ČÁST I
Regulace PSD2
V lednu 2018 vešla v účinnost regulace Evropské unie s názvem PSD2 (Payment Service Directive), která přinesla změny v oblasti bezpečnosti a sjednocení plateb v rámci EU. Jako součást regulace byla vydána technická specifikace RTS (Regulatory Technical Standards) k posílení úrovně bezpečnostní ochrany a redukce objemu finančních podvodů. Klíčovým požadavkem je tzv. SCA, což je označení pro požadavek na silné ověření uživatelů při platbách na dálku.
Co je SCA (Strong Customer Authentication)?
SCA je nový evropský požadavek na zajištění bezpečnějších online plateb. Když držitel karty provede online platbu, budou v době transakce vyžadovány další úrovně autentizace, tedy ověření držitele.
V minulosti mohli zákazníci jednoduše zadat číslo své karty a ověřovací kód CVV u tzv. 3D Secure transakcí, ale s předpisy PSD2 budou v době platby vyžadovány další informace, případně ověření držitele karty.
SCA je více než jen zadávání hesla. Ověřování musí zahrnovat nejméně dvě z následujících ověřovacích metod:

Kromě „Znalosti“ mohou vaši zákazníci zkombinovat „Něco, co vlastní“, například jejich chytré hodinky, s „něčím, co jsou“, jako je otisk prstu. Tento přístup se často nazývá „dvou faktorová autentizace“, kdy z každé metody může být použita pouze jedna možnost.
Implementace změn
Od 7.6. 2019 jsou pro Vás k dispozici technické specifikace na stránkách https://www.gpwebpay.cz/ , včetně detailních informací k PSD2.
Současně, od 7.6. je připravena zodpovědět Vaše dotazy Aplikační podpora GPE, prosím kontaktujte nás na gpwebpay@gpe.cz.
O termínu pro implementaci změn v integraci na produkčním prostředí Vás budeme informovat.
PŘEDCHŮDCI PSD2: 3D Secure
Doposud je v kartových schématech (Visa, Mastercard) používán ověřovací nástroj nazvaný 3D Secure 1.0 jako způsob ověření transakcí platebními kartami během nákupu v e-shopu. Během online platby dochází k identifikaci držitele platební karty, přesměrováním na novou stránku, kde držitel zadá dynamický kód získaný z SMS zprávy zaslané jeho bankou. Takové řešení ovšem není moc pohodlné pro platby mobilem. Nová verze 3D Secure 2.0, která přichází v rámci PSD2 usnadní shromažďování informací od obchodníka a umožní řídit a rozhodovat o úrovni ověření držitele karty v době transakce. A v případě plateb mobilem (např. MasterPass) se zákazník může ověřovat pomocí biometrických prvků.
3DS 2.0 se využívá jako nástroj pro sdílení množství dat mezi obchodníkem, zpracovatelem a vydavatelem a tato data jsou využita k stanovení parametrů rizika. Čím více informací poskytnete během autentizace, tedy ověření držitele, tím vyšší je šance na autorizaci transakce ze strany vydavatele a snížení požadované úrovně ověření držitele karty.
Před požadavky na 3DS 1.0 (což byla prakticky první metoda ověření držitele karty prvkem, který se dynamicky mění s každou transakcí - například zaslání vygenerovaného kódu SMS zprávou z banky) a PSD2 měly vydávající banky obvykle pouze možnost identifikovat uživatele jedním statickým heslem, které si uživatelé museli pamatovat. A samozřejmě, na hesla se snadno zapomíná. Se SCA a 3DS 2.0 může být pro ověření identity uživatele použito více dynamických prvků. (Pozn. e-PIN není dynamickým prvkem).
Na využití 3D Secure se váže i tzv. “Liability Shift”, tedy jednoduše, ta strana (vydavatel nebo zpracovatel), která nemá naimplementován protokol 3D Secure nese finanční odpovědnost za transakce, které nejsou ověřeny tímto protokolem.
ČÁST II
SCA: Jak se nové silné ověření dle PSD2 dotkne Vás?
