• Wat is PSD2?

    In januari 2018 is de tweede Payment Services Directive (2015/2366 PSD2) van de Europese Unie van kracht geworden. PSD2 heeft als doel het garanderen van consumentenbescherming voor alle betaalmethodes. Daarnaast moet het binnen de sector van betalingen meer openheid en concurrentie stimuleren. Als payment service provider is Ingenico ePayments er trots op om sinds 29 mei 2018 te voldoen aan de PSD2-standaarden.

    Een van de belangrijkste vereisten van PSD2 heeft betrekking op Strong Customer Authentication (SCA) dat verplicht is voor alle elektronische transacties in de EU vanaf september 2019. SCA vereist van kaarthouders dat zij zichzelf authenticeren met tenminste TWEE van de volgende drie methoden:

    • Iets dat zij weten (PIN, wachtwoord, …)

    • Iets dat zij bezitten (kaartlezer, mobiel, ...)

    • Iets wat zij zijn (stemherkenning, vingerafdruk, …)

    Dit betekent dat uw klanten in de praktijk niet meer online met hun creditcard kunnen betalen door alleen de informatie op hun kaarten te gebruiken. In plaats daarvan moeten ze bijvoorbeeld hun identiteit laten verifiëren in een bank-app die is verbonden met hun telefoon en die een wachtwoord of vingerafdruk vereist om de aankoop goed te keuren.

    Meer informatie over PSD2 kunt u hier terugvinden: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf








  • Wat is de impact van PSD2 voor mij als handelaar?

    Op 14 september 2019 worden de Strong Customer Authentication (SCA)-regels van kracht voor alle digitale betalingen in Europa. Op dit moment werken banken, betalingsdienstaanbieders en kaartnetwerken allemaal aan technische oplossingen die voldoen aan de vereisten van PSD2. Om betalingen na 14 september te kunnen accepteren, moet u ervoor zorgen dat uw webshop gebruik maakt van deze technische oplossingen.

    Het accepteren van betalingen van 's werelds grootste kaartnetwerken, Visa, Mastercard en American Express, vereist dat u de beveiligingsoplossing Secure voor uw webshop heeft geïmplementeerd. Secure is sinds 2001 in gebruik om de beveiliging van online kaarttransacties te verbeteren. Nu is er een nieuwe versie ontwikkeld die de PSD2 Strong Customer Authentication-vereisten vergemakkelijkt.

    Ingenico ePayments raadt aan om Secure te gebruiken, omdat het helpt om fraude te voorkomen en het u beschermt tegen aansprakelijkheid in geval van fraude. Vanaf 14 september wordt het ook een vereiste om de betalingen van grote kaartmerken te accepteren.


  • Wat is de nieuwe 3-D Secure v2.1?

    3-D Secure versie 2 is een update van de bestaande Secure versie 1-programma's: Verified by Visa, Mastercard SecureCode, American Express SafeKey, Diners/Discover ProtectBuy en JCB J /Secure. Het is gebaseerd op een specificatie die is opgesteld door EMVCo. EMVCo maakt wereldwijd onderlinge uitwisselbaarheid en acceptatie van beveiligde betalingstransacties mogelijk. Het wordt beheerd door EMVCo's zes leden - American Express, Discover, JCB, Mastercard, UnionPay en Visa - en wordt ondersteund door tientallen banken, handelaren, verwerkers, verkopers en andere belanghebbenden in de sector die deelnemen als EMVCo Associates.

    Een van de belangrijkste verschillen met versie 1 is dat in versie 2 de kaartuitgevende instantie veel gegevens kan gebruiken om het risico van de transactie te bepalen. Dit gebeurt via een risico gebaseerde analyse. Voor transacties met een laag risico zullen kaartuitgevers de transactie niet betwisten (bijvoorbeeld geen SMS naar de kaarthouder sturen), hoewel de transactie wel wordt geverifieerd (betaalproces zonder frictie). Omgekeerd zullen kaartuitgevers voor transacties met een hoog risico van de kaarthouder vereisen dat zij zich authenticeren met een SMS of biometrische middelen (‘challenged flow’).

