Lepszy współczynnik konwersji dzięki Saferpay i wyłączeniom ze stosowania SCA

Dowiedz się, kiedy musi być przeprowadzone silne uwierzytelnianie klientów i jak dzięki wyłączeniom ze stosowania SCA można poprawić wskaźnik konwersji w przypadku transakcji z niskim ryzykiem.

3 min.

Theme
Man working in the office

Wszystko, co należy wiedzieć: zasady wyłączenia ze stosowania silnego uwierzytelniania klientów (SCA)

Strong Customer Authentication (SCA) lub „silne uwierzytelnianie klientów” jest nowym wymogiem w europejskim systemie płatniczym. Jego celem jest zredukowanie oszustw i zwiększenie bezpieczeństwa płatności. Jednak silne uwierzytelnianie klientów wymaga wykonania dodatkowego kroku w procesie płatności, który może negatywnie wpływać na wskaźnik konwersji i w najgorszym razie prowadzić do przerwania płatności.

Unijna dyrektywa w sprawie usług płatniczych PSD2 przewiduje w pewnych sytuacjach z niskim ryzykiem wyłączenia i definiuje kryteria, aby można było przeprowadzić transakcję także bez silnego uwierzytelnienia klienta. Jako sprzedawca korzystasz dzięki silnemu uwierzytelnianiu klientów ze zwiększonego bezpieczeństwa, a dzięki wyłączeniom (ang. „SCA Exemptions”) z lepszego wskaźnika konwersji w przypadku transakcji z niskim ryzykiem.

Z tego artykułu na blogu dowiesz się, kiedy musi być przeprowadzone silne uwierzytelnienie klientów oraz jak i w jakich przypadkach można ubiegać się o wyłączenia.

Dokumentacja techniczna


Co to jest silne uwierzytelnianie klientów?

Dla przypomnienia: przy silnym uwierzytelnianiu klientów wszystkie transakcje płatnicze z wyjątkiem określonych wyjątkowych sytuacji – muszą być silnie zabezpieczone, w tym celu muszą zostać zastosowane przynajmniej dwa z trzech następujących czynników:

Podczas operacji płacenia bank prosi posiadacza karty o podanie dodatkowych informacji. To może być na przykład jednorazowy kod wysyłany na telefon komórkowy lub uwierzytelnienie za pomocą odcisku palca w aplikacji Mobile Banking.


Jakie istnieją wyłączenia w stosowaniu silnego uwierzytelniania klientów?

PSD2 przewiduje wyjątki, w przypadku których posiadacz karty nie musi przeprowadzać silnego uwierzytelnienia, a transakcje są przeprowadzane mimo tego jako „w pełni uwierzytelnione 3-D Secure”. Poprzez zastosowanie tych wyjątków od SCA uproszony zostaje proces płatniczy dla Twoich klientów, co pozytywnie wpływa na wskaźnik konwersji.

Dla Ciebie, jako sprzedawcy istotne są następujące wyjątki:


Tak korzystasz z wyłączeń ze stosowania silnego uwierzytelniania klientów

Jako klient Saferpay z podpisaną umową z Worldline jako centrum autoryzacyjno-rozliczeniowym, możesz wnioskować o wyłączenia w przypadku małych kwot, płatności cyklicznych i transakcji z niskim ryzykiem. Transakcje cykliczne u klientów Worldline są automatycznie rozpoznawane i zostaje złożony wniosek o wyłączenie, jeśli są one przeprowadzane zgodnie ze specyfikacją.

Bank posiadacza karty decyduje, czy wniosek o wyłączenie zostanie zaakceptowany czy odrzucony. Jeśli wnioskuje się o wyłączenie dla transakcji, która odpowiada specyfikacji, należy przy tym uwzględnić następujące aspekty:

  1. Odpowiedzialność za taką transakcję ponosi sprzedawca.
  2. Bank posiadacza karty może mimo wszystko odmówić wyłączenia i zażądać procedury SCA. W takim przypadku odpowiedzialność przechodzi na emitenta karty.


