Wat is het 3DS 2.0-protocol en hoe werkt het?

De implementatie van het 3DS 2.0-protocol is ongetwijfeld goed nieuws voor handelsplatformen. De functionaliteiten voldoen aan de eisen van de Tweede Richtlijn Betalingsdiensten (PSD2) van de EU, die is ontworpen om de veiligheid van banken in Europa te verhogen en de invoering van nieuwe technologie te vereenvoudigen. Verbeteringen in de beveiliging en gebruikerservaring zullen naar verwachting de definitieve drijfveer vormen voor de opkomst van online transacties.

3DS 2.0: Wat is het?

3DS of 3D-Secure is een beveiligingsverificatieprotocol voor card-not-present (CNP) betalingen. Het is een set operationele standaarden die een beveiligingslaag toevoegt aan online of digitale betalingstransacties. Het protocol wordt toegepast in het issuer domein, het acquirer domein en het betalingsnetwerk domein. Vandaar de naam 3D, die verwijst naar de drie betrokken domeinen.

Het werd in 1999 gelanceerd met als doel gebruikers te beschermen tegen mogelijke fraude bij hun online aankopen. Na twee decennia in gebruik te zijn geweest, bleek het protocol echter onvoldoende om gemakkelijke en veilige transacties te garanderen.

De authenticatie met 3D Secure 1.0 werd onder andere uitgevoerd in een pop-upvenster. Dit wekte logischerwijs wantrouwen op bij gebruikers, die pop-ups zagen als hinderlijke marketing of mogelijk kwaadaardige software, waardoor ze afhaakten en het winkelwagentje verlieten. Bovendien had het compatibiliteitsproblemen met mobiele apparaten en was de laadsnelheid van de autorisatiepagina verschrikkelijk traag.

Om deze beperkingen aan te pakken en te voldoen aan de eisen van PSD2 is een bijgewerkte versie ontwikkeld die bekend staat als 3DS 2.0. De veranderingen zijn met name gericht op het faciliteren van sterke authenticatieprocessen en veilige communicatie.

Wat is het doel van 3DS 2.0?

Kortom, het belangrijkste doel van 3DS 2.0 is het optimaliseren van autorisatie- en betalingsprocessen. Dit is in lijn met de Regulatory Technical Standards (RTS) van de PSD2, van kracht vanaf september 2019. De vereisten van deze regelgeving omvatten sterke authenticatie van klanten en veilige communicatie.

Deze maatregelen zijn erop gericht om het niveau van de bescherming van rekeninggegevens te verhogen en de veiligheid van betalingsdiensten te verbeteren. In dit verband voorzien de RTS in maatregelen om de compatibiliteit van authenticatie op mobiele apparaten en de integratie van digitale portemonnees te verbeteren.

In het bijzonder wordt het gebruik van dynamische methoden voorgesteld voor sterke cliëntauthenticatie (SCA). Bijvoorbeeld het vervangen van statische wachtwoorden door biometrische gegevens of op token gebaseerde authenticatie. Dynamische methoden vertegenwoordigen een continue benadering van beveiliging en authenticatie, die moeilijker te omzeilen is dan eenvoudige eenmalige wachtwoordcodes of authenticatie op basis van vragen.

Hoe werkt sterke client-authenticatie met 3DS 2.0?

Stel bijvoorbeeld dat u een online aankoop of betaling wil doen. Na het indienen van uw betalingsgegevens, zal de handelaar deze informatie doorsturen naar de issuer. De verzender moet de transactie analyseren en het risiconiveau bepalen om deze te authenticeren.

Waarschijnlijk zal de instelling de kaarthouder vragen om aanvullende beveiligingsrichtlijnen te volgen. Een 3DS 2.0-protocol vereist over het algemeen dat de gebruiker zijn of haar identiteit verifieert door het verstrekken van:

- Een eenmalig wachtwoord of code verzonden per e-mail of sms

- Biometrische informatie, zoals een gezichtsscan of vingerafdruk

De issuer en de verkoper kunnen ook rijke gegevens delen, die het goedkeurings- of afkeuringsproces van de transactie ondersteunen. Met deze informatie kunnen op risico gebaseerde authenticatiebeslissingen worden genomen.

Hierbij worden transactiegegevens gebruikt om criteria voor risicoanalyse vast te stellen. Factoren zoals:

- Transactiewaarde

- Transactiegeschiedenis en aankoopgedrag

- Informatie over het apparaat

- Type klant (nieuw of terugkerend)

Uiteindelijk zal dit de issuer en merchant in staat stellen om hun fraudedetectiesystemen te verfijnen. De beoordeling van de variabelen maakt het mogelijk risiconiveaus te identificeren door goedkeuringen en afwijzingen van authenticatie te correleren met chargeback percentages.

