Строгая аутентификация клиента: Европейский стандарт для безопасных платежей

В сентябре 2019 года в Европейском союзе и других странах Европейской экономической зоны (ЕЭЗ) вступают в силу новые требования к аутентификации онлайн-платежей. Они являются частью второй Директивы о платежных услугах, которая также известна как PSD2. Реализация всех требований, скорее всего, будет завершена только в 2021 году. Важной частью PSD2 является строгая аутентификация клиентов (также известная как SCA или PSD2 SCA).

В настоящее время предприятия, расположенные в США, обычно не подпадают под действие правил SCA благодаря так называемому исключению «одной ноги». Для сделок, в которых одна из сторон — продавец или покупатель — находится за пределами ЕЭЗ, строгая аутентификация клиента не требуется. Это означает, что даже если вы продаете товар клиенту в ЕЭЗ, как американская компания вы, как правило, не обязаны проводить SCA.

Тем не менее, рекомендуется ознакомиться с PSD2 SCA. Для компаний электронной коммерции, которые ведут большой бизнес в ЕС, есть свои преимущества в том, что они уже внедрили правила SCA. И есть много людей, которые считают, что это лишь вопрос времени, пока США не возьмут пример с Европы и не примут эти правила.

Итак, что представляет собой регламент SCA и что он означает для платежей в будущем? Какие платежи подпадают под его действие и каковы исключения? Продолжайте читать, чтобы узнать ответы на эти и другие вопросы.

Что такое строгая аутентификация клиента?

Строгая аутентификация клиента — это часть новых правил ЕС, которые призваны сделать онлайн-платежи более безопасными за счет снижения возможностей для мошенничества. Ее главная особенность заключается в добавлении дополнительного этапа аутентификации перед подтверждением платежа.

Согласно руководству PSD2 SCA, транзакция будет считаться подтвержденной только в том случае, если выполняются два из трех следующих критериев:

  1. Знание: Пользователь вводит пароль или PIN-код, который известен только ему.
  2. Владение: Пользователь совершает платеж с помощью устройства, которое принадлежит только ему (например, смартфон, ноутбук, смарт-часы, чиповая карта или аппаратный токен).
  3. Неприкосновенность: Пользователь идентифицирует себя, используя, например, отпечаток пальца, сканирование лица или распознавание голоса.
Примечание

Европейское банковское управление составило обширный список элементов, которые, по их мнению, могут использоваться для аутентификации в соответствии с регламентом SCA.

Таким образом, строгая аутентификация клиента — это тип двухфакторной аутентификации, который обеспечивает дополнительную уверенность в том, что пользователь действительно является тем, за кого себя выдает.

Эта идея уже является неотъемлемой частью многих областей цифровой жизни, но до сих пор не было необходимости внедрять этот дополнительный уровень безопасности для онлайн-транзакций. До сих пор клиент мог просто ввести свои платежные данные и подтвердить покупку. Некоторые компании уже давно используют двухфакторную аутентификацию, а теперь она стала обязательным требованием для каждой компании в ЕЭЗ.

Когда и почему был введен PSD2 SCA?

Пересмотренная Директива о платежных услугах была введена еще в сентябре 2019 года (и дает онлайн-торговцам время до 2021 года, чтобы полностью реализовать ее требования). Однако история строгой аутентификации клиентов уходит корнями в далекое прошлое.

Регламент SCA основан на трех ключевых областях из законодательства ЕС 2007 года. Тогда, как и сейчас, наиболее важными соображениями были:

  1. Укрепление прав потребителей в платежных операциях.
  2. Создание равных условий конкуренции с помощью регулирования доступа третьих лиц к информации о счетах.
  3. Повышение безопасности для всех участвующих сторон.

Эти соображения были реализованы в первой версии Директивы о платежных услугах. С тех пор платежные технологии развивались с поразительной скоростью, увеличилось количество онлайновых платежных шлюзов и сторонних провайдеров (TPP). Эти провайдеры предлагают потребителям новые возможности для быстрого и простого осуществления платежей, но также открывают возможности для доступа продавцов к информации о счетах клиентов.

