WooCommerce PSD2

PSD2 & WooCommerce: Wat u moet weten voor uw online shop

Heeft u online winkels met WordPress? Of zet u ze op voor uw klanten? Dan moet u op de hoogte zijn van de "Tweede Europese Richtlijn Betalingsdiensten", beter bekend als PSD2. Zij schrijft nieuwe procedures voor de authenticatie van de klant in het betalingsproces voor. We zetten de belangrijkste aanbevelingen en plugins voor WooCommerce op een rijtje. tl;dr - geen paniek.

In de regel komt PSD2 voor je als winkeleigenaar in beeld wanneer je klanten met een creditcard betalen. En zelfs dan is je dienstverlener verplicht zich daaraan te houden. Het enige wat je hoeft te doen, is ervoor zorgen dat ze al PSD2-conform zijn. Controleer voor de zekerheid ook alle andere betalingsmogelijkheden die je aanbiedt. Hierover zo meteen meer.

Hetzelfde geldt voor agentschappen en freelancers. Hier moet u de betalingsplug-ins of de bijbehorende providers controleren die door uw klanten worden gebruikt: Hebben zij hun processen op PSD2 afgestemd? Zo niet, kijk dan uit naar alternatieve extensies. Uitgebreide informatie over WooCommerce vindt u in ons ruim 70 pagina's tellende e-book WooCommerce voor professionals.

Opmerking:

Deze blogpost is geen juridisch advies. Als WordPress hoster hebben wij zelf met PSD2 te maken gehad. Wij zijn echter geen advocaten. Laat u dus adviseren door een geschikt advocatenkantoor voor onlinerecht.

Wat is de PSD2 aka SCA?

Vanaf 14 september 2019 moeten nieuwe EU-regels voor het betalingsverkeer van toepassing zijn: de Tweede Europese Richtlijn Betalingsdiensten, kortweg PSD2. Dit omvat de verplichting tot veilige klantenauthentificatie voor online-bankdiensten. In het Engels: Strong Customer Authentication (SCA).

De invoering van de nieuwe betalingsregels op het internet is nu uitgesteld. "Tijdelijk", zoals ze zeggen. Omdat de autoriteiten vrezen dat de bedrijven nog niet voldoende op de richtlijn zijn voorbereid. En toch moet u de richtlijn al uitvoeren of laten uitvoeren. Hierover later meer.

In wezen gaat het erom het winkelen op het internet veiliger te maken. Sterke klantenauthenticatie - of 2-factorauthenticatie (2FA) - is dan wettelijk verplicht. Veel banken hebben hun procedures al gewijzigd, en uw bank heeft zeker al contact met u opgenomen.

In onlinewinkels heeft dit vooral gevolgen voor betalingen met een creditcard. Tenzij zij reeds een beveiligde procedure zoals 3-D Secure of 3D-S gebruiken. Maar let op: ook hier is een uitgebreide procedure vereist vanwege PSD2, genaamd 3D Secure 2.0, of kortweg 3DS2.

Tot nu toe hadden winkelende klanten vaak alleen hun creditcardnummer en het bijbehorende controlecijfer nodig om een aankoop te voltooien. In de toekomst zullen ook een transactienummer (TAN), dat naar de mobiele telefoon of smartphone wordt gezonden, en een wachtwoord vereist zijn. U kent deze procedure ongetwijfeld van uw online bankieren. Papieren lijsten met transactienummers, kortweg iTAN's, zullen in de toekomst niet langer zijn toegestaan.

Opmerking:

Aankopen op rekening en via automatische afschrijving worden niet beïnvloed door PSD2. Zie de toelichtingen van de IT-Recht Kanzlei.

Wat moet je weten?

In de toekomst moet u ervoor zorgen dat een beveiligde procedure wordt gebruikt wanneer u betaalt met een kredietkaart of via andere diensten (PayPal, Stripe, Amazon Pay, Apple Pay, enz.). In de regel hoeft u dit echter niet zelf te doen; dit is de taak van de respectieve dienstverleners. Tenzij je een zeer exotische of zelfgemaakte oplossing gebruikt. U moet dit laten controleren door een geschikt advocatenkantoor dat gespecialiseerd is in onlinerecht met betrekking tot PSD2.

Alle grote providers werken koortsachtig aan de tenuitvoerlegging van de nieuwe richtlijn. Vraag het na bij de diensten die je gebruikt: Wat is de status hier? Is de authenticatie al PSD2-conform? Worden de nieuwe EU-regels eindelijk van kracht en is je dienstverlener nog niet klaar? Dan moet je overwegen de betalingsmogelijkheid niet aan te bieden totdat verbeteringen zijn aangebracht.

