Strong customer authentication sca что это
СОДЕРЖАНИЕ
Требование
Статья 97 (1) директивы требует, чтобы поставщики платежных услуг использовали надежную аутентификацию клиента, если плательщик:
(а) получает доступ к своему платежному счету в Интернете;
(б) инициирует транзакцию электронного платежа;
(c) выполняет любые действия через удаленный канал, которые могут подразумевать риск мошенничества с платежами или других злоупотреблений.
Статья 4 (30) определяет саму «строгую аутентификацию клиента» (как многофакторную аутентификацию):
аутентификация, основанная на использовании двух или более элементов, классифицируемых как знание (что-то, что знает только пользователь), владение (что-то, чем владеет только пользователь) и принадлежность (что-то, что есть у пользователя), которые являются независимыми, в том смысле, что нарушение одного из них не ставят под угрозу надежность других и спроектированы таким образом, чтобы защитить конфиденциальность данных аутентификации
Выполнение
European Banking Authority опубликовал мнение о том, какие подходы могут представлять собой различные «элементы» АСС.
3-D Secure 2.0 может (но не всегда) соответствовать требованиям SCA. 3-D Secure имеет реализации Mastercard (Mastercard Identity Check) и Visa, которые позиционируются как обеспечивающие соответствие SCA.
Продавцы электронной коммерции должны обновить потоки платежей на своих веб-сайтах и в приложениях для поддержки аутентификации. Если аутентификация не поддерживается, многие платежи будут отклонены после полной реализации SCA.
История
Впоследствии Европейская комиссия разработала предложения по обновленной Директиве о платежных услугах, включая это требование, которая стала PSD2. PSD2 строгая аутентификация клиентов является требованием закона для электронных платежей и кредитных карт с 14 сентября 2019 года.
Критика
В 2016 году Visa раскритиковала предложение сделать строгую аутентификацию клиентов обязательной на том основании, что это может затруднить онлайн-платежи и, таким образом, повредить продажам в интернет-магазинах.
В 2019 году ведущая группа представительства потребителей Which? привел много примеров цифрового исключения, созданного узкой интерпретацией, основанной на обязательном использовании мобильных телефонов, и привел много примеров людей, которые будут исключены из-за такой интерпретации SCA. К людям, которые могут быть исключены, относятся:
И все же британские банки переходят на узкую интерпретацию # 2FA только для мобильных телефонов: «Чтобы использовать свою карту в Интернете, вам теперь нужно иметь номер мобильного телефона в Великобритании, зарегистрированный у нас».
В 2020 году независимый отчет, проведенный консалтинговой фирмой CMSPI, показал, что потенциальные сбои, вызванные надежной аутентификацией клиентов (за исключением Великобритании), могут составить 108 миллиардов евро в 2021 году.
За пределами Европы
Резервный банк Индии поручил «дополнительный фактор аутентификации» для карт-не-настоящее время сделок.
Предложение сделать 3-D Secure обязательным в Австралии было заблокировано Австралийской комиссией по конкуренции и защите прав потребителей (ACCC) после возражений.
СОДЕРЖАНИЕ
Требование
Статья 97 (1) директивы требует, чтобы поставщики платежных услуг использовали надежную аутентификацию клиента, если плательщик:
(а) получает доступ к своему платежному счету в Интернете;
(б) инициирует транзакцию электронного платежа;
(c) выполняет любые действия через удаленный канал, которые могут подразумевать риск мошенничества с платежами или других злоупотреблений.
Статья 4 (30) определяет саму «строгую аутентификацию клиента» (как многофакторную аутентификацию):
аутентификация, основанная на использовании двух или более элементов, классифицируемых как знание (что-то, что знает только пользователь), владение (что-то, чем владеет только пользователь) и принадлежность (что-то, что есть у пользователя), которые являются независимыми, в том смысле, что нарушение одного из них не ставят под угрозу надежность других и спроектированы таким образом, чтобы защитить конфиденциальность данных аутентификации
Выполнение
European Banking Authority опубликовал мнение о том, какие подходы могут представлять собой различные «элементы» АСС.
