Czym jest SCA i jak włączyć 3D Secure 2.0 w WordPress

Zastanawiałeś się kiedyś, czym jest SCA i jak włączyć 3D Secure na swojej stronie eCommerce w WordPress?

Prawdopodobnie słyszałeś o Dyrektywie o Usługach Płatniczych 2 (PSD2), Silnym Uwierzytelnianiu Klienta (SCA) i 3D Secure 2.0.

W tym artykule omówimy, co oznaczają te terminy, jak wpływają na Twój biznes eCommerce, szczególnie jeśli masz klientów w Europie, oraz jak łatwo włączyć 3D Secure 2.0 w WordPress.

Czym jest Silne Uwierzytelnianie Klienta?

Silne Uwierzytelnianie Klienta (SCA) to europejski wymóg wynikający z Dyrektywy o Usługach Płatniczych 2 (PSD2), wprowadzonej po raz pierwszy w 2007 roku, aby zwiększyć bezpieczeństwo płatności online i znacznie zmniejszyć ryzyko oszustwa. Druga iteracja SCA stała się obowiązkowa w 2019 roku.

Aby spełnić wymogi SCA, w przypadku wielu płatności kartą online w Europie wymagana jest teraz forma uwierzytelniania dwuskładnikowego. Bez tego uwierzytelnienia wiele płatności może zostać odrzuconych przez bank klienta. 

Zazwyczaj weryfikujemy tożsamość za pomocą hasła. Jest to uważane za „coś, co wiesz”. Jest to informacja, którą znasz i która powinna być tajna.

Jednak hasła rzadko kiedy są tajne. Tworzymy hasła z łatwo dostępnych informacji, takich jak daty urodzenia i imiona zwierząt domowych. Dzielimy się nimi z innymi ludźmi przez cały czas.

Według niedawnego badania Google, dwie trzecie Amerykanów używa tego samego hasła we wszystkich swoich kontach online. Więc, na przykład, załóżmy, że haker uzyska dostęp do hasła do Twojego konta Apple.com, prawdopodobnie będzie mógł go użyć do zalogowania się do Twojego konta Google (lub, co gorsza, do Twojego konta bankowego).

Celem SCA jest dodanie dodatkowych warstw ochrony poprzez uwierzytelnianie płatności za pomocą większej liczby czynników identyfikujących: „coś, co posiadasz” i „coś, czym jesteś”.

• Coś, co klient wie (jak hasło).
• Coś, co klient posiada (jak telefon).
• Coś, czym klient jest (jak odcisk palca).

Kiedy połączysz dwa lub trzy z tych punktów danych, staje się znacznie trudniej dla złośliwych stron uzyskać dostęp do Twoich kont.

Na przykład, jeśli do uwierzytelnienia swojej tożsamości wyznaczyłeś hasło i swój telefon komórkowy, osoba złośliwa musiałaby ukraść Twoje hasło i Twój telefon, aby uzyskać dostęp do Twojego konta. Ten scenariusz jest, delikatnie mówiąc, wysoce nieprawdopodobny.

W przeszłości Europejczycy potrzebowali tylko jednego czynnika do przeprowadzenia transakcji online – swojej karty. Karta to coś, co posiadasz.

Chociaż nadal potrzebowali trzech punktów danych: numeru karty, daty ważności i numeru CVV/CVC, wszystkie te trzy punkty danych znajdują się na tym samym kawałku plastiku, więc karta liczy się jako jeden czynnik. Tak obecnie działamy w Stanach Zjednoczonych.

Celem SCA jest:

• Zmniejszenie prawdopodobieństwa oszustwa, ponieważ złodzieje nie będą mieli wielu czynników identyfikacyjnych.
• Zmniejsz koszt przetwarzania transakcji. Mniej oszustw oznacza, że wydawcy kart kredytowych mogą obniżyć swoje opłaty dla konsumentów i firm.
• Zwiększ zaufanie posiadaczy kart, aby ludzie czuli się bezpiecznie kupując online.
• Przestrzegaj międzynarodowych przepisów, aby karta mogła być bezpiecznie używana w dowolnym miejscu.

Od września 2019 r. banki odrzucają nieautoryzowane płatności. Odrzucone płatności muszą zostać ponownie przesłane do klienta w celu uzyskania SCA.

Pełne techniczne standardy regulacyjne można przeczytać tutaj.

Co to jest 3D Secure 2.0?

Podczas transakcji online narzędzie zwane 3D Secure 1.0 służy do weryfikacji transakcji kartowej. Prawdopodobnie widziałeś już ten przepływ: wprowadzasz dane swojej karty, aby dokonać płatności i zostajesz przekierowany na nową stronę, gdzie Twój bank prosi o hasło/kod w celu zatwierdzenia zakupu. W tym momencie klient jest przekierowywany na nową stronę, aby wprowadzić kod.

