PSD2 & WooCommerce : Vad du behöver veta för din webbshop

Michael Firnkes Senast uppdaterad den 20 oktober 2020
6 Min.
WooCommerce PSD2
Senast uppdaterad den 20 oktober 2020

Du driver onlinebutiker med WordPress ? Eller vill du ställa in dem för dina kunder? Då bör du känna till "Det andra europeiska betaltjänstdirektivet", mer känt som PSD2. Det kräver nya metoder för kundautentisering i betalningsprocessen. Vi identifierar de viktigaste rekommendationerna för åtgärder och Plugins För WooCommerce .

tl;dr - inte panik.

Som regel är PSD2 särskilt viktigt för dig som butiksägare när dina kunder betalar med kreditkort. Och även då är det din tjänsteleverantör som bestämmer. Allt du behöver göra är att se till att det redan PSD2-kompatibel. Av säkerhetsskäl kontrollerar du även alla andra betalningsalternativ som du erbjuder. Mer om detta på en tidsfråga.

Detsamma gäller byråer och frilansare. Här ska du betala de Plugins eller kontrollera de relaterade leverantörer som används av dina kunder: Har de bytt sina processer till PSD2? Annars, leta efter alternativa tillägg. Omfattande information om WooCommerce hittar du i vår 70+ sida e-bok WooCommerce för proffs.

Observera

Detta blogginlägg är inte juridisk rådgivning. Som WordPress värder som vi har behandlat PSD2 själva. Men vi är inte advokater. Så få råd från en lämplig advokatbyrå för online lag.

Vad är PSD2 aka SCA? Och vem angår det?

Från och med den 14 september 2019 bör nya EU-regler om betalningstransaktioner gälla: det andra europeiska betaltjänstdirektivet, psD2 för kort. Detta inkluderar skyldigheten att säkra kundautentisering för internetbankerbjudanden. Stark kundautentisering (SCA).

Införandet av de nya betalningsreglerna på Internet har nu skjutits upp. "Tillfälligt", som det kallas. Myndigheterna är oroliga för att företagen ännu inte är tillräckligt förberedda för direktivet. Och ändå bör ni få direktivet genomfört eller genomfört nu. Mer om det senare.

I grunden handlar det om att göra shopping på Internet säkrare. Stark kundautentisering—eller 2-faktorsautentisering (2FA)—krävs sedan enligt lag. Många banker har redan ändrat sina processer, och din bank har säkert redan kontaktat dig.

När det gäller online-butiker, detta påverkar främst betalningar med kreditkort. Om de inte redan kör en säker metod som 3-D Secure eller .3D-S. Men se upp: Återigen, ett avancerat förfarande, som kallas 3D Secure 2.0, kort 3DS2, krävs på grund av PSD2.

Hittills har shoppingkunder ofta bara behövt sitt kreditkortsnummer och den tillhörande kontrollsiffran för att slutföra ett köp. I framtiden kommer även ett transaktionsnummer (TAN) som skickas till mobiltelefonen eller smarttelefonen och ett lösenord att krävas. Du vet säkert detta förfarande från din internetbank. Papperslistor med transaktionsnummer, eller iTAN för kort, bör inte längre tillåtas i framtiden.

Observera

Köpet på konto och via autogiro påverkas inte av PSD2. Se förklaringarna av DEN-advokatbyrån.

Vad behöver du veta som butiksoperatör eller WP-proffs?

I framtiden måste du se till att ett säkert förfarande används när du betalar via kreditkort eller andra tjänster (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). Du behöver dock oftast inte genomföra detta själv, här är respektive tjänsteleverantörer efterfrågade. Om du inte använder en mycket exotisk eller självstickad lösning. Du bör ha detta kontrolleras för PSD2 av en lämplig online advokatbyrå.

