GUIDE: sådan får du styr på PSD2 og SCA

Som I sikkert har lagt mærke til, er der trådt nye regler i kraft. Det handler om at dine kunder nu skal validere deres køb, hvis de handler for over 225 kr. online.

Erfaringerne vi har gjort os her i det nye år er, at der er lidt støj på linjen, som kan skabe noget forvirring hos både webshopejere og kunderne. Derfor vil vi nedenfor gennemgå PSD2 og SCA fra A-Z, samt komme ind på nogle af de udfordringer der lige nu driller.

Hvad handler PSD2/SCA om?

PSD2 og SCA handler om større og bedre sikkerhed når der handles online. Det er indført for at sikre webshopejere mod internetsvindel som potentielt kan koste mange tusinde kroner, men også kunden, som bliver sikret ved at det bliver mere vanskeligt at misbruge andres kortoplysninger.
Derfor er det altså ikke noget der bare er indført eller vedtaget over natten, men noget der har været på tegnebrættet i 4-5 år.
I praksis er det noget vi som webshopejere er ansvarlige for at overholde, men også kortindløsere og bankerne er med her.

I Danmark og Norden er PSD2/SCA at kunderne skal to-faktorvalidere købet ved hjælp af eksempelvis NemID/bank-ID, men det kan også gøres med en unik kode, som kunden har oprettet kombineret med en engangskode som vi kender dem fra Nets.
Nedenfor er beskrevet fra Nets selv, hvordan valideringsprocessen er for online køb:

 

Du kan godkende en betaling på to måder:  

  • NemID. Du vil i forbindelse med en betaling blive bedt om at taste dit NemID brugernavn samt adgangskode og herefter bekræfte via NemID appen eller NemID nøgleviser.

Bemærk: Du kan ikke længere anvende NemID papkortet, til godkendelse af køb på nettet. På grund af ny lovgivning kan du alene bruge NemID app eller NemID nøgleviser, hvis du bruger NemID til at godkende dit køb. Læs mere her​.

Sådan aktiverer du NemID nøgleapp: Sådan kommer du i gang med NemID nøgle app (Youtube) og Aktiver din nøgleapp – NemID​ (Nemid.nu).​

  • Engangskode samt kodeord. Du modtager en engangskode på SMS, som du skal indtaste sammen med dit eget kodeord. Kodeordet skal du selv oprette, det gør du på denne side. Hvis der er tilknyttet et telefonnummer til dit kort, vil du modtage en engangskode via SMS, når du handler. I SMS´en står der, udover engangskoden, hvilken forretning du er ved at handle hos, og hvilket beløb du skal godkende. Du indtaster engangskoden samt dit kodeord på hjemmesiden for at afslutte dit køb. Det er vigtigt, at teksten i Sms’en afspejler det køb, du er i gang med at foretage, tast aldrig koden hvis du er i tvivl!

Bemærk: Vi oplever i øjeblikket udfordringer med brug af kodeord oprettet med specialtegn som æ,ø,å. Derfor anbefaler vi lige nu, at du opretter din kode uden brug af specialtegn.

 

Kildehttps://www.nets.eu/dk-da/digital-sikkerhed/Pages/Verified-by-Visa-og-MasterCard-Secure-Code.aspx

 

Det som er særligt vigtigt her er, at der faktisk allerede her melder sig nogle udfordringer. Der er for eksempel problemer med specialtegn når kunderne opretter deres kodeord. Men måske endnu mere bemærkelsesværdigt, at vores gamle NemID-kort slet ikke kan bruges mere. Og det er sådan noget her, der er vigtigt for os webshopejere at få formidlet ud til vores kunder, så de er bekendt med dette når de handler online.

Når kunderne bliver mødt af to-faktorvalideringsprocessen på din shop, vil det se således ud:

Som det ses her, så kan man altså vælge at logge ind via sit NemID, men har man oprettet det der hedder ”SMS+kode”, kan man vælge dette.

Herefter bliver man smidt i et nyt vindue, hvor man indtaster sin personlige kode, og dernæst modtager man en engangskode fra Nets som indtastes.

Efterfølgende godkendes beløbet.

Hvilke regler er der i grunden?

Den første regel er, at alle køb over 225 DKK (€30) skal to-faktorgodkendes af kunden. Men også tilmeldinger til abonnementer har nogle regler.

Når en kunde tilmelder sit kort til et abonnement, så skal man faktisk allerede to-faktorvalidere købet når kortet tilmeldes. Det betyder faktisk, at hvis dit abonnement koster 99 kr/md. Så vil kunden faktisk allerede ved tilmelding af betalingskortet blive mødt af ovenstående valideringsproces.

Når kunden validerer sit kort allerede ved tilmelding betyder det at alle fremtidige fornyelsesordre på kortet (hver gang du trækker penge og sender et nyt abonnementsprodukt) vil være 3D-Secure.

Når man tilmelder sit betalingskort til et abonnement, så vil beløbet man møder i valideringsvinduet fra Nets være 1 kr.

Det kan du læse mere om her.

Hvad kan du så gøre for at sikre, du følger alle reglerne?