Nejprve si pojďme říci, jakých typů plateb se regulace týká. Silné ověření klienta se týká všech typů elektronických plateb včetně bankovních a kartových plateb, pokud takové platby nespadají do výjimek (o těch si řekneme dále). SCA je aplikováno na e-commerce, platby mobilem, platby na dálku, včetně plateb za přítomnosti karty a držitele. Týká se všech transakcí provedených kartou vydanou evropským vydavatelem a procesované evropským zpracovatelem. Toto ustanovení vyžaduje, aby platící zákazník byl ověřen tak, aby bylo prokázáno, že jde o skutečného, oprávněného držitele platební karty. K ověření platícího dojde ještě předtím, než je platba autorizována a finanční prostředky strženy z účtu držitele karty.
Jak už to tak bývá, všichni e-commerce obchodníci musí být v souladu s nařízením Evropské unie. Rozdělme si Vás, obchodníky do dvou skupin:
Obchodníci využívající platební bránu bez přidaných funkcí
U těchto obchodníků není nezbytně nutné něco technicky měnit. Je tu ale jedno velké “ale”, které může výrazně ovlivnit Vaše podnikání. Pokud žádné úpravy ve Vaší integraci platební brány neprovedete, bude po Vašich zákaznících vždy vyžadováno kompletní silné ověření, a tedy k dokončení nákupu na Vašem e-shopu přibudou další kroky. Věříme, že je jakýkoliv další krok navíc k dokončení nákupu u Vás nežádoucí a proto doporučujeme si Vaši stávající integraci rozšířit a maximálně tak eliminovat dopady na Vaše podnikání. Díky rozšíření integrace umožníte vydavatelům platebních karet pracovat s více daty o transakci a umožní jim nastavit vlastní rizikové parametry takzvané TRA (Transakční riziková analýza, dle TRS), které budou pro Vás i Vaše zákazníky ku prospěchu.
Obchodníci využívající platební bránu spolu s opakovanou platbou nebo uloženou kartou
(One-Click nebo registrovaná platba)
Bohužel v tomto případě musíte znovu integrovat platební bránu ve svých systémech, abyste byli v souladu s nařízením EU. Tato nová integrace platební brány je tedy povinná pro všechny obchodníky podporující transakce Opakovaná platba (Recurring; pro platby na proměnnou částku transakce) a Uložená karta (One-Click/Registrovaná platba). Pokud tento krok nebudete realizovat, od 1. 9. 2019 přestanou tyto transakce na Vaší platební bráně fungovat. Jistě si řeknete, že to je pro Vás náklad navíc, kdo jej bude hradit a zda jej není možné nějak obejít, například odchodem ke konkurenci. Můžeme Vám říci, že ani u konkurence se těmto krokům nevyhnete, pravidla jsou platná pro všechny poskytovatele platebních řešení v rámci celé Evropské unie.
Výjimky ze SCA
Záměrem PSD2 je vyžadovat SCA u všech online transakcí. Existují však určité výjimky z tohoto mandátu, a pokud váš acquirer ověření SCA vyžaduje, současně použije nejvhodnější typ výjimky pro daný typ transakce:
Výjimka z TRA (Transakční riziková analýza) může být acquirerem uplatněna při transakcích v hodnotě 100 – 500 EUR. Rozhodující “slovo” při uplatnění výjimek má ale vždy vydavatel.
- Transakce na nízké částky a s nízkým rizikem podvodu
Transakce do 30 EUR budou osvobozeny od SCA. Vydávající banka však bude sledovat výši provedených plateb.
Jakmile jsou překročeny limity součtu plateb bez SCA kumulativně ve výši 100 EUR/24 hodin bude vyžadováno SCA. Taktéž každou 5. transakci bude vyžadováno ověření držitele dle SCA ze strany vydavatele platební karty.
Transakce s nízkým rizikem jsou rovněž osvobozeny od SCA. Limity rizikovosti stanovuje vždy vydavatel platební karty.
