SCA postaje obveza 1. 1. 2021 godine, a podrazumijeva da se svaka CIT transakcija mora potvrditi od strane vlasnika kartice. Kod fizičke kupnje na prodajnom mjestu potvrda transakcije radi se upisom PIN-a. Kod kupnje online potvrda transakcije radi se kroz tzv. 3DS, odnosno kroz autentikaciju nečim što imate ili znate.
Što je 3DS?
3DS (3 domain security) je standard autentikacije i skup poslovnih pravila za ecommerce kartične transakcije koji je predstavljen 2001 godine (Verified by Visa, Mastercard as SecureCode). Otada se široko primjenjuje za autentikaciju ecommerce transakcija.
U postupku online transakcije (odobravanja troška od strane banke koja je karticu izdala) kupca se, kao dodatni korak, preusmjerava na 3DS stranicu njegove banke koja je karticu izdala – kupac unosi neki višrekratni ili jednokratni kod/lozinku koja je poznata ili dostupna samo njemu. Tek ako je autentikacija uspješna, kupca se preusmjerava natrag u tok transakcije na prodajnom mjestu i transakcija se odobrava.
3DS v2.2 je nova verzija postojećeg 3DS protokola za autentikaciju kupnje kod eCommmerce transakcija koji se trenutno koristi. Implementaciju ovog protokola upravo provode banke i procesori diljem EU.
Zašto 3DS?
Najvažniji benefit za prodajna mjesta kod online transakcija i transakcija na daljinu s uključenom 3DS autentikacijom je to što za transakcije koje su provedene s uključenom 3DS autentikacijom prodajno mjesto ne odgovara za trošak financijske štete.
Za sve 3DS verificirane transakcije ODGOVORNOST se prebacuje na vlasnika odnosno izdavatelja kartice!
MORA li se kod svih transakcija pojaviti 3DS prozor provjere?
Nova EMV 3DS generacija protokola za cilj ima otkloniti dobro poznate nedostatke aktualne verzije 3DS autentikacije. Jedno od unaprjeđenja je omogućiti da što je moguće više transakcija umjesto da traže korisnika da se autenticira (tokenom, jednokratnom lozinkom i sl) uđe u izuzetke od obaveze autentikacije prema PSD2 regulativi i prođe kroz tzv. frictionless, brzi tok autentikacije.
Ovo se postiže nizom novih podataka koje prodajno mjesto, putem EMV 3DS protokola, može poslati banci koja je izdala karticu. Na taj način banka lakše može potvrditi autentičnost korisnika i po mogućnosti „propustiti“ takvu transakciju i bez potrebe da korisnik sam dodano unosi potrebne autentikacijske podatake.
Ovi podaci koji osim imena i prezimena korisnka, koje se sad po prvi put može poslati na kontrolu/autentikaciju, uključuje i podatke kao što su, broj mobitela, adresa e-maila, IP adresa pretraživača korisnika ili njegove mobilne aplikacije, podatak je li korisnik već ranije kupovao na tom prodajnom mjestu ili mu je ovo prva registrirana kupnja, kao i niz drugih podataka. U odnosu na dosadašnje podatke koje je banka izdavatelj kartice primala za autentikaciju (a to su samo broj kartice, datum valjanosti kartice i CVV kod), ovo je ogroman iskorak.
S druge strane, kartične mreže nametnule su svim bankama koje izdaju kartice u EU obavezu da s njihove strane osiguraju svim svojim korisnicima kartica da EMV 3DS autentikaciju, kad je ona zatražena od strane web shopa ili drugog prodajnog mjesta na daljinu, moraju moći provesti putem mobilnih aplikacijae/mBankarstva jednostavnim stavljanjem otiska prsta na svom pametnom telefonu (ili npr. očitavanjem svog lica, ili očitavanjem glasa).
