04.12.19
aktualizacja 07.04.22
Michael Firnkes
0 komentarzy
Spis treści
WooCommerce PSD2

PSD2 i WooCommerce: Co musisz wiedzieć o swoim sklepie internetowym

Czy prowadzisz sklepy internetowe za pomocą WordPressa? Czy może ustawiasz je dla swoich klientów? W takim razie powinieneś wiedzieć o "Drugiej Europejskiej Dyrektywie o Usługach Płatniczych", znanej lepiej jako PSD2. Wprowadza nowe procedury uwierzytelniania klientów w procesie płatności. Wymieniamy najważniejsze zalecenia i wtyczki dla WooCommerce. tl;dr - nie panikuj.

Z reguły dyrektywa PSD2 dotyczy Ciebie, jako właściciela sklepu, gdy Twoi klienci płacą kartą kredytową. Nawet wtedy Twój dostawca usług ma obowiązek się do tego dostosować. Musisz tylko upewnić się, że są one zgodne z PSD2. Dla bezpieczeństwa sprawdź też wszystkie inne opcje płatności, które oferujesz. Więcej na ten temat za chwilę.

To samo dotyczy agencji i freelancerów. W tym miejscu powinieneś sprawdzić wtyczki płatnicze lub powiązanych dostawców, z których korzystają Twoi klienci: Czy dostosowali swoje procesy do PSD2? Jeśli nie, zwróć uwagę na alternatywne przedłużenia. Szczegółowe informacje na temat WooCommerce znajdziesz w ponad 70-stronicowym e-booku WooCommerce dla profesjonalistów.

Uwaga

Ten wpis nie jest poradą prawną. Jako hosting WordPress, sami zajmowaliśmy się PSD2. Nie jesteśmy jednak prawnikami. Dlatego skorzystaj z porady odpowiedniej kancelarii prawnej zajmującej się prawem internetowym.

Czym jest PSD2 czyli SCA?

Od 14 września 2019 roku zaczną obowiązywać nowe unijne przepisy dotyczące transakcji płatniczych: Druga europejska dyrektywa w sprawie usług płatniczych, w skrócie PSD2. Obejmuje to obowiązek bezpiecznego uwierzytelniania klientów w przypadku ofert bankowości internetowej. W języku angielskim: Strong Customer Authentication (SCA).

Wprowadzenie nowych zasad płatności w internecie zostało odłożone na później. "Tymczasowo", jak to się mówi. Władze obawiają się, że firmy nie są jeszcze dostatecznie przygotowane na przyjęcie dyrektywy. A przecież powinieneś już wdrożyć tę dyrektywę lub mieć ją wdrożoną. Więcej o tym później.

W gruncie rzeczy chodzi o to, aby zakupy w Internecie były bezpieczniejsze. Silne uwierzytelnianie klienta - lub uwierzytelnianie dwuetapowe (2FA) - jest wymagane przez prawo. Wiele banków już zmieniło swoje procesy, a Twój bank z pewnością już się z Tobą skontaktował.

W sklepach internetowych dotyczy to głównie płatności kartą kredytową. Chyba że używają już bezpiecznej procedury, takiej jak 3-D Secure lub 3D-S. Ale uwaga: również w tym przypadku wymagana jest rozszerzona procedura wynikająca z PSD2, zwana 3D Secure 2.0, w skrócie 3DS2.

Do tej pory klienci dokonujący zakupów często potrzebowali jedynie numeru karty kredytowej i odpowiedniej cyfry kontrolnej, aby dokonać zakupu. W przyszłości wymagany będzie także numer transakcji (TAN), który jest wysyłany na telefon komórkowy lub smartfon, oraz hasło. Z pewnością znasz tę procedurę z bankowości internetowej. Papierowe listy z numerami transakcji, w skrócie iTAN, nie będą już w przyszłości dozwolone.

Uwaga

PSD2 nie ma wpływu na zakupy na rachunek i poprzez polecenie zapłaty. Zobacz wyjaśnienia IT-Recht Kanzlei.

Co musisz wiedzieć?

W przyszłości musisz upewnić się, że podczas płatności kartą kredytową lub za pośrednictwem innych usług (PayPal, Stripe, Amazon Pay, Apple Pay itp.) stosowana jest bezpieczna procedura. Z reguły jednak nie musisz tego robić samodzielnie — jest to zadanie dla odpowiednich dostawców usług. Chyba że używasz bardzo egzotycznego lub samodzielnie wykonanego rozwiązania. Powinieneś zlecić sprawdzenie tego faktu odpowiedniej kancelarii prawnej specjalizującej się w prawie internetowym w odniesieniu do PSD2.

Wszyscy główni dostawcy pracują gorączkowo nad wdrożeniem nowej dyrektywy. Sprawdź w serwisach, z których korzystasz: Jaki jest status tego miejsca? Czy uwierzytelnianie jest już zgodne z PSD2? Nowe przepisy UE w końcu wchodzą w życie, a Twój dostawca usług nie jest jeszcze gotowy? W takim przypadku powinieneś rozważyć wstrzymanie się z oferowaniem opcji płatności do czasu wprowadzenia usprawnień.

