PSD2 & WooCommerce: Co musisz wiedzieć o swoim sklepie internetowym

7 Min.
WooCommerce PSD2
Ostatnio zaktualizowany na

Prowadzisz sklepy internetowe z WordPress ? Albo ustawić je dla swoich klientów? Następnie należy zapoznać się z "drugą europejską dyrektywą w sprawie usług płatniczych", lepiej znaną jako PSD2. Przewiduje on nowe procedury uwierzytelniania klienta podczas procesu płatności. Wymieniamy najważniejsze zalecenia dotyczące działań i Pluginsdla WooCommerce.

Tl;dr - nie panikuj.

Zazwyczaj PSD2 jest szczególnie przydatne dla właściciela sklepu, gdy klienci płacą kartą kredytową. I nawet wtedy, twój dostawca usług ma obowiązek. Jedyne co musisz zrobić, to upewnić się, że Twój dostawca usług jest już zgodny z PSD2. Aby być po bezpiecznej stronie, sprawdź wszystkie inne oferowane przez Ciebie opcje płatności. Więcej na ten temat za chwilę.

To samo odnosi się do agencji i freelancerów. Tutaj powinieneś sprawdzić płatnościPlugins lub powiązanych dostawców, z których korzystają Twoi klienci: Czy zmienili swoje procesy na PSD2? W przeciwnym razie należy szukać alternatywnych rozszerzeń. Wyczerpujące informacje można WooCommerceznaleźć w naszym ponad 70 stronicowym e-booku WooCommerce dla profesjonalistów.

Uwaga

Ten wpis na blogu nie jest poradą prawną. Jak WordPress hoster sami poradziliśmy sobie z PSD2. Ale my nie jesteśmy prawnikami. Więc zasięgnij porady odpowiedniej firmy prawniczej w zakresie prawa online.

Co to jest PSD2 aka SCA? A kogo to dotyczy?

Od dnia 14 września 2019 r. powinny mieć zastosowanie nowe przepisy UE dotyczące płatności. Druga europejska dyrektywa w sprawie usług płatniczychW skrócie PSD2. Obejmuje to obowiązek bezpiecznego uwierzytelniania klientów w przypadku ofert bankowości internetowej. W języku angielskim: Strong Customer Authentication (SCA).

Wprowadzenie nowych zasad płatności w Internecie jest obecnie następujące chociaż przełożony. "Tymczasowo", jak to mówią. Dzieje się tak dlatego, że władze obawiają się, że przedsiębiorstwa nie są jeszcze wystarczająco przygotowane na przyjęcie dyrektywy. A jednak powinniście wdrożyć dyrektywę lub już ją wdrożyliście. Więcej na ten temat później.

WooCommerce gratis Hosting

Głównym celem jest uczynienie zakupów w Internecie bezpieczniejszymi. A Silne uwierzytelnienie klienta - lub również dwuskładnikowe uwierzytelnianie (2FA) - jest wtedy wymagane przez prawo. Wiele banków przekształciło już swoje procesy, a Twój bank z pewnością już się z Tobą skontaktował.

W przypadku sklepów internetowych dotyczy to głównie płatności kartą kredytową. O ile nie są one już opłacone w ramach bezpiecznej procedury, takiej jak 3-D Bezpieczne lub uruchomić 3D-S. Ale uważaj: Ze względu na PSD2, również tutaj wymagana jest rozszerzona procedura, zwana 3D Secure 2.0krótki 3DS2.

Do tej pory klienci dokonujący zakupów często potrzebowali jedynie numeru swojej karty kredytowej i związanego z nią znaku kontrolnego, aby dokonać zakupu. W przyszłości wymagany będzie również numer transakcji (TAN), który jest wysyłany na telefon komórkowy lub smartfon, oraz hasło. Prawdopodobnie znasz tę procedurę z bankowości internetowej. Papierowe listy z numerami transakcji, w skrócie iTAN, nie będą już dozwolone w przyszłości.

Uwaga

PSD2 nie ma wpływu na zakup na rachunek i poprzez polecenie zapłaty. Zob. wyjaśnienia dotyczące kancelaria prawna IT.

Co musisz wiedzieć jako właściciel sklepu lub profesjonalista WP?

W przyszłości należy upewnić się, że przy płatności kartą kredytową lub innymi usługami (PayPal, Stripe, Amazon Pay, Apple Pay itp.) stosowana jest bezpieczna procedura. Zazwyczaj jednak nie trzeba tego wdrażać samemu, potrzebne są tu odpowiednie firmy usługowe. Chyba że używasz bardzo egzotycznego lub domowego rozwiązania. Powinieneś mieć to sprawdzone pod kątem PSD2 przez odpowiednią kancelarię prawną specjalizującą się w prawie online.

