PSD2: Alles over Strong Customer Authentication

Blog van onze business partner Adyen

Ayen

In voorgaande blogs van Adyen keken we uitgebreid naar de belangrijkste veranderingen die je kunt verwachten van PSD2, de nieuwe Europese richtlijn voor het betalingsverkeer van consumenten en bedrijven. We lieten zien welke impact deze herziene versie kan hebben op verschillende bedrijven. In deze blog bespreken we Strong Customer Authentication (SCA), een onderdeel van de wetgeving die noodzakelijk is voor ecommerce-betalingen.

Maar wat is SCA precies, hoe kun jij je hierop voorbereiden en welke vrijstellingen zijn er mogelijk?

Wat is Strong Customer Authentication (SCA)?

SCA is een nieuwe regel die bedoeld is om online betalingen veiliger te maken. Wanneer een Europese consument een betaling doet, is er op het moment van de transactie uitgebreidere authenticatie vereist.

Voorheen was het voldoende als een klant zijn creditcardnummer en CVC code (verificatiecode) invoerde. Maar met de PSD2-voorschriften is vanaf nu meer informatie nodig. Er zijn echter uitzonderingen, die we later in deze blog bespreken.

Eerder werd een authenticatiemethode - genaamd 3D Secure 1.0 - gebruikt door card schemes (creditcardmerken) om ecommerce creditcardbetalingen te verifiëren. Consumenten werden dan doorgestuurd naar een nieuwe pagina waar ze een code konden invoeren. 3D Secure 1.0 keek dan of de klant werkelijk was wie hij zei dat hij was. Maar nu is er 3DSecure 2, dat het veel gemakkelijker maakt om SCA-informatie te verzamelen tijdens de betaling.

Hoe PSD2 SCA definieert

Vóór SCA en 3DSecure 2 vroegen uitgevende banken hun gebruikers om één wachtwoord te onthouden. En dat ene wachtwoord werd gemakkelijk vergeten.

Nu worden er meer dynamische gegevens gebruikt om de identiteit van gebruikers te bevestigen. We vertrouwen niet meer alleen op het traditionele ‘iets dat je weet (een wachtwoord)’, maar breiden dat uit met ‘iets wat je bezit (een smartphone)’ en ‘iets wat je bent (een vingerafdruk)’. Deze benadering wordt ook wel two factor authentication (tweestapsverificatie) genoemd.

We gaan hier dieper op in:

Het aantal stappen dat iemand moet doorlopen, neemt dus toe. Maar wanneer de klant zelf zou mogen kiezen voor welke authenticatievorm hij gaat, zou dat leiden tot betere authenticatie-ervaringen en minder drop-offs.

SCA-vrijstellingen

In principe is SCA verplicht voor online creditcardtransacties, maar er zijn een aantal uitzonderingen. Voor elke transactie bekijkt jouw acquirer of er van een uitzondering gebruik gemaakt mag worden. Deze uitzonderingen zorgen ervoor dat consumenten kunnen blijven genieten van prettige winkelervaringen, terwijl hun grotere en minder frequente betalingen extra beveiligd worden.

Dit zijn een aantal belangrijke vrijstellingen:

Transacties met kleine bedragen en een laag risico

Transacties onder de dertig euro zijn vrijgesteld van SCA. De issuer (kaartuitgevende bank) houdt echter wel de bedragen van meerdere betalingen in de gaten. Mocht het totale transactiebedrag -zonder SCA- hoger zijn dan honderd euro, is SCA alsnog verplicht. SCA is om de vijf transacties ook verplicht.

Transacties met een laag risico zijn ook vrijgesteld van SCA. Bij de beoordeling van een transactie met een mogelijk laag risico, wordt er gekeken naar het gemiddelde fraude niveau van de kaartuitgever en de acquirer die de transactie verwerkt.

Abonnement of terugkerende transacties

Abonnement- en terugkerende transacties met een vast bedrag worden de eerste keer gevalideerd. Alleen bij de eerste transactie is SCA vereist. Maar als het bedrag verandert, is 3D Secure verplicht voor elk nieuw bedrag.

