Ir para o conteúdo

O webinar Seamless SCA da Signifyd ajuda a educar sobre PSD2

Assine a Newsletter

Acompanhe as últimas novidades sobre o e-commerce como os varejistas podem continuar conduzindo negócios pós-coronavírus

barra lateral ipad

When the new PSD2 requirements were announced for the European Economic Area (EEA), merchants and customers had a lot of questions and few answers. The regulations promise a more secure online payment environment for everyone, but the challenges in implementing requirements like strong customer authentication (SCA payments) and delays in the official timeline for enforcement have diverted attention from the good that comes with PSD2 strong customer authentication regulation and SCA..

Signifyd recently hosted a webinar with Vendorcom Chairman Paul Rodgers to introduce its new Seamless SCA product and help merchants understand what they can do to get up to speed on PSD2 authentication requirements in the EEA. The webinar featured a demo of Seamless SCA plus background on the new regulations. We’re sharing a few key questions from the webinar with clear, concise answers to help merchants understand the requirements better.

Pontos-chave: 

  • O último webinar da Signifyd se concentra na PSD2 e em como o novo produto Signifyd Seamless SCA ajuda os varejistas a fornecer as atualizações de privacidade necessárias aos consumidores.
  • Os líderes da Signifyd e o especialista em SCA Paul Rodgers esclarecem o que a PSD2 e as siglas associadas (SCA, 3DS) significam para ajudar os consumidores a entender melhor as futuras regulamentações no Espaço Econômico Europeu (EEE).
  • Nossa equipe de especialistas incentiva mais educação e transparência entre varejistas, consumidores e provedores de pagamento para ajudar todos a entender melhor os regulamentos da PSD2.

PSD2, 3DS, SCA: O que essas siglas significam? 

No webinar, os líderes da Signfiyd J. Bennett e Ed Whitehead definiram o que cada um dos acrônimos principais para os regulamentos PSD2 representam:

  • PSD2 é a segunda Diretiva de Serviços de Pagamento (o número 2 foi abordado até o final da sigla para atualizar a diretiva). O principal objetivo do PSD2 é regular os serviços de pagamento e os prestadores de serviços de pagamento na União Europeia (UE) e na EEE. A defesa do consumidor é um princípio fundamental das regulamentações, e os provedores de pagamento têm direitos e obrigações específicas para aceitar pagamentos de comércio eletrônico.
  • SCA significa autenticação forte do cliente. É o principal método para provedores de serviços de pagamento e varejistas protegerem suas transações na PSD2. A SCA exige uma autenticação básica de dois fatores para aumentar a segurança dos pagamentos eletrônicos e autenticar uma compra.
  • 3DS significa 3-D Secure ou Three Domain Secure. Ele permite que os consumidores autentiquem suas compras diretamente com o emissor do cartão ao fazer compras de comércio eletrônico com cartão não presente (CNP). A camada de segurança adicional ajuda a evitar transações não autorizadas de CNP e protege o e-commerce contra fraudes. Os três domínios se referem ao e-commerce, emissor de pagamento e provedor de sistemas de pagamento.

All three of these security protocols or layers seek to protect consumers, merchants and payment providers against fraud in ecommerce purchases. Their tight relationship helps define why additional security is essential for better ecommerce operations. PSD2 SCA solutions requires better security protocols — which is why Signifyd hosted the webinar to introduce Seamless SCA and share insights into the current issues merchants and consumers face in the EEA.

Quais são os três métodos de autenticação para o SCA?

O objetivo da SCA é obter as informações necessárias para autenticar pagamentos em um nível mais pessoal. A privacidade é mais importante na SCA, tanto na defesa de informações pessoais quanto em trazer o controle dos dados da transação de volta para cada usuário.

A PSD2 requer pelo menos dois fatores de autenticação para a SCA. Cada um desses métodos se enquadra em um grupo exclusivo de dados que se relaciona diretamente com o usuário autorizado: algo que você sabe, algo que você tem e algo que você é.

O que você sabe são informações protegidas por medidas de mitigação para impedir a divulgação a terceiros. É o primeiro passo para testar se uma pessoa real e autorizada está solicitando a transação.

