PSD2 & WooCommerce: O que você precisa saber para a sua loja online

Michael Firnkes Última atualização em 20.10.2020
6 min.
WooCommerce PSD2
Última atualização em 20.10.2020

Você administra lojas online com WordPress ? Ou você as prepara para os seus clientes? Então você deve conhecer a "Segunda Directiva Europeia de Serviços de Pagamento", mais conhecida como PSD2. Prescreve novos procedimentos para a autenticação do cliente no processo de pagamento. Nós listamos as recomendações mais importantes para ação e Plugins para WooCommerce.

tl;dr - não entre em pânico.

Como regra, o PSD2 entra em jogo para você como proprietário de uma loja quando seus clientes pagam com cartão de crédito. E mesmo assim, o seu fornecedor de serviços é responsável. Você só tem que ter certeza de que eles já estão em conformidade com o PSD2. Para estar no lado seguro, verifique também todas as outras opções de pagamento que você oferece. Mais sobre isto dentro de momentos.

O mesmo se aplica a agências e freelancers. Aqui você deve verificar o pagamentoPlugins ou os provedores associados que são usados por seus clientes: Eles converteram seus processos para PSD2? Se não, fique de olho em extensões alternativas. Você pode encontrar informações abrangentes em WooCommerce em nosso e-book de 70+ páginas WooCommerce para profissionais.

Nota

Este post no blog não é um conselho legal. Como anfitrião doWordPress , nós mesmos já lidamos com o PSD2. No entanto, nós não somos advogados. Portanto, deixe-se aconselhar por um escritório de advocacia adequado para o direito online.

O que é PSD2 aka SCA? E quem é que isso afecta?

As novas regras da UE para transacções de pagamento devem aplicar-se a partir de 14 de Setembro de 2019: a Segunda Directiva Europeia de Serviços de Pagamento, ou PSD2, para abreviar. Isto inclui a obrigação de autenticação segura do cliente para ofertas bancárias online. Em inglês: Strong Customer Authentication (SCA).

A introdução das novas regras de pagamento na Internet foi agora adiada. "Temporariamente", como eles dizem. Porque as autoridades estão preocupadas que as empresas ainda não estejam suficientemente preparadas para a directiva. E, no entanto, você já deve implementar a directiva ou tê-la implementado. Mais sobre isto mais tarde.

No seu cerne, trata-se de tornar as compras na Internet mais seguras. Uma forte autenticação do cliente - ou autenticação de 2 fatores (2FA) - é então exigida por lei. Muitos bancos já mudaram seus processos, e seu banco certamente já o contactou.

Nas lojas online, isto afecta principalmente os pagamentos por cartão de crédito. A menos que já estejam usando um procedimento seguro, como o 3-D Secure ou 3D-S. Mas tenha cuidado: devido ao PSD2, também aqui é necessário um procedimento prolongado, chamado 3D Secure 2.0, ou 3DS2, para abreviar.

Até agora, os clientes de compras muitas vezes precisavam apenas do número do cartão de crédito e do dígito de verificação correspondente para completar uma compra. No futuro, um número de transação (TAN), que é enviado para o telefone celular ou smartphone, e uma senha também será necessária. Você certamente conhece este procedimento do seu banco online. Listas em papel com números de transações, abreviadamente iTAN, não serão mais permitidas no futuro.

Nota

As compras por conta e por débito directo não são afectadas pelo PSD2. Veja as explicações do IT-Recht Kanzlei.

O que você precisa saber como proprietário de uma loja ou profissional WP?

No futuro, você deve garantir que um procedimento seguro seja usado quando pagar via cartão de crédito ou outros serviços (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). No entanto, normalmente não é necessário implementar isto você mesmo; esta é a função dos respectivos prestadores de serviços. A menos que você use uma solução muito exótica ou feita por si mesmo. Você deve ter isso verificado por um escritório de advocacia especializado em direito on-line no que diz respeito ao PSD2.

Todos os principais provedores estão trabalhando febrilmente para implementar a nova política. Verifique com os serviços que você usa: Qual é a situação aqui? A autenticação já é compatível com o PSD2? As novas regras da UE estão finalmente a entrar em vigor e o seu fornecedor de serviços ainda não está pronto? Então você deve considerar não oferecer a opção de pagamento até que melhorias tenham sido feitas.

