Silne uwierzytelnianie klienta (SCA) dla twórców wtyczek i motywów WordPress
Opublikowany: 2019-09-17W wielu sklepach z wtyczkami i motywami silne uwierzytelnianie klienta (SCA) było w ostatnich miesiącach gorącym tematem. Więc o co dokładnie chodzi w całym tym hałasie i dlaczego jest to istotne dla twórców produktów WordPress?!
Zacznijmy od odrobiny tła.
Co to jest silne uwierzytelnianie klienta (SCA)?
SCA wyrosło z celu Unii Europejskiej (UE) polegającego na zabezpieczeniu płatności online, co jest całkiem dobrym celem dla wszystkich, prawda? Wszyscy chcemy mieć bezpieczne płatności online, które chronią legalność zakupów w eCommerce.
Aby osiągnąć cel, jakim jest zabezpieczenie płatności online i minimalizacja oszustw, UE wydała dwie „dyrektywy dotyczące usług płatniczych” – PSD1 i PSD2 – i nie są to nowe formaty Photoshopa. PSD2 początkowo dał firmom w krajach UE do 14 września 2019 r. wdrożenie bezpiecznych rozwiązań do płatności online, które spełniają wymagania SCA.
Wymagania te nie zostały dobrze przyjęte przez wiele grup, zwłaszcza duże firmy obsługujące karty kredytowe, takie jak Visa i inne instytucje płatnicze w Europie, które wspólnie podpisały oświadczenie wyjaśniające główne wyzwania w przejściu na zabezpieczenie płatności za pomocą uwierzytelniania dwuskładnikowego (2FA – wymagane w przypadku wielu płatności w ramach SCA) i oficjalnie wnioskując o 18-miesięczny okres realizacji.
W odpowiedzi Europejski Urząd Nadzoru Bankowego (EBA) wydał oświadczenie, w którym dostrzega wyzwania, przed jakimi staną dostawcy usług finansowych w zakresie spełnienia wymogów SCA, i zapewnia 18-miesięczny okres przejściowy.
Więc o co to całe zamieszanie?
Ogólnie rzecz biorąc, to tam iz powrotem na tak wysokim szczeblu rządowym i przemysłowym doprowadziło do TONÓW nieporozumień w różnych sektorach dotyczących harmonogramu, wykonania i ogólnych wymagań SCA. Wyjaśnijmy więc to najlepiej, jak potrafimy, opierając się na aktualnie dostępnych informacjach.
Poniższy obrazek pokazuje ostatnią oś czasu, którą znaleźliśmy dla PSD2, która jest zgodna ze wszystkim, co badaliśmy na temat SCA:
Źródło: https://www.signifyd.com/psd2-strong-customer-authentication/
W zasadzie każdy może odetchnąć z ulgą. „Początkowy termin” 14 września właśnie minął, a ponieważ cała ta dyskusja toczy się na tak wysokim poziomie, wiele osób nadal obawia się, że wiele płatności online po prostu przestanie działać, co możemy śmiało powiedzieć, że tak nie jest (przynajmniej nie do 2021 r.).
Nawet biorąc pod uwagę tę oś czasu, warto powiedzieć, że jeśli sprzedajesz z Freemiusem, zadbaliśmy o to!
Właśnie zaktualizowaliśmy całą naszą platformę płatniczą, aby w pełni obsługiwać wszystkie aspekty SCA za pośrednictwem naszych odpowiednich bramek płatności, na długo przed datą wejścia w życie 14 marca 2021 r.
Nie oznacza to jednak, że SCA jest nieistotne dla sklepów z wtyczkami/motywami – niezależnie od tego, czy sprzedajesz za pośrednictwem Freemiusa. SCA wpłynie na płatności konsumenckie i ważne jest, aby zdawać sobie sprawę z nowego środowiska realizacji transakcji, które będzie wymagane w przypadku wielu płatności e-commerce.
Kogo dokładnie dotyczy SCA?
Nadal brakuje jasności w tej sprawie. Początkowo „słowo na ulicy” dotyczyło tylko sprzedawców w Europejskim Obszarze Gospodarczym (EOG) w przypadku transakcji dokonywanych za pomocą kart europejskich. Następnie Stripe zaczął komunikować, że SCA może również wpłynąć na amerykańskich sprzedawców dokonujących transakcji kartami europejskimi.
