Το νέο πρωτόκολλο ασφαλείας 3D Secure 2.Όλα όσα πρέπει να γνωρίζετε για να είστε έτοιμοι για τις αλλαγές.

Η ασφάλεια των συναλλαγών είναι προτεραιότητα για την Cardlink και εργαζόμαστε συνεχώς για την εξάλειψη κάθε ρίσκου, σε πλήρη συμμόρφωση με τα διεθνή πρότυπα για την προστασία των πληρωμών.

Ακολουθούν όλα όσα χρειάζεται να γνωρίζετε για το νέο πρωτόκολλο ασφαλείας 3D Secure 2 και τα οφέλη του, καθώς και οι απαντήσεις σε όλα τα ερωτήματα που μπορεί να έχετε για να είστε έτοιμοι για τις αλλαγές που έρχονται τον Σεπτέμβριο του 2019.

PSD2 – Τι αλλάζει

Στις 15 Μαΐου 2018, δημοσιεύθηκε ο Νόμος 4537/2018 (ΦΕΚ Α’ 84), βάσει του οποίου ενσωματώνεται στην εθνική μας έννομη τάξη η Ευρωπαϊκή Οδηγία (ΕΕ) 2015/2366 «για τις υπηρεσίες πληρωμών στην εσωτερική αγορά» (Payment Services Directive 2 – “PSD 2”). Σκοπός της είναι να διασφαλίσει την ασφάλεια στις συναλλαγές των καταναλωτών, προωθώντας ένα πιο ανοιχτό και ανταγωνιστικό τοπίο στις πληρωμές.
Μία από τις νέες βασικές απαιτήσεις της PSD2 κάνει αναφορά στην «ισχυρή ταυτοποίηση του πελάτη» (Strong Customer Authentication – “SCA”) που θα είναι υποχρεωτική από το Σεπτέμβριο 2019. Στο πλαίσιο του “SCA”, απαιτείται πλέον οι καταναλωτές να πιστοποιούνται με τουλάχιστον δύο από τις παρακάτω τρεις μεθόδους:

Κάτι που ξέρουν (PIN, κωδικός, κ.ά.)
Κάτι που έχουν (PC, κινητό, κ.ά.)
Κάτι που είναι (αναγνώριση φωνής, αποτυπωμάτων, κ.ά.)

Η Cardlink, το μεγαλύτερο δίκτυο πληρωμών, παρέχει στις συνεργαζόμενες επιχειρήσεις λύσεις πλήρως συμβατές με την PSD 2.

Η Cardlink, το μεγαλύτερο δίκτυο πληρωμών, παρέχει στις συνεργαζόμενες επιχειρήσεις λύσεις πλήρως συμβατές με την PSD 2.

Μεγαλύτερη προστασία απέναντι σε συναλλαγές απάτης και βελτιωμένη εμπειρία χρήσης.

Αλλαγές στο πρωτόκολλο ασφαλείας 3D Secure.

Κατά την τελευταία δεκαετία, οι περισσότεροι καταναλωτές που έχουν πραγματοποιήσει online συναλλαγές, είχαν την εμπειρία του 3D Secure v1, το οποίο σχεδιάστηκε για να προσθέσει ένα επιπλέον επίπεδο ασφάλειας και να μεταφέρει την ευθύνη από τυχόν αμφισβητήσεις από τους εμπόρους στις Τράπεζες (Liability Shift). Όμως, ο σχεδιασμός αυτός τους δυσκόλευε με αποτέλεσμα συχνά να εγκαταλείπουν τις συναλλαγές.
Η νέα έκδοση του πρωτοκόλλου PSD2, το 3D Secure 2, ήρθε για να κάνει την ταυτοποίηση του πελάτη ευκολότερη και να συμβάλλει στην προστασία του εμπόρου με έναν έξυπνο τρόπο.
Το 3D Secure 2 υποστηρίζει την αποστολή σημαντικών δεδομένων του καταναλωτή για την Τράπεζα, όπως η διεύθυνσή του (billing address), πληροφορίες της συσκευής που χρησιμοποιεί (Device ID), το ιστορικό συναλλαγών του καταναλωτή/εμπόρου και πολλά άλλα. Η Τράπεζα αξιολογεί το επίπεδο κινδύνου της συναλλαγής και εφόσον την εμπιστεύεται, η συναλλαγή προχωράει άμεσα προς έγκριση (authorization) χωρίς να χρειάζεται καμία επιπλέον ενέργεια από τον πελάτη (Frictionless flow). Διαφορετικά, η Τράπεζα μπορεί να ζητήσει επιπλέον ενέργειες από τον πελάτη για την ταυτοποίησή του με τη διαδικασία του SCA που αναφέραμε παραπάνω, προκειμένου να εγκρίνει την πληρωμή (Challenge flow).

