Guide 2 Din guide till PSD2

Relevanta dokument
Efterlevnadsförberedelse

Kreditkortshantering online med Mamut Pro. WorldPay

KOM IGÅNG-GUIDE. för att ta betalt på nätet. Vi gör det enkelt att ta betalt

Frågor & Svar om betalningsstatistik

FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT DISTANSHANDEL (Card Not Present) (Juli 2010)

Card Payment Sweden Stortorget 13 B SE Malmö Sweden

VERISECS PLATTFORM FÖR DIGITAL TILLIT

Kortbetalning i Rebus via Paynova

Siirto för företagskunder Beskrivning av tjänsten Siirto-gränssnitt

Kortinlösen och Betalningslösning Netaxept Advanced

Noteringar Contactless Forum 22 maj

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

TellerAvtal Internet

Kortbetalning i Rebus via Paynova

Handelsbankens allmänna kortvillkor

Välkommen till American Express

V I L L K O R. S E P A D I R E C T D E B I T C O R E, f ö r B e t a l a r e ( n e d a n k a l l a t S D D C o r e ) Sida 1 av 5

V I L L KOR. Sida 1 av 5

HUR BETALAR NI? HUR SKULLE NI VILJA BETALA?

Mer kort mindre kontanter

Ansökningsformulär Norden

FÖRETAGSKONTO PERSONKONTO MED BETALKORT

Bambora livnär företagsamheten i 62 länder kunder kan redan erbjuda sina kunder vår smidiga betalningsupplevelse.

TellerAvtal Fysisk handel

Noteringar från möte i Contactless Forum:

Framtidens Betalningar Utvecklingen i Sverige och Europa. Leif Trogen Svenska Bankföreningen 5 oktober 2011

Denna informationstext förklarar hur Bad & Fritid AB hanterar dina personuppgifter och vilka rättigheter du har. Informationen vänder sig till dig som

Behandling av personuppgifter på Ecster

1 Introduktion Kurt hälsade alla välkomna och tackade P-O Göransson för att vi får vara i Nordeas lokaler.

1 Bakgrund till ställningstagandet/promemorian. 1.2 Frågor om tillämpning av PSD2 och autentiseringslagen. 1.1 Betaltjänstdirektivet (PSD2)

Hjälp till att undvika tvister och chargebacks.

om krav för rapportering av statistiska uppgifter om svikliga förfaranden enligt artikel 96.6 i det andra betaltjänstdirektivet

RAPPORTERINGSANVISNINGAR FÖR RAPPORTERING AV BETALNINGSSTATISTIK (MATI)

Regeringsuppdrag till FI: bankernas serviceavgifter

KORTBETALNINGSLÖSNINGAR FRÅN AFFÄRSIT FÖR EASYCASHIER, ISUPOS OCH FRISTÅENDE TERMINAL

Nytt ramavtal för kort- och resekontotjänster. Björn Wallgren Jan Maarten Dijkgraaf

Kortet som ger mer pengar inte mindre.

Så här hanterar du dina betalningar online AMERICANEXPRESS.SE/AFFARSPARTNERS

payex Så skapar du ett PayEx-konto IT-avdelningen

Granskning av kort med kontaktlös betalfunktion

1.2 Förhållandet mellan dig och Ferratum Bank p.l.c. regleras och är beroende av:

Installationsmanual Billmate Modul Magento

Välkommen till American Express

Välkommen in. Här är det öppet jämt.

IT Café #6. Resa/Betala Gröna Gång 17

Lokala betalningstyper övriga länder

Kortinlösen och betalningslösning Netaxept Start

TellerAvtal Fysisk handel

GDPR. Hur ComFuture hanterar dina personuppgifter

Så här använder du. etjänsten. etjänsten är en elektronisk kanal för ärenden i anslutning till din kortkredit

Lösning av tvister, krav och chargebacks. Ibland kan något gå fel med en beställning. I så fall hjälper vi dig.