Ponieważ wszyscy wciąż powoli zmagają się z nowymi dyrektywami płatniczymi, sytuacja nadal szybko się zmienia. Możemy być pewni, że SCA wpłynie na wiele płatności online związanych z kartami europejskimi, bez względu na to, gdzie się znajdujesz, i ważne jest, aby upewnić się, że Twoja bramka płatnicza jest w pełni przygotowana do obsługi wymagań PSD2 w ramach SCA.
Czy SCA wpływa na wcześniej utworzone subskrypcje, które nie zostały jeszcze uwierzytelnione?
Jedną z największych początkowych obaw było to, że SCA wymagałoby ponownej weryfikacji istniejących płatności za subskrypcję , co, jak można sobie wyobrazić, może spowodować zamieszanie w firmach handlu elektronicznego, które polegają na swoich stałych przychodach, aby kontynuować działalność (jak wiele sklepów z wtyczkami i motywami).
Niektóre z wytycznych wydanych przez Stripe wyjaśniły, że wiele płatności będzie kwalifikować się do „zwolnień” od SCA, w tym płatności za subskrypcję rozpoczęte przed 14 września, które generalnie będą objęte „dziadkiem”.
W przypadku płatności za subskrypcję rozpoczynających się po 14 września 2019 r. ważne jest, aby korzystać z najnowszych interfejsów API odpowiednich bram płatności, które powinny mieć wbudowane wymagania SCA dotyczące weryfikacji. Płatności te będą kwalifikowały się do zwolnień z nowych wymagań, ponieważ przejdą wewnętrzny proces weryfikacji w czasie rzeczywistym.
Ogólnie rzecz biorąc, umowa polega na tym, że płatności poniżej 30 euro generalnie nie muszą przechodzić dodatkowej weryfikacji, jeśli wskaźnik oszustw dla banku klienta jest bardzo niski – są to tak zwane „zwolnienia”.
W zależności od oceny oszustwa wystawcy płatności, pułap zwolnienia z weryfikacji może wzrosnąć do 100 EUR lub nawet do 250 EUR, jeśli bank wydający ma bardzo małą aktywność związaną z oszustwami.
Tak na ten temat mówi strona Stripe:
Źródło: https://stripe.com/en-de/guides/strong-customer-authentication#low-risk-transactions
Opierając się na osi czasu bliższej początku tego artykułu, każdy kraj w UE musi rozpocząć egzekwowanie PSD2 po 14 marca 2021 r., co oznacza, że możesz nie napotkać żadnych problemów z płatnościami, jeśli Twoje rozwiązanie zostanie zaktualizowane przed datą egzekwowania (ale masz większe szanse na uniknięcie problemów, jeśli Twoja brama płatności i interfejsy API są aktualne tak szybko, jak to możliwe).
Główne ryzyko, które widzimy, polega na tym, że płatności za subskrypcję rozpoczęte po 14 września 2019 r., które nie przejdą procesu weryfikacji 2FA wymaganego w ramach SCA – lub nie uzyskają zwolnienia – mogą nie odnowić się prawidłowo, gdy subskrypcja jest gotowa do odnowienia. Płatności te mogą wymagać ponownej weryfikacji, ale nadal nie jest to całkowicie jasne i na pewno zaktualizujemy ten artykuł, gdy pojawią się nowe informacje. Jeśli znajdziesz coś na ten temat w Internecie – śmiało publikuj w komentarzach i daj nam znać!
Nawet przy wydłużonym okresie przejściowym powinieneś upewnić się, że Twoje rozwiązanie eCommerce i wszystkie odpowiednie bramki płatnicze przeszły na weryfikację płatności przez SCA, aby zminimalizować ryzyko nieudanych płatności.
Płatności zostaną zwolnione z wymagań SCA w czasie rzeczywistym na podstawie progów płatności i wskaźników oszustw LUB będą wymagały weryfikacji przez 2FA podczas procesu kasowania, aby dodać dodatkową warstwę bezpieczeństwa, gdy ryzyko płatności zostanie uznane za zbyt wysokie.
Wszystko to wydarzy się za kulisami. Jeśli sprzedajesz wtyczki i motywy za pośrednictwem własnego sklepu internetowego – musisz dostosować swoje istniejące rozwiązanie, aby korzystać z najnowszych interfejsów API z odpowiednimi bramami.