Er zijn ook wijzigingen in de "Sofortüberweisung". Volgens de aanbieder Klarna zal de procedure een extra authenticatiestap krijgen die door de respectieve bank zal worden overgenomen. U moet nagaan welke betaaldienst in de toekomst kan worden gebruikt en hoe goed, en of dit een invloed heeft op uw conversie in de winkel.

Belangrijk:

Geven uw providers als gevolg van PSD2 andere gegevens door dan voorheen? Of integreert u nieuwe betaaldiensten? Dan kan het zijn dat u uw wetteksten moet aanpassen in WooCommerce.

Wat zegt WooCommerce ?

De makers van WooCommerce een aparte blog post wijden aan het onderwerp. Volgens hen vertrouwen de meeste betalingsdienstaanbieders op 3D Secure 2 om aan de vereisten te voldoen.

In het algemeen zouden geschikte diensten in de toekomst ten minste twee van de volgende drie stappen in aanmerking moeten nemen om een "sterke klantenauthenticatie" te waarborgen:

  • Vraag informatie die alleen de klant weet. Bijvoorbeeld, hun wachtwoord of het antwoord op een veiligheidsvraag.
  • Een authenticatie sturen naar een "klantgestuurd proces". Dit kan een hardware token zijn of een push notificatie naar je smartphone, aldus WooCommerce .
  • Gebruik van een fysieke identificatiecode die uniek is voor de klant. Bijvoorbeeld, een vingerafdruk of Face ID.

Ben je geïnteresseerd in de exacte details? De EU-Verdragen bepalen de specifieke vereisten, d.w.z. of het antwoord op een veiligheidsvraag voldoende is. Zie de huidige versie van de "Regulatory standards for strong customer authentication" (Regelgevingsnormen voor sterke authenticatie van de klant).

Afhankelijk van de stand van de techniek - en van de vraag welke methoden de meeste kans maken om door hackers te worden misbruikt - zullen er op middellange en lange termijn waarschijnlijk enkele aanpassingen komen. De strijd om meer veiligheid lijkt altijd op een kat-en-muisspel.

Mogelijkheden voor integratie

WooCommerce noemt enkele providers en hun WordPress plugins die al "PSD2 ready" zijn. Wij hebben de extensies hier voor u gelinkt:

Gebruikt u andere betaalmethoden en -netwerken dan degene die hier zijn vermeld? Vraag de respectieve ontwikkelaars of en wanneer PSD2 zal worden ingevoerd. Als dit niet het geval is, moet u op zoek naar een alternatieve plugin of dienst.

Wij verwelkomen uw feedback

Je hebt het al aan je provider gevraagd? Of heb je een plugin tip voor ons? Voel je vrij om je ervaringen te delen in de commentaren.

De PSD2-regels zijn ook van toepassing op betalingen in het abonnementsmodel. Bijvoorbeeld, als u werkt met de plugin WooCommerce Abonnementen om terugkerende betalingen mogelijk te maken.

Is PSD2 of SCA ook van toepassing op handelaren buiten de EU?

Het hangt niet noodzakelijk af van waar de handelaren gevestigd zijn. Hier maakt WooCommerce zijn standpunt duidelijk:

De SCA is ook van toepassing als de wervende bank of de verwerker in de Europese Economische Ruimte (EER) is gevestigd en het betaalinstrument van de klant in de EER is uitgegeven.

De Europese Economische Ruimte omvat alle lidstaten van de Europese Unie, alsmede IJsland, Liechtenstein en Noorwegen. Een handelaar in het buitenland moet daarom volledig samenwerken met binnenlandse dienstverleners, banken en klanten, zodat hij niet wordt getroffen door PSD2 of Strong Customer Authentication. Dit is een van de redenen waarom internationale betalingsdienstaanbieders zo'n haast hebben om zich aan de regels te conformeren. De Europese roep om meer veiligheid online heeft wereldwijde gevolgen.

Blijven TAN's via SMS toegestaan?

Tegelijk met PSD2 is in deskundigenkringen een zijdelingse discussie ontstaan over de vraag hoe veilig de TAN via SMS (ook mTAN genoemd) nog is. Zie het artikel Online bankieren en PSD2 op heise.de. De laatste tijd zijn er steeds meer meldingen van pogingen tot aanvallen waarbij de mobiele telefoons of smartphones van de slachtoffers worden overgenomen. Bijvoorbeeld via phishingmails of gemanipuleerde apps.