PAYEX. Så skapar du ett PayEx-konto. IT-avdelningen

TellerAvtal Användarhandbok

Självtest för kassaintegratörer

gemensamma Innehåll: Direktdebitering SEPAs effekter för företag ALLMÄNT betalningarnas snabbhet är i framtiden är till fördel för Betalkort

Jag försäkrar att de uppgifter jag lämnat är riktiga. Jag har tagit del av villkoren i detta Kontoavtal , vilka jag förbinder mig att följa.

AMERICAN EXPRESS AFFÄRSPARTNERS. Välkommen till American Express HÄR HITTAR DU ALLT DU BEHÖVER FÖR ATT BÖRJA TA EMOT AMERICAN EXPRESS -KORT.

FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT FÖRSÄLJNING I BUTIK (Card Present) (Juli 2010)

FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT DISTANSHANDEL (Card Not Present) (Juli 2010)

Kortinlösen och Betalningslösning Netaxept Advanced

European Consumer Payment Report Sverige

1. Kortet 2. Definitioner Bankomat Bankdag Kort SDD FDD Kortleverantör Avgifter

RIKTLINJER FÖR ANSVARSFÖRSÄKRING ENLIGT PSD 2 EBA/GL/2017/08 12/09/2017. Riktlinjer

Installationsguide Junos Pulse för MAC OS X

1. Allmänt om försäljning mot betalning med Kontokort vid Distanshandel

CONSUMER PAYMENT REPORT 2015

Vill du veta mer? Kontakta närmaste Sparbanks- eller Swedbankkontor. Du kan även besöka oss på

Installationsanvisning och snabbguide för Vx510, fleranvändare!

FÖRESKRIFTER FÖR KONTANTUTTAG ÖVER DISK MED KONTOKORT KONTANTUTTAG ÖVER DISK (Maj 2015)

Kort Fysiskt bankkort, betal- och kreditkort med varumärket Mastercard eller VISA. 1. Allmänt

För att säkerställa din och våra medarbetares fysiska säkerhet och för att motverka brott kan vi använda övervakningskameror på våra bankkontor.

PCI DSS 3.0! PCI Vad? För vem? Hur uppnå? Om man inte efterlever?!!! Mathias Elväng, QSA! David Borin, QSA!!


Regler för användande av betalkort och drivmedelskort i Botkyrka kommun

Förslag till RÅDETS GENOMFÖRANDEBESLUT

Amnesty International, svenska sektionens Integritetspolicy

EUROPAPARLAMENTET. Utskottet för ekonomi och valutafrågor

Högsta förvaltningsdomstolen meddelade den 2 februari 2016 följande dom (mål nr ).

Manual för laddning av gäst- eller kårkort inom Chalmers Konferens & Restaurangers verksamhet

Kortbetalningars konsekvenser för handeln

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den XXX

Ett smart biljettsystem för en smart framtid PLATTFORMEN

Prislista för våra vanligaste tjänster företag och föreningar

Begäran om utbetalning eller återköp

1. Allmänt. Kort Fysiskt bankkort, betal- och kreditkort med varumärket MasterCard eller VISA.

Integration av betalningslösningar i Travelize

FÖRESKRIFTER FÖR FÖRSÄLJNING MOT BETALNING MED KONTOKORT OBEMANNAD TERMINAL (Mars 2013)

TellerAvtal Fysisk Handel

c. Ett par gånger per månad b. Ett par gånger per år

ALLMÄNNA VILLKOR BANKKORT VISA OCH BANKKORT VISA ONLINE

Smarter way to pay. Betala mindre. Tjäna mer.

Spire SPm20 Användarmanual

KortAccept. Raka vägen till företagets konto. ger en snabb och säker korthantering. fungerar för alla ledande kort på marknaden

Förfrågan utlandsbetalningar

INSTALLATIONSANVISNING FÖR. Yomani fristående

KOMMISSIONENS DELEGERADE FÖRORDNING (EU) / av den

Kurt välkomnar Jeanette Sandberg från Nordea och Torbjörn Eriksson från Coop MedMera som deltar i dagens möte.