Wymagania dla wniosku o wyłączenie ze stosowania

O wyłączenie z zastosowania SCA dla transakcji można się ubiegać  pod następującymi warunkami:

  • Twoje centrum autoryzacyjno-rozliczeniowe, o ile nie jest to Worldline, wspiera reguły wyłączenia ze stosowania silnego uwierzytelnienia klientów.
  • Istnieje umowa z Twoim centrum autoryzacyjno-rozliczeniowym na realizację wyłączeń „SCA Exemption”.
  • Możesz przeprowadzić analizę ryzyka („real-time risk analysis”) transakcji.
  • Gwarantujesz, że o wyłączenia ze stosowania SCA będziesz ubiegać się tylko dla tych transakcji, o które zgodnie z definicją wyłączeń w PSD2 można wnioskować.


W tych przypadkach procedura SCA nie jest wymagana

W poniższych przypadkach nie ma obowiązku stosowania SCA, dlatego nie trzeba wnioskować o wyłączenia:

  • Anonimowe karty Prepaid
  • Zamówienia pisemne, mailowe i telefoniczne (transakcje MOTO)
  • Transakcje międzyregionalne, tzw. „one leg” (w przypadku gdy siedziba sklepu lub adres sprzedawcy znajduje się poza Europejskim Obszarem Gospodarczym EOG)
  • Transakcje zainicjowane przez odbiorcę płatności


Dokumentacja techniczna

Przewodnik Saferpay Integration Guide w sekcji SCA Exemptions zawiera wszystkie niezbędne szczegóły techniczne, w jaki sposób wnioskować o wyłącznie dla transakcji: 

https://saferpay.github.io/sndbx/psd2.html


FAQ

  • SCA, skrót od Strong Customer Authentication (silne uwierzytelnianie klientów), odnosi się do wymogów podanych w unijnej dyrektywie w sprawie usług płatniczych PSD2. Przy silnym uwierzytelnianiu klientów wszystkie transakcje płatnicze z wyjątkiem określonych wyjątkowych sytuacji, tzw. Exemptions, muszą być „silnie” zabezpieczone. Więcej informacji na ten temat znajduje się w naszej instrukcji PSD2 Whitepaper.

  • Nie wszystkie transakcje wymagają „silnego” zabezpieczenia. PSD2 przewiduje wyłączenia (Exemptions), dla których można uniknąć uwierzytelniania klienta. W przeciwieństwie do „Challenge Flow”, w którym klient musi się jednoznacznie uwierzytelnić, dochodzi tu do tak zwanego „Frictionless Flow”. W zależności od kontekstu i informacji zawartych w żądaniu autoryzacji płatności emitent karty przeprowadza analizę ryzyka i może zdecydować, czy zezwolić na płatność bez uwierzytelnienia, czy przerwać proces.

  • Emitent karty może odrzucić wniosek o wyłączenie (SCA Exemption) i jednocześnie poinformować sprzedawcę względnie centrum autoryzacyjno-rozliczeniowe, że wymagane jest silne uwierzytelnienie klienta. Sprzedawca musi wtedy przeprowadzić uwierzytelnienie 3-D Secure, aby emitent karty mógł przeprowadzić SCA.

  • Podstawową zasadą jest: podmiot wnioskujący o wyłączenie ponosi za nie odpowiedzialność. Oznacza to zwykle, że odpowiedzialność ponosi sprzedawca. Ta regulacja podlega jednak ustaleniom umownym między sprzedawcą a centrum autoryzacyjno-rozliczeniowym.

  • Nie, ponieważ emitent karty przy każdym wniosku o uwierzytelnienie może zdecydować o rezygnacji z SCA i przeprowadzić transakcję „frictionless” (pol. w uproszczony sposób). W tym przypadku SCA nie znajduje zastosowania, a emitent karty przejmuje odpowiedzialność za transakcję.