V souvislosti s implementací evropské směrnice PSD2 dochází při platebních transakcích k vícenásobnému ověření zákazníka, tzv. silnému ověření klienta na straně jeho vydavatele. Může docházet k tomu, že zákazník transakci zruší, nebo dojde k překročení času pro dokončení nákupu ve Vašem e-shopu.
Pro urychlení celého procesu, je nutné rozšířit parametr ADDINFO o další údaje o zákazníkovi. Teprve poté může dojít k uplatnění výjimek na straně vydavatele platební karty (TRA /Transaction Risk Analysis). Vyplněním polí pomůžete také našemu bezpečnostnímu monitoringu lépe odhalovat případné podvodné transakce.
Implementace musí být dokončena do 30.září 2021. V souvislosti s tím je také nezbytné změnit Obchodní podmínky Vašeho e-shopu, kde v části GDPR doplníte informace týkající se souhlasu zákazníků s poskytnutím jejich identifikačních údajů.
__________________________________________________________________________________
V lednu 2018 vešla v účinnost regulace Evropské unie s názvem PSD2 (Payment Service Directive), která přinesla změny v oblasti bezpečnosti a sjednocení plateb v rámci EU. Jako součást regulace byla vydána technická specifikace RTS (Regulatory Technical Standards) k posílení úrovně bezpečnostní ochrany a redukce objemu finančních podvodů. Klíčovým požadavkem je tzv. SCA, což je označení pro požadavek na silné ověření uživatelů, tedy Vašich zákazníků, při platbách na dálku.
Týká se všech transakcí provedených kartou vydanou evropským vydavatelem a procesované evropským zpracovatelem. Toto ustanovení vyžaduje, aby platící zákazník byl ověřen tak, aby bylo prokázáno, že jde o skutečného, oprávněného držitele platební karty s ohledem na oprávněný zájem na provedení transakce. K ověření platícího zákazníka dojde ještě předtím, než je platba autorizována a finanční prostředky strženy z účtu držitele karty.
V současné době u všech e-commerce transakcí dochází k silnému ověření držitele karty a cílem karetních schémat je umožnit vydavatelským bankám uplatnění výjimky pomocí TRA (Transaction Risk Analysis) – transakční rizikové analýzy.
TRA (Transaction Risk Analysis)
Když držitel karty provede online platbu, budou v době transakce vyžadovány další úrovně autentizace, tedy ověření držitele u vydavatele platební karty. Díky rozšíření integrace umožníte vydavatelům platebních karet pracovat s více daty o transakci a umožníte jim nastavit vlastní rizikové parametry TRA (dle RTS), které budou pro Vás i Vaše zákazníky ku prospěchu.
V případě výjimky TRA nejsou při transakci vyžadovány všechny požadované způsoby ověření a pokud by došlo k reklamaci transakci, tak zodpovědnost za případnou škodu je na straně vydavatele platební karty.
Aby nákupní proces proběhl bez přerušení, karetní schémata vyžadují předávání níže uvedených dat při každé platbě kartou. Tímto může dojít k uplatnění výjimky TRA ze silného ověření uživatele na straně vydavatele platební karty:
-
Jméno (Name)
-
E-mailová adresa (Email address)
-
Domácí telefonní číslo (Home phone number)
-
Číslo mobilního telefonu (Mobile phone number)
-
Fakturační adresa (Billing address)
-
Dodací adresa (Shipping address)
Na Vaší straně je nutné provést změny ve stávající integraci s využitím API HTTP.
V tomto případě budete implementovat a využívat rozšířený parametr ADDINFO pro předávání výše uvedených dat (viz aktuální verze dokumentu “GP webpay API HTTP – Technická specifikace”, která je dostupná na tomto odkazu: https://www.gpwebpay.cz/Download.html ).
