Verkkokauppiaan checklist: Miten toimia, kun vastuu asiakkaan tunnistamisesta muuttuu?

Paljon puhuttu PSD2, eli uusi maksupalveludirektiivi, alkaa loppuvuodesta näkyä Euroopan sisäisessä verkkokaupassa. Jos kauppiaskenttä ei ole tällöin valmis muutokseen, voi verkkokauppa pysähtyä tällä kertaa oikeasti – uutta jatkoaikaa PSD2:lle tuskin tulee.

Jatkossa vastuu asiakkaan tunnistamisesta on yksiselitteisesti kortin liikkeelle laskijalla, joka on yleisimmin pankki. Tunnistusta ei enää voi jättää välistä edes kauppiaan riskillä. Liikkeellelaskijan pitää kyetä tunnistamaan asiakas jokaisen oston yhteydessä, eikä verkkokauppa tai kortinhaltija voi enää vaikuttaa asiaan.

Kauppiaan on nyt erityisen tärkeää olla ajan tasalla verkkokaupan maksukäytännöistä. Tässä jutussa käymme läpi tunnistautumisteknologiaan liittyvät perusasiat sekä tunnistusteknologia 3D Securen versioiden erot. Jutun loppuun kokosimme kauppiaille tarkoitetun tarkistuslistan asioista, joihin tulee lakimuutoksen myötä varautua.

**Päivitys 08/2020**
Qvik tarjoaa apuaan PSD2 auditoinnissa, lue lisää täältä
**Päivitys 08/2020**

Tunnistuksessa käytetään yhä vanhaa teknologiaa

Kortinhaltija tunnistetaan verkko-oston yhteydessä 3D Secure -protokollaksi kutsutulla teknisellä ratkaisulla. Sen standardoinnista vastaa EMVCo, eli kansainvälisten korttijärjestöjen yhteenliittymä.

Protokollan ensiversio 3DS1 julkaistiin vuonna 2001. Vaikka se ei enää täytä kaikkia vaatimuksia, ja huomattavia parannuksia sisältäviä versioita on julkaistu tämän jälkeen tasaiseen tahtiin, ensiversio on edelleen käytössä merkittävässä osassa verkkokauppoja. Syksyllä PSD2:n käytäntöönpanon jälkeen maksaminen tämän version kautta tulee olemaan käyttäjälle kömpelö kokemus.

Tunnistusteknologian ensiversio on hyvin kankea ja tarjoaa kauppiaalle pääsääntöisesti kaksi vaihtoehtoa: kauppias valitsee, tunnistaako maksun yhteydessä kaikki asiakkaat aina vai ei ketään. Vaikka vastuu väärinkäytöstä jää ongelmatilanteissa kauppiaalle, moni verkkokauppa on ollut valmis ottamaan riskin. Kauppiaat haluavat varmistaa, että maksaminen on asiakkaalle mahdollisimman sujuvaa ilman hankalia lisävahvistuksia.

Yleisimmissä tapauksissa verkkokauppias saa vielä siirtymäajan loppuun saakka itse valita, haluaako maksutilanteessa tehdä kortilla maksavalle ostajalle vahvan tunnistuksen vai jättää tekemättä. Tämän jälkeen uusien tunnistustapojen tulee olla palvelussa testattuina ja toiminnassa.

3DS2 tarjoaa on-off -vaihtoehdolle joustavan mallin

PSD2 antaa kortin liikkeellelaskijalle mahdollisuuden toteuttaa asiakkaan tunnistaminen nykyistä joustavammin. Tätä vaihtoehtoa tukee tunnistusteknologian uusi 3D Securen versio 2, josta on jo julkaistu kaksi versiota. Kolmas versio on tuloillaan.

Uuden 3DS2:n versiot pitävät sisällään älyä, logiikkaa ja sääntöjä, joiden johdosta tunnistaminen voidaan hoitaa taustalla kortinhaltijaa häiritsemättä. Kortin liikkeellelaskija päättää tapahtuma kerrallaan, onko tunnistus tarpeellinen.

Uusimmat hyödyt toteutuvat ainoastaan, jos kaikki osapuolet tukevat niitä. Mukaan tarvitaan siis kortin liikkeellelaskijan lisäksi maksupalveluntarjoajat ja kauppiaat.

Mitä eroa 3DS2-versioilla on?

Tunnistusteknologioiden uusimmat versiot tähtäävät kaikki parempaan ja turvallisempaan maksukokemukseen. Jokainen uusi versio tarjoaa hieman ketterämpiä vaihtoehtoja, joiden hyödyt näkyvät suoraan asiakkaille asti.