3-D Secure 2.0 может (но не всегда) соответствовать требованиям SCA. 3-D Secure имеет реализации Mastercard (Mastercard Identity Check) и Visa, которые позиционируются как обеспечивающие соответствие SCA.
Продавцы электронной коммерции должны обновить потоки платежей на своих веб-сайтах и в приложениях для поддержки аутентификации. Если аутентификация не поддерживается, многие платежи будут отклонены после полной реализации SCA.
История
Впоследствии Европейская комиссия разработала предложения по обновленной Директиве о платежных услугах, включая это требование, которая стала PSD2. PSD2 строгая аутентификация клиентов является требованием закона для электронных платежей и кредитных карт с 14 сентября 2019 года.
Критика
В 2016 году Visa раскритиковала предложение сделать строгую аутентификацию клиентов обязательной на том основании, что это может затруднить онлайн-платежи и, таким образом, повредить продажам в интернет-магазинах.
В 2019 году ведущая группа представительства потребителей Which? привел много примеров цифрового исключения, созданного узкой интерпретацией, основанной на обязательном использовании мобильных телефонов, и привел много примеров людей, которые будут исключены из-за такой интерпретации SCA. К людям, которые могут быть исключены, относятся:
И все же британские банки переходят на узкую интерпретацию # 2FA только для мобильных телефонов: «Чтобы использовать свою карту в Интернете, вам теперь нужно иметь номер мобильного телефона в Великобритании, зарегистрированный у нас».
В 2020 году независимый отчет, проведенный консалтинговой фирмой CMSPI, показал, что потенциальные сбои, вызванные надежной аутентификацией клиентов (за исключением Великобритании), могут составить 108 миллиардов евро в 2021 году.
За пределами Европы
Резервный банк Индии поручил «дополнительный фактор аутентификации» для карт-не-настоящее время сделок.
Предложение сделать 3-D Secure обязательным в Австралии было заблокировано Австралийской комиссией по конкуренции и защите прав потребителей (ACCC) после возражений.
Что такое Strong Customer Authentication и почему о нем важно знать украинским fintech-проектам?
14 сентября директива PSD2 развернулась почти в полную силу на финансовом рынке ЕС. Особенно это касается ее норматива Strong Customer Authentication (SCA). Сегодня я коротко расскажу его основную суть, после чего — если ваш проект связан с платежными услугами — вы поймете важность этй информации.
Что такое PSD2?
Начну с простого — для тех моих читателей, кто не в курсе всех тонкостей. Payment Services Directive 2015/2366 — это директива ЕС о платежных услугах на внутреннем рынке, принятая в 2015 году. В нормальных, цивилизованных странах период имплементации для важных законов по финансовой сфере делается на пару месяцев, а, например, 2 года. После этого у PSD2 было пошаговое вступления в силу. Дедлайн был 14 сентября 2019 года — чуть больше двух недель назад в силу вступил норматив Strong Customer Authentication (SCA). О нем и поговорим.
Основа Strong Customer Authentication
SCA — это, фактически, свод новых правил, по которым будт проводиться аутентификация юзеров, совершающих ту или иную транзакцию. Мерчанты и PSP-провайдеры обязуются добавить в user scenario дополнительную верификацию клиента.
К примеру, возьмем стандартный интернет-эквайринг. До Strong Customer Authentication платеж совершался при введении данных ваше йбанковской карты, после чего payment request подтверждался одноразовым паролем. Привычная история.
После внедрия SCA этого мало, необходим еще один параметр секьюрности платежа, Это могут быть:
Стандартный пароль/PIN-код/секретное слово;Биометрическое подтверждение (отпечаток пальца, лицевая биометрия, сетчатка и т.д.);ID умного устройства, посредством которого совершается платеж;
Важный момент: новые требования не касаются расчетов в обычных магазинах и не связаны с прямым дебетованием.
