În conformitate cu directiva europeană PSD 2, tranzacțiile de plată prin card implică verificări multiple ale clienților, așa-numita verificare temeinică a clientului din partea emitentului cardului utilizat. Clientul poate anula tranzacția sau timpul pentru finalizarea achiziției în magazinul dvs. online poate fi depășit. Pentru a accelera întregul proces, este necesar să utilizați parametrul extins ADDINFO cu date suplimentare despre clienți. Doar atunci pot fi aplicate excepții de către emitentul cardului de plată (TRA / Analiza riscului tranzacției). Completând câmpurile, veți ajuta și monitorizarea noastră de securitate pentru a detecta mai bine posibile tranzacții frauduloase. Implementarea trebuie să fie finalizată până la 30 septembrie 2021. În legătură cu aceasta, este de asemenea necesar să modificați Condițiile comerciale ale magazinului dvs. online, unde veți adăuga informații în secțiunea GDPR cu privire la acordul clienților de a furniza datele lor de identificare. Intrați pe site-ul nostru pentru răspunsuri la întrebările dvs.
_____________________________________________________________________________________
În ianuarie 2018 a intrat în vigoare reglementarea Uniunii Europene denumită PSD2 (Directiva privind serviciile de plată) care a adus modificări în domeniul securității și al unificării plăților în cadrul UE. Ca parte a reglementării a fost publicată documentația tehnică RTS (Standarde tehnice de reglementare) pentru consolidarea nivelului protecției de securitate și diminuarea volumului fraudelor financiare. Elementul central îl reprezintă SCA respectiv cerința de verificare temeinică a utilizatorilor, deci a clienților dumneavoastră în cazul plăților la distanță.
Cerința se aplică tuturor tranzacțiilor efectuate cu cardul emis de către un emitent european și procesate de către un procesator european. Această prevedere impune verificarea clientului care plătește în așa fel, încât să se demonstreze că este vorba de deținătorul real, autorizat al cardului de plată în legătură cu interesul legitim al efectuării tranzacției. Verificarea clientului plătitor va avea loc încă înainte de autorizarea plății și blocarea fondurilor din contul deținătorului cardului.
În prezent, la toate tranzacțiile e-commerce se efectuează verificarea temeinică a titularului de card iar scopul schemelor de carduri este de a le permite băncilor emitente să aplice o excepție cu ajutorul TRA (Transaction Risk Analysis) – analiza riscului tranzacțional.
TRA (Transaction Risk Analysis)
Atunci când deținătorul cardului efectuează plata online, vor fi cerute, în cursul tranzacției, niveluri de autentificare suplimentare, respectiv: verificarea titularului cardului cu emitentul cardului. Datorită extinderii integrării, le permiteți emitenților de carduri de plată să lucreze cu mai multe date referitoare la tranzacție și le permiteți să-și seteze parametrii de risc TRA proprii (potrivit RTS), care vor fi utile pentru dumneavoastră și clienții dumneavoastră.
În cazul excepției TRA, în cursul tranzacției nu se cer toate modalitățile de verificare și, în cazul unei reclamații pentru o tranzacție, răspunderea pentru eventuala pagubă revine emitentul cardului de plată.
Pentru ca procesul de cumpărare să aibă loc fără întrerupere, schemele de carduri cer transmiterea datelor menționate mai jos în cursul fiecărei plăți cu cardul. Astfel se poate invoca excepția TRA de la verificarea temeinică a utilizatorului la emitentul cardului de plată:
-
Numele (Name)
-
Adresa de e-mail (Email address)
-
Numărul de telefon de acasă (Home phone number)
-
Numărul de telefon mobil (Mobile phone number)
-
Adresa de facturare (Billing address)
-
Adresa de livrare (Shipping address)
Din partea dumneavoastră este necesară efectuarea modificării în integrarea existentă cu utilizarea API HTTP.
În acest sens veți implementa și veți utiliza parametrul extins ADDINFO pentru transmiterea datelor specificate mai sus (consultați versiunea curentă a documentului “GP webpay API HTTP – Specificația tehnică”, care este accesibil la acest link: https://gpwebpay.cz/en/Download.html ).