    De Strong Customer Authentication (SCA), die in Europa vereist is vanaf 14 september 2019 zoals aangeduid in PSD2, zal resulteren in een aanzienlijke toename van het aantal transacties waarvoor 3-D Secure authenticatie vereist is. Het gebruik van 3-D Secure versie 2 zou de potentiële negatieve impact op conversie zoveel mogelijk moeten beperken.

    Kort gezegd betekent 3-D Secure versie 2 het volgende:

    • U moet 3-D Secure vóór 14 september 2019 implementeren als uw transacties binnen de EU PSD2 SCA-richtlijnen vallen (voor het geval u 3-D Secure nog niet ondersteunt).

    • U wordt geadviseerd (en voor sommigen is dit vereist) om extra gegevens te sturen voor de risico-analyse door de kaartuitgever in het geval van 3-D Secure versie 2.

    • Wellicht moet u uw privacybeleid bijwerken met betrekking tot AVG/GDPR, omdat u mogelijk extra gegevens deelt met derden.

    • De gebruikerservaring voor uw klanten zal sterk verbeteren.



    De verwachting op de markt is dat een aanzienlijk percentage van de transacties het betaalproces zonder frictie zal doorlopen mede dankzij 3-D Secure versie 2, wat niets extra’s van de kaarthouder vereist vergeleken met het huidige betaalproces zonder 3-D Secure.

    Dit betekent dat u profiteert van een veiliger betaalproces en een verschuiving van de aansprakelijkheid dankzij 3-D Secure, terwijl de conversie niet negatief wordt beïnvloed.

  • Wat is het verschil tussen vrijstelling en uitsluiting?

    Uitsluitingen zijn transacties die BUITEN de scope vallen van PSD2 SCA-voorschriften:

    • Postorder / bestelling via telefoon
    • ‘One leg’-transacties - De PSP van de ontvanger (m.a.w. verwerver van de Handelaar) of de PSP van de betaler (m.a.w. verstrekker van de betalingsmethode van de Koper) ligt buiten de EER-zone
    • Anonieme prepaidkaarten tot maximaal €150 (artikel 63)
    • MIT - door de handelaar gestarte transacties 

    Vrijstellingen zijn transacties die BINNEN de scope vallen van PSD2 SCA-voorschriften:

    • Transacties met lage waarde
    • Abonnementen
    • Risico-analyse
    • Whitelisting


  • Wat zijn de vrijstellingen voor SCA?

    Om zaken gemakkelijker te maken voor zowel verkopers als consumenten, biedt PSD2 enkele vrijstellingen van Strong Customer Authentication. Het is belangrijk op te merken dat alle transacties die in aanmerking komen voor een vrijstelling niet automatisch worden vrijgesteld. In het geval van kaarttransacties bijvoorbeeld is het de kaartuitgevende bank die beslist of een vrijstelling wordt goedgekeurd of niet. Dus zelfs als een transactie in aanmerking komt voor een vrijstelling, moet de klant zich mogelijk nog steeds authenticeren als de kaartuitgevende bank hierom vraagt.

    • Transacties met lage waarde

    Deze uitzondering zal hoogstwaarschijnlijk het meest voorkomen. Als een klant een aankoop doet van minder dan 30 euro, kan hij worden vrijgesteld van SCA. Deze vrijstelling is beperkt en SCA wordt altijd vereist als een klant vijf van deze transacties achter elkaar uitvoert of een waarde van meer dan 100 euro bereikt.

    • Abonnementen

    Andere transacties die kunnen worden vrijgesteld zijn terugkerende betalingen waarbij het bedrag voor elke transactie hetzelfde is. Voor deze transacties is SCA alleen vereist wanneer de klant zich aanmeldt voor het abonnement en niet voor elke individuele transactie.

    • Risico-analyse

    Uitzonderingen kunnen ook worden gemaakt op basis van wat "transactierisicoanalyse" wordt genoemd. Deze vrijstelling heeft een limiet als het gaat om transactiewaarde. Daarnaast kan hij alleen worden toegepast als de payment service provider een fraudepercentage heeft dat laag genoeg is voor dat specifieke type transactie.

