Przewodnik po dyrektywie PSD2

Wdrażane w całej Europie nowe regulacje bezpieczeństwa mają na celu redukcję oszustw poprzez wprowadzenie silnego uwierzytelniania klienta (SCA), szczególnie w środowisku wirtualnym oraz w przypadku transakcji internetowych. Silne uwierzytelnianie działa już w większości systemów fizycznych punktów sprzedaży w całej Europie, poprzez stosowanie transakcji z chipem i kodem PIN. Jest to niezmiernie skuteczne w redukcji najczęstszych form oszustw.

Poziom bezpieczeństwa użytkownika karty i sprzedawcy zapewniany przez chip i kod PIN w przestrzeni fizycznej jest teraz wymagany w zdalnych kanałach transakcji internetowych. Nieuniknione jest to, że wraz z korzyściami płynącymi ze zwiększonych wymogów bezpieczeństwa w sprawnych procesach przetwarzania płatności klientów pojawi się ryzyko zakłóceń w procesie płatności dokonywanych przez klientów. Wszyscy chcemy, by doświadczenia naszych klientów związane z płatnościami były bezproblemowe, unikając porzucania kart, zwiększając współczynniki zatwierdzenia transakcji oraz optymalizując sprzedaż, jednocześnie chroniąc środowisko płatności oraz nas samych, zarówno jako konsumentów, jak i sprzedawców, przed oszustami.

Należy pamiętać, że wyjątki od obowiązku stosowania procedury silnego uwierzytelniania są dostępne jedynie w ograniczonych i ściśle kontrolowanych okolicznościach. W przeciwnym wypadku zgodnie z prawem Wydawcy kart będą musieli kwestionować (przekazywać) wszystkie transakcje elektroniczne wymagające autoryzacji do silnego uwierzytelniania, jednak bez dowodu wcześniejszego uwierzytelnienia.  

Korzystanie z wymogów transakcji, które opiszemy poniżej, będzie kluczowe w zakresie możliwości ciągłego zapewniania bezpiecznych procesów, które stosujemy obecnie. Zapewnia pełną zgodność z prawem europejskim, z regułami organizacji kartowych oraz z obowiązkami użytkownika sieci systemów płatności, które wspierają Waszą firmę. 

Podstawy silnego uwierzytelniania zostały dobrze udokumentowane w innym miejscu niniejszej strony internetowej, jednak powtórzenie podstawowych faktów pomoże w wyborze opcji podczas rozważania wdrożenia wymogów interakcji z klientem oraz transakcji płatniczych. 

• Zamiarem regulacji PSD2 SCA jest zabezpieczenie WSZYSTKICH transakcji elektronicznych, we WSZYSTKICH kanałach, za pomocą silnego uwierzytelniania.  Istnieje bardzo niewiele wyjątków od tej reguły i są one ograniczone. 
• Silne uwierzytelnianie oznacza płatności z użyciem kart z technologią EMV chip i kodów PIN oraz kart zbliżeniowych w fizycznych punktach sprzedaży. W kanałach transakcji internetowych najbardziej dostępne uwierzytelnienie będzie dostarczane przez protokół EMV 3DS.
• Według głównych wytycznych, jeżeli klient jest „w trakcie sesji”, obecny, podłączony do internetu lub w fizycznym punkcie sprzedaży i z tego względu może zaakceptować prośbę o uwierzytelnienie wystawcy karty w czasie rzeczywistym, wtedy MUSI nastąpić jego uwierzytelnienie.
• Podobnie, jeżeli klient nie jest „w trakcie sesji” i nie jest obecny, na prośbę o uwierzytelnienie ze strony jego wystawcy karty NIE można zareagować. Zgodnie z powyższym niektóre typy transakcji są uważane za nie podlegające uwierzytelnieniu lub poza zakresem regulacji.
• W przypadku transakcji „w trakcie sesji”, po uwierzytelnieniu, zostanie z Was zdjęta odpowiedzialność za ewentualne oszustwa.
• W przypadku transakcji „poza sesją”, gdy nie będą uwierzytelnione, zostanie na Was nałożona odpowiedzialność za oszustwa.

