Przewodnik dotyczący silnego uwierzytelniania klienta (SCA)

5 min. czytania
SCA

W dniu 14 września 2019 r. silne uwierzytelnianie klienta (SCA) stało się wymogiem dla firm zajmujących się płatnościami elektronicznymi w Europie. Wymóg ten dotyczy wszystkich przedsiębiorstw z Europejskiego Obszaru Gospodarczego (EOG), Monako i Wielkiej Brytanii, które przetwarzają płatności online, i stanowi część zmienionej dyrektywy w sprawie usług płatniczych (PSD2).

SCA ma na celu dodanie dodatkowej warstwy bezpieczeństwa do płatności online poprzez zapewnienie dokładniejszego i bardziej odpornego na oszustwa uwierzytelniania użytkowników. W niniejszym przewodniku podajemy definicję SCA, omawiamy wymagania dotyczące SCA, zgodność z nimi oraz zwolnienia.

Czym jest silne uwierzytelnianie klienta (SCA)?

Silne uwierzytelnianie klienta (SCA) jest wymogiem drugiej dyrektywy w sprawie usług płatniczych (PSD2) dla wszystkich dostawców usług płatniczych z EOG, Monako i Wielkiej Brytanii. Wymóg ten zapewnia bezpieczne dokonywanie wszystkich płatności elektronicznych przy użyciu uwierzytelniania dwuskładnikowego (2FA).

Wstępna definicja silnego uwierzytelniania klientów może wydawać się skomplikowana, ale można ją również wyjaśnić w prosty sposób. Krótko mówiąc, SCA oznacza, że płatnicy w Europie muszą podejmować dodatkowe kroki uwierzytelniające przy zakupie towarów lub usług online.

Wymóg SCA jest częścią europejskiej dyrektywy PSD2. Przygotowaliśmy obszerny przewodnik na ten temat, w którym można znaleźć szczegółowe objaśnienia dotyczące PSD2 oraz zapoznać się ze wszystkimi najważniejszymi informacjami na ten temat.

PSD2 requirements for SCA

Wymagane uwierzytelnienie musi zawierać dwa z trzech rodzajów informacji:

  • Wiedza: coś, co dana osoba wie. Na przykład hasło, kod PIN, sekwencja itp.
  • Posiadanie: coś, co posiada, np. telefon komórkowy, tablet, komputer itp.
  • Cecha: coś, czym osoba jest. Na przykład odcisk palca, rysy twarzy, wzorce głosu itp.

Funkcja 2FA weryfikuje tożsamość użytkowników dokładniej niż statyczne hasła, stosowane przez banki wcześniej.

Jak działa SCA?

SCA działa w celu uwierzytelnienia tożsamości użytkownika, zapewniając lepszą ochronę konsumentów.

Z pewnymi wyjątkami, SCA stosowana jest za każdym razem, gdy:

  • Użytkownik uzyskuje dostęp do swojego konta bankowego przez Internet;
  • Płatnik inicjuje płatność online;
  • Użytkownik wykonujący jakiekolwiek działanie za pośrednictwem kanału zdalnego może narazić się na ryzyko oszustwa internetowego.

Z biznesowego punktu widzenia SCA może się różnić w zależności od metody płatności. Protokół 3DS, czyli 3D Secure, stosowany jest głównie w przypadku kart kredytowych i debetowych, natomiast portfele mobilne i inne lokalne metody płatności często zapewniają własny etap uwierzytelniania, zgodny z SCA.

Czym jest zgodność z SCA?

Aby spełnić wymogi PSD2 w zakresie SCA, przedsiębiorstwa muszą zintegrować uwierzytelnianie wieloskładnikowe. Istnieją dwa główne sposoby uzyskania zgodności z SCA. Firmy mogą wdrożyć protokół 3D secure lub zdecydować się na zintegrowanie alternatywnych metod płatności.

3D secure

Protokół 3D secure został opracowany z myślą o podjęciu dodatkowych kroków bezpieczeństwa w celu ochrony posiadaczy kart podczas dokonywania płatności online. SCA z wykorzystaniem technologii 3D secure wymaga od płatnika potwierdzenia swojej tożsamości. Potwierdzenia można dokonać poprzez wprowadzenie kodu otrzymanego za pośrednictwem wiadomości SMS lub aplikacji mobilnej udostępnionej przez wystawcę karty.

Jedną z głównych cech protokołu 3D secure jest przesunięcie odpowiedzialności. Gdy użytkownik zakończy proces uwierzytelniania, odpowiedzialność za wszelkie fałszywe obciążenia zwrotne ponosi nie sprzedawca, lecz bank wydający kartę.