Köp & leveransvillkor utanför EU

NYHET - SÄKERHET - TRYGGHET

Kortbetalningar i Sverige

Transkript:

Guide 2 Din guide till PSD2 Ökad säkerhet för kortinnehavare med Strong Customer Authentication (SCA)

Bakgrund Europeiska Kommissionen introducerade betaltjänstdirektivet Payment Service Directive 2 (PSD2) för att göra betalningar säkrare, stärka konsumentskyddet samt främja innovation och konkurrens. PSD2 är implementerat i lagstiftningen i de flesta av EU:s medlemsländer. Storbritannien har förbundit sig att införa samtliga bestämmelser oavsett utfall av Brexit. Vi vill hålla våra kunder informerade om hur dessa nya bestämmelser kommer att påverka deras verksamhet. Vad är det som ändras? En av de viktigare effekterna av PSD2 berör ecommerce-transaktioner och behovet av att implementera Strong Customer Authentication (SCA). SCA-bestämmelserna i PSD2 är obligatoriska, och gäller i Europa från och med 14 september 2019. Vad är Strong Customer Authentication (SCA)? SCA betyder stark kundautentisering och hänvisar till införandet av kraven på ökad säkerhet vid autentisering (hur kunden verifierar att den är den person den säger att den är) vid korttransaktioner online som överstiger 30 euro. Det betyder att dina kunder inte länge kommer att kunna checka ut online endast genom att använda sina kortuppgifter för kredit- eller betalkort. 1 2 Något din kund vet T.ex en PIN-kod eller ett lösenord. Ett dynamiskt engångslösenord är att föredra hellre än ett statiskt lösenord, som t.ex ett sms som skickas från kortutfärdaren till kortinnehavaren. Något din kund har T.ex ett kort eller en smarttelefon. Your PIN is: 2519 Även om en transaktion understiger 30 euro kan SCA fortfarande komma att tillämpas (se Undantag Låga Belopp nedan). Kunden kommer att behöva ytterligare någon form av autentisering. Detta kallas för Two Factor Authentication (2FA). Autentiseringfaktorerna avser helt enkelt olika sätt som kortutgivaree kan försäkra sig om att kortinnehavaren verkligen är den korrekta kortinnehavaren, innan transaktionen godkänns. Two Factor Authentication innebär att kortutgivare behöver kunna identifiera kortinnehavaren utifrån två oberoende valideringskategorier av tre möjliga. De tre kategorierna är: 3 Något din kund är T.ex fingeravtryck eller ansiktsigenkänning. Detta är endast tillämpbart på transaktioner inom EEA (European Economic Area), där både den betalandes bank och betalningsmottagarens bank finns i regionen. Det betyder att om din kund är från Japan och har ett kort utfärdat av en japansk bank, så kommer inte transaktionen att omfattas av den obligatoriska SCA. Detta kallas då för en One Leg Out-transaktion. Din guide till PSD2 01

Vad innebär SCA för mitt företag? Kortföretagen (t.ex Visa och MasterCard) har svarat på de nya tillsynsreglerna genom ett nytt system för autentisering, 3D Secure (3DS) V2, som uppfyller samtliga krav från SCA. Hur kan Elavon hjälpa dig att uppfylla reglerna för SCA? Elavon gör det möjligt för dig att följa reglerna för SCA genom att acceptera 3D Secure (3DS) V2. Teoretiskt sett så kan de nya reglerna innebära att varje online-transaktion kommer kräva SCA för att kunna genomföras, till skillnad från idag då du kan välja SCA eller inte. En del företag har uttryckt oro för att de förhöjda säkerhetskraven för autentisering av kortinnehavare genom 3D Secure, kan komma att medföra problem vid check out-tillfället. Det innebär risk för att kunder inte fullföljer sina köp, och därmed ett ökat antal avbrutna köp. De goda nyheterna är att det finns några tillåtna undantag från SCA, och Elavon kommer att arbeta tillsammans med dig för att diskutera vilka undantagskategorier som ditt företag kan använda sig av. Elavon har redan anpassat vår plattform för nya 3D Secure V2 för både Visa och MasterCard. Anpassning till American Express 3D Secure V2 Full service är klar, och Partial Service kompletteras i juli. Din guide till PSD2 02

