Provozujete e-shopy s WordPressem? Nebo je nastavit pro své zákazníky? Pak byste měli znát "Druhou evropskou směrnici o platebních službách", známější jako PSD2. Předepisuje nové metody pro ověření klienta v platebním procesu. Uvádíme nejdůležitější doporučení pro akce a pluginy pro WooCommerce. tl;dr – Nepanikařte.

PsD2 je pro vás jako majitele obchodu zpravidla obzvláště důležitý, když vaši zákazníci platí kreditní kartou. A i tak je váš poskytovatel služeb ve vedení. Jediné, co musíte udělat, je ujistit se, že je již kompatibilní se systémem PSD2. Z bezpečnostních důvodů zkontrolujte také všechny ostatní možnosti platby, které nabízíte. Více o tom v čase.

Totéž platí pro agentury a nezávislé pracovníky. Zde byste měli zaplatit Plugins nebo zkontrolujte spřízněné dodavatele, které používají vaši zákazníci: Přepnuli své procesy na PSD2? V opačném případě vyhledejte alternativní rozšíření. Komplexní informace o WooCommerce najdete v naší 70+ stránkové e-knize WooCommerce pro profesionály.

Co je PSD2 aka SCA?

Od 14. září 2019 by se měla použít nová pravidla EU pro platební transakce: druhá evropská směrniceo platebních službách , zkráceně psD2. To zahrnuje povinnost zajistit autentizaci zákazníků pro nabídky online bankovnictví. Silné ověření zákazníka (SCA).

Zavedení nových platebních pravidel na internetu bylo nyní odloženo. "Dočasně", jak se říká. Orgány se obávají, že společnosti ještě nejsou na směrnici dostatečně připraveny. A přesto byste měli směrnici implementovat nyní nebo ji nechat implementovat. Více o tom později.

Ve svém jádru jde o to, aby nakupování na internetu bylo bezpečnější. Silné ověření zákazníka nebo dvoufaktorové ověřování (2FA) je pak vyžadováno zákonem. Mnoho bank již změnilo své procesy a vaše banka vás již určitě kontaktovala.

V případě internetových obchodů se to týká především plateb kreditní kartou. Pokud již neschádnou metodu, jako je 3D Secure nebo.3D-S. Ale pozor: Opět je kvůli PSD2 vyžadován pokročilý postup nazvaný 3D Secure 2.0, krátký 3DS2.

Až dosud zákazníci nakupujících často potřebovali k dokončení nákupu pouze číslo své kreditní karty a související kontrolní číslici. V budoucnu bude také vyžadováno číslo transakce (TAN), které je odesláno na mobilní telefon nebo smartphone a heslo. Tento postup jistě znáte ze svého internetového bankovnictví. Papírové seznamy s čísly transakcí nebo zkráceně iTAN by již v budoucnu neměly být povoleny.

Co potřebujete vědět?

V budoucnu budete muset zajistit, aby byl při platbě kreditní kartou nebo jinými službami (PayPal, Stripe, Amazon Pay, Apple Pay atd.) použit bezpečný postup. Obvykle to však musíte implementovat sami, zde jsou příslušní poskytovatelé služeb v poptávce. Pokud nepoužíváte velmi exotický nebo vlastní pletený roztok. Měli byste si to nechat zkontrolovat na PSD2 vhodnou online právnickou firmou.

Všichni významní dodavatelé horečně pracují na provádění nové směrnice. Zeptejte se služeb, které používáte: Jaká je zde situace? Je ověřování již kompatibilní se systémem PSD2? Nová pravidla EU konečně nastartují a váš poskytovatel služeb ještě není připraven? Pak byste měli zkontrolovat, zda nenabízíte možnost platby, dokud nebudou provedena vylepšení.

Tam jsou také změny na "Sofortüberweisung". Podle poskytovatele Klarna postup obdrží další ověřovací krok, který má převzít příslušná banka. Měli byste sledovat, kterou platební službu lze v budoucnu využívat jak dobře a zda to má vliv na vaši konverzi v obchodě.