Таким образом, доступ к счетам потребителей стал более или менее открытым, что привело к увеличению рисков безопасности. Реакция ЕС последовала относительно быстро в виде четких правил, определяющих, каким образом ТПП и платежные шлюзы могут получать доступ к счетам клиентов.

Строгая аутентификация клиента — это следующий шаг в сокращении мошенничества при онлайн-транзакциях. Ее применение для продавцов за пределами Европейской экономической зоны является сложным и в значительной степени зависит от места расположения предприятия и его дочерних компаний. Предприятия, расположенные за пределами ЕЭЗ, должны тщательно проверить, подпадают ли они под действие правил SCA.

Европейский закон, потенциально затрагивающий стороны за пределами ЕЭЗ — это один из аспектов, который делает новые правила SCA такими сложными в применении. Поэтому поставщики платежных услуг попросили отложить сроки внедрения PSD2 SCA. И действительно, обязательный срок еще не установлен.

Какая технология лежит в основе строгой аутентификации клиентов?

3D Secure — это наиболее используемый протокол аутентификации для онлайн-платежей. Он поддерживается большинством европейских дебетовых и кредитных карт и поэтому используется наиболее часто. Непосредственно перед завершением процесса оплаты пользователя просят предоставить дополнительную информацию. Это может быть номер транзакции или отпечаток пальца, введенный в банковском приложении.

Для соответствия требованиям PSD2 SCA выпускается новая версия 3D Secure 2, которая делает протокол аутентификации основным методом проверки подлинности платежей по кредитным/дебетовым картам в Интернете. Улучшения в новой версии в основном связаны с удобством для пользователей, чтобы онлайн-платежи можно было проводить быстро и легко, несмотря на дополнительный этап аутентификации.

Apple Pay и Google Pay уже обрабатывают онлайн-платежи с интегрированным шагом аутентификации. Оба сервиса внедрили биометрические и защищенные паролем шаги без ущерба для удобства пользователей — отличные примеры для технологии, лежащей в основе PSD2 SCA.

Какие операции требуют строгой аутентификации клиента?

PSD2 SCA применяется всякий раз, когда клиент в Европейской экономической зоне переводит деньги или хочет получить доступ к своему банковскому счету. Это означает, что строгая аутентификация клиента требуется, когда:

  1. Клиент получает доступ к своему банковскому счету через Интернет.
  2. Клиент инициирует процесс электронного платежа.
  3. Клиент подвергается риску мошенничества при проведении платежной операции в Интернете.

Как и в любом законе, в отношении строгой аутентификации клиентов возможны исключения. Например, когда речь идет о платежах по подписке, строгая аутентификация требуется только при первоначальной покупке подписки. Другие возможные исключения включают платежи с низким уровнем риска, для которых строгая аутентификация клиента просто не нужна и даже может быть неудобной.

Примечание

Не каждый банк может легко интегрировать дополнительные шаги аутентификации в свои процессы. Если можно доказать, что безопасность и минимизация рисков обеспечиваются другими способами, исключения возможны и в этом случае.

Существует также исключение для переводов небольших сумм денег: Операции стоимостью 30 евро и менее не подпадают под действие правил PSD2 SCA. Чтобы предотвратить накопление мелких случаев мошенничества, существуют дополнительные правила для небольших транзакций:

  1. Банки должны проводить строгую аутентификацию клиента для транзакций, совершенных с помощью карты, которая использовалась пять раз без новой аутентификации, даже если транзакция обычно подпадает под исключение.
  2. Если стоимость транзакций-исключений превышает 100 евро, правила SCA будут применяться к следующей транзакции независимо от ее стоимости.

Эти исключения особенно пригодятся малому бизнесу. Однако важно помнить, что последнее слово о том, применимы ли эти исключения или нет, остается за банком клиента. Чтобы не потерять клиентов, целесообразно предложить несколько вариантов оплаты, которые уже соответствуют PSD2 SCA.

Оцените статью
cdelat.ru
Добавить комментарий