Należy podjąć decyzje w następujących kwestiach:

• Jak kontynuować lub zmodyfikować interakcje z klientami przy pierwszym kontakcie.
• Jak ustanowić z nimi procedury przetwarzania transakcji poprzez zgody, wspierane przez Regulamin.
• Jak zrównoważyć dążenie do efektywnego procesu obsługi transakcji z ryzykiem przeniesienia odpowiedzialności za oszustwo, na bazie podjętych decyzji.  

Definicje transakcji płatniczej są proste. Jednakże wprowadzenie powyższych wymogów może być wyzwaniem, ponieważ każda organizacja kartowa nieco inaczej opisuje zestaw rodzajów transakcji, wytyczne i wymagania; terminologia każdej z nich jest również nieco inna, więc zacznijmy od definicji. 

Powyższy opis odnosi się do jakiejkolwiek transakcji, w której użytkownik karty bierze aktywny udział w transakcji w czasie rzeczywistym. Nazywamy to „w trakcje sesji” i dotyczy to zarówno transakcji z obecnością użytkownika karty (chip i kod PIN w POS) oraz transakcji bez obecności użytkownika karty (zakupy w Internecie lub w sieci / aplikacji).

Według podstawowych zasad PSD2 SCA podanych powyżej, kiedy użytkownik karty jest „w trakcie sesji” i należy go uwierzytelnić, a zatwierdzenia transakcji wystawców karty znoszą z Ciebie odpowiedzialność za ewentualne oszustwa. Zwykle jest to proces obejmujący zakłócenia, jednak można ustawić go tak, aby je usunąć, jeśli Wydawca karty się zgodzi. 

Określane również mianem Transakcji z kartą w dokumentacji, odnoszą się do każdej transakcji, gdzie użytkownik karty wcześniej zapisał dane swojej karty płatniczej w Twoich systemach, aby łatwiej było z nich korzystać przy przyszłych transakcjach. Po zrealizowaniu transakcji COF przyszłe transakcje CIT mogą korzystać z tych ram COF w celu uproszczenia płatności. Użytkownik karty może poinstruować, aby używać jego zapisanych danych, by nie musiał wpisywać szczegółów płatności przy kolejnych zakupach. Sama transakcja COF nie określa przeniesienia odpowiedzialności. Niezakłócony przebieg transakcji może być lub nie być dostępny. Jest tak dlatego, ponieważ dane uwierzytelniające COF można stosować do transakcji zarówno typu CIT, jak i MIT. Transakcje MIT pokazują prawdziwą korzyść umożliwienia stosowania danych COF, ponieważ umożliwiają one realizację transakcji MIT, gdy użytkownik karty nie bierze aktywnego udziału w przyszłych transakcjach. 

Odnosi się to do transakcji, w której użytkownik karty NIE bierze aktywnego udziału w transakcji, lecz udziela zgodny na generowanie transakcji w jego imieniu w ramach uprzedniej zgody.

Zgodnie z podstawowymi zasadami PSD2 SCA, gdy użytkownik karty nie jest „w trakcie sesji” i nie może być dodatkowo uwierzytelniony w czasie rzeczywistym, wydawcy przeniosą odpowiedzialność za oszustwa na Ciebie. Efektem jest przebieg transakcji bez zakłóceń.

Transakcje MIT są generowane tylko przez sprzedawcę i użytkownik karty nie musi być „w trakcie sesji”, z tego względu zastosowanie silnego uwierzytelniania do tych transakcji nie powiedzie się.  Ze względu na to, że użytkownik karty nie jest dostępny w celu uwierzytelnienia transakcji, te typy transakcji są jednymi z niewielu, których regulacja PSD2 SCA nie dotyczy.

Uwaga: istnieją ścisłe zasady dotyczące stosowania każdego rodzaju transakcji. Niestosowanie się do tych wymogów, a także do właściwego oznaczania transakcji w tym zakresie SPOWODUJE odrzucenie lub porzucenie transakcji, co ostatecznie spowoduje utratę sprzedaży.

