1. Introductie

We adviseren je deze functies niet meer te gebruiken, zodat je aan  PSD2 voldoet.

Het selectieve gebruik van de 3-D Secure-functie maakte deel uit van de nu langzamerhand afgeschreven 3DSv1. We voerden dit oorspronkelijk in om je de mogelijkheid te geven uitzonderingen en vrijstellingen voor 3-D Secure af te handelen, wat hoge conversieratio's garandeerde voor transacties met een minimaal risico.

Met de introductie van PSD2 is nu de nieuwe 3-D Secure versie 2 beschikbaar. Dit vervangt de oorspronkelijke 3-D Secure. Deze nieuwe versie definieert haar eigen vrijstellingen en uitzonderingen voor 3-D Secure. Het selectieve gebruik van de 3-D Secure-functie voldoet niet aan deze definities.

We raden je met klem aan een andere benadering te hanteren als je zowel aan PSD2 wilt voldoen als deze uitsluitingen/uitzondering wilt afhandelen. Werp een blik op onze specifieke hoofdstukken over 3-D Secure voor Gehoste betaalpagina/DirectLink voor meer informatie hierover.

3-D Secure (ook wel 3D secure authentication of 3DS) is een fraudepreventieprotocol dat het mogelijk maakt de kaarthouder te identificeren door online authenticatie te vragen. Helaas kan 3DS niet alleen het betalingsproces compliceren voor je klanten, het kan ook voorkomen dat geldige en eerlijke transacties succesvol worden voltooid bij het afrekenen.

Je kunt gelukkig Selective use of Selectief gebruik van 3-D Secure gebruiken om:

  • Te combineren met andere anti-fraudemodules van Worldline.
  • De perfecte balans te vinden tussen fraudebescherming en het handhaven van een probleemloos afrekenproces voor je klanten.
  • 3-D Secure te deactiveren voor transacties met lage bedragen.

Je hebt een actief abonnement op Fraud Expert Scoring of Fraud Expert Checklist nodig om deze service te gebruiken. Neem contact op met een vertegenwoordiger van Worldline als je nog geen abonnement hebt.

.

2. Voordat we beginnen

De tool Selective use of 3-D Secure moet samen met een van de volgende fraudedetectiemodules worden gebruikt:

Deze handleiding laat je stapsgewijs zien hoe je 3-D Secure (3DS) kunt deactiveren voor transacties die als een laag risico worden beschouwd door FDMAs of FDMAc.

Als eerste stap moet je controleren of je abonnement op FDMAc of FDMAs is geactiveerd. Je kunt dit doen door naar Configuration > Account > Your options te gaan in je account.  Neem contact op met ons supportteam als dit niet is geactiveerd. 

3. Configuratie

Zodra je fraudeabonnement actief is, kunnen we de 3DS-instellingen configureren.

Configure 3DS settings

Ga naar Advanced > Fraud Detection. 3DS moet voor elke betalingsmethode afzonderlijk worden geconfigureerd. Selecteer onder 3-D Secure een betalingsmethode door op EDIT te klikken. Elk van deze instellingen zal de 3D-Secure-voorkeuren annuleren die je met CAP1 of CAP2 hebt geconfigureerd (m.a.w. een Force Review-regel zal worden genegeerd)

De onderstaande tabel biedt een richtlijn voor mogelijke instellingen die je kunt configureren.