Jak dokładnie działają SCA i PSD2?
Funkcjonalnie wymagania SCA są spełniane dzięki zastosowaniu 3D Secure 2.0 (3DS2) do weryfikacji płatności online, które są uważane za zbyt ryzykowne przy użyciu 2FA.
Faktyczny proces realizacji transakcji dla klientów europejskich albo będzie wyglądał tak, jak obecnie, co oznacza, że ich płatność jest prawdopodobnie zwolniona z SCA, albo klienci będą musieli przejść drugi poziom weryfikacji w procesie realizacji transakcji.
Dodatkowy etap weryfikacji w 3DS2 wymaga jednego z trzech czynników bezpieczeństwa określonych w niniejszej opinii Europejskiego Urzędu Nadzoru Bankowego jako Wiedza, Posiadanie lub Dziedzictwo. Oto podstawowe definicje 3 czynników bezpieczeństwa, które można zweryfikować w procesie płatności:
Wiedza = Ukryte informacje, takie jak hasło, kod PIN lub odpowiedzi na tajne pytania.
Posiadanie = pewnego rodzaju fizyczne urządzenie, takie jak czytnik kart lub token USB
Inherence = Dane biometryczne, takie jak odcisk palca lub rozpoznawanie twarzy, często z urządzeń mobilnych.
Wiele bramek płatności zawiera już tego rodzaju czynniki w procesie realizacji transakcji, więc w zależności od Twojej bramy użytkownicy mogą nie widzieć żadnych zmian w sposobie realizacji transakcji w Twoim sklepie. Mogą zaimplementować 3DS2 w tle lub jeśli inne opcje spotkania SCA są/staną się dostępne, mogą one również zostać użyte. 3DS2 to po prostu odpowiedź branży płatności online na utrzymanie bezproblemowego doświadczenia użytkownika przy jednoczesnym spełnieniu nowych wymagań bezpieczeństwa.
Zapisz się i zdobądź bezpłatną kopię naszej książki
11 sprawdzonych technik zwiększania sporów dotyczących kart kredytowych o 740%
Udostępnij znajomym
Wpisz adres e-mail znajomego. Wyślemy im tylko tę książkę, honor Scouta.
Dziękuję za podzielenie się
Niesamowite — kopia „11 sprawdzonych technik zwiększania współczynnika sukcesu w sporach dotyczących kart kredytowych o 740%” została właśnie wysłana na adres . Chcesz pomóc nam jeszcze bardziej rozpowszechniać informacje? Dalej, podziel się książką ze znajomymi i współpracownikami.
Dziękuję za zasubskrybowanie!
- właśnie wysłaliśmy Twoją kopię „11 sprawdzonych technik zwiększania współczynnika sukcesu w sporach dotyczących kart kredytowych o 740%” na adres .
Masz literówkę w swoim e-mailu? kliknij tutaj, aby edytować adres e-mail i wyślij ponownie.
Innowacyjne doświadczenie użytkownika dzięki 3DS 2.0
W rzeczywistości, podczas gdy SCA dodaje warstwę złożoności do rozwoju, może znacznie poprawić wrażenia użytkownika końcowego podczas realizacji transakcji. 3DS 2.0 niesie ze sobą korzyści w postaci zmniejszonej liczby oszustw, szerszej dostępności opcji płatności oraz potencjalnie szybszego procesu weryfikacji i realizacji transakcji, ponieważ dostawcy płatności będą musieli uwzględnić 2FA w swoich przepływach realizacji transakcji jako możliwą procedurę weryfikacji. Tak więc niektórzy klienci mogą faktycznie zobaczyć znacznie lepszą obsługę kasy niż wcześniej.
Freemius z przyjemnością skorzysta z tej okazji, aby wprowadzić innowacje w naszym procesie realizacji transakcji, aby spełnić te nowe wymagania, dzięki czemu nasi partnerzy sprzedający wtyczki lub motywy nie muszą tego robić!
Jak SCA wpływa na partnerów sprzedażowych Freemius
Nasz zespół ciężko pracował, aby przejście na SCA było dla wszystkich płynne i bezbolesne. Spędziliśmy dużo czasu na badaniu wpływu SCA na wrażenia użytkowników Twoich klientów, a teraz mamy go w pełni zintegrowany z naszą usługą Checkout.