Het Federaal Bureau voor Informatiebeveiliging (BSI) schrijft hierover:

Hoewel de mTan-procedure praktisch en gebruiksvriendelijk is, houdt zij helaas ook enkele risico's in. Onder bepaalde omstandigheden kunnen criminelen de SMS-berichten die ter verificatie worden verzonden, onderscheppen of omleiden ... Het BSI beveelt daarom aan geen gebruik te maken van mTAN-procedures.

In het kader van PSD2 blijft de mTAN tot nu toe toegestaan. De banken zijn echter al op zoek naar alternatieven. Heise noemt pushTAN, chipTAN, photoTAN, appTAN en signaturTAN.

Wat wordt met PSD2 beoogd?

De richtlijn is niet alleen bedoeld om het (online)betalingsverkeer veiliger te maken. De initiatiefnemers hopen ook dat de concurrentie op de markt sterker zal worden. De Deutsche Bundesbank formuleert het als volgt in haar informatie over PSD2:

Consumenten hoeven bijvoorbeeld niet in te loggen op het online banksysteem van hun kredietinstelling wanneer zij online winkelen, maar kunnen de overschrijving initiëren via een betalingsinitiatiedienst die op de website van de handelaar wordt aangeboden.

En verder:

De PSD2 regelt de toegang van deze "derde betalingsdienstaanbieders" tot de betaalrekeningen bij de rekeninghoudende betalingsdienstaanbieders. Toegang tot deze aanbieders wordt echter alleen verleend indien u als rekeninghouder daarmee uitdrukkelijk instemt.

In de toekomst zullen er veel meer spelers op de markt van online-betalingen zijn. De banken en kredietinstellingen verliezen macht. De integratie van "derde betalingsdienstaanbieders" - die evenwel onder het toezicht en de controle van de nationale toezichthoudende autoriteiten staan - maakt de ontwikkeling van geheel nieuwe diensten en bedrijfsconcepten mogelijk. In Duitsland is deze toezichthoudende autoriteit de Federale Financiële Toezichthoudende Autoriteit (BaFin).

Uitzonderingen op PSD2

Diverse media en banken maken melding van uitzonderlijke gevallen waarin betalingsdienstaanbieders kunnen afzien van een sterke klantenauthenticatie. Zo wordt bijvoorbeeld een limiet van 30 euro genoemd voor "elektronische betalingstransacties op afstand". Onder deze drempel is authenticatie in twee richtingen niet noodzakelijk. Voor meer informatie, zie de blogpost PSD2 en SCA van het advocatenkantoor Wilde Beuger Solmecke.

De BaFin zelf noemt een drempel van 50 euro, maar dan voor contactloze kaartbetalingen. Voor kaartbetalingen op het internet is het vager. De betalingsdienstaanbieders zouden een zogenaamde transactierisicoanalyse kunnen uitvoeren. De Federale financiële toezichthouder zegt:

In dit proces wordt bij elke inkomende betaling automatisch nagegaan of het frauderisico laag is ... Als de betalingsinformatie waarover de betalingsdienstaanbieder beschikt de indruk wekt dat er een verhoogd frauderisico is, moet hij Strong Customer Authentication uitvoeren.

Aanwijzingen voor een verhoogd frauderisico zijn bijvoorbeeld een afwijking van de gebruikelijke gedragspatronen van de klant. Of een gelijkenis met bekende fraudepatronen. Overeenkomstige versoepelingen zijn ook gepland voor B2B. En er komt een witte lijst waarop een bank haar zakelijke klanten kan classificeren als betrouwbare begunstigden.

Als winkelier hoeft u zich echter meestal niet zelf met dergelijke beperkingen bezig te houden, op voorwaarde dat een dienstverlener tussenbeide komt.

Verdere bronnen

Wilt u meer weten over PSD2 aka SCA? Hier zijn geschikte artikelen voor gebruikers en ontwikkelaars:

Meer tips over WooCommerce vind je in ons meer dan 70 pagina's tellende e-book WooCommerce voor professionals: Online winkels met WordPress. Het is gericht op freelancers, bureaus, WP-professionals, maar ook op beginners.

Uw vragen over PSD2

Welke vragen heb je? Voel je vrij om de commentaarfunctie te gebruiken. Wil je meer tips over WordPress & WooCommerce? Volg ons dan op Twitter, Facebook of via onze nieuwsbrief.

Foto bijdrage: William Iven

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd.