PSD2 & WooCommerce: wat je moet weten voor je onlineshop

Michael Firnkes Laatst bijgewerkt op 20.10.2020
6 Min.
WooCommerce PSD2
Laatst bijgewerkt op 20.10.2020

Je runt online winkels met WordPress ? Of ze opzetten voor uw klanten? Dan moet u de "Tweede Europese Betalingsdienstenrichtlijn" kennen, beter bekend als PSD2. Het schrijft nieuwe procedures voor voor de authenticatie van klanten tijdens het betalingsproces. We noemen de belangrijkste aanbevelingen voor actie en Plugins voor WooCommerce.

Tl;dr - raak niet in paniek.

Meestal is PSD2 vooral nuttig voor u als winkeleigenaar als uw klanten met een creditcard betalen. En zelfs dan heeft uw dienstverlener een plicht. Je moet er alleen voor zorgen dat het al PSD2-conform is. Controleer voor de zekerheid ook alle andere betaalmogelijkheden die u aanbiedt. Hierover in een oogwenk meer.

Hetzelfde geldt voor agentschappen en freelancers. Hier moet u de door uw klanten gebruikte betalingPlugins of geassocieerde providers controleren: Zijn ze overgestapt op PSD2? Zoek anders naar alternatieve uitbreidingen. Uitgebreide informatie is te WooCommerce vinden in ons 70+ pagina's tellende e-boek. WooCommerce voor professionals.

Opmerking:

Deze blogpost is geen juridisch advies. Als WordPress hoster we hebben zelf PSD2 bestudeerd. Maar we zijn geen advocaten. Laat u dus adviseren door een geschikt advocatenkantoor voor het online recht.

Wat is de PSD2 oftewel SCA? En om wie gaat het?

Vanaf 14 september 2019 moeten nieuwe EU-regels van toepassing zijn op het betalingsverkeer: de Tweede Europese richtlijn betalingsdienstenPSD2 in het kort. Dit omvat de verplichting tot veilige klantenauthenticatie voor online bankdiensten. In het Engels: Strong Customer Authentication (SCA).

De invoering van de nieuwe betalingsregels op het internet is nu ook al is het uitgesteld. "Tijdelijk," zoals ze zeggen. De reden hiervoor is dat de autoriteiten zich zorgen maken over het feit dat de bedrijven nog niet voldoende zijn voorbereid op de richtlijn. En toch zou u de richtlijn ten uitvoer moeten leggen of al ten uitvoer moeten laten leggen. Hierover later meer.

De kern van de zaak is om het winkelen op het internet veiliger te maken. A Sterke klantverificatie - of ook 2-factor authenticatie (2FA) - is dan wettelijk verplicht. Veel banken hebben hun processen al omgezet en uw bank heeft waarschijnlijk ook al contact met u opgenomen.

Voor onlinewinkels heeft dit vooral betrekking op betalingen met een creditcard. Tenzij ze al gedekt zijn door een beveiligde procedure zoals 3-D Veilig of 3D-S te laten lopen. Maar wees voorzichtig: vanwege de PSD2 is hier ook een uitgebreide procedure nodig, genaamd 3D Beveiligd 2.0korte 3DS2.

Tot nu toe hadden winkelende klanten vaak alleen hun creditcardnummer en het bijbehorende controlecijfer nodig om een aankoop af te ronden. In de toekomst zal ook een transactienummer (TAN), dat naar de mobiele telefoon of smartphone wordt gestuurd, en een wachtwoord nodig zijn. U kent deze procedure waarschijnlijk van uw internetbankieren. Papieren lijsten met transactienummers, kortweg iTAN, zijn in de toekomst niet meer toegestaan.

Opmerking:

Aankoop op rekening en via automatische incasso worden niet beïnvloed door de PSD2. Zie de uitleg van de IT-rechtskantoor.

Wat moet u weten als winkelier of WP-professional?

In de toekomst moet u ervoor zorgen dat bij het betalen met een creditcard of andere diensten (PayPal, Stripe, Amazon Pay, Apple Pay, enz.) een veilige procedure wordt gebruikt. In de regel hoeft u dit echter niet zelf uit te voeren, hier komen de respectievelijke dienstverleners aan bod. Tenzij u een zeer exotische of zelfgemaakte oplossing gebruikt. U moet deze laten controleren op PSD2 door een geschikt advocatenkantoor dat gespecialiseerd is in online recht.

Alle grote leveranciers werken koortsachtig aan de uitvoering van de nieuwe richtlijn. Controleer bij de diensten die u gebruikt: Wat is de score hier? Is de authenticatie al PSD2-conform? De nieuwe EU-regels worden eindelijk van kracht en uw dienstverlener is nog niet klaar? Dan moet u controleren of u de betalingsoptie niet aanbiedt totdat deze is verbeterd.

