Что такое Strong Customer Authentication?
О новых нормативах и протоколах безопасности европейского платежного рынка
14 сентября директива PSD2 развернулась почти в полную силу на финансовом рынке ЕС. Особенно это касается ее норматива Strong Customer Authentication (SCA). Сегодня я коротко расскажу его основную суть, после чего — если ваш проект связан с платежными услугами — вы поймете важность этой информации.
Что такое PSD2?
Начну с простого — для тех моих читателей, кто не в курсе всех тонкостей. Payment Services Directive 2015/2366 — это директива ЕС о платежных услугах на внутреннем рынке, принятая в 2015 году. В нормальных, цивилизованных странах период имплементации для важных законов по финансовой сфере делается на пару месяцев, а, например, 2 года. После этого у PSD2 было пошаговое вступления в силу. Дедлайн был 14 сентября 2019 года — чуть больше двух недель назад в силу вступил норматив Strong Customer Authentication (SCA). О нем и поговорим.
Главная цель PSD2 - обеспечивать безопасность транзакций пользователей и расширять экосистему финансовых услуг на финрынке ЕС. Звучит красиво, правда? Это хорошая цель, которой нужно удобное средство реализации. Им и является SCA.
Основа Strong Customer Authentication
SCA — это, фактически, свод новых правил, по которым будет проводиться аутентификация юзеров, совершающих ту или иную транзакцию. Мерчанты и PSP-провайдеры обязуются добавить в user scenario дополнительную верификацию клиента.
К примеру, возьмем стандартный интернет-эквайринг. До Strong Customer Authentication платеж совершался при введении данных вашей банковской карты, после чего payment request подтверждался одноразовым паролем. Привычная история.
После внедрия SCA этого мало, необходим еще один параметр секьюрности платежа, Это могут быть:
- Стандартный пароль/PIN-код/секретное слово;
- Биометрическое подтверждение (отпечаток пальца, лицевая биометрия, сетчатка и т.д.);
- ID умного устройства, посредством которого совершается платеж;
Важный момент: новые требования не касаются расчетов в обычных магазинах и не связаны с прямым дебетованием.
За техническую сторону вопроса во всем этом будет отвечать новый протокол безопасности 3D Secure 2.0. Для клиента добавится лишь второй запрос подтверждения транзакции. Для бизнеса — головная боль, как сделать его удобным, красивым и понятным, а также задачи по интеграции.
В каких случаях вас это не касается? (исключения из SCA)
Для процессингов банков и PSP-провайдеров добавляется еще одна задача — определять, в какие моменты строгая идентификация применятся, а в какие нет, включая оценку риска платежа.
К счастью, законы писались не где-то в СНГ, а в ЕС, поэтому все предельно понятно. Итак, SCA не распространяется на:
- Покупки до 30 евро. Но есть исключения — если идет серия одинаковых платежей с минимальным порогом до лимита, должен работать анти-фрод.
- Подписки. Ничьи подписки на Netflix, Apple Music и другие сервисы не пострадают. Никто не пойдет против большого трастового международного бизнеса;
- Инициированные торговцами платежи. Если вы добавили свою карту в Uber или Bolt, вас не будут требовать дважды подтверждать платеж.
Strong Customer Authentication: what it is and why it’s important for Ukrainian fintech projects to know about it?
On September 14, the PSD2 directive became fully operational in the EU financial market. This is especially true of its Strong Customer Authentication (SCA) standard. Today I will briefly describe it’s main things, after which — if your project is related to payment services — you will understand the importance of this information.
What is PSD2?
I'll start with a simple one - for those of my readers who are not aware of all the details. Payment Services Directive 2015/2366 is the EU directive oа payment services in the domestic EU market, accepted in 2015. You see, in civilized countries the implementation period for important laws, related the financial sphere, is indicated not for a couple of months, but, for example, 2 years. After that, PSD2 had a step-by-step getting into full operational mode. The deadline was September 14, 2019 — a little over two weeks ago the Strong Customer Authentication (SCA) standard came into force. We’ll talk about him.
The main goal of PSD2 is to ensure the security of user transactions and to expand the ecosystem of financial services in the EU financial market. That sounds cool and promising, right? This good goal needs a convenient implementation tool. SCA is this tool.