Wprowadzono również zmiany w "Sofortüberweisung". Według dostawcy Klarna, procedura otrzyma dodatkowy etap uwierzytelniania, który zostanie przejęty przez odpowiedni bank. Powinieneś obserwować, z jakich usług płatniczych można korzystać w przyszłości i jak dobrze, oraz czy ma to wpływ na konwersję w sklepie.

Ważne

Czy w związku z PSD2 Twoi dostawcy przekazują inne dane niż dotychczas? A może integrujesz nowe usługi płatnicze? W takim wypadku możesz być zmuszony do dostosowania swoich tekstów prawnych w WooCommerce.

Co mówi WooCommerce?

Twórcy WooCommerce poświęcają temu tematowi osobny wpis na blogu. Według nich, większość dostawców usług płatniczych polega na 3D Secure 2, aby spełnić wymagania.

Ogólnie rzecz biorąc, aby zapewnić "silne uwierzytelnianie klienta", odpowiednie usługi w przyszłości będą musiały uwzględniać co najmniej dwa z trzech poniższych kroków:

  • Żądaj informacji, które zna tylko klient. Na przykład hasło lub odpowiedź na pytanie zabezpieczające.
  • Wysłanie uwierzytelnienia do "procesu kontrolowanego przez klienta". Może to być sprzętowy token lub powiadomienie push na smartfonie, jak podaje WooCommerce .
  • Używanie fizycznego identyfikatora, który jest unikalny dla klienta. Na przykład odcisk palca lub Face ID.

Czy interesują cię dokładne szczegóły? Traktaty UE określają szczegółowe wymagania, np. czy odpowiedź na pytanie o bezpieczeństwo jest wystarczająca. Zobacz aktualną wersję "Standardów regulacyjnych dotyczących silnego uwierzytelniania klientów".

W zależności od stanu wiedzy - i od tego, które metody są najbardziej narażone na wykorzystanie przez hakerów - w średniej i długiej perspektywie czasowej będą prawdopodobnie wprowadzane pewne zmiany. Walka o większe bezpieczeństwo zawsze przypomina grę w kotka i myszkę.

Możliwości integracji

WooCommerce Nazwij niektórych dostawców i ich wtyczki do WordPressa, które są już "gotowe na PSD2". W tym miejscu zamieściliśmy odnośniki do rozszerzeń:

Korzystasz z innych metod i sieci płatności niż te wymienione tutaj? Zapytaj odpowiednich twórców, czy i kiedy PSD2 zostanie wdrożone. Jeśli tak nie jest, powinieneś poszukać alternatywnej wtyczki lub usługi.

Czekamy na Twoją opinię

Zapytałeś już swojego dostawcę? A może masz dla nas jakąś radę dotyczącą wtyczek? Podziel się swoimi doświadczeniami w komentarzach.

Zasady PSD2 dotyczą również płatności w modelu subskrypcyjnym. Na przykład, jeśli pracujesz z wtyczką WooCommerce Subscriptions, aby umożliwić powtarzające się płatności.

Czy PSD2 lub SCA dotyczą również sprzedawców spoza UE?

Niekoniecznie zależy to od miejsca, w którym znajdują się sprzedawcy. WooCommerce mówi o tym całkiem jasno:

SCA ma również zastosowanie, jeśli bank przyjmujący płatność lub podmiot przetwarzający płatność znajduje się w Europejskim Obszarze Gospodarczym (EOG), a instrument płatniczy klienta został wydany w EOG.

Europejski Obszar Gospodarczy obejmuje wszystkie kraje członkowskie Unii Europejskiej oraz Islandię, Liechtenstein i Norwegię. Dlatego zagraniczny sprzedawca musi współpracować z krajowymi dostawcami usług, bankami i klientami, aby PSD2 i silne uwierzytelnianie klientów nie miały na niego wpływu. Jest to jeden z powodów, dla których międzynarodowi dostawcy usług płatniczych tak bardzo spieszą się z przestrzeganiem przepisów. Europejskie wezwanie do zwiększenia bezpieczeństwa w sieci ma globalne implikacje.

Czy TAN-y poprzez SMS będą nadal dozwolone?

Równocześnie z PSD2 w kręgach ekspertów rozgorzała dyskusja na temat tego, jak bezpieczny jest TAN przez SMS (zwany też mTAN). Zobacz artykuł Bankowość internetowa i PSD2 na heise.de. Ostatnio coraz częściej słyszy się o próbach ataków, w których przejmowane są telefony komórkowe lub smartfony ofiar. Na przykład poprzez wiadomości phishingowe lub zmanipulowane aplikacje.

Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) pisze na ten temat:

Chociaż zabieg mTan jest praktyczny i przyjazny dla użytkownika, to niestety wiąże się z pewnym ryzykiem. W pewnych okolicznościach przestępcy mogą przechwycić lub przekierować wiadomości SMS wysyłane w celu uwierzytelnienia... Dlatego BSI zaleca, aby nie stosować procedur mTAN.