Versio 3DS2.1 – yleisin ja toistaiseksi toimiva

• Kortin liikkeellelaskija arvioi tapahtuman riskin todennäköisyyttä reaaliaikaisesti. Mitä enemmän kauppias jakaa liikkeellelaskijalle asiakkaaseen liittyvää dataa – kuten sijainti- tai laitetietoja – sitä helpommin matalan riskin tapahtumaa voidaan jatkaa ilman käyttäjän vahvaa tunnistamista.
• Versio 3DS2.1 keskittyy mobiilisovelluksilla tehtäviin ostoihin ja parantaa verkkokauppasovelluksen ja tunnistussovelluksen välistä kommunikaatiota uuden 3D Secure SDK:n eli Software Development Kitin avulla.
• Puhelimeen asennettu (usein pankin tarjoama) tunnistussovellus ja sovellus, jossa ostoksia tehdään, voivat välittää tietoa keskenään. Jos tiedot ovat linjassa, asiakas voidaan ohjata tunnistusta tarjoavaan sovellukseen ohjaamatta asiakasta pankin nettisivujen kautta.
• Versio tukee myös muuta kuin maksamiseen liittyvää tunnistamista, kuten tunnistautumista mobiililompakkoon tai kauppiaan sovellukseen. Tällaisia tunnistusmahdollisuuksia ei vielä kovin laajasti käytetä, mutta mahdollisuutta luultavimmin opitaan lähitulevaisuudessa hyödyntämään paremmin.

Uunituore 3DS2.2 – vasta nopeimmat ottaneet käyttöön

• Asiakas voi vahvan tunnistuksen yhteydessä whitelistata kauppiaan, eli merkitä tämän luotettavaksi. Tällöin tunnistamista ei enää seuraavilla ostokerroilla kyseisestä kaupasta tehdä. Kortin liikkeellelaskija on velvollinen pitämään yllä luotettavaksi merkittyjä kauppiaita. Liikkeellelaskijan pitää tarjota asiakkaalle myös käyttöliittymä, jossa asiakas voi muokata listaa. Tällaisia palveluita ei olla vielä juurikaan nähty, mutta nyt teknologia mahdollistaa nämä ja toivottavasti tällaisia nähdään pian.
• Tukee kauppiaan käynnistämiä, niin kutsuttuja MIT-tapahtumia (Merchant Initiated Transaction / 3RI) ja tapahtumat menevät läpi ilman tarvetta asiakkaan vahvalle tunnistamiselle. MIT-poikkeuksen ansiosta asiakkaan vahva tunnistaminen ei ole tarpeellista, kun korttia käytetään esimerkiksi Whimin tai Woltin kaltaisissa palveluissa.
• Tunnistaminen ja ostotapahtuma voivat tapahtua eri aikaan Decoupled Authenticationin avulla. Asiakkaalle voidaan antaa jopa viikko aikaa tunnistautua ja hyväksyä osto.
• Kauppias voi toimialasta ja tarjoamastaan palvelusta riippuviin sääntöihin perustuen merkitä tapahtumat MIT-poikkeuksen kuuluviksi.
• Kauppias voi tunnistaa asiakkaan vahvasti jo kaupan päässä, mutta jää nähtäväksi, onko tämän teknisen option hyödyntäminen PSD2-alueella sallittua.

Versio 3DS2.3 – yhä kehitteillä, mutta julkaisua odotetaan tälle vuodelle

• Entistäkin sujuvampi 3D Secure SDK:n ja tunnistussovelluksen välinen toiminta, kuten automaattinen ohjaus (app-switch) tunnistussovelluksen ja ostosovelluksen välillä.
• Tuki pelikonsoleilla ja ääniohjatuilla älykaiuttimilla tehtäviin ostoihin.
• Parannuksia tunnistustapahtumien whitelist-ominaisuuksiin.

Kauppiaan checklist – näin valmistaudut muutokseen

Uudistusta ei voi toteuttaa kiireellä, tai ei ainakaan hyvin. Valmistelujen pitäisi olla jo hyvässä vauhdissa. Jokainen kohta tarkistuslistalla on työläs toteuttaa, mutta sujuvan kaupan kannalta äärimmäisen tärkeää hoitaa hyvin.

• Varmista omalta maksupalveluntarjoajaltasi (payment service provider, PSP), että version 3DS2.2 mukaiset päivitykset ovat joko valmiina tai tekeillä hyvissä ajoin vuodelle 2020.
• Suunnittele maksutapahtuma asiakkaan näkökulmasta mahdollisimman ketteräksi ja selkeäksi. Jokainen ylimääräinen klikkaus ja tiedonsyöttö potentiaalisesti karkoittaa asiakkaita.
• Selvitä pystytkö hyödyntämään MIT-poikkeusta tai muita sääntöviidakon takaportteja omalla toimialallasi.
• Jos tarjoat ostoja mobiilisovelluksessasi
  • Integroi sovellukseesi viimeisin 3DS SDK esimerkiksi yhteistyössä PSP:si kanssa.
  • Lisää maksutavoiksi myös ApplePay ja GooglePay – näissä tunnistaminen tapahtuu jo laitteen walletissa.
  • Kauppaan voi integroida korttimaksamisen lisäksi esimerkiksi Klarnan tyyppisiä laskutuspalveluita.
  • Korttimaksuja koskevat tunnistusvelvoitteet eivät koske niitä.

Kaikkea ei tarvitse tehdä yksin. Jos uudistuksen toteuttaminen tuntuu sekavalta, Qvikin maksuasiantuntijat voivat auttaa säännösten tulkinnassa, uudistuksen suunnittelussa sekä toteutuksessa. Ota yhteyttä, niin sovitaan tapaaminen!