PSD2 i WooCommerce: Co musisz wiedzieć o swoim sklepie internetowym

Michael Firnkes Ostatnia aktualizacja 20.10.2020
6 Min.
WooCommerce PSD2
Ostatnia aktualizacja 20.10.2020

Prowadzisz sklepy internetowe z WordPress ? A może ustawiasz je dla swoich klientów? W takim razie powinieneś znać "Drugą europejską dyrektywę w sprawie usług płatniczych", lepiej znaną jako PSD2. Określa ona nowe procedury uwierzytelniania klienta w procesie płatności. Wymieniamy najważniejsze zalecenia dotyczące działań i Plugins na WooCommerce.

tl;dr - nie wpadaj w panikę.

Z reguły PSD2 wchodzi w życie dla Ciebie jako właściciela sklepu, gdy Twoi klienci płacą kartą kredytową. A nawet wtedy odpowiedzialny jest Twój dostawca usług. Musisz się tylko upewnić, że są one już zgodne z PSD2. Aby być po bezpiecznej stronie, sprawdź również wszystkie inne opcje płatności, które oferujesz. Więcej na ten temat za chwilę.

To samo dotyczy agencji i freelancerów. Tutaj powinieneś sprawdzić płatnościPlugins lub powiązanych dostawców, z których korzystają Twoi klienci: Czy dostosowali swoje procesy do PSD2? Jeśli nie, zwróć uwagę na alternatywne przedłużenia. Wyczerpujące informacje na temat WooCommerce można znaleźć w naszym ponad 70-stronicowym e-booku WooCommerce dla profesjonalistów.

Uwaga

Ten wpis na blogu nie jest poradą prawną. Jako hostingodawcaWordPress , sami zajmowaliśmy się PSD2. Nie jesteśmy jednak prawnikami. Dlatego pozwól sobie na poradę odpowiedniej kancelarii prawnej zajmującej się prawem online.

Czym jest PSD2 aka SCA? A kogo to dotyczy?

Od 14 września 2019 r. powinny obowiązywać nowe przepisy UE dotyczące transakcji płatniczych: druga europejska dyrektywa w sprawie usług płatniczych, w skrócie PSD2. Obejmuje to obowiązek bezpiecznego uwierzytelniania klienta w przypadku ofert bankowości internetowej. W języku angielskim: Strong Customer Authentication (SCA).

Wprowadzenie nowych zasad płatności w Internecie zostało odłożone na późniejszy termin. "Tymczasowo", jak to się mówi. Ponieważ władze obawiają się, że przedsiębiorstwa nie są jeszcze dostatecznie przygotowane na przyjęcie dyrektywy. A przecież powinniście już wdrożyć tę dyrektywę lub mieć ją wdrożoną. Więcej na ten temat później.

W gruncie rzeczy chodzi o to, aby zakupy w Internecie były bezpieczniejsze. Silne uwierzytelnianie klienta - lub uwierzytelnianie dwuskładnikowe (2FA) - jest wtedy wymagane przez prawo. Wiele banków już zmieniło swoje procesy, a Twój bank z pewnością już się z Tobą skontaktował.

W sklepach internetowych dotyczy to głównie płatności kartą kredytową. Chyba, że korzystają już z bezpiecznej procedury, takiej jak 3-D Secure lub 3D-S. Ale uwaga: Ze względu na PSD2, również tutaj wymagana jest rozszerzona procedura, zwana 3D Secure 2.0, lub w skrócie 3DS2.

Do tej pory klienci dokonujący zakupów często potrzebowali jedynie numeru karty kredytowej i odpowiedniej cyfry kontrolnej, aby sfinalizować zakup. W przyszłości wymagany będzie również numer transakcji (TAN), który jest przesyłany na telefon komórkowy lub smartfon, oraz hasło. Z pewnością znasz tę procedurę ze swojej bankowości internetowej. Papierowe listy z numerami transakcji, w skrócie iTAN, nie będą już w przyszłości dozwolone.

Uwaga

PSD2 nie ma wpływu na zakupy na rachunek i poprzez polecenie zapłaty. Patrz wyjaśnienia IT-Recht Kanzlei.

Co powinieneś wiedzieć jako właściciel sklepu lub profesjonalista WP?

W przyszłości należy zapewnić, że podczas płatności kartą kredytową lub innymi usługami (PayPal, Stripe, Amazon Pay, Apple Pay itp.) stosowana jest bezpieczna procedura. Zwykle jednak nie trzeba tego robić samemu, jest to zadanie dla odpowiednich usługodawców. Chyba, że użyjesz bardzo egzotycznego lub samodzielnie wykonanego rozwiązania. Należy to sprawdzić w odpowiedniej kancelarii prawnej specjalizującej się w prawie internetowym w odniesieniu do PSD2.