The basis of Strong Customer Authentication
SCA is, in fact, a set of new rules by which authentication of users who make a transaction will be carried out. Merchants and PSP providers are obliged to add additional customer verification to their user scenario.
For example, let’s talk about standard internet acquiring. Before the Strong Customer Authentication, payment is done when you entered your bank card details, after which the payment request was confirmed with a one-time password. A familiar story.
After the start of SCA, this is not enough. Another payment security parameter is needed. These can be:
- Standard password / PIN / secret word;
- Biometric confirmation (fingerprint, facial biometry, iris recognition etc.);
- ID of the smart device through which the payment is made;
An important point: the new requirements don’t relate to payments in ordinary stores and are not related to direct debit.
The new 3D Secure 2.0 protocol will be responsible for for the technical side of the SCA. It’s only a second transaction confirmation request for the customers, but for a business is a headache. How to make it convenient, beautiful and understandable, as well as integration tasks?
In what cases this doesn’t concern you? (exceptions from SCA)
For the banks’ and PSP providers’ processing centre, one more task is added — how to determine, in what cases strict identification will be applied and in which it’s not. Including an assessment of the risk of payment.
Fortunately, laws were not written somewhere in the CIS countries, but in the EU, so everything is very clear. So, SCA doesn’t apply to:
- Payments to 30 euros. But there are exceptions. For example, if there are a series of identical payments with a minimum threshold before the limit, anti-fraud should work.
- Subscriptions. Don’t worry, your Netflix, Apple Music or other services subscription won’t suffer. No one will go against a large international trust business;
- Merchant-initiated payments. If you added your bank card to Uber or Bolt, you won’t be required to confirm the payment twice.
- Поділу доходів отриманих другим із подружжя від зайняття підприємницькою діяльністю Євген Морозов 10:04
- Розпорядження майном "цивільного подружжя" при поділі спільного сумісного майна Євген Морозов вчора о 20:34
- JIT – концепція, час якої настав Наталія Качан вчора о 19:43
- Оновлення законодавства про захист персональних даних: GDPR в законопроєкті 8153 Анастасія Полтавцева 21.12.2024 18:47
- Податкова біполярність або коли виграв справу, але неправильно Євген Власов 21.12.2024 16:35
- Встановлення факту спільного проживання «цивільного подружжя» при поділі майна Євген Морозов 21.12.2024 10:52
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду Лариса Гольник 21.12.2024 09:26
- Топ-3 проєктів протидії фінансовому шахрайству у 2024 році Артем Ковбель 20.12.2024 23:10
- Как снять арест с карты: советы для должников ЖКХ Віра Тарасенко 20.12.2024 21:40
- Кейс нотаріальної фальсифікації в Україні: кримінал, зловживання довірою й порушення етики Світлана Приймак 20.12.2024 16:40
- Валюта боргу та валюта платежу в договірних відносинах Євген Морозов 20.12.2024 09:50
- БЕБ, OnlyFans та податкова істерика: хто насправді винен? Дмитро Зенкін 19.12.2024 16:55
- Посилено відповідальність за домашнє та гендерно зумовлене насильство Світлана Приймак 19.12.2024 16:44
- Вчимося та вчимо дітей: мотивація та управління часом Інна Бєлянська 19.12.2024 16:11
- Гендерний розрив на ринку праці України: дослідження Міжнародної організації з міграції Юлія Маліч 19.12.2024 13:36
- Україна сировинний придаток, тепер офіційно? 1300
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 595
- Правова стратегія для захисту інтересів дитини у суді 563
- Вчимося та вчимо дітей: мотивація та управління часом 243
- БЕБ, OnlyFans та податкова істерика: хто насправді винен? 133
-
Для мешканців багатоквартирних будинків встановили фіксовані ціни за електроенергію
Бізнес 13137
-
Рекордно подорожчав овоч, який є унікальним засобом від застуди
Бізнес 7074
-
Вісім треків тижня: новий фіт Соловій і Дантеса та зимова лірика Jerry Heil
Життя 4491
-
Глиняний посуд на Святвечір: традиції, символіка та як обрати для святкового столу
Життя 4441
-
Орбан: Угорщина веде переговори щодо транзиту російського газу через Україну
Бізнес 3315