Korzyści z 3D Secure 1.0 były oczywiste od samego początku. Nie tylko klienci czują się bezpiecznie (ponieważ strona jest zazwyczaj oznaczona marką banku lub sieci kart, np. „MasterCard SecureCode” lub „Verified by Visa”), ale także przenosi odpowiedzialność z kupca na bank wydający kartę.

Jednak 3D Secure 1.0 miał dwa główne wady dla firm internetowych:

1. To kolejny krok w procesie realizacji zakupu, który może skłonić klientów do porzucenia procesu realizacji zakupu. Każdy dodatkowy krok w procesie realizacji zakupu zmniejszy Twoje konwersje, zwłaszcza na urządzeniach mobilnych.
2. Kupujący musieli pamiętać kolejne hasło od banku wydającego kartę. Jeśli zapomnieli hasła, mogli porzucić zakup.

Na szczęście istnieje nowe narzędzie o nazwie 3D Secure 2.0, które ułatwia spełnienie wymagań SCA bez zakłócania doświadczenia użytkownika. 3D Secure 2.0 został zaprojektowany tak, aby osadzić przepływ wyzwań bezpośrednio w przepływach realizacji zakupu w sieci i urządzeniach mobilnych — bez konieczności przekierowywania całych stron. 

Zobacz nasz poradnik, jak chronić swoją witrynę WordPress eCommerce przed oszustwami świątecznymi.

3D Secure 2.0 wysyła ponad 100 punktów danych z każdej transakcji do banku posiadacza karty. Posiadacz karty wykorzystuje te informacje do oceny ryzyka transakcji.

Jakie punkty danych są wysyłane do banku? Wszystko, od adresu wysyłki po identyfikator urządzenia klienta, adres IP, a nawet historię jego poprzednich transakcji.

Jeśli dane są wystarczające, aby bank uznał transakcję za uzasadnioną, bank może zakwalifikować transakcję do przepływu „bezproblemowego”. Oznacza to, że użytkownik nie musi nic więcej robić, aby uwierzytelnić transakcję. Posiadacz karty nawet nie wie, że używany jest 3D Secure.

Jeśli dane nie są wystarczające, transakcja jest wymuszana na przepływie „wyzwaniem”. Jest to podobne do 3D Secure 1.0 – dodatkowa strona, oznaczona marką banku, prosząca o więcej informacji.

Ciekawostką w 3D Secure 2.0 jest to, że może on stawać się lepszy w miarę upływu czasu dzięki dodawaniu punktów danych. Teoretycznie każdy nowy punkt danych, który weryfikuje tożsamość klientów, to większe bezpieczeństwo.

Płatności wymagające SCA

Zgodnie z prawem Unii Europejskiej, SCA ma zastosowanie do większości transakcji online inicjowanych przez klienta w Europie. Obejmuje to większość płatności kartami kredytowymi i debetowymi, a także przelewy. Pierwsza transakcja w ramach subskrypcji jest inicjowana przez klienta, ale płatności cykliczne są inicjowane przez sprzedawcę, dlatego nie wymagają SCA.

Płatność jest uważana za objętą zakresem prawa, jeśli posiadacz karty i sprzedawca znajdują się w Europejskim Obszarze Gospodarczym. Niektórzy wydawcy kart będą wymagać SCA dla wszystkich transakcji, niezależnie od lokalizacji sprzedawcy.

Stripe udostępnił gotowe do SCA API o nazwie PaymentIntents. To narzędzie pozwala na stosowanie 3D Secure 2.0, gdy jest to wymagane lub gdy konkretna transakcja wiąże się z wysokim ryzykiem oszustwa.

Procesor płatności udostępnił go wszystkim w 2019 roku.

Więc jeśli już używasz WP Simple Pay, najlepszej wtyczki do płatności Stripe dla WordPress, do akceptowania płatności na swojej stronie, już przestrzegasz europejskiej dyrektywy.

Wyjątki od silnego uwierzytelniania klienta

Niektóre rodzaje transakcji są zwolnione z SCA. Twój dostawca płatności (np. Stripe, Square lub PayPal) może wystąpić o zwolnienie w Twoim imieniu podczas przetwarzania płatności. Bank posiadacza karty zdecyduje, czy przyznać, czy odrzucić zwolnienie.