Wszyscy główni dostawcy pracują gorączkowo nad wdrożeniem nowej dyrektywy. Sprawdź w usługach, z których korzystasz: Jaki jest tu status? Czy uwierzytelnienie jest już zgodne z PSD2? Nowe przepisy UE wreszcie wchodzą w życie, a Państwa dostawca usług nie jest jeszcze gotowy? Następnie należy zaznaczyć, aby nie oferować opcji płatności, dopóki nie zostanie ona poprawiona.

Wprowadzono również zmiany do "natychmiastowego przelewu bankowego". Procedura otrzymuje według dostawcy Klarna dodatkowy krok uwierzytelniający, który ma zostać przejęty przez odpowiedni bank. Należy obserwować, z jakich usług płatniczych będzie można korzystać w przyszłości i czy będzie to miało wpływ na Twoją Konwersja w sklepie.

Ważne

Państwa dostawcy przekazują za pośrednictwem PSD2 inne dane niż dotychczas? Albo integrujesz nowe usługi płatnicze? Wtedy może będziesz musiał zmienić swój Teksty prawne w WooCommerce Dostosuj się.

Co ty mówiszWooCommerce?

Twórcy WooCommerce poświęcić się własny post na blogu. Według niej, większość dostawców usług płatniczych polega na 3D Secure 2, aby spełnić wymagania.

Zasadniczo, aby zapewnić "Silne Uwierzytelnienie Klienta", odpowiednie usługi musiałyby uwzględniać co najmniej dwa z trzech poniższych etapów:

  • Żądanie informacji, które zna tylko klient. Na przykład jego hasło lub odpowiedź na pytanie zabezpieczające.
  • Wysyłanie uwierzytelnienia do "procesu kontrolowanego przez klienta". Może to być sprzętowy token na głos WooCommercelub powiadomienie w trybie push na smartfonie.
  • Użycie fizycznego identyfikatora unikalnego dla klienta. Na przykład, odcisk palca lub identyfikator twarzy.

Jesteś zainteresowany dokładnymi szczegółami? To, na ile konkretne są wymogi, na przykład czy odpowiedź na pytanie dotyczące bezpieczeństwa jest wystarczająca, określają traktaty UE. Patrz. aktualna wersja w sprawie "Regulacyjnych standardów silnego uwierzytelniania klientów".

W zależności od stanu techniki - i tego, które metody będą najprawdopodobniej wykorzystywane przez hakerów - w średniej i długiej perspektywie czasowej mogą jeszcze zostać wprowadzone pewne zmiany. Walka o większe bezpieczeństwo jest zawsze jak gra w kotka i myszkę.

Jakie są możliwości integracji?

WooCommerce nazywa niektórych dostawców lub ich WordPress -Pluginsktóre już teraz mają być "PSD2 gotowe". Połączyliśmy przedłużenia tutaj dla ciebie:

Używasz innych metod płatności i sieci niż te wymienione tutaj? Zapytaj odpowiednich programistów, czy i kiedy PSD2 zostanie wdrożone. Jeśli tak nie jest, należy poszukać alternatywy Pluginlub usługi.

Doceniamy Twoją opinię

Zapytałeś już swojego dostawcę? Albo masz dla nas Pluginnapiwek? Podziel się swoimi doświadczeniami w komentarzach.

Zasady zawarte w PSD2 dotyczą również płatności w modelu abonamentowym. Na przykład, jeśli używasz Plugin WooCommerce Abonamenty pracę umożliwiającą dokonywanie powtarzających się płatności.

WooCommerce dla freelancerów i agencji

Czy PSD2 lub SCA mają zastosowanie również do dealerów spoza UE?

Niekoniecznie zależy to od siedziby dealera. To jest WooCommercecałkiem jasne:

NZK ma zastosowanie nawet wtedy, gdy bank przejmujący lub przetwarzający znajduje się na terenie Europejskiego Obszaru Gospodarczego (EOG), a instrument płatniczy klienta został wydany na terenie EOG.

Europejski Obszar Gospodarczy obejmuje wszystkie państwa członkowskie Unii Europejskiej oraz Islandię, Liechtenstein i Norwegię. Dlatego też sprzedawca zagraniczny musi w pełni współpracować z krajowymi dostawcami usług, bankami i klientami, aby zapewnić, że PSD2 lub Silne Uwierzytelnienie Klienta nie będzie miało na niego wpływu. Jest to jeden z powodów, dla których międzynarodowi dostawcy usług płatniczych tak śpieszą się z przestrzeganiem tych wymogów. Europejskie wezwanie do zwiększenia bezpieczeństwa sieci ma skutki globalne.

Czy TAN za pomocą SMS-ów będzie nadal dozwolony?