Er zijn ook wijzigingen in de "directe overschrijving". De procedure ontvangt volgens leverancier Klarna een extra authenticatiestap die door de betreffende bank moet worden overgenomen. U dient te kijken welke betaalservice in de toekomst gebruikt kan worden en of dit gevolgen heeft voor uw Omzetting in de winkel.

Belangrijk

Uw providers geven andere gegevens door via de PSD2 dan voorheen? Of integreert u nieuwe betaaldiensten? Dan moet u misschien uw Juridische teksten in WooCommerce Stel je aan.

Wat zeg WooCommerceje ervan?

De makers van WooCommerce een eigen blogbericht. Volgens haar vertrouwen de meeste aanbieders van betalingsdiensten op 3D Secure 2 om aan de eisen te voldoen.

In het algemeen zouden passende diensten ten minste twee van de volgende drie stappen moeten overwegen om in de toekomst een "sterke klantenauthenticatie" te garanderen:

  • Het vragen van informatie die alleen de klant weet. Bijvoorbeeld zijn wachtwoord of het antwoord op een veiligheidsvraag.
  • Het sturen van een authenticatie naar een "klantgeregeld proces". Dit kan luidruchtig WooCommerceeen hardware-token zijn of een pushmelding naar je smartphone.
  • Gebruik van een fysieke identificatiecode die uniek is voor de klant. Bijvoorbeeld een vingerafdruk of een Face ID.

Bent u geïnteresseerd in de exacte details? Hoe concreet de eisen zijn, bijvoorbeeld of het antwoord op een veiligheidsvraag voldoende is, wordt bepaald door de EU-verdragen. Zie de laatste editie over "Regelgevende normen voor sterke klantauthenticatie".

Afhankelijk van de stand van de techniek - en welke technieken het meest waarschijnlijk door hackers worden uitgebuit - kunnen er op de middellange en lange termijn enkele aanpassingen worden gedaan. De strijd voor meer veiligheid lijkt altijd op een kat-en-muisspel.

Wat zijn de mogelijkheden tot integratie?

WooCommerce noemt enkele aanbieders of hun WordPress -Plugins, die nu al "PSD2 klaar" zouden moeten zijn. We hebben de uitbreidingen hier voor u gekoppeld:

Maakt u gebruik van andere betaalmethoden en netwerken dan hier genoemd? Vraag de respectievelijke ontwikkelaars of en wanneer PSD2 zal worden geïmplementeerd. Als dit niet het geval is, moet u op zoek gaan naar een alternatief Plugin of een dienst.

We stellen uw feedback op prijs

Heeft u al navraag gedaan bij uw provider? Of heb je een Plugintip voor ons? Deel uw ervaringen in de commentaren.

De regels van de PSD2 zijn ook van toepassing op betalingen in het abonnementsmodel. Bijvoorbeeld, als u de Plugin WooCommerce Subscriptions werken om terugkerende betalingen mogelijk te maken.

Is de PSD2 of SCA ook van toepassing op handelaren buiten de EU?

Het hangt niet noodzakelijkerwijs af van de vestigingsplaats van de dealers. Dit is WooCommerceheel duidelijk:

De SCA is ook van toepassing indien de overnemende bank of de overnemende verwerker in de Europese Economische Ruimte (EER) is gevestigd en het betalingsinstrument van de klant in de EER is uitgegeven.

De Europese Economische Ruimte omvat alle lidstaten van de Europese Unie plus IJsland, Liechtenstein en Noorwegen. Een handelaar in het buitenland moet daarom volledig samenwerken met binnenlandse dienstverleners, banken en klanten, zodat hij niet wordt beïnvloed door PSD2 of Sterke Klantauthenticatie. Dit is een van de redenen waarom internationale betalingsdienstaanbieders zo'n haast hebben om aan de eisen te voldoen. De Europese roep om meer veiligheid op het internet heeft wereldwijde gevolgen.

Blijft de TAN per SMS toegestaan?

Tegelijkertijd met PSD2 is er in kringen van deskundigen een nevengesprek ontstaan over hoe veilig TAN via SMS (ook wel mTAN genoemd) nog steeds is. Zie het artikel Online bankieren en PSD2 op heise.com. De laatste tijd zijn er steeds meer meldingen van pogingen tot aanvallen waarbij de mobiele telefoon of smartphone van het slachtoffer wordt overgenomen. Bijvoorbeeld via phishingmails of gemanipuleerde apps.