Vad är undantagen i SCA? Det finns fyra huvudkategorier för undantag som kan tillämpas av Elavon och/eller kortutgivare. Dessa är: 1 Undantag för Låga Belopp Korttransaktioner under 30 euro, eller under 50 euro för contactless, anses vara låga belopp och undantas vanligtvis från autentisering. Om din kund däremot skulle genomföra fler än fem på varandra följande betalningar under gränsen för lågt belopp hos något företag, eller om den totala köpesumman överstiger 100 euro, eller 150 euro för contactless, så krävs SCA. Det betyder att om den transaktion som görs på just ditt företag innebär att kortinnehavaren hamnar över det tillåtna maxbeloppet, så kommer kortutgivaren att hantera just den transaktionen med SCA. Du bör därför försäkra dig om att du har implementerat 3D Secure V2 för ecommerce-transaktioner i händelse av att kortutgivareen begär detta även för transaktioner med låga belopp, annars kanske transaktionen inte accepteras. För contactless krävs att du använder autentisering genom Chip & PIN på terminalen. 2 Undantag för Återkommande Betalningar Återkommande betalningar med samma belopp till samma mottagare, exempelvis prenumerationer, är undantagna från reglerna. Dock kommer det fortfarande krävas autentisering vid det första köptillfället av en återkommande betalning, men alla efterföljande transaktioner kommer vara undantagna. Vanliga kortbetalningar där beloppet kan variera från månad till månad, exempelvis på en mobiltelefonräkning, klassas som Merchant Initiated Transactions. Dessa transaktioner ligger också utanför ramen för SCA så länge som den första transaktionen autentiserades av kortinnehavaren, och så länge det betalningsmottagande företaget har ett avtal med kortinnehavaren om att det kan debitera rörliga belopp. 3 Undantag för Transaction Risk Analysis (TRA) Elavon kan, å dina vägnar, använda TRA för att undanta transaktioner från att omfattas av SCA. Det innebär att Elavon analyserar transaktionen för att avgöra sannolikheten i att det verkligen är den rätta kortinnehavaren som genomför en transaktion, och därmed undantar den från 3D Secure. Kortutgivare har dock alltid sista avgörandet, så om till exempel Elavon använder TRAundantaget å dina vägnar, så har det kortutgivare fortfarande rätten att begära SCA (det kallas för Step-Up). Reglerna gällande TRA-undantag är komplexa, och Elavon kan endast kontrollera hur transaktionen hanteras fram till den punkt då den skickas till kortutgivare. Det finns tre tröskelvärden för undantag. De är 100 euro, 250 euro samt 500 euro. Vi kommer att kunna lämna ytterligare information om TRA under de kommande månaderna. Det finns ytterligare en kategori för undantag som kan användas av de kortutgivare endast: 4 Undantag för Trusted Payee (eller whitelisting) Kortinnehavaren ges möjlighet att vitlista företag de litar på hos sin kortutgivaree. Det innebär att kortinnehavaren kan välja att göra ett företag till en trusted payee, alltså en betrodd betalningsmottagare, och därmed blir dessa vitlistade transaktioner sannolikt undantagna från framtida SCA. Om kortinnehavarens val accepteras är dock helt upp till kortutgivare. Kortutgivare kan avslå den initiala förfrågan, eller efterföljande förfrågningar, om de anser att det finns anledning till det. Vidare så är det ännu inte klart om kortutgivare kommer att vara redo att hantera funktionen med vitlistning per den 14 september 2019. Elavon följer noga utvecklingen vad gäller undantaget för Trusted Payee, och kommer hålla dig informerad om det senaste avseende denna kategori i takt med att den utvecklas. Vänligen notera att ett företag (eller dess kortinlösare) inte kan välja att vitlista sig själva, det kan endast ske mellan kortinnehavare och kortutfärdare. Det kan dock vara möjligt för företag som har en löpande kontakt med kunder, exempelvis genom lojalitetsprogram eller genom en möjlighet för kunden att lämna sitt kort för debitering av köp, att uppmuntra sina kunder att vitlista dem för att undantas från framtida SCA. Din guide till PSD2 03