Alla större leverantörer arbetar febrilt för att genomföra det nya direktivet. Fråga de tjänster du använder: Hur är läget här? Är autentisering redan PSD2-kompatibel? De nya EU-reglerna har äntligen börjat, och din tjänsteleverantör är ännu inte redo? Då bör du kontrollera att inte erbjuda betalningsalternativet tills förbättringar har gjorts.

Det finns också ändringar i "omedelbar överföring". Enligt leverantören Klarna får proceduren ytterligare ett autentiseringssteg, som ska övertas av respektive bank. Du bör se vilken betaltjänst som kommer att vara väl betjänad i framtiden och om detta kommer att påverka din konvertering i butiken.

Viktigt

Dina leverantörer vidarebefordrar olika data via PSD2 än tidigare? Eller inkluderar du nya betaltjänster? Då kan du behöva Högern exte i WooCommerce Anpassa.

Vad säger WooCommerce på det?

Skaparna av WooCommerce ägna ditt eget blogginlägg tillämnet . Hon säger att de flesta betaltjänstleverantörer förlitar sig på 3D Secure 2 för att uppfylla kraven.

I allmänhet skulle lämpliga tjänster måste överväga minst två av följande tre steg i framtiden för att säkerställa en stark kundautentisering:

  • Frågeinformation som bara kunden känner till. Till exempel hans lösenord eller svaret på en säkerhetsfråga.
  • Skickar autentisering till en "kundstyrd åtgärd". Detta kan WooCommerce vara en maskinvarutoken eller ett push-meddelande på din smartphone.
  • Använd en fysisk identifierare som är unik för kunden. Till exempel ett fingeravtryck eller ett ansikts-ID.

Är du intresserad av de exakta detaljerna? EU-fördragen visar hur specifika kraven är, dvs. Se den senaste versionen på "Regulatory Standards for Strong Customer Authentication".

Beroende på hur mycket som finns – och vilka förfaranden som mest sannolikt utnyttjas av hackare – kommer det sannolikt att bli några justeringar på medellång och lång sikt. Kampen för större säkerhet är alltid som en katt-och-råtta-lek.

Vilka möjligheter finns det för integration?

WooCommerce listar vissa leverantörer eller deras WordPress - Plugins , som redan ska vara "PSD2 redo". Vi har kopplat förlängningarna här för dig:

Du använder andra betalningsmetoder och nätverk än de som nämns här? Fråga respektive utvecklare om och när PSD2 kommer att genomföras. Om så inte är fallet, så ska du leta efter en alternativ Plugin eller service.

Vi uppskattar din feedback

Har du redan begärt från din leverantör? Eller så har du en Plugin -Tips för oss? Dela dina erfarenheter i kommentarerna.

Reglerna för PSD2 gäller även betalningar i prenumerationsmodellen. Om du t.ex. Plugin WooCommerce Prenumerationer fungerar för att möjliggöra återkommande betalningar.

Gäller PSD2 eller SCA även för handlare utanför EU?

Det spelar inte nödvändigtvis någon roll för återförsäljarnas säte. Det är här som WooCommerce Tydligt:

SCA skall också ansöka om den inlösande banken eller registerföraren finns i Europeiska ekonomiska samarbetsområdet (EES) och kundens betalningsinstrument har utfärdats i EES.

Europeiska ekonomiska samarbetsområdet omfattar alla medlemsstater i Europeiska unionen samt Island, Liechtenstein och Norge. En återförsäljare utomlands måste därför arbeta helt med inhemska tjänsteleverantörer, banker och kunder så att han inte påverkas av PSD2 eller Stark kundautentisering. Detta är en av anledningarna till att de internationella betaltjänstleverantörerna har så bråttom att uppfylla kraven. Det europeiska krav på mer säkerhet på internet har globala konsekvenser.

Kommer TAN förbli tillåtet via SMS?

Samtidigt med PSD2 har en sidodiskussion utvecklats i professionella kretsar om hur säkert TAN är via SMS (även kallad mTAN). Se artikeln Internetbank och PSD2 på heise.de. För nyligen ökar rapporter om försök till attacker, där offrens mobiltelefon eller smartphone tas över. Till exempel, via phishing e-post eller komprometterade apps.

