Jaké změny v zabezpečení karetních plateb nás od září čekají?
- Od 14. září 2019 se zpřísní požadavky na zabezpečení plateb kartou on-line. Požadavek se ale nebude vztahovat na všechny transakce.
- Za implementaci změn jsou zodpovědné banky, které vydávají platební karty.
- Provozovatelé e-shopů využívající služby platební brány nemusí nic měnit.
- Je možné, že klienti některých bank nebudou moci v některých případech zaplatit kartou, a tak bude výhodné nabídnout jim i např. platební tlačítka
Silné ověření uživatele
Silné ověření uživatele (Strong Customer Authentication) je nový požadavek na zajištění bezpečnějších online plateb. Když držitel karty provede online platbu, musí být nově ověřen přes kombinaci dvou různých způsobů ze tří možných:
- údaj, který zná jen uživatel (např. přihlašovací údaje, heslo, pin),
- věc, kterou má u sebe uživatel (např. karta, mobil, token),
- biometrické údaje (např. otisk prstu).
Jak budou tuto situaci řešit banky?
Podle všeho dnešní 3D secure ověření pomocí hesla zaslaného v SMS postačovat nebude: karta i mobil, na který je zaslaný kód, spadají do stejné kategorie “uživatel má u sebe”. Banky vydávající karty se zřejmě vydají dvěma směry: Jednak se budou snažit mezi své zákazníky co nejvíce rozšířit novou aplikaci mobilního bankovnictví, která bude po přihlášení (pin, otisk prstu) poskytovat funkčnost ověřování plateb provedených na internetu. Nebo, pro zákazníky nepoužívající mobilní aplikaci, zavedou nový tzv. e-PIN, který bude nutné zadávat při 3D Secure ověření. Příkladem takového přístupu je služba KB Klíč Komerční Banky, která dnes slouží k přihlašování do elektronického bankovnictví, ale lze předpokládat, že půjde lehce využít i pro “silné ověření” karetních transakcí.
V jakých situacích nebude silné ověření vyžadováno?
Z pravidla silného ověření existují výjimky, na základě kterých se může vydavatel karty rozhodnout nevyžadovat po uživateli silné ověření při platbě na e-shopu. Jde o:
- Transakce s nízkou hodnotou (do 30 EUR), což se týká většiny bezkontaktních plateb. Nicméně i zde se musí banky zkontrolovat držitele karet vždy po páté transakci, nebo když bezkontaktní platba přesáhne 150 EUR.
- Běžné platby - zatím poněkud nejasná definice. Banky nemusí požadovat ověření pro platby, které děláte často nebo pravidelně. To bude od banky vyžadovat pokročilé nástroje analýzy chování a hlavně odhalování odchylek od zavedených “vzorců”.
- Platby u důvěryhodných prodejců: zde by měl mít každý uživatel možnost povolit u své banky (vydavatele karet) konkrétní obchody, kde ověření nebude třeba. Předpokládáme, že by toto mohlo být jednou z funkcí internetového bankovnictví, ale zatím žádná z bank takovou funkci neoznámila.
- Firemní platby: Placení firemní kartou. Podle regulátora takové platby už podléhají přísným kontrolám, jsou považovány za nízkorizikové a SCA tak u nich není vyžadováno.
Podrobné vysvětlení přináší na svých stránkách VISA
Jak se změna dotkne provozovatelů e-shopů?
Provozovatele e-shopů, kteří používají služby platebních bran, jako je např. platební brána ComGate, nemusí s příchodem platnosti nové regulace dělat žádné změny.
Je možné, že ne všechny banky stihnout připravit a rozšířit mezi své zákazníky potřebné služby pro silné ověření karetních transakcí. Pro jejich klienty tak nebude vždy možné zaplatit kartou na internetu. Pokud ve svém e-shopu nabízíte pouze platby kartou, můžete pocítit větší procento nedokončených transakcí. Platební brána vám umožní nabídnout další platební metody, jako jsou bankovní platební tlačítka. Ta by měla přinést dostatečnou alternativu pro klienty, kterým karetní platby zpočátku nemusí fungovat.