Het Federaal Bureau voor Informatiebeveiliging (BSI) hierover schrijft:

Hoewel de mTan-procedure praktisch en gebruiksvriendelijk is, brengt het helaas ook enkele risico's met zich mee. Onder bepaalde omstandigheden kunnen criminelen SMS-berichten onderscheppen of omleiden voor authenticatie ... Het BSI raadt daarom aan geen mTAN-procedures te gebruiken.

In het kader van PSD2 blijft de mTAN tot nu toe toegestaan. Maar de banken zijn al op zoek naar alternatieven. Heise namen pushTAN, chipTAN, photoTAN, appTAN en signatureTAN.

Wat moet de PSD2 doen?

De richtlijn is niet alleen bedoeld om (online) betalingstransacties veiliger te maken. De initiatiefnemers hopen ook dat de concurrentie op de markt sterker wordt. De nederlandse Bundesbank formuleert het in haar Informatie over de PSD2 als volgt:

Consumenten hoeven niet in te loggen in het online banksysteem van hun bank als ze bijvoorbeeld op het internet winkelen, maar kunnen de overboeking bestellen via een betaalinitiatiedienst die op de website van de handelaar wordt aangeboden.

Ga door:

De PSD2 regelt de toegang van deze "derden-betalingsdienstaanbieders" tot betaalrekeningen bij de betalingsdienstaanbieders die de rekening aanhouden. Toegang wordt echter alleen verleend aan deze aanbieders als u als rekeninghouder hier expliciet mee instemt.

In de toekomst zullen er dus veel meer spelers op de markt voor online betalingen zijn. Banken en kredietinstellingen verliezen aan macht. De betrokkenheid van "derdebetalingsdienstaanbieders" - die echter onder toezicht en controle van de nationale toezichthoudende autoriteiten staan - maakt de ontwikkeling van volledig nieuwe diensten en bedrijfsideeën mogelijk.

Uitzonderingen op PSD2

Verschillende media en banken maken melding van uitzonderlijke gevallen waarin betalingsdienstaanbieders kunnen afzien van een sterke klantauthenticatie. Zo wordt bijvoorbeeld een limiet van 30 EUR genoemd voor "elektronische betalingstransacties op afstand". Onder deze drempel is een tweezijdige authenticatie niet noodzakelijkerwijs vereist. Meer informatie is te vinden in de blogpost PSD2 en SCA van het advocatenkantoor Wilde Beuger Solmecke.

De BaFin zelf noemt een drempel van 50 euro, maar voor contactloze kaartbetalingen Ze drukt zich wat vager uit bij het betalen met een kaart op het internet. De betalingsdienstaanbieders zouden hier een zogenaamde transactierisicoanalyse kunnen uitvoeren. Dit is wat het Federaal Agentschap zegt:

Elke inkomende betaling wordt automatisch gecontroleerd om te bepalen of het risico op fraude laag is... Als de betalingsinformatie waarover de betalingsdienstaanbieder beschikt, de indruk geeft dat er een verhoogd risico op fraude bestaat, moet hij een sterke klantauthenticatie uitvoeren.

Aanwijzingen voor een verhoogd frauderisico zijn bijvoorbeeld een afwijking van de gebruikelijke gedragspatronen van de klant. Of een overeenkomst met bekende fraudepatronen. Ook voor B2B is een passende ontspanning gepland. En er komt een whitelist waarop een bank haar zakelijke klanten kan classificeren als 'trusted payees'.

U hoeft zich als winkelexploitant echter meestal zelf geen zorgen te maken over dergelijke limieten, als er een serviceprovider bij betrokken is.

Andere bronnen

Wilt u meer weten over PSD2 oftewel SCA? Hier zijn geschikte technische artikelen voor gebruikers en ontwikkelaars:

Meer tips over WooCommerce vind je in ons 70+ pagina's tellende e-boek WooCommerce voor professionals: onlinewinkels met WordPress. Het is gericht op freelancers, bureaus, WP-professionals maar ook op beginners.

U heeft vragen over PSD2 en WooCommerce? Gebruik de commentaarfunctie. Wilt u meer tips over WordPress & WooCommerce? Volg ons dan op Twitter, Facebook of via onze Nieuwsbrief.

Foto: William Iven

Michael zorgt bij RAIDBOXES voor de gebieden Content en Mental Health. Hij is sinds 2007 actief in de blogger- en de WordPress-Community. Onder andere als mede-organisator van WordPress Events, auteur en Corporate Blog Trainer. Hij houdt er ongelooflijk graag van om te bloggen, professioneel maar ook privé. Michael werkt en schrijft op afstand vanuit het zonnige Freiburg.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een opmerking

Je e-mail adres wordt niet gepubliceerd. Verplichte velden zijn met * gemarkeerd.