WooCommerce PSD2

PSD2 i WooCommerce: Co musisz wiedzieć o swoim sklepie internetowym

Czy prowadzisz sklep internetowy z wykorzystaniem WordPressa? A może tworzysz je dla swoich klientów? W takim razie powinieneś wiedzieć o "Drugiej europejskiej dyrektywie w sprawie usług płatniczych", znanej lepiej jako PSD2. Określa ona nowe procedury uwierzytelniania klienta w procesie płatności. Wymieniamy najważniejsze zalecenia i wtyczki dla witryny WooCommerce. tl;dr - nie wpadaj w panikę.

Z reguły PSD2 wchodzi w życie dla Ciebie jako właściciela sklepu, gdy Twoi klienci płacą kartą kredytową. A nawet wtedy, dostawca usług jest zobowiązany do przestrzegania przepisów. Wszystko, co musisz zrobić, to upewnić się, że są one już zgodne z PSD2. Aby być po bezpiecznej stronie, sprawdź również wszystkie inne opcje płatności, które oferujesz. Więcej na ten temat za chwilę.

To samo dotyczy agencji i freelancerów. W tym miejscu należy sprawdzić wtyczki płatnicze lub powiązanych dostawców, z których korzystają klienci: Czy dostosowali swoje procesy do PSD2? Jeśli nie, zwróć uwagę na alternatywne przedłużenia. Wyczerpujące informacje na temat strony WooCommerce można znaleźć w ponad 70-stronicowym e-booku WooCommerce dla profesjonalistów.

Uwaga

Ten wpis na blogu nie jest poradą prawną. Jako hoster WordPress, sami zajmowaliśmy się PSD2. Nie jesteśmy jednak prawnikami. Więc uzyskać poradę od odpowiedniej kancelarii prawnej dla prawa online.

Czym jest PSD2 aka SCA?

Od 14 września 2019 r. powinny obowiązywać nowe przepisy UE dotyczące transakcji płatniczych: druga europejska dyrektywa w sprawie usług płatniczych, w skrócie PSD2. Obejmuje to obowiązek bezpiecznego uwierzytelniania klienta w przypadku usług bankowości internetowej. W języku angielskim: Strong Customer Authentication (SCA).

Wprowadzenie nowych zasad płatności w internecie zostało odłożone na późniejszy termin. "Tymczasowo", jak to się mówi. Ponieważ władze obawiają się, że przedsiębiorstwa nie są jeszcze dostatecznie przygotowane na przyjęcie dyrektywy. A przecież powinniście już wdrożyć tę dyrektywę lub mieć ją wdrożoną. Więcej na ten temat później.

W gruncie rzeczy chodzi o to, aby zakupy w Internecie były bezpieczniejsze. Silne uwierzytelnianie klienta - lub uwierzytelnianie dwuetapowe (2FA) - jest wymagane przez prawo. Wiele banków już zmieniło swoje procesy, a Twój bank z pewnością już się z Tobą skontaktował.

W sklepach internetowych dotyczy to głównie płatności kartą kredytową. Chyba, że korzystają już z bezpiecznej procedury, takiej jak 3-D Secure lub 3D-S. Ale uwaga: tutaj również wymagana jest rozszerzona procedura wynikająca z PSD2, zwana 3D Secure 2.0, w skrócie 3DS2.

Do tej pory klienci dokonujący zakupów często potrzebowali jedynie numeru karty kredytowej i odpowiedniej cyfry kontrolnej, aby sfinalizować zakup. W przyszłości wymagany będzie również numer transakcji (TAN), który jest przesyłany na telefon komórkowy lub smartfon, oraz hasło. Z pewnością znasz tę procedurę ze swojej bankowości internetowej. Papierowe listy z numerami transakcji, w skrócie iTAN, nie będą już w przyszłości dozwolone.

Uwaga

PSD2 nie ma wpływu na zakupy na rachunek i poprzez polecenie zapłaty. Patrz wyjaśnienia IT-Recht Kanzlei.

Co powinieneś wiedzieć?

W przyszłości należy zapewnić, że podczas płatności kartą kredytową lub za pośrednictwem innych usług (PayPal, Stripe, Amazon Pay, Apple Pay itp.) stosowana jest bezpieczna procedura. Z reguły jednak nie trzeba tego robić samemu, jest to zadanie dla odpowiednich usługodawców. Chyba, że użyjesz bardzo egzotycznego lub samodzielnie wykonanego rozwiązania. Należy to sprawdzić w odpowiedniej kancelarii prawnej specjalizującej się w prawie internetowym w odniesieniu do PSD2.

