Toisen maksupalveludirektiivin (PSD2) asetus vahvasta asiakastunnistuksesta (SCA) vaikuttaa kaikkiin Euroopan talousalueella (ETA) korttimaksuja vastaanottaviin kauppiaisiin, korttijärjestelmästä riippumatta.
SCA on uusi menettely asiakkaan tunnistamiseksi. Se tarkoittaa, että maksupalveluntarjoaja (PSP) on velvollinen vahvasti tunnistamaan asiakkaansa henkilöllisyyden maksutapahtuman yhteydessä.
SCA edellyttää yhdistämään vähintään kaksi seuraavista kolmesta toisistaan riippumattomasta tekijästä kortinhaltijan tunnistamiseksi:
Tieto
jotain, minkä vain maksaja tietää, esimerkiksi PIN-koodi tai salasana.
Hallussapito
jotain, mitä vain maksajalla on hallussaan, esimerkiksi matkapuhelin.
Ominaisuus
jokin maksajan yksilöivä ominaisuus, nk. biometrinen tunniste (esim. sormenjälki, kasvojen tunnistus).
American Express hylkää kaikki myyntipisteissä tapahtuvat korttimaksut, joissa ei ole käytetty sirua ja PIN-koodia.
Mitkä hylätään?
Magneettijuovatapahtumat
Maksutapahtumat, jotka tehdään käyttäen magneettijuovaa eivät täytä PSD2:n vaatimuksia, koska allekirjoitus ei ole hyväksytty todennusmuoto.
Näppäillyt korttitiedot
Maksutapahtumat, joissa korttitiedot näppäillään myyntipisteen maksupäätteeseen vaikka kortinhaltija olisi voinut todentaa itsensä PIN-koodilla, koska tämä ei täytä SCA:n vaatimuksia.
Lähimaksut (ostot < 50 €)
Asetus vaatii kortinhaltijaa syöttämään PIN-koodin, kun peräkkäisiä lähimaksuja on tehty 5 kertaa tai niiden yhteissumma on > 150 €. Varmista, että maksupäätteessäsi on valmius tälle.
Ostot > 50 €
Kaikki yli 50 euron ostot edellyttävät tunnistautumista PIN-koodin avulla.
Miten minun tulee toimia?
Varmista, että kaikki myyntipisteissä tehdyt maksutapahtumat hyväksytään käyttäen sirua ja PIN-koodia.
American Express hylkää kaikki verkkomaksut, joita ei ole SafeKey todennettu.
Mitä hylätään?
Muut kuin SafeKey-todennetut maksutapahtumat
American Express hylkää kaikki verkkomaksutapahtumat, joita ei ole SafeKey todennettu.
Miten minun tulee toimia?
Varmista, että verkkosivustosi/sovelluksesi käyttää 3DS-todennusta, mukaan lukien American Express SafeKey. Voit tehdä tämän ottamalla yhteyttä maksupalveluntarjoajaasi (Payment Service Provider, PSP).
Uuden asetuksen mukaan vahvasta asiakastunnistuksesta voidaan poiketa tiettyjen maksutapahtumien kohdalla:
1. Arvoltaan pienet maksutapahtumat
- American Express vaatii SafeKeyn käyttöä jokaisessa yksittäisessä maksutapahtumassa, jolloin vastuu petoksista siirtyy kauppiaalta kortinmyöntäjälle.
- American Express pyrkii varmistamaan mahdollisimman monen arvoltaan pienen maksutapahtuman läpimenon minimoidakseen kortinhaltijoille ja jäsenliikkeille aiheutuvan haitan.
2. Luotettavat myyjät
- American Express SafeKey Express -luettelossa kortinhaltijoilla on mahdollisuus lisätä tai poistaa omia luotettavia myyjiä, kuten usein käyttämiään verkkokauppoja. Luetteloa ylläpitävät sekä American Express että kortinhaltijat.
- Lisätietoja on saatavana osoitteessa www.americanexpress.com/fi/edut/palvelu-turvallisuu/amex-turvallisuu/safekey/
3. Maksutapahtumien riskianalyysi
- Maksutapahtuma vapautuu SCA-vaatimuksesta, jos American Express on todennut sen riskitason olevan matala.
- Maksutapahtuma vaatii silti SafeKeyn käyttöä, jolloin American Express määrittelee riskitason ja toteuttaa tarvittavat toimenpiteet kortinhaltijan tunnistamiseksi.
4. Yrityksiä koskevat poikkeukset
- SCA-vaatimusta ei sovelleta maksutapahtumiin, jotka ovat vain muiden kuin kuluttajien käytettävissä. Tätä kutsutaan usein nimellä ’yrityspoikkeus’.
- American Express aikoo soveltaa tätä poikkeusta mahdollisuuksien mukaan eri yritysmaksutuotteisiinsa.
- SafeKey määrittää, tarvitaanko maksutapahtumaan vahvaa asiakastunnistusta vai ei
1. Posti- ja puhelintilauksin
- Vahvan asiakastunnistuksen vaatimus eivät koske posti- ja puhelintilauksia (MOTO). Tämä edellyttää, että kauppias ja kauppiaan palveluntarjoaja antavat American Expressille oikeat datakoodit, joilla maksutapahtuma voidaan tunnistaa selkeästi MOTO:ksi.
2. Kauppiaan aloittamat maksutapahtumat
- Maksutapahtumat, jonka on aloittanut kauppias eikä kuluttaja, eivät vaadi vahvaa asiakastunnistusta. Tämä perustuu siihen, että kortinhaltija on tehnyt kauppiaan kanssa sopimuksen, jonka mukaan kauppias voi oma-aloitteisesti veloittaa maksun.
- Lisätietoja kaiken tyyppisistä kauppiaan aloittamista maksutapahtumista (Merchant Initiated Transaction, MIT), jotka eivät vaadi vahvaa asiakastunnistusta, löytyy osoitteesta americanexpress.com/merchantspecs.
3. ETA:n ulkopuoliset maat
- Asiakkaan vahva tunnistaminen koskee vain kauppiaita ja kortinhaltijoita Euroopan talousalueella (ETA).
4. Matkaliput ja pysäköinti
- Vahvaa asiakastunnistusta ei vaadita miehittämättömillä maksupäätteillä tehdyissä matkalippu- ja pysäköintimaksuissa.
Lisätietoja American Expressin asemasta SCA-vaatimuksen ulkopuolisissa maksutapahtumissa on osoitteessa americanexpress.com/merchantspecs.