Ποια είναι τα οφέλη από την εφαρμογή του 3D Secure 2 για εσάς;

Όλοι επωφελούνται από την εφαρμογή του 3D Secure 2. Οι πελάτες αποκτούν μεγαλύτερη προστασία απέναντι σε συναλλαγές απάτης και βελτιωμένη εμπειρία χρήσης, ενώ οι εκδότριες Τράπεζες μπορούν να πιστοποιήσουν με μεγαλύτερη ακρίβεια τους πελάτες τους, λαμβάνοντας υπόψη τα δεδομένα που τους κοινοποιούνται.
Από την άλλη πλευρά, οι έμποροι θα δουν λιγότερους πελάτες τους να εγκαταλείπουν το καλάθι αγορών, ενώ ταυτόχρονα δε θα έχουν την ευθύνη (Liability Shift) στις συναλλαγές που αμφισβητήθηκαν λόγω απάτης, η οποία μετακυλείεται στις Τράπεζες. Επιπλέον, οι έμποροι μπορούν να εκμεταλλευτούν τα οφέλη της ενσωμάτωσης του πρωτοκόλλου 3D Secure 2 στις πλατφόρμες που χρησιμοποιούν (e-shops κλπ.) και να παρέχουν στους πελάτες τους μεγαλύτερη ασφάλεια.

Αν είστε έμπορος και δέχεστε online πληρωμές με κάρτες υπάρχουν ενέργειες που είναι απαραίτητο να έχετε ολοκληρώσει μέχρι τις 14 Σεπτεμβρίου 2019.

Είναι διαφορετικές οι ενέργειες που πρέπει να κάνετε ανάλογα με το αν η διασύνδεσή τους είναι βασισμένη στο Direct model ή στο Redirect model. Συμβουλευτείτε τις απαντήσεις στις ερωτήσεις που ακολουθούν για να μάθετε ποιες είναι οι ενέργειες αυτές.

Για εμπόρους συνδεδεμένους με Redirect model:

Προωθήστε τις τεχνικές προδιαγραφές του Redirection που βρίσκονται εδώ στον τεχνικό σας προκειμένου να βεβαιωθείτε ότι είναι ενήμερος για τις αλλαγές που πρέπει να γίνουν.

Για εμπόρους συνδεδεμένους με Direct Model:

Θα πρέπει να γίνουν αλλαγές στα στοιχεία που στέλνετε στο MPI με σκοπό το 3DS authentication (βρείτε εδώ το εγχειρίδιο MPI) αλλά και αλλαγές στο authorization (βρείτε εδώ το εγχειρίδιο VPOS) . Επικοινωνήστε με την τεχνική ομάδα που σας υποστηρίζει.

Συχνές Ερωτήσεις

Η  δεύτερη οδηγία για τις υπηρεσίες πληρωμών (PSD2) είναι μια θεμελιώδης νομοθεσία σχετικά με τις πληρωμές στην Ευρώπη, η οποία άρχισε να ισχύει τον Ιανουάριο του 2016. Η PSD2 αποτελεί σημαντική εξέλιξη της υφιστάμενης ρύθμισης για τον κλάδο των πληρωμών. Στόχος της PSD2 είναι να αυξήσει τον ανταγωνισμό στην ήδη ανταγωνιστική βιομηχανία πληρωμών, να θέσει σε εφαρμογή νέους τύπους υπηρεσιών πληρωμών, να ενισχύσει την προστασία και την ασφάλεια των πελατών και να επεκτείνει την εμβέλεια της οδηγίας.

