Hulpbronnen
Artikelen
Wat is het 3DS 2.0-protocol en hoe werkt het?

Wat is het 3DS 2.0-protocol en hoe werkt het?

Het 3DS 2.0-protocol vervangt 3DS 1.0 en past zich aan de veranderingen in betaalmethoden van de 21e eeuw aan. Lees er meer over en de voordelen ervan.

11 februari 2023
 - 
9 minuten
Wat is het 3DS 2.0-protocol en hoe werkt het?
In dit artikel
Text Link

De implementatie van het 3DS 2.0-protocol is ongetwijfeld goed nieuws voor e-commerceplatforms. De functionaliteiten voldoen aan de vereisten van de tweede richtlijn inzake betalingsdiensten van de EU (PSD2), die bedoeld is om de bankveiligheid in Europa te vergroten en de invoering van nieuwe technologie te vereenvoudigen. Verbeteringen in beveiliging en gebruikerservaring zullen naar verwachting de definitieve drijfveer zijn voor de start van online transacties.

3DS 2.0: Wat is het?

3DS of 3D-Secure is een beveiligingsauthenticatieprotocol voor betalingen met een creditcard die niet aanwezig is (CNP). Het is een set operationele normen die een beveiligingslaag toevoegt aan online of digitale betalingstransacties. Het protocol wordt toegepast in het domein van de uitgever, het acquirerdomein en het domein van het betalingsnetwerk. Vandaar de naam 3D, die verwijst naar de drie betrokken domeinen.

Het werd in 1999 gelanceerd met als doel gebruikers te beschermen tegen mogelijke fraude bij hun online aankopen. Na twee decennia gebruik bleek het protocol echter onvoldoende om gemakkelijke en veilige transacties te garanderen.

Authenticatie met 3D Secure 1.0-authenticatie werd onder andere uitgevoerd in een pop-upvenster. Dit wekte logischerwijs wantrouwen op bij gebruikers, die pop-ups als hinderlijke marketing of potentieel schadelijke software beschouwen, waardoor ze het winkelwagentje hebben opgegeven en verlaten. Bovendien had het compatibiliteitsproblemen met mobiele apparaten en was de laadsnelheid van de autorisatiepagina erg traag.

Om deze beperkingen aan te pakken en aan de vereisten van PSD2 te voldoen, is een bijgewerkte versie, bekend als 3DS 2.0, ontwikkeld. De wijzigingen zijn met name gericht op het faciliteren van sterke cliëntauthenticatieprocessen en veilige communicatie.

Wat is het doel van 3DS 2.0?

Kortom, het belangrijkste doel van 3DS 2.0 is het optimaliseren van autorisatie- en betalingsprocessen. Dit is in overeenstemming met de technische reguleringsnormen (RTS) van de PSD2, die vanaf september 2019 van kracht zijn. De vereisten van deze regelgeving omvatten sterke klantauthenticatie en veilige communicatie.

Deze maatregelen hebben tot doel de bescherming van accountgegevens te verhogen en de beveiliging van betalingsdiensten te verbeteren. In dit verband voorziet de RTS in maatregelen om de compatibiliteit van authenticatie op mobiele apparaten en de integratie van digitale portemonnees te verbeteren.

In het bijzonder wordt het gebruik van dynamische methoden aanbevolen voor sterke cliëntauthenticatie (SCA). Bijvoorbeeld het vervangen van statische wachtwoorden door biometrische gegevens of authenticatie op basis van tokens. Dynamische methoden staan voor een continue benadering van beveiliging en authenticatie, die moeilijker te omzeilen is dan eenvoudige eenmalige toegangscodes of authenticatie op basis van vragen.

Hoe werkt sterke client-authenticatie met 3DS 2.0?

Stel dat u bijvoorbeeld een online aankoop of betaling wilt doen. Na het indienen van uw betalingsgegevens stuurt de handelaar deze informatie door naar de uitgever. De afzender moet de transactie analyseren en het risiconiveau bepalen om deze te verifiëren.

