Zwiększ bezpieczeństwo użytkowników karty dzięki silnemu uwierzytelnianiu (SCA).
Europejskie organy ustawodawcze wprowadziły ważne zmiany dotyczące wdrażania silnego uwierzytelniania (SCA), które mogą mieć wpływ na Państwa firmę.
W niniejszym dokumencie znajdą Państwo wyjaśnienie, na czym polegają te zmiany, na początku jednak pragniemy przypomnieć, czym jest silne uwierzytelnianie.
Regulacje w zakresie nowego silnego uwierzytelniania
Elavon umożliwi Państwu jako sprzedawcy uzyskanie zgodności z wymogami silnego uwierzytelniania, jednak obowiązkiem wydawcy karty jest zweryfikowanie tożsamości użytkownika karty za pomocą metod uwierzytelniania dwuskładnikowego (2FA).
Najważniejszą zmianą, którą wprowadza ta regulacja, jest wymóg uwierzytelnienia nałożony na Państwa klientów przez wydawcę karty lub bank, chyba że realizowana transakcja nie przekracza 30 euro lub może być zwolniona z tego wymogu na innej podstawie. Każda inna transakcja będzie podlegać uwierzytelnieniu w ramach najnowszej wersji silnej autentykacji.
Jak wcześniej informowaliśmy, od 14 września 2019 r. wszystkie internetowe transakcje kartą, których wartość wynosi powyżej 30 euro, będą podlegać uwierzytelnianiu dwoma niezależnymi metodami, zwanymi uwierzytelnianiem dwuskładnikowym (2FA).
Uwierzytelnianie dwuskładnikowe to proces, w którym wydawca weryfikuje tożsamość użytkownika karty, biorąc pod uwagę co najmniej dwa niezależne elementy należące do trzech następujących kategorii:
- Coś, co zna wyłącznie klient końcowy np. PIN lub hasło. Dotychczas używane hasło statyczne zostanie zastąpione przez dynamiczne jednorazowe hasło, np. wysyłane użytkownikowi karty przez jej wydawcę w wiadomości sms.
- Coś, co posiada wyłącznie klient końcowy np. karta/smartfon.
- Coś, co jest charakterystyczne tylko dla klienta końcowego - dane biometryczne, np. odciski palców, rozpoznawanie twarzy.
Co nowego?
Europejski Urząd Nadzoru Bankowego (EBA), który reguluje wprowadzanie nowych zasad, zareagował na zastrzeżenia przedsiębiorców, agentów rozliczeniowych oraz wydawców kart dotyczące potencjalnie negatywnego wpływu bezwzględnego realizowania nowych zasad z dniem 14 września 2019 r.
Wynika to z faktu, że wybrane europejskie instytucje finansowe (agenci rozliczeniowi oraz wydawcy kart) nie uzyskają pełnej zgodności z wymogami silnego uwierzytelniania przed tym terminem.
Komunikat Europejskiego Urzędu Nadzoru Bankowego:
W wyjątkowych przypadkach oraz by uniknąć niezamierzonych skutków, które dotknęłyby wybranych użytkowników usług płatniczych (użytkowników karty) po 14 września 2019 r. instytucje finansowe mogą wdrożyć mechanizmy autentykacji zgodne z wymogami silnego uwierzytelniania w dodatkowym określonym terminie”.
Dalsze wytyczne mówią, że to właściwe organy krajowe (np. FCA w Wielkiej Brytanii) będą decydować o przyznaniu dodatkowego terminu, opierając się na ściśle monitorowanym planie wdrożenia.
Na tym etapie nie wiadomo, jak długo może potrwać „dodatkowy określony termin”. Elavon przekaże Państwu tę datę, gdy tylko zostanie opublikowana.
Co to oznacza dla mojej firmy?
Ogólne stanowisko Europejskiego Urzędu Nadzoru Bankowego pozostaje niezmienne i data 14 września pozostanie obowiązującym terminem wdrożonym do prawa krajowego w ramach dyrektywy PSD2.
O ile nie zostanie uzgodnione formalne wydłużenie terminu, instytucje finansowe będą zobowiązane do realizacji tego zobowiązania. Elavon uzyska zgodność z wymogami silnego uwierzytelniania w wyznaczonym terminie, co oznacza, że również i Państwo ten wymóg będą spełniać.
Jednak w wybranych lokalizacjach wydawcy kart nie będą gotowi do obsługi silnego uwierzytelniania wobec Państwa klientów.
