Συχνές ερωτήσεις για το νέο πρωτόκολλο ασφαλείας EMV 3DS

Είναι η αναβαθμισμένη έκδοση του πρωτοκόλλου 3D Secure. Εφαρμόζει την οδηγία 2015/2366 της ΕΕ στην εθνική νομοθεσία για τις υπηρεσίες πληρωμών στην εσωτερική αγορά (PSD2).

Η οδηγία αυτή μαζί με τον κανονισμό 389/2018 της Ευρωπαϊκής Επιτροπής που θέτει τα τεχνικά πρότυπα για την αυστηρή εξακρίβωση της ταυτότητας του πελάτη ενσωματώθηκαν στην εθνική νομοθεσία με τον Ν.4537/2019.

Με την εφαρμογή της οδηγίας και του κανονισμού λαμβάνονται αυστηρότερα μέτρα για την εξακρίβωση της ταυτότητας του πελάτη (strong customer authentication) στις online συναλλαγές και τις αγορές του σε e-shop.

Δείτε σε ποιες κατηγορίες συναλλαγών ισχύουν οι νέες απαιτήσεις ασφαλείας από 14.09.2019, σύμφωνα με το Δελτίο Τύπου της Ελληνικής Ένωσης Τραπεζών.

Με την ενσωμάτωση του πρωτοκόλλου EMV 3DS στην ηλεκτρονική πλατφόρμα της επιχείρησής σας αποκτάτε σημαντικά πλεονεκτήματα:

1. Η ευθύνη των συναλλαγών μεταφέρεται στις τράπεζες (Liability Shift) όταν υπάρχει αμφισβήτηση συναλλαγής λόγω απάτης.
2. Οι πελάτες σας προστατεύονται καλύτερα από συναλλαγές απάτης. Αυτό συμβαίνει διότι οι εκδότριες τράπεζες, δηλαδή οι τράπεζες που έχουν εκδώσει τις κάρτες των πελατών, ταυτοποιούν τους πελάτες με μεγαλύτερη ακρίβεια, λαμβάνοντας υπόψη τα στοιχεία που τους στέλνετε.
3. Οι πελάτες σας απολαμβάνουν βελτιωμένη εμπειρία χρήσης διότι για να ολοκληρώσουν τις συναλλαγές τους μεταφέρονται στο περιβάλλον της δικής τους τράπεζας, που τους είναι οικείο.
4. Οι πελάτες σας νιώθουν μεγαλύτερη ασφάλεια στο e-shop σας ή άλλες πλατφόρμες που χρησιμοποιείτε.
5. Μειώνεται το φαινόμενο εγκατάλειψης καλαθιού.

Το EMV 3DS υποστηρίζει την αποστολή σημαντικών δεδομένων στην τράπεζα του πελάτη, όπως τη διεύθυνσή του (billing address), πληροφορίες της συσκευής που χρησιμοποιεί (Device ID), το ιστορικό του πελάτη και του εμπόρου και πολλά άλλα.

Η τράπεζα του πελάτη σας αξιολογεί το επίπεδο κινδύνου της συναλλαγής και δρα αναλόγως. Εάν η συναλλαγή εκτιμηθεί ως:

• Χαμηλού ρίσκου, η τράπεζα προχωράει άμεσα προς έγκριση (authorization) χωρίς να χρειάζεται καμία επιπλέον ενέργεια από τον πελάτη (frictionless flow).
• Υψηλού ρίσκου, η τράπεζα για να εγκρίνει την πληρωμή μπορεί να ζητήσει επιπλέον ενέργειες από τον πελάτη για την ταυτοποίησή του με τη διαδικασία του Strong Customer Authentication (challenge flow).

Η ισχυρή ταυτοποίηση πελάτη (Strong Customer Authentication – SCA) είναι μέρος ευρωπαϊκής πρωτοβουλίας για μείωση της απάτης (fraud) στις ηλεκτρονικές συναλλαγές.

Με την εφαρμογή του SCA επιτυγχάνεται ένα ασφαλές επίπεδο ταυτοποίησης των πελατών τη στιγμή που εκτελούν μια πληρωμή. Είναι υποχρεωμένοι πλέον να ταυτοποιούνται με τη χρήση 2 ή περισσότερων στοιχείων που:

1. Μόνο οι ίδιοι ξέρουν – π.χ. κωδικό σύνδεσης για το Eurobank Mobile App ή Κωδικό μιας Χρήσης (OTP) που λαμβάνουν στο κινητό τους.
2. Μόνο οι ίδιοι έχουν – π.χ. κινητό που πρέπει να έχει μαζί του ο πελάτης.
3. Είναι μοναδικό τους φυσικό χαρακτηριστικό – π.χ. δακτυλικά αποτυπώματα ή χαρακτηριστικά προσώπου.

Ναι, η υποστήριξη του EMV 3DS είναι υποχρεωτική. Σε διαφορετική περίπτωση διατρέχετε τον κίνδυνο να απορρίπτονται οι συναλλαγές σας.