Aan de andere kant verbetert het de gebruikerservaring en draagt het hopelijk bij aan het verminderen van het verlaten van het winkelmandje.

Regels en vrijstellingen voor sterke klantverificatie

De PSD2 Regulatory Technical Standards (RTS) voorzien in een aantal uitzonderingen voor de implementatie van sterke cliëntauthenticatie. Deze sluiten dus de verplichting uit om 3DS 2.0-protocollen te gebruiken:

- Transacties tussen handelaren of klanten die niet in de Europese Economische Ruimte zijn gevestigd of worden afgehandeld door issuers in andere landen. Dit is de zogenaamde "ONE LEG TRANSACTION".

- Transacties geïnitieerd door de handelaar (MIT) op basis van een voorafgaande autorisatie met de klant (bijv. het innen van abonnementen). Om een betaling op deze manier te classificeren, moet deze echter aan deze vereisten voldoen:

o Het voorwerp van de transactie komt overeen met de betaling van goederen of diensten die door de klant zijn aangegaan.

o De winkelier moet een inkooporder van de klant hebben.

o Machtiging voor automatische debitering van de betaling zonder specifieke actie van de klant.

- Aankopen van goederen of diensten per post of telefoongesprek.

- Zakelijke transacties met beveiligingsprotocollen via directe kanalen. Dit omvat kaartbetalingen zolang de kaarthouder geen consument is. De bevoegde autoriteit moet certificeren dat de beveiligingsniveaus van de gebruikte betalingsprocessen gelijkwaardig zijn aan die van PSD2.

Een SCA-vrijstelling (Secure Client Authentication) kan ook worden aangevraagd in de volgende gevallen:

- Transacties van lage waarde

- Wrijvingsloze stroom (transactierisicoanalyse of TRA)

- Vertrouwde begunstigden

Transacties van lage waarde

Voor de toepassing van deze vrijstelling is het onontbeerlijk dat de handelingen aan bepaalde voorwaarden voldoen:

- Het bedrag van de transactie is minder dan 30 euro.

- De cumulatieve waarde van terugkerende elektronische betalingstransacties is niet hoger dan 100 EUR, geteld sinds de laatste toepassing van de SCA.

- Van toepassing tot maximaal vier opeenvolgende elektronische betalingstransacties op afstand. Boven deze limiet moet de issuer opnieuw sterke klantverificatie uitvoeren.

Wrijvingsloze stroming

Issuers en dealers kunnen een frictionless flow aanvragen voor transacties met een laag risico (TRA). Dit houdt in dat de SCA wordt vrijgesteld op basis van een Transaction Risk Analysis. Er moet aandacht worden besteed aan de vereisten waaraan een transactie moet voldoen om in aanmerking te komen voor deze categorie.

Activiteiten met een laag risico moeten de volgende cumulatieve kenmerken hebben:

- De betalingsdienstaanbieder moet aantonen dat zijn platform een laag fraudeniveau heeft. Fraudepercentages worden bepaald op basis van het type transactie op voortschrijdende kwartaalbasis. Het fraudepercentage mag in geen geval hoger zijn dan de benchmark.

- De waarde van de transactie is niet hoger dan de vrijstelling threshold die is vastgelegd in de technische reguleringsnormen voor SCA. Dit bedrag is maximaal 500 EUR.

- Afwezigheid van omstandigheden die duiden op een verhoogd frauderisico. Dit omvat ongebruikelijk gedrag van de betaler, een abnormale locatie of toegang vanaf apparaten die nog niet eerder zijn gebruikt.

De SCA-vrijstelling voor transacties met een laag risico is niet automatisch. Het moet worden aangevraagd en kan worden geweigerd door de issuer , zelfs als aan de vereisten wordt voldaan. Er moet ook rekening mee worden gehouden dat in het geval van frauduleuze transacties de issuer kan worden vrijgesteld van aansprakelijkheid als de handelaar het verzoek heeft ingediend.

Ook wanneer de handelaar het verzoek indient, kan de issuer zichzelf vrijstellen van aansprakelijkheid als de transactie frauduleus is. Het is daarom raadzaam om de regels van de betalingsprovider te controleren voordat u een TRA-vrijstelling aanvraagt. Vergeet niet dat frauduleuze transacties niet alleen de winstgevendheid van uw business beïnvloeden, maar ook het fraudepercentage uw .

Vertrouwde begunstigden

Het meest opvallende kenmerk van deze vrijstelling is dat het de enige vrijstelling is die door de klant kan worden aangevraagd. Het doel is om het beheer van terugkerende betalingen of betalingen aan vertrouwde leveranciers te vergemakkelijken. Klanten kunnen vragen om vrijstelling van de SCA voor transacties die worden uitgevoerd op de merchants waar ze gewoonlijk hun aankopen doen.