Är några transaktioner utanför ramen för SCA? För tillfället ligger inte Merchant Initiated Transactions (MIT) eller MOTO (betalningar via postorder eller telefonorder) inom ramen för SCA. Det gör inte heller One Leg Out-transaktioner. Vad gäller One Leg Out så kan du välja att inte använda SCA, det beror på flexibiliteten hos din Gateway. Om SCA används så kommer transaktionen hanteras i enlighet med kortutgivares förmåga. MOTO-transaktioner ligger inte inom ramen för SCA. Det finns dock en ökande trend av bedrägerier och chargebacks vad gäller MOTO-transaktioner, och vi rekommenderar starkt att försöka hitta sätt att hantera transaktioner via ecommerce, kanske genom en Pay by Link-liknande funktion. För att undersöka vilka möjligheter du har att få MOTO-transaktioner inom ramen för SCA, och därmed också lägga till en extra säkerhetsaspekt för ditt företag, prata med din Gateway-kontakt. Merchant Initiated Transaktions (MIT) En MIT initieras av ett företag för till exempel: En enstaka transaktion, t.ex en avbeställningsavgift. En serie transaktioner eller ett fast belopp, t.ex en månatlig medlemsprenumeration. En serie transaktioner med varierande belopp eller varierande intervaller, t.ex oregelbundna avbetalningar för en semesterresa, eller en regelbunden räkning med varierande belopp från ett el-abonnemang eller liknande Dessa transaktioner måste regleras genom ett avtal mellan kortinnehavare och betalningsmottagare som, efter överenskommelse, tillåter betalningsmottagaren att initiera fortsatta betalningar utan att direkt involvera kortinnehavaren. Om den ursprungliga betalningsöverenskommelsen initieras elektroniskt (t.ex via dator eller mobiltelefon) så rekommenderas SCA om det föreligger risk för bedrägeri, men bör inte behövas för fortsatt regelbundna betalningar initierade av betalningsmottagaren. Visa och Mastercard uppdaterar sina regelverk med hänsyn till detta. Så snart vi får ytterligare information från kortföretagen, så kommer vi att dela den med dig. Vem är ansvarig om undantag görs för transaktion som visar sig vara bedräglig? Om Elavon processar en transaktion utan SCA, så skulle ditt företag bli ansvarigt om transaktionen visade sig vara bedräglig. Om det kortutgivare undantar en transaktion å en kortinnehavares vägnar (exempelvis för en Trusted Payee), så är det kortutfärdarande företaget ansvarigt för om transaktionen visar sig vara bedräglig. Vi räknar med att få ytterligare information inom kort avseende Trusted Payee. Din guide till PSD2 04

