CarderPlanet
Professional
SCA означает строгую аутентификацию клиентов и является одним из правил в соответствии с пересмотренной Директивой о платежных услугах (PSD2). В нем говорится, что клиент должен подтвердить свою личность, прежде чем платежная информация может быть обменена между финансовым учреждением и сторонним поставщиком (TPP).
Согласно правилам SCA, клиент должен подтвердить свою личность с помощью двух из следующих условий:
Эти два фактора должны быть выбраны из разных категорий, чтобы нарушение одного не ставило под угрозу действительность другого. Например, если кто-то украдет телефон клиента, он не сможет получить доступ к какой-либо платежной информации без биометрических данных или кода доступа. Этот метод проверки был введен для обеспечения безопасности и конфиденциальности конфиденциальных данных клиентов.
Характеристики регулирования SCA
SCA влияет на «двусторонние транзакции» в ЕС или Европейской экономической зоне (ЕЭЗ). Двухэтапная транзакция - это транзакция, в которой банк клиента и банк продавца расположены в Европе. Небольшая часть европейских банков также должна применять SCA для «одноразовых транзакций», когда клиент находится в Европе, а продавец находится за пределами Европы.
При успешной аутентификации с использованием SCA должен генерироваться код авторизации, который позволяет клиентам совершать безопасные платежи в Интернете. Если две из допустимых категорий аутентификации не выполнены, платеж не состоится.
Динамическое связывание
Операции удаленных платежей - это транзакции, инициируемые через Интернет. Для их дальнейшей защиты SCA требует «динамического связывания», когда TPP связывают каждую транзакцию с указанной суммой платежа и получателем. Это делается с помощью кода авторизации или токена, сгенерированного TPP для потребителя. Если в получателе или окончательной сумме будут внесены изменения, код авторизации станет недействительным, и для завершения транзакции потребуется новый.
Например, если клиент покупает продукты в Интернете, сумма, причитающаяся за товары в его корзине, включая все налоги и сборы, должна быть прозрачной. Потребитель также должен знать, в какой продуктовый магазин он платит эти деньги. Как только они предоставят эту информацию, они могут авторизовать транзакцию с помощью кода. Если будет внесено изменение, TPP не сможет обработать транзакцию без выдачи другого кода авторизации.
В идеале каждая онлайн-транзакция должна иметь как SCA, так и эту динамическую ссылку для защиты данных потребителей и предотвращения мошеннических платежей.
SCA с 3D Secure 2.0
3D Secure (3DS) - самый распространенный метод аутентификации онлайн-платежа по карте, и многие европейские карты его поддерживают.
3DS добавляет дополнительный шаг после проверки платежа, когда банк клиента просит держателя карты предоставить дополнительную информацию для завершения платежа. Например, банк просит своего клиента ввести одноразовый пароль (OTP), который отправляется на его мобильное устройство для завершения платежа через банковское приложение.
3D Secure 2.0 - это обновленная версия, представленная в 2019 году, и она соответствует новым требованиям SCA.
Эта новая версия обеспечивает лучшее обслуживание клиентов, поскольку для аутентификации клиентов не используются только одноразовые пароли, а вместо этого разрешены несколько вариантов SCA, включая биометрию. Он даже поддерживает все способы оплаты - в приложении, мобильные и цифровые кошельки.
SCA в потоке платежей
Давайте посмотрим, как SCA реализуется в потоке платежей для создания идеальной транзакции.
Платежный цикл SCA состоит из трех основных фаз: инициирование и согласие платежа, аутентификация и авторизация, а также выполнение платежа.
Предположим, что покупатель совершает покупку в Интернете и хочет заплатить продавцу прямым банковским переводом.
Инициирование платежа:
Аутентификация и авторизация:
Выполнение платежа:
Исключения из SCA
В PSD2 есть несколько случаев, когда заказчик может быть освобожден от прохождения SCA. Этот дополнительный этап аутентификации может быть длительным и может привести к тому, что клиенты перестанут покупать у определенных предприятий. Здесь вступают в игру исключения, которые помогают некоторым компаниям удерживать своих клиентов.
Поставщики платежных услуг могут запросить эти исключения при обработке транзакций клиентов. После того, как запрос будет отправлен в банк клиента, он оценит риски, связанные с транзакцией, и решит, утвердить ли исключение или сохранить процесс аутентификации.
Следующие объекты не облагаются SCA:
1. Удаленные транзакции с низким уровнем риска. В рамках PSD2 поставщик платежей может проверять уровень мошенничества банка клиента и банка поставщика платежей, чтобы решить, применять ли SCA к транзакции. Ожидается, что банки будут оставаться в пределах пороговых значений освобождения, чтобы избежать дополнительных шагов.
2. Транзакции на небольшую сумму: если сумма транзакции ниже 30 евро, она будет освобождена от SCA. Однако есть определенные условия. Банки будут запрашивать аутентификацию у клиента, когда:
3. Периодические платежи: можно избежать SCA по фиксированным платежам по подписке. Для начальной транзакции клиента могут попросить подтвердить свои учетные данные с помощью SCA. После этого SCA может быть освобождено от уплаты следующих последовательных платежей.
4 Транзакции, инициированные торговыми банками: клиенты иногда совершают транзакции с использованием сохраненных карт. В таких случаях эти платежи инициируются коммерческими банками добровольно. Операции, подпадающие под эту категорию, освобождаются от SCA. Чтобы использовать транзакции, инициированные продавцом, клиент должен проверить карту хотя бы один раз при сохранении карты или при совершении первого платежа.
5. Предприятия, занесенные в белый список: при совершении платежей клиенты могут иметь возможность занести в белый список доверенные предприятия, чтобы избежать этапа аутентификации при совершении будущих покупок. В таких случаях SCA можно пропустить.
6. Корпоративные платежи: освобождение от SCA распространяется на платежи, произведенные с использованием выданных карт. Например, онлайн-турагент, использующий корпоративную карту для управления командировочными расходами сотрудников, будет освобожден от налога SCA. SCA также можно избежать, когда платежи производятся с использованием номеров виртуальных карт.
Заключение
Внедрение SCA и PSD2 в целом изменит европейский банковский сектор. Это обеспечит безопасность транзакций для клиентов, которые являются частью ЕЭЗ. 3DS 2.0 оптимизирует процессы SCA, автоматически добавляя стандарты соответствия и исключения, чтобы обеспечить бесперебойную работу в банке.
Согласно правилам SCA, клиент должен подтвердить свою личность с помощью двух из следующих условий:
- Знание: что-то, что они «знают», например пароль или PIN-код.
- Владение: что-то, что им «принадлежит», например телефон или смарт-карта.
- Присутствие: то, что они «есть», имея в виду биометрические данные, такие как отпечатки пальцев или распознавание лиц.
Эти два фактора должны быть выбраны из разных категорий, чтобы нарушение одного не ставило под угрозу действительность другого. Например, если кто-то украдет телефон клиента, он не сможет получить доступ к какой-либо платежной информации без биометрических данных или кода доступа. Этот метод проверки был введен для обеспечения безопасности и конфиденциальности конфиденциальных данных клиентов.
Характеристики регулирования SCA
SCA влияет на «двусторонние транзакции» в ЕС или Европейской экономической зоне (ЕЭЗ). Двухэтапная транзакция - это транзакция, в которой банк клиента и банк продавца расположены в Европе. Небольшая часть европейских банков также должна применять SCA для «одноразовых транзакций», когда клиент находится в Европе, а продавец находится за пределами Европы.
При успешной аутентификации с использованием SCA должен генерироваться код авторизации, который позволяет клиентам совершать безопасные платежи в Интернете. Если две из допустимых категорий аутентификации не выполнены, платеж не состоится.
Динамическое связывание
Операции удаленных платежей - это транзакции, инициируемые через Интернет. Для их дальнейшей защиты SCA требует «динамического связывания», когда TPP связывают каждую транзакцию с указанной суммой платежа и получателем. Это делается с помощью кода авторизации или токена, сгенерированного TPP для потребителя. Если в получателе или окончательной сумме будут внесены изменения, код авторизации станет недействительным, и для завершения транзакции потребуется новый.
Например, если клиент покупает продукты в Интернете, сумма, причитающаяся за товары в его корзине, включая все налоги и сборы, должна быть прозрачной. Потребитель также должен знать, в какой продуктовый магазин он платит эти деньги. Как только они предоставят эту информацию, они могут авторизовать транзакцию с помощью кода. Если будет внесено изменение, TPP не сможет обработать транзакцию без выдачи другого кода авторизации.
В идеале каждая онлайн-транзакция должна иметь как SCA, так и эту динамическую ссылку для защиты данных потребителей и предотвращения мошеннических платежей.
SCA с 3D Secure 2.0
3D Secure (3DS) - самый распространенный метод аутентификации онлайн-платежа по карте, и многие европейские карты его поддерживают.
3DS добавляет дополнительный шаг после проверки платежа, когда банк клиента просит держателя карты предоставить дополнительную информацию для завершения платежа. Например, банк просит своего клиента ввести одноразовый пароль (OTP), который отправляется на его мобильное устройство для завершения платежа через банковское приложение.
3D Secure 2.0 - это обновленная версия, представленная в 2019 году, и она соответствует новым требованиям SCA.
Эта новая версия обеспечивает лучшее обслуживание клиентов, поскольку для аутентификации клиентов не используются только одноразовые пароли, а вместо этого разрешены несколько вариантов SCA, включая биометрию. Он даже поддерживает все способы оплаты - в приложении, мобильные и цифровые кошельки.