За техническую сторону вопроса во всем этом будет отвечать новый протокол безопасности 3D Secure 2.0. Для клиента добавится лишь второй запрос подтверждения транзакции. Для бизнеса — головная боль, как сделать его удобным, красивым и понятным, а также задачи по интеграции.
В каких случаях вас это не касается? (исключения из SCA)
Для процессингов банков и PSP-провайдеров добавляется еще одна задача — определять, в какие моменты строгая идентификация применятся, а в какие нет, включая оценку риска платежа.
К счастью, законы писались не где-то в СНГ, а в ЕС, поэтому все предельно понятно. Итак, SCA не рспространяется на:
Покупки до 30 евро. Но есть исключения — если идет серия одинаковых платежей с минимальным порогом до лимита, должен работать анти-фрод. Подписки. Ничьи подписки на Netflix, Apple Music и другие сервисы не пострадают. Никто не пойдет против большого трастового международного бизнеса;Инициированные торговцами платежи. Если вы добавили свою карту в Uber или Bolt, вас не будут требовать дважды подтверждать платеж.
Strong Customer Authentication: what it is and why it’s important for Ukrainian fintech projects to know about it?
On September 14, the PSD2 directive became fully operational in the EU financial market. This is especially true of its Strong Customer Authentication (SCA) standard. Today I will briefly describe it’s main things, after which — if your project is related to payment services — you will understand the importance of this information.
What is PSD2?
The main goal of PSD2 is to ensure the security of user transactions and to expand the ecosystem of financial services in the EU financial market. That sounds cool and promising, right? This good goal needs a convenient implementation tool. SCA is this tool.
The basis of Strong Customer Authentication
SCA is, in fact, a set of new rules by which authentication of users who make a transaction will be carried out. Merchants and PSP providers are obliged to add additional customer verification to their user scenario.
For example, let’s talk about standard internet acquiring. Before the Strong Customer Authentication, payment is done when you entered your bank card details, after which the payment request was confirmed with a one-time password. A familiar story.
After the start of SCA, this is not enough. Another payment security parameter is needed. These can be:
Standard password / PIN / secret word;Biometric confirmation (fingerprint, facial biometry, iris recognition etc.);ID of the smart device through which the payment is made;
An important point: the new requirements don’t relate to payments in ordinary stores and are not related to direct debit.
The new 3D Secure 2.0 protocol will be responsible for for the technical side of the SCA. It’s only a second transaction confirmation request for the customers, but for a business is a headache. How to make it convenient, beautiful and understandable, as well as integration tasks?
In what cases this doesn’t concern you? (exceptions from SCA)
For the banks’ and PSP providers’ processing centre, one more task is added — how to determine, in what cases strict identification will be applied and in which it’s not. Including an assessment of the risk of payment.
Fortunately, laws were not written somewhere in the CIS contries, but in the EU, so everything is very clear. So, SCA doesn’t apply to:
Stripe logo
What internet businesses need to know about the new European regulation
Michael Cocoman & Olivier Godement
Michael Cocoman is Head of Regulatory at Stripe and works on expanding our global product offering. Olivier Godement is a Product Manager at Stripe who drives authentication efforts to help businesses prepare for Strong Customer Authentication.
Last updated on 12 May 2021
Introduction
On 14 September 2019, new requirements for authenticating online payments were introduced in Europe as part of the second Payment Services Directive (PSD2). We expect these requirements to be enforced over the course of 2020 and 2021.
In this guide we’ll take a closer look at these new requirements known as Strong Customer Authentication (SCA) and the kinds of payments they impact. We’ll also cover the exemptions that can be used for low-risk transactions to offer a frictionless checkout experience.
We’ve published a separate page with the latest information on the SCA enforcement timeline, as well as a guide to help you identify when to add authentication in your customer journey. Visit our site for more information on Stripe’s SCA-ready products.
Stay updated on Strong Customer Authentication
We’re working closely with policymakers, regulators, and the wider payments industry to make any changes as seamless as possible. Sign up to stay informed on regulatory and product updates.
