Rychlejší, bezpečnější a příjemnější online nákupy.
Podívejte se, co umí technologie 3D Secure

4. února 2021

Od nového roku se mění pravidla pro ověřování plateb kartou na internetu. Novým standardem pro všechny online transakce se stává dvoufázové potvrzování pomocí technologie 3D Secure. Její používání přináší e-shopům a spotřebitelům řadu výhod. Třeba vylepšené zabezpečení nebo zjednodušené placení. Podle společnosti Visa navíc může vést k vyšší konverzi na e-shopech a zkrátit čas potřebný k transakci až o 85 %.

Zabezpečení pomocí silného ověření klienta

Každá platba na internetu musí být nově potvrzována metodou silného ověření klienta (Strong Customer Authorisation – SCA). „Silné ověření spočívá v tom, že identita toho, kdo zadává platbu, je ověřována pomocí nejméně dvou prvků,“ říká Michal Vodrážka, expert na platební styk z České národní banky. „Musí jít o tři různé prvky ze tří na sobě nezávislých kategorií. To znamená, že pokud je jeden z prvků nějak kompromitován nebo prozrazen, ten druhý by měl zůstat v bezpečí.“

K verifikaci transakce se tedy využívají dvě ze tří bezpečnostních kategorií: těmi jsou znalost, držení a inherence. Ověřuje se, že klient něco zná (heslo, PIN), něco vlastní (SIM karta) a je něčím jedinečný (biometrické údaje jako otisk prstu nebo scan obličeje). 

žena u počítače s platební kartou v ruce

Požadavky na silné ověření online plateb jsou součástí směrnice Evropského parlamentu s označením PSD 2 (Payment Services Directive). Ta v České republice platí už od 14. září 2019. Česká národní banka však posunula její platnost až na 31. prosince 2020, aby měly všechny bankovní a platební instituce dost času na implementaci souvisejících nařízení. A cíl PSD 2? V celé EU zefektivnit online platby kartou, lépe je zabezpečit a ochránit obchodníky a jejich klienty před podvody.

Jak řeší Česká spořitelna dvoufázové ověření?

Dvoufaktorové ověření je nařízeno zákonem. Většina českých bank ho řeší pomocí vlastních mobilních aplikací, které placení na internetu zjednodušují.

Česká spořitelna nabízí svým klientům pro ověření totožnosti při online platbách kartou aplikaci George klíč. Díky ní je provádění plateb nejen bezpečnější, ale také jednodušší a příjemnější. Klienti totiž nemusí přepisovat potvrzovací kódy z SMS zpráv, ale platby jednoduše potvrdí PINem, otiskem prstu či scanem obličeje.

„Aplikaci George klíč pro bezpečné a jednoduché potvrzení transakcí v digitálním bankovnictví používá už každý druhý z našich klientů, kteří platí kartou na internetu alespoň jednou za měsíc,“ říká Jan Hailich, manažer platebních řešení České spořitelny. Podle Hailicha bude v průběhu tohoto roku aplikaci George klíč používat více než 80 % klientů České spořitelny.

Zákazníkům, kteří nevlastní chytrý telefon, banky většinou stále umožňují ověřit platbu kartou pomocí SMS kódu a ePINu, což je pevně daný kód určený speciálně pro platby kartou na internetu.

Jakou roli hraje při potvrzování plateb technologie 3D Secure?

Jako technické řešení, které vyhovuje standardu SCA, se v Evropě nejčastěji používá technologie 3D Secure (3DS). Jde o bezpečnostní protokol, který původně vyvinula karetní společnost Visa v roce 1999. Později převzala jeho vývoj firma EMVco. Nyní ho jako standardní metodu ověřování online transakcí používá většina vydavatelů platebních karet.

3DS využívá data ze tří domén – proto 3D. Informace čerpá jak od vydavatele karty (tedy banky, která vydala kartu zákazníka), tak od takzvaného acquirera (neboli banky obchodníka, která transakci zpracovává) a karetní asociace (v čele s MasterCard a Visa). Tyto tři strany si při ověřování transakce přeposílají zašifrované údaje, aby vyhodnotily, jestli kartou skutečně platí její majitel. Díky tomu se výrazně snižuje riziko podvodu.

platební karta v klávesnici

Lepší zabezpečení plateb

3DS podporuje třeba ověřování pomocí biometrických údajů a pracuje s informacemi, jako je transakční historie klienta. Pokud by ale k podvodu přeci jen došlo, odpovědnost přechází na banku, nikoliv na obchodníka. Zvýšená bezpečnostní kritéria reagují na přibývající počet podvodů na internetu.