Beschrijving van instellingen Verklaring
Deactiveer 3-D Secure voor het volgende BIN Voer de eerste zes cijfers van een creditcard in
Deactiveer 3-D Secure als het transactiebedrag lager is dan X EUR. Als een transactie lager is dan een specifiek bedrag, zal 3DS niet worden geactiveerd
3-D Secure uitschakelen voor het volgende kaartland. Alleen beschikbaar voor Visa / MasterCard / American Express / Diners
3-D Secure uitschakelen voor het volgende IP-land.
3-D Secure deactiveren als Global Fraud Score rood is Alleen beschikbaar als u gebruik maakt van Checklist of Scoring en Fraud Expert
3-D Secure deactiveren als Global Fraud Score groen is Alleen beschikbaar als u gebruik maakt van Checklist of Scoring en Fraud Expert

Selective use of 3DS

Je kunt items toevoegen door een specifieke waarde op te geven in de invoervelden of door een item te selecteren in het vervolgkeuzemenu. Verwijder items door Delete in te schakelen. Je bevestigt acties door op SUBMIT te klikken.

Opmerking: het is mogelijk dat als je deze instellingen gebruikt, je geen gebruik kunt maken van de voorwaardelijke betalingsgarantie in het geval van terugboekingen. Neem contact op met je verwerver voor meer informatie.

Als je meer dan één instelling hebt geconfigureerd, zal 3DS ook worden gedeactiveerd als er maar aan één voorwaarde wordt voldaan.   Neem contact op met onze fraude-experts als je met meerdere voorwaarden wilt werken.

Veelgestelde vragen

3DS v2

Vanaf 1ste januari 2021 in Europa, en in VK vanaf 14de september 2021 worden de Strong Customer Authentication (SCA)-regels van kracht voor alle digitale betalingen in Europa. Op dit moment werken banken, betalingsdienstaanbieders en kaartnetwerken allemaal aan technische oplossingen die voldoen aan de vereisten van PSD2. Om betalingen na 1ste januari 2021 te kunnen accepteren, moet u ervoor zorgen dat uw webshop gebruik maakt van deze technische oplossingen.

Het accepteren van betalingen van 's werelds grootste kaartnetwerken, Visa, Mastercard en American Express, vereist dat u de beveiligingsoplossing Secure voor uw webshop heeft geïmplementeerd. Secure is sinds 2001 in gebruik om de beveiliging van online kaarttransacties te verbeteren. Nu is er een nieuwe versie ontwikkeld die de PSD2 Strong Customer Authentication-vereisten vergemakkelijkt.

Wij raden aan om Secure te gebruiken, omdat het helpt om fraude te voorkomen en het u beschermt tegen aansprakelijkheid in geval van fraude. Vanaf 1ste januari 2021 wordt het ook een vereiste om de betalingen van grote kaartmerken te accepteren.

In januari 2018 is de tweede Payment Services Directive (2015/2366 PSD2) van de Europese Unie van kracht geworden. PSD2 heeft als doel het garanderen van consumentenbescherming voor alle betaalmethodes. Daarnaast moet het binnen de sector van betalingen meer openheid en concurrentie stimuleren. Als payment service provider zijn we er trots op om sinds 29 mei 2018 te voldoen aan de PSD2-standaarden.

Een van de belangrijkste vereisten van PSD2 heeft betrekking op Strong Customer Authentication (SCA) dat verplicht is voor alle elektronische transacties in de EU vanaf 1ste januari 2021, en in VK vanaf 14de september 2021. SCA vereist van kaarthouders dat zij zichzelf authenticeren met tenminste TWEE van de volgende drie methoden:

• Iets wat zij weten (PIN, wachtwoord, …)

• Iets wat zij bezitten (kaartlezer, mobiel, ...)

• Iets wat zij zijn (stemherkenning, vingerafdruk, …)

Dit betekent dat uw klanten in de praktijk niet meer online met hun creditcard kunnen betalen door alleen de informatie op hun kaarten te gebruiken. In plaats daarvan moeten ze bijvoorbeeld hun identiteit laten verifiëren in een bank-app die is verbonden met hun telefoon en die een wachtwoord of vingerafdruk vereist om de aankoop goed te keuren.

Meer informatie over PSD2 kunt u hier terugvinden: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf







3DSv2 verzoekt handelaren om extra informatie te sturen (verplicht / aanbevolen ...). Alles wat u als handelaar moet weten, is hier te vinden:

Voldoen aan PSD2 

COF in het kort: de klant initieert een eerste transactie met een handelaar met een 3D-S (CIT). Vanaf deze eerste transactie-ervaring, heeft de handelaar de mogelijkheid herhalende transacties uit te voeren (abonnement of met toestemming van de klant -> tokenisatie), gemarkeerd als MIT-transacties.

MIT zijn een van de uitzonderingen waarin binnen de 3DSv2. is voorzien, indien deze aan de volgende cumulatieve voorwaarden voldoen:

  • volgende transacties van een initiële CIT 
  • CIT is uitgevoerd met een verplichte authenticatie
  • Er is een dynamische ID-link gemaakt tussen de initiële CIT en de daarop volgende MIT's

Na de initiële authenticatie kunnen uitzonderingen/uitsluitingen van toepassing zijn:

  • Of vanwege legale terugkerende uitzonderingen die van toepassing zijn op abonnementen met een vast bedrag en vaste periodiciteit (handelaren wordt aanbevolen voor het volledige bedrag te authentiseren + details over aantal overeengekomen betalingen te verstrekken aan kaarthouders)
  • Of omdat andere types transactie zijn uitgesloten van het SCA-bereik... volledig voor eigen risico van de handelaar in het geval van een terugvordering (bescherming beperkt tot geauthentiseerd bedrag) EN noodzaak voor verstrekker om te accepteren dat dit risico wordt genomen:
    • Ongeplande COF: principe van volgende transacties wordt overeengekomen met kaarthouder, maar bedrag en/of periodiciteit worden niet vastgezet
    • Gangbare praktijk: incrementeel, no-show, etc..

Voor de transitieperiode, hebben betalingsschema's een gedefinieerd standaard-ID dat dient te worden gebruikt voor volgende MIT's die worden gemaakt voordat 3DS v2 wordt geïntroduceerd.

We hebben hierover geen informatie, aangezien de uitgevers ons hierover nog geen betrouwbare gegevens hebben verstrekt. MasterCard voert momenteel onderzoek uit in Europa, maar de resultaten kunnen per land drastisch verschillen.  De status zal blijven veranderen tot september. In januari 2019 had slechts 2/3 van de uitgevers de EMVCo v2.1- certificatie voltooid en binnen deze lijst van uitgevers fluctueerde ondersteuning van uitzonderingen van 80% (terugkerend) tot 50% (whitelisting).

Als u onze Worldline betaalpagina gebruikt, zal Worldline voor alle verplichte gegevens zorgen.

Als u DirectLink geïntegreerd heeft, wat betekent dat u uw eigen betaalpagina aanbiedt, hebben wij een Javascript-voorbeeld beschikbaar gesteld op onze Support-website om de verplichte gegevens te kunnen verzamelen.

Voor het verzamelen van optionele gegevens verwijzen we naar onze Support-pagina over hoe de integratie met Worldline moet gebeuren.

Uitgevers kunnen beslissen de authenticatie over te slaan, tenzij de authenticatie een verplichte stap is (m.a.w. bij het registreren van een kaart of een eerste transactie van een reeks terugkerende transacties). Bij een dergelijk scenario zal de uitgever aansprakelijk zijn in het geval van een terugvordering.
Add Card value verwijst naar gevallen waarbij een walletprovider 3DS-protocol gebruikt om een kaart aan hun wallet toe te voegen. Dit wordt geïmplementeerd door de respectieve walletprovider.

3-D Secure versie 2 is een update van de bestaande Secure versie 1-programma's: Verified by Visa, Mastercard SecureCode, American Express SafeKey, Diners/Discover ProtectBuy en JCB J /Secure. Het is gebaseerd op een specificatie die is opgesteld door EMVCo. EMVCo maakt wereldwijd onderlinge uitwisselbaarheid en acceptatie van beveiligde betalingstransacties mogelijk. Het wordt beheerd door EMVCo's zes leden - American Express, Discover, JCB, Mastercard, UnionPay en Visa - en wordt ondersteund door tientallen banken, handelaren, verwerkers, verkopers en andere belanghebbenden in de sector die deelnemen als EMVCo Associates.

