gray

Bezpieczne płacenie w Internecie

Pytania dotyczące bezpieczeństwa płatności?

Bezpieczne płacenie online

Zaoferuj swoim klientom najwyższy możliwy poziom bezpieczeństwa. Bezpieczeństwo buduje bowiem zaufanie, a Twoim klientom powinny towarzyszyć pozytywne odczucia podczas realizacji płatności online. Wspólnie z organizacjami płatniczymi stawiamy na najwyższe standardy, takie jak PCI DSS, 3-D Secure 2 i silne uwierzytelnianie klientów, które umożliwiają bezpieczną sprzedaż przez Internet lub sprzedaż wysyłkową. Jednocześnie oferujemy Ci niezbędną ochronę w razie nieotrzymania płatności.

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) to globalny standard bezpieczeństwa międzynarodowych organizacji wydających karty kredytowe. Za pomocą naszego rozwiązania płatniczego Saferpay można bezpiecznie przetwarzać w handlu elektronicznym wszystkie dane kart kredytowych z zachowaniem standardu bezpieczeństwa PCI DSS. Dane kart są wprowadzane na stronie płatności Saferpay Payment Page lub w formularzu Hosted Forms i nie są przetwarzane, przesyłane ani przechowywane w Państwa systemach. W ten sposób korzystają Państwo z możliwie maksymalnego bezpieczeństwa i minimalnego nakładu dla potwierdzenia Państwa zgodności z PCI DSS.

Saferpay podlega wytycznym PCI DSS i posiada certyfikat bezpieczeństwa PCI.

Więcej na temat PCI DSS Otwiera się w nowej karcie

Bezpieczeństwo podczas płatności bezgotówkowych

Bezpieczeństwo to w Worldline nie tylko puste słowo. Nie ma znaczenia, czy chodzi o sklep stacjonarny, e-commerce czy m-commerce: wszystkie rozwiązania płatnicze oferowane przez Worldline podlegają międzynarodowym zasadom Payment Card Industry Security Standards Council (PCI SSC), standardowi bezpieczeństwa EMV i 3-D Secure.

Dowiedz się więcej Otwiera się w nowej karcie



PSD2

Sprzedawcy internetowi, centra autoryzacyjno-rozliczeniowe, emitenci kart i klienci stają teraz przed nowym wyzwaniem w handlu elektronicznym: 14 września 2019 r. weszły w życie regulacyjne standardy techniczne (RTS) w ramach drugiej unijnej dyrektywy w sprawie usług płatniczych PSD2 (Payment Services Directive). Wymagają one w przypadku płacenia przez Internet silnego uwierzytelnienia klienta (zwanego również uwierzytelnianiem dwupoziomowym).
Aby dać sprzedawcom internetowym więcej czasu na wdrożenie, Europejski Urząd Nadzoru Bankowego (EUNB) przyznał lokalnym organom regulacyjnym możliwość wprowadzenia okresu przejściowego do 31 grudnia 2020 roku na wdrożenie silnego uwierzytelniania klientów.

3-D Secure 2

Aby spełnić wymaganie dyrektywy PSD2 dotyczące silnego uwierzytelniania klientów, organizacje płatnicze Visa i Mastercard, wraz ze stowarzyszeniem branżowym EMVCo, rozwinęły procedurę bezpieczeństwa 3-D Secure: 3-D Secure 2 jest zgodna z PSD2 i dotyczy zarówno krajów UE, jak i Szwajcarii. Nowy standard musi być obsługiwany przez wszystkich sprzedawców internetowych.

Korzystając z procedury 3-D Secure, właściciele kart identyfikują się w dodatkowym kroku podczas transakcji online. Nowy standard bezpieczeństwa 3-D Secure 2 sprawia, że płatności kartą są znacznie prostsze i dla Ciebie i Twoich klientów: dzięki szerokiej gamie danych, uwierzytelnianiu biometrycznemu oraz ulepszonemu, jednolitemu doświadczeniu użytkownika. 

  • Klienci nie muszą już zapamiętywać haseł i mogą łatwo potwierdzać płatności z aplikacji mobilnej. Uwierzytelnienie klienta w 3-D Secure 2 jest w pełni zintegrowane z procesem sprzedaży. Odpowiedzialność za nieuczciwe transakcje przechodzi w całości na emitenta karty.