Η «Ισχυρή Ταυτοποίηση πελάτη» (Strong Customer Authentication – SCA) αποτελεί μέρος Ευρωπαϊκής πρωτοβουλίας για μείωση της απάτης (Fraud) στις ηλεκτρονικές συναλλαγές. Με την εφαρμογή του SCA επιτυγχάνεται ένα ασφαλές επίπεδο ταυτοποίησης του πληρωτή τη στιγμή που εκτελεί μία πληρωμή.

Για να μάθετε τον τύπο διασύνδεσης που έχετε, μπορείτε να επικοινωνήσετε με τον τεχνικό σας ή να μας αποστείλετε e-mail στο ecommerce_support@cardlink.gr

Οι έμποροι πρέπει να υποστηρίζουν υποχρεωτικά και το EMV 3DS (3D Secure 2) και το 3DS v1, ώστε στην περίπτωση που ο εκδότης μιας κάρτας δεν υποστηρίζει EMV 3DS, να αποφύγουν την πιθανότητα απόρριψης μιας συναλλαγής.

Ναι, η υποστήριξη του 3D Secure 2 καθίσταται υποχρεωτική αφού σε αντίθετη περίπτωση διατρέχετε τον κίνδυνο απόρριψης συναλλαγών.

Στο πλαίσιο του 3D Secure 2, συνίσταται ανεπιφύλακτα στους εμπόρους να συλλέγουν και να μοιράζονται με τις εκδότριες Τράπεζες την πληροφορία των συναλλαγών τους, για να αυξήσουν τις πιθανότητες ενός “frictionless flow” και να μειώσουν το ποσοστό εγκατάλειψης του καλαθιού. Εφόσον είστε συνδεδεμένος με τη μέθοδο Redirect, υπάρχουν επιπλέον παράμετροι που θα πρέπει να στέλνετε, προκειμένου ο καταναλωτής να απολαμβάνει βέλτιστη εμπειρία χρήσης. Δείτε την ερώτηση που ακολουθεί.

Εφόσον έχετε συνδεθεί με τη μέθοδο Redirection, συστήνεται η συλλογή και αποστολή των πληροφοριών σχετικά με την διεύθυνση χρέωσης του πελάτη σας (δηλ. να αποστέλλετε τιμές στις μεταβλητές billCountry, billState, billZip, billCity και billAddress) με το αίτημα συναλλαγής προς την πλατφόρμα.

Από το διαχειριστικό εργαλείο (Back Office Tool), επιλέξτε “View and Manage VPOS Transactions” και στη συνέχεια επιλέξτε τα κριτήρια για να δείτε τις τελευταίες συναλλαγές που έχουν εκτελεστεί. Στη συνέχεια διαλέξτε μία συναλλαγή και κάντε κλικ στο αντίστοιχο link για να ανοίξει το παράθυρο VPOS Transaction details και να δείτε τις αναλυτικές πληροφορίες της. Ελέγξτε αν υπάρχουν τιμές στα παρακάτω πεδία:

Αν υπάρχουν τιμές στα πεδία αυτά σημαίνει ότι δεν χρειάζεται να κάνετε καμία άλλη ενέργεια αφού η Cardlink θα κάνει ότι είναι απαραίτητο για την μεταφορά σας στο νέο πρωτόκολλο.

Αν δεν υπάρχουν τιμές στα πεδία αυτά, ενημερώστε τον τεχνικό σας, προκειμένου να προβεί στις σχετικές αλλαγές στο σύστημά σας, ώστε να λαμβάνει τις πληροφορίες αυτές κατά τη διαδικασία του check-out και να τις αποστέλλει στο Cardlink e-Commerce. Συστήνεται να γίνουν δοκιμαστικές συναλλαγές στο test διαχειριστικό περιβάλλον.

Στις αρχικές τεχνικές προδιαγραφές που είχατε λάβει κατά τη διασύνδεσή σας με την πλατφόρμα, οι παραπάνω μεταβλητές αναφέρονται ως προαιρετικές. Θα πρέπει να βεβαιωθείτε ότι τις αποστέλλετε δοκιμάζοντας να στείλετε τουλάχιστον μία επιτυχημένη συναλλαγή (Capture) με μία τεστ κάρτα. Δείτε τις επόμενες 2 ερωτήσεις παρακάτω.