Wszyscy główni dostawcy gorączkowo pracują nad wdrożeniem nowej dyrektywy. Sprawdź w serwisach, z których korzystasz: Jak wygląda sytuacja w tym zakresie? Czy uwierzytelnianie jest już zgodne z PSD2? Nowe przepisy UE w końcu wchodzą w życie, a Twój dostawca usług nie jest jeszcze gotowy? Wówczas należy rozważyć wstrzymanie się z oferowaniem opcji płatności do czasu wprowadzenia usprawnień.

Zmiany dotyczą również "Sofortüberweisung". Według dostawcy Klarna, procedura otrzyma dodatkowy krok uwierzytelniania, który zostanie przejęty przez odpowiedni bank. Należy obserwować, które usługi płatnicze mogą być wykorzystywane w przyszłości i jak dobrze, i czy ma to wpływ na konwersję w sklepie.

Ważne

Czy w związku z PSD2 Twoi dostawcy przekazują inne dane niż dotychczas? A może integrujesz nowe usługi płatnicze? W takim przypadku konieczne może być dostosowanie tekstów prawnych w witrynie WooCommerce.

Co mówi WooCommerce ?

Twórcy WooCommerce poświęcić temu tematowi osobny wpis na blogu. Według nich większość dostawców usług płatniczych, aby spełnić wymagania, polega na technologii 3D Secure 2.

Ogólnie rzecz biorąc, odpowiednie usługi w przyszłości musiałyby uwzględniać przynajmniej dwa z trzech następujących kroków, aby zapewnić "silne uwierzytelnianie klienta":

  • Żądaj informacji, które zna tylko klient. Na przykład ich hasło lub odpowiedź na pytanie bezpieczeństwa.
  • Wysyłanie uwierzytelnienia do "procesu kontrolowanego przez klienta". Może to być token sprzętowy lub powiadomienie push na smartfona - czytamy na stronie WooCommerce .
  • Używanie fizycznego identyfikatora, który jest unikalny dla klienta. Na przykład odcisk palca lub Face ID.

Czy interesują Cię dokładne szczegóły? Traktaty UE określają szczegółowe wymogi, tj. czy odpowiedź na pytanie dotyczące bezpieczeństwa jest wystarczająca. Patrz aktualna wersja "Norm regulacyjnych dotyczących silnego uwierzytelniania klienta".

W zależności od stanu techniki - i tego, które metody są najbardziej narażone na wykorzystanie przez hakerów - w perspektywie średnio- i długoterminowej prawdopodobnie nastąpią pewne korekty. Walka o większe bezpieczeństwo zawsze przypomina grę w kotka i myszkę.

Możliwości integracji

WooCommerce Wymień niektórych dostawców i ich wtyczki do WordPressa, które są już "gotowe na PSD2". W tym miejscu zamieściliśmy odnośniki do rozszerzeń:

Korzystasz z innych metod i sieci płatności niż te wymienione tutaj? Zapytaj odpowiednich deweloperów, czy i kiedy PSD2 zostanie wdrożone. Jeśli tak nie jest, powinieneś poszukać alternatywnej wtyczki lub usługi.

Czekamy na Twoją opinię

Pytałeś już swojego usługodawcę? A może masz dla nas jakąś wskazówkę dotyczącą wtyczek? Zapraszamy do podzielenia się swoimi doświadczeniami w komentarzach.

Przepisy PSD2 mają również zastosowanie do płatności w modelu subskrypcyjnym. Na przykład, jeśli korzystasz z wtyczki WooCommerce Subscriptions, aby umożliwić powtarzające się płatności.

Czy PSD2 lub SCA ma zastosowanie również do handlowców spoza UE?

Niekoniecznie zależy to od miejsca siedziby handlowców. W tym miejscu WooCommerce jasno przedstawia swoje stanowisko:

SCA ma również zastosowanie, jeśli bank przyjmujący płatność lub podmiot przetwarzający płatność ma siedzibę w Europejskim Obszarze Gospodarczym (EOG), a instrument płatniczy klienta został wydany w EOG.

Europejski Obszar Gospodarczy obejmuje wszystkie państwa członkowskie Unii Europejskiej oraz Islandię, Liechtenstein i Norwegię. Sprzedawca zagraniczny musi zatem w pełni współpracować z krajowymi dostawcami usług, bankami i klientami, aby PSD2 lub Strong Customer Authentication nie miały na niego wpływu. Jest to jeden z powodów, dla których międzynarodowi dostawcy usług płatniczych tak bardzo spieszą się z przestrzeganiem przepisów. Europejskie wezwanie do zwiększenia bezpieczeństwa w sieci ma konsekwencje globalne.

Czy TAN-y poprzez SMS będą nadal dozwolone?

Równocześnie z PSD2, w kręgach ekspertów rozwinęła się dyskusja na temat bezpieczeństwa TAN przez SMS (zwanego również mTAN). Zobacz artykuł Bankowość internetowa i PSD2 na heise.de. Ostatnio pojawia się coraz więcej doniesień o próbach ataków, w których przejmowane są telefony komórkowe lub smartfony ofiar. Na przykład poprzez wiadomości phishingowe lub zmanipulowane aplikacje.

Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) pisze na ten temat:

Chociaż zabieg mTan jest praktyczny i przyjazny dla użytkownika, to niestety wiąże się z nim również pewne ryzyko. W pewnych okolicznościach przestępcy mogą przechwycić lub przekierować wiadomości SMS wysyłane w celu uwierzytelnienia... Dlatego BSI zaleca, aby nie stosować procedur mTAN.

W ramach PSD2, mTAN ma pozostać dozwolony do tej pory. Jednak banki już teraz szukają alternatywnych rozwiązań. Heise wspomina o pushTAN, chipTAN, photoTAN, appTAN i signaturTAN.

Co ma osiągnąć PSD2?

Dyrektywa ma na celu nie tylko zwiększenie bezpieczeństwa transakcji płatniczych (online). Inicjatorzy mają również nadzieję, że konkurencja na rynku stanie się silniejsza. Deutsche Bundesbank w swojej informacji na temat PSD2 formułuje to w następujący sposób:

Na przykład, konsumenci nie muszą logować się do systemu bankowości internetowej swojej instytucji kredytowej podczas zakupów w Internecie, ale mogą zainicjować przelew za pośrednictwem usługi inicjowania płatności oferowanej na stronie internetowej sprzedawcy.

Dalej mówi:

Dyrektywa PSD2 reguluje dostęp tych "dostawców usług płatniczych będących osobami trzecimi" do rachunków płatniczych u dostawców usług płatniczych prowadzących rachunki. Dostęp do tych usługodawców jest jednak udzielany tylko wtedy, gdy użytkownik jako posiadacz konta wyraźnie się na to zgodzi.

W przyszłości na rynku płatności online pojawi się znacznie więcej graczy. Banki i instytucje kredytowe tracą władzę. Integracja "zewnętrznych dostawców usług płatniczych" - którzy jednak podlegają nadzorowi i kontroli krajowych organów nadzorczych - umożliwia rozwój zupełnie nowych usług i pomysłów na biznes. W Niemczech tym organem nadzorczym jest Federalny Urząd Nadzoru Finansowego (BaFin).

Wyjątki od PSD2

Różne media i banki donoszą o wyjątkowych przypadkach, w których dostawcy usług płatniczych mogą zrezygnować z silnego uwierzytelniania klienta. Na przykład, limit 30 euro jest wymieniony dla "elektronicznych transakcji płatniczych na odległość". Poniżej tego progu uwierzytelnianie dwukierunkowe nie jest koniecznie wymagane. Więcej informacji na ten temat można znaleźć we wpisie na blogu PSD2 i SCA, prowadzonym przez kancelarię prawną Wilde Beuger Solmecke.

Sam BaFin wspomina o progu 50 euro, ale dla płatności kartą zbliżeniową. W przypadku płatności kartą w internecie jest to bardziej niejasne. Dostawcy usług płatniczych mogliby przeprowadzać tzw. analizę ryzyka transakcji. Federalny Urząd Nadzoru Finansowego stwierdza:

W ramach tego procesu każda płatność przychodząca jest automatycznie sprawdzana, czy ryzyko oszustwa jest niskie... Jeśli informacje o płatności dostępne dla dostawcy usług płatniczych sprawiają wrażenie, że ryzyko oszustwa jest podwyższone, musi on przeprowadzić silne uwierzytelnianie klienta (Strong Customer Authentication).

Oznaką zwiększonego ryzyka oszustwa powinno być np. odstępstwo od zwyczajowych zachowań klienta. Lub podobieństwo do znanych schematów oszustw. Odpowiednie złagodzenie przepisów planowane jest również dla B2B. Ma też powstać biała lista, na której bank będzie mógł zaklasyfikować swoich klientów korporacyjnych jako godnych zaufania odbiorców płatności.

Jako właściciel sklepu nie musisz się jednak zazwyczaj sam martwić o takie ograniczenia, o ile skorzystasz z pomocy usługodawcy.

Inne źródła

Chcesz wiedzieć więcej o PSD2 aka SCA? Poniżej znajdują się odpowiednie artykuły dla użytkowników i deweloperów:

Więcej wskazówek na temat WooCommerce znajdziesz w naszym ponad 70-stronicowym e-booku WooCommerce dla profesjonalistów: Sklepy internetowe z WordPress. Skierowany jest do freelancerów, agencji, profesjonalistów WP, ale także do początkujących.

Twoje pytania dotyczące PSD2

Masz jakieś pytania? Zachęcamy do korzystania z funkcji komentarzy. Chcesz poznać więcej wskazówek na temat WordPressa i WooCommerce? Obserwuj nas na Twitterze, Facebooku lub za pośrednictwem naszego Newslettera.

Zdjęcie współtworzące projekt: William Iven

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany.