PSD2 & WooCommerce: wat je moet weten voor je onlineshop

Michael Firnkes Laatst bijgewerkt op 20.10.2020
6 Min.
WooCommerce PSD2
Laatst bijgewerkt op 20.10.2020

Je runt onlinewinkels met WordPress? Of je maakt ze voor je klanten? Dan moet je de "Revised Payment Services Directive" kennen, beter bekend als PSD2. Het schrijft nieuwe procedures voor voor de authenticatie van klanten tijdens het betalingsproces. We behandelen de belangrijkste aanbevelingen en plugins voor WooCommerce.

tl;dr - geen paniek.

Normaal gesproken is de PSD2 voor jou als winkeleigenaar dan van toepassing als je klanten met een creditcard betalen. En zelfs dan heeft je dienstverlener een plicht. Je moet er alleen voor zorgen dat deze dienstverlener al PSD2-conform werkt. Controleer voor de zekerheid ook alle andere betaalmogelijkheden die je aanbiedt. Hierover zo meteen meer.

Hetzelfde geldt voor agentschappen en freelancers. Hier moet u de betalingPlugins of de bijbehorende providers controleren die door uw klanten worden gebruikt: Hebben zij hun processen op PSD2 afgestemd? Zo niet, kijk dan uit naar alternatieve extensies. Uitgebreide informatie over WooCommerce vindt u in ons ruim 70 pagina's tellende e-book WooCommerce voor professionals.

Opmerking:

Deze blogpost is geen juridisch advies. Als WordPress hoster hebben wij zelf te maken gehad met de PSD2. Wij zijn echter geen advocaten. Laat u dus adviseren door een geschikt advocatenkantoor voor online recht.

Wat is de PSD2 aka SCA? En wie is er door getroffen?

Vanaf 14 september 2019 moeten nieuwe EU-regels voor het betalingsverkeer van toepassing zijn: de Tweede Europese Richtlijn Betalingsdiensten, kortweg PSD2. Dit omvat de verplichting tot veilige klantenauthenticatie voor aanbiedingen van online bankieren. In het Engels: Strong Customer Authentication (SCA).

De invoering van de nieuwe betalingsregels op het internet is nu uitgesteld. "Tijdelijk", zoals ze zeggen. Omdat de autoriteiten vrezen dat de bedrijven nog niet voldoende op de richtlijn zijn voorbereid. En toch moet u de richtlijn al uitvoeren of laten uitvoeren. Hierover later meer.

In wezen gaat het erom het winkelen op het internet veiliger te maken. Sterke klantenauthenticatie - of 2-factorauthenticatie (2FA) - is dan wettelijk verplicht. Veel banken hebben hun procedures al gewijzigd, en uw bank heeft zeker al contact met u opgenomen.

In onlinewinkels heeft dit vooral gevolgen voor betalingen met een creditcard. Tenzij zij reeds een beveiligde procedure zoals 3-D Secure of 3D-S gebruiken. Maar let op: als gevolg van PSD2 is ook hier een uitgebreide procedure vereist, genaamd 3D Secure 2.0, kortweg 3DS2.

Tot nu toe hadden winkelende klanten vaak alleen hun creditcardnummer en het bijbehorende controlecijfer nodig om een aankoop af te ronden. In de toekomst zal ook een transactienummer (TAN) dat naar de mobiele telefoon of smartphone wordt gestuurd en een wachtwoord nodig zijn. Je kent deze procedure waarschijnlijk van het internetbankieren. Papieren lijsten met transactienummers, kortweg iTAN, zijn in de toekomst niet meer toegestaan.

Opmerking:

Aankopen op rekening en via automatische afschrijving worden niet beïnvloed door PSD2. Zie de toelichtingen van de IT-Recht Kanzlei.

Wat moet je weten als winkeleigenaar of WP-professional?

In de toekomst moet je ervoor zorgen dat bij het betalen met een creditcard of andere diensten (PayPal, Stripe, Amazon Pay, Apple Pay, enz.) een veilige procedure wordt gebruikt. In de regel hoef je dit echter niet zelf uit te voeren, dit is de taak van de respectievelijke dienstverleners. Tenzij je een zeer exotische of zelfgemaakte oplossing gebruikt. Je moet deze op PSD2 laten controleren door een geschikt advocatenkantoor dat gespecialiseerd is in online recht.