    3-D Secure 2 opiera się na procesie uwierzytelniania opartym na ocenie ryzyka i wykorzystuje dodatkowe dane transakcyjne, na podstawie których sprzedawcy i emitenci kart sprawdzają, czy płatność została zainicjowana przez właściciela karty i decydują, czy proces płatności będzie kontynuowany, czy przerwany. W procesie weryfikacji uwzględniono również inne czynniki, takie jak zwyczaje związane z płatnościami lub cyfrowy „odcisk palca”. W tak zwanym procesie „Frictionless Flow” identyfikowane są transakcje o niskim poziomie ryzyka. Nie jest wymagane rzeczywiste uwierzytelnienie klienta, a proces dokonywania płatności przez właściciela karty jest realizowany bez przerw.

     

    Korzyści dla Ciebie dzięki 3-D Secure 2

    • Sprawna realizacja płatności (Frictionless Flow)
    • Zwiększenie współczynnika konwersji
    • Mniej przerwanych płatności dzięki uwierzytelnieniu opartemu na ocenie ryzyka
    • Pełna integracja ze sklepem internetowym i aplikacją mobilną
    • Inteligentne mechanizmy wykrywania oszustw w celu ograniczenia oszustw związanych z kartami kredytowymi

  • Wspólnie z dostawcami rozwiązań zadbaj o to , żeby standard bezpieczeństwa 3-D Secure 2 został prawidłowo zaimplementowany:

    • Skontaktuj się z dostawcą usług płatniczych w celu technicznej integracji nowego standardu bezpieczeństwa.
    • Wspólnie z dostawcą platformy sklepowej zapewnij integrację z dostawcą usług płatniczych (może zaistnieć potrzeba aktualizacji interfejsu między dostawcą usług płatniczych a Twoim sklepem internetowym lub dokonania innych zmian).
    • Aby zapewnić przyjazne dla klienta uwierzytelnianie oparte na ocenie ryzyka, 3-D Secure 2. wykorzystuje 10-krotnie więcej danych właścicieli kart oraz sklepów internetowych, umożliwiając zwiększenie liczby punktów kontrolnych i obniżenie liczby oszustw. Dane te obejmują również dane osobowe, takie jak nazwisko właściciela karty, numer telefonu, adres e-mail, adres IP, adres na fakturze i adres dostawy. Dlatego też zalecamy rozszerzenie oświadczenia o ochronie danych osobowych zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO).
    • W twoim sklepie internetowym wymień logo i nazwy: Mastercard SecureCode na Mastercard Identity Check oraz Verified by Visa na Visa Secure.
    • Jesteś klientem Worldline i korzystasz z Saferpay w swoim sklepie internetowym? Sprawdź na naszej stronie z najczęściej zadawanymi pytaniami, czy musisz coś zrobić.

    Istotne informacje dla programistów – Saferpay FAQ

    • Do tej pory nie używasz 3-D Secure? Nie jest to zgodne z PSD 2. Nawiąż kontakt z naszymi specjalistami i pozwól, abyśmy Ci doradzili w kwestii kroków wymaganych do implementacji 3-D Secure 2.

    Szwajcaria/Świat

    Austria

Silne uwierzytelnienie klientów

Przy silnym uwierzytelnianiu klientów wszystkie transakcje płatnicze, poza określonymi wyjątkowymi sytuacjami, muszą być „silnie” zabezpieczone. W tym celu muszą zostać zastosowane co najmniej dwa z trzech elementów uwierzytelniania: coś, co klient wie, coś, co klient posiada, coś, co jest charakterystyczne dla klienta.

Wiedza:

Hasło
PIN
Pytanie pomocnicze
Kolejność cyfr

Sprzęt:

Telefon komórkowy
Przenośne urządzenia elektroniczne
Token
Karta Smartcard

Biometryka:

Odcisk palca
Rozpoznanie głosu
Rozpoznanie tęczówki oka
Rysy twarzy

Klient zamierza kupić parę butów w sklepie internetowym. Wprowadził już dane karty płatniczej w odpowiednie pola. Chwilę później otrzymuje informację Push lub powiadomienie na smartfon: Klient zobowiązany jest do wprowadzenia dwupoziomowego kodu uwierzytelniającego (lub jednorazowego hasła) wysłanego przez SMS lub do potwierdzenia zakupu w dodatkowej aplikacji za pomocą odcisku palca.

Krótkie wprowadzenie do nowych wymagań europejskich dotyczących silnego uwierzytelniania klientów

Bezpieczne płatności w prosty sposób

14 września 2019 r. oblicze handlu elektronicznego w Europie zmieniło się na zawsze. Nawet jeśli większość europejskich lokalnych organów regulacyjnych zgodziła się na okres przejściowy, jest to tylko okres tymczasowy i handlowcy, banki i dostawcy usług płatniczych muszą spełnić rygorystyczne wymogi w zakresie uwierzytelniania klientów najpóźniej do 31 grudnia 2020 roku.

Niniejsze stanowisko zawiera krótkie wprowadzenie na temat regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klientów oraz wpływu na systemy handlowców. Wyjaśnia również, co handlowcy będą musieli zrobić, aby skorzystać ze wszystkich zalet tego rozporządzenia.

Pobierz dokument przedstawiający stanowisko Otwiera się w nowej karcie

Sytuacje wyjątkowe przy silnym uwierzytelnieniu klienta

Nie wszystkie transakcje wymagają „silnego” zabezpieczenia ze strony właściciela karty:

Małe kwoty

Płatności do EUR 30 – do łącznej kwoty EUR 100 lub pięciu kolejnych płatności.

Płatności cykliczne

Od drugiej transakcji do tego samego odbiorcy z taką samą kwotą.

Sprzedawcy z tzw. białej listy

Właściciel karty tworzy białą listę zaufanych handlowców.

Niewielkie ryzyko

Ocena ryzyka transakcji dla kwot mieszczących się w określonych wartościach progowych.

Silnym uwierzytelnieniem nie są objęte:

  • Anonimowe karty Prepaid
  • Zamówienia pisemne, mailowe i telefoniczne (transakcje MOTO)
  • Transakcje międzyregionalne / tzw. „one leg”
  • Transakcje zainicjowane przez odbiorcę płatności

FAQ

  • Odpowiedź:

    Zmieniona dyrektywa w sprawie usług płatniczych (PSD2) została zdefiniowana przez Europejski Urząd Nadzoru Bankowego i ma na celu uregulowanie kwestii związanych z nowymi interesariuszami oraz poprawę bezpieczeństwa transakcji. Wśród tych regulacji pojawiła się zasada RTS-SCA (Regulacyjny standard techniczny – silne uwierzytelnienie klienta), która od 14 września 2019 r. będzie wymagała silnego uwierzytelnienia klienta.

  • Odpowiedź:

    Gdy zbliżał się pierwotny termin 14 września 2019 roku, coraz więcej krajów europejskich dostrzegło, że duża liczba przedsiębiorstw z branży e-commerce i banków nie mogły dotrzymać tego już raz przesuniętego terminu.

    Szacuje się, że europejskie sklepy internetowe straciłyby około 20% przychodów, jeśli nie mogłyby dotrzymać terminu wprowadzenia zmian. Europejski Urząd Nadzoru Bankowego (EUNB), który jest odpowiedzialny za techniczne standardy regulacyjne, ostatecznie zdecydował dopuścić kolejne przesunięcie terminu.

    Nowy i ostateczny termin, który został ogłoszony zgodnie ze stanowiskiem EUNB, to 31 grudnia 2020 roku, a odpowiednie właściwe organy krajowe (NCA) w całej Europie poinformowały o przesunięciu terminu właściwe krajowe jednostki, tzn. banki, dostawców usług płatniczych i sklepy internetowe.

    Aby jednak zapobiec sytuacji, w której przedłużenie terminu skłoniłoby niektóre ze stron do niepodejmowania jakichkolwiek działań do momentu zbliżenia się nowego terminu, EUNB – stojący ponad właściwymi organami krajowymi (NCA) – zażądał od stron konkretnych planów wdrożenia silnego uwierzytelnienia klientów jako warunek przesunięcia. Innymi słowy EUNB zadbał o to, aby nie znaleźli się ponownie w tej samej sytuacji, gdy będzie zbliżał się kolejny termin.

    Ostatecznie należy podkreślić, iż sprzedawcy i ich dostawcy usług płatniczych najpóźniej pod koniec pierwszej połowy 2020 roku mają być gotowi pod kątem technicznym, aby mieć wystarczającą ilość czasu do przetestowania całego łańcucha przetwarzania płatności ze swoimi centrami autoryzacyjno-rozliczeniowymi, organizacjami płatniczymi i emitentami kart. Istnieje prawdopodobieństwo zaistnienia różnych interpretacji nowych przepisów, a ich dostosowanie może wymagać czasu i musi być zakończone najpóźniej przed rozpoczęciem sezonu bożonarodzeniowego.