Co říká WooCommerce na to?

Tvůrci WooCommerce věnujte svůj vlastní blogový příspěvektématu . Říká, že většina poskytovatelů platebních služeb spoléhá na 3D Secure 2, aby splnila požadavky.

Obecně platí, že vhodné služby by v budoucnu musely zohlednit alespoň dva z následujících tří kroků, aby se zajistilo silné ověření klienta:

• Dotazovat informace, které zná pouze zákazník. Například heslo nebo odpověď na bezpečnostní otázku.
• Odeslání ověřování do "operace řízené zákazníkem". To může být WooCommerce být hardwarovým tokenem nebo push notifikací do vašeho smartphonu.
• Použijte fyzický identifikátor jedinečný pro zákazníka. Například otisk prstu nebo face ID.

Zajímají vás přesné detaily? Jak konkrétní jsou požadavky, tj. zda je odpověď na bezpečnostní otázku dostatečná, určují smlouvy EU. Viz aktuální verze "Regulační standardy pro silné ověřování zákazníků".

V závislosti na stavu techniky – a na tom, které postupy budou s největší pravděpodobností zneužity hackery – pravděpodobně dojde k nějakým úpravám ve střednědobém a dlouhodobém horizontu. Boj za větší bezpečnost je vždy jako hra na kočku a myš.

Možnosti integrace

WooCommerce jmenuje některé poskytovatele nebo jejich pluginy WordPress, které by již měly být "PSD2 ready". Rozšíření jsme pro vás propojili zde:

• Proužek WooCommerce Plugin .
• Amazon Pay za WooCommerce .
• Global Payments Gateway (aktivní pro platby kreditními kartami a hlavně aktivní ve Velké Británii).
• PayPal prostřednictvím platební brány Braintree pro WooCommerce . Pro ostatní PayPal Plugins měli byste kontaktovat poskytovatele a zjistit, zda je PSD2 již podporován jako proces.
• Sage Pay

Používáte jiné platební metody a sítě, než které jsou zde uvedeny? Zeptejte se příslušných vývojářů, zda a kdy bude PSD2 implementován. Pokud tomu tak není, měli byste hledat alternativu Plugin nebo služby.

Pravidla PSD2 se vztahují také na platby v modelu předplatného. Pokud například používáte Plugin WooCommerce Předplatná umožňují opakované platby.

Vztahuje se PSD2 nebo SCA také na obchodníky mimo EU?

Nemusí nutně záležet na sídlu obchodníků. To je místo, kde WooCommerce Jasně:

SCA se rovněž použije, pokud se nabývající banka nebo zpracovatel nachází v Evropském hospodářském prostoru (EHP) a platební nástroj zákazníka byl vydán v EHP.

Evropský hospodářský prostor zahrnuje všechny členské státy Evropské unie, jakož i Island, Lichtenštejnsko a Norsko. Prodejce v zahraničí proto musí zcela spolupracovat s domácími poskytovateli služeb, bankami a zákazníky, aby nebyl ovlivněn PSD2 nebo silným ověřením zákazníka. To je jeden z důvodů, proč mezinárodní poskytovatelé platebních služeb tak spěchají, aby splnili požadavky. Evropská výzva k větší bezpečnosti na internetu má globální důsledky.

Zůstane TAN povolen prostřednictvím SMS?

Současně s PSD2 se v odborných kruzích rozvinula vedlejší diskuse o tom, jak bezpečný je TAN prostřednictvím SMS (nazývaného také mTAN). Viz článek Online bankovnictví a PSD2 na heise.de. Protože v poslední době přibývá zpráv o pokusech o útoky, při nichž je převzat mobilní telefon nebo chytrý telefon obětí. Například prostřednictvím phishingových e-mailů nebo napadených aplikací.

