020 530 0160

Strong Customer Authentication: in twee stappen veilig betalen

Gepubliceerd op 23 september 2019 categorieën , ,

Op 14 september zijn de Regulatory Technical Standards (RTS) in Nederland in werking getreden. Deze standaarden geven invulling aan bepaalde technische voorschriften waar betaaldienstverleners zich sinds de komst van de Payment Services Directive 2 (PSD2) aan moeten houden. Hieronder valt ook de sterke cliëntauthenticatie oftewel de Strong Customer Authentication (SCA).

In een aantal landen binnen de Europese Economische Ruimte, zoals Frankrijk, Denemarken en het Verenigd Koninkrijk, is de implementatie van SCA uitgesteld. In Nederland is dit niet het geval, maar De Nederlandsche Bank heeft eerder dit jaar wel aangekondigd dat partijen extra tijd krijgen voor het invoeren van SCA ten aanzien van online creditcardtransacties. Het is onduidelijk hoeveel extra tijd partijen hiervoor krijgen.

In deze blog zal ik kort ingaan op de vraag wat SCA inhoudt, in welke gevallen aan de eisen van SCA moet worden voldaan en wat we hier in Nederland van gaan merken.

Wat is SCA?

Strong Customer Authentication is een authenticatieproces waarmee de identiteit van de gebruiker van de betaaldienst wordt gevalideerd, waarbij een hoog beveiligingsniveau wordt gegarandeerd. Het doel hiervan is fraude tegen te gaan. Om te voldoen aan SCA moeten betaaldienstverleners gebruikmaken van een tweestapsverificatie oftewel Two Factor Authentication (2FA). Dat betekent dat zij ten minste twee van de volgende factoren moeten combineren in het validatieproces:

  • Wetenschap (bijvoorbeeld een wachtwoord of pincode)
  • Bezit (bijvoorbeeld een pinpas of een telefoon)
  • Inherente eigenschap (bijvoorbeeld een vingerafdruk of gezichtsherkenning)

De twee factoren samen moeten resulteren in een authenticatiecode, waarmee de identiteit van de betaler kan worden geverifieerd.

Waarvoor moet SCA worden gebruikt?

SCA moet worden gebruikt wanneer iemand toegang wil tot zijn betaalrekening of een online betaling initieert, gebruik maakt van een communicatiemiddel op afstand, een online betalingstransactie op afstand initieert of gebruik maakt van een betaaldienst van een betaaldienstverlener onder PSD2. Onder de noemer betaaldienstverleners vallen zowel de rekeninginformatiedienstverleners (denk aan aanbieders van een huishoudboekje) als de betaalinitiatiedienstverleners. Naast betaaldienstverleners is het ook voor webshops van belang om bekend te zijn met deze nieuwe eisen, want online betalingen die niet voldoen aan SCA kunnen door banken worden geweigerd.

  • Er bestaan overigens ook gevallen waarin SCA niet nodig is, zoals:
  • Betalingen tussen rekeningen van dezelfde natuurlijke persoon of rechtspersoon;
  • Betalingen van kleine bedragen (onder de 30 euro);
  • Abonnementen of herhaalbetalingen (alleen de eerste moet via SCA worden gedaan);
  • Betalingen geïnitieerd vanuit de verkoper (automatische incasso’s);
  • Vertrouwde ontvangers (dit kan de betaler zelf aangeven);
  • Checken van saldo en betalingstransacties van de laatste 90 dagen (de eerste keer moet wel via SCA toegang worden gegeven);
  • Contactloze betalingen (onder een aantal voorwaarden);
  • Betalingen via onbemande betaalautomaten voor vervoerbewijzen en parkeergelden.

Wat gaan we hiervan merken?

In Nederland wordt al veel gebruik gemaakt van SCA. Banken gebruiken het voor toegang tot betaalrekeningen en voor het initiëren van online betalingen. We zijn in Nederland dus al redelijk gewend aan een tweede stap in het authenticatieproces. Daarnaast voldoet het authenticatieproces van iDeal, een veelgebruikte betaaldienst in Nederland, ook al aan de vereisten van SCA. Daar zal dus weinig veranderen.

Ten aanzien van creditcardtransacties is SCA nog minder vanzelfsprekend en dat is vermoedelijk de reden dat De Nederlandsche Bank partijen die te laat zijn met het invoeren van SCA voor creditcardtransacties extra tijd geeft. De ‘oude’ methode voor online creditcardbetalingen, waarbij gebruik wordt gemaakt van de combinatie van het creditcardnummer en de CVC-code, voldoet niet aan SCA. Daarbij wordt namelijk alleen gebruik gemaakt van informatie uit de categorie bezit en dat is voor SCA onvoldoende. VISA en Mastercard hebben een authenticatiemethode ontwikkeld genaamd ‘3D Secure 2.0’. Deze authenticatiemethode voldoet wel aan de eisen van SCA en is daarmee een betrouwbare manier om creditcard betalingen te initiëren. Deze authenticatiemethode wordt door steeds meer betaaldienstverleners gebruikt, zoals bijvoorbeeld PayPal en Adyen.

De maatregelen zullen met name worden genomen door de betaaldienstverleners zelf, maar het is ook voor webshops van belang om zo snel mogelijk te checken of alle online betaalmethoden die zij aanbieden via hun webshop voldoen aan de nieuwe vereisten van SCA. 

Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Margot

publicaties

Gerelateerde artikelen