Først og fremmest skal vi understrege, at vi det sidste år har oprettet alle kunder så de allerede følger reglerne som nu er gældende.
Men hvis du vil være sikker, så er der et simpelt step, du kan gøre for at sikre, at din shop følger reglerne.

I din betalingsgateway, som du kan logge på her, findes et ”filter” som man kan sætte på. Det foregår således, at du blot logger ind på kontoen og vælger ”Settings” og dernæst ”Fraud Filter” og trykker på ”Add PSD2 Ruleset” – og herefter er de aktiveret, og du sikrer at din webshop er 100% compliant med lovgivningen.

Skulle du være det mindste i tvivl, så kan du også sagtens kontakte vores support på support@pensopay.com og få hjælp til det.

 

Sådan kan du informere dine kunder om SCA

Du kan f.eks. via en pop-up med informationer omkring SCA i checkout forbedre kundeoplevelsen. På den måde forbereder du dine kunder på, at de, for at kunne færdiggøre købet på din shop, enten skal logge ind med NemID eller indtaste en engangskode.

MobilePay Online burde da være SCA, gør det ikke?

I teorien opfylder MobilePay Online SCA, men vores oplevelse er at ikke alle kortudstedere og MobilePay har fundet deres fodfæste endnu.
SCA er defineret således:

SKA står for ”Stærk kundeautentifikation”. Stærk kundeautentifikation betyder, at der minimum skal to faktorer til  for at godkende en elektronisk betaling. Det, der i daglig tale bliver kaldt to-faktor-godkendelse, og som skal indeholde to af de tre nedenstående faktorer:

  1. noget man har (fx ens mobiltelefon eller betalingskort)
  2. noget man ved (fx en personlig kode)
  3. noget man er (fx ansigts-genkendelse eller fingeraftryk)
  4.  

MobilePay-betalinger bygger som udgangspunkt på to-faktor-godkendelse:

  1. Betalingen sker fra din telefon (noget du har), som er knyttet til din MobilePay-app
  2. Og du åbner appen med en personlig kode (noget du ved) eller fingeraftryk/ansigtsgenkendelse (noget du er) for at godkende betalingen
  3.  

Så hvorfor går det galt lige nu? Hvorfor skal kunderne alligevel igennem NemID inde i deres MobilePay App?
Indrømmet at fidusen måske ryger en smule, så ser det ovenstående lige nu fordi fordi de danske banker altså også er en spiller her.

Teknikken i MobilePay Online er, at den faktisk ”kun” agerer avanceret pengepung for kundens betalingskort.

Den trækker altså på den underlæggende indløsningsaftale, og er altså i bankregi magen til en transaktion som er betalt med kort. Så i banken vil en transaktion betalt med kort og en betalt med MobilePay online ligne hinanden. Og derfor vil banken altså have transaktionen valideret med NemID – for det er jo det de skal.

På det lange løb, hvad skal vi så forvente? Vores bud er, at der naturligvis bliver arbejdet på højtryk for at løse det her – for det er da en kedelig udvikling.

Men det hænger formentlig sammen med, at bankerne selv må have været pressede for at få dette rigtigt implementeret, og at deres systemer lige skal forstå at der er forskel på køb foretaget med kort og køb foretaget med MobilePay Online.
Med andre ord er vores antagelse, at det med NemID igennem MobilePay App’en er midlertidigt.

Det I selv kan gøre for at hjælpe og vejlede kunder er, at forklare dem om udfordringen, men også at fortælle dem, at det altså ikke er et faresignal at NemID kommer frem oftere end før – lige netop med internethandel, er dette faktisk et utroligt stort troværdighedssymbol.

Kunderne som skal validere med NemID skal igennem dette flow ved godkendelse af køb online:

Efter valideringsprocessen i app’en godkendes beløbet og købet autoriseres.

Opsummering

Helt kort fortalt, så er der en del forvirring lige nu. Men det er midlertidigt, og det hele skal nok falde på plads. Lige nu er det vigtigt, man sørger for at hjælpe sine kunder på vej.

Den korrekte vejledning kan redde mange salg. Derfor får I lige en tjekliste med, som I kan bruge når kunderne kontakter jer.

  • Hvilken browser bruger de? Bed dem evt. bruge en anden browser
  • Er kortet tilmeldt NemID? Man kan tilmelde sit kort her: https://enroll.3dsecure.no/nets-nemid-enroller/EnrollSite
  • Hvilken fejl fik de? Hvis det er en ”unknown error” kan det f.eks. være ovenstående, men det kan også være fordi Nets har en lille teknisk fejl. I sådanne tilfælde ville jeg henvise til at de prøver igen
  • De skal benytte nøgleapp’en eller NemID nøgleviser fremover – dvs. papirkortet er udgået og ikke virker

Hvis ingen af ovenstående ting fungerer, så sidder vi naturligvis klar på support@pensopay.com – husk at notere ordrenummeret med i mailen så vi kan se fejlen.

Tilmeld dig vores nyhedsbrev

Vi samler de skarpeste guides, blogs og nyheder om markedsføring, branding og webshop-drift og sender dem direkte til dig i ét samlet nyhedsbrev. Helt gratis.