What is Strong Customer Authentication?
Strong Customer Authentication (SCA) is a new European regulatory requirement to reduce fraud and make online and contactless offline payments more secure. To accept payments and meet SCA requirements, you need to build additional authentication into your checkout flow. SCA requires authentication to use at least two of the following three elements.
(If you would like to read the original SCA requirements, they are set out in the Regulatory Technical Standards or RTS.)
Banks will need to start declining payments that require SCA and don’t meet these criteria. Although the regulation was introduced on 14 September 2019, we expect these requirements to be enforced by regulators over the course of 2020 and 2021.
When is Strong Customer Authentication required?
Strong Customer Authentication applies to “customer-initiated” online and contactless offline payments within Europe. As a result, most card payments and all bank transfers require SCA. Recurring direct debits on the other hand are considered “merchant-initiated” and don’t require strong authentication.
For online card payments, these requirements apply to transactions where both the business and the cardholder’s bank are located in the European Economic Area (EEA). (We expect SCA regulation to be enforced in the UK, regardless of the outcome of Brexit.)
How to authenticate a payment
Currently, the most common way of authenticating an online card payment relies on 3D Secure—an authentication standard supported by the vast majority of European cards. Applying 3D Secure typically adds an extra step after the checkout where the cardholder is prompted by their bank to provide additional information to complete a payment (e.g., a one-time code sent to their phone or fingerprint authentication through their mobile banking app).
3D Secure 2—the new version of the authentication protocol rolling out in 2019—will be the main method for authenticating online card payments and meeting the new SCA requirements. This new version introduces a better user experience that will help minimise some of the friction that authentication adds into the checkout flow.
Offline card transactions typically fulfill authentication requirements with PIN entry.
Other card-based payment methods such as Apple Pay or Google Pay already support payment flows with a built-in layer of authentication (biometric or password). These can be a great way for businesses to offer a frictionless checkout experience while meeting the new requirements.
We also expect many common European payment methods, such as iDEAL, Bancontact, or Multibanco, to follow the new SCA rules without any major changes to their user experience.
Exemptions to Strong Customer Authentication
Under this new regulation, specific types of low-risk payments may be exempted from Strong Customer Authentication. Payment providers like Stripe are able to request these exemptions when processing the payment. The cardholder’s bank will then receive the request, assess the risk level of the transaction, and ultimately decide whether to approve the exemption or whether authentication is still necessary.
Building authentication into your checkout flow introduces an extra step that can add friction and increase customer drop-off. Using exemptions for low-risk payments can reduce the number of times you will need to authenticate a customer and reduce friction. We have designed our new SCA-ready payments products to let you take advantage of exemptions when possible to help protect your conversion.
The most relevant exemptions for internet businesses are:
Low-risk transactions
A payment provider (like Stripe) is allowed to do a real-time risk analysis to determine whether to apply SCA to a transaction. This may only be possible if the payment provider’s or bank’s overall fraud rates for card payments do not exceed the following thresholds:
These thresholds will be converted to local equivalent amounts where relevant.
In cases, where only the payment provider’s fraud rate is below the threshold, but the cardholder’s bank is above it, we expect the bank to decline the exemption and require authentication.
Payments below €30
This is another exemption that can be used for payments of a low amount. Transactions below €30 are considered “low value” and may be exempted from SCA. Banks however need to request authentication if the exemption has been used five times since the cardholder’s last successful authentication or if the sum of previously exempted payments exceeds €100. The cardholder’s bank needs to track the number of times this exemption has been used and decide whether authentication is necessary.
Fixed-amount subscriptions
This exemption can apply when the customer makes a series of recurring payments for the same amount, to the same business. SCA is required for the customer’s first payment—subsequent charges however may be exempted from SCA.
We expect this exemption to be very useful for subscription businesses and broadly supported by European banks. We enable this exemption for Stripe users. If you’re using Stripe Billing to create subscriptions, we automatically apply this exemption when relevant and can help manage authentication requests in case the exemption is rejected by the customer’s bank.
