Přichází silná autentizace. Jak bude nový způsob ověření platby fungovat v praxi?
V září 2019 nastane v platebním světě dlouho očekávaná změna.
V povinnost vstoupí tzv. silné ověření klienta (SCA), které s sebou přinese zvýšenou bezpečnost při zadávání plateb na internetu (tedy např. při platbě kartou online), ale také jiný způsob v ověření platby, než jak jsme zvyklí dnes.
Dosud ověření platby spočívalo v opsání SMS kódu. Tento způsob však pravděpodobně nebude ve všech případech dostatečný, a tak vydavatelé karet musí přijít s jiným.
Jaký nový způsob ověření banky připraví? A kdy nastanou změny v ověřování plateb?
- Klasické ověření plateb přes SMS kód končí a od 1.1.2021 jej banky nesmí vyžadovat
- Místo něj bude uživatel platbu potvrzovat v chytrém telefonu prostřednictvím aplikace mobilního bankovnictví, pomocí biometrických prvků, popřípadě dalších způsobů
- Pokud uživatel nevlastní chytrý telefon, nebo nevyužívá služby mobilního bankovnictví, bude si muset pamatovat speciální PIN, který bude využívat k autorizaci plateb
- O konkrétní podobě silného ověření rozhodují banky, nikoliv platební brána
- Platební brána GoPay je už od podzimu 2019 na silnější ověření plateb technicky připravena
- Jste provozovatel e-shopu a využíváte GoPay? Pak pro zajištění silného ověření plateb jako takového nemusíte nic implementovat, ani nastavovat.
V polovině září 2019 vstoupí v platnost tzv. silná autentizace klienta, která je známá pod zkratkou SCA a o které jsme podrobně psali zde. Velmi stručně se jedná o to, že banky budou muset zajistit jiné, silnější ověření identity klienta, a to zejména v situacích, jako je placení na internetu, nebo přihlášení do bankovní aplikace. V současné době ověření platby na internetu probíhá přes technologii 3D Secure, kdy platící zákazník musí platbu potvrdit SMS kódem. Takové ověření však přestává vyhovovat novým bezpečnostním standardům, a proto je třeba zavést nový, bezpečnější mechanismus. Protože od stávajícího řešení v podobě opisování SMS kódu banky upustí, je třeba nabídnout jiné varianty ověření platby. Zjednodušeně by se dalo říci, že způsob ověření platby závisí na tom, jestli uživatel vlastní chytrý telefon a má v něm nainstalovanou aplikaci svého mobilního bankovnictví. Jak nové způsoby ověření tedy budou vypadat? Zákazník si na internetu vybere zboží, které bude chtít zaplatit kartou. Místo SMS kódu bude moct svou identitu ověřit: Ukázka, jak vypadá 3D Secure ověření podle nových standardů v případě, že uživatel má v mobilu nainstalovanou aplikaci mobilního bankovnictví banky Moneta 1. Výzva k ověření platby, která se uživateli zobrazí na bráně po zadání údajů z karty. Hláška „Platbu můžete také ověřit prostřednictvím SMS“ se pravděpodobně od 1.1.2021 už zobrazovat nebude 2. Výzva k ověření platby v mobilním bankovnictví. Uživatel se dozvídá, jakým způsobem bude ověření probíhat. 3. Autorizace platby pomocí PINu. V případě Monety se jedná o PIN, kterým se uživatel přihlašuje do mobilního bankovnictví. 4. Výsledek úspěšného ověření. Uživatel se vrací zpět na bránu a mobilní bankovnictví může zavřít. Výše uvedené způsoby ověření (biometrika, mobilní apka) bude možné provést pouze na chytrých telefonech. Přestože 91 % Čechů vlastní chytrý telefon, najdou se tací, kteří jej z různých důvodů nevlastní nebo nepoužívají. Z průzkumů navíc vyplývá, že aplikaci mobilního bankovnictví využívá pouze 48 % Čechů. Vyvstává tedy otázka, jak bude silné ověření probíhat u uživatelů, kteří buď nevlastní chytrý telefon, nebo nepoužívají službu mobilního bankovnictví. Bohužel, v takovém případě