Oto najczęstsze rodzaje zwolnień:

1. Transakcje o niskiej wartości. Transakcje poniżej 30 EUR są zwolnione. Jednak SCA jest wymagane, jeśli karta lub metoda płatności wykonała ponad pięć zwolnionych transakcji lub łączna kwota zwolnionych transakcji przekracza 100 EUR dziennie.
2. 
   Transakcje o niskim ryzyku. Przetwarzający płatności mogą przeprowadzić analizę ryzyka w czasie rzeczywistym, aby ocenić, czy zastosować SCA. Przetwarzający może to zrobić tylko wtedy, gdy wskaźnik oszustw pozostaje niski.
3. Subskrypcje. SCA jest wymagane dla pierwszej płatności, ale nie dla kolejnych, jeśli są na tę samą kwotę do tej samej firmy. Zmienne kwoty (lub rozliczanie według zużycia) wymagają SCA za każdym razem.
4. Biała lista zaufanych beneficjentów. Klienci mogą umieścić firmy, którym ufają, na białej liście. Te firmy trafiają na listę „zaufanych beneficjentów” prowadzoną przez bank klienta. SCA jest wymagane dla pierwszej płatności do firmy z białej listy, ale nie dla kolejnych.
5. Transakcje MOTO. Transakcje pocztowe i telefoniczne (MOTO) nie są uważane za płatności „elektroniczne”. Nie podlegają regulacjom SCA.

Co to oznacza dla firm w USA

Obecnie zgodność z PCI jest głównym systemem regulującym transakcje online. Problem polega jednak na tym, że zgodność z PCI nie jest prawem. Jest to jedynie inicjatywa głównych firm obsługujących karty kredytowe. Musisz się do niej stosować, aby współpracować z tymi firmami, ale nie ma żadnych kar ani grzywien za jej naruszenie.

Biorąc to wszystko pod uwagę, będziesz musiał przestrzegać przepisów PSD2 i SCA, jeśli planujesz sprzedawać klientom w Europie. To jest w rzeczywistości dobra rzecz dla Ciebie, ponieważ zmniejszy to ilość oszustw związanych z kartami kredytowymi, z którymi będziesz musiał sobie radzić.

Na szczęście, jeśli korzystasz z WP Simple Pay, nie musiałeś wiele robić. Ponieważ Stripe przekazuje wszystkie transakcje na konto sprzedawcy, to on jest odpowiedzialny za przestrzeganie dyrektywy UE.

Jak włączyć 3D Secure 2.0 w WordPress

Korzystanie z WP Simple Pay to najprostszy sposób na tworzenie formularzy płatności obsługujących 3D Secure 2.0.

Ponieważ WP Simple Pay ma już wbudowane funkcje bezpieczeństwa wspierane przez Stripe, jego użytkownicy mogą automatycznie tworzyć formularze płatności zgodne z PCI i gotowe na 3D Secure 2.0.

Wtyczka pozwala na przyjmowanie płatności bezpośrednio na Twojej stronie bez konfiguracji koszyka lub za pośrednictwem Stripe Checkout, która jest bezpieczną stroną płatności hostowaną przez Stripe.

Dodatkowe funkcje i zalety WP Simple Pay obejmują:

• Szablony formularzy płatności: Twórz idealne formularze płatności dla produktów, wydarzeń, rejestracji, darowizn i nie tylko w ciągu kilku minut.
• Wiele metod płatności: Oferuj ponad 10 opcji metod płatności, aby poszerzyć zasięg i zwiększyć sprzedaż, w tym tradycyjne karty kredytowe i debetowe, przelewy ACH, Apple Pay / Google Pay / Microsoft Pay, Cash App Pay, usługi typu „Kup teraz, zapłać później” i inne.
• Integracje z innymi usługami: Integruj swoje formularze płatności z popularnymi wtyczkami WordPress, takimi jak AffiliateWP i Uncanny Automator, aby automatyzować zadania związane z zakupami.
• Zaawansowany kreator formularzy metodą przeciągnij i upuść: Łatwo twórz formularze płatności bez kodowania.
• Odzyskiwanie opłat: Usuń dodatkową 3% opłatę transakcyjną Stripe, aby zapewnić sobie pełną kwotę płatności.
• Dedykowane strony docelowe: Twórz strony docelowe bez rozpraszaczy dla swoich formularzy płatności bezpośrednio z kreatora formularzy, bez konieczności zatrudniania programisty.
• I więcej…

W tym samouczku pokażemy, jak łatwo zapewnić włączenie 3D Secure 2.0 w WordPress dla formularza płatności na stronie WP Simple Pay.

Dobrą wiadomością jest to, że formularze płatności utworzone za pomocą WP Simple Pay już wykorzystują 3D Secure 2.0 do zbierania dodatkowych uwierzytelnień na kartach.

Krok 1. Zainstaluj i aktywuj WP Simple Pay w WordPress

Aby utworzyć formularz płatności z włączonym 3D Secure 2.0, pierwszą rzeczą, którą musisz zrobić, jest zainstalowanie i aktywowanie WP Simple Pay na swojej stronie WordPress.

