Poštovani klijenti,
Proteklih dana zasigurno ste primijetili informacije u vezi s promjenama u platnom sustavu i uporabi platnih kartica sukladno novoj direktivi Europske komisije o platnom sustavu PDS2 koja se tehnički provodi od ožujka 2018. godine.
Ova sveobuhvatna promjena na području bezgotovinskog plaćanja omogućuje novim, takozvanim trećim stranama, izvršavanje izravnih plaćanja s računa klijenata na vaše račune, istovremeno pružajući veću sigurnost platnih transakcija putem takozvane „jake autentifikacije klijenta“
Ovaj se standard primjenjuje na sva plaćanja u fizičkim i on-line trgovinama u cijeloj Europskoj uniji i donosi temeljne promjene u tehničkoj sigurnosti svih sustava platnih terminala, payment gateway-a, sustava izdavanja kartica, pristupa mobilnom bankarstvu i izravnih i neizravnih plaćanja s bankovnih računa. Sve je to bilo predmet rasprava u cijeloj Europskoj uniji.
Prema novoj direktivi, provođenje platne transakcije moraju zaštititi najmanje dva sigurnosna faktora.
Dvije provjere faktora znači da je potrebna kombinacija najmanje dva sigurnosna elementa (faktora) iz različitih kategorija koji identificiraju klijenta (vlasnika kartice).
Kategorije identifikacije klijenta su:
- Znanje (što samo klijent zna) – npr. lozinka ili PIN
- Posjedovanje (ono što drži samo klijent) – npr. kartica ili telefon,
- Biometrija – biometrijske značajke kao što su otisak prsta klijenta ili sken oka klijenta.
Uvjet je da svaki sigurnosni element za autentifikaciju mora biti iz različite kategorije.
Istodobno, imajte na umu da je biometrijska autorizacija koja se trenutno koristi na operativnim sustavima Android i iOS (iPhone) privremeno izuzeta od strane platnih udruženja, sve do prelaska na viši stupanj sigurnosti koji je planiran u periodu od 2020.-2021.
Obzirom na gore navedene iznimke, pogrešno se tumači da su beskontaktna plaćanja izuzeta od visokih sigurnosnih zahtjeva. Europsko udruženje banaka je potvrdilo da beskontaktna plaćanja imaju iznimku do 50 EUR i do najviše 5 uzastopnih platnih transakcija s ukupnim limitom od 150 EUR. U praksi to znači da svaka šesta platna transakcija, bez obzira na iznos, mora biti odobrena PIN-om ili, na primjer, nakon 3 platne transakcije u iznosu od 50 € potrebno je odobrenje PIN-om. Logiku dodatnog traženja PIN-a za odobrenje beskontaktne platne transakcije u potpunosti provodi izdavatelj kartice. Odobrenje platne transakcije PIN-om mora se izvršiti i prilikom sumnje da je platna kartica zloupotrijebljena.
PODRUČJE POS/PLATNIH TERMINALA
Može se činiti da je 18 mjeseci bilo dovoljno dugo za provedbu svih promjena, ali Europsko bankarsko udruženje je prilagođavalo tehničke specifikacije do srpnja ove godine. Na temelju povratnih informacija koje je dobila od tehničkog sektora, Europsko udruženje banaka preporučilo je u srpnju 2019. godine da lokalne vlasti odgode primjenu PDS2 standarda za 12 do 18 mjeseci za e-commerce. Za platne transakcije izvršene na platnim terminalima pretpostavljalo se da su primarno autorizirane PIN-om.
Budući da Hrvatska, za razliku od nekih naprednih zemalja Europske unije, koristi platne transakcije karticama beskontaktnih platnih terminala u većem broju, trgovac mora izvršiti autorizaciju PIN-a nakon pet uzastopnih beskontaktnih plaćanja što je relativno često. Kao što je ranije spomenuto, provjera ovog broja platnih transakcija i ograničenja uvijek ovisi o izdavatelju kartice klijenta. Platni terminal obavezan je slati podatke za obradu u on-line-u.
Zbog vrlo kratkog vremena prilagodbe, banke su sada u procesu prilagodbe svojih kartičnih sustava, prvenstveno za izračun i zbroj uzastopnih beskontaktnih platnih transakcija, budući da u prošlosti nije bilo moguće utvrditi razliku između kontaktnih i beskontaktnih plaćanja unutar bankarskih sustava.
POS ili platni terminali u mogućnosti su na daljinu prilagoditi softver i postavke terminala tako da se zahtjev za unos PIN-a automatski provodi ako to zatraži banka koja je izdala karticu. Trenutna praksa pokazuje da nisu nadograđeni svi potrebni sustavi prihvatitelja kartica prilikom provođenja ove promjene, stoga postoji mogućnost pojave slučajeva u kojima se platna transakcija odbije bez navođenja određenog razloga, iako je platni terminal trebao zatražiti samo PIN.
Savjetujemo Vam da više ne očekujete uobičajeno trenutno odobrenje za platne transakcije male vrijednosti ili plaćanja jednim dodirom, preporuka je da provjerite platne transakcija. Molimo da uvijek provjerite poruku sa POS terminala, tekst ispisan na potvrdi o transakciji!
PODRUČJE E-TRGOVINE
U području e-trgovine, BORGUN payment gateway radi sa standardom 3DS 1.0.2, koji zahtijeva provjeru identiteta klijenta SMS-om.
Iako se očekuje određeno razdoblje prilagodbe, BORGUN trenutno uvodi promjene kako bi zadovoljio više sigurnosne zahtjeve od trenutnog 3DS standarda. To uključuje primjenu novog payment gateway-a koji ispunjava zahtjeve za višom razinom „jake autentifikacije klijenta“.
Očekujemo da će se nova sučelja moći koristiti 3DS2 standardom u roku od 2-3 mjeseca. Do tada preporučujemo korištenje trenutnog 3DS 1.0.2 standarda koji je u mogućnosti raditi s SMS načinom potvrde, a koji je prema statistikama i dalje vrlo siguran. Ovaj način sigurnosne provjere i dalje će se paralelno koristiti za slučajeve kada izdavatelj kartica ne dolazi iz EU-a i EEA-e, ali i za banke koje u skoroj budućnosti neće biti spremne za PSD2 standard.
U slučaju bilo kakvih promjena ili novih informacija pravodobno ćemo Vas obavijestiti.
Ukoliko imate dodatnih pitanja, molimo uputite ih na našu korisničku podršku: [email protected]