Wat is Strong Customer Authentication (SCA)?
Strong Customer Authentication (SCA) is wanneer de klant door zijn bank wordt gevraagd om informatie te verstrekken uit twee van de volgende categorieën om een transactie te authenticeren:
- Kennis - iets wat ze weten - bv. PIN, wachtwoord, gedenkwaardige informatie, enz.
- Bezit - iets dat ze hebben - bv. een kaart, sleutelhanger, telefoon, enz.
- Inherence - iets wat ze zijn - bv. vingerafdruk, irisscan, gezichtsherkenning, stem, enz.
Deze twee categorieën informatie moeten onafhankelijk van elkaar zijn, in die zin dat als de ene gecompromitteerd is, deze niet kan worden gebruikt om de andere te verkrijgen. b.v. Iemand die alleen in het bezit is van een beveiligingspas (Bezit) mag dit niet kunnen gebruiken om toestemming te geven voor het opnieuw instellen van zijn wachtwoord (Kennis).
Strong Customer Authentication (SCA) wordt ondersteund door Trust Payments met EMV 3DS-authenticatie.
Wat is PSD2?
De Payment Services Directive ( PSD2) is een verzameling wetten en regels voor betalingsdiensten in de EU en EER. Als u eCommerce transacties verwerkt (ECOM), verplicht deze richtlijn u om aan de volgende vereisten te voldoen:
- Als je bedrijf actief is in een van de landen waar PSD2 van kracht is (zie onze lijst hieronder), moet je SCA ondersteunen.
- En het belangrijkste is dat als de kaartuitgever van de klant ook in een van deze landen is gevestigd, SCA moet worden geprobeerd voor alle transacties of een geldige SCA vrijstelling wordt toegepast..
Om aan deze vereisten te voldoen, moet je EMV 3-D Secure (3DS) implementeren.
Wat betekent dit als ik bestellingen per post of telefoon verwerk (MOTO)?
MOTO-transacties vallen buiten het toepassingsgebied van de PSD2-eisen voor Strong Customer Authentication (SCA). Dit betekent dat u veilig MOTO transacties kunt verwerken zonder dat u zich zorgen hoeft te maken over bovenstaande vereisten.
Wat betekent dit als ik andere Merchant Initiated Transactions (MIT) verwerk (bijvoorbeeld terugkerende)?
De eerste door de klant geïnitieerde transactie die wordt uitgevoerd wanneer de betalingsovereenkomst wordt gesloten (in een eCommerce omgeving) blijft binnen het bereik van PSD2 vereisten voor Strong Customer Authentication (SCA).
Latere Merchant-Initiated Transactions (MIT) (bijv. terugkerende betalingen) moeten de schema-referentiegegevens van de eerste door de klant geïnitieerde transactie bevatten. Deze gegevens worden teruggestuurd in het antwoord van de door de klant geïnitieerde transactie. Klik hier voor meer informatie.
Wat is EMV 3-D Secure (3DS)?
EMV 3DS (3-D Secure) is een vorm van Strong Customer Authentication (SCA) ondersteund door Trust Payments om te voldoen aan de vereisten gedefinieerd onder het PSD2 mandaat.
Het stelt kaartuitgevers in staat een extra beschermingsniveau te bieden door kaarthouders op het verkooppunt te authenticeren als het kaartsysteem of de handelaar daarom vraagt (meestal in situaties waarin het risico op fraude groter wordt geacht).
SCA kan alleen worden uitgevoerd wanneer de klant aanwezig is op het tijdstip van aankoop. Bijgevolg gelden uitsluitingen voor Merchant-Initiated (MIT) of mail of telefoon (MOTO) transacties, waarbij de klant niet beschikbaar is om in het geval van step-up authenticatie (SCA challenge) te reageren om nadere informatie te verstrekken.
Indien de klant in het kader van het EMV 3DS-proces met succes is geauthenticeerd en later wordt vastgesteld dat er fraude is gepleegd, zal de kaartuitgever vaak de financiële verantwoordelijkheid nemen voor de terugboeking. Dit is onderworpen aan de voorwaarden die door het kaartsysteem zijn vastgesteld. Klik hier voor meer informatie over de aansprakelijkheidsverschuiving.
Wrijvingsloos afrekenen
Dankzij de verbeterde screening die door de laatste versie 2-norm wordt ondersteund, zullen veel klanten geen onderbreking van hun kassa-ervaring ondervinden om hun identiteit te verifiëren, in wat bekend staat als een "wrijvingsloze" checkout.
Step-up authenticatie
Na bovenstaande controles kan de kaartuitgever besluiten dat een klant moet worden geauthenticeerd door de betalingsgegevens die hij heeft ingevoerd (Bezit) aan te vullen met een pincode of wachtwoord (Kennis) of vingerafdruk/gezichtsherkenning (Inherence). Deze strengere checkout-ervaringen worden "opschalen van" of "uitdaging" genoemd. Bekende voorbeelden van authenticatiemethoden zijn:
De authenticatiemethoden die tijdens een uitdaging worden gebruikt, worden bepaald door de uitgever van de kaart en kunnen niet door de handelaar worden beïnvloed.
Er zijn bepaalde afrekenstromen waarvoor u de step-up authenticatie handmatig moet activeren.
Klik hier voor meer informatie.
Hoe zorg ik ervoor dat EMV 3DS is ingeschakeld voor mijn integratie?
Er zijn manieren om EMV 3DS te implementeren in elk van onze TRU Connect interfaces, of dat nu via onze gehoste Payment Pages, JavaScript Library, Webservices API of mobiele SDK's is. Klik hier voor meer informatie.
Lijst van PSD2-plichtige landen
Oostenrijk
België
Bulgarije
Kroatië
Cyprus
Tsjechië
Denemarken
Estland
Finland
Frankrijk
Frans Guyana
Duitsland
Griekenland
Guadeloupe
Hongarije
IJsland
Ierland
Italië
Spitsbergen en Jan Mayen
Letland
Liechtenstein
Litouwen
Luxemburg
Malta
Mayotte
Nederland
Noorwegen
Polen
Portugal
Réunion
Roemenië
Slowakije
Slovenië
Spanje
Zweden
Verenigd Koninkrijk