Hur får jag reda på mer om SCA? Elavon kommer regelbundet att kommunicera med dig om Strong Customer Authentication, samt utvecklingen vad gäller undantagen för Transaction Risk Analysis. Har du frågor är du välkommen att kontakta din kontaktperson hos oss. Mer information kommer inom de närmsta månaderna. Behöver jag göra något? Ja, du behöver säkerställa att dina ecommerce-betalningar är redo att fungera med minst 3D Secure V1, dock erbjuder en ny version kallad 3D Secure V2 dina kunder en bättre upplevelse och en bättre möjlighet till autentisering. Om du har använt 3D Secure V1 borde det gå lätt att uppdatera, tala med din Gateway. Om du inte använt 3D Secure tidigare, så kan det innebära mer arbete. Vänta inte, utan kontakta din Gateway eller webbansvarige med en gång. Även om majoriteten av dina transaktioner kommer att omfattas av antingen ett undantag eller hamna utanför ramen för SCA, så behöver du ändå vara förberedd om kortutgivare ändå skulle kräva SCA. Annars finns risk för att transaktionen inte accepteras. Även om Elavon eller din Gateway kan rekommendera att SCA används, så kommer det kortutfärdarande företaget alltid att ha sista ordet och kan kräva SCA för vilken transaktion som helst. Om ditt företag endast har transaktioner från e-postorder eller telefonbeställningar (MOTO) så omfattas du inte av detta. Idag är det så att samtliga transaktioner där du använder 3D Secure, godkänt av kortutfärdaren, skyddar dig från potentiella bedrägerier. Oavsett om kortutfärdaren kan stödja 3D Secure eller inte. Din guide till PSD2 05

Finns det några andra bestämmelser kring PSD2 som jag borde känna till? PSD2 innehåller också reglering av Open Banking (XS2A-bestämmelserna) inom EU. Bankerna måste tillåta en ny grupp, som kallas Payment Initiation Service Providers (PISPs), att få tillgång till kundkonton. En PISP-tjänst kan göra det möjligt för ett företag att acceptera en bank-till-bank betalning för ett köp online. Det betyder enkelt uttryckt att transaktionen går direkt mellan kundens och företagets bank, utan att behöva gå via ett kortföretag. Under kommande år kan nya betalningsmetoder för Business-to-Business, liknande ideal i Nederländerna, komma att växa fram. Elavon håller dig uppdaterad på utvecklingen inom området. Contactless transaktioner nya regler från och med 14 september 2019 Det finns nya regler för SCA på de terminaler som accepterar contactless transaktioner. Beloppet på transaktionerna får inte överstiga 50 euro. Dessutom får inte det totala beloppet för flera contactless transaktioner i följd efter varandra utan SCA, överstiga 150 euro. Inte heller får antalet contactless transaktioner i följd efter varandra utan SCA, överstiga 5. I praktiken innebär detta att du måste be kortinnehavaren om autentisering med Chip & PIN (eller online PIN om det används) på terminalen där det anges. Obevakade terminaler för transportavgifter eller parkeringsavgifter är undantagna. Sammanfattning Du behöver se över din verksamhet och vilken sorts transaktioner du hanterar. Denna guide kan hjälpa dig att avgöra vilka av de transaktioner du hanterar som hamnar utanför ramen eller omfattas av undantagen för SCA. Om din verksamhet inte till 100 % består av MOTO, så behöver du kontakta din Gateway direkt. Transaktionerna måste vara korrekt flaggade innan de kan godkännas för auktorisering. Elavon samverkar med alla de Gateways som ansluter till vår plattform. Vi har redan genomfört de flesta av de nödvändigaste förändringarna för att uppfylla de nya reglerna, och kommer att fortsätta utvecklingen allt eftersom mer information kommer från kortföretagen. Din guide till PSD2 06

Prata gärna med din kontaktperson för mer information. We make it possible. You make it happen. Elavon Financial Services DAC Norway Branch - Organisationsnummer 991 283 900. Besöksadress: Karenlyst Allé 11, 0278 Oslo; Postadress: Postboks 354 Skøyen, 0213 Oslo, Norge. Huvudkontor: Elavon Financial Services DAC, Irländskt organisationsnummer 418442, Besöksadress: Building 8, Cherrywood Business Park, Loughlinstown, Co. Dublin, D18 W319 Irland. Elavon Financial Services DAC, verksamt som Elavon Merchant Services, regleras av Irländska Centralbanken. Y3421V10619

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss