3-D Secure-autentisering: en digital pinkode
Hvis du har kjøpt noe på nettet de siste ti årene, har du garantert vært borti3-D Secure. Dette er et sikkerhetstrinn for å bekrefte at det er du som kortinnehaver som utfører kjøpet. Når kjøpet gjennomføres, blir det den kortutstedende banken, ikke firmaet du handler av, som tar over ansvaret for kortreklamasjoner knyttet til svindel. Man kan tenke på det som en digital pinkode.
På grunn av PSD2s krav til sterk kundeautentisering har 3DS blitt et krav ved flere kjøp.
Tapt konvertering
Man sier at selv solen har mørke flekker, og det stemmer definitivt for 3-D Secure. For de fleste e-forhandlere representerer 3DS en stor trygghet, samtidig som det kan påvirke konverteringen.
3DS ble utviklet for en tid da alle kjøp ble gjort fra datamaskinen. Protokollen er ikke mobiltilpasset, noe som skaper problemer med konvertering forapp- og mobiltilpassede checkouter.
Den andre innvendingen er at den ser forskjellig ut fra land til land. I Norge har det vært relativt enkelt for kundene å legitimere seg medBank-ID, mens andre land som Tyskland og Frankrike har forlangt at kundene må huske lange, statiske passord.
For å bøte på dette har kortnettverkenes beslutningsorganEMVCosluppet en oppdatert protokoll som kalles 3-D Secure 2.
3-D Secure 1 vs. 3-D Secure 2
3DS 2 gjør det sikrere og enklere å legitimere seg. 3-D Secure 2 er bygget for mobil og fungerer dessuten iapper. Den nye protokollen retter kort og godt opp mange av problemene i den første versjonen.
3-D Secure 1 sammenlignet med 3-D Secure 2
Økt konvertering
3DS kan brukes som et verktøy for å dele informasjon mellom forhandlere og banker. Når kortutstedende banker og forhandlere deler informasjon om felles kunder, blir det enklere å ta risikobeslutninger. Lavere risiko innebærer høyere godkjenningsgrad og økt konvertering.
I tilfeller der kunden har legitimert seg tidligere, kan 3-D Secure 2 fungere usynlig i bakgrunnen av en transaksjon. Adyens dynamiske 3DS-tjeneste gjør det mulig å fastslå i hvilke tilfeller bankene trenger mer informasjon, og kun kreve ytterligere legitimasjon når det er nødvendig.
Eksempel på dynamisk 3-D Secure
3-D Secure 2 trenger ikke bare å benyttes som svindelbeskyttelse. Ettersom informasjonsflyten mellom forhandler og kortutsteder øker godkjenningsgraden, kan alle som bruker 3-D Secure oppleve økt konvertering.
En bedre brukeropplevelse
I mange tilfeller behøver ikke kunden å gjøre noe for å legitimere seg med 3-D Secure 2. Men i noen tilfeller trengs det noen ekstra trinn. Kjøp knyttet til høyere risiko eller strengere PSD2-regler krever aktiv godkjenning. Adyens dynamiske 3-D Secure avgjør hva slags respons banken krever.
Passiv autentisering– datautvekslingen skjer i bakgrunnen uten at forbrukeren behøver å legge inn noen opplysninger.
Tofaktorautentisering– forbrukeren blir bedt om å legitimere seg, f.eks. med en kode som sendes på SMS eller med Bank-ID.
Biometrisk autentisering– forbrukeren blir omdirigert til bankens app der de legitimerer seg biometrisk
Jo flere måter kunden kan legitimere seg på, desto mindre er risikoen for at de avbryter kjøpet. Dette øker sikkerheten, samtidig som det reduserer antallet kunder som faller fra icheckouten.
De vanligste spørsmålene og svarene om PSD2, SCA og 3-D Secure:
Vil 3-D Secure 2 bli et krav?
På sikt vil 3-D Secure 1 bli faset ut. Utviklingen for å fase ut 3-D Secure 1 drives frem av kortnettverkene, de kortutstedende bankene og lovgivningen. Det kan være vanskelig å holde oversikt over alle endringer som skjer, og Adyen anbefaler derfor dynamisk 3-D Secure, som automatisk registrerer om 3-D Secure skal vises eller ikke, og om det er krav om 3-D Secure 2.