Ναι. Πρέπει να υποστηρίζετε και το EMV 3DS και το 3D Secure για να μην υπάρχει κίνδυνος να απορριφθεί συναλλαγή κάποιου πελάτη σας, εάν η κάρτα του υποστηρίζει μόνο 3D Secure και όχι EMV 3DS.

Διατρέχετε τον κίνδυνο οι συναλλαγές των πελατών σας να απορρίπτονται κατά την ολοκλήρωσή τους.

Ενεργοποιείται αυτόματα το 3D Secure (3DS v1 fallback) και ακολουθείται η γνωστή διαδικασία.

Χρησιμοποιείτε τα ίδια στοιχεία σύνδεσης (Username και Password) που είχατε λάβει αρχικά για να κάνετε δοκιμαστικές συναλλαγές. Συνεχίζουν να είναι ενεργά.
Εάν θέλετε να σας τα προωθήσουμε ξανά, στείλτε email: ecommerce_support@cardlink.gr

Μπορείτε να χρησιμοποιείτε κάρτες Visa ή Mastercard. Συγκεκριμένα:

Scheme	Card PAN	Responsed status
Visa	4012000000012003001	Challenge Y password
Visa	4012000000012011046	Challenge Flow auto U
Visa	4012000000012011004	Frictionless Y
Visa	4012000000012011012	Frictionless N
Visa	4012000000012011020	Frictionless U
Visa	4012000000012011038	Frictionless R
Mastercard	5900070000000003	frictionless Y
Mastercard	5900070000000029	frictionless N

Πρέπει να στέλνετε ορισμένες μεταβλητές που αναφέρονται ως προαιρετικές στις αρχικές τεχνικές προδιαγραφές που είχατε λάβει όταν συνδεθήκατε με την πλατφόρμα.

Για να βεβαιωθείτε ότι η αποστολή τους γίνεται σωστά, κάντε κάποιες δοκιμαστικές συναλλαγές με μία κάρτα δοκιμών. Στείλτε τουλάχιστον μία επιτυχημένη συναλλαγή (Capture).

Μπορείτε να προχωρήσετε στην εφαρμογή των αλλαγών στο παραγωγικό περιβάλλον και να δέχεστε συναλλαγές με βάση το νέο πρωτόκολλο EMV 3DS.

Στο διαχειριστικό εργαλείο Back Office Tool:

1. Επιλέξτε View and Manage VPOS Transactions.
2. Επιλέξτε τα κριτήρια για να δείτε τις τελευταίες συναλλαγές που έχουν εκτελεστεί.
3. Διαλέξτε μία συναλλαγή και κάντε κλικ στο αντίστοιχο link για να ανοίξει το παράθυρο VPOS Transaction details και να δείτε τις αναλυτικές πληροφορίες της.
4. Ελέγξτε εάν υπάρχουν τιμές στο πεδίο Billing address.

Εάν υπάρχουν τιμές στα πεδία αυτά, δεν χρειάζεται να κάνετε καμία άλλη ενέργεια. Η Cardlink θα κάνει ό,τι χρειάζεται για τη μεταφορά σας στο νέο πρωτόκολλο.

Εάν δεν υπάρχουν τιμές στα πεδία αυτά, ενημερώνετε τον τεχνικό σας για να κάνει τις σχετικές αλλαγές στο σύστημά σας για να λαμβάνει τις πληροφορίες αυτές κατά τη διαδικασία του check-out και να τις στέλνει στο Cardlink e-commerce.

Για να βεβαιωθείτε ότι τα στοιχεία αποστέλλονται κανονικά, κάντε μερικές συναλλαγές στο διαχειριστικό περιβάλλον δοκιμών.

Εάν έχετε σύνδεση Redirect, όταν ο πελάτης σας επιλέγει να πληρώσει με κάρτα στο e-shop της επιχείρησής σας, μεταφέρεται στη σελίδα πληρωμής της τράπεζας (Cardlink platform). Η συναλλαγή διεκπεραιώνεται από την τράπεζα, χωρίς να έχετε πρόσβαση στα στοιχεία της κάρτας του πελάτη.

Για να βεβαιωθείτε ότι έχετε σύνδεση Redirect, επικοινωνήστε με τον τεχνικό σας ή στείλτε email: ecommerce_support@cardlink.gr.

Δείτε στο εγχειρίδιο της Cardlink τις βασικές προδιαγραφές για τη σύνδεση Redirect (στα Αγγλικά).

Μπορείτε να αναγνωρίσετε την έκδοση (version) που χρησιμοποιείτε από το μήνυμα (request) που κοινοποιείτε (post) προς την πλατφόρμα. Είναι το πρώτο πεδίο του http request.

Για περισσότερες πληροφορίες επικοινωνήστε με τον τεχνικό που σας υποστηρίζει.

Καλό είναι να συλλέγετε και να στέλνετε στις εκδότριες τράπεζες επιπλέον στοιχεία των συναλλαγών σας. Με αυτόν τον τρόπο:

• Αυξάνετε τις πιθανότητες οι συναλλαγές να προχωρούν άμεσα προς έγκριση (authorization) χωρίς να χρειάζεται καμία επιπλέον ενέργεια από τον πελάτη σας (frictionless flow).
• Μειώνετε το ποσοστό εγκατάλειψης καλαθιού.
• Προσφέρετε στους πελάτες σας τη βέλτιστη εμπειρία χρήσης.

