Απαντάμε στις ερωτήσεις σας σχετικά με το πρωτόκολλο ασφαλείας EMV 3D Secure (αναβαθμισμένο 3D Secure). Δείτε πώς διασφαλίζονται οι συναλλαγές σας και ποιες αλλαγές και δοκιμές πρέπει να κάνετε για να το υποστηρίζει το e-shop σας μέχρι τις 31.12.2020.
Τι αλλάζει με το νέο πρωτόκολλο EMV 3DS;
Είναι η αναβαθμισμένη έκδοση του πρωτοκόλλου 3D Secure. Εφαρμόζει την οδηγία 2015/2366 της ΕΕ στην εθνική νομοθεσία για τις υπηρεσίες πληρωμών στην εσωτερική αγορά (PSD2).
Η οδηγία αυτή μαζί με τον κανονισμό 389/2018 της Ευρωπαϊκής Επιτροπής που θέτει τα τεχνικά πρότυπα για την αυστηρή εξακρίβωση της ταυτότητας του πελάτη ενσωματώθηκαν στην εθνική νομοθεσία με τον Ν.4537/2019.
Με την εφαρμογή της οδηγίας και του κανονισμού λαμβάνονται αυστηρότερα μέτρα για την εξακρίβωση της ταυτότητας του πελάτη (strong customer authentication) στις online συναλλαγές και τις αγορές του σε e-shop.
Δείτε σε ποιες κατηγορίες συναλλαγών ισχύουν οι νέες απαιτήσεις ασφαλείας από 14.09.2019, σύμφωνα με το Δελτίο Τύπου της Ελληνικής Ένωσης Τραπεζών.
Τι κερδίζω από την εφαρμογή του EMV 3DS
Με την ενσωμάτωση του πρωτοκόλλου EMV 3DS στην ηλεκτρονική πλατφόρμα της επιχείρησής σας αποκτάτε σημαντικά πλεονεκτήματα:
- Η ευθύνη των συναλλαγών μεταφέρεται στις τράπεζες (Liability Shift) όταν υπάρχει αμφισβήτηση συναλλαγής λόγω απάτης.
- Οι πελάτες σας προστατεύονται καλύτερα από συναλλαγές απάτης. Αυτό συμβαίνει διότι οι εκδότριες τράπεζες, δηλαδή οι τράπεζες που έχουν εκδώσει τις κάρτες των πελατών, ταυτοποιούν τους πελάτες με μεγαλύτερη ακρίβεια, λαμβάνοντας υπόψη τα στοιχεία που τους στέλνετε.
- Οι πελάτες σας απολαμβάνουν βελτιωμένη εμπειρία χρήσης διότι για να ολοκληρώσουν τις συναλλαγές τους μεταφέρονται στο περιβάλλον της δικής τους τράπεζας, που τους είναι οικείο.
- Οι πελάτες σας νιώθουν μεγαλύτερη ασφάλεια στο e-shop σας ή άλλες πλατφόρμες που χρησιμοποιείτε.
- Μειώνεται το φαινόμενο εγκατάλειψης καλαθιού.
Γιατί είναι πιο ισχυρή η προστασία τώρα;
Το EMV 3DS υποστηρίζει την αποστολή σημαντικών δεδομένων στην τράπεζα του πελάτη, όπως τη διεύθυνσή του (billing address), πληροφορίες της συσκευής που χρησιμοποιεί (Device ID), το ιστορικό του πελάτη και του εμπόρου και πολλά άλλα.
Η τράπεζα του πελάτη σας αξιολογεί το επίπεδο κινδύνου της συναλλαγής και δρα αναλόγως. Εάν η συναλλαγή εκτιμηθεί ως:
- Χαμηλού ρίσκου, η τράπεζα προχωράει άμεσα προς έγκριση (authorization) χωρίς να χρειάζεται καμία επιπλέον ενέργεια από τον πελάτη (frictionless flow).
- Υψηλού ρίσκου, η τράπεζα για να εγκρίνει την πληρωμή μπορεί να ζητήσει επιπλέον ενέργειες από τον πελάτη για την ταυτοποίησή του με τη διαδικασία του Strong Customer Authentication (challenge flow).
Τι είναι το Strong Customer Authentication (SCA);
Η ισχυρή ταυτοποίηση πελάτη (Strong Customer Authentication – SCA) είναι μέρος ευρωπαϊκής πρωτοβουλίας για μείωση της απάτης (fraud) στις ηλεκτρονικές συναλλαγές.
