintegrowane, aby umożliwić procesy uwierzytelnienia i autoryzacji. Dla każdej transakcji MIT należy dodać dowód uwierzytelnienia; obsługa transakcji MIT będzie znaczącym czynnikiem przesądzającym o sukcesie Waszej zdolności ciągłego zapewniania procesów bez zakłóceń dla klientów.

    W międzyczasie prosimy pozostawać w bieżącym kontakcie i ścisłą współpracę ze swoim Agentem rozliczeniowym PSP/Gateway, który będzie mógł doradzić na temat możliwości przetwarzania oraz dostępnych opcji w ramach wytycznych organizacji kartowych dla transakcji MIT oraz w ramach regulacji PSD2 SCA. 

    1Terminem na uzyskanie zgodności z dyrektywą w branży płatności internetowych jest 31 grudnia 2020 r. w Europie i 14 września 2021 r. w Wielkiej Brytanii.

     

  • DSilna 3-D Secure 2 (3DS 2) jest globalnym standardem służącym do uwierzytelniania transakcji dokonanych bez fizycznej obecności karty. Standard 3DS V2 wykorzystywany w ramach naszych zaktualizowanych rozwiązań płatniczych służy ochronie płatności w Internecie, umożliwiając sprawną i pewną weryfikację tożsamości użytkownika oraz informacji płatniczych. Taki sposób uwierzytelniania usprawnia cały proces i ogranicza odpowiedzialność, zapewniając przy tym wysoki poziom obsługi klienta.

    Pełna zgodność regulacyjna

    Po wdrożeniu autentykacji 3DS V2 stosowane rozwiązania do płatności internetowych będą zgodne z najnowszymi standardami w zakresie bezpieczeństwa płatności. Pozwoli to na ograniczenie ryzyka oszustw i umożliwi pełne zastosowanie się do obowiązujących przepisów. 

    Warto więc już teraz rozpocząć przygotowania do nadchodzących zmian w przepisach: Autentykacja 3DS V2 jest zgodna z wymogiem silnego uwierzytelniania (SCA), które stanowi w Europie najwyższy standard w zakresie uwierzytelniania kart.

    Zaufanie klientów

    Autentykacja 3DS V2 daje klientom internetowym wykonującym zakupy w Państwa sklepie poczucie pewności i bezpieczeństwa bez podejmowana inwazyjnych środków ostrożności.

    Wykorzystując środki bezpieczeństwa w postaci haseł i wiadomości tekstowych, 3DS V2 pozwala klientom na uwierzytelnienie płatności internetowych poprzez mobilna aplikację zakupową, odcisk palca czy nawet rozpoznanie rysów twarzy.

    Bezproblemowe bezpieczeństwo

    Proces uwierzytelniania kart podczas płatności internetowych przebiega teraz płynnie zarówno dla sprzedawców, jak i klientów. Autentykacja 3DS V2 umożliwia szybsze i pewniejsze przekazywanie bankom większej ilości danych, wykorzystując określone informacje kontekstowe, w tym identyfikator urządzenia oraz historię transakcji.

    Klienci nie są teraz przekierowywani na inne strony ani nie muszą wprowadzać dużej ilości informacji. To bank użytkownika karty przejmuje teraz odpowiedzialność i ocenia poziomy ryzyka, akceptując płatności lub wymagając od klientów podania dalszych informacji.  

    Korzyści z aktualizacji do najnowszej wersji silnej autentykacji zgodnej ze standardem EMV

    ·         Większe zaufanie użytkowników kart podczas zakupów w Państwa firmie

    ·         Mniejsza liczba oszustw i reklamacji chargeback, ochrona przed odpowiedzialnością

    ·         Zapobieganie transakcjom odrzucanym przez brak uwierzytelnienia

    ·         Trafniejsze decyzje podejmowane na podstawie oceny ryzyka to większa liczba zatwierdzanych płatności

    ·         Pełne wsparcie dla wszystkich dostępnych typów wyłączeń oraz typów urządzeń płatniczych

    3DS

    2.1

    2.1+1

    2.2

    Silne uwierzytelnianie (SCA) dla połączonych urządzeń i zakupów internetowych

    Scenariusze uwierzytelnienia w środowisku pozapłatniczym, np. poprzez dodanie kart płatniczych do aplikacji sprzedawcy

    Wsparcie dla wszystkich dostępnych typów wyłączeń silnego uwierzytelnienia 

    Typowe dla Europy scenariusze zgodne z dyrektywą PSD2, np. zaufany odbiorca i uwierzytelnianie delegowane

    Wykorzystanie danych biometrycznych konsumentów

    1 2.1+ dotyczy wyłącznie kart Mastercard

  • Jak silna autentykacja EMV, silne uwierzytelnienie i dyrektywa PSD2 zmieniły odpowiedzialność za nielegalne reklamacje chargeback... w większości przypadków.

    Wcześniej to sprzedawcy ponosili odpowiedzialność za wszelkie nieuczciwe reklamacje chargeback składane przy dokonywaniu płatności internetowych. Były to przykładowo transakcje przy użyciu kart, które zostały skradzione, sklonowane lub podrobione.

    Jednak powszechne przyjęcie silnego uwierzytelniania (SCA), będącego elementem zmian wynikających z dyrektywy w sprawie usług płatniczych 2 (PSD2), o których zapewne już dużo słyszeliście, sprawiło, że odpowiedzialność za nieuczciwe reklamacje chargeback przechodzi teraz, w większości przypadków, na wydawcę karty. Są oczywiście wyjątki!

    •  

      W większości przypadków odpowiedzialność ponosi wydawca, o ile:

      ·         Płatność została skutecznie uwierzytelniona za pomocą protokołów silnej autentykacji oraz

      ·         Karta, przy pomocy której dokonano transakcji, jest jedną z poniższych: Mastercard, Maestro, Visa, American Express, JCB, Diners Club International i UnionPay.

       

      Silna autentyfikacja, czasami określana skrótem 3DS, zapewnia dodatkową warstwę bezpieczeństwa przy płatnościach internetowych przed dokonaniem autoryzacji.Silna autentykacja 2.0 to nowa generacja protokołu, który jest zgodny z wymogami UE dotyczącymi silnego uwierzytelniania.

      Silna autentykacja pozwala na przesłanie do banku klienta większej ilości danych kontekstowych (w tym adresów korespondencyjnych i historii transakcji) w celu weryfikacji i oceny ryzyka transakcji.

      Użytkownik karty będzie zobowiązany do wykonania dodatkowych czynności w celu potwierdzenia swojej tożsamości tylko wtedy, gdy transakcja zostanie uznana za obarczoną wysokim ryzykiem.

      Podsumowując, w większości przypadków, kiedy Twoja firma inicjuje protokół silnej autentykacji, wydawca karty gwarantuje ochronę przed oszustwami na terenie Europy w przypadku autoryzacji karty, nawet jeśli nie spełnia wymogów silnego uwierzytelnienia. 

    •  

      Jako sprzedawca nadal będziesz odpowiedzialny za oszustwa, jeśli...

      ·         nie spełniasz wymogów silnej autentykacji

      ·         korzystasz tylko z danych – chodzi o przypadki, kiedy wysyłasz te same dane dotyczące silnej autentykacji 2 do organizacji Mastercard, po czym są one wykorzystywane przez Mastercard do oceny ryzyka, a następnie są przesyłane do wydawcy w ramach żądania autoryzacji transakcji. Klienci nie będą mieli do czynienia z dodatkową weryfikacją w ramach silnej autentykacji 2, ponieważ nie zgłoszono żądania autoryzacji ani autoryzacja nie została wykonana.

      ·         zastosowane zostały wyłączenia w ramach dyrektywy PSD2 dotyczące silnego uwierzytelnienia (patrz tabela poniżej)

      ·         sprzedawca stosuje jedno z czterech wyłączeń w odniesieniu do agenta rozliczeniowego poprzez protokół silnej autentykacji 2 (patrz tabela poniżej), ale bez stosowania dodatkowej weryfikacji

    •  

      Poniższa tabela opisuje zakres odpowiedzialności z tytułu nieuczciwych reklamacji chargeback w odniesieniu do wydawcy kary, sprzedawcy i agenta rozliczeniowego. Zasady te zależą od tego, który dostawca usług płatniczych (PSP) stosuje wyłączenie oraz czy transakcja jest realizowana za pośrednictwem protokołu silnej autentykacji 2.0.

      Dyrektywa PSD2 określa w drodze regulacji własne zasady odpowiedzialności, ale nie wyklucza możliwości wdrażania przez dostawcę usług płatniczych dodatkowych wymogów.

      Znaczenie terminów uwzględnionych w tabeli zostało dla jasności wyjaśnione poniżej.

Przygotuj swoją firmę na PSD2

Zobowiązujemy się wspierać Twoją firmę w przestrzeganiu dyrektywy

Skontaktuj się z nami