EU direktiva PSD2 - sigurnost online kupovine kao prioritet

Ivana Mijić

Kako bi osnažila i dinamizirala financijsko tržište, potakla inovacije i konkurenciju, ali i učinila poslovanje sigurnijim, Europska unija je donijela direktivu o uslugama plaćanja, tzv. "Payment Services Directive 2", skraćeno poznatu kao "PSD2". Ova je direktiva službeno stupila na snagu u siječnju 2016., a banke i druge financijske institucije, kao i zemlje članice, dobile su određeno vremensko razdoblje za prilagodbu direktivi. Vremenski rokovi i datumi bili su različiti za pojedine segmente direktive a ovih dana, točnije 14. rujna, počinje se primjenjivati dio PSD2 koji se odnosi na sigurnost online plaćanja. U ovom tekstu pojašnjavamo što to točno znači za online kupce i, naročito, online trgovce. Čitajte pažljivo, osobito ako ste online trgovac, i slobodno nam se obratite za dodatna pojašnjenja i informacije!

PSD2 propisuje da sve kartične transakcije iznad 30€ moraju proći Pouzdanu autentifikaciju klijenta "Strong Customer Authentication" (SCA) kroz tzv. Dvofaktorsku provjeru autentičnosti "Two Factor Authentication" (2FA) prema kojoj kupac treba zadovoljiti specifične faktore iz minimalno dvije od tri pretpostavljene kategorije - "znanje""posjedovanje" i "autentičnost".  

psd2

Znanje se odnosi na ono što samo kupac može znati - poput lozinke, PIN-a, sigurnosnog pitanja, posjedovanje se odnosi na ono što kupac posjeduje - poput fizičkog tokena ili mobilnog telefona, dok autentičnost predstavlja neotuđivi dio kupca – biometrijske elemente poput otiska prsta, glasovne identifikacije, prepoznavanja lica...

Prilikom direktne kupovine kreditnom karticom, fizička kartica zadovoljava faktor posjedovanje dok pripadajući PIN zadovoljava kategoriju znanje i u tom segmentu poslovanja ova direktiva neće znatnije utjecati na proces kupovine.

Za zadovoljavanje PSD2 direktive u slučaju odobravanja kartičnih online transakcija biti će potrebno implementirati sigurnosni protokol sa uključenim dodatnim stupnjem provjere o fizičkom posjedovanju kartice.

"3D Secure 2.0" (3DS2) je takav novi protokol odobravanja online kartičnih plaćanja koji osigurava "Strong Customer Authentication" (SCA) razinu sigurnosti pružajući različite mogućnosti provođenja dvofaktorne verifikacije. Na primjer, jednokratna lozinka (One Time Password - OTP) može se koristiti kao faktor znanja, dok bio-metrički faktor poput otiska prsta zadovoljava faktor autentičnost. Jednokratne zaporke moguće je poslati putem tokena, SMS ili e-mail poruke o čemu će odlučivati neovisno izdavatelji kartica pa se mogu očekivati različite varijante iskustava korisnika.

psd2 2

Provedba PSD2 direktive, odnosno uključivanje dvofaktorske provjere autentičnosti (2FA) prilikom autorizacije kartičnih transakcija, zasigurno će poboljšati sigurnost online kupovine, ali je moguće da će izazvati i određenu konfuziju i nezadovoljstvo među kupcima, odbijanja transakcija i odustajanja od kupnji.

Što trebate napraviti ukoliko imate web trgovinu?
Web trgovci će morati provjeriti da li u segmentu verifikacije kartičnih transakcija imaju uključene metode koje zadovoljavaju parametre donesene direktive te, ukoliko nemaju, će ih morati nadograditi i/ili ponuditi alternativne metode.

Savjetujemo vam:

  • Kontaktirajte isporučitelja usluge provođenja naplate koju koristite i provjerite da li imate implementiranu 3DS2 metodologiju verificiranja transakcija ili samu mogućnost uključivanja navedene funkcionalnosti do 14.9. Ukoliko nemate, više nećete moći poslovati online - odnosno dosadašnji način plaćanja karticom iza 14. 9. više neće biti legalan.
  • Razmotrite uvođenje dodatnih oblika naplate poput Settle, KeksPay i sličnih aplikacija koje u svojim sustavima već imaju ugrađene 2FA metode verifikacije i time zadovoljavanju SCA direktivu. Perpetuum vam tu može pomoći!

Ukoliko imate dodatnih pitanja o tome kako PSD2 direktiva utječe na poslovanje vašeg web shopa - kontaktirajte nas, Perpetuum tim će vam rado ponuditi dodatna objašnjenja i odgovore.