Alle grote leveranciers werken koortsachtig aan de uitvoering van de nieuwe richtlijn. Vraag bij de diensten na die je gebruikt: wat is hier de stand van zaken? Is de authenticatie al PSD2-conform? Wat als de nieuwe EU-regels eindelijk van kracht worden en jouw dienstverlener is nog niet klaar? Dan moet je controleren of je de betalingsoptie zo lang niet aanbiedt totdat deze is verbeterd.

Er zijn ook wijzigingen in de "Sofortüberweisung". Volgens de aanbieder Klarna zal de procedure een extra authenticatiestap krijgen, die door de betrokken bank zal worden overgenomen. U moet nagaan welke betaaldienst in de toekomst kan worden gebruikt en hoe goed, en of dit een invloed heeft op uw conversie in de winkel.

Belangrijk:

Geven uw providers als gevolg van PSD2 andere gegevens door dan voorheen? Of integreert u nieuwe betalingsdiensten? Dan kan het zijn dat u uw wetteksten moet aanpassen in WooCommerce.

Wat zegt WooCommerce erover?

De makers van WooCommerce een aparte blog post wijden aan het onderwerp. Volgens hen vertrouwen de meeste betalingsdienstaanbieders op 3D Secure 2 om aan de vereisten te voldoen.

In het algemeen zouden passende diensten ten minste twee van de volgende drie stappen moeten overwegen om in de toekomst een "Strong Customer Authentication" te garanderen:

  • Het vragen naar informatie die alleen de klant weet. Bijvoorbeeld zijn wachtwoord of het antwoord op een veiligheidsvraag.
  • Het sturen van een authenticatie naar een "klantgeregeld proces". Dit kan volgens WooCommerce een hardware-token zijn of een pushmelding naar je smartphone.
  • Gebruik van een fysieke identificatiecode die uniek is voor de klant. Bijvoorbeeld een vingerafdruk of een Face-ID.

Ben je geïnteresseerd in de exacte details? Hoe concreet de eisen zijn, d.w.z. of het antwoord op een veiligheidsvraag volstaat, wordt bepaald door de EU-Verdragen. Zie de huidige versie van de "Regulatory standards for strong customer authentication" (Regelgevingsnormen voor sterke authenticatie van de klant).

Afhankelijk van de stand van de techniek en welke methode het meest waarschijnlijk door hackers wordt misbruikt, zullen er op de middellange en lange termijn enkele aanpassingen worden gedaan. De strijd voor meer veiligheid lijkt altijd op een kat-en-muisspel.

Welke mogelijkheden voor integratie zijn er?

WooCommerce noemt enkele aanbieders ofwel hun WordPress-plugins, die nu al "PSD2 ready" zouden moeten zijn. We hebben de uitbreidingen hier voor jou verlinkt:

Maak je gebruik van andere betaalmethoden en netwerken dan hier genoemd? Vraag de respectievelijke ontwikkelaars of en wanneer PSD2 zal worden geïmplementeerd. Als dit niet het geval is, moet je op zoek gaan naar een alternatieve plugin of andere dienst.

We stellen je feedback op prijs

Heb je al navraag gedaan bij je provider? Of heb je een plugin-tip voor ons? Deel je ervaringen in de commentaren.

De PSD2-regels zijn ook van toepassing op betalingen in het abonnementsmodel. Bijvoorbeeld als u werkt met Plugin WooCommerce Subscriptions om terugkerende betalingen mogelijk te maken.

Geldt de PSD2 of SCA ook voor handelaren buiten de EU?

Het hangt niet noodzakelijkerwijs af van het hoofdkantoor van de handelaren. Hierover is WooCommerce heel duidelijk:

De SCA is ook van toepassing indien de acquirerende bank of de acquirerende verwerker in de Europese Economische Ruimte (EER) is gevestigd en het betalingsinstrument van de klant in de EER is afgegeven.

De Europese Economische Ruimte omvat alle lidstaten van de Europese Unie plus IJsland, Liechtenstein en Noorwegen. Een handelaar in het buitenland moet daarom volledig samenwerken met binnenlandse dienstverleners, banken en klanten, zodat hij niet getroffen wordt door de PSD2 of Strong Customer Authentication. Dit is een van de redenen waarom internationale betalingsdienstaanbieders zo'n haast hebben om aan de eisen te voldoen. De Europese roep om meer veiligheid op het internet heeft wereldwijde gevolgen.

Blijven TAN's via SMS toegestaan?

Tegelijk met PSD2 is in vakkringen een zijdelingse discussie ontstaan over de vraag hoe veilig de TAN via SMS (ook bekend als mTAN) nog is. Zie het artikel Online bankieren en PSD2 op heise.de. De laatste tijd zijn er steeds meer meldingen van pogingen tot aanvallen waarbij de mobiele telefoon of smartphone van het slachtoffer wordt overgenomen. Bijvoorbeeld via phishingmails of gemanipuleerde apps.