Με την εφαρμογή του SCA επιτυγχάνεται ένα ασφαλές επίπεδο ταυτοποίησης των πελατών τη στιγμή που εκτελούν μια πληρωμή. Είναι υποχρεωμένοι πλέον να ταυτοποιούνται με τη χρήση 2 ή περισσότερων στοιχείων που:
- Μόνο οι ίδιοι ξέρουν – π.χ. κωδικό σύνδεσης για το Eurobank Mobile App ή Κωδικό μιας Χρήσης (OTP) που λαμβάνουν στο κινητό τους.
- Μόνο οι ίδιοι έχουν – π.χ. κινητό που πρέπει να έχει μαζί του ο πελάτης.
- Είναι μοναδικό τους φυσικό χαρακτηριστικό – π.χ. δακτυλικά αποτυπώματα ή χαρακτηριστικά προσώπου.
Είναι απαραίτητο να υποστηρίζω το EMV 3DS; Έχω επιλέξει να μην υποστηρίζω 3D Secure στις συναλλαγές μου γιατί υποβαθμίζει την εμπειρία του χρήστη.
Υποστηρίζω το 3D Secure. Είναι απαραίτητο να υποστηρίζω το EMV 3DS;
Κι αν δεν ενσωματώσω το EMV 3DS;
Κι αν δεν υποστηρίζει το EMV 3DS η κάρτα που χρησιμοποιεί ο πελάτης μου;
Πώς αποκτώ πρόσβαση στο περιβάλλον δοκιμών του Cardlink e-commerce;
Χρησιμοποιείτε τα ίδια στοιχεία σύνδεσης (Username και Password) που είχατε λάβει αρχικά για να κάνετε δοκιμαστικές συναλλαγές. Συνεχίζουν να είναι ενεργά.
Εάν θέλετε να σας τα προωθήσουμε ξανά, στείλτε email: ecommerce_support@cardlink.gr
Ποιες κάρτες χρησιμοποιώ κατά τις δοκιμαστικές συναλλαγές;
Μπορείτε να χρησιμοποιείτε κάρτες Visa ή Mastercard. Συγκεκριμένα:
Scheme |
Card PAN |
Responsed status |
Visa |
4012000000012003001 |
Challenge Y password |
Visa |
4012000000012011046 |
Challenge Flow auto U |
Visa |
4012000000012011004 |
Frictionless Y |
Visa |
4012000000012011012 |
Frictionless N |
Visa |
4012000000012011020 |
Frictionless U |
Visa |
4012000000012011038 |
Frictionless R |
Mastercard |
5900070000000003 |
frictionless Y |
Mastercard |
5900070000000029 |
frictionless N |
Είμαι στη διαδικασία των τεχνικών δοκιμών και δεν έχω κάνει ακόμη συναλλαγές με την Cardlink e-commerce πλατφόρμα. Πρέπει να κάνω κάτι επιπλέον;
Πρέπει να στέλνετε ορισμένες μεταβλητές που αναφέρονται ως προαιρετικές στις αρχικές τεχνικές προδιαγραφές που είχατε λάβει όταν συνδεθήκατε με την πλατφόρμα.
Για να βεβαιωθείτε ότι η αποστολή τους γίνεται σωστά, κάντε κάποιες δοκιμαστικές συναλλαγές με μία κάρτα δοκιμών. Στείλτε τουλάχιστον μία επιτυχημένη συναλλαγή (Capture).
Ολοκλήρωσα τις αλλαγές στο δοκιμαστικό περιβάλλον. Τι πρέπει να κάνω;
Κάνω ήδη συναλλαγές με πελάτες. Πώς μπορώ να ελέγξω εάν όντως στέλνω τα απαραίτητα στοιχεία;
Στο διαχειριστικό εργαλείο Back Office Tool:
- Επιλέξτε View and Manage VPOS Transactions.
- Επιλέξτε τα κριτήρια για να δείτε τις τελευταίες συναλλαγές που έχουν εκτελεστεί.
- Διαλέξτε μία συναλλαγή και κάντε κλικ στο αντίστοιχο link για να ανοίξει το παράθυρο VPOS Transaction details και να δείτε τις αναλυτικές πληροφορίες της.
- Ελέγξτε εάν υπάρχουν τιμές στο πεδίο Billing address.