Waarschijnlijk zal de instelling de kaarthouder vragen om aanvullende veiligheidsrichtlijnen te volgen. Een 3DS 2.0-protocol vereist doorgaans dat de gebruiker zijn of haar identiteit verifieert door het volgende te verstrekken:

· Een eenmalig wachtwoord of code die per e-mail of sms wordt verzonden

· Biometrische informatie, zoals een gezichtsscan of vingerafdruk

De uitgever en de verkoper kunnen ook uitgebreide gegevens delen, die het goedkeurings- of weigeringsproces van de transactie ondersteunen. Met deze informatie kunnen op risico gebaseerde authenticatiebeslissingen worden genomen.

Dit omvat het gebruik van transactiegegevens om criteria voor risicoanalyse vast te stellen. Het kan factoren omvatten zoals:

· Transactiewaarde

· Transactiegeschiedenis en aankoopgedrag

· Informatie over het apparaat

· Soort klant (nieuw of terugkerend)

Uiteindelijk zal dit de uitgever en de handelaar in staat stellen hun fraudedetectiesystemen te verfijnen. De beoordeling van de variabelen maakt het mogelijk risiconiveaus te identificeren door goedkeuringen en afwijzingen van authenticatie te correleren met terugvorderingspercentages.

Aan de andere kant verbetert het de gebruikerservaring en draagt het hopelijk bij aan het verminderen van het aantal verlaten winkelmandjes.

Strenge regels en uitzonderingen voor klantauthenticatie

De PSD2 Regulatory Technical Standards (RTS) voorzien in enkele uitsluitingen voor de implementatie van sterke client-authenticatie. Deze sluiten dus de verplichting uit om 3DS 2.0-protocollen te gebruiken:

- Transacties tussen handelaren of klanten die niet gevestigd zijn in de Europese Economische Ruimte of die worden afgehandeld door emittenten in andere landen. Het is de zogenaamde „TRANSACTIE MET ÉÉN BEEN”.

- Transacties geïnitieerd door de handelaar (MIT) op basis van een voorafgaande toestemming met de klant (bijv. het verzamelen van abonnementen). Om een betaling op deze manier te classificeren, moet deze echter aan de volgende vereisten voldoen:

o Het onderwerp van de transactie komt overeen met de betaling van goederen of diensten die door de klant zijn gecontracteerd.

o De handelaar moet een inkooporder van de klant hebben.

o Autorisatie voor automatische debitering van de betaling zonder specifieke actie van de klant.

- Aankopen van goederen of diensten via post of telefoongesprek.

- Bedrijfstransacties met beveiligingsprotocollen via directe kanalen. Dit geldt ook voor kaartbetalingen zolang de kaarthouder geen consument is. De bevoegde autoriteit moet certificeren dat de beveiligingsniveaus van de gebruikte betalingsprocessen gelijkwaardig zijn aan die van PSD2.

Een vrijstelling voor Secure Client Authentication (SCA) kan ook worden aangevraagd in de volgende gevallen:

- Transacties met een lage waarde

- Frictionless flow (analyse van transactierisico of TRA)

- Vertrouwde begunstigden

Transacties met een lage waarde

Voor de toepassing van deze vrijstelling is het onontbeerlijk dat de activiteiten aan bepaalde voorwaarden voldoen:

- Het bedrag van de transactie is minder dan 30 euro.

- De cumulatieve waarde van terugkerende elektronische betalingstransacties bedraagt niet meer dan EUR 100, geteld sinds de laatste aanvraag van de SCA.

- Van toepassing tot maximaal vier opeenvolgende elektronische betalingstransacties op afstand. Na deze limiet moet de uitgever opnieuw een sterke klantauthenticatie uitvoeren.