Merchant-initiated transactions (including variable subscriptions)
Payments made with saved cards when the customer is not present in the checkout flow (sometimes called “off-session”) may qualify as merchant-initiated transactions. These payments technically fall outside the scope of SCA. In practice, marking a payment as a “merchant-initiated transaction” will be similar to requesting an exemption. And like any other exemption, it is still up to the bank to decide whether authentication is needed for the transaction.
To use merchant-initiated transactions, you need to authenticate the card either when it’s being saved or on the first payment. Finally, you need to get an agreement from the customer (also referred to as a “mandate”), in order to charge their card at a later point.
Stripe’s new API lets you authenticate a card when it’s being saved for later use and mark subsequent payments as «merchant-initiated transactions.»
Trusted beneficiaries
When completing authentication for a payment, customers may have the option to allowlist a business they trust to avoid having to authenticate future purchases. These businesses are then included on a list of “trusted beneficiaries” maintained by the customer’s bank or payment service provider.
Phone sales
Card details collected over the phone fall outside the scope of SCA and do not require authentication. This type of payment is sometimes referred to as “Mail Order and Telephone Orders” (MOTO). Similar to exempted payments, MOTO transactions need to be flagged as such—with the cardholder’s bank making the final decision to accept or reject the transaction.
If your business is PCI-compliant and you’ve built your own system to accept phone orders, our new payments APIs let you mark a payment as MOTO. Please contact us to enable this feature on your Stripe account and to access the technical documentation.
Corporate payments
This exemption may cover payments that are made with “lodged” cards (e.g., where a corporate card used for managing employee travel expenses is held directly with an online travel agent), as well as corporate payments made using virtual card numbers (which are also used in the travel sector).
What happens if an exemption fails?
While exemptions may be very useful, it’s important to remember that it’s ultimately the cardholder’s bank that decides whether or not to accept an exemption. Banks can return new decline codes for payments that failed due to missing authentication. These payments then have to be resubmitted to the customer with a request for Strong Customer Authentication. Stripe’s SCA-ready products automatically trigger this extra authentication when required by banks.
If your business is impacted by SCA, we recommend preparing for a fallback in case an exemption is rejected and your customer needs to authenticate. This is particularly important if you charge your customers when they’re not actively in your checkout flow (i.e., when they are off-session) and your customer needs to return to your website or app to authenticate. Read our guide on designing payment flows for SCA for more information.
How Stripe helps you meet Strong Customer Authentication requirements
The changes introduced by this new regulation are set to deeply affect internet commerce in Europe. And although we expect these requirements to only be enforced over the course of 2020 and 2021, impacted businesses that don’t prepare for these new requirements could see their conversion rates significantly drop as SCA enforcement ramps across European banks.
In addition to supporting new authentication methods like 3D Secure 2, we believe successful handling of exemptions is a key component for building a first-class payments experience that minimises friction. Our new payments products optimise for different regulatory, bank, and card network rules and apply relevant exemptions for low-risk payments, so as to only trigger 3D Secure when required. And as these rules change, we’ll be able to maintain and update this SCA logic in real time—taking into account each country’s enforcement timeline.
We have released a new foundational payments API that uses Stripe’s SCA logic to apply the right exemption and trigger 3D Secure when necessary. Our new Checkout, as well as Stripe Billing are both built on top of this API and can dynamically apply 3D Secure when required.
Learn more about Stripe’s SCA-ready products. If you have any questions or feedback, please let us know!
Stay connected
Share your email so Stripe can send you updates on Strong Customer Authentication, guides, and industry news.
Stay connected
We’ll let you know when we publish new guides or updates.
Директива о платежных услугах 2 и Strong Customer Authentication
Начиная с 14 сентября 2019 года, банки в 31 стране Европейской экономической зоны обязаны проверить личность человека, совершившего покупку в Интернете перед обработкой платежа. Для такой проверки требуется многофакторная проверка подлинности, позволяющая обеспечить безопасность покупок в Интернете. Обратите внимание, что дата вступления в силу этого требования может быть отложена в некоторых странах.