Δείτε όλα τα πλεονεκτήματα από την εφαρμογή του EMV 3DS.

Καλό είναι να συλλέγετε και να στέλνετε τα στοιχεία που αφορούν τη διεύθυνση χρέωσης των πελατών σας.

Συγκεκριμένα, με το αίτημα συναλλαγής προς την ηλεκτρονική πλατφόρμα της επιχείρησής σας καλό είναι να στέλνετε τις μεταβλητές:

• billCountry
• billState
• billZip
• billCity
• billAddress

Επικοινωνήστε με τον τεχνικό σας για να βεβαιωθείτε ότι έχει ενημερωθεί τις αλλαγές που πρέπει να γίνουν.

Ναι. Ζητήστε από τον τεχνικό που σας υποστηρίζει να ενσωματώσει τον κώδικα που βρίσκεται στο εγχειρίδιο της Cardlink για το 3DS Iframe (στα Αγγλικά).
Επιπλέον, μπορείτε να δείτε σε εγχειρίδιο της Cardlink τις βασικές προδιαγραφές για τη σύνδεση Redirect (στα Αγγλικά).

Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας.

Επιβεβαιώστε με τον πάροχο του plugin που χρησιμοποιείτε ότι είναι συμβατό με τις προδιαγραφές του EMV 3DS.

Εάν έχετε σύνδεση Direct, όταν ο πελάτης πραγματοποιεί τις αγορές του στο e-shop της επιχείρησής σας, ολοκληρώνει την πληρωμή χωρίς να ανακατευθύνεται στην τράπεζα. Η επιχείρηση σας και τα συστήματά της θα πρέπει να είναι πιστοποιημένα κατά τα πρότυπα του PCI DSS.

Τα στοιχεία της κάρτας γίνονται capture από την επιχείρησή σας και στη συνέχεια στέλνετε τη συναλλαγή μέσω ασφαλούς διασύνδεσης στην τράπεζά σας (μέσω xml request) και ενημερώνεστε άμεσα για το αποτέλεσμα.

Για να βεβαιωθείτε ότι έχετε σύνδεση Direct, επικοινωνήστε με τον τεχνικό σας ή στείλτε email: ecommerce_support@cardlink.gr

Στο αίτημα που στέλνετε προς το MPI με σκοπό το 3DS authentication, πρέπει να στέλνετε τις απαραίτητες μεταβλητές που αναφέρονται στο τεχνικό εγχειρίδιο ως υποχρεωτικές.

Για να υποστηρίζετε το EMV 3DS πρέπει να αναβαθμίσετε τo MPI που χρησιμοποιείτε σε version 4, εάν αυτό δεν έχει ήδη γίνει.

Πρέπει να γίνουν αλλαγές:

• Στα στοιχεία που στέλνετε στο MPI με σκοπό το 3DS authentication.
• Στο Authorization.

Επικοινωνήστε με την τεχνική ομάδα που σας υποστηρίζει.

To MPI version 4 επιβάλλει τη χρήση του Signature, αντί του Digest.

Για περισσότερες πληροφορίες ανατρέξτε στο εγχειρίδιο της Cardlink τις οδηγίες για την αναβάθμιση του MPI σε version 4 (στα Αγγλικά).

Στα πεδία Program Protocol και Directory Server Transaction ID πρέπει να κάνετε τις απαιτούμενες προσθήκες στο XML API κανάλι.

Δείτε στο εγχειρίδιο της Cardlink τις οδηγίες για την αναβάθμιση του Authorization (στα Αγγλικά).

Για περισσότερες πληροφορίες επικοινωνήστε μαζί μας στο ecommerce_support@cardlink.gr.

Είναι ένα επιπλέον εργαλείο διασφάλισης των συναλλαγών. Ο υπολογισμός του γίνεται ως εξής:

Signature=base64(RSA with SHA2-256 (utf8bytes(value1;value2;...;value n;) ) ).

1. Εκδώστε self-signed πιστοποιητικό (RSA Keypair SHA2-256) που απαρτίζεται από private και public πιστοποιητικά. H παραγωγή του self-signed πιστοποιητικού γίνεται με χρήση Java key tool ή Open SSL.
2. Στείλτε το public πιστοποιητικό για να επικυρωθούν τα μηνύματα στο: ecommerce_support@cardlink.gr.

Για περισσότερες πληροφορίες ανατρέξτε στο εγχειρίδιο της Cardlink με οδηγίες για την αναβάθμιση του MPI σε version 4 (στα Αγγλικά).

Κατά τη διαδικασία ταυτοποίησης (authentication) και εφόσον ακολουθείται το challenge flow.

Καλό είναι η σελίδα να εμφανίζεται σε i-Frame ώστε ο πελάτης να απολαμβάνει βέλτιστη εμπειρία χρήσης.

Στείλτε μας email στο ecommerce_support@cardlink.gr με θέμα 3D Secure 2 για να σας ενημερώσουμε για τα επόμενα βήματα.