Hvad er 3D Secure?

Hvis du har handlet på nettet de seneste ti år, er du med garanti stødt på3D Secure. Det er et sikkerhedstrin for at bekræfte, at det er dig, som kortindehaver, der foretager købet. Når købet er gennemført, er det den kortudstedende bank og ikke virksomheden, som du handler hos, der overtager ansvaret for bedrageriske kortreklamationer. Man kan tænke på det som en digital pinkode.

Som følge af PSD2’s krav om stærk kundeautentificering er 3D Security blevet nødvendigt ved flere køb.

Der er både fordele og ulemper ved brugen af 3D Secure. For de fleste e-handlere udgør 3D Secure en stor tryghed, samtidig med at det kan påvirke konverteringen.

3D Secure er udviklet til en tid, hvor alle køb blev gennemført på computere. Protokollen er ikke tilpasset mobile løsninger, hvilket giver problemer med konverteringen iapp- og mobilbaserede checkouter.

En anden anke er, at det varierer fra land til land. I Danmark har det været relativt nemt for forbrugerne at legitimere sig medNemID, mens det i lande som Tyskland og Frankrig kræver, at forbrugerne husker lange, statiske kodeord.

For at gøre noget ved problemet har kortnetværkets beslutningsorganEMVCoudsendt en opdateret protokol, der kaldes for 3D Secure 2.

3D Secure 2 betyder at det er sikrere og nemmere at legitimere sig. 3D Secure 2 er udviklet til mobiltelefoner og fungerer desuden iapps. Kort og godt løser den nye protokol de mange problemer, der var i den første version.

3D Secure kan anvendes som et værktøj til at dele oplysninger mellem forhandlere og banker. Det bliver lettere at træffe risikobeslutninger, når kortudstedende banker og forhandlere deler oplysninger om fælles kunder. Lavere risiko betyder højere godkendelsesrate og øget konvertering.

Hvis kunden allerede har legitimeret sig tidligere, kan 3D Secure 2 gennemføres uden at det bemærkes ved en transaktion. Adyens dynamiske 3D Secure-tjeneste gør det muligt at afgøre, hvornår bankerne har brug for yderligere oplysninger for at legitimerer købet.

3D Secure 2 skal ikke bare anvendes som beskyttelse mod svindel. Eftersom informationsflowet mellem forhandlere og kortudstedere øger godkendelsesraten, vil alle, som anvender 3D Secure2, opleve en øget konvertering.

I mange tilfælde behøver kunden ikke foretage sig noget for at legitimere sig med 3D Secure 2, men i nogle tilfælde kræver det et par ekstra trin. Køb med tilknytning til højere risiko eller strengere PSD2-regler kræver en aktiv godkendelse. Adyens dynamiske 3D Secure afgør, hvilken respons banken kræver.
 
Passiv autentificering– dataudvekslingen sker i baggrunden, uden at forbrugeren skal indtaste nogen oplysninger.

Tofaktorautentificering– forbrugeren bliver bedt om at legitimere sig, f.eks. med NemID eller en kode som sendes på sms.

Biometrisk autentificering– forbrugeren omdirigeres til bankens app, hvor vedkommende skal legitimere sig biometrisk.

Jo flere måder kunden kan legitimere sig på, desto større er chancen for, at de ikke opgiver købet. Det øger sikkerheden, samtidig med at det reducerer kundetabet icheckouten.

På sigt vil 3D Secure 1 blive udfaset. Kortnetværk, kortudstedende banker og lovgivningen presser på for at udfase 3D Secure 1. Da det kan være svært at holde øje med alle ændringer, der sker, anbefaler Adyen dynamisk 3D Secure, der automatisk registrerer, om 3D Secure skal vises eller ej, samt om 3D Secure 2 skal anvendes.

Det er e-handlerne, der afgør, hvilken version af 3D Secure de vælger at integrere i deres checkout. Adyen anbefaler, at man bruger 3D Secure 2 med 3D Secure 1 som backup. Det betyder, at man altid vil kunne leve op til kortudstedendes bankers krav om SCA.

PSD2’s SCA-krav omfatter kun køb, der foretages med kort, hvor kortet er knyttet til en person. Virksomhedskort er ikke omfattet af direktivet. Det påvirker heller ikke køb, der foretages med andre betalingsmetoder som f.eks. faktura. Dette betyder, at de fleste køb, der foretages mellem virksomheder, ikke påvirkes af SCA-kravet.

Som e-handler kan man vælge at anvende 3D Secure på alle de korttransaktioner, man ønsker, uanset hvordan de påvirkes af direktivet. Hvis købet ikke omfattes af direktivet, tilbyder bankerne ikke risikoovergang ved købet. Det betyder, at e-handleren kan sænke risikoen, ved at kunden legitimerer sig, men skulle det vise sig at være svindel, er banken ikke ansvarlig. Hvis e-handleren kræver 3D Secure ved et køb, som kan fritages, overtager banken risikoen.

En fritagelse markeres af e-handleren eller dennes betalingsleverandør. Der findes forskellige måder at håndtere sin efterlevelse på i praksis (se nedenfor). Man er ikke tvunget til at bede om fritagelse, hvis man ikke ønsker det.

PSD2’s krav om SCA betyder, at e-handlere har brug for en strategi og en plan for at udløse 3D Secure, når det er nødvendigt.

Vi anbefaler kunder tre muligheder til håndtering af deres PSD2-efterlevelse.

Der findes forskellige mulighed for at tilføje 3D Secure 2 i sin checkout. Hvilken mulighed man skal vælge, afhænger af ens integration.

Almindelige integrationer

Anvender man et plugin eller Adyens out-of-the-box-integrationer, f.eks. Components, drop-in eller betalingslink, er det nemt at aktivere 3D Secure 2. Har man vores HPP-løsning, kræves der intet arbejde fra kundens side. Adyen opdaterer flowet.

Hvis man anvender Adyens API eller SDK, behøver man ikke integrere 3D Secure 2. Du finder yderligere oplysninger om dette i voresdokumentation.