Należy pamiętać, że ten proces może wyglądać nieco inaczej w zależności od używanej metody płatności, typu karty kredytowej i wystawcy karty używanej przez klienta.
Jeśli Twoi klienci napotkają jakiekolwiek problemy podczas realizacji transakcji po tej nowej aktualizacji, poproś ich o zrzut ekranu. W przypadku wielu płatności będą musieli użyć pewnego rodzaju wtórnej weryfikacji na urządzeniu, z którego korzystają – odcisku palca, dodatkowych informacji bezpieczeństwa o profilu płatności w systemie bankowym lub innych danych biometrycznych. Może to być przyczyną wstrzymania płatności – ale klient nadal będzie musiał to poprawnie zweryfikować, jeśli żądanie działa poprawnie.
Jeśli zmagasz się z bramami…
Wiemy, że wiele platform eCommerce w ekosystemie ma problemy z nadążaniem za wymaganiami SCA, a administratorowi strony internetowej poświęca się dużo pracy, aby upewnić się, że Twoja platforma jest na bieżąco z najnowszymi wersjami wtyczek, wymaganiami serwera i nie tylko.
Jeśli boli Cię z tym głowa, ważne jest, aby poświęcić trochę czasu, aby się tym zająć, ponieważ zanim się zorientujesz, niektóre płatności od europejskich klientów po prostu przestaną działać, co oznacza, że Twoja firma jest wstrzymywana od sukcesu. Nie pozwól SCA zjeść cię żywcem:
Bez względu na to, gdzie mieszkasz i jak sprzedajesz wtyczki i motywy, musisz mieć rozwiązanie do sprzedaży i licencjonowania, które umożliwi rozwój Twojej firmy wtyczek i motywów. Słyszeliśmy skargi od wielu programistów, że ich rozwiązanie sprzedażowe nie obsługuje jeszcze SCA i zdecydowanie możemy sympatyzować z tym uczuciem po latach doświadczeń w pomaganiu sklepom z wtyczkami i motywami w rozwoju i wykorzystaniu ich największego potencjału.
Stworzyliśmy tę przydatną tabelę głównych platform używanych do sprzedaży wtyczek lub motywów oraz statusu bram obsługiwanych przez SCA dostępnych za pośrednictwem tych platform. Będziemy aktualizować ten wykres, gdy sytuacja się zmieni.
| Obsługa platformy eCommerce WordPress dla SCA przez Payment Gateway | ||
| Bramki płatności | Platforma | |
| WooCommerce | EDD (łatwe pobieranie cyfrowe) | |
| 2Zamówienie na miejscu | Niewspierany | Niewspierany |
| Amazon Pay | Utrzymany | Niewspierany |
| Authorize.net | Niewspierany | Niewspierany |
| Braintree | Utrzymany | Niewspierany |
| Global Payments Gateway (dawniej Realex) | Utrzymany | Niewspierany |
| Zaawansowane płatności PayPal | Niewspierany | Niewspierany |
| PayPal Pro | Niewspierany | Wsparcie już wkrótce |
| Naszywka | Utrzymany | Wsparcie już wkrótce |
| mędrzec zapłacić | Utrzymany | Niewspierany |
Więc, co dalej?
W dłuższej perspektywie będziemy Cię na bieżąco informować o dalszych zmianach w bramkach płatniczych, dzięki czemu uzyskasz wiedzę umożliwiającą podejmowanie właściwych decyzji dotyczących sprzedaży wtyczek i motywów WordPress. Wiemy, że bramki płatnicze mogą być ogromnym problemem dla programistów, zwłaszcza jeśli chcesz skupić się głównie na rozwoju produktu i marketingu.
Jeśli chodzi o SCA, sprawy w tej dziedzinie zmieniają się dość szybko i nadal nie ma jasności, ponieważ każdy kraj wdraża przepisy w różnym czasie. Będziemy kontynuować nasze badania i aktualizować ludzi w miarę postępów.
Mamy nadzieję, że te informacje pomogą Ci skuteczniej zarządzać przejściem i możesz zadawać pytania w komentarzach!
* Ten artykuł nie powinien być interpretowany jako porada prawna. Zdecydowanie zalecamy skontaktowanie się z prawnikiem, aby upewnić się, że Twoja firma jest na bieżąco z najnowszymi przepisami dotyczącymi Twojej firmy.