  • O que funciona: Questões de desafio baseadas em conhecimento. Somente o usuário autorizado deve saber as respostas para identificar perguntas como: “Qual era o apelido da sua avó enquanto crescia?”
  • O que não funciona: detalhes da carteira em si. Qualquer um pode obter essas informações para transações CNP. Graças à sofisticação em evolução da arte golpista, os detalhes do cartão são mais fáceis de deslizar do que nunca. Tenha em mente que os números podem ser memorizados e usados em qualquer transação CNP.

O que você tem é uma validação segura, dinâmica gerada ou recebida no seu dispositivo. O processador de pagamento enviará algum tipo de solicitação de autorização ao comprador para determinar se o pedido é legítimo. O usuário autorizado deve responder para validar a solicitação para finalizar a transação.

  • O que funciona: Uma assinatura gerada por um dispositivo por meio de um token de hardware ou software. O usuário autorizado deve iniciar o envio do token para concluir a transação, geralmente em um breve período de tempo (geralmente menos de 15 minutos).
  • O que não funciona: um aplicativo instalado sem registro. Não há nada sobre o aplicativo que garanta transações seguras fora da caixa. Etapas extras são muitas vezes necessárias para autenticar o usuário dentro do aplicativo, e a partir daí são recomendadas camadas extras de segurança.

What you are is a human’s physical feature, physiological characteristic or behavioural process. It’s the most secure of the three payment SCA authentication methods because it’s the most unique and personal of all — because these characteristics belong only to the person and cannot be copied (not yet, at least). Biometrics is making huge strides in the security technology space for this very reason.

  • O que funciona: Digitalização de impressão digital ou íris. Os hackers ainda não determinaram como decifrar a biometria em uma escala confiável. Como é impossível (ou pelo menos não recomendado) arrancar a pele ou arrancar o olho para compartilhar informações biométricas como essa, é muito mais difícil para os golpistas conseguirem material biológico para tirar suas garras nas sombras.
  • O que não funciona: EMV 3-D Secure por conta própria. A Autoridade Bancária Europeia em junho explicou em um memorando que “protocolos de comunicação como o EMV 3-D Secure versão 2.0 e mais recente não parecem constituir elementos de inerência, uma vez que nenhum dos pontos de dados, ou sua combinação, trocados através desta ferramenta de comunicação parece incluir informações relacionadas à biometria biológica e comportamental.”

A autenticação multifator da SCA pode ser dividida em dados ainda mais granulares. No webinar, Bennett compartilhou uma visão geral dos fatores usados na SCA e como eles se encaixam nos principais aspectos da facilidade de uso e segurança, porque a experiência do cliente está no centro de uma estratégia de SCA bem-sucedida.

Quais métodos de autenticação funcionam para o SCA?

Idealmente, os métodos de autenticação para SCA devem proporcionar alta facilidade de uso e segurança. Os clientes querem que seus dados pessoais e de pagamento sejam seguros, mas fazê-los passar por muitos obstáculos para concluir uma transação leva ao abandono do carrinho. Alguns métodos aceitáveis de SCA são menos seguros do que outros, embora atendam aos padrões de segurança. Os varejistas devem considerar as necessidades de seus clientes e sua capacidade de investir e implementar métodos de segurança que ofereçam suporte à melhor experiência de compra possível.

No webinar, Bennett apresentou um modelo de matriz mostrando onde os métodos SCA mais comuns chegam às duas escalas de facilidade de uso e segurança. Os melhores métodos de autenticação combinam usabilidade e segurança, como um token enviado diretamente para o dispositivo do usuário autorizado para cada transação, ou dinâmicas de pressionamento de tecla que correspondem aos padrões de comportamento do usuário autorizado.

Outros métodos que não marcam todas as caixas ainda são seguros para uso para SCA. Por exemplo, o reconhecimento de veias tem uma alta facilidade de uso, mas oferece menor segurança do que outras opções. Outro método, como uma frase secreta, tem uma pontuação baixa tanto na escala de usabilidade quanto na de segurança, em parte porque inserir várias palavras pode ser um desafio em um dispositivo móvel. Mas cada um é um método SCA aprovado e pode funcionar com a implementação correta.

