Az SCA (Strong Customer Authentication – erős ügyfél-hitelesítés) a PSD2 (Payment Services Directive 2) egyik kulcskövetelménye az európai fizetési piacon. A PCI DSS és az SCA külön szabályozási keretekből fakadnak, de az e-kereskedőknek mindkettőnek meg kell felelniük.
Mi az SCA és mit ír elő a PSD2?
A PSD2 SCA-követelménye: az e-kereskedelmi tranzakciókhoz az európai vásárlók hitelesítése szükséges legalább két elemmel az alábbiak közül: tudás (jelszó, PIN); tulajdon (telefon, token); biometria (ujjlenyomat, arcfelismerés). Az SCA célja: csökkenteni az online kártyacsalást az azonosítatlan és ellenőrizetlen tranzakciók arányának csökkentésével. SCA-mentességek (exemptions): alacsony kockázatú tranzakciók (acquirer/kibocsátó tranzakciókockázat-elemzés alapján); kis értékű tranzakciók (30 euró alatt); megbízható kereskedők (whitelist); ismétlődő azonos összegű tranzakciók (pl. előfizetések – az első tranzakcióhoz SCA szükséges, a következőkhöz nem).
EMV 3DS2: az SCA technikai megvalósítása
Az EMV 3DS2 (3D Secure 2) az SCA technikai megvalósításának szabványos eszköze: a vevő hitelesítése a kibocsátó banknál való megjelenítés (ACS – Access Control Server) útján; frictionless flow: ha a kockázatelemzés alapján az SCA-mentesség megadható, a vevőt nem kérik hitelesítésre (jobb felhasználói élmény); challenge flow: ha SCA szükséges, a vevőt hitelesítési kihívás elé állítják (OTP, biometria stb.). A 3DS2 és a PCI DSS kompatibilis: a 3DS2-hitelesítési folyamat nem érintkezik a PAN-nal a kereskedő infrastruktúráján (ha hosted fields van), így a PCI DSS hatókör nem bővül.
SCA hatása a konverziós arányra
Az SCA-kihívás (challenge flow) csökkentheti a konverziós arányt, ha a vevő elhagyja a checkout-folyamatot. Stratégiák a konverzió megőrzésére: acquirer tranzakciós kockázatelemzés (TRA) segítségével minél több SCA-mentesség megszerzése; megbízható kereskedők whitelist-je (a vásárló beállíthatja a kereskedőt megbízhatónak); jól tervezett 3DS2-kihívás UI (minimális súrlódás); ismétlődő tranzakcióknál az első SCA elvégzése, a következő MIT-tranzakcióknál nincs SCA. A PCI Proxy EU tokenizáció és a 3DS2-integráció kombinálható: a PAN a vault-ban van, a 3DS2 a token alapján megkezdődheti.
SCA-kompatibilis tokenizáció PCI DSS-megfelelőséggel
A PCI Proxy EU tokenizáció és a 3DS2-integráció együtt biztosítja a PSD2 SCA-megfelelést és a PCI DSS-megfelelést minimális konverzióveszteséggel.
Konzultáljon szakértőnkkel