- Předplatné nebo opakující se (recurring) transakce na pevnou částku
Pouze počáteční transakce bude vyžadovat SCA. Pokud se částka změní, bude 3D Secure požadováno pro každou novou transakci. To představuje výzvu pro opakující se transakce s proměnlivou hodnotou v čase. Některé produkty mají například variabilní cenu za období na základě použití. Tyto typy transakcí jsou považovány za „transakce iniciované obchodníky“. Ty jsou vyňaty z požadavků PSD2 a SCA
-
Důvěryhodní “Whitelisted“ obchodníci
Zákazníci mohou přidělit své oblíbené e-shopy do seznamu důvěryhodných příjemců plateb, který spravuje jejich vydavatel - tedy banka, která zákazníkovi vydala platební kartu. Důvěryhodní obchodníci budou osvobozeni od 3D Secure a SCA při dalších nákupech. Seznam „důvěryhodných obchodníků“ vytváří vydavatel, který je zodpovědný za případný dopad rizik z takových transakcí. Možnost přidat své důvěryhodné obchodníky ze strany držitele platební karty bude záviset na jeho vydavatelské bance.
- Inter-regionální transakce
Platby, u nichž vydavatel platební karty (issuer) nebo zpracovatel kartové transakce (acquirer) nemají sídlo v Evropské unii, se rovněž považují za osvobozené.
Závěrem
V příštích dílech našeho „seriálu“ o implementaci PSD2 v prostředí e-commerce vás seznámíme s požadavky změn u jednotlivých plateb prostřednictvím srovnávací tabulky.
English version
PART I
PSD2 Regulation
The European Payment Service Directive (PSD2) came into effect in January 2018 in order to strengthen security and harmonise payments across EU markets. Regulatory Technical Standards (RTS) have been published as part of the regulation to enhance security levels and reduce financial fraud. The key requirement is the so-called SCA, which is a requirement for strong user authentication for remote payments.
What is Strong Customer Authentication (SCA)?
SCA is a new European demand for safer online payments. When the cardholder makes an online payment, additional authentication levels, ie, the cardholder's verification, will be required at the time of the transaction.
SCA is more than just entering a password. Verification must include at least two of the following authentication methods:
In addition to "Knowledge", your customers can combine "Something They Own", such as their smart watches, with "Something they are" like fingerprint. This approach is often called "two-factor authentication" where only one option can be used from each method.
Implementation Changes Timeline
On June 7th 2019 are technical specifications available on https://www.gpwebpay.cz/ , including detailed information to PSD2.
At the same time, from June 7th, 2019 you may contact GPE Application Support Team, that is ready to assist you and reply to your PSD2 concerns. Please, contact us on gpwebpay@gpe.cz.
We will inform you about the deadline for implementing changes in integration in the production environment.
Pre- PSD2: 3D Secure
So far, a verification tool called 3D Secure 1.0 (developed by card schemes /e.g. Visa, Mastercard) is used as a way of verifying payment card transactions during an e-shop purchase.
At the time of online payment, the cardholder is identified by redirecting to a new page where enters the dynamic code obtained from the SMS message sent by his / her bank. However, such a solution is not very convenient for mobile payments.
The new version of 3D Secure 2.0, which comes with PSD2, will facilitate the collection of information from the merchant and allow to control and decide on the level of cardholder authentication at the time of the transaction.
And in the case of mobile payments (eg MasterPass), the customer can verify himself using biometric features.
3DS 2.0 is used as a tool for sharing the data between a merchant, processor and issuer, and these data are used to determine the level of risk. The more information you provide at the time of authentication, that is, the cardholder's verification, the greater the chances of the issuer authorizing the transaction and reducing the required cardholder's verification level.
Prior to requests for 3DS 1.0 (which was practically the first method of cardholder authentication by an element that dynamically changes with each transaction - such as sending generated code by SMS from a bank) and PSD2 - issuing banks usually only had the ability to identify a user with one static password which users had to remember.
