Wat betekent de PSD2-regelgeving voor Shopify-webshops?

Betalingen zijn een belangrijk onderdeel van de shoppingervaring, waar en wat je ook verkoopt. Maar online zijn ze nog belangrijker, omdat vertrouwen en veiligheid hier onmisbaar zijn.

Als je actief bent in de Europese Economische Ruimte (EER), heb je misschien gehoord van de nieuwe Payment Services Directive (PSD2). Dit is een wettelijke vereiste die Strong Customer Authentication (SCA) omvat en de fraudebescherming bij online aankopen verbetert. Deze nieuwe richtlijn heeft ook invloed op bedrijven in de EER.

In deze blog ontdek je hoe je je een weg baant door deze regelgeving voor verkoop, zodat je je kunt blijven richten op het runnen en uitbreiden van je bedrijf. In dit artikel krijg je antwoord op alle vragen die je mogelijk hebt over PSD2, SCA en meer.

Wat is Strong Customer Authentication (SCA)?

Strong Customer Authentication is een beveiligingsbeleid in de EER dat helpt fraude te verminderen en betalingen veiliger te maken. Het valt onder de nieuwe PSD-richtlijn.

SCA is vergelijkbaar met wat veel mensen tweestapsverificatie noemen: als een klant een online aankoop doet via zijn betaalkaart of creditcard, kan SCA vereisen dat hij twee verschillende verificatiemethoden gebruikt.

Een voorbeeld: in plaats van vragen alleen zijn pincode of wachtwoord in te voeren, kan SCA een klant vragen een code in te voeren die als tweede stap aan hem is ge-sms’t. Zo kunnen frauduleuze transacties makkelijker worden tegengehouden.

SCA zorgt er ook voor dat als een fraudeur het ene verificatie-item in handen krijgt, hij niet ook de andere verificatiemethode in handen krijgt. Dit vergroot de algehele veiligheid van de gegevens van de klant.

Wat is de nieuwe PSD-richtlijn?

De nieuwe PSD-richtlijn reguleert elektronische betalingen binnen de Europese Unie. De eerste PSD-richtlijn werd in 2007 van kracht en PSD2 is eind 2019 gelanceerd, hoewel hij pas eind 2020 volledig is geïmplementeerd.

Eén van de belangrijkste updates is dat klanten die online shoppen via hun betaalkaart of creditcard met deze nieuwe richtlijn beter beschermd zijn. Ook jij als e-commerceverkoper bent beter beschermd.

Om aan deze regelgeving te voldoen, heb je Strong Customer Authentication (SCA) nodig. Zo kun je card-not-present fraude via betalingen die je accepteert van Europese kopers tot een minimum beperken. Dit is fraude waarbij de betaalkaart- of creditcard- en persoonlijke gegevens van de klant zijn gestolen om frauduleuze betalingen te doen.

SCA-voorbeelden

Strong Customer Authentication moet twee van de volgende drie elementen bevatten: iets dat je weet, iets dat je bezit en iets dat je bent.

Iets dat je weet

Dit gaat over iets dat alleen je klant weet. Een paar voorbeelden:

• Een wachtwoord
• Een wachtwoordzin
• Een geheim feitje
• Een pincode
• Een tekenreeks
• Op kennis gebaseerde vragen

Iets dat je bezit

Dit gaat over items die de klant bezit. Een paar voorbeelden:

• Een telefoon
• Een tablet
• Draagbare technologie
• Een hardware token
• Een chipkaart
• Een badge

Iets dat je bent

Dit gaat over dingen die onlosmakelijk met de klant zijn verbonden: persoonlijke en fysieke identifiers die bij niemand anders kunnen horen. Een paar voorbeelden:

• Vingerafdrukken
• Gezichtsherkenning
• Stemdetectie
• Irisscan
• Netvliesscan
• DNA-handtekening

Hoe werkt SCA?

In het verleden kon je toegang krijgen tot accounts en betalingen verifiëren met een simpel ‘iets dat je weet’, zoals een pincode. SCA vereist meer dan dat, voor nog betere beveiliging.