Een van de belangrijkste verschillen met versie 1 is dat in versie 2 de kaartuitgevende instantie veel gegevens kan gebruiken om het risico van de transactie te bepalen. Dit gebeurt via een risico gebaseerde analyse. Voor transacties met een laag risico zullen kaartuitgevers de transactie niet betwisten (bijvoorbeeld geen SMS naar de kaarthouder sturen), hoewel de transactie wel wordt geverifieerd (betaalproces zonder frictie). Omgekeerd zullen kaartuitgevers voor transacties met een hoog risico van de kaarthouder vereisen dat zij zich authenticeren met een SMS of biometrische middelen (‘challenged flow’).

De Strong Customer Authentication (SCA), die vereist is vanaf 1ste januari 2021 in Europa, en in VK vanaf 14de september 2021  zoals aangeduid in PSD2, zal resulteren in een aanzienlijke toename van het aantal transacties waarvoor 3-D Secure authenticatie vereist is. Het gebruik van 3-D Secure versie 2 zou de potentiële negatieve impact op conversie zoveel mogelijk moeten beperken.

Kort gezegd betekent 3-D Secure versie 2 het volgende:

• U moet 3-D Secure vóór 1ste januari 2021 implementeren als uw transacties binnen de EU PSD2 SCA-richtlijnen vallen (voor het geval u 3-D Secure nog niet ondersteunt).

• U wordt geadviseerd (en voor sommigen is dit vereist) om extra gegevens te sturen voor de risico-analyse door de kaartuitgever in het geval van 3-D Secure versie 2.

• Wellicht moet u uw privacybeleid bijwerken met betrekking tot AVG/GDPR, omdat u mogelijk extra gegevens deelt met derden.

• De gebruikerservaring voor uw klanten zal sterk verbeteren.



De verwachting op de markt is dat een aanzienlijk percentage van de transacties het betaalproces zonder frictie zal doorlopen mede dankzij 3-D Secure versie 2, wat niets extra’s van de kaarthouder vereist vergeleken met het huidige betaalproces zonder 3-D Secure.

Dit betekent dat u profiteert van een veiliger betaalproces en een verschuiving van de aansprakelijkheid dankzij 3-D Secure, terwijl de conversie niet negatief wordt beïnvloed.

Deze situatie is alleen mogelijk als u alleen via DirectLink geïntegreerd bent (eigen pagina handelaar / FlexCheckOut), aangezien in door Worldline gehoste betalingspagina's, Worldline de verplichte gegevens verzameld.

Ten eerste zal Worldline de flow die naar v1 of v2 wordt geleid, identificeren op basis van de kaartnummers.

Als de kaart geregistreerd V2 is, zijn de volgende scenario's mogelijk:

Verplichte gegevens:

  • Indien de verkeerde gegevens worden doorgegeven, wordt de transactie geblokkeerd
  • Indien gegevens ontbreken, leidt Worldline uw transactie naar v1-flow
  • Indien er geen gegevens worden doorgegeven, wordt de transactie NIET geblokkeerd, maar omgeleid naar flow v1
Aanbevolen of optionele gegevens:
  • als er geen gegevens worden doorgegeven, wordt de transactie NIET geblokkeerd maar kan hierop geen uitzondering van toepassing zijn.
Aangezien dit wordt gedefinieerd door de gereedheid van de verwervers, hangt de beschikbaarheid van 3DSv2 af van de afzonderlijke verwerver. 
De meeste Franse verwervers zullen op 14 september 2019 wel SCA ondersteunen, maar nog geen uitzonderingen. De introductie van uitzonderingen wordt tussen oktober 2019 en maart 2020 beschikbaar gesteld door de afzonderlijke verwervers.