Spolkový úřad pro bezpečnost informací (BSI) píše:

Přestože je proces mTan praktický a uživatelsky přívětivý, nese také některá rizika. Zločinci mohou být schopni zachytit nebo přesměrovat SMS zprávy odeslané k autentizaci... BSI proto doporučuje, aby se upustilo od používání postupů mTAN.

V rámci PSD2 má být mTAN povolen až dosud. Banky však již hledají alternativy. Heise volá pushTAN, chipTAN, photoTAN, appTAN a signaturTAN.

Co by měl PSD2 dělat?

Cílem směrnice není pouze učinit (on-line) platební transakce bezpečnějšími. Iniciátoři také doufají, že hospodářská soutěž na trhu zesílí. Tá české Bundesbanka ji ve svých informacích o PSD2 uvádí takto:

Například .B se nemusí při nákupu na internetu přihlašovat do online bankovnictví vaší úvěrové instituce, ale mohou si převod objednat prostřednictvím služby iniciace platby nabízené na straně obchodníka.

A dále:

PSD2 upravuje přístup těchto "poskytovatelů platebních služeb třetích stran" k platebním účtům poskytovatelů platebních služeb, kteří drží účet. Přístup je však těmto poskytovatelům udělen pouze v případě, že s tím jako majitel účtu výslovně souhlasíte.

V budoucnu proto bude na trhu online plateb mnohem více hráčů. Banky a úvěrové instituce ztrácejí moc. Zapojení "poskytovatelů platebních služeb třetích stran" – avšak pod dohledem a kontrolou vnitrostátních orgánů dohledu – umožňuje rozvoj zcela nových služeb a podnikatelských myšlenek. V Německu je tímto dozorovým úřadem Spolkový úřad pro finanční dohled (BaFin).

Výjimky z PSD2

Různá média a banky informují o výjimečných případech, kdy se poskytovatelé platebních služeb mohou obejít bez silného ověření klienta. Například je zmíněn limit 30 eur pro "elektronické platební transakce na dálku". Pod touto prahovou hodnotou není obousměrné ověřování povinné. Další informace naleznete v blogovém příspěvku PSD2 a SCA advokátní kanceláře Wilde Beuger Solmecke.

BaFin sám zmiňuje prahovou hodnotu 50 eur, ale pro bezkontaktní platby kartou. Když je placen za karty na internetu, vyjadřuje se vágně. Poskytovatelé platebních služeb by mohli provést tzv. analýzu transakčních rizik. Federální institut říká:

Každá příchozí platba je automaticky zkoumána, aby se zjistilo, zda je riziko podvodu nízké ... Pokud platební údaje, které má poskytovatel platebních služeb k dispozici, mají dojem zvýšeného rizika podvodu, musí provést silné ověření klienta.

Důkazem zvýšeného rizika podvodu by například měla být odchylka od obvyklých vzorců chování zákazníka. Nebo podobnost se známými podvody. B2B také zajišťuje vhodnou relaxaci. A měla by být k dispozici bílá listina, na které může banka klasifikovat své firemní zákazníky jako důvěryhodné zákazníky.

Jako provozovatel obchodu se však obvykle nemusíte o takové limity starat sami, pokud je poskytovatel služeb zprostředkovatelem.

Související zdroje

Chcete se o PSD2 aka SCA vědět více? Zde jsou vhodné technické příspěvky pro uživatele a vývojáře:

• Nařízení Evropské komise
• Příspěvek na blogu WooCommerce
• Technické možnosti dvoufaktorové autentizace
• Směrnice o platebních službách PSD2: Přechodné období udělené v elektronickém obchodování
• Bundesbanka: PSD2 pro spotřebitele a maloobchodníky
• WebPunks: Nová směrnice EU pro internetové obchody
• PSD2 vysvětleno za 3 minuty

Další tipy na WooCommerce najdete v naší 70+ stránkové e-knize WooCommerce pro profesionály: e-shopy s WordPress. Zaměřuje se na freelancery, agentury, profesionály WP i začátečníky.

Obrázek příspěvku: William Iven