Jak uvádí informační server Evropa v datech, přibližně 23 % Čechů už má zkušenost s podvodem při online nákupu. Z loňského průzkumu agentury Ipsos pro Evropskou unii zase vyplývá, že s nějakým typem podvodu na internetu se setkalo 56 % Evropanů a téměř čtvrtina z nich přišla o peníze.

Vzestup online nakupování

Česko má za sebou historický rok, pokud jde o nakupování na internetu. Světová pandemie covidu-19 si vynutila změny v našem životním stylu i nákupním chování – a to přirozeně urychlilo i vývoj tuzemského online trhu.

Jak vyplývá z analýzy Asociace pro elektronickou komerci (APEK), Češi vloni utratili při online nákupech rekordních 196 miliard Kč, což je o 26 % víc než v roce 2019. Podle dat České spořitelny jen během vánočních svátků stoupl meziroční objem internetových plateb kartou o 60 %. Letos asociace očekává, že tržby dokonce překonají hranici 200 miliard.

Podle údajů APEK se internetový prodej oproti roku 2019 zvýšil především u knih a e-knih, filmů a her, jídla, sportovních potřeb, nábytku a produktů pro dům a zahradu. Zájem rostl i o specifické druhy zboží, jako jsou erotické hračky, domácí pekárny nebo webkamery.

Důležitá je správná implementace 3DS

U obchodníků, kteří provozují e-shop, ale jejich platební brána 3DS nepodporuje, mohou být platby zamítány, protože je nebude možné správně ověřit. Obchodník by se v takovém případě měl obrátit na provozovatele platební brány a domluvit se s ním na podpoře 3D Secure řešení.

Podle VISA/MasterCard přes 80 % obchodníků v České republice už technologii 3DS podporuje, což je v evropském kontextu dobrý výsledek. Nicméně to znamená, že zhruba pětina obchodníků u nás musí 3DS na svých e-shopech teprve zprovoznit. Třeba ve Velké Británii používá 3DS 76 % obchodníků, ve státech jako Norsko a Švédsko zase mezi 83 a 86 %, jak vyplývá z dat bezpečnostní firmy Ravelin.

Zavádění 3DS může mít, podobně jako každá nová platební technologie, svá úskalí i pro zákazníky. Zejména ti, kteří nepoužívají chytrý telefon, budou občas muset při ověřování platby vyplňovat SMS kód i ePIN. Je proto dobré si ho připravit ještě před zadáním platby. Pokud totiž při potvrzování platby není ePIN včas vyplněn, může dojít i k zamítnutí transakce.

„Nejčastější příčinou nedokončení transakce je tzv. time out, tedy neověření spotřebitele a údajů o jeho kartě ve stanoveném časovém limitu. Tento důvod v současnosti představuje dvě třetiny všech zamítnutí,“ uvedl pro Seznam Zprávy Luděk Slouka ze společnosti MasterCard.

Silné ověření klienta a stále se zlepšující bezpečnostní certifikáty jsou cestou k bezpečnějšímu a pohodlnějšímu placení na internetu. Je nicméně důležité, aby 3DS bylo správně implementované u obchodníků a aby ho i zákazníci uměli správně používat.

Slovníček pojmů:

PSD2 (Payment Services Directive)
Nová evropská směrnice o platebních službách, která ukládá obchodníkům a e-shopům povinnost zavést u online plateb kartou takzvané silné ověření klienta (SCA). Platí od 14. září 2019.

SCA (Strong Client Authentication)
Silné ověření klienta, které při ověřování totožnosti zákazníka platícího kartou na internetu kombinuje dvě ze tří bezpečnostních kategorií: znalost, vlastnictví a jedinečnost. Vychází se z toho, že pouze klient něco ví (heslo, PIN), něco vlastní (telefon, chytré hodinky) a je něčím jedinečný (biometrické údaje jako otisk prstu nebo scan obličeje).

3D Secure
Metoda dvoufázového ověření plateb kartou na internetu, která podporuje silné ověření klienta.

ePIN
Pevně daný kód, který se někdy používá jako jedna ze složek dvoufázového ověření plateb na internetu.

Mohlo by vás ještě zajímat