W tym samym czasie, co PSD2, w kręgach ekspertów rozwinęła się boczna dyskusja na temat tego, jak bezpieczny jest nadal TAN poprzez SMS (znany również jako mTAN). Patrz artykuł Bankowość internetowa i PSD2 na heise.com. Ponieważ w ostatnim czasie rośnie liczba zgłoszeń o próbach zamachów, w których przejęto telefon komórkowy lub smartfon ofiary. Na przykład poprzez phishing maili lub manipulowanych aplikacji.

Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) pisze o tym:

Chociaż metoda mTan jest praktyczna i przyjazna dla użytkownika, niestety wiąże się również z pewnym ryzykiem. W pewnych okolicznościach przestępcy mogą przechwycić lub przekierować wiadomości SMS wysyłane w celu uwierzytelnienia... BSI zaleca zatem, aby nie stosować procedur mTAN.

W ramach PSD2, mTAN ma pozostać dozwolony do chwili obecnej. Jednakże banki już teraz szukają alternatyw. Heise nazwy pushTAN, chipTAN, photoTAN, appTAN i signaturTAN.

Co powinna zrobić PSD2?

Celem dyrektywy jest nie tylko zwiększenie bezpieczeństwa (internetowych) transakcji płatniczych. Inicjatorzy mają również nadzieję, że konkurencja na rynku stanie się silniejsza. Polski bank formułuje to w swoim Informacje o PSD2 w następujący sposób:

Konsumenci nie muszą logować się do systemu bankowości internetowej swojej instytucji kredytowej na przykład podczas dokonywania zakupów w Internecie, ale mogą zamówić przelew za pośrednictwem usługi inicjowania płatności oferowanej na stronie internetowej sprzedawcy.

Mów dalej:

PSD2 reguluje dostęp tych "zewnętrznych dostawców usług płatniczych" do rachunków płatniczych u dostawców usług płatniczych posiadających rachunek. Jednak dostęp jest udzielany tym dostawcom tylko wtedy, gdy użytkownik jako właściciel konta wyraźnie się na to zgodzi.

W przyszłości na rynku płatności internetowych będzie więc o wiele więcej graczy. Banki i instytucje kredytowe tracą władzę. Integracja "zewnętrznych dostawców usług płatniczych" - znajdujących się jednak pod nadzorem i kontrolą krajowych organów nadzorczych - umożliwi rozwój zupełnie nowych usług i pomysłów biznesowych. W Niemczech tym organem nadzorczym jest Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Wyjątki od PSD2

Różne media i banki informują o wyjątkowych przypadkach, w których dostawcy usług płatniczych mogą zrezygnować z silnego uwierzytelniania klientów. Na przykład w przypadku "elektronicznych transakcji płatniczych na odległość" wymieniony jest limit w wysokości 30 EUR. Poniżej tego progu nie jest wymagane dwukierunkowe uwierzytelnianie. Więcej informacji można znaleźć w poście na blogu PSD2 i SCA z kancelarii prawnej Wilde Beuger Solmecke.

Pozytywny WordPress wpływ na klimat

Die Sam BaFin wspomina o progu 50 euro, ale dla bezdotykowych płatności kartą. W przypadku płatności kartą w Internecie wyraża się ona bardziej mgliście. Dostawcy usług płatniczych mogliby tu przeprowadzić tzw. analizę ryzyka transakcji. Tak mówi agencja federalna:

Każda płatność przychodząca jest automatycznie sprawdzana w celu sprawdzenia, czy ryzyko oszustwa jest niskie ... Jeśli informacje o płatności dostępne dla dostawcy usług płatniczych sprawiają wrażenie zwiększonego ryzyka oszustwa, musi on przeprowadzić silną autoryzację klienta.

Oznaką zwiększonego ryzyka oszustwa powinno być na przykład odchylenie od zwykłych wzorców zachowań klienta. Albo podobieństwo do znanych schematów oszustw. Odpowiedni odpoczynek planowany jest również dla klientów B2B. I ma istnieć biała lista, na której bank będzie mógł klasyfikować swoich klientów korporacyjnych jako godnych zaufania płatników.

Jednak jako operator sklepu zazwyczaj nie musisz martwić się o takie ograniczenia sam, jeśli w grę wchodzi dostawca usług.

Inne źródła

Chcesz wiedzieć więcej o PSD2 aka SCA? Tutaj znajdziesz odpowiednie artykuły techniczne dla użytkowników i programistów:

Dalsze wskazówki można WooCommerceznaleźć w naszym ponad 70 stronicowym e-booku WooCommerce w przypadku specjalistów: sklepy internetowe z WordPress. Jest on skierowany do freelancerów, agencji, profesjonalistów WP, ale także do początkujących.

Masz pytania dotyczące PSD2 i WooCommerce? Zachęcamy do skorzystania z funkcji komentarza. Chcesz więcej wskazówek na temat WordPress i WooCommerce? Następnie podążaj za nami Twitter, Facebook albo o naszym Newsletter.

Zdjęcie: William Iven

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.