Po prostu przejdź do strony z cennikiem i wybierz najlepszy plan dla swoich potrzeb.

Następnie pobierz wtyczkę z konta WP Simple Pay lub z e-maila z potwierdzeniem płatności. Następnie zainstaluj ją w WordPress.

Więcej szczegółów znajdziesz w naszym przewodniku krok po kroku, jak zainstalować WP Simple Pay.

Po zakończeniu aktywacji wtyczki zostaniesz przekierowany do kreatora konfiguracji. Kreator konfiguracji pozwala na założenie konta Stripe, jeśli jeszcze go nie masz, i połączenie go z Twoją stroną bez konieczności ręcznego wprowadzania kluczy API.

2: Połącz WordPress ze Stripe  

Aby połączyć swoją witrynę WordPress ze Stripe, kliknij Połącz ze Stripe.

Następnie wprowadź adres e-mail używany do konta Stripe i połącz go ze swoją witryną. Jeśli nie masz konta Stripe, możesz je łatwo utworzyć, wprowadzając swój adres e-mail i kończąc rejestrację.

Po zakończeniu tego procesu zobaczysz stronę z potwierdzeniem, na której będzie napisane „Konfiguracja zakończona.” Następnie kliknij Utwórz formularz płatności.

Krok 3: Utwórz formularz płatności na stronie

Teraz, gdy zainstalowałeś i aktywowałeś WP Simple Pay na swojej stronie, musisz utworzyć formularz płatności z włączonym 3D Secure 2.0.

Powinieneś zostać przekierowany na stronę biblioteki szablonów formularzy płatności, gdzie możesz wybierać spośród mnóstwa różnych szablonów.

Wybierz podstawowy szablon Formularz płatności.

Następnie, w zakładce Ogólne, wybierz Formularz płatności na stronie jako Typ formularza.

Chociaż zarówno strony płatności Off-site Stripe Checkout, jak i formularze płatności na stronie wykorzystują 3D Secure 2.0, warto zatrzymać odwiedzających na swojej stronie przez cały proces płatności, aby zmniejszyć liczbę porzuceń koszyka.

Po wprowadzeniu tytułu i opisu kliknij zakładkę Płatność.

Tutaj musisz wprowadzić kwoty cenowe, wybrać między jednorazową płatnością a płatnością abonamentową oraz wybrać opcje metody płatności.

Na potrzeby tego samouczka zaznacz pola Karta, Polecenie zapłaty ACH i Cash App.

Następnie, w zakładce Pola formularza, dodaj Imię i Adres z menu rozwijanego.

Po zakończeniu kliknij przycisk Zapisz wersję roboczą. Możesz teraz wyświetlić podgląd swojego formularza. Powinien wyglądać podobnie do tego poniżej:

Krok 4: Opublikuj swój formularz płatności na swojej stronie

Gdy będziesz zadowolony ze swojego formularza płatności, czas opublikować go na stronie lub w poście na swojej witrynie.

Po prostu przejdź do strony lub posta i kliknij ikonę + w lewym górnym rogu, aby wyświetlić blok WP Simple Pay.

Następnie wybierz właśnie utworzony formularz płatności z menu rozwijanego i kliknij przycisk Opublikuj.

Krok 5: Przetestuj uwierzytelnianie 3D Secure 2.0

Teraz, gdy utworzyłeś swój formularz płatności i dodałeś go do swojej witryny, ostatnim krokiem jest przetestowanie uwierzytelniania 3D Secure 2.0.

Możesz po prostu przejść do strony formularza płatności i wykonać płatność testową, używając numerów kart testowych dostarczonych przez Stripe.

Pamiętaj, że Twój formularz płatności powinien być w Trybie testowym. Aby dowiedzieć się więcej o tym, jak włączyć Tryb testowy Stripe w WordPress, zapoznaj się z naszym przewodnikiem krok po kroku.

Po wprowadzeniu wymaganych informacji w polach formularza płatności pojawi się komunikat wyskakujący z okienkiem strony testowej płatności 3D Secure.

I to wszystko! Mamy nadzieję, że ten artykuł pomógł Ci dowiedzieć się więcej o tym, czym jest SCA i jak włączyć 3D Secure 2.0 w WordPress.

Jeśli podobał Ci się ten artykuł, możesz również zapoznać się z poniższymi przewodnikami:

• Jak chronić swoją witrynę WordPress przed testowaniem kart
• Co to jest Stripe Radar i jak go prawidłowo używać?
• Najczęstsze skargi klientów dotyczące formularzy płatności

Na co czekasz? Zacznij korzystać z WP Simple Pay już dziś!

Aby przeczytać więcej podobnych artykułów, śledź nas na X.