Současně upozorňujeme, že předávání výše uvedených údajů v rámci autentizačního procesu musí být v naprostém souladu s GDPR pravidly. Výše uvedená data jsou ukládána pouze u vydavatelů platebních karet. Požadujeme, abyste v rámci informací o zpracování osobních údajů informovali držitele platebních karet o skutečnosti, že jejich výše uvedené osobní údaje budou sdíleny s vydavatelem platební karty za účelem možné výjimky TRA, která umožní jednodušší nákupní proces. Jako titul pro přenos údajů doporučujeme využít oprávněný zájem obchodníka na zpracování transakce.
Dotazy a požadavky na podporu při implementaci zasílejte na e-mailovou adresu [email protected] .
Dovolujeme si Vás požádat, abyste požadované změny s předáváním dodatečných informací implementovali nejpozději do 30.9.2021.
English version
PSD2 – ADDINFO Parameter Mandated Changes, by September 30th, 2021
In connection with EU PSD2 Directive there is multiple cardholder authentication required according to the SCA (Strong Customer Authentication) mandate, on the issuer side. This might result on the customer side into cancelling the transaction, or to time-out for finishing the purchase in your e-shop.
To speed up the whole process, it is necessary to extend the ADDINFO parameter with additional customer data . Only then can exceptions be invoked by the issuer of the payment card (TRA/ Transaction Risk Analysis). By submitting all the fields you may help the security monitoring to better detect possible fraudulent transactions.
The implementation must be completed by September 30th, 2021. In connection with this, it is also necessary to change the Terms & Conditions of your e-shop, where in the GDPR section you will add information concerning the consent of customers to the provision of their identification data.
Follow our website for answers to your questions.
_________________________________________________________________________________
In January 2018, a European Union regulation known as the PSD2 (Payment Services Directive) entered into force, bringing changes to the security and unification of payments within the EU. As part of this regulation, the RTS (Regulatory Technical Standards) technical specification was issued to strengthen the level of security protection and reduce the volume of financial fraud. One key requirement is for SCA (strong customer authentication) for users – meaning your customers – when making remote payments.
This applies to all transactions using cards issued by European issuers and processed by European processors. This provision requires the paying customer to be authenticated in such a way as to demonstrate that they are the genuine, authorised holder of such payment card and have a legitimate interest in the performance of the transaction. The paying customer will be authenticated before the payment is authorised and the funds deducted from the cardholder’s account.
Currently, all e-commerce transactions are subject to strong cardholder authentication and the goal of the card schemes is to enable the issuing banks to apply the TRA (Transaction Risk Analysis) exemption.
TRA (Transaction Risk Analysis)
When a cardholder makes an online payment, another level of authentication – meaning authentication of the holder with the payment card issuer – will be required at the time of the transaction. The extension of integration means you will enable payment card issuers to work with more transaction data and enable them to set their own TRA risk parameters (hereinafter “RTS”), which will be of benefit to both you and your customers.
With the application of the TRA exemption, all the authentication methods are not required during a transaction and in the event of a complaint about such a transaction, the payment card issuer will be liable for any loss.
To ensure the payment process is uninterrupted, the card schemes require the transfer of the data indicated below for every card payment. This may result in the application of the TRA exemption from strong customer authentication by the payment card issuer:
-
Name
-
Email address
-
Home phone number
-
Mobile phone number
-
Billing address
-
Shipping address
You will need to make changes in the existing integration using an HTTP API.
In this case, you will implement and use the extended parameter ADDINFO for the transfer of the above data (see the current version of the “GP webpay API HTTP – Technical Specification” document, which is available here: https://gpwebpay.cz/en/Download.html ).
At the same time, please note that the transfer of the above data as part of the authentication process must be in full compliance with GDPR rules. The above data are stored only with the payment card issuers. We are asking that, as part of the information about the processing of personal data, you inform the payment card holders that their indicated personal data will be shared with the payment card issuer for the possible application of the TRA exemption, which will make the purchase process simpler. We recommend using the merchant’s legitimate interest in the processing of the transaction as the grounds for the data transfer.
Please send any queries and implementation support requests to the email address [email protected].
We would also like to ask you to implement the required changes relating to the transfer of additional information no later than 30 September 2021.