04.12.19
bijgewerkt 07.04.22
Michael Firnkes
0 commentaren
Inhoudsopgave
WooCommerce PSD2

PSD2 & WooCommerce: wat je moet weten voor je online winkel

Run je online winkels met WordPress? Of stel je ze in voor je klanten? Dan moet je op de hoogte zijn van de "Tweede Europese Richtlijn Betalingsdiensten", beter bekend als PSD2. Zij schrijft nieuwe procedures voor de authenticatie van klanten in het betalingsproces voor. We zetten de belangrijkste aanbevelingen en plugins voor WooCommerce op een rijtje. tl;dr - geen paniek.

In de regel komt PSD2 voor je als winkeleigenaar in beeld wanneer je klanten met een creditcard betalen. En zelfs dan is je dienstverlener verplicht zich daaraan te houden. Het enige wat je hoeft te doen, is ervoor zorgen dat ze al PSD2-conform zijn. Controleer voor de zekerheid ook alle andere betalingsmogelijkheden die je aanbiedt. Hierover zo meteen meer.

Hetzelfde geldt voor bureaus en freelancers. Hier moet je de betalingsplugins of de bijbehorende providers controleren die door je klanten worden gebruikt: Hebben ze hun processen omgezet naar PSD2? Zo niet, let dan op alternatieve uitbreidingen. Uitgebreide informatie over WooCommerce vind je in ons 70+ pagina's tellende e-book WooCommerce voor professionals.

Opmerking:

Deze blogpost is geen juridisch advies. Als WordPress hoster hebben we zelf te maken gehad met PSD2. Wij zijn echter geen advocaten. Laat je dus adviseren door een geschikt advocatenkantoor voor online recht.

Wat is de PSD2 aka SCA?

Vanaf 14 september 2019 moeten nieuwe EU-regels voor betalingsverkeer gelden: de Tweede Europese Richtlijn Betalingsdiensten, kortweg PSD2. Dit omvat de verplichting tot veilige authenticatie van klanten voor online bankdiensten. In het Engels: Strong Customer Authentication (SCA).

De invoering van de nieuwe betalingsregels op internet is nu uitgesteld. "Tijdelijk", zoals ze zeggen. Omdat de autoriteiten vrezen dat bedrijven nog niet voldoende voorbereid zijn op de richtlijn. En toch moet je de richtlijn al uitvoeren of laten uitvoeren. Hierover later meer.

In de kern gaat het erom het winkelen op internet veiliger te maken. Sterke authenticatie van klanten – of 2-factor authenticatie (2FA) – is dan wettelijk verplicht. Veel banken hebben hun processen al veranderd, en je bank heeft zeker al contact met je opgenomen.

Bij online winkels heeft dit vooral gevolgen voor betalingen per creditcard. Tenzij ze al een beveiligde procedure gebruiken zoals 3-D Secure ofwel 3D-S. Maar let op: ook hier is een uitgebreide procedure nodig vanwege PSD2, genaamd 3D Secure 2.0, kortweg 3DS2.

Tot nu toe hadden winkelende klanten vaak alleen hun creditcardnummer en het bijbehorende controlecijfer nodig om een aankoop af te ronden. In de toekomst zullen ook een transactienummer (TAN), dat naar de mobiele telefoon of smartphone wordt gestuurd, en een wachtwoord nodig zijn. Deze procedure ken je zeker van je internetbankieren. Papieren lijsten met transactienummers, kortweg iTAN's, zijn in de toekomst niet meer toegestaan.

Opmerking:

Aankopen op rekening en via automatische incasso worden niet beïnvloed door PSD2. Zie de uitleg van de IT-Recht Kanzlei.

Wat moet je weten?

In de toekomst moet je ervoor zorgen dat een veilige procedure wordt gebruikt wanneer je met een creditcard of via andere diensten (PayPal, Stripe, Amazon Pay, Apple Pay, enz.) betaalt. In de regel hoef je dit echter niet zelf uit te voeren; dat is de taak van de betreffende dienstverleners. Tenzij je een zeer exotische of zelfgemaakte oplossing gebruikt. Je moet dit laten controleren door een geschikt advocatenkantoor dat gespecialiseerd is in online recht met betrekking tot PSD2.

Alle grote providers werken koortsachtig aan de tenuitvoerlegging van de nieuwe richtlijn. Vraag het na bij de diensten die je gebruikt: Wat is de status hier? Is de authenticatie al PSD2-conform? Worden de nieuwe EU-regels eindelijk van kracht en is je dienstverlener nog niet klaar? Dan moet je overwegen de betalingsmogelijkheid niet aan te bieden totdat verbeteringen zijn aangebracht.