Εάν υπάρχουν τιμές στα πεδία αυτά, δεν χρειάζεται να κάνετε καμία άλλη ενέργεια. Η Cardlink θα κάνει ό,τι χρειάζεται για τη μεταφορά σας στο νέο πρωτόκολλο.
Εάν δεν υπάρχουν τιμές στα πεδία αυτά, ενημερώνετε τον τεχνικό σας για να κάνει τις σχετικές αλλαγές στο σύστημά σας για να λαμβάνει τις πληροφορίες αυτές κατά τη διαδικασία του check-out και να τις στέλνει στο Cardlink e-commerce.
Για να βεβαιωθείτε ότι τα στοιχεία αποστέλλονται κανονικά, κάντε μερικές συναλλαγές στο διαχειριστικό περιβάλλον δοκιμών.
Πώς ξέρω αν έχω σύνδεση Redirect;
Εάν έχετε σύνδεση Redirect, όταν ο πελάτης σας επιλέγει να πληρώσει με κάρτα στο e-shop της επιχείρησής σας, μεταφέρεται στη σελίδα πληρωμής της τράπεζας (Cardlink platform). Η συναλλαγή διεκπεραιώνεται από την τράπεζα, χωρίς να έχετε πρόσβαση στα στοιχεία της κάρτας του πελάτη.
Για να βεβαιωθείτε ότι έχετε σύνδεση Redirect, επικοινωνήστε με τον τεχνικό σας ή στείλτε email: ecommerce_support@cardlink.gr.
Δείτε στο εγχειρίδιο της Cardlink τις βασικές προδιαγραφές για τη σύνδεση Redirect (στα Αγγλικά).
Πώς ξέρω ποια έκδοση της πλατφόρμας χρησιμοποιώ;
Μπορείτε να αναγνωρίσετε την έκδοση (version) που χρησιμοποιείτε από το μήνυμα (request) που κοινοποιείτε (post) προς την πλατφόρμα. Είναι το πρώτο πεδίο του http request.
Για περισσότερες πληροφορίες επικοινωνήστε με τον τεχνικό που σας υποστηρίζει.
Τι πρέπει να κάνω για να υποστηρίζω το EMV 3DS;
Καλό είναι να συλλέγετε και να στέλνετε στις εκδότριες τράπεζες επιπλέον στοιχεία των συναλλαγών σας. Με αυτόν τον τρόπο:
- Αυξάνετε τις πιθανότητες οι συναλλαγές να προχωρούν άμεσα προς έγκριση (authorization) χωρίς να χρειάζεται καμία επιπλέον ενέργεια από τον πελάτη σας (frictionless flow).
- Μειώνετε το ποσοστό εγκατάλειψης καλαθιού.
- Προσφέρετε στους πελάτες σας τη βέλτιστη εμπειρία χρήσης.
Δείτε όλα τα πλεονεκτήματα από την εφαρμογή του EMV 3DS.
Ποια είναι τα στοιχεία που πρέπει να στέλνω;
Καλό είναι να συλλέγετε και να στέλνετε τα στοιχεία που αφορούν τη διεύθυνση χρέωσης των πελατών σας.
Συγκεκριμένα, με το αίτημα συναλλαγής προς την ηλεκτρονική πλατφόρμα της επιχείρησής σας καλό είναι να στέλνετε τις μεταβλητές:
- billCountry
- billState
- billZip
- billCity
- billAddress
Δέχομαι online πληρωμές με κάρτες. Τι αλλαγές πρέπει να κάνω;
Επικοινωνήστε με τον τεχνικό σας για να βεβαιωθείτε ότι έχει ενημερωθεί τις αλλαγές που πρέπει να γίνουν.
Χρησιμοποιώ προσαρμοσμένη σελίδα πληρωμής (custom payment page). Χρειάζεται να κάνω κάτι επιπλέον;
Ναι. Ζητήστε από τον τεχνικό που σας υποστηρίζει να ενσωματώσει τον κώδικα που βρίσκεται στο εγχειρίδιο της Cardlink για το 3DS Iframe (στα Αγγλικά).
Επιπλέον, μπορείτε να δείτε σε εγχειρίδιο της Cardlink τις βασικές προδιαγραφές για τη σύνδεση Redirect (στα Αγγλικά).
Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας.