Het Federaal Bureau voor Informatiebeveiliging (BSI) schrijft hierover:

Hoewel de mTan-procedure praktisch en gebruiksvriendelijk is, brengt het helaas ook enkele risico's met zich mee. Onder bepaalde omstandigheden kunnen criminelen de SMS-berichten voor authenticatie onderscheppen of omleiden... Het BSI raadt daarom aan geen mTAN-procedures te gebruiken.

In het kader van PSD2 blijft de mTAN tot nu toe toegestaan. Maar de banken zijn al op zoek naar alternatieven. Heise noemt hier bijvoorbeeld pushTAN, chipTAN, photoTAN, appTAN en signatureTAN.

Wat moet de PSD2 teweegbrengen?

De richtlijn is niet alleen bedoeld om het (online)betalingsverkeer veiliger te maken. De initiatiefnemers hopen ook dat de concurrentie op de markt sterker zal worden. De nederlandse Bundesbank verwoordt het als volgt in haar informatie over PSD2:

Consumenten hoeven niet in te loggen op hun internetbankieren als ze bijvoorbeeld online winkelen, maar kunnen de transactie direct overboeken via een betalingsdienst die op de website van de handelaar wordt aangeboden.

En verder:

De PSD2 regelt de toegang van deze "derden-betalingsdienstaanbieders" tot betaalrekeningen bij de rekeninghoudende betalingsdienstaanbieders. Toegang wordt echter alleen verleend aan deze aanbieders als je hier als rekeninghouder expliciet mee instemt.

In de toekomst zullen er dus veel meer spelers op de markt voor online betalingen zijn. Banken en kredietinstellingen verliezen aan macht. De betrokkenheid van "derdebetalingsdienstaanbieders" - die echter onder toezicht en controle van de nationale toezichthoudende autoriteiten staan - maakt de ontwikkeling van volledig nieuwe diensten en bedrijfsideeën mogelijk.

Uitzonderingen op PSD2

Diverse media en banken maken melding van uitzonderlijke gevallen waarin betalingsdienstaanbieders kunnen afzien van een sterke klantenauthenticatie. Zo wordt bijvoorbeeld een limiet van 30 euro genoemd voor "elektronische betalingstransacties op afstand". Onder deze drempel zou authenticatie in twee richtingen niet noodzakelijk zijn. Meer informatie is te vinden in de blogpost PSD2 en SCA van het advocatenkantoor Wilde Beuger Solmecke.

De BaFin zelf noemt een drempel van 50 euro, maar dan voor contactloze kaartbetalingen. Voor kaartbetalingen op het internet is het vager. De betalingsdienstaanbieders zouden hier een zogenaamde transactierisicoanalyse kunnen uitvoeren. Het Federale Bureau zegt:

Daarbij wordt elke inkomende betaling automatisch gecontroleerd om te bepalen of het risico op fraude laag is... Als de betalingsinformatie waarover de betalingsdienstaanbieder beschikt, de indruk geeft dat er een verhoogd frauderisico bestaat, moet hij een sterke klantauthenticatie uitvoeren.

Aanwijzingen voor een verhoogd frauderisico zijn bijvoorbeeld een afwijking van de gebruikelijke gedragspatronen van de klant. Of een overeenkomst met bekende fraudepatronen. Ook voor B2B zijn passende versoepelingen gepland. En er komt een whitelist waarop een bank haar zakelijke klanten kan classificeren als 'betrouwbare betalingsontvanger'.

Je hoeft je als winkeleigenaar echter meestal zelf geen zorgen te maken over dergelijke grenzen, voorzover er een serviceprovider bij betrokken is.

Verdere bronnen

Wil je meer weten over PSD2 aka SCA? Hier zijn passende technische artikelen voor gebruikers en ontwikkelaars:

Meer tips over WooCommerce vindt u in ons meer dan 70 pagina's tellende e-book WooCommerce voor professionals: Online winkelen met WordPress . Het is gericht op freelancers, bureaus, WP-professionals, maar ook op beginners.

Hebt u vragen over PSD2 en WooCommerce? Voel je vrij om de commentaarfunctie te gebruiken. Wil je meer tips over WordPress & WooCommerce? Volg ons dan op Twitter, Facebook of via onze nieuwsbrief.

Foto bijdrage: William Iven

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.