WooCommerce PSD2

PSD2 & WooCommerce : Vad du behöver veta för din webbshop

Driver du onlinebutiker med WordPress? Eller ställa in dem för dina kunder? Då bör du känna till "andra europeiska betaltjänstdirektivet", mer känt som PSD2. Den föreskriver nya procedurer för kundautentisering i betalningsprocessen. Vi namnger de viktigaste rekommendationerna för åtgärder och plugins för WooCommerce. tl;dr – få inte panik.

Som regel spelar PSD2 in för dig som butiksägare, särskilt när dina kunder betalar med kreditkort. Och även då har din tjänsteleverantör en skyldighet. Allt du behöver göra är att se till att den redan är PSD2-kompatibel. För att vara på den säkra sidan, kontrollera alla andra betalningsalternativ som du erbjuder. Mer om det om ett ögonblick.

Detsamma gäller byråer och frilansare. Här bör du kontrollera betalningspluginerna eller de associerade leverantörerna som används av dina kunder: Har de ändrat sina processer till PSD2? Annars, håll utkik efter alternativa förlängningar. Omfattande information om WooCommerce du hittar den i vår 70+ sida e-bok WooCommerce för yrkesverksamma.

Observera

Det här blogginlägget är inte juridisk rådgivning. Som WordPress-värd har vi själva hanterat PSD2. Men vi är inte advokater. Så få råd från en lämplig advokatbyrå för online-juridik.

Vad är PSD2 aka SCA?

Från och med den 14 september 2019 bör nya EU-regler för betalningstransaktioner tillämpas: det andra europeiska betaltjänstdirektivet, PSD2 för kort. Detta inkluderar skyldigheten att säkert autentisera kunder med onlinebanktjänster. På engelska: Stark kundautentisering (SCA).

Införandet av de nya betalningsreglerna på Internet har nu skjutits upp. "Tillfälligt", som de säger. Myndigheterna är oroade över att företagen ännu inte är tillräckligt förberedda för direktivet. Och ändå bör ni genomföra politiken nu eller genomföra den. Mer om det senare.

I grunden handlar det om att göra online-shopping säkrare. Stark kundautentisering – eller 2FA -autentisering krävs sedan enligt lag. Många banker har redan ändrat sina processer, och din husbank har verkligen redan kontaktat dig.

När det gäller onlinebutiker påverkar detta främst betalningar med kreditkort. Om de inte redan körs via ett säkert förfarande som 3D Secure eller .3D-S. Men var försiktig: Även här krävs en utökad procedur på grund av PSD2, kallad 3D Secure 2.0 eller 3DS2 för kort.

Hittills har shoppingkunder ofta bara behövt sitt kreditkortsnummer och den tillhörande checksiffran för att slutföra ett köp. I framtiden kommer ett transaktionsnummer (TAN), som skickas till mobiltelefonen eller smarttelefonen, och ett lösenord också att krävas. Du känner verkligen till denna procedur från din internetbank. Papperslistor med transaktionsnummer, iTAN för kort, kommer inte längre att tillåtas i framtiden.

Observera

Köp på konto och via autogiro påverkas inte av PSD2. Se förklaringarna från IT-advokatbyrån.

Vad behöver du veta?

I framtiden måste du se till att ett säkert förfarande används när du betalar med kreditkort eller andra tjänster (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). Som regel behöver du dock inte implementera detta själv, här är respektive tjänsteleverantörer efterfrågade. Om du inte använder en mycket exotisk eller självtillverkad lösning. Du bör kontrollera dessa för PSD2 av en lämplig advokatbyrå för online-lag.

Alla större leverantörer arbetar febrilt med genomförandet av det nya direktivet. Fråga vilka tjänster du använder: Vad är statusen här? Är autentisering redan PSD2-kompatibel? De nya EU-reglerna håller äntligen på att lanseras, och din tjänsteleverantör är ännu inte redo? Då bör du kontrollera att du inte erbjuder betalningsvarianten förrän den har förbättrats.