Er zijn ook wijzigingen in "Sofortüberweisung". Volgens de aanbieder Klarna krijgt de procedure een extra authenticatiestap die door de betreffende bank wordt overgenomen. Je moet observeren welke betaaldienst in de toekomst gebruikt kan worden en hoe goed, en of dit invloed heeft op je conversie in de winkel.

Belangrijk:

Geven jouw providers andere gegevens door dan voorheen als gevolg van PSD2? Of integreer je nieuwe betaaldiensten? Dan moet je misschien je wetteksten in WooCommerce aanpassen.

Wat zegt WooCommerce daarover?

De makers van WooCommerce wijden een aparte blogpost aan het onderwerp. Volgens hen vertrouwen de meeste aanbieders van betaaldiensten op 3D Secure 2 om aan de eisen te voldoen.

In het algemeen zouden geschikte diensten in de toekomst ten minste twee van de volgende drie stappen in acht moeten nemen om een "Sterke Klant Authenticatie" te waarborgen:

  • Vraag om informatie die alleen de klant weet. Bijvoorbeeld hun wachtwoord of het antwoord op een beveiligingsvraag.
  • Een authenticatie sturen naar een "klantgestuurd proces". Dit kan een hardwaretoken zijn of een pushmelding naar je smartphone, aldus WooCommerce .
  • Gebruik van een fysieke identificatiecode die uniek is voor de klant. Bijvoorbeeld een vingerafdruk of Face ID.

Ben je geïnteresseerd in de exacte details? De EU-verdragen bepalen de specifieke eisen, d.w.z. of het antwoord op een veiligheidsvraag voldoende is. Zie de huidige versie van de "Regelgevingsnormen voor sterke authenticatie van klanten".

Afhankelijk van de stand van de techniek – en welke methoden het meest waarschijnlijk door hackers zullen worden uitgebuit – zullen er op de middellange en lange termijn waarschijnlijk enkele aanpassingen komen. De strijd om meer veiligheid lijkt altijd op een kat-en-muisspel.

Mogelijkheden voor integratie

WooCommerce noemt enkele aanbieders en hun WordPress plugins die al "PSD2 ready" zijn. We hebben de uitbreidingen hier voor je gekoppeld:

Gebruik je andere betaalmethoden en netwerken dan de hier genoemde? Vraag de respectieve ontwikkelaars of en wanneer PSD2 wordt ingevoerd. Als dit niet het geval is, moet je op zoek gaan naar een alternatieve plugin of dienst.

We zijn blij met je feedback

Heb je het al aan je provider gevraagd? Of heb je een plugin-tip voor ons? Deel gerust je ervaringen in de commentaren.

De PSD2-regels gelden ook voor betalingen in het abonnementsmodel. Bijvoorbeeld als je werkt met de plugin WooCommerce Subscriptions om terugkerende betalingen mogelijk te maken.

Geldt PSD2 of SCA ook voor handelaren buiten de EU?

Het hangt er niet noodzakelijkerwijs van af waar de handelaren gevestigd zijn. Hier maakt WooCommerce haar standpunt heel duidelijk:

De SCA is ook van toepassing als de wervende bank of verwerker in de Europese Economische Ruimte (EER) is gevestigd en het betaalinstrument van de klant in de EER is uitgegeven.

De Europese Economische Ruimte omvat alle lidstaten van de Europese Unie, alsmede IJsland, Liechtenstein en Noorwegen. Een handelaar in het buitenland moet daarom volledig samenwerken met binnenlandse dienstverleners, banken en klanten, zodat hij geen last heeft van PSD2 of Strong Customer Authentication. Dit is een van de redenen waarom internationale betalingsdienstaanbieders zo'n haast hebben om zich aan te passen. De Europese roep om meer veiligheid online heeft wereldwijde gevolgen.

Blijven TAN's via SMS toegestaan?

Tegelijk met PSD2 is er in deskundigenkringen een zijdelingse discussie ontstaan over hoe veilig het TAN via SMS (ook wel mTAN genoemd) nog is. Zie het artikel Online bankieren en PSD2 op heise.de. De laatste tijd zijn er steeds meer meldingen van pogingen tot aanvallen waarbij de mobiele telefoons of smartphones van de slachtoffers worden overgenomen. Bijvoorbeeld via phishing e-mails of gemanipuleerde apps.