Μπορείτε να χρησιμοποιήσετε τα ίδια διαπιστευτήρια (user name και password) που είχατε λάβει αρχικά για την διενέργεια δοκιμαστικών συναλλαγών, καθώς αυτά συνεχίζουν να είναι ενεργά. Σε περίπτωση που τα έχετε χάσει, μπορείτε να στείλετε  e-mail στο ecommerce_support@cardlink.gr ώστε να σας τα προωθήσουμε εκ νέου.

Scheme Card PAN Responsed status
Visa 4012000000012003001 Challenge Y password
Visa 4012000000012011046 Challenge Flow auto U
Visa 4012000000012011004 Frictionless Y
Visa 4012000000012011012 Frictionless N
Visa 4012000000012011020 Frictionless U
Visa 4012000000012011038 Frictionless R
Amex 37075510000002 Frictionless Y
Amex 37075510000010 Frictionless N
MasterCard 5900070000000003 Frictionless Y
MasterCard 5900070000000029 Frictionless N

Στην περίπτωση αυτή, θα πρέπει να επιβεβαιώσετε με τον πάροχο του plugin ότι είναι συμβατό με τις προδιαγραφές του 3D Secure 2.

Διατρέχετε τον κίνδυνο απόρριψης ολοκλήρωσης συναλλαγών.

Ειδικά για τους εμπόρους που είναι συνδεδεμένοι με Direct Model (XML Web Services)

Στο αίτημα που στέλνετε προς το Merchant Plugin (MPI) για τους σκοπούς του 3DS Authentication, θα πρέπει να στέλνετε τις επιπλέον μεταβλητές που αναφέρονται στο τεχνικό εγχειρίδιο MPI ως υποχρεωτικές. Επιπλέον, προκειμένου να υποστηρίζετε το 3D Secure 2 θα πρέπει να αναβαθμίσετε την έκδοση (version) του MPI που χρησιμοποιείτε σε version 4 (αν αυτό δεν έχει ήδη γίνει).

Μία από τις βασικότερες αλλαγές στο MPI v4 αποτελεί τη χρήση του “signature” αντί της χρήσης του Digest που κάνατε μέχρι τώρα.

To signature αποτελεί ένα επιπλέον εργαλείο διασφάλισης των συναλλαγών. Ο υπολογισμός του γίνεται ως εξής:

Signature = base64(RSA with SHA2-256 (utf8bytes(value1;value2;…;value n;) ) ).

Θα πρέπει να εκδώσετε το self-signed πιστοποιητικό (RSA Keypair SHA2-256) που θα απαρτίζεται από private και public certificates. H παραγωγή του self-signed certificate μπορεί να γίνει με χρήση Java key tool ή open ssl.

Στη συνέχεια θα πρέπει να κοινοποιήσετε μέσω email στην Cardlink (ecommerce_support@cardlink.gr) το public certificate προκειμένου να επικυρωθούν (validation) τα μηνύματα.

Για περισσότερες πληροφορίες ανατρέξτε στο τεχνικό εγχειρίδιο.

Oι απαιτούμενες προσθήκες στο XML API κανάλι είναι στα πεδία Program Protocol και Directory Server Transaction ID. Για περισσότερες πληροφορίες συμβουλευτείτε το τεχνικό εγχειρίδιο για το Authorization ή επικοινωνήστε μαζί μας.

Κατά τη διαδικασία ταυτοποίησης (authentication) και εφόσον ακολουθείται το challenge flow, η επιχείρηση θα πρέπει να εμφανίσει στον πελάτη τη σχετική σελίδα πιστοποίησης (3D page). Συστήνεται η εμφάνιση της σελίδας σε i-Frame προκειμένου ο καταναλωτής να απολαμβάνει βέλτιστη εμπειρία χρήσης.

Εφόσον ολοκληρώσετε τις αλλαγές στο δοκιμαστικό περιβάλλον με επιτυχία, επικοινωνήστε μαζί μας για να σας ενημερώσουμε για τα επόμενα βήματα.