    • Whitelisting

    Een kaarthouder kan bepaalde handelaren als "vertrouwd" registreren bij hun kaartuitgevende bank. Door dit te doen hoeven ze geen SCA uit te voeren tijdens een betaling aan die specifieke ontvanger, onderhevig aan de overeenkomst met de bank.

  • Wanneer zal Ingenico ePayments klaar zijn?

    Aangezien onze TEST-omgeving gereed is, adviseren wij u om uw integratie zo snel mogelijk te testen.

    Klik hier als u gebruik maakt van de Ingenico eCommerce pagina. Als u een eigen pagina gebruikt, klik dan hier.

  • Maakt COF (Credentials/Card on file) deel uit van de lijst met uitsluitingen/uitzonderingen?

    COF in het kort: de klant initieert een eerste transactie met een handelaar met een 3D-S (CIT). Vanaf deze eerste transactie-ervaring, heeft de handelaar de mogelijkheid herhalende transacties uit te voeren (abonnement of met toestemming van de klant -> tokenisatie), gemarkeerd als MIT-transacties.

    MIT zijn een van de uitzonderingen waarin binnen de 3DSv2. is voorzien, indien deze aan de volgende cumulatieve voorwaarden voldoen:
    • volgende transacties van een initiële CIT 
    • CIT is uitgevoerd met een verplichte authenticatie
    • Er is een dynamische ID-link gemaakt tussen de initiële CIT en de daarop volgende MIT's

    Na de initiële authenticatie kunnen uitzonderingen/uitsluitingen van toepassing zijn:

    • Of vanwege legale terugkerende uitzonderingen die van toepassing zijn op abonnementen met een vast bedrag en vaste periodiciteit (handelaren wordt aanbevolen voor het volledige bedrag te authentiseren + details over aantal overeengekomen betalingen te verstrekken aan kaarthouders)
    • Of omdat andere types transactie zijn uitgesloten van het SCA-bereik... volledig voor eigen risico van de handelaar in het geval van een terugvordering (bescherming beperkt tot geauthentiseerd bedrag) EN noodzaak voor verstrekker om te accepteren dat dit risico wordt genomen:
      • Ongeplande COF: principe van volgende transacties wordt overeengekomen met kaarthouder, maar bedrag en/of periodiciteit worden niet vastgezet
      • Gangbare praktijk: incrementeel, no-show, etc..

    Voor de transitieperiode, hebben betalingsschema's een gedefinieerd standaard-ID dat dient te worden gebruikt voor volgende MIT's die worden gemaakt voordat 3DS v2 wordt geïntroduceerd.

  • Wat moet ik doen om te voldoen aan PSD2 en SCA?
    U dient er ten eerste voor te zorgen dat 3-DS voor al uw betalingsmethoden (Visa, Mastercard, American Express, Carte Bancaire, JCB) is ingeschakeld in uw online winkel. Verzeker u ervan dat dit het geval is. Indien het niet is ingeschakeld, kunt u onze support vragen het te activeren.

    Aangezien 3-D Secure versie 2 (3DSv2) erop gericht is de SCA-trigger (Strong Customer Authentication) te verlenen aan de verstrekkende bank, dient de verstrekkende bank een betere beoordeling uit te voeren van het risico dat bij de transactie betrokken is. De 3DSv2-specificatie bevat als gevolg daarvan een groot aantal gegevenselementen. Goed nieuws als u onze fraudetool gebruikt, aangezien een paar hiervan al veel worden gebruikt bij onze fraudescreening!  Een aantal andere zijn uiteraard nieuw, en specifiek voor 3-D Secure v2 bestemd. De gegevenselementen kunnen kortweg als volgt worden gecategoriseerd:
    • Verplichte informatie - browsergegevens:
        • Integratie met Winkelwagentjes? U wordt vriendelijk verzocht om naar de winkelwagen-marktplaats te gaan om de laatste versie van de Ingenico ePayments -plugin te installeren of om rechtstreeks contact op te nemen me uw leverancier.
        • Als u onze eCommerce-pagina gebruikt, wordt verplichte informatie verzameld door Ingenico ePayments. U kunt rechtstreeks naar de onderstaande aanbevolen informatie gaan.
        • Als u een eigen betalingspagina gebruikt, moet u verplichte informatie zelf verzamelen, zoals hieronder beschreven. We raden u aan onze supportpagina te raadplegen om te zien hoe dit in zijn werk gaat, en een blik te werpen op het javascript-voorbeeld.
    • Aanbevolen informatie - dit kan mogelijk worden gebruikt als deel van de fraudepreventiescreening:
        • Naam kaarthouder (CN)
        • E-mailadres (EMAIL)
        • IP-adres (REMOTE_ADDR)
        • Telefoonnummer (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber ...)
        • Factuuradres (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 ...)
        • Verzendadres (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 ...)
      • De aanbevolen/optionele parameters dienen te worden verstrekt om gebruik te kunnen maken van de wrijvingsloze flow die uw conversie van verbeteren.
    • Optionele informatie - uitgebreide gegevens kaarthouder/account zoals geïntroduceerd door EMVCo:
        • Mpi.cardholderAccountAgeIndicator
        • Mpi.cardholderAccountChange
        • Mpi.cardholderAccountPasswordChange
        • Mpi.suspiciousAccountActivityDetected
        • Mpi.threeDSRequestorChallengeIndicator

    Onze bestaande API's leggen al een groot aantal gegevenselementen vast, maar we zijn bezig veel nieuwe gegevenselementen toe te voegen. De reden hiervoor is dat we geloven dat iedereen in het betalingen-ecosysteem baat heeft bij toegenomen beveiliging bij een zo minimaal mogelijke negatieve impact van de ervaring op de klant. Betalingen zijn gebaseerd op vertrouwen, en door meer gegevens te verstrekken wordt het makkelijker voor de partijen om elkaar te vertrouwen, zonder aanvullende tests te vereisen om de consument te authentiseren. Bijna alle nieuw toegevoegde gegevenselementen zijn optioneel, maar we adviseren u zoveel mogelijk van deze elementen te bieden. Dit vergroot de waarschijnlijkheid dat uw transacties de wrijvingsloze flow volgen, terwijl u profiteert van aansprakelijkheidsverschuiving. Indien u de door Ingenico ePayments gehoste betalingspagina gebruikt, zullen we de browsergerelateerde gegevens automatisch vastleggen.

    Het niveau van de vereiste wijzigingen zal verschillen op basis van het type integratie dat u hebt met Ingenico ePayments.

  • Kan ik beginnen met implementeren en testen?

    Ja. Op ons testplatform staat alles klaar om met het testen te kunnen beginnen.

    Wij gebruiken een simulator om verschillende scenario's na te kunnen bootsen. Testkaarten zijn voorzien en kunnen zowel op de Support-website als in de testomgeving gevonden worden (Configuratie > Technische instellingen > Testinfo).

  • Hoe kan ik extra gegevens voor SCA opvangen?

    Als u onze Ingenico ePayments betaalpagina gebruikt, zal Ingenico voor alle verplichte gegevens zorgen.

    Als u DirectLink geïntegreerd heeft, wat betekent dat u uw eigen betaalpagina aanbiedt, hebben wij een Javascript-voorbeeld beschikbaar gesteld op onze Support-website om de verplichte gegevens te kunnen verzamelen.

    Voor het verzamelen van optionele gegevens verwijzen we naar onze Support-pagina over hoe de integratie met Ingenico ePayments moet gebeuren.

  • Kunnen wij veilige authenticatie voorzien via een andere MPI dan die van Ingenico ePayments?
    Nee. Dit staat ook niet gepland.
  • Wat gebeurt als een handelaar niet de voor V2 verplichte velden verzendt?

    Deze situatie is alleen mogelijk als u alleen via DirectLink geïntegreerd bent (eigen pagina handelaar / FlexCheckOut), aangezien in door Ingenico ePayments gehoste betalingspagina's, Ingenico ePayments de verplichte gegevens verzameld.

    Ten eerste zal Ingenico ePayments de flow die naar v1 of v2 wordt geleid, identificeren op basis van de kaartnummers.

    Als de kaart geregistreerd V2 is, zijn de volgende scenario's mogelijk:

    Verplichte gegevens:

    • Indien de verkeerde gegevens worden doorgegeven, wordt de transactie geblokkeerd
    • Indien gegevens ontbreken, leidt Ingenico ePayments uw transactie naar v1-flow
    • Indien er geen gegevens worden doorgegeven, wordt de transactie NIET geblokkeerd, maar omgeleid naar flow v1
    Aanbevolen of optionele gegevens:
    • als er geen gegevens worden doorgegeven, wordt de transactie NIET geblokkeerd maar kan hierop geen uitzondering van toepassing zijn.
  • Wat moet ik weten over PSD2 en het delen van persoonlijke gegevens (AVG/GDPR)?
    3DSv2 verzoekt handelaren om extra informatie te sturen (verplicht / aanbevolen ...). Alles wat u als handelaar moet weten, is hier te vinden:

    https://ingenico.be/privacy-policy  section 3.

  • Mijn PCI-certificaat is minder dan 1 jaar oud. Moet ik het PCI-proces opnieuw doorlopen als ik van acquirer verander?
    Uw PCI-certificaat is 1 jaar geldig en wordt door alle acquirers aanvaard.
Ingenico ePayments, de wereldleider in diensten voor digitale betalingen, zet complexe betaaltransacties om tot vlotte en geïntegreerde betaaloplossingen op alle verkoopkanalen: online, in de winkel en mobiel. Met ons innoverende aanbod aan multichannel-betaaldiensten, van transactieaanvaarding tot transactiebetaling, en van marketing tot klantenbinding, helpen wij de ondernemers om hun betalingen te beheren, te groeperen en te beveiligen, om fraude te voorkomen en om hun verkopen te stimuleren dankzij betere conversieverhoudingen. Ingenico ePayments is een merk van de groep Ingenico, de wereldleider in geïntegreerde betaaloplossingen.

Deze website maakt gebruik van cookies om u de beste gebruikerservaring te kunnen geven. Als u deze cookies niet wilt accepteren, laten wij u toe om de cookie-instellingen te wijzigen. Klik op 'Aanvaarden' om alle cookies van deze website toe te staan. 

Cookie settings

Introductie

Functioneel

Functionele cookies zijn nodig om de website correct te laten werken. Die cookies kunnen niet worden uitgeschakeld.

Geoptimaliseerd

Met optimalisatiecookies kunnen we het gebruik van de website analyseren, zodat we deze kunnen meten en verbeteren.
Dit is het standaard niveau.

Gepersonaliseerd

Personalisatiecookies worden gebruikt voor sociale media en geavanceerde personalisatie. Hiermee kunnen we u informatie laten zien die betrekking heeft op uw bedrijf.


Voorbeelden van ondersteunde functionaliteit

  • Landvoorkeur opslaan
  • Taalvoorkeur opslaan

Voorbeelden van niet-toegestane functionaliteit

  • Persoonlijke informatie over uw bezoek opslaan
  • Anonieme tracering via Google Analytics
  • Tracering voor marketingdoeleinden

Voorbeelden van ondersteunde functionaliteit

  • Landvoorkeur opslaan
  • Taalvoorkeur opslaan
  • Anonieme tracering via Google Analytics

Voorbeelden van niet-toegestane functionaliteit

  • Persoonlijke informatie over uw bezoek opslaan
  • Tracering voor marketingdoeleinden

Voorbeelden van ondersteunde functionaliteit

  • Landvoorkeur opslaan
  • Taalvoorkeur opslaan
  • Anonieme tracering via Google Analytics
  • Inhoud weergeven die aansluit op uw interesses
  • Advertenties weergeven die aansluiten op uw interesses
  • Tracering voor marketingdoeleinden

Voorbeelden van niet-toegestane functionaliteit

  • Persoonlijke gegevens opslaan