And of course, passwords are easy to forget. With SCA and 3DS 2.0, multiple dynamic elements can be used to verify user identity. (Note that the e-PIN is not a dynamic element).
The use of 3D Secure is also linked to the so-called “Liability Shift”, i.e. simply that party (issuer or acquirer) that has not implemented the 3D Secure protocol bears financial responsibility for transactions not verified by this protocol.
PART II
SCA: How does the new strong PSD2 verification affect you?
First, let's say what types of payments the regulation is about. Strong client verification applies to all types of electronic payments, including bank and card payments, if such payments are not covered by the exceptions (we will discuss them further).
SCA is applied to e-commerce, mobile payments, and remote payments, including cardholder payments. It applies to all card transactions issued by a European issuer and processed by a European acquirer.
This provision requires the paying customer to be verified to prove that it is a genuine, authorized cardholder. Paying validation will occur before the payment is authorized and funds are debited from the cardholder's account.
As is the case, all e-commerce merchants must comply with European Union regulations. Let's split you, merchants into two groups:
It is not absolutely necessary for such merchants to undergo technical changes. But there is still one big "however" that can significantly affect your business.
If you do not make any adjustments to your payment gateway integration, your customers will always be required to undergo a complete strong verification and thus additional steps are required to complete the purchase at your e-shop.
We believe that any further steps in addition to completing the purchase is undesirable, so we recommend expanding your existing integration to maximize your business impact.
By expanding the integration, you will enable payment card issuers to work with more transaction data and allow them to set their own risk parameters, the so-called TRA (Transaction Risk Analysis, according to TRS), that will benefit you and your customers.
Merchants using a payment gateway with a Recurring and One-Click payments
Unfortunately, in this case you have to re-integrate the payment gateway in your systems to comply with the EU Regulation.
This new payment gateway integration is mandatory for all merchants supporting Recurring (payments on variable transaction amount) and One-Click (on registered cards) transactions.
If you do not implement this change, from September 1, 2019, these transactions will cease to operate on your payment gateway.
You will surely say that this is an extra cost for you, asking who will pay for it and whether it can be bypassed, for example, by going to the competition.
We affirm you, that even with competitors, these steps will not be avoided, since the regulation is mandate to all payment solution providers throughout the European Union.
PSD2 intends to require SCA for all online transactions. However, there are some exceptions to this mandate, and if your acquirer requires SCA, it will also use the most appropriate exception type for given transaction type:
Acquirer may apply an exemption from TRA (Transaction Risk Analysis) to transactions of 100 - 500 EUR. However, the issuer always has a determent word when applying exceptions.
- Transactions on low amounts and with a low risk
Transactions up to EUR 30 will be exempt from SCA. However, the issuing bank will monitor the amount of payments made. SCAs will be required as soon as the total sum of payments without SCA is cumulatively 100 EUR / 24 hours.
Also, every 5th transaction will require a SCA cardholder verification by the credit card issuer.
Low risk transactions are also exempt from SCA. The risk level is always set by the card issuer.
- Subscription or recurring transactions on a fixed amount
Only the initial transaction will require SCA. If the amount changes, 3D Secure will be required for each new transaction.
This poses a challenge for recurring transactions with variable value over time.
For example, some products have a variable price over time based on usage.
These types of transactions are treated as "merchant initiated transactions" (MIT) and are exempt from the PSD2 and SCA.
- Trustworthy “Whitelisted “merchants
Customers can assign their favourite e-shops to the list of trusted merchants managed by their issuer - the bank that issued the payment card to the customer.
Trusted merchants will be exempted from 3D Secure and SCA for further purchases.
The list of "trusted merchants" is created by the issuer who bears responsibility for the potential impact of the risks arising from such transactions.
The ability to add trusted merchants by the cardholder will depend on his/her issuing bank.
- Inter-regional transactions
Payments where the issuer or acquirer is not established in the European Union are also deemed to be exempt. In Conclusion
In the next episode of our "series" on PSD2 implementation in the e-commerce environment, we will introduce you to the requirements for changes applicable on individual types of payments through a comparison table.