Dit vormt een uitdaging voor sommige terugkerende businessmodellen met een 'variabel bedrag' waarin de waarde in de loop van de tijd verandert. Sommige producten hebben bijvoorbeeld variabele kosten die verschillen per periode. Gelukkig worden deze transacties bestempeld als 'door de verkoper geïnitieerde transacties'. Dat betekent dat ze zijn vrijgesteld van de vereisten van PSD2 en SCA.

Voor de meeste abonnementsbetalingen is geen SCA nodig, omdat ze meestal geïnitieerd worden door de merchant en niet door de kaarthouder.

Whitelisted merchants

Klanten kunnen bedrijven opnemen in een zogenaamde whitelist van ‘Trusted Beneficiaries’. Deze lijst wordt beheerd door de bank van de consument. Verkopers op de witte lijst zijn vrijgesteld van 3D Secure. Zo hebben klanten die vaak winkelen bij een bepaald bedrijf SCA niet meer nodig.

MOTO-transacties

Verwerking van bestellingen per mail of telefoon (MOTO-transacties) zijn in alle gevallen vrijgesteld van SCA. Deze transacties worden niet gezien als elektronische betalingen, dus de verordening is hier niet toepasbaar.

Interregionale transacties

Betalingen waarbij de issuer of acquirer van de kaart niet in Europa is gevestigd, worden ook vrijgesteld. Europese bedrijven kunnen dus zonder problemen betalingen van shoppers buiten Europa accepteren.

B2B-transacties

Betalingen tussen twee bedrijven zijn vrij van SCA, op voorwaarde dat ze een betaalmethode gebruiken dat speciaal bedoeld is om dergelijk B2B-betalingen te doen. De lijst met uitzonderingen en out-of-score scenario’s is echter groot en sterk afhankelijk van de interpretatie op het gebied van regelgeving.

Gelukkig is er goed nieuws voor onze klanten. Met onze 3D Secure-service navigeren we bedrijven door dit doolhof van regels en uitzonderingen. Zo laten we klanten automatisch profiteren van eventuele vrijstellingen. Dit betekent dat jouw consumenten alleen hoeven te authenticeren wanneer dit strikt noodzakelijk is.

Belangrijke data (EN)

Voorbereiden op PSD2 met 3D Secure 2

Om aan alle vereisten van PSD2 te voldoen en 3D Secure te verbeteren, heeft EMVco, een organisatie bestaande uit vertegenwoordigers van grote creditcardmerken en leiders in de betaalsector, het 3D Secure 2-protocol bedacht. Het doel van deze organisatie is om authenticatie veiliger en dynamischer te maken. Zo is een onhandige omleiding voor je klanten niet meer nodig. In plaats daarvan is een vingerafdruk of gezichtsherkenning al voldoende. 3D Secure 2 maakt gebruik van gecertificeerde SDK's en API's om belangrijke authenticatiegegevens met banken te delen en om de integratie van authenticatiestromen in websites en apps soepel te laten verlopen. Dat terwijl alles voldoet aan de SCA-vereisten van PSD2. SCA zal de nodige uitdagingen creëren voor bedrijven, maar onze 3D Secure 2-oplossing helpt de klap te verzachten. We hopen dat je vertrouwen hebt in de aangepaste regelgeving, nu je weet hoe PSD2 en SCA zich verhouden tot elkaar.

Weet dat wij je graag willen helpen met welke vraag dan ook. Laat het ons weten.

Bekijk de website van Adyen voor meer informatie over het betaalplatform.

Webinar terugkijken

Op 11 juni namen we je samen met onze business partner Adyen mee in hoe je betalingen veilig kunt verwerken via je webshop en hoe je de conversie zo hoog mogelijk houdt. Je leert alles over het (Nederlandse) betaallandschap en alles over de nieuwe wet- en regelgeving in deze webinar. 

Bekijk de webinar terug