Introduktion til PSD2 SCA

Fra den 1. januar 2021 skal banker og andre kortudstedere afvise betalinger, der ikke lever op til EU’s krav til stærk kundeautentificering – også kendt som SCA.

Hvad betyder det for dig som webshopejer? Hvordan lever du op til kravene? Er OnPay klar?

Svaret på sidste spørgsmål er ja, OnPay er helt klar og har været det længe.

Svarene på de andre spørgsmål - og flere - får du her på siden.

Læs med nu - eller hop direkte til opsummeringen.

 


Hvad er PSD2 SCA - og hvorfor er det relevant?

PSD2 er et EU-direktiv, der regulerer betalingsindustrien i EU

For onlinehandlen er det særligt kravet om SCA, der er interessant - og aktuelt - for vores mange kunder i DanDomain.

SCA står for Strong Customer Authentication = Stærk kundeautentificering.

Kunden skal altså kunne autentificere sin identitet, når han/hun køber varer på nettet. Og det skal ske gennem mindst to af følgende tre:

  • Noget, som kunden ved (fx en adgangskode)
  • Noget, som kunder har på sig (fx en telefon)
  • Noget, som kunden er (fx et fingeraftryk)

Kravet om SCA trådte i kraft den 14. september 2019.

Da hverken indløserne (fx Nets) og kortudstedere (fx bankerne) var klar til den nye lovgivning, aftalte de respektive europæiske finanstilsyn og bankmyndigheder at udskyde deadlinen til 1. januar 2021.

Hvem skal leve op til SCA?

Det er kortudstederne (som bl.a. bankerne), der skal leve op til reglerne.

Oplever de transaktioner, der ikke lever op til SCA-kravet efter den 1. januar 2021, er det deres pligt at afvise dem.

Visse banker har varslet, at de vil håndhæve kravet allerede fra november 2020.


bank

Hvad betyder SCA for mig som webshopejer?

Bruger du en betalingsløsning, der ikke understøtter de nye krav, vil du fra den 1. januar 2021 opleve, at flere af dine transaktioner bliver afvist.
 
Bruger du OnPay som betalingsløsning, er du heldigvis godt stillet.
 
Bestil-Onpay-01

Er OnPay klar til SCA?

Ja!

Som OnPay-bruger har du i flere år kunne bruge 3D Secure (3DS) på betalingstransaktioner.

Og nu kan du også bruge, 3DSv2, den nye version, der er tilgængelig i både 2.1.0- og 2.2.0.

OnPay understøtter alle versioner af 3D Secure og lever fuldt op til kravene om SCA.


Hvad skal jeg gøre?

Bruger du OnPay, skal du sikre dig, at alle dine betalinger går igennem OnPay v3.

OnPay v3 er OnPays nyeste betalingsvindue og understøtter kravene om SCA.

Du ser nemmest, om du bruger OnPay v3 ved at starte en betaling på din webshop.

onpayv3 url

Står der onpay.io/windows/v3 i starten af URL’en på den side, hvor du som kunde indtaster dine kortoplysninger, bruger du OnPay v3.

Gør der ikke, skal du skifte til OnPay v3.

Hvordan skifter jeg til OnPay v3?

Standalone

Bruger du OnPay som en separat betalingsløsning? Og har du integreret OnPay med en webshop, som DanDomain ikke er leverandør af?

Så skal du selv opdatere din integration, så den overholder kravene til SCA.

Du finder dokumentation til OnPay v3-betalingsvinduet her: https://manage.onpay.io/docs/paymentwindow_v3.html

Husk, at det kun er betalinger, der gennemføres via betalingsvinduet, som er omfattet af SCA. Betalinger via API er ikke.


Webshop

Bruger du OnPay som en integreret del af en webshop, du har gennem DanDomain?

Så skal du følge guiden på siden her:

https://support.dandomain.dk/saadan-skifter-du-til-onpay-betalingsvindue-v3/

Det tager kun 5 minutter at skifte til OnPay v3, og vi har endda lavet en kort videoguide til, hvordan du gør det.


Sådan slår du SCA til

Allerede nu kan du selv slå SCA til for dine betalinger.

Du gør det i dit OnPay-administrationspanel under den enkelte indløser.

Her er et eksempel med Nets som indløser.

Det er lidt forskelligt, hvad de enkelte indløsere understøtter.

I eksemplet er SCA fx:

  • Aktiveret for EU-betalinger (dvs. betalinger fra lande, der er omfattet af PSD2)

  • Deaktiveret for lave beløb (dvs. 3D Secure er slået fra på transaktioner under 30€)

I næste afsnit kommer vi ind på de forskellige undtagelser (SCA Exemptions), som de enkelte indløsere giver mulighed for.


nets indløser sca

Exemptions/undtagelser

Ingen regler uden undtagelser. Heller ikke, når det kommer til PSD2.
 
Vi har allerede været inde på et par af dem.
 
Her er flere eksempler på undtagelser - og lidt mere forklaring.
1. Merchant Initiated Transactions
Også kendt som abonnementstrækninger.
Abonnementstrækninger (fx via API) er undtaget fra kravet om SCA. Her er det nemlig butikken, og ikke kortholderen, der starter transaktionen.
 