Χρησιμοποιώ πρόσθετο plugin για τη σύνδεσή μου. Tι πρέπει να ελέγξω;
Επιβεβαιώστε με τον πάροχο του plugin που χρησιμοποιείτε ότι είναι συμβατό με τις προδιαγραφές του EMV 3DS.
Πώς ξέρω αν έχω σύνδεση Direct;
Εάν έχετε σύνδεση Direct, όταν ο πελάτης πραγματοποιεί τις αγορές του στο e-shop της επιχείρησής σας, ολοκληρώνει την πληρωμή χωρίς να ανακατευθύνεται στην τράπεζα. Η επιχείρηση σας και τα συστήματά της θα πρέπει να είναι πιστοποιημένα κατά τα πρότυπα του PCI DSS.
Τα στοιχεία της κάρτας γίνονται capture από την επιχείρησή σας και στη συνέχεια στέλνετε τη συναλλαγή μέσω ασφαλούς διασύνδεσης στην τράπεζά σας (μέσω xml request) και ενημερώνεστε άμεσα για το αποτέλεσμα.
Για να βεβαιωθείτε ότι έχετε σύνδεση Direct, επικοινωνήστε με τον τεχνικό σας ή στείλτε email: ecommerce_support@cardlink.gr
Τι αλλαγές έχουν γίνει συνολικά για τη σύνδεση Direct;
Στο αίτημα που στέλνετε προς το MPI με σκοπό το 3DS authentication, πρέπει να στέλνετε τις απαραίτητες μεταβλητές που αναφέρονται στο τεχνικό εγχειρίδιο ως υποχρεωτικές.
Για να υποστηρίζετε το EMV 3DS πρέπει να αναβαθμίσετε τo MPI που χρησιμοποιείτε σε version 4, εάν αυτό δεν έχει ήδη γίνει.
Δέχομαι online πληρωμές με κάρτες. Τι αλλαγές πρέπει να κάνω;
Πρέπει να γίνουν αλλαγές:
- Στα στοιχεία που στέλνετε στο MPI με σκοπό το 3DS authentication.
- Στο Authorization.
Επικοινωνήστε με την τεχνική ομάδα που σας υποστηρίζει.
Τι αλλαγές απαιτεί το MPI v4;
To MPI version 4 επιβάλλει τη χρήση του Signature, αντί του Digest.
Για περισσότερες πληροφορίες ανατρέξτε στο εγχειρίδιο της Cardlink τις οδηγίες για την αναβάθμιση του MPI σε version 4 (στα Αγγλικά).
Τι αλλαγές πρέπει να γίνουν στο Authorization;
Στα πεδία Program Protocol και Directory Server Transaction ID πρέπει να κάνετε τις απαιτούμενες προσθήκες στο XML API κανάλι.
Δείτε στο εγχειρίδιο της Cardlink τις οδηγίες για την αναβάθμιση του Authorization (στα Αγγλικά).
Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο ecommerce_support@cardlink.gr.
Τι είναι το Signature και πώς υπολογίζεται;
Είναι ένα επιπλέον εργαλείο διασφάλισης των συναλλαγών. Ο υπολογισμός του γίνεται ως εξής:
Signature=base64(RSA with SHA2-256 (utf8bytes(value1;value2;...;value n;) ) ).
Τι ενέργειες πρέπει να κάνω για να προχωρήσω σε δοκιμαστικές συναλλαγές με το νέο version του MPI;
- Εκδώστε self-signed πιστοποιητικό (RSA Keypair SHA2-256) που απαρτίζεται από private και public πιστοποιητικά. H παραγωγή του self-signed πιστοποιητικού γίνεται με χρήση Java key tool ή Open SSL.
- Στείλτε το public πιστοποιητικό για να επικυρωθούν τα μηνύματα στο: ecommerce_support@cardlink.gr.
Για περισσότερες πληροφορίες ανατρέξτε στο εγχειρίδιο της Cardlink με οδηγίες για την αναβάθμιση του MPI σε version 4 (στα Αγγλικά).
Πότε εμφανίζεται η σελίδα πιστοποίησης 3D page στον πελάτη;
Κατά τη διαδικασία ταυτοποίησης (authentication) και εφόσον ακολουθείται το challenge flow.
Καλό είναι η σελίδα να εμφανίζεται σε i-Frame ώστε ο πελάτης να απολαμβάνει βέλτιστη εμπειρία χρήσης.