Qual é a linha do tempo para a PSD2?

PSD2 SCA solutions might look like hard deadline. At this point, different authorities in different jurisdictions are sending different messages about when the requirements will be enforced. The UK, for instance has sketched an 18-month rollout, while the competent authority in France has released a timeline spanning two years.  Part of the problem in implementing the tougher security standards is a lack of leadership and guidance in the EEA, as webinar guest host Paul Rodgers pointed out. Rogers, chairman of Vendorcom and Payment Systems Regulator panel member, cited poor policy alignment between different countries in Europe.

O “prazo” de 14 de setembro de 2019 foi definido como a data de aplicação original da SCA. Agora, em apenas alguns dias, esse “prazo” se tornou mais um alerta para chamar a atenção dos varejistas e incentivá-los a serem educados sobre PSD2 e SCA.

Rodgers apresentou um slide com o cronograma de implantação gerenciada endossado pela Autoridade de Conduta Financeira no Reino Unido. Esse plano reconhece a data oficial de início de 14 de setembro e estabelece três etapas para a aplicação total esperada do regulamento no início de 2021. Até 14 de março de 2020, os varejistas devem concluir suas avaliações de provedores de pagamento em conformidade com a SCA. A fase dois é o período de implementação e teste das soluções SCA e termina em 14 de setembro de 2020. A fase final é onde os varejistas devem implementar e otimizar suas novas opções de pagamento seguras até 14 de março de 2021 - a data de aplicação da PSD2 designada (por enquanto).

O lançamento em três estágios foi desenvolvido para ajudar os varejistas a aumentar seus sistemas de pagamento para incluir soluções prontas para PSD2. Cada fase é espaçada ao longo de seis meses para ajudar os varejistas a avançar gradualmente para a implementação. Os próximos 18 meses são cruciais para a implementação bem-sucedida da PSD2 e da SCA. Com ferramentas como o Seamless SCA da Signifyd, os varejistas podem chegar lá um pouco mais rápido.

Como os varejistas podem se preparar para os próximos requisitos do PSD2?

In the webinar, Rodgers advocated for harmonized language around SCA and PSD2 requirements to empower merchants and customers. He created the #SCADay tag on LinkedIn to share his expertise on the issues and to break down communication barriers.

Rodgers disse que a resposta da mídia britânica à PSD2 não forneceu muitas informações acionáveis, alimentando respostas negativas ao conjunto de regulamentos projetados para proteger as pessoas, não para tirar nada delas. Adicione isso às abordagens conflitantes de bancos e emissores de pagamentos, e é fácil ver por que varejistas e consumidores não sabem onde encontrar as informações certas para ajudá-los a implementar a SCA.

Por meio de atividades como este webinar e #SCADay no LinkedIn, Rodgers criou uma conversa aberta da SCA que ele espera que se torne um diálogo generalizado entre qualquer pessoa que faça compras online e dependa de pagamentos CNP. Ele também está determinado a educar os consumidores sobre golpes que usam SCA em tentativas de phishing e ajudá-los a identificar métodos legítimos de SCA de tentativa de roubo de identidade.

A mudança está chegando - aprenda a abraçá-la

A principal conclusão da apresentação de Bennett, Whitehead e Rodgers é que é melhor trabalhar com PSD2 e SCA do que contra ele. Como Bennett disse no comunicado de imprensa da Signifyd anunciando o lançamento do Seamless SCA, “Estratégias de prevenção, como otimizar isenções para contornar a necessidade de SCA, não são uma solução real. Oferecer uma ótima experiência de SCA é. Os varejistas que se preparam agora terão uma vantagem competitiva quando a fiscalização começar.”

PSD2 and SCA are designed with the best interests of merchants and consumers in mind. The webinar “Meet PSD2 Requirements With Signifyd Seamless SCA” is now available to watch on-demand. Get an overview of the Seamless SCA product with a live demo on an ecommerce storefront and an expanded look at how SCA and PSD2 work together to protect consumer privacy.

Assista ao webinar sob demanda agora.

Chris Martinez

Chris Martinez

Chris é estrategista de conteúdo na Signifyd.