Når kunden opretter – eller ændrer sit abonnement – er der dog krav om SCA.
2. Low value
Transaktioner på små beløb (dvs. under 30€) er undtaget fra PSD2.
3. Low risk
Transaktioner på under 100€, som indløseren (fx Nets) vurderer til at være en lav-risiko-transaktion kan være undtaget fra PSD2.

En lav-risiko-transaktion kan fx være en transaktion, hvor kunden bruger et kort og en enhed, som flere gange tidligere er blevet brugt til køb på nettet.
Det er den enkelte indløser, der bestemmer, hvilke exemptions/undtagelser de giver – eller ikke giver - lov til.
 
De enkelte udstedere (fx bankerne) kan dog kræve SCA i tilfælde, hvor indløseren har lavet en undtagelse.
 
Det kommer vi også nærmere ind på i afsnittet om Step-up.
 
Onpay-tilbud-billede

Frictionless flow

Med et frictionsless flow (DA: gnidningsfrit forløb) kan udstederen (fx banken) vælge at springe 2-faktor-validering over og lave, ja, et mere gnidningsfrit betalingsforløb.

Hvordan udstederen gør det, er helt op til den enkelte udsteder.

For Dankort vil der fra den 1. januar 2021 fx være frictionless flow for alle transaktioner under 225 kr. Med mindre Dankort finder transaktionen mistænkelig, selvfølgelig.

Lignende undtagelser ser vi også i andre lande for både Visa og Mastercard.

Her kigger udstederne fx på:

  • Om kortholderen plejer at handle i butikken
  • Om beløbet passer med kortholderens normale købemønster
  • Om kortholderen tidligere har brugt leveringsadressen

3D Secure v2 tilbyder flere avancerede datakilder, som udstederen kan analysere på, men om de vælger at bruge dem – fx til frictionless flows - er helt op til den enkelte udsteder.


Step-up

Selvom indløseren (fx Nets) har indført en exemption/undtagelse, kan kortudstederen (fx banken) og de enkelte kortbrands (bl.a. Mastercard) kræve, at transaktionen skal gennemføres med SCA.

Det kaldes Step-up, og vi var kort inde på det i forrige afsnit.

Rent teknisk fungerer det ved, at der oprettes en fejlkode sammen med transaktionen, som fortæller betalingssystemet, at transaktionen skal gennemføres med SCA.

OnPay understøtter selvfølgelig Step-up og vil automatisk starte 3D Secure v2 for at leve op til kravet om SCA.


Strong Customer Authentication
NGO-payment-SOS

Hvad med MobilePay?

Dine kunder vil kunne bruge MobilePay - helt ligesom de er vant til.  

MobilePay og kortudstederne har nemlig aftalt, at transaktioner gennemført med MobilePay skal betragtes som SCA.

Og det gælder også, selvom vi skulle modtage en Step-up challenge - fx fra en bank.

Her er der nemlig lavet en alternativ løsning, hvor kortholderen kan gennemføre 3D Secure direkte i MobilePay appen.


Opsummering

Har du læst med så langt, håber vi, det har været umagen værd. 

Og at du er blevet lidt klogere på, hvad du selv kan - og skal - gøre for at overholde kravene til SCA.

Her er en opsummering af sidens centrale punkter og pointer:

  • SCA er en del af PSD2 -direktivet, der regulerer betalinger i EU
  • SCA betyder, at en kortholder skal kunne bekræfte sin identitet på en sikker måde (Strong Customer Authentication)
  • Fra 1. januar 2021 - og i nogle tilfælde, allerede fra november 2020 - vil kortudstederne afvise transaktioner, der ikke overholder kravene til SCA
  • OnPay er helt klar til SCA og har været det længe
  • Har du OnPay som standalone-løsning, skal du selv opdatere din integration
  • Har du OnPay i din DanDomain webshop, skal du selv slå OnPay v3 til
  • Allerede nu kan du slå SCA til for dine betalinger
  • Langt fra alle transaktioner er omfattet af SCA (fx abonnementsbetalinger og små transaktioner - under 30 euro)
  • De enkelte indløsere (fx Nets) bestemmer selv, hvilke transaktioner de ønsker at undtage fra SCA
  • I sidste ende er det dog udstederne (fx bankerne), der bestemmer, hvor de ønsker/ikke ønsker SCA
  • Det er nemlig udstederne, der skal overholde EU's og Finanstilsynets krav til SCA
  • Udstederne kan vælge at lave frictionless flows (dvs. slå SCA fra) på transaktioner, der lever op til visse regler
  • Udstederne kan også kræve SCA på transaktioner, som indløserne har undtaget fra SCA (også kendt som en Step-up challenge)
  • Undtaget er dog MobilePay, der i sig selv lever op til kravene fra SCA

Det var vist det vigtigste.

Husk også, at vi selvfølgelig altid står til rådighed, hvis du har spørgsmål eller brug for hjælp til din webshop eller betalingsløsning.

Du finder vores åbningstider og kontaktoplysninger i bunden af siden.
contact_person
Har du brug for hjælp? Ring til vores dygtige kundeservice på 8777 9045
 
Åbningstider for kundesupport


Email: support@dandomain.dk · Mandag-fredag: 8.00-22.00 · Weekend + helligdage: 9.00-21.00
Telefon: 8777 9045 · Mandag-fredag: 8.00-16.00 · Weekend + helligdage: Lukket

 

© 2009-2021 DanDomain A/S. CVR. 29412006 · Cookiepolitik