Podobnie jak w przypadku istniejących protokołów silnej autentykacji inicjowanych przez Państwa firmę, wydawca karty gwarantuje ochronę przed ewentualnymi oszustwami na terenie Europy w większości przypadków, gdy autoryzuje kartę, nawet jeśli nie spełnia wymogów silnej autentykacji.
Nie ma to wpływu na karty wydane poza Europą, które nie podlegają nowym regulacjom.
Czy w wyniku silnego uwierzytelniania liczba odrzuconych transakcji może wzrosnąć?
Wydawcy kart nie powinni odrzucać transakcji z powodu braku gotowości do stosowania mechanizmów silnego uwierzytelniania. Nie spodziewamy się, że tak się stanie, ponieważ miałoby to negatywny wpływ na użytkowników karty oraz na Państwa firmę.
Istnieje jednak ryzyko, że niektórzy wydawcy będą odrzucać transakcje, aby uniknąć odpowiedzialności. Nie mamy na to wpływu, ale oczekujemy, że wszyscy wydawcy uzyskają zgodność ze standardami organizacji kartowych bez względu na gotowość do spełnienia wymogów silnego uwierzytelniania.
Czy mogę wycofać się z silnej autentykacji, aby uniknąć ewentualnych problemów?
Nie ma takiej możliwości. Nowe regulacje wchodzą w życie z dniem 14 września i od tego czasu tylko agent rozliczeniowy lub wydawca karty może zwolnić transakcję z wymogów silnego uwierzytelniania, jeśli spełnia ona przesłanki do zwolnienia określone w przepisach.
Jeśli z uzasadnionego powodu nie będą Państwo mogli wdrożyć w swojej firmie silnego uwierzytelniania przed 14 września, prosimy o kontakt z opiekunem handlowym lub działem obsługi klienta.
Dodatkowe informacje
Europejski Urząd Nadzoru Bankowego wyjaśnił również, co oznacza „składnik” w uwierzytelnianiu dwuskładnikowym. Definicja ta może być sprzeczna z wcześniejszymi założeniami instytucji finansowych. Na przykład, numer karty, data ważności czy numer CVV nie stanowią potwierdzenia posiadania karty w transakcjach online, chyba że zostaną potwierdzone dynamicznym kodem bezpieczeństwa karty.
Eric Horgan, lider produktów komercyjnych w Elavon Europe, przedstawił komentarz dotyczący opinii i wytycznych EBA.
"Opinia EBA stanowi pragmatyczną odpowiedź dla podmiotów działających w tej branży podejmujących starania w celu optymalizacji bezpieczeństwa klienta. Przedstawiciele tego organu zdają sobie sprawę ze znaczenia funkcjonalnych systemów płatności oraz jakości obsługi klienta.
Przedstawiono wyjaśnienia, w jaki sposób można spełnić wymagania silnego uwierzytelniania, które były nieadekwatne do interpretacji, jaką wydawcy kart i agenci rozliczeniowi zastosowali wobec tej regulacji (w zakresie silnej autentykacji). Jeśli raport zostałby wydany rok temu, o wiele bardziej pomógłby wydawcom kart i agentom rozliczeniowym, pozwalając na uniknięcie pewnych napięć, dlatego też jesteśmy trochę rozczarowani.
Biorąc pod uwagę złożoność naszego ekosystemu, wszelkie zmiany będą wymagały dodatkowego czasu. Naszym celem jest wprowadzenie tych zmian. Spodziewam się, że wprowadzane zmiany będą miały w okresie przejściowym zauważalny wpływ na obsługę klienta. Jednak wszystko to będzie zależeć od sprzedawcy, stosowanej wersji silnej autentykacji oraz pozycji wydawców kart w UE.
Ostatecznie oczekuję, że autentykacja oraz metody sprzedawców stosowane w celu identyfikacji klientów będą sprawnie działały, a bezpieczeństwo zostanie optymalizowane.
Proces autentykacji stanie się w branży płatniczej kolejnym obszarem zmagań, które trzeba będzie podjąć, aby nie dopuścić do rezygnacji klientów z transakcji kartowych oraz aby sprzedaż internetowa w całej Europie mogła się rozwijać”.
Jeśli mają Państwo pytania dotyczące tego przewodnika, prosimy o kontakt z opiekunem handlowym lub działem obsługi klienta.