+11° Київ +12° Варшава +18° Вашингтон
$ 39.67 € 42.52 zł 9.86
$ 39.67 € 42.52 zł 9.86
+11° Київ +12° Варшава +18° Вашингтон
Альона Дегрік. Що таке Strong Customer Authentication і чому про нього важливо знати українським fintech-проектам?
Блоги Бізнес

Альона Дегрік. Що таке Strong Customer Authentication і чому про нього важливо знати українським fintech-проектам?

04 Жовтня 2019 10:03

14 вересня директива PSD2 розгорнулася майже в повну силу на фінансовому ринку ЄС. Особливо це стосується її нормативу Strong Customer Authentication (SCA). Сьогодні я коротко розкажу його основну суть, після чого — якщо ваш проект пов'язаний з платіжними послугами — ви зрозумієте важливість цієї інформації.

Що таке PSD2?


Почну з простого — для тих моїх читачів, хто не в курсі всіх тонкощів. Payment Services Directive 2015/2366 — це директива ЄС про платіжні послуги на внутрішньому ринку, прийнята в 2015 році. У нормальних, цивілізованих країнах період імплементації для важливих законів по фінансовій сфері робиться на пару місяців, а, наприклад, 2 роки. Після цього у PSD2 бул покроковий вступ в силу. Дедлайн був 14 вересня 2019 року — трохи більше двох тижнів тому в силу вступив норматив Strong Customer Authentication (SCA). Про нього і поговоримо.

Головна мета PSD2 — забезпечувати безпеку транзакцій користувачів і розширювати екосистему фінансових послуг на фінринку ЄС. Звучить красиво, правда? Це хороша мета, якій потрібен зручний засіб реалізації. Їм і є SCA.

Основа Strong Customer Authentication


SCA — це, фактично, список нових правил, за якими буде проводитися аутентифікація користувачів, які роблять ту чи іншу транзакцію. Мерчанти і PSP-провайдери зобов'язуються додати до user scenario додаткову верифікацію клієнта.

Наприклад, візьмемо стандартний інтернет-еквайринг. До Strong Customer Authentication платіж відбувався при введенні даних вашої банківської карти, після чого payment request підтверджувався одноразовим паролем. Звична історія.

Після впровадити SCA цього мало, необхідний ще один параметр секьюрності платежу, Це можуть бути:

  • Стандартний пароль / PIN-код / ​​секретне слово;

  • Біометричний підтвердження (відбиток пальця, лицьова біометрія, сітківка і т.д.);

  • ID розумного пристрою, за допомогою якого здійснюється платіж;


Важливий момент: нові вимоги не стосуються розрахунків у звичайних магазинах і не пов'язані з прямим дебетуванням.

За технічну сторону питання у всьому цьому буде відповідати новий протокол безпеки 3D Secure 2.0. Для клієнта додасться лише другий запит підтвердження транзакції. Для бізнесу — головний біль, як зробити його зручним, красивим і зрозумілим, а також завдання щодо інтеграції.

В яких випадках вас це не стосується? (Виключення з SCA)


Для процесингів банків і PSP-провайдерів додається ще одне завдання — визначати, в які моменти сувора ідентифікація застосуються, а в які ні, включаючи оцінку ризику платежу.

На щастя, закони писалися не десь в СНД, а в ЄС, тому все гранично зрозуміло. Отже, SCA не розповсюджується на:

  1. Покупки до 30 євро. Але є винятки — якщо йде серія однакових платежів з мінімальним порогом до ліміту, повинен працювати анти-фрод.

  2. Підписки. Нічиї підписки на Netflix, Apple Music і інші сервіси не постраждають. Ніхто не піде проти великого трастового міжнародного бізнесу;

  3. Ініційовані торговцями платежі. Якщо ви додали свою картку в Uber або Bolt, вас не будуть вимагати двічі підтверджувати платіж.

Алёна Шевцова

Алёна Шевцова