Wszyscy główni dostawcy gorączkowo pracują nad wdrożeniem nowej polityki. Sprawdź w serwisach, z których korzystasz: Jak wygląda sytuacja w tej sprawie? Czy uwierzytelnianie jest już zgodne z PSD2? Nowe przepisy UE w końcu wchodzą w życie, a Twój dostawca usług nie jest jeszcze gotowy? Wówczas należy rozważyć wstrzymanie się z oferowaniem opcji płatności do czasu wprowadzenia usprawnień.

Zmiany dotyczą również "Sofortüberweisung". Według dostawcy Klarna, procedura otrzyma dodatkowy krok uwierzytelniania, który zostanie przejęty przez odpowiedni bank. Należy obserwować, które usługi płatnicze mogą być wykorzystywane w przyszłości i jak dobrze, i czy ma to wpływ na konwersję w sklepie.

Ważne

Czy w związku z PSD2 Twoi dostawcy przekazują inne dane niż dotychczas? Albo integrujesz nowe usługi płatnicze? W takim przypadku może być konieczne dostosowanie tekstów prawnych w WooCommerce.

Co mówi WooCommerce ?

Twórcy WooCommerce poświęcić temu tematowi osobny wpis na blogu. Według nich, większość dostawców usług płatniczych polega na 3D Secure 2, aby spełnić wymagania.

Ogólnie rzecz biorąc, odpowiednie usługi w przyszłości musiałyby uwzględniać przynajmniej dwa z trzech poniższych kroków, aby zapewnić "silne uwierzytelnianie klienta":

  • Żądaj informacji, które zna tylko klient. Na przykład, jego hasło lub odpowiedź na pytanie bezpieczeństwa.
  • Przesłanie uwierzytelniania do "procesu kontrolowanego przez klienta". Może to być token sprzętowy lub powiadomienie push na smartfona, według WooCommerce .
  • Używanie fizycznego identyfikatora, który jest unikalny dla klienta. Na przykład odcisk palca lub Face ID.

Czy interesują Cię dokładne szczegóły? O tym, jak konkretne są wymagania, tzn. czy odpowiedź na pytanie dotyczące bezpieczeństwa jest wystarczająca, decydują traktaty UE. Patrz aktualna wersja "Norm regulacyjnych dotyczących silnego uwierzytelniania klienta".

W zależności od stanu techniki - i tego, które metody są najbardziej narażone na wykorzystanie przez hakerów - w perspektywie średnio- i długoterminowej prawdopodobnie nastąpią pewne korekty. Walka o większe bezpieczeństwo zawsze przypomina grę w kotka i myszkę.

Jakie są możliwości integracji?

WooCommerce wymienia niektórych dostawców lub ich WordPress -Plugins, którzy powinni być już "gotowi na PSD2". Połączyliśmy rozszerzenia tutaj dla Ciebie:

Korzystasz z innych metod i sieci płatności niż te wymienione tutaj? Zapytaj odpowiednich deweloperów, czy i kiedy PSD2 zostanie wdrożone. Jeśli tak nie jest, to należy poszukać alternatywnej strony Plugin lub serwisu.

Cieszymy się z Twojej opinii

Pytałeś już swojego usługodawcę? A może masz dla nas jakąś wskazówkę Plugin? Zapraszamy do podzielenia się swoimi doświadczeniami w komentarzach.

Przepisy PSD2 dotyczą również płatności w modelu subskrypcyjnym. Na przykład, jeśli współpracujesz z Plugin WooCommerce Subscriptions, aby umożliwić powtarzające się płatności.

Czy PSD2 lub SCA ma zastosowanie również do handlowców spoza UE?

Niekoniecznie zależy to od miejsca, w którym znajdują się dealerzy. Tutaj WooCommerce wyraża się dość wyraźnie:

SCA ma również zastosowanie, jeśli bank przyjmujący płatność lub podmiot przetwarzający płatność ma siedzibę w Europejskim Obszarze Gospodarczym (EOG), a instrument płatniczy klienta został wydany w EOG.

Europejski Obszar Gospodarczy obejmuje wszystkie państwa członkowskie Unii Europejskiej oraz Islandię, Liechtenstein i Norwegię. Tak więc sprzedawca za granicą musi w pełni współpracować z krajowymi dostawcami usług, bankami i klientami, aby uniknąć wpływu PSD2 lub silnego uwierzytelniania klienta. Między innymi z tego powodu międzynarodowi dostawcy usług płatniczych tak bardzo spieszą się z dostosowaniem do przepisów. Europejskie wezwanie do zwiększenia bezpieczeństwa w sieci ma konsekwencje globalne.

Czy TAN-y poprzez SMS będą nadal dozwolone?

Równocześnie z PSD2, w kręgach specjalistów rozwinęła się dyskusja na temat bezpieczeństwa TAN przez SMS (znanego również jako mTAN). Zobacz artykuł Bankowość internetowa i PSD2 na heise.de. Ostatnio wzrasta liczba doniesień o próbach ataków, w których przejmowany jest telefon komórkowy lub smartfon ofiary. Na przykład poprzez wiadomości phishingowe lub zmanipulowane aplikacje.

Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) pisze na ten temat:

Chociaż zabieg mTan jest praktyczny i przyjazny dla użytkownika, to niestety niesie ze sobą również pewne ryzyko. W pewnych okolicznościach przestępcy mogą przechwycić lub przekierować wiadomości SMS wysyłane w celu uwierzytelnienia... Dlatego BSI zaleca, aby nie stosować procedur mTAN.

W ramach PSD2, mTAN ma pozostać dozwolony do tej pory. Jednak banki już teraz szukają alternatywnych rozwiązań. Heise wymienia pushTAN, chipTAN, photoTAN, appTAN i signaturTAN.

Co ma osiągnąć PSD2?

Dyrektywa ma na celu nie tylko zwiększenie bezpieczeństwa transakcji płatniczych (online). Inicjatorzy mają również nadzieję, że konkurencja na rynku stanie się silniejsza. polscy Bundesbank w swoich informacjach na temat PSD2 ujmuje to w następujący sposób:

Na przykład konsumenci nie muszą logować się do systemu bankowości internetowej swojej instytucji kredytowej podczas dokonywania zakupów w Internecie, ale mogą zainicjować przelew za pośrednictwem usługi inicjowania płatności oferowanej na stronie internetowej sprzedawcy.

Dalej mówi:

Dyrektywa PSD2 reguluje dostęp tych "dostawców usług płatniczych będących osobami trzecimi" do rachunków płatniczych u dostawców usług płatniczych prowadzących rachunki. Dostęp do tych usługodawców jest jednak udzielany tylko wtedy, gdy użytkownik jako posiadacz konta wyraźnie się na to zgodzi.

W przyszłości na rynku płatności online pojawi się znacznie więcej graczy. Banki i instytucje kredytowe tracą władzę. Integracja "zewnętrznych dostawców usług płatniczych" - którzy jednak podlegają nadzorowi i kontroli krajowych organów nadzorczych - umożliwia rozwój zupełnie nowych usług i pomysłów na biznes. W Niemczech tym organem nadzorczym jest Federalny Urząd Nadzoru Finansowego (BaFin).

Wyjątki od PSD2

Różne media i banki donoszą o wyjątkowych przypadkach, w których dostawcy usług płatniczych mogą zrezygnować z silnego uwierzytelniania klienta. Na przykład, limit 30 euro jest wymieniony dla "elektronicznych transakcji płatniczych na odległość". Poniżej tego progu uwierzytelnianie dwukierunkowe niekoniecznie byłoby wymagane. Więcej informacji można znaleźć we wpisie na blogu PSD2 i SCA, prowadzonym przez kancelarię prawną Wilde Beuger Solmecke.

Sam BaFin wspomina o progu 50 euro, ale dla płatności kartą zbliżeniową. W przypadku płatności kartą w Internecie wyraża się to bardziej mgliście. Dostawcy usług płatniczych mogliby przeprowadzać w tym zakresie tzw. analizę ryzyka transakcji. Agencja Federalna mówi:

Każda płatność przychodząca jest automatycznie sprawdzana w celu określenia, czy ryzyko oszustwa jest niskie... Jeśli informacje o płatności dostępne dla dostawcy usług płatniczych sprawiają wrażenie, że ryzyko oszustwa jest podwyższone, dostawca usług płatniczych musi przeprowadzić silne uwierzytelnienie klienta.

Oznaką zwiększonego ryzyka oszustwa powinno być np. odstępstwo od zwyczajowych zachowań klienta. Lub podobieństwo do znanych schematów oszustw. Odpowiednie rozluźnienia są również przewidziane w B2B. Ma też powstać whitelist, na której bank będzie mógł zaklasyfikować swoich klientów korporacyjnych jako godnych zaufania odbiorców płatności.

Jednak jako właściciel sklepu zazwyczaj nie musisz sam dbać o takie ograniczenia, o ile skorzystasz z pomocy usługodawcy.

Inne źródła

Chcesz wiedzieć więcej o PSD2 aka SCA? Poniżej znajdują się odpowiednie artykuły dla użytkowników i deweloperów:

Więcej wskazówek na temat WooCommerce znajdziesz w naszym ponad 70-stronicowym e-booku WooCommerce dla profesjonalistów: Sklepy internetowe z WordPress . Skierowany jest do freelancerów, agencji, profesjonalistów WP, ale także do początkujących.

Masz pytania dotyczące PSD2 i WooCommerce? Zapraszamy do skorzystania z funkcji komentarza. Chcesz uzyskać więcej wskazówek na temat WordPress & WooCommerce? Następnie śledź nas na Twitterze, Facebooku lub poprzez nasz newsletter.

Zdjęcie współtworzące projekt: William Iven

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.