bude ověření platby složitější (což jde proti původní myšlence celého projektu, který má za cíl ověření platby zjednodušit). Uživatel bude muset zadat speciální PIN, který se bude lišit od běžného PINu k fyzické platební kartě. Nejen, že si uživatel bude muset tento speciální PIN pamatovat (ten totiž v žádné SMS zprávě nedorazí), ale v případě, že v jedné fázi ověření udělá chybu, platba samozřejmě neprojde a objednávka tím pádem nebude dokončena. Pokud se zákazníkovi z nějakého důvodu ověření platby nepodaří, nedojde k dokončení platby a tím pádem k zaplacení objednávky. Brána v takovém případě zákazníkovi zobrazí hlášku, že platba byla zamítnuta v autorizačním centru banky. Konkrétní řešení silné autentizace bude záležet na vydavatelích platebních karet, tedy bankách. GoPay jakožto poskytovatel plateb nemá žádný vliv na to, jak výsledné řešení bude vypadat. Platební brána pouze zákazníka při platbě přesměruje na server banky, na kterém dojde k ověření platby. Jak budou banky ověření plateb, ukazuje následující tabulka (za lomítkem je uvedený způsob ověření, který banka použije v případě, že klient nemá mobilní bankovnictví). Zdroj: Seznam Zprávy Veškeré legislativní úkony plánujeme odbavit z naší strany, tudíž jakožto provozovatel e-shopu a obchodník GoPay se o legislativní záležitosti nebudete muset starat. Co se týče integrace, pro zajištění režimu silnějšího ověření plateb jako takového nebudete muset provádět žádné změny, a to ani v případě, že nabízíte opakované platby. Pouze budete muset rozšířit vaši integraci o předávání dalších údajů, aby se na platby vašich zákazníků mohla vztahovat výjimka z režimu silného ověření plateb. Co je silná autentizace klienta?
Jaké změny v ověření plateb se chystají?
Ověření platby přes bankovní aplikaci
Ověření platby bez použití chytrého telefonu nebo aplikace mobilního bankovnictví
Co se stane, když se uživateli ověření platby nepodaří?
Zákazník buď může zvolit jinou platební metodu, nebo kontaktovat banku a vyžádat si více informací, proč k ověření nedošlo. Kdo o finální podobě silného ověření rozhoduje?
Budou muset provozovatelé e-shopů provádět nějaké změny?
Kde najdete další informace k silnému ověření plateb?
Co znamená silné ověření klienta a proč se o něm všude mluví?
29.08. 2019 at 12:20
Pokud nebude povinnost 3D Secure na všech e-shopech, je takový vývoj poloviční.
Píšu z vlastní zkušenosti. V červenci roku 2019 někdo použil mé platební údaje z karty a zaplatil tak v obchodě (Walmart) v USA, kde nepoužívají 3D Secure. Tím pádem po dotyčném nikdo nechtěl ani SMS na ověření. Nejsem si vědom, že bych svojí kartou někdy platil na pofidérních e-shopech a tím by došlo ke zneužití mých údajů. Ale stalo se.
Proto si myslím, že by se mělo nejdříve začít u povinnosti 3D Secure (pokud je to technicky možné) a až potom ke zvýšení autentizace klienta.
02.09. 2019 at 09:32
Dobrý den Vladimíre,
vaše nepříjemná zkušenost mě mrzí. Zkusil jste se obrátit na vaší banku, případně na policii ohledně zneužití platebních údajů? Snad by vám mohli pomoct.
Máte pravdu – je nešťastné, že se silná autentizace týká pouze Evropy. Avšak pokud je obchodník z USA a zákazník z Evropy, tak by se na takovouhle transakci SCA také mělo vztahovat. Nicméně nezbývá než doufat, že v budoucnu bude povinná i pro zbývající regiony.
Přeji vám fajn den.
Karin | GoPay
26.09. 2019 at 13:09
Nechápu, že nestačí identifikace pomocí platby na účet +autorizace SMS a nascanování pasu. Proč ještě focení s dokladem ??????
Státní správě prý bude stačit také propojení s bankovním účtem pro vstup na government portal.