Dit leidt tot meer gemak omdat extra verificatiestappen worden vermeden. De betalingsprovider kan echter de SCA toepassen als hij van mening is dat er een frauderisico bestaat. Daarnaast moeten transacties voldoen aan de algemene vereisten van de technische reguleringsnormen. En uiteindelijk kan de issuer specifieke voorwaarden stellen voor het aanmaken van deze lijsten.

In geen geval mag de issuer een lijst aanmaken op basis van de terugkerende aankopen van de betaler, noch mag hij deze wijzigen of een begunstigde verwijderen. Van hun kant kunnen merchants informeren over de voordelen van deze vrijstelling, maar ze kunnen deze niet aanvragen in naam van hun klanten.

De SCA wordt toegepast telkens wanneer de registratie van een vertrouwde begunstigde wordt aangemaakt of gewijzigd.

Wat zijn de deadlines voor de implementatie en waar staan we in het proces?

Zoals elke regelgeving die technologische veranderingen met zich meebrengt, is de implementatie van 3DS 2.0 een geleidelijk proces. 2023 lijkt de definitieve datum te zijn om de bladzijde om te slaan en de 3DS 1.0-protocollen achter ons te laten.

Sinds de publicatie van de PSD2 RTS op 14 september 2019 hebben de volgende ontwikkelingen plaatsgevonden:

2020

- Vanaf 14 maart 2020 zijn de technische reguleringsnormen verplicht in de EU, en 3DS 2.0 is het aanbevolen protocol voor betaling issuers om te voldoen aan de verordening.

- In april is Visa Corporation begonnen met het doorvoeren van de wijziging van de verantwoordelijkheid voor transacties. De beslissing betrof alle transacties in de regio's Azië-Pacific, Europa, het Midden-Oosten en Afrika. In augustus voegde de betalingsdienstaanbieder de Verenigde Staten toe aan deze lijst van landen.

- In december kondigde Mastercard een tariefsverhoging aan voor 3DS 1.0. Het doel hiervan was om de migratie naar 3DS 2.0 te stimuleren.

2021

- Mastercard zet haar strategie van tariefverhoging voor 3DS 1.0-authenticatie voort. In juli breidde het de toepassing uit naar de APAC-regio. In ruil daarvoor werd gratis 3DS 2.0-authenticatie aangeboden.

- In oktober stopte deze PSP met het ondersteunen van authenticatie met 3DS1. Als gevolg hiervan werd issuers die nog niet was overgestapt op 3DS 2.0 gedwongen om hun eigen ACS-oplossingen te genereren.

- Visa van haar kant bleef transacties verwerken met 3DS 1.0, maar stopte met de ondersteuning van de "Attempt Server" voor die oplossing.

2022

- Oktober 2022 wordt een belangrijke maand voor de definitieve invoering van 3DS 2.0. Vanaf 14 oktober zal American Express wereldwijd alleen nog transacties met 3D Secure 2.0 verifiëren. Alleen SafeKey 1.0 blijft nog ondersteund worden in India.

- Dit is ook de datum waarop Diners en Discover stoppen met de ondersteuning van ProtectBuy 1.0.2.

- Op 15 oktober stopt Visa met het verwerken van aanvragen met 3DS 1.0. Ook Mastercard stopt met het ondersteunen van 3DS 1.0, met uitzondering van transacties in landen als India.

2023

- In 2023 moeten landen die 3DS 1.0 blijven ondersteunen en implementeren, migreren naar 3DS 2.0. In oktober van dat jaar zal Mastercard naar verwachting stoppen met de ondersteuning van 3DS 1.0 in India en Bangladesh.

- American Express zal SafeKey 1.0 niet langer ondersteunen.

Wie profiteert er van 3DS 2.0?

Het 3DS 2.0 protocol is een deugdzame oplossing, die voordelen biedt aan iedereen die betrokken is bij e-commerce. Ten eerste zullen gebruikers beter beschermd zijn tegen pogingen tot fraude tijdens het online winkelen. De winkelervaring zal veel handiger en eenvoudiger zijn, zelfs bij het gebruik van mobiele apparaten zoals smartphones of tablets.

Omdat 3DS2.0 naadloos integreert met mobiele applicaties, hoeven ze de site van de winkelier niet te verlaten voor authenticatie. Bovendien kunnen ze dankzij deze authenticatie ook hun e-wallets opwaarderen.

Winkeliers zijn erg optimistisch over de effecten die deze veranderingen zullen hebben op het aantal winkelwagentjes dat wordt achtergelaten. Chargebacks en dus ook de kosten die ermee gepaard gaan, zullen naar verwachting ook aanzienlijk dalen.

Tot slot zal issuers betere beslissingen kunnen nemen over het transactierisico. Dit komt omdat ze toegang zullen hebben tot een brede set kaarthouder- en transactiegegevens.