Det finns också ändringar till "Sofortüberweisungen". Enligt leverantören Klarna får förfarandet ytterligare ett autentiseringssteg, som ska tas över av respektive bank. Du bör observera vilken betaltjänst som kan drivas hur bra i framtiden, och om detta påverkar din konvertering i butiken.

Viktigt

Dina leverantörer vidarebefordrar olika data via PSD2 än tidigare? Eller införlivar du nya betaltjänster? Då kan du behöva använda din Rechtsexte i WooCommerce anpassa.

Vad säger WooCommerce därtill?

Skaparna av WooCommerce ägna ett separat blogginlägg till ämnet. Enligt dem förlitar sig de flesta betaltjänstleverantörer på 3D Secure 2 för att uppfylla kraven.

I allmänhet skulle lämpliga tjänster behöva överväga minst två av följande tre steg i framtiden för att säkerställa "Stark kundautentisering":

  • Fråga en information som bara kunden känner till. Till exempel hans lösenord eller svaret på en säkerhetsfråga.
  • Skicka autentisering till en "kunddriven åtgärd". Detta kan vara bullrigt WooCommerce vara en maskinvarutoken eller push-meddelande till din smartphone.
  • Användning av en fysisk identifierare som är unik för kunden. Till exempel ett fingeravtryck eller ett Face ID.

Är du intresserad av de exakta detaljerna? Hur konkreta kraven är, det vill säga om svaret på en säkerhetsfråga är tillräckligt, bestäms av EU-fördragen. Se den aktuella versionen av "Regulatory Standards for Strong Customer Authentication".

Beroende på den senaste tekniken - och vilka metoder som mest sannolikt kommer att utnyttjas av hackare - kommer det sannolikt att bli vissa justeringar på medellång och lång sikt. Kampen för mer säkerhet är alltid som ett katt-och-råtta-spel.

Möjligheter till integration

WooCommerce namnger vissa leverantörer eller deras WordPress-plugins, som redan borde vara "PSD2 redo". Vi har länkat tilläggen för dig här:

Använder du andra betalningsmetoder och nätverk än de som nämns här? Fråga respektive utvecklare om och när PSD2 kommer att implementeras. Om så inte är fallet bör du leta efter ett alternativt plugin eller en annan tjänst.

Vi välkomnar din feedback

Har du redan frågat din leverantör? Eller har du ett plugin-tips för oss? Dela gärna med dig av dina erfarenheter i kommentarerna.

För övrigt gäller reglerna för PSD2 också för betalningar i prenumerationsmodellen. Om du till exempel använder plugin-programmet WooCommerce Prenumerationer fungerar för att möjliggöra återkommande betalningar.

Gäller PSD2 eller SCA även handlare utanför EU?

Det beror inte nödvändigtvis på återförsäljarnas huvudkontor. Det är här det manifesterar sig WooCommerce Klart:

SCA gäller även om den förvärvande banken eller förädlaren är belägen inom Europeiska ekonomiska samarbetsområdet (EES) och kundens betalningsinstrument har utfärdats inom EES.

Europeiska ekonomiska samarbetsområdet omfattar alla EU:s medlemsstater samt Island, Liechtenstein och Norge. En handlare utomlands måste därför arbeta helt med inhemska tjänsteleverantörer, banker och kunder så att han inte påverkas av PSD2 eller Stark kundautentisering. Detta är en av anledningarna till att internationella betaltjänstleverantörer har så bråttom att uppfylla kraven. EU:s krav på ökad säkerhet på Internet har globala konsekvenser.

Kommer TAN via SMS att tillåtas?

Samtidigt som PSD2 har en sidodiskussion utvecklats i expertkretsar om hur säker TAN via SMS (även kallad mTAN) fortfarande är. Se artikeln Online Banking och PSD2 på heise.de. På senare tid har det kommit fler och fler rapporter om attackförsök där offrens mobiltelefoner eller smartphones tas över. Till exempel via phishing-e-postmeddelanden eller manipulerade appar.

Federal Office for Information Security (BSI) skriver:

Även om mTan-proceduren är praktisk och användarvänlig, medför den tyvärr också vissa risker. Brottslingar kan kanske fånga upp eller omdirigera SMS-meddelanden som skickas för autentisering ... BSI rekommenderar därför att användningen av mTAN-förfaranden avskaffas.

Inom ramen för PSD2 ska mTAN vara tillåtet hittills. Bankerna letar dock redan efter alternativ. Heise nämner pushTAN, chipTAN, photoTAN, appTAN och signaturTAN.

Vad ska PSD2 göra?

Direktivet är inte bara avsett att göra (online) betalningstransaktioner säkrare. Initiativtagarna hoppas också att konkurrensen på marknaden kommer att bli starkare. Deutsche Bundesbank formulerar det i sin information om PSD2 på följande sätt:

.B Konsumenter behöver inte logga in på din banks internetbank när de gör ett köp på Internet, men kan beställa överföringen via en betalningsinitieringstjänst som erbjuds på handelswebbplatsen.

Och vidare:

PSD2 reglerar dessa "tredjepartsleverantörers" tillgång till betalkontona hos kontona som betjänar betaltjänstleverantörer. Åtkomst beviljas dock endast till dessa leverantörer om du som kontoinnehavare uttryckligen samtycker till detta.

I framtiden kommer det att finnas många fler aktörer på marknaden för onlinebetalning. Bankerna och kreditinstituten förlorar makten. Medverkan av "tredjepartsleverantörer av betaltjänster" – som dock står under övervakning och kontroll av nationella tillsynsmyndigheter – gör det möjligt att utveckla helt nya tjänster och affärsidéer. I Tyskland är denna tillsynsmyndighet den federala finansinspektionen (BaFin).

Undantag från PSD2

Olika medier och banker rapporterar om exceptionella fall där betaltjänstleverantörer kan avstå från stark kundautentisering. Till exempel krävs en gräns på 30 euro för "elektroniska transaktioner för fjärrbetalning". Under detta tröskelvärde krävs inte nödvändigtvis tvåvägsautentisering. Mer information finns i blogginlägget PSD2 och SCA från advokatbyrån Wilde Beuger Solmecke.

BaFin själv nämner en tröskel på 50 euro, men för kontaktlösa kortbetalningar. När det gäller kortbetalningar på Internet uttrycker det sig mer vagt. Betaltjänstleverantörerna skulle här kunna göra en så kallad transaktionsriskanalys. Bundesanstalt säger:

Varje inkommande betalning kontrolleras automatiskt för att se om risken för bedrägeri är låg ... Om den betalningsinformation som betalningsleverantören har tillgång till ger intryck av en ökad risk för bedrägeri ska den utföra stark kundautentisering.

Indikationer på ökad risk för bedrägeri bör till exempel vara en avvikelse från kundens vanliga beteendemönster. Eller en likhet med kända bedrägerimönster. Motsvarande avslappningar planeras också i B2B. Och det bör finnas en vitlista där en bank kan klassificera sina företagskunder som pålitliga betalare.

Som butiksoperatör behöver du dock vanligtvis inte oroa dig för sådana gränser själv, förutsatt att en tjänsteleverantör är mellanhand.

Relaterade källor

Vill du veta mer om PSD2 aka SCA? Här är lämpliga tekniska artiklar för användare och utvecklare:

Fler tips om WooCommerce hittar du i vår 70+ sida e-bok WooCommerce för proffs: onlinebutiker med WordPress . Det riktar sig till frilansare, byråer, WP proffs samt nybörjare.

Dina frågor om PSD2

Vilka frågor har du? Använd gärna kommentarsfunktionen. Du vill ha fler tips på WordPress & WooCommerce? Följ oss sedan på Twitter, Facebook eller via vårt nyhetsbrev.

Utvald bild: William Iven

Tyckte du om artikeln?

Med din recension hjälper du oss att förbättra vårt innehåll ytterligare.

Skriva en kommentar

Din e-postadress kommer inte att publiceras.