Alternatywne metody płatności

Firmy poszukujące opcji płatności zgodnych z SCA mogą integrować tzw. lokalne metody płatności lub portfele cyfrowe.

Lokalne metody płatności to opcje płatności popularne w określonej lokalizacji geograficznej. Wybór niezawodnego rozwiązania do płatności online może zdjąć ze sprzedawców ciężar integracji różnych banków w przepływie płatności i zapewnić zgodność z przepisami SCA.

Zintegrowanie lokalnych metod płatności może również usprawnić przepływ płatności w sklepie, zapewnić konsumentom lepsze wrażenia przy kasie oraz zwiększyć współczynnik konwersji.

Jakie są wymagania SCA?

SCA wymagane jest w odniesieniu do wszystkich płatności elektronicznych w EOG, Monako i Wielkiej Brytanii. Zarówno firma akceptanta, jak i bank posiadacza karty muszą znajdować się w tym obszarze. Wymóg SCA zapewnia, że płatności online są dokonywane przy użyciu uwierzytelniania wieloskładnikowego, co zwiększa bezpieczeństwo transakcji internetowych.

Niektóre transakcje mogą być zwolnione z SCA. W dalszej części omówimy główne wyłączenia spod działania SCA.

Zwolnienia SCA

Wspomnieliśmy już, że SCA ma zastosowanie do większości płatności online w Europie. Niektóre transakcje są jednak zwolnione z obowiązku stosowania dyrektywy PSD2. Oto najistotniejsze przypadki zwolnione z działania SCA:

Transakcje o niskim ryzyku

Transakcje, które są uważane za obarczone niskim ryzykiem, mogą być zwolnione z SCA. Ryzyko to jest obliczane na podstawie analizy ryzyka transakcji (ang. Transaction Risk Analysis, TRA) i zależy od progów współczynnika oszustwa określonych przez emitenta lub nabywcę.

Jeśli nabywca uzna transakcję za obarczoną niskim ryzykiem, może wystąpić o zwolnienie na podstawie TRA. Jeśli zwolnienie zostanie przyznane, konsumenci będą mogli pominąć SCA przy swoich transakcjach, w zależności od kwoty.

Transakcje o niskiej wartości

Transakcje o wartości poniżej 30 EUR oraz łączne płatności poniżej 100 EUR dokonywane tą samą kartą nie wymagają użycia SCA.

Oznacza to, że płatności o wartości poniżej 30 EUR można przekazywać bez uwierzytelniania, ale bank wydający kartę będzie śledził, ile płatności dokonano z wykorzystaniem tego wyjątku. Płatnik zostanie poproszony o autoryzację zgodnie z SCA, gdy łączna kwota płatności przekroczy 100 EUR lub co pięć transakcji.

Transakcje powtarzalne

Transakcje powtarzalne o stałej kwocie mogą być zwolnione z SCA po dokonaniu pierwszej transakcji, która będzie wymagała uwierzytelnienia. Jeśli jednak kwota płatności ulegnie zmianie, płatnik będzie musiał dokonać autoryzacji zgodnie z SCA dla każdej nowej kwoty.

Zaufani beneficjenci

Płatnik może wybrać zaufanych akceptantów i umieścić ich na białej liście jako zaufanych beneficjentów. Po uzyskaniu białej listy akceptantów posiadacz karty może płacić im bez SCA, niezależnie od kwoty.

Podsumowanie

SCA to wymóg, który wprowadzono w celu zapewnienia większego bezpieczeństwa płatności online i który dotyczy każdej firmy, o ile banki handlowców i ich klientów znajdują się w Europie. Aby spełnić wymogi SCA, firmy muszą włączyć uwierzytelnianie wieloskładnikowe do swojego przepływu płatności.

Przedsiębiorstwa mogą korzystać z bezpiecznego protokołu 3D secure, aby spełnić wymogi SCA lub zintegrować lokalne metody płatności. SCA ma zastosowanie do wszystkich płatności online, w tym płatności internetowych i mobilnych. Niektóre transakcje są zwolnione ze stosowania SCA, w tym płatności o niskim ryzyku, niskiej wartości i powtarzalne.

Jeśli chcesz dowiedzieć się więcej o PSD2 lub otwartej bankowości, przeczytaj inne wpisy na naszym blogu. Przygotowaliśmy obszerny przewodnik, w którym można znaleźć wyjaśnienie zasad otwartej bankowości.

Wybierz partnera, który myśli perspektywicznie

Rozwijaj swoją działalność z kevin.