Het Bundesamt für Informationenschutz (BSI) schrijft hierover:

Hoewel de mTan procedure praktisch en gebruiksvriendelijk is, zijn er helaas ook enkele risico's aan verbonden. Onder bepaalde omstandigheden kunnen criminelen de voor authenticatie verzonden SMS-berichten onderscheppen of omleiden ... De BSI raadt daarom af mTAN-procedures te gebruiken.

In het kader van PSD2 moet de mTAN tot nu toe toegestaan blijven. De banken zoeken echter al naar alternatieven. Heise noemt pushTAN, chipTAN, fotoTAN, appTAN en signaturTAN.

Wat moet de PSD2 bereiken?

De richtlijn is niet alleen bedoeld om het (online) betalingsverkeer veiliger te maken. De initiatiefnemers hopen ook dat de concurrentie op de markt sterker wordt. De Deutsche Bundesbank formuleert het als volgt in haar informatie over PSD2:

Consumenten hoeven bijvoorbeeld niet in te loggen op het systeem voor internetbankieren van hun kredietinstelling wanneer ze online winkelen, maar kunnen de overschrijving initiëren via een betalingsinitiatiedienst die op de website van de handelaar wordt aangeboden.

En verder:

De PSD2 regelt de toegang van deze "derde betalingsdienstaanbieders" tot de betaalrekeningen bij de rekeninghoudende betalingsdienstaanbieders. Toegang tot deze aanbieders wordt echter alleen verleend als jij als rekeninghouder daar uitdrukkelijk mee instemt.

In de toekomst zullen er veel meer spelers zijn op de markt voor online betalingen. De banken en kredietinstellingen verliezen hun macht. De integratie van "betalingsdienstaanbieders van derden" – die echter onder toezicht en controle van de nationale toezichthoudende autoriteiten staan – maakt de ontwikkeling van geheel nieuwe diensten en bedrijfsideeën mogelijk. In Duitsland is deze toezichthoudende autoriteit de Federale Financiële Toezichthoudende Autoriteit (BaFin).

Uitzonderingen op PSD2

Diverse media en banken berichten over uitzonderlijke gevallen waarin aanbieders van betaaldiensten kunnen afzien van sterke authenticatie van klanten. Er wordt bijvoorbeeld een limiet van 30 euro genoemd voor "elektronische betalingen op afstand". Onder deze drempel is authenticatie in twee richtingen niet per se nodig. Zie voor meer informatie de blogpost PSD2 en SCA van het advocatenkantoor Wilde Beuger Solmecke.

BaFin zelf noemt een drempel van 50 euro, maar dan voor contactloze pinbetalingen. Voor kaartbetalingen op internet is het vager. De betalingsdienstaanbieders zouden een zogenaamde transactierisicoanalyse kunnen uitvoeren. De federale financiële toezichthouder zegt:

In dit proces wordt elke inkomende betaling automatisch gecontroleerd om te zien of het frauderisico laag is ... Als de betalingsinformatie waarover de betalingsdienstaanbieder beschikt de indruk wekt dat er een verhoogd frauderisico is, moet hij Strong Customer Authentication uitvoeren.

Aanwijzingen voor een verhoogd frauderisico zijn bijvoorbeeld een afwijking van het gebruikelijke gedragspatroon van de klant. Of een overeenkomst met bekende fraudepatronen. Ook voor B2B zijn overeenkomstige versoepelingen gepland. En er komt een witte lijst waarop een bank haar zakelijke klanten kan classificeren als betrouwbare begunstigden.

Als winkeleigenaar hoef je je echter meestal niet zelf zorgen te maken over dergelijke beperkingen, mits er een dienstverlener tussen zit.

Verdere bronnen

Wil je meer weten over PSD2 aka SCA? Hier zijn geschikte artikelen voor gebruikers en ontwikkelaars:

Meer tips over WooCommerce vind je in ons meer dan 70 pagina's tellende e-book WooCommerce voor professionals: Online winkels met WordPress. Het is gericht op freelancers, bureaus, WP-professionals, maar ook op beginners.

Jouw vragen over PSD2

Welke vragen heb je? Gebruik gerust de commentaarfunctie. Wil je meer tips over WordPress & WooCommerce? Volg ons dan op Twitter, Facebook of via onze nieuwsbrief.

Foto: William Iven

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Michael Firnkes

Michael verzorgt het magazine en de contentmarketing bij Raidboxes. Hij is sinds 2007 actief in de blogging en WordPress community. Hij is onder meer mede-organisator van WordPress evenementen, auteur van boeken en Corporate Blog trainer. Hij houdt van schrijven, zowel professioneel als privé. Michael werkt remote vanuit Hamburg en Freiburg.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.