Há também mudanças na "Sofortüberweisung". Segundo o provedor Klarna, o procedimento receberá uma etapa adicional de autenticação, que será assumida pelo respectivo banco. Você deve observar qual serviço de pagamento pode ser usado no futuro e até que ponto, e se isso tem um impacto na sua conversão na loja.

Importante

Os seus fornecedores passam dados diferentes dos anteriores devido ao PSD2? Ou você integra novos serviços de pagamento? Então você pode ter que adaptar seus textos legais em WooCommerce.

O que diz WooCommerce ?

Os criadores de WooCommerce dedique um post de blog separado ao tópico. De acordo com eles, a maioria dos prestadores de serviços de pagamento depende do 3D Secure 2 para cumprir os requisitos.

Em geral, serviços adequados no futuro teriam de tomar pelo menos dois dos três passos seguintes em consideração para assegurar uma "Autenticação Forte do Cliente":

  • Solicitar informações que só o cliente conhece. Por exemplo, a sua senha ou a resposta a uma pergunta de segurança.
  • Envio de autenticação para um "processo controlado pelo cliente". Isto pode ser um token de hardware ou uma notificação push para o seu smartphone, de acordo com WooCommerce .
  • Utilização de um identificador físico único para o cliente. Por exemplo, uma impressão digital ou identificação facial.

Está interessado nos detalhes exactos? O quão concretos são os requisitos, ou seja, se a resposta a uma questão de segurança é suficiente, é determinado pelos tratados da UE. Veja a versão actual das "Normas regulamentares para uma forte autenticação do cliente".

Dependendo do estado da arte - e quais os métodos mais susceptíveis de serem explorados pelos hackers - provavelmente haverá alguns ajustes a médio e longo prazo. A luta por mais segurança assemelha-se sempre a um jogo de gato e rato.

Quais são as possibilidades de integração?

WooCommerce nomeia alguns provedores ou o seu WordPress -Plugins, que já deve estar "PSD2 pronto". Ligámos as extensões aqui para si:

Você usa outros métodos e redes de pagamento que não os aqui mencionados? Pergunte aos respectivos desenvolvedores se e quando o PSD2 será implementado. Se este não for o caso, então você deve procurar uma alternativa Plugin ou um serviço.

Estamos felizes com o seu feedback.

Já perguntou ao seu fornecedor? Ou você tem uma dica para nós em Plugin? Esteja à vontade para partilhar as suas experiências nos comentários.

As regras do PSD2 também se aplicam aos pagamentos no modelo de assinatura. Por exemplo, se você trabalha com Plugin WooCommerce Assinaturas para permitir pagamentos recorrentes.

O PSD2 ou SCA também se aplica a comerciantes de fora da UE?

Não depende necessariamente de onde os concessionários estão baseados. Aqui WooCommerce se expressa muito claramente:

A SCA também se aplica se o banco ou processador adquirente estiver localizado no Espaço Económico Europeu (EEE) e o instrumento de pagamento do cliente tiver sido emitido no EEE.

O Espaço Económico Europeu inclui todos os estados membros da União Europeia, bem como a Islândia, o Liechtenstein e a Noruega. Portanto, um comerciante no exterior deve trabalhar inteiramente com prestadores de serviços domésticos, bancos e clientes para evitar ser afetado pelo PSD2 ou pela Autenticação Forte de Cliente. Esta, entre outras razões, é a razão pela qual os prestadores de serviços de pagamento internacionais estão com tanta pressa em cumpri-la. O apelo europeu por mais segurança online tem implicações globais.

As TANs via SMS continuarão a ser permitidas?

Ao mesmo tempo que o PSD2, desenvolveu-se uma discussão lateral em círculos especializados sobre quão seguro o TAN via SMS (também conhecido como mTAN) ainda é. Veja o artigo Online banking e PSD2 no heise.de. Recentemente, tem havido um número crescente de relatos de tentativas de ataques em que o telemóvel ou smartphone da vítima é tomado de assalto. Por exemplo, através de e-mails de phishing ou aplicativos manipulados.

O Escritório Federal de Segurança da Informação (BSI) escreve sobre isso:

Embora o procedimento do mTan seja prático e de fácil utilização, infelizmente também acarreta alguns riscos. Em determinadas circunstâncias, os criminosos podem interceptar ou redirecionar as mensagens SMS enviadas para autenticação ... A BSI recomenda, portanto, não utilizar procedimentos mTAN.

No âmbito do PSD2, o mTAN deve permanecer permitido até agora. No entanto, os bancos já estão à procura de alternativas. Heise menciona pushTAN, chipTAN, fotoTAN, appTAN e signaturTAN.

O que é suposto o PSD2 conseguir?

A directiva não se destina apenas a tornar as transacções de pagamento (online) mais seguras. Os iniciadores também esperam que a concorrência no mercado se torne mais forte. O portugueses Bundesbank coloca-o da seguinte forma nas suas informações sobre o PSD2:

Por exemplo, os consumidores não têm que entrar no sistema bancário online da sua instituição de crédito quando fazem uma compra na Internet, mas podem iniciar a transferência através de um serviço de iniciação de pagamentos oferecido no site do comerciante.

E continua:

O PSD2 regula o acesso destes "prestadores de serviços de pagamento de terceiros" às contas de pagamento nos prestadores de serviços de pagamento que mantêm contas. No entanto, o acesso só é concedido a esses provedores se você, como titular da conta, concordar explicitamente com isso.

No futuro, haverá muito mais jogadores no mercado de pagamentos online. Os bancos e as instituições de crédito estão perdendo poder. A integração de "terceiros prestadores de serviços de pagamento" - que estão, contudo, sob a supervisão e controlo das autoridades de supervisão nacionais - permite o desenvolvimento de serviços e ideias de negócio inteiramente novos. Na Alemanha, esta autoridade de supervisão é a Autoridade de Supervisão Financeira Federal (BaFin).

Excepções ao PSD2

Vários meios de comunicação social e bancos relatam casos excepcionais em que os prestadores de serviços de pagamento podem dispensar uma forte autenticação do cliente. Por exemplo, é mencionado um limite de 30 euros para "operações de pagamento à distância electrónico". Abaixo deste limiar, a autenticação nos dois sentidos não seria necessariamente necessária. Mais informações podem ser encontradas no blog post PSD2 e SCA do escritório de advocacia Wilde Beuger Solmecke.

O próprio BaFin menciona um limiar de 50 euros, mas para pagamentos com cartão sem contacto. Para pagamentos por cartão na Internet, ela se expressa de forma mais vaga. Os prestadores de serviços de pagamento poderiam realizar aqui uma chamada análise de risco de transação. A Agência Federal diz:

Cada pagamento recebido é automaticamente verificado para determinar se o risco de fraude é baixo ... Se as informações de pagamento disponíveis para o prestador de serviços de pagamento dá a impressão de um aumento do risco de fraude, o prestador de serviços de pagamento deve realizar uma forte autenticação do cliente.

As indicações de um aumento do risco de fraude devem ser, por exemplo, um desvio em relação aos padrões de comportamento habituais do cliente. Ou uma semelhança com padrões de fraude conhecidos. As relaxações correspondentes também estão previstas em B2B. E há uma lista branca na qual um banco pode classificar seus clientes corporativos como recebedores de pagamento confiáveis.

No entanto, como operador de loja, você normalmente não tem que se preocupar com tais limites, desde que um prestador de serviços seja interposto.

Outras fontes

Quer saber mais sobre o PSD2, também conhecido como SCA? Aqui estão os artigos adequados para usuários e desenvolvedores:

Você pode encontrar mais dicas em WooCommerce em nosso e-book de 70+ páginas WooCommerce para profissionais: Lojas online com WordPress . É destinado a freelancers, agências, profissionais do WP, mas também a iniciantes.

Você tem perguntas sobre PSD2 e WooCommerce? Esteja à vontade para usar a função de comentários. Você quer mais dicas sobre WordPress & WooCommerce? Depois siga-nos no Twitter, Facebook ou através da nossa newsletter.

Foto contribuinte: William Iven

O Michael é responsável pelas áreas de conteúdo e saúde mental na RAIDBOXES. Desde 2007 que ele é bastante ativo nas comunidades de bloggers e WordPress. Entre outras coisas, como co-organizador de eventos WordPress, autor de livros e formador de blogues corporativos. Ele gosta muito de escrever em blogues, tanto a nível profissional como pessoal. O Michael trabalha e escreve remotamente a partir da ensolarada cidade de Friburgo.

Artigos relacionados

Comentários sobre este artigo

Escreve um comentário

O teu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados com *.