Přichází silná autentizace. Jak bude nový způsob ověření platby fungovat v praxi?

21. 08. 2019

AktualitySilné ověření platebTiskové zprávy

V září 2019 nastane v platebním světě dlouho očekávaná změna.

V povinnost vstoupí tzv. silné ověření klienta (SCA), které s sebou přinese zvýšenou bezpečnost při zadávání plateb na internetu (tedy např. při platbě kartou online), ale také jiný způsob v ověření platby, než jak jsme zvyklí dnes.

Dosud ověření platby spočívalo v opsání SMS kódu. Tento způsob však pravděpodobně nebude ve všech případech dostatečný, a tak vydavatelé karet musí přijít s jiným.

Jaký nový způsob ověření banky připraví? A kdy nastanou změny v ověřování plateb?

<strong>AKTUALIZACE ČLÁNKU 31.10.2020 a shrnutí nejdůležitějších informací:</strong>
  • Klasické ověření plateb přes SMS kód končí a od 1.1.2021 jej banky nesmí vyžadovat
  • Místo něj bude uživatel platbu potvrzovat v chytrém telefonu prostřednictvím aplikace mobilního bankovnictví, pomocí biometrických prvků, popřípadě dalších způsobů
  • Pokud uživatel nevlastní chytrý telefon, nebo nevyužívá služby mobilního bankovnictví, bude si muset pamatovat speciální PIN, který bude využívat k autorizaci plateb
  • O konkrétní podobě silného ověření rozhodují banky, nikoliv platební brána
  • Platební brána GoPay je už od podzimu 2019 na silnější ověření plateb technicky připravena
  • Jste provozovatel e-shopu a využíváte GoPay? Pak pro zajištění silného ověření plateb jako takového nemusíte nic implementovat, ani nastavovat.

<strong>AKTUALIZACE ČLÁNKU 10.2.2021 - přidání výjimky ze silného ověření</strong>

  • Banky budou moct uplatnit výjimku ze silného ověření plateb. Znamená to, že platbu, na kterou se bude vztahovat výjimka, uživatel nebude muset ověřovat. 
  • Jste provozovatel e-shopu a využíváte GoPay? Bude nutné, abyste do podzimu 2021 rozšířili vaši integraci o předávání dalších údajů, aby se na platby vašich zákazníků mohla vztahovat výjimka z režimu silného ověření plateb.
  • Co je silná autentizace klienta?

    V polovině září 2019 vstoupí v platnost tzv. silná autentizace klienta, která je známá pod zkratkou SCA a o které jsme podrobně psali zde.

    Velmi stručně se jedná o to, že banky budou muset zajistit jiné, silnější ověření identity klienta, a to zejména v situacích, jako je placení na internetu, nebo přihlášení do bankovní aplikace.

    V současné době ověření platby na internetu probíhá přes technologii 3D Secure, kdy platící zákazník musí platbu potvrdit SMS kódem. Takové ověření však přestává vyhovovat novým bezpečnostním standardům, a proto je třeba zavést nový, bezpečnější mechanismus.

    Jaké změny v ověření plateb se chystají?

    Protože od stávajícího řešení v podobě opisování SMS kódu banky upustí, je třeba nabídnout jiné varianty ověření platby. 

    Zjednodušeně by se dalo říci, že způsob ověření platby závisí na tom, jestli uživatel vlastní chytrý telefon a má v něm nainstalovanou aplikaci svého mobilního bankovnictví. 

    Jak nové způsoby ověření tedy budou vypadat?

    Ověření platby přes bankovní aplikaci

    Zákazník si na internetu vybere zboží, které bude chtít zaplatit kartou. Místo SMS kódu bude moct svou identitu ověřit:

    • pomocí biometrických prvků – otisk prstu, sken obličeje, apod. 
    • v aplikaci mobilního bankovnictví – uživatel zadá heslo, PIN, nebo zodpoví předem nadefinovanou bezpečnostní otázku (podrobněji jsme psali zde).

    Ukázka, jak vypadá 3D Secure ověření podle nových standardů v případě, že uživatel má v mobilu nainstalovanou aplikaci mobilního bankovnictví banky Moneta

    3d secure ověření

    1. Výzva k ověření platby, která se uživateli zobrazí na bráně po zadání údajů z karty. Hláška „Platbu můžete také ověřit prostřednictvím SMS“ se pravděpodobně od 1.1.2021 už zobrazovat nebude

    3D Secure ověření

    2. Výzva k ověření platby v mobilním bankovnictví. Uživatel se dozvídá, jakým způsobem bude ověření probíhat.

    3D Secure ověření

    3. Autorizace platby pomocí PINu. V případě Monety se jedná o PIN, kterým se uživatel přihlašuje do mobilního bankovnictví.

    4. Výsledek úspěšného ověření. Uživatel se vrací zpět na bránu a mobilní bankovnictví může zavřít.

     

     

     

     

     

     

     

     

     

     

     

     

     

     

    Ověření platby bez použití chytrého telefonu nebo aplikace mobilního bankovnictví

    Výše uvedené způsoby ověření (biometrika, mobilní apka) bude možné provést pouze na chytrých telefonech. Přestože 91 % Čechů vlastní chytrý telefon, najdou se tací, kteří jej z různých důvodů nevlastní nebo nepoužívají.

    Z průzkumů navíc vyplývá, že aplikaci mobilního bankovnictví využívá pouze 48 % Čechů.

    Vyvstává tedy otázka, jak bude silné ověření probíhat u uživatelů, kteří buď nevlastní chytrý telefon, nebo nepoužívají službu mobilního bankovnictví.

    Bohužel, v takovém případě bude ověření platby složitější (což jde proti původní myšlence celého projektu, který má za cíl ověření platby zjednodušit). Uživatel bude muset zadat speciální PIN, který se bude lišit od běžného PINu k fyzické platební kartě. Nejen, že si uživatel bude muset tento speciální PIN pamatovat (ten totiž v žádné SMS zprávě nedorazí), ale v případě, že v jedné fázi ověření udělá chybu, platba samozřejmě neprojde a objednávka tím pádem nebude dokončena.

    Co se stane, když se uživateli ověření platby nepodaří?

    Pokud se zákazníkovi z nějakého důvodu ověření platby nepodaří, nedojde k dokončení platby a tím pádem k zaplacení objednávky. 

    Brána v takovém případě zákazníkovi zobrazí hlášku, že platba byla zamítnuta v autorizačním centru banky. 

    zamítnutí platbyZákazník buď může zvolit jinou platební metodu, nebo kontaktovat banku a vyžádat si více informací, proč k ověření nedošlo. 

    Kdo o finální podobě silného ověření rozhoduje?

    Konkrétní řešení silné autentizace bude záležet na vydavatelích platebních karet, tedy bankách. GoPay jakožto poskytovatel plateb nemá žádný vliv na to, jak výsledné řešení bude vypadat. Platební brána pouze zákazníka při platbě přesměruje na server banky, na kterém dojde k ověření platby. 

    Jak budou banky ověření plateb, ukazuje následující tabulka (za lomítkem je uvedený způsob ověření, který banka použije v případě, že klient nemá mobilní bankovnictví). 

    Budou muset provozovatelé e-shopů provádět nějaké změny?

    Veškeré legislativní úkony plánujeme odbavit z naší strany, tudíž jakožto provozovatel e-shopu a obchodník GoPay se o legislativní záležitosti nebudete muset starat.

    Co se týče integrace, pro zajištění režimu silnějšího ověření plateb jako takového nebudete muset provádět žádné změny, a to ani v případě, že nabízíte opakované platby. Pouze budete muset rozšířit vaši integraci o předávání dalších údajů, aby se na platby vašich zákazníků mohla vztahovat výjimka z režimu silného ověření plateb. 

    Kde najdete další informace k silnému ověření plateb?

    Co znamená silné ověření klienta a proč se o něm všude mluví?

    Jakou změnu v placení přinese 3D Secure 2.0?

    Proč se nebát PSD2 a nových platebních služeb

    O čem jsme ještě psali

    Karin Hambalíková

    Karin je obsahová duše, která se podílí na psaní příběhů v GoPay.