SCA в потоке платежей
Давайте посмотрим, как SCA реализуется в потоке платежей для создания идеальной транзакции.
Платежный цикл SCA состоит из трех основных фаз: инициирование и согласие платежа, аутентификация и авторизация, а также выполнение платежа.
Предположим, что покупатель совершает покупку в Интернете и хочет заплатить продавцу прямым банковским переводом.
Инициирование платежа:
- Клиент запрашивает использование поставщика услуг инициирования платежа (PISP) на странице платежей веб-сайта онлайн-покупок.
- Продавец или веб-сайт онлайн-покупок принимает запрос и отправляет покупателю реквизиты для оплаты.
- Клиент дает согласие веб-сайту онлайн-покупок на инициирование оплаты через PISP за материалы в корзине.
- Веб-сайт покупок отправляет сведения о платежах и согласие клиента в PISP.
- PISP аутентифицирует настройку платежа в банке клиента.
- Банк подтверждает и направляет платеж обратно в PISP.
Аутентификация и авторизация:
- PISP после получения подтверждения перенаправляет браузер потребителя на веб-сайт банка.
- После этого клиент аутентифицирует платеж в своем банке с помощью SCA.
- Затем банк отправляет реквизиты платежа клиенту и предлагает ему выбрать счет, с которого будет произведен платеж.
- Затем банк отправляет подтверждение в браузер клиента в виде токена авторизации.
Выполнение платежа:
- Как только покупатель авторизует платеж, PISP завершает процесс покупки, проверяя SCA от имени покупателя.
- Затем PISP использует интерфейс прикладного программирования (API) для отправки запроса банку на инициирование банковского перевода. PISP также отправляет токен подтверждения с предыдущего шага в качестве ссылки.
- Как только банк проверяет токен и соответствует запросу от PISP, он инициирует перевод средств со счета клиента на счет PISP.
- Затем PISP кредитует торговый банк на желаемый платеж.
Исключения из SCA
В PSD2 есть несколько случаев, когда заказчик может быть освобожден от прохождения SCA. Этот дополнительный этап аутентификации может быть длительным и может привести к тому, что клиенты перестанут покупать у определенных предприятий. Здесь вступают в игру исключения, которые помогают некоторым компаниям удерживать своих клиентов.
Поставщики платежных услуг могут запросить эти исключения при обработке транзакций клиентов. После того, как запрос будет отправлен в банк клиента, он оценит риски, связанные с транзакцией, и решит, утвердить ли исключение или сохранить процесс аутентификации.
Следующие объекты не облагаются SCA:
1. Удаленные транзакции с низким уровнем риска. В рамках PSD2 поставщик платежей может проверять уровень мошенничества банка клиента и банка поставщика платежей, чтобы решить, применять ли SCA к транзакции. Ожидается, что банки будут оставаться в пределах пороговых значений освобождения, чтобы избежать дополнительных шагов.
2. Транзакции на небольшую сумму: если сумма транзакции ниже 30 евро, она будет освобождена от SCA. Однако есть определенные условия. Банки будут запрашивать аутентификацию у клиента, когда:
- Освобождение было использовано держателем карты пять раз с момента последней аутентификации SCA.
- Сумма ранее освобожденных платежей превышает 100 евро.
3. Периодические платежи: можно избежать SCA по фиксированным платежам по подписке. Для начальной транзакции клиента могут попросить подтвердить свои учетные данные с помощью SCA. После этого SCA может быть освобождено от уплаты следующих последовательных платежей.
4 Транзакции, инициированные торговыми банками: клиенты иногда совершают транзакции с использованием сохраненных карт. В таких случаях эти платежи инициируются коммерческими банками добровольно. Операции, подпадающие под эту категорию, освобождаются от SCA. Чтобы использовать транзакции, инициированные продавцом, клиент должен проверить карту хотя бы один раз при сохранении карты или при совершении первого платежа.
5. Предприятия, занесенные в белый список: при совершении платежей клиенты могут иметь возможность занести в белый список доверенные предприятия, чтобы избежать этапа аутентификации при совершении будущих покупок. В таких случаях SCA можно пропустить.
6. Корпоративные платежи: освобождение от SCA распространяется на платежи, произведенные с использованием выданных карт. Например, онлайн-турагент, использующий корпоративную карту для управления командировочными расходами сотрудников, будет освобожден от налога SCA. SCA также можно избежать, когда платежи производятся с использованием номеров виртуальных карт.
Заключение
Внедрение SCA и PSD2 в целом изменит европейский банковский сектор. Это обеспечит безопасность транзакций для клиентов, которые являются частью ЕЭЗ. 3DS 2.0 оптимизирует процессы SCA, автоматически добавляя стандарты соответствия и исключения, чтобы обеспечить бесперебойную работу в банке.