Wrijvingsloze stroming

Emittenten en dealers kunnen een aanvraag indienen voor frictionless flow voor transacties met een laag risico (TRA). Dit omvat een vrijstelling van SCA op basis van een transactierisicoanalyse. Er moet aandacht worden besteed aan de vereisten waaraan moet worden voldaan om een transactie in deze categorie te laten vallen.

Operaties met een laag risico moeten de volgende cumulatieve kenmerken hebben:

- De betalingsdienstaanbieder moet aantonen dat er op zijn platform weinig fraude is gepleegd. De fraudepercentages worden bepaald op basis van het soort transactie op doorlopend kwartaalbasis. Het fraudepercentage mag in geen geval hoger zijn dan de benchmark.

- De waarde van de transactie is niet hoger dan de vrijstellingsdrempel die is vastgelegd in de technische reguleringsnormen inzake SCA. Dit bedrag is maximaal EUR 500.

- Ontbreken van voorwaarden die wijzen op een verhoogd risico op fraude. Dit omvat ongebruikelijk gedrag van de betaler, een abnormale locatie of toegang vanaf apparaten die nog niet eerder zijn gebruikt.

Opgemerkt moet worden dat de SCA-vrijstelling voor transacties met een laag risico niet automatisch is. Het moet worden aangevraagd en kan door de emittent worden geweigerd, zelfs als aan de vereisten is voldaan. Er moet ook rekening mee worden gehouden dat in geval van frauduleuze transacties de emittent kan worden vrijgesteld van aansprakelijkheid als de handelaar het verzoek heeft ingediend.

Op dezelfde manier kan de emittent, wanneer de handelaar het verzoek indient, zichzelf vrijstellen van aansprakelijkheid als de transactie frauduleus is. Het is daarom raadzaam om de regels van de betalingsprovider te controleren voordat u een TRA-vrijstelling aanvraagt. Onthoud dat frauduleuze transacties niet alleen invloed hebben op de winstgevendheid van uw bedrijf, maar ook op uw fraudepercentage.

Vertrouwde begunstigden

Het meest opvallende kenmerk van deze vrijstelling is dat het de enige is die door de klant kan worden aangevraagd. Het doel is om het beheer van terugkerende betalingen of betalingen aan vertrouwde leveranciers te vergemakkelijken. Klanten kunnen verzoeken om kwijtschelding van de SCA voor transacties die worden uitgevoerd bij de handelaars waar ze gewoonlijk hun aankopen doen.

Dit resulteert in meer gemak omdat extra verificatiestappen worden vermeden. De betalingsprovider mag de SCA echter toepassen als hij van mening is dat er een risico op fraude bestaat. Bovendien moeten transacties voldoen aan de algemene vereisten van de technische reglementaire normen. En uiteindelijk kan de emittent bepaalde voorwaarden stellen voor het opstellen van deze lijsten.

De emittent mag in geen geval een lijst opstellen op basis van de terugkerende aankopen van de betaler, noch mag hij deze wijzigen of een begunstigde verwijderen. Handelaren kunnen op hun beurt informatie geven over de voordelen van deze vrijstelling, maar ze kunnen deze niet namens hun klanten aanvragen.

De SCA wordt toegepast telkens wanneer de registratie van een vertrouwde begunstigde wordt aangemaakt of gewijzigd.

Wat zijn de uitvoeringstermijnen en waar zijn we in het proces?

Zoals elke regelgeving die technologische veranderingen met zich meebrengt, verloopt de implementatie van 3DS 2.0 een geleidelijk proces. 2023 lijkt de laatste datum te zijn om de bladzijde om te slaan en de 3DS 1.0-protocollen achter zich te laten.

Sinds de publicatie van de PSD2 RTS op 14 september 2019 hebben de volgende ontwikkelingen plaatsgevonden:

2020

- Vanaf 14 maart 2020 zijn de technische reguleringsnormen verplicht in de EU, en 3DS 2.0 is het aanbevolen protocol voor uitgevers van betalingen om aan de regelgeving te voldoen.