Этот вопрос содержит ответы на часто задаваемые вопросы о дополнительной информации, необходимой для многофакторной проверки подлинности.
Для выполнения покупки в вашем банке требуется использовать многофакторную проверку подлинности, и вам будет предложено ввести необходимую информацию на странице проверки подлинности, которая отображается в банке. Например, вам может быть предложено предоставить биометрию, одноразовый секретный код (OTP) с помощью SMS-сообщения, PIN-кода или другой идентифицирующей информации, которую вы настроили в вашем банке.
Ваш банк определяет, когда следует применять многофакторную проверку подлинности в зависимости от суммы транзакции, покупки или других факторов. Поэтому дополнительные шаги проверки подлинности могут не потребоваться.
Ваш банк требует многофакторной проверки подлинности, согласно закону, для предотвращения мошенничества и несанкционированного доступа к вашему счету, чтобы только вы могли совершать покупки, используя ваши платежные учетные данные.
Любая покупка в Интернете или на сайте электронной коммерции с использованием карт American Express, Mastercard и Visa может потребовать многофакторной проверки подлинности для совершения платежа.
Вас также могут попросить пройти дополнительную проверку подлинности при изменении способа оплаты, добавления нового способа оплаты, совершения платежа, обновления или изменения планов подписки или периодичности выставления счетов, даже если вы не совершаете покупку в это время.
Мы предприняли попытку оплаты вашей учетной записи за подписку, которой вы владеете, но плата не была выполнена, так как для ее обработки требуется многофакторная проверка подлинности. Чтобы предотвратить перерывы в обслуживании и продолжать использовать подписку, следуйте указаниям в сообщении, которое вы получили для проверки подлинности и оплаты вашего баланса.
Обратите внимание, что текущий способ оплаты может быть действительным и для него может требоваться только включить многофакторную проверку подлинности для дополнительной безопасности. Вам нужно будет сделать это только один раз, и после обновления учетной записи вам не будет требоваться предоставить эту информацию для продления подписки в будущем.
Если вы не можете обновить счет, свяжитесь с вашим банком, чтобы исправить эту проблему.
Проверьте номер мобильного телефона и адрес электронной почты, связанные с вашим банковским счетом.
Проверьте папку нежелательной почты на случай, если проверочное письмо, отправленное банком, оказалось в папке спама.
Проверьте параметры сети или сотовой связи, чтобы убедиться, что вы подключены к сети.
Если вы не получили код через три минуты, нажмите кнопку «Отправить код еще раз», чтобы получить новый код от вашего банка, и снова проверьте электронную почту или мобильный телефон.
Возможно, срок действия сеанса истек, если вы были неактивны на сайте, или вы могли случайно ввести неправильный код. Отправьте код еще раз и обновите страницу, а затем введите код снова. Также возможны сбои в работе сервера, поэтому подождите немного и попробуйте повторно отправить код.
Если это не решит проблему, свяжитесь с вашим банком, чтобы проверить контактную информацию, связанную с вашим способом оплаты, и, при необходимости, обновить данные вашего счета.
Если вы используете 18 лет и хотите купить товар с помощью метода оплаты родительского или опекуна в вашей учетной записи, попросите его настроить группу семьи Microsoftили использовать подарочную карту. С разрешения родителей вы можете использовать средства, которые они добавили на счет вашей учетной записи Майкрософт, для покупки товаров.
Если вы используете 18 лет и хотите купить или продлить подписку на свою учетную запись, вам потребуется использовать предварительно оплаченную карту подписки или активировать код цифровой подписки.
Если вы больше 18 лет и хотите оформить покупку от чужого имени, а владелец средства оплаты недоступен, чтобы предоставить вам информацию для проверки подлинности счета, используйте другой метод оплаты, например подарочные карты, чтобы завершить покупку.