Hvem er det som bestemmer om det er 3DS 1 eller 3DS 2 som skal benyttes?
Det er e-forhandleren som avgjør hvilken versjon av 3-D Secure de velger å integrere i sin checkout. Adyen anbefaler at man benytter seg av 3-D Secure 2, med 3-D Secure 1 som back-up. Det betyr at man alltid kan oppfylle kortutstedende bankers krav til SCA.
Hvordan påvirkes B2B-transaksjoner av PSD2s SCA-krav?
PSD2s SCA-krav gjelder bare for kjøp som blir gjort med kort der kortet er knyttet til en person. Firmakort er ikke omfattet av direktivet. Det påvirker heller ikke kjøp som blir gjort med andre betalingsmetoder, for eksempel faktura. Dette betyr at de fleste kjøp som skjer mellom bedrifter ikke blir påvirket av SCA-kravet.
Hva skjer hvis man som e-forhandler bruker 3DS på transaksjoner som ikke er omfattet av direktivet, eller transaksjoner som kan være dekket av et unntak?
Som e-forhandler kan man velge å bruke 3-D Secure på de korttransaksjonene man ønsker, uansett hvordan de berøres av direktivet. Dersom kjøpet ikke omfattes av direktivet, vil ikke bankene tilby en ansvarsforskyvning ved kjøpet. Det betyr at e-forhandleren kan senke risikoen ved at kunden legitimerer seg, men at banken er ikke er ansvarlig hvis kjøpet viser seg å være svindel. Dersom e-forhandleren krever 3-D Secure på et kjøp som kan unntas, overtar banken risikoen.
Hvordan ber man om unntak? Er man som e-forhandler forpliktet til å flagge en transaksjon som kan unntas, selv om man ikke vil?
Et unntak flagges av e-forhandleren eller betalingsleverandøren. Den praktiske etterlevelsen kan håndteres på ulike måter (se nedenfor). Man er ikke forpliktet til å be om unntak dersom man ikke ønsker det.
Hvordan skal man håndtere etterlevelsen?
PSD2s krav til SCA innebærer at e-forhandlerne må ha en strategi og et opplegg for å trigge 3-D Secure ved behov.
Vi anbefaler tre ulike måter som kundene kan håndtere PSD2-etterlevelsen på.
- La Adyen håndtere unntakene. Adyen kommer da til å be om unntak.
- Bruk dynamisk 3-D Secure. Med vår dynamiske 3-D Secure-tjeneste kan bedriftene bestemme hvordan og når 3D Secure skal trigges ved å sette opp automatiske regler.
- Håndter det med egne API-er i deres egen back-end.
Hvordan legger man til 3-D Secure 2?
3-D Secure 2 kan legges til i checkouten på ulike måter. Hvilket alternativ man skal velge avhenger av hvilken integrasjon man har.
Vanlige integrasjoner
- Plugin, f.eks. til Magento eller Salesforce Commerce Cloud
- Drop-in
- Components
- Betalingslenke
- API
- SDK
- HPP
Hvis man bruker en plugin eller Adyens out-of-the-box-integrasjoner, f.eks. components, drop-in eller betalingslenke, er det enkelt å slå på 3-D Secure 2. Hvis man har vår HPP-løsning, er det ikke nødvendig for kunden å gjøre noe. Adyen oppdaterer flyten.
Hvis man bruker Adyens API eller SDK, må man integrere 3-D Secure 2. Mer informasjon om dette finnes i vårdokumentasjon.
Forbered e-handelen på utfasingen av 3-D Secure 1
Se Adyens webinar på PSD2 og SCA on-demand
Reduser andelen avviste kjøp med automatisert behandling av PSD2, SCA og 3-D Secure.
Se herMeld deg på vårt nyhetsbrev
Abonner på e-postvarsler
Jeg bekrefter at jeg har lest Adyens personvernpolicy og at jeg godtar at opplysningene mine brukes i samsvar med policyen.