- In april is Visa Corporation begonnen met de implementatie van de verandering van verantwoordelijkheid voor transacties. Het besluit had gevolgen voor alle transacties in de regio's Azië-Pacific, Europa, het Midden-Oosten en Afrika. In augustus heeft de betalingsdienstaanbieder de Verenigde Staten toegevoegd aan deze lijst van landen.

- In december kondigde Mastercard een tariefverhoging aan voor 3DS 1.0. Het doel van deze stap was om de migratie naar 3DS 2.0 te stimuleren.

2021

- Mastercard zet zijn tariefverhogingsstrategie voor 3DS 1.0-authenticatie voort. In juli breidde het zijn aanvraag uit naar de APAC-regio. In ruil daarvoor bood het gratis authenticatie met 3DS 2.0.

- In oktober is deze PSP gestopt met het ondersteunen van authenticatie met 3DS1. Als gevolg hiervan werden emittenten die nog niet waren overgestapt op 3DS 2.0 gedwongen om hun eigen ACS-oplossingen te genereren.

- Visa ging op zijn beurt door met het verwerken van transacties met 3DS 1.0, maar stopte met de ondersteuning voor de 'Attempt Server' voor die oplossing.

2022

- Oktober 2022 wordt een belangrijke maand voor de definitieve adoptie van 3DS 2.0. Vanaf 14 oktober authenticeert American Express wereldwijd alleen transacties met 3D Secure 2.0. De ondersteuning voor SafeKey 1.0 blijft alleen in India behouden.

- Dit is ook de datum waarop Diners en Discover van plan zijn om ProtectBuy 1.0.2 niet meer te ondersteunen.

- Op 15 oktober stopt Visa met het verwerken van aanvragen met 3DS 1.0. Op dezelfde manier stopt Mastercard met de ondersteuning van 3DS 1.0, met uitzondering van transacties in landen zoals India.

2023

- In 2023 moeten landen die 3DS 1.0 blijven ondersteunen en implementeren, migreren naar 3DS 2.0. In oktober van dat jaar zal Mastercard naar verwachting de ondersteuning voor 3DS 1.0 in India en Bangladesh helemaal stopzetten.

- American Express ondersteunt SafeKey 1.0 niet langer.

Wie heeft er baat bij 3DS 2.0?

Het 3DS 2.0-protocol is een deugdzame oplossing die voordelen biedt aan iedereen die betrokken is bij e-commerce-activiteiten. Ten eerste zullen gebruikers beter worden beschermd tegen pogingen tot fraude bij het online winkelen. De winkelervaring zal veel handiger en eenvoudiger zijn, zelfs bij gebruik van mobiele apparaten zoals smartphones of tablets.

Omdat 3DS2.0 standaard integreert met mobiele applicaties, hoeven ze de site van de verkoper niet te verlaten voor authenticatie. Daarnaast kunnen ze dankzij deze authenticatie ook hun e-wallets opwaarderen.

Retailers zijn erg optimistisch over de effecten die deze veranderingen zullen hebben op het aantal verlaten winkelmandjes. Terugboekingen en bijgevolg de kosten die daarmee gepaard gaan, zullen naar verwachting ook aanzienlijk dalen.

Ten slotte zullen emittenten betere beslissingen kunnen nemen over het transactierisico. Dit komt omdat ze toegang zullen hebben tot een breed scala aan kaarthouders- en transactiegegevens.

Meer blogposts

Alles bekijken
MCC 5499: Miscellaneous Food Stores
5 minutes

MCC 5499: Miscellaneous Food Stores

MCC 5814: Fast Food Restaurants
5 minutes

MCC 5814: Fast Food Restaurants

MCC 5411: Grocery Stores and Supermarkets
5 minutes

MCC 5411: Grocery Stores and Supermarkets

Bekijk alle