Hva er 3-D Secure?

3-D Secure-autentisering: en digital pinkode

Hvis du har kjøpt noe på nettet de siste ti årene, har du garantert vært borti 3-D Secure. Dette er et sikkerhetstrinn for å bekrefte at det er du som kortinnehaver som utfører kjøpet. Når kjøpet gjennomføres, blir det den kortutstedende banken, ikke firmaet du handler av, som tar over ansvaret for kortreklamasjoner knyttet til svindel. Man kan tenke på det som en digital pinkode.

På grunn av PSD2s krav til sterk kundeautentisering har 3DS blitt et krav ved flere kjøp.

Man sier at selv solen har mørke flekker, og det stemmer definitivt for 3-D Secure. For de fleste e-forhandlere representerer 3DS en stor trygghet, samtidig som det kan påvirke konverteringen.

3DS ble utviklet for en tid da alle kjøp ble gjort fra datamaskinen. Protokollen er ikke mobiltilpasset, noe som skaper problemer med konvertering for app- og mobiltilpassede checkouter.

Den andre innvendingen er at den ser forskjellig ut fra land til land. I Norge har det vært relativt enkelt for kundene å legitimere seg med Bank-ID, mens andre land som Tyskland og Frankrike har forlangt at kundene må huske lange, statiske passord.

For å bøte på dette har kortnettverkenes beslutningsorgan EMVCo sluppet en oppdatert protokoll som kalles 3-D Secure 2.

3DS 2 gjør det sikrere og enklere å legitimere seg. 3-D Secure 2 er bygget for mobil og fungerer dessuten i apper. Den nye protokollen retter kort og godt opp mange av problemene i den første versjonen.

3DS kan brukes som et verktøy for å dele informasjon mellom forhandlere og banker. Når kortutstedende banker og forhandlere deler informasjon om felles kunder, blir det enklere å ta risikobeslutninger. Lavere risiko innebærer høyere godkjenningsgrad og økt konvertering.

I tilfeller der kunden har legitimert seg tidligere, kan 3-D Secure 2 fungere usynlig i bakgrunnen av en transaksjon. Adyens dynamiske 3DS-tjeneste gjør det mulig å fastslå i hvilke tilfeller bankene trenger mer informasjon, og kun kreve ytterligere legitimasjon når det er nødvendig.

3-D Secure 2 trenger ikke bare å benyttes som svindelbeskyttelse. Ettersom informasjonsflyten mellom forhandler og kortutsteder øker godkjenningsgraden, kan alle som bruker 3-D Secure oppleve økt konvertering.

I mange tilfeller behøver ikke kunden å gjøre noe for å legitimere seg med 3-D Secure 2. Men i noen tilfeller trengs det noen ekstra trinn. Kjøp knyttet til høyere risiko eller strengere PSD2-regler krever aktiv godkjenning. Adyens dynamiske 3-D Secure avgjør hva slags respons banken krever.

Passiv autentisering – datautvekslingen skjer i bakgrunnen uten at forbrukeren behøver å legge inn noen opplysninger.

Tofaktorautentisering – forbrukeren blir bedt om å legitimere seg, f.eks. med en kode som sendes på SMS eller med Bank-ID.

Biometrisk autentisering – forbrukeren blir omdirigert til bankens app der de legitimerer seg biometrisk

Jo flere måter kunden kan legitimere seg på, desto mindre er risikoen for at de avbryter kjøpet. Dette øker sikkerheten, samtidig som det reduserer antallet kunder som faller fra i checkouten.

På sikt vil 3-D Secure 1 bli faset ut. Utviklingen for å fase ut 3-D Secure 1 drives frem av kortnettverkene, de kortutstedende bankene og lovgivningen. Det kan være vanskelig å holde oversikt over alle endringer som skjer, og Adyen anbefaler derfor dynamisk 3-D Secure, som automatisk registrerer om 3-D Secure skal vises eller ikke, og om det er krav om 3-D Secure 2.

Det er e-forhandleren som avgjør hvilken versjon av 3-D Secure de velger å integrere i sin checkout. Adyen anbefaler at man benytter seg av 3-D Secure 2, med 3-D Secure 1 som back-up. Det betyr at man alltid kan oppfylle kortutstedende bankers krav til SCA.

PSD2s SCA-krav gjelder bare for kjøp som blir gjort med kort der kortet er knyttet til en person. Firmakort er ikke omfattet av direktivet. Det påvirker heller ikke kjøp som blir gjort med andre betalingsmetoder, for eksempel faktura. Dette betyr at de fleste kjøp som skjer mellom bedrifter ikke blir påvirket av SCA-kravet.

Som e-forhandler kan man velge å bruke 3-D Secure på de korttransaksjonene man ønsker, uansett hvordan de berøres av direktivet. Dersom kjøpet ikke omfattes av direktivet, vil ikke bankene tilby en ansvarsforskyvning ved kjøpet. Det betyr at e-forhandleren kan senke risikoen ved at kunden legitimerer seg, men at banken er ikke er ansvarlig hvis kjøpet viser seg å være svindel. Dersom e-forhandleren krever 3-D Secure på et kjøp som kan unntas, overtar banken risikoen.

Et unntak flagges av e-forhandleren eller betalingsleverandøren. Den praktiske etterlevelsen kan håndteres på ulike måter (se nedenfor). Man er ikke forpliktet til å be om unntak dersom man ikke ønsker det.

PSD2s krav til SCA innebærer at e-forhandlerne må ha en strategi og et opplegg for å trigge 3-D Secure ved behov.

Vi anbefaler tre ulike måter som kundene kan håndtere PSD2-etterlevelsen på.

3-D Secure 2 kan legges til i checkouten på ulike måter. Hvilket alternativ man skal velge avhenger av hvilken integrasjon man har.

Vanlige integrasjoner

Hvis man bruker en plugin eller Adyens out-of-the-box-integrasjoner, f.eks. components, drop-in eller betalingslenke, er det enkelt å slå på 3-D Secure 2. Hvis man har vår HPP-løsning, er det ikke nødvendig for kunden å gjøre noe. Adyen oppdaterer flyten.

Hvis man bruker Adyens API eller SDK, må man integrere 3-D Secure 2. Mer informasjon om dette finnes i vår dokumentasjon.