Det federala kontoret för informationssäkerhet (BSI) skriver:

Även om mTan-processen är praktisk och användarvänlig medför den också vissa risker. Brottslingar kan eventuellt avlyssna eller omdirigera SMS-meddelanden som skickas för autentisering... BSI rekommenderar därför att man avstår från att använda mTAN-förfaranden.

Inom ramen för PSD2 är mTAN att förbli tillåtet tills nu. Bankerna letar dock redan efter alternativ. Heise samtal pushTAN, chipTAN, photoTAN, appTAN och signaturTAN.

Vad ska PSD2 göra?

Syftet med direktivet är inte bara att göra (online)betalningstransaktioner säkrare. Initiativtagarna hoppas också att konkurrensen på marknaden ska bli starkare. Det är svensk Bundesbank uttrycker det i sin information om PSD2 enligt följande:

Till exempel.B, konsumenterna behöver inte logga in på ditt kreditinstituts internetbank när du handlar på Internet, men kan beställa överföringen via en betalning initieringstjänst som erbjuds på handlarsidan.

Och vidare:

PSD2 reglerar dessa "tredje parts betaltjänstleverantörers" tillgång till betalkonton för de kontohållande betaltjänstleverantörerna. Åtkomst beviljas dock endast dessa leverantörer om du, som kontoinnehavaren, uttryckligen samtycker till detta.

I framtiden kommer det därför att finnas många fler aktörer på marknaden för onlinebetalning. Banker och kreditinstitut förlorar makten. Att "utomstående betaltjänstleverantörer" – men under övervakning och kontroll av nationella tillsynsmyndigheter – är inblandade möjliggör utveckling av helt nya tjänster och affärsidéer. I Tyskland är denna tillsynsmyndighet den federala finansinspektionen (BaFin).

Undantag från PSD2

Olika medier och banker rapporterar exceptionella fall där betaltjänstleverantörer kan avstå från stark kundautentisering. En gräns på 30 euro nämns exempelvis för "elektroniska distansbetalningar". Under detta tröskelvärde krävs inte nödvändigtvis tvåvägsautentisering. Ytterligare information finns i blogginlägget PSD2 och SCA hos advokatbyrån Wilde Beuger Solmecke.

BaFin själv nämner en tröskel på 50 euro, men för kontaktlösa kortbetalningar. När det betalas för kort på Internet, uttrycker det sig mer vagt. Betaltjänstleverantörerna skulle kunna genomföra en så kallad transaktionsriskanalys. Det federala institutet säger:

Varje inkommande betalning undersöks automatiskt för att avgöra om risken för bedrägeri är låg ... Om betalningsinformationen som är tillgänglig för betaltjänstleverantören ger intryck av en ökad risk för bedrägeri måste den utföra stark kundautentisering.

Bevis på ökad risk för bedrägeri, till exempel, bör vara en avvikelse från kundens vanliga beteendemönster. Eller en likhet med kända bedrägerimönster. B2B ger också för lämpliga avkopplingar. Och det bör finnas en vitlista där en bank kan klassificera sina företagskunder som betrodda betalare.

Som butiksoperatör behöver du dock oftast inte själv bekymra dig om sådana gränser, förutsatt att en tjänsteleverantör är mellanhand.

Relaterade källor

Vill du veta mer om PSD2 aka SCA? Här lämpliga tekniska bidrag för användare och utvecklare:

Fler tips om WooCommerce hittar du i vår 70+ sida e-bok WooCommerce för proffs: onlinebutiker med WordPress . Det riktar sig till frilansare, byråer, WP proffs samt nybörjare.

Du har frågor om PSD2 och WooCommerce ? Använd kommentarsfunktionen. Du vill ha fler tips på WordPress & WooCommerce ? Följ oss sedan på Twitter, Facebook eller via vårt nyhetsbrev.

Inlägg bild: William Iven

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.