Transakcje MIT można stosować jedynie, gdy dochodzi do wstępnej transakcji CIT (uwierzytelnienie użytkownika karty oraz umożliwienie zastosowania danych COF za pierwszym razem), a następnie przy stosowaniu zachowanych danych oraz uprzedniej umowy użytkownika karty zgodnie z Regulaminem, w celu ustanowienia umowy dotyczącej transakcji MIT z wystawcą karty użytkownika. We wszystkich przypadkach transakcja MIT musi się odnosić do oryginalnej interakcji użytkownika karty oraz do wyników uwierzytelnienia. Każde kolejne transakcje MIT będą informować Wydawcę karty, że proces uwierzytelnienia został już zrealizowany i że ta transakcja to tylko kolejna seria MIT, na którą wcześniej wyrażono zgodę, którą uwierzytelniono i zatwierdzono. 

Bez wątpienia, sprzedawcy wszelkich typów i rodzajów mogą skorzystać na wygodzie umożliwienia wykorzystywania danych COF dla swoich klientów w celu lojalizacji klienta oraz upraszczania płatności. Dane COF można stosować, gdy użytkownik karty jest „w trakcie sesji” (CIT) lub nie jest „w trakcie sesji” (MIT).

Kombinacja stosowania transakcji CIT, COF i MIT zapewnia obfite połączenie typów transakcji i ścieżek klienta u sprzedawców wielu typów i w różnych procesach płatności, z których wszystkie zgodne są z wymogami PSD2 SCA – o ile ustanowi się wymagania MIT, transakcje będą prawidłowo oznaczane dla Wydawców oraz uzyskane zostaną zgody użytkownika karty.

Wymogi transakcji MIT nieznacznie się różnią u różnych organizacji kartowych, lecz są wszechstronne i obejmują szeroki zakres scenariuszy przetwarzania transakcji. Kategorie typowych transakcji MIT są dostępne w celu umożliwiania płatności regularnych, transakcji ratalnych oraz niezaplanowanych zdarzeń i ścieżek COF.

W ramach transakcji MIT definiuje się również kilka „branżowych” transakcji MIT, które umożliwiają sprzedawcom realizację nowej lub istniejącej praktyki handlowej – w następstwie pierwotnej interakcji z użytkownikiem karty, której nie można było przeprowadzić w ramach jednej transakcji. Dostępne opcje będą obejmowały dodatkowe uwierzytelnienia, ponowne przesłania, ponowne uwierzytelnienia, stosowanie opłat z opóźnieniem i za „brak obecności”, zgodnie z procedurami Waszej firmy dotyczącymi anulowania.

Ramy transakcji MIT dotyczą wszelkich form transakcji internetowych, jednak są szczególnie ważne w sektorze podróży i hotelowym, który polega na potrzebie przetwarzania opłat użytkownika karty przed, w trakcie oraz po dostarczeniu towarów i usług, zwykle, gdy użytkownik karty nie jest już „w trakcie sesji”. Koncepcje te są fundamentalne w tym sektorze, więc w przyszłym miesiącu będziemy skupiać się na tym temacie bardziej szczegółowo.

Na razie przedstawimy zaledwie kilka potencjalnych przypadków wykorzystywania transakcji, gdzie zastosowanie transakcji CIT, COF i MIT może być wykorzystywane do płynnej realizacji procesu oraz utrzymania zgodności z regulacjami:

• Płatności regularne – utworzenie serii transakcji na tę samą kwotę, np. w przypadku abonamentu lub członkostwa
• Raty lub przedpłaty – umożliwiające użytkownikowi karty rozłożenie kosztów większego zakupu
• Uwierzytelnienia narastające – gdzie wydatki użytkownika karty przekraczają uwierzytelnioną uprzednio kwotę
• Opłaty z opóźnieniem – umożliwiają pobranie dodatkowych opłat po realizacji oryginalnych usług.
• Brak obecności – gdy sprzedawca może pobierać opłaty za usługi, co do zakupu których użytkownik karty zawarł umowę, jednak nie spełnił warunków tej umowy.
• Ponowne uwierzytelnienia – zakup dokonany po oryginalnej transakcji, aby włączyć sytuacje związane z opóźnieniem/rozdziałem dostawy lub przedłużonym pobytem/wynajmem.

Bezwarunkowemu wdrożeniu regulacji PSD2 SCA będzie towarzyszyła równie silna regulacja organizacji kartowej, monitorująca prawidłowe stosowanie transakcji MIT oraz innych wyjątków „poza zakresem”, a także wyjątków dotyczących silnego uwierzytelniania. Zapewnienie, by ramy transakcji były prawidłowo ustanowione wymaga procedur firmowych, a także dostosowania technologii, w celu gwarancji akceptacji i zatwierdzeń Wydawcy karty.

Nieprawidłowe ustanowienie umów, nieprawidłowe oznaczanie transakcji lub niewłaściwe korzystanie z wymogów w jakikolwiek sposób, spowoduje odrzucenie transakcji i utratę sprzedaży.

Sprzedawcy oferujący użytkownikom karty możliwość przechowywania ich danych w swojej dokumentacji, muszą uzyskać zgodę użytkownika karty, dlatego też należy ustanowić i utrzymywać odpowiednią umowę (Regulamin).

• Należy poinformować użytkownika karty, że dane są przechowywane, określając, w jaki sposób użytkownik karty zostanie powiadomiony o jakichkolwiek zmianach w umowie oraz określając datę wygaśnięcia umowy.
• Należy poinformować użytkowników karty, w jaki sposób będą wykorzystywane ich dane.
• Należy powiadomić użytkownika karty o tożsamości i lokalizacji sprzedawcy oraz o kwocie transakcji lub jak zostanie ona naliczona.
• Częstotliwość (regularna) lub zdarzenie (nieplanowane COF), które spowoduje wygenerowanie transakcji.
• W przypadku płatności ratalnych, całkowita cena zakupu oraz warunki rat, w tym ich daty, kwoty i waluta.
• Należy powiadomić użytkownika karty w przypadku zmian warunków korzystania.
• Należy powiadomić użytkownika karty o wszelkich procedurach dotyczących anulowania i zwrotu pieniędzy.
• Należy zachować umowę na czas udzielonej zgody i udostępnić ją wydawcy na żądanie.
• Jeżeli wymagają tego obowiązujące prawa lub regulacje, należy zapewnić dowód zgody uzyskanej od użytkownika karty.
• Należy poinformować wydawcę poprzez proces transakcji, że dane są przechowywane w dokumentacji.
• Należy zidentyfikować i oznaczyć transakcje odpowiednimi wskaźnikami przy korzystaniu z przechowywanych danych. 

Umożliwienie transakcji inicjowanych przez sprzedawcę zależy od wielu tych samych ujawnień w zakresie zgody uzyskiwanej od użytkownika karty, jakie są wymagane w ramach danych COF, co zawsze jest wymogiem wstępnym przetworzenia transakcji MIT.

Wymogi transakcji MIT zostały zaprojektowane, aby zapewnić Wydawcom karty (zarówno uwierzytelniającemu, jak i zatwierdzającemu) szerszy kontekst transakcji, umożliwiający podejmowanie bardziej świadomych decyzji oraz minimalizację niepotrzebnych odrzuceń.

Wymogi te umożliwiają nam określenie intencji transakcji MIT poprzez wykorzystanie odpowiednich identyfikatorów (kody przyczyny komunikatu). Korzystanie z tych wymogów dostarcza również dowód wcześniejszej transakcji poprzez utworzenie połączenia za pomocą unikalnego (Identyfikatora transakcji) poprzedniej lub oryginalnej transakcji.

Sprzedawcy muszą powiązać transakcję MIT z pierwotną transakcją przy wykorzystaniu unikalnego Identyfikatora transakcji, wygenerowanego w trakcie realizacji pierwotnej transakcji CIT. Dla niektórych typów transakcji MIT (regularnych, ratalnych i nieplanowanych COF, które określane są również mianem stałych transakcji MIT), Identyfikator transakcji wygenerowany przez poprzednią transakcję serii może być wykorzystany jako element łączący z kolejną transakcją.   