W ramach PSD2 sieć mTAN ma pozostać dozwolona do tej pory. Jednak banki już szukają alternatywnych rozwiązań. Heise wymienia pushTAN, chipTAN, photoTAN, appTAN i signaturTAN.

Co ma osiągnąć PSD2?

Dyrektywa ma na celu nie tylko zwiększenie bezpieczeństwa transakcji płatniczych (internetowych). Inicjatorzy mają również nadzieję, że konkurencja na rynku stanie się silniejsza. Deutsche Bundesbank formułuje je w następujący sposób w swojej Informacji o PSD2:

Na przykład, robiąc zakupy w internecie, konsumenci nie muszą logować się do systemu bankowości internetowej swojej instytucji kredytowej, ale mogą zainicjować przelew za pomocą usługi inicjowania płatności oferowanej na stronie internetowej sprzedawcy.

Dalej:

PSD2 reguluje dostęp tych "dostawców usług płatniczych będących osobami trzecimi" do rachunków płatniczych dostawców usług płatniczych prowadzących rachunki. Jednak dostęp do tych dostawców jest przyznawany tylko wtedy, gdy Ty jako właściciel konta wyraźnie wyrazisz na to zgodę.

W przyszłości na rynku płatności internetowych pojawi się znacznie więcej graczy. Banki i instytucje kredytowe tracą władzę. Integracja "zewnętrznych dostawców usług płatniczych" - którzy jednak pozostają pod nadzorem i kontrolą krajowych organów nadzoru - umożliwia rozwój zupełnie nowych usług i pomysłów biznesowych. W Niemczech tym organem nadzorczym jest Federalny Urząd Nadzoru Finansowego (BaFin).

Wyjątki od PSD2

Różne media i banki donoszą o wyjątkowych przypadkach, w których dostawcy usług płatniczych mogą zrezygnować z silnego uwierzytelniania klientów. Na przykład dla "elektronicznych transakcji płatniczych na odległość" przewidziano limit 30 euro. Poniżej tego progu uwierzytelnianie dwukierunkowe nie jest koniecznie wymagane. Więcej informacji można znaleźć we wpisie na blogu PSD2 i SCA autorstwa kancelarii Wilde Beuger Solmecke.

W samym dokumencie BaFin jest mowa o progu 50 euro, ale dla płatności kartą zbliżeniową. W przypadku płatności kartą w internecie wyraża się to w sposób bardziej niejasny. Dostawcy usług płatniczych mogą przeprowadzać tzw. analizę ryzyka transakcji. Agencja Federalna mówi:

W tym procesie każda płatność przychodząca jest automatycznie sprawdzana, czy ryzyko oszustwa jest niskie... Jeśli informacje o płatności, którymi dysponuje dostawca usług płatniczych, sprawiają wrażenie, że ryzyko oszustwa jest podwyższone, musi on przeprowadzić silne uwierzytelnianie klienta.

Oznaką zwiększonego ryzyka oszustwa powinny być np. odchylenia od zwykłych zachowań klienta. Albo podobieństwo do znanych schematów oszustw. Odpowiednie rozluźnienia planowane są także dla B2B. Bank będzie mógł zaklasyfikować swoich klientów korporacyjnych jako wiarygodnych odbiorców płatności.

Jednak jako właściciel sklepu zazwyczaj nie musisz sam zajmować się takimi ograniczeniami, pod warunkiem, że skorzystasz z usług dostawcy.

Dalsze źródła

Chcesz wiedzieć więcej o PSD2 aka SCA? Oto odpowiednie artykuły dla użytkowników i programistów:

Więcej wskazówek na temat WooCommerce znajdziesz w naszym ponad 70-stronicowym e-booku WooCommerce dla profesjonalistów: Sklepy internetowe z WordPress. Skierowany jest do freelancerów, agencji, profesjonalistów WP, ale także do początkujących.

Pytania dotyczące PSD2

Masz jakieś pytania? Zachęcamy do korzystania z funkcji komentarzy. Chcesz poznać więcej wskazówek na temat WordPressa i WooCommerce? Obserwuj nas na Twitterze, Facebooku lub za pośrednictwem naszego Newslettera.

Zdjęcie współtworzące projekt: William Iven

Spodobał Ci się ten artykuł?

Zostawiając opinię pomożesz nam udoskonalać publikowane przez nas treści.

Michael Firnkes

Michael zajmuje się magazynem i marketingiem treści w Raidboxes. Od 2007 roku jest aktywny w społeczności blogów i WordPressa. Jest między innymi współorganizatorem wydarzeń związanych z WordPressem, autorem książek i trenerem blogów korporacyjnych. Niesamowicie kocha pisać, zarówno zawodowo, jak i prywatnie. Michael pracuje zdalnie z Hamburga i Freiburga.

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane oznaczone są *.