Wachtwoorden kunnen worden gelekt of gehackt. Creditcards en betaalkaarten kun je kwijtraken of worden gestolen. Maar als iemand een wachtwoord moet invoeren vanaf een specifiek apparaat of naast de pincode van zijn creditcard ook zijn vingerafdruk moet scannen, wordt het hele proces een stuk veiliger.

SCA vindt plaats via een protocol genaamd 3D Secure, een technologie die door de meeste Europese kaarten wordt ondersteund. Dit protocol voegt een extra beveiligingslaag toe die klanten tijdens de checkout moeten invoeren om zichzelf te verifiëren. 

Je klanten zien het 3D Secure logo bij hun bestellingen. Vervolgens worden ze gevraagd zich verder te verifiëren via meerstapsverificatie.

Dit kan bijvoorbeeld via:

• Een eenmalige code die naar de smartphone van de klant wordt gestuurd
• Verificatie via een vingerafdruk, via een app voor online bankieren
• Gezichtsherkenning via de smartphone

Het feit dat veel slimme apparaten compatibel zijn met deze typen ingebouwde verificatie, maakt het voor klanten nog makkelijker om veilig aankopen te doen.

Wanneer de SCA-stap is voltooid, is de bank verantwoordelijk voor eventuele frauduleuze chargebacks, niet jij.

SCA-naleving garanderen

Als je bedrijf actief is binnen de EER moet je voldoen aan de PSD2 en SCA, anders kunnen banken aankopen weigeren. Gelukkig is de naleving niet ingewikkeld. Je hoeft alleen één van de volgende twee dingen te doen, of allebei:

• 3D Secure toepassen op betalingen via creditcards en betaalkaarten
• Een payment portal gebruiken, bijvoorbeeld Shopify Payments of Apple Pay, die automatisch geoptimaliseerd is om te voldoen aan PSD2 en SCA

Als je een Shopify-winkel hebt, is naleving erg eenvoudig. Voor alle betalingsopties die je kunt toevoegen, kun je eenvoudig zorgen dat 3D Secure automatisch wordt toegepast op aankopen binnen de EER.

Gebruikers kunnen op hun Shopify-bestellingenpagina ook zien voor welke bestellingen bij de betalingsverwerking SCA is gebruikt. Bij bestellingen die met betaalkaart of creditcard zijn betaald en 3D Secure hebben doorlopen, staat 3D Secure (3DS) naast de order timeline. 

Dit betekent dat de identiteit van de koper is bevestigd door de bank die de kaart heeft uitgegeven, en dat de transactie standaard een laag risico heeft. Voor deze transacties op de bestellingenpagina hoeft de verkoper geen acties uit te voeren.

Wanneer geldt SCA?

SCA geldt voor alle online betalingen binnen de Europese Unie. Dit houdt in dat de klant in de EU woont en een aankoop heeft gedaan bij een bedrijf dat ook in de EU actief is.

Maar steeds meer landen voeren vergelijkbare vereisten in om frauduleuze betalingen te voorkomen en verkopers en betalingsproviders te beschermen.

SCA-vrijstellingen

Niet elke elektronische betaling of e-commerce transactie valt onder SCA. Hieronder vind je een paar voorbeelden van wanneer SCA niet vereist is.

Transacties met een laag risico

Transacties met een laag risico worden geïdentificeerd via een transactierisicoanalyse (TRA). Betalingsproviders kunnen in realtime risicoanalyses uitvoeren om vast te stellen of SCA moet worden toegepast of niet.

Dit risico wordt bepaald door de fraudepercentages van de betalingsprovider. Deze kan worden vrijgesteld van SCA als de fraudepercentages onder de volgende drempels liggen:

• 0,13% voor transacties tot € 100
• 0,06% voor transacties tot € 250
• 0,01% voor transacties tot € 500

De betalingsprovider kan dan een ‘TRA exemption’ (TRA-vrijstelling) aanvragen om de SCA-verplichting te mogen negeren.

Transacties met een lage waarde

Transacties met een lage waarde, of transacties met kleine bedragen, kunnen ook worden vrijgesteld van SCA. De regelgeving schrijft voor dat elke transactie tot € 30 als transactie met een lage waarde kan worden beschouwd.