COF – przy pobieraniu danych do przechowywania po raz pierwszy, oprócz podanych już wymogów w zakresie przetwarzania dla firmy, sprzedawcy muszą:

• Przesłać transakcję płatności (uwierzytelnienie) w momencie pobrania danych, jeżeli kwota ma zostać przetworzona w tym samym czasie. Jeżeli w momencie pobrania danych nie musi zostać pobrana żadna kwota, sprzedawca (lub jego agent, przy korzystaniu z podmiotów zewnętrznych dokonujących rezerwacji) musi dostarczyć uwierzytelnienie wartości zerowej (ang. zero-value authorisation, ZVA), które odnosi się do Account Verification Authorisation Visa, Account Status Inquiry Mastercard).  Uwaga: to jest już istniejące wymaganie dotyczące płatności ratalnych oraz transakcji regularnych w Europy, które opiera się na danych COF.
• Należy określić w transakcji, że dane są przechowywane. Uwaga: jeżeli transakcja pierwszej płatności lub ZVA zostanie odrzucona, dane nie będą mogły być zapisane i przechowywane, a sprzedawca nie może wykorzystywać ich do kolejnych transakcji.
• Uwaga: wydawca nie odrzuci transakcji w oparciu o brak kodu CVV2, jeżeli prośba o uwierzytelnienie będzie dotyczyła kolejnej transakcji po zapisaniu danych. Reguła ta dotyczyła wcześniej jedynie transakcji regularnych, jednakże obecnie dotyczy regularnych, ratalnych, nieplanowanych COF oraz wszelkich transakcji inicjowanych przez użytkownika karty (CIT) z użyciem danych COF

Teraz możemy powrócić i odpowiedzieć na pytania z pierwszego zdania tego wpisu.

MIT to zawsze COF – Aby można było wygenerować transakcję płatności, gdy użytkownik karty jest poza sesją (MIT), trzeba przechowywać dane użytkownika karty wcześniej (COF). Nie można uwierzytelnić użytkownika karty, ponieważ nie jest „w trakcie sesji”

Nie wszystkie COF to MIT – Jeżeli użytkownik karty odwiedzi sklep osobiście lub w Internecie, może poprosić o wykorzystanie przechowywanych przez Was swoich danych (COF).  Nie jest to transakcja MIT (brak wymagania uwierzytelnienia), lecz CIT (uwierzytelnienie musi zostać wykonane, gdy użytkownik karty będzie „w trakcie sesji”).

Nie trzeba żadnego w przypadku CIT – z definicji, jeśli nie stosuje się przechowywanych danych (COF), nie można samemu zainicjować transakcji (MIT), a więc użytkownik karty musi być „w trakcie sesji” i uwierzytelniony za każdym razem (CIT) 

Ale jeśli chce się skorzystać z COF i MIT, najpierw i tak trzeba użyć CIT? – silne uwierzytelnianie jest obowiązkowe, gdy dane są po raz pierwszy przechowywane w Waszych systemach (COF); umowy dotyczące transakcji MIT mogą zostać ustanowione jedynie po pomyślnym uwierzytelnieniu pierwszej transakcji serii. Jedynym sposobem na zrealizowanie wstępnego uwierzytelnienia jest, gdy użytkownik karty będzie „w trakcie sesji” (CIT).

Poniższa tabela opisuje zakres odpowiedzialności z tytułu nieuczciwych reklamacji chargeback w odniesieniu do wydawcy kary, sprzedawcy i agenta rozliczeniowego. Zasady te zależą od tego, który dostawca usług płatniczych (PSP) stosuje wyłączenie oraz czy transakcja jest realizowana za pośrednictwem protokołu silnej autentykacji 2.0.

Dyrektywa PSD2 określa w drodze regulacji własne zasady odpowiedzialności, ale nie wyklucza możliwości wdrażania przez dostawcę usług płatniczych dodatkowych wymogów.

Znaczenie terminów uwzględnionych w tabeli zostało dla jasności wyjaśnione poniżej.