  • Odpowiedź:

    Od 1 stycznia 2021 roku Worldline nie będzie więcej przetwarzał transakcji niezgodnych z PSD2.

  • Odpowiedź:

    Nie, transakcje sprzedaży na odległość typu MOTO (Mail Order Telephone Order), płatności inicjowane przez sprzedawcę bez udziału klienta, jak również transakcje pomiędzy właścicielami kart lub akceptantami spoza europejskiego obszaru gospodarczego nie podlegają regulacji RTS-SCA.

  • Odpowiedź:

    Celem silnego uwierzytelnienia klienta (SCA) poprzez 3-D Secure 2 jest ograniczenie oszustw związanych z płatnościami na odległość przy jednoczesnej znacznej poprawie łatwości obsługi dla właściciela karty, w szczególności przez dostarczenie emitentowi (bankowi właściciela karty) większej ilości informacji na temat kontekstu transakcji, aby umożliwić temu ostatniemu podjęcie decyzji, czy powinien zastosować procedurę SCA w konkretnym przypadku.

  • Odpowiedź:

    1. Jeśli korzystasz już z 3-D Secure 1.0 dla wszystkich swoich transakcji, przejście na 3-D Secure 2 pozwoli uniknąć uwierzytelnienia klienta dla niektórych transakcji. Zwiększy to współczynnik konwersji, jednocześnie chroniąc przed oszustwami.
    2. Jeśli w ogóle nie korzystasz z 3-D Secure 1.0 (tylko transakcje „SSL”) lub korzystasz z niego częściowo (Dynamic 3-D Secure), wdrożenie 3-D Secure 1.0 lub 3-D Secure 2 jest i tak obowiązkowe dla zapewnienia zgodności z zasadą SCA. W przeciwnym razie, możesz się spodziewać wielu odrzuconych przez emitentów transakcji nieprzeprowadzanych za pośrednictwem 3-D Secure. 3-D Secure 2 zapewni Ci lepszy współczynnik konwersji niż 3-D Secure 1.0.

  • Odpowiedź:

    Głównymi uzupełnieniami 3-D Secure 2 są:

    • Płynniejsza i bardziej zintegrowana obsługa przez klienta, szczególnie w przypadku aplikacji mobilnych.
    • Nowe metody uwierzytelniania po stronie banku właściciela karty.
    • Zarządzanie wyłączeniami i sprawna realizacja płatności (Frictionless).

  • Odpowiedź:

    Frictionless Flow oznacza transakcję płatniczą bez żądania dodatkowego uwierzytelnienia.
    W zależności od kontekstu i informacji zawartych w żądaniu autoryzacji, emitent karty przeprowadza analizę ryzyka i może podjąć decyzję o nieuwierzytelnianiu transakcji. Jeżeli decyzja „Frictionless Flow” zostanie podjęta przez emitenta, wówczas kontrahent skorzysta z zasady przeniesienia odpowiedzialności. I odwrotnie, jeżeli kontrahent przeprowadził własną analizę ryzyka i zażąda od emitenta „Frictionless Flow”, wówczas nie skorzysta on z zasady przeniesienia odpowiedzialności.

  • Odpowiedź:

    RTS przewiduje dwa wyjątki dla płatności w kasie:

    • Transakcje zbliżeniowe o niskich kwotach

    Zwolnienie z wymogu SCA w przypadku płatności zbliżeniowej może zostać zastosowane:

    ➔ jeżeli kwota transakcji nie przekracza EUR 50,
    ➔ jeżeli od czasu ostatniej transakcji z użyciem silnego uwierzytelnienia klienta przez właściciela karty maksymalna kwota transakcji zbliżeniowych, niezależnie od kontrahenta, lub liczba transakcji zbliżeniowych nie przekroczyła określonej przez RTS-SCA wartości (maks. EUR 150 lub 5 transakcji, w zależności od emitenta, który może również obniżyć te limity).

    • Transakcje na samoobsługowych terminalach w parkomatach lub środkach komunikacji

  • Odpowiedź:

    • Transakcje cykliczne

    Zwolnienie z wymogu silnego uwierzytelnienia klienta ma zastosowanie do serii transakcji na odległość na taką samą kwotę na rzecz jednego beneficjenta. Jednakże silne uwierzytelnienie klienta jest wymagane przy pierwszej transakcji (umowie) lub przy każdej zmianie warunków serii.

    • Niska kwota transakcji

    Zwolnienie z wymogu silnego uwierzytelnienia klienta w przypadku niskiej kwoty transakcji na odległość może zostać zastosowane:

    ➔ jeżeli kwota transakcji nie przekracza EUR 30,
    ➔ jeżeli od czasu ostatniej transakcji z użyciem silnego uwierzytelnienia klienta przez właściciela maksymalna kwota transakcji na odległość, niezależnie od kontrahenta, lub liczba transakcji na odległość nie przekroczyła limitu określonego przez RTS-SCA (maks. EUR 100 lub 5 transakcji, w zależności od emitenta, który może również obniżyć te limity).

    • Analiza ryzyka transakcyjnego

    Zwolnienie z wymogu silnego uwierzytelniania klienta w przypadku transakcji na odległość, zwane „analizą ryzyka”, może zostać zastosowane przez centrum autoryzacyjno-rozliczeniowe (w imieniu kontrahenta) oraz przez emitenta, jeżeli spełnione są dwa poniższe warunki:

    ➔ Transakcja została uznana za bezpieczną (nie stwierdzono np.: zainfekowania komputera użytkownika przez złośliwe oprogramowanie, nietypowej lokalizacji płatnika, nietypowych płatności, czy nietypowej historii transakcji).
    ➔ Wskaźnik oszustw (w przypadku transakcji na odległość) dla instytucji płatniczej (dla centrali autoryzacyjno-rozliczeniowej Banku i emitenta Banku, ale nie dla kontrahenta lub jego dostawcy usług płatniczych) jest niższy od ustalonych limitów:

    ➩ 0,13%, jeżeli kwota transakcji jest mniejsza niż EUR 100.
    ➩ 0,06%, jeżeli kwota transakcji jest mniejsza niż EUR 250.
    ➩ 0,01%, jeżeli kwota transakcji jest mniejsza niż EUR 500.
    ➩ Zwolnienie z wymogu SCA nie ma zastosowania do transakcji powyżej EUR 500.

  • Odpowiedź:

    Zwolnienia nie są rutynowe i nawet jeżeli warunki zwolnienia są spełnione, ostateczna decyzja należy do emitenta (banku właściciela karty), który może udzielić zwolnienia lub nie. Emitent prześle odmowę płatności, co skutkuje koniecznością ponowienia płatności przez właściciela karty z zastosowaniem silnego uwierzytelnienia klienta.

  • Odpowiedź:

    Wdrożenie 3-D Secure 2, które wymaga zmian w całym łańcuchu płatności elektronicznych, będzie przeprowadzane stopniowo w zależności od różnych interesariuszy zajmujących się płatnościami (moduł płatności, banki kontrahentów, sieci, banki emitenci). Zalecamy jak najszybsze skontaktowanie się ze swoim dostawcą usług płatniczych, aby dowiedzieć się, czy może on zaoferować wsparcie we wdrożeniu 3-D Secure 2.

  • Odpowiedź:

    Koniec 3-D Secure 1.0 dla Visa i Mastercard zapowiedziano na grudzień 2020 r.

  • Odpowiedź:

    Worldline jako centrum autoryzacyjno-rozliczeniowe nie będzie blokować kolejnych transakcji początkowej transakcji, która miała miejsce przed 31 grudnia, i nadal będzie je akceptować. W przypadku płatności cyklicznych dokonanych po 31 grudnia, Worldline zaleca przeprowadzenie SCA dla pierwszej z nich i odniesienie się do niej w kolejnej transakcji w celu utrzymania wskaźnika zatwierdzonych transakcji.

  • Odpowiedź:

    Krajowe organy regulacyjne nadzorują działalność lokalnych centrów autoryzacyjno-rozliczeniowych i emitentów. Najważniejsza dla kontrahenta jest jednak lokalizacja jego centrum autoryzacyjno-rozliczeniowego, ponieważ to zadecyduje o tym, czy można zastosować fazę przejściową. Ponadto kontrahenci prowadzący działalność międzynarodową powinni zapoznać się z przepisami obowiązującymi w krajach, w których prowadzą działalność gospodarczą. Rzeczywiście z dniem 14 września niektórzy emitenci w Europie będą zobowiązani do obsługi silnego uwierzytelnienia klienta. Oznacza to, że ci emitenci prawdopodobnie odrzucą transakcje kartami przetwarzane bez użycia 3-D Secure.