Maar de bank die de kaart heeft uitgegeven houdt bij hoe vaak deze vrijstelling is toegepast. Na elke vijf transacties met een lage waarde is SCA vereist, om te zorgen dat de betalingen veilig en intentioneel zijn en fraudeurs de PSD2-regelgeving niet kunnen omzeilen.

Terugkerende transacties

Een terugkerende transactie, of abonnement met een vast bedrag, is een andere vrijstelling. Voor de eerste betaling is SCA vereist, maar automatische vervolgbetalingen voor abonnementen zijn vrijgesteld van deze veiligheidsvereisten.

Door de verkoper geïnitieerde transacties

Door de verkoper geïnitieerde transacties worden beschouwd als ‘out of scope’ en niet als vrijstelling. Maar een transactie als door de verkoper geïnitieerde transactie laten markeren, vereist meestal een vergelijkbare procedure als het aanvragen van een vrijstelling. 

Dit type betaling wordt gedaan met een kaart die al is geregistreerd. Net als bij terugkerende betalingen moet de eerste betaling Strong Customer Authentication doorlopen. Voor vervolgbetalingen hoeft dit niet, meestal omdat de klant er via een contract of ander beleid mee heeft ingestemd dat de transactie is geverifieerd.

MOTO-transacties

MOTO-transacties, transacties bij bestellingen via post of telefoon, worden ook beschouwd als out of scope. Omdat dit type betalingen niet als elektronische of online betalingen wordt gezien, vallen ze niet onder de SCA-vereisten.

Zakelijke transacties

B2B- of zakelijke transacties zijn transacties tussen twee ondernemingen. Wanneer deze betalingen worden gedaan met een kaart die is gespecificeerd voor zakelijke transacties, zijn deze betalingen ook vrijgesteld van de SCA-vereisten.

Interregionale transacties

Interregionale transacties zijn transacties die worden uitgevoerd door consumenten die niet binnen de regio’s of parameters van de PSD2-regelgeving wonen en daarom out of scope zijn voor de SCA-vereisten.

Een voorbeeld: als je bedrijf in de EU is gevestigd en iemand uit de Verenigde Staten een aankoop bij je doet, is die transactie out of scope voor SCA.

Vertrouwde begunstigden

Tot slot kunnen klanten zelf bedrijven waarmee ze regelmatig samenwerken of die ze vertrouwen op een whitelist plaatsen, zodat hun betalingen niet meer hoeven te worden geverifieerd. De bank van de consument houdt dan deze lijst met ‘vertrouwde begunstigden’ bij, zodat de consument het SCA-proces kan overslaan.

Wat betekent PSD2 voor Shopify-verkopers?

Als je Shopify Payments gebruikt om betalingen via creditcards of betaalkaarten uit Nederland, België, Duitsland, Denemarken, Ierland, Oostenrijk, Zweden, Spanje of het Verenigd Koninkrijk te verwerken, hoef je niets te doen: je leeft de PSD2-richtlijnen dan automatisch na. 

Shopify Payments is geoptimaliseerd om het gebruik van 3D Secure tot een minimum te beperken. 3D Secure wordt alleen gebruikt als de uitgevende bank dit absoluut vereist om een transactie te kunnen verifiëren. 

Als je Stripe gebruikt om betalingen via creditcards of betaalkaarten te verwerken, voldoe je ook volledig aan de PSD2-richtlijnen en kun je SCA aanbieden.

Lokale betaalmethoden als iDeal en Klarna, en digitale portemonnees als Google Pay, Apple Pay en PayPal Express, voldoen al aan de regelgeving. Je hoeft dan dus niets te doen.

Ben je een verkoper die externe gateways gebruikt? Dan voldoe je niet automatisch aan de PSD2-richtlijnen. 

Om de richtlijn na te leven, raden we je aan een door Shopify goedgekeurde SCA gateway te gebruiken en je account aan CardinalCommerce te koppelen, een volledige dochteronderneming van Visa. In Instellingen > Betalingen van je Shopify admin panel zie je de melding dat CardinalCommerce beschikbaar is.

Als je in landen in de EER of EU actief bent, is het voor jezelf en je klanten belangrijk dat je de PSD2-richtlijnen naleeft en 3D Secure-opties aanbiedt. Of dat de manier waarop je betalingen verwerkt, is vrijgesteld van SCA.