În același timp, vă rugăm să rețineți că transmiterea datelor specificate mai sus în cadrul procesului de autentificare trebuie să fie în strictă conformitate cu regulile GDPR. Datele specificate mai sus sunt salvate doar la emitenții cardurilor de plată. Astfel, se impune ca, în cadrul informațiilor referitoare la prelucrarea datelor cu caracter personal, să informați titularii cardurilor de plată despre faptul că datele cu caracter personal specificate mai sus vor fi partajate cu emitentul cardului de plată în scopul posibilei excepții TRA care va permite un proces de cumpărare mai simplu. Ca titlu pentru transferul datelor vă recomandăm să folosiți interesul legitim al comerciantului la procesarea tranzacției.
Întrebările și solicitările de asistență în cursul implementării pot fi trimise pe adresa de e-mail gpwebpay@gpe.cz .
Vă rugăm să implementați modificările legate de transmiterea informațiilor suplimentare cel târziu până la data de 30.9.2021.
English version
PSD2 – ADDINFO Parameter Mandated Changes, by September 30th, 2021
In connection with EU PSD2 Directive there is multiple cardholder authentication required according to the SCA (Strong Customer Authentication) mandate, on the issuer side. This might result on the customer side into cancelling the transaction, or to time-out for finishing the purchase in your e-shop.
To speed up the whole process, it is necessary to extend the ADDINFO parameter with additional customer data . Only then can exceptions be invoked by the issuer of the payment card (TRA/ Transaction Risk Analysis). By submitting all the fields you may help the security monitoring to better detect possible fraudulent transactions.
The implementation must be completed by September 30th, 2021. In connection with this, it is also necessary to change the Terms & Conditions of your e-shop, where in the GDPR section you will add information concerning the consent of customers to the provision of their identification data.
Follow our website for answers to your questions.
____________________________________________________________________________________
In January 2018, a European Union regulation known as the PSD2 (Payment Services Directive) entered into force, bringing changes to the security and unification of payments within the EU. As part of this regulation, the RTS (Regulatory Technical Standards) technical specification was issued to strengthen the level of security protection and reduce the volume of financial fraud. One key requirement is for SCA (strong customer authentication) for users – meaning your customers – when making remote payments.
This applies to all transactions using cards issued by European issuers and processed by European processors. This provision requires the paying customer to be authenticated in such a way as to demonstrate that they are the genuine, authorised holder of such payment card and have a legitimate interest in the performance of the transaction. The paying customer will be authenticated before the payment is authorised and the funds deducted from the cardholder’s account.
Currently, all e-commerce transactions are subject to strong cardholder authentication and the goal of the card schemes is to enable the issuing banks to apply the TRA (Transaction Risk Analysis) exemption.
TRA (Transaction Risk Analysis)
When a cardholder makes an online payment, another level of authentication – meaning authentication of the holder with the payment card issuer – will be required at the time of the transaction. The extension of integration means you will enable payment card issuers to work with more transaction data and enable them to set their own TRA risk parameters (hereinafter “RTS”), which will be of benefit to both you and your customers.
With the application of the TRA exemption, all the authentication methods are not required during a transaction and in the event of a complaint about such a transaction, the payment card issuer will be liable for any loss.
To ensure the payment process is uninterrupted, the card schemes require the transfer of the data indicated below for every card payment. This may result in the application of the TRA exemption from strong customer authentication by the payment card issuer:
-
Name
-
Email address
-
Home phone number
-
Mobile phone number
-
Billing address
-
Shipping address
You will need to make changes in the existing integration using an HTTP API.
In this case, you will implement and use the extended parameter ADDINFO for the transfer of the above data (see the current version of the “GP webpay API HTTP – Technical Specification” document, which is available here: https://gpwebpay.cz/en/Download.html ).
At the same time, please note that the transfer of the above data as part of the authentication process must be in full compliance with GDPR rules. The above data are stored only with the payment card issuers. We are asking that, as part of the information about the processing of personal data, you inform the payment card holders that their indicated personal data will be shared with the payment card issuer for the possible application of the TRA exemption, which will make the purchase process simpler. We recommend using the merchant’s legitimate interest in the processing of the transaction as the grounds for the data transfer.
Please send any queries and implementation support requests to the email address gpwebpay@gpe.cz.
We would also like to ask you to implement the required changes relating to the transfer of additional information no later than 30 September 2021.