Om zaken gemakkelijker te maken voor zowel verkopers als consumenten, biedt PSD2 enkele vrijstellingen van Strong Customer Authentication. Het is belangrijk op te merken dat alle transacties die in aanmerking komen voor een vrijstelling niet automatisch worden vrijgesteld. In het geval van kaarttransacties bijvoorbeeld is het de kaartuitgevende bank die beslist of een vrijstelling wordt goedgekeurd of niet. Dus zelfs als een transactie in aanmerking komt voor een vrijstelling, moet de klant zich mogelijk nog steeds authenticeren als de kaartuitgevende bank hierom vraagt.

Op ons testplatform staat alles klaar om met het testen te kunnen beginnen.

Wij gebruiken een simulator om verschillende scenario's na te kunnen bootsen. Testkaarten zijn voorzien en kunnen zowel op de Support-website als in de testomgeving gevonden worden (Configuratie > Technische instellingen > Testinfo).

Als je met de versie 2 van 3DS in productie willen beginnen te gebruiken, neem contact met ons op

We zijn bezig met de certificering voor v2.2 en deze zal in het vierde kwartaal van 2020 in productie zijn.

We hebben tegelijkertijd met de platformrelease in juli ook de details voor transactieoverzichten uitgebreid. Afzonderlijke transacties die nu toegankelijk zijn, bevatten gedetailleerde informatie over welke flow (legacy 3DS v1 of 3DSv2) is toegepast. U vindt meer informatie in onze opmerkingen bij Release 04.133 in de Backoffice via Support > Platform Releases > Release 04.133

Daarnaast hebben we de nieuwe parameter VERSION_3DS toegevoegd aan onze elektronische rapporteringtool.

De mogelijke waarden voor VERSION_3DS zijn

V1  (voor 3DS v1)
V2C (voor 3DS v2-verificatieflow)
V2F (voor 3DS v2 wrijvingsloze flow) 

Volg de instructies in deze video als u deze parameter wilt toevoegen aan uw transactiebestanddownloads:

Uitsluitingen zijn transacties die BUITEN de scope vallen van PSD2 SCA-voorschriften:

• Postorder / bestelling via telefoon
• ‘One leg’-transacties - De PSP van de ontvanger (m.a.w. verwerver van de Handelaar) of de PSP van de betaler (m.a.w. verstrekker van de betalingsmethode van de Koper) ligt buiten de EER-zone
• Anonieme prepaidkaarten tot maximaal €150 (artikel 63)
• MIT - door de handelaar gestarte transacties 

Vrijstellingen zijn transacties die BINNEN de scope vallen van PSD2 SCA-voorschriften:

• Transacties met lage waarde
• Abonnementen
• Risico-analyse
• Whitelisting


In een geval als dit zal Worldline automatisch overschakelen op 3-D Secure v1.

De EBA (Europese Bankautoriteit) en nationale banken in elk betrokken land zijn een overgangsperiode overeengekomen (tot minimaal maart 2020). Dit geeft elke deelnemer in de eCommerce-bedrijfstak de kans alle details te verduidelijken die op deze nieuwe regelgeving betrekking hebben. We raden echter nog steeds met klem aan dat u zo snel mogelijk 3DS activeert in uw account(s).

Aangezien onze TEST-omgeving gereed is, adviseren wij u om uw integratie zo snel mogelijk te testen.

Klik hier als u gebruik maakt van de eCommerce pagina. Als u een eigen pagina gebruikt, klik dan hier.

Als de uitgever de nieuwe PSD2-regelset toepast terwijl 3D-Secure (3DS) niet actief is voor de account van de handelaar, wordt de transactie met een nieuwe foutcode 'soft decline' geweigerd. Zorg er daarom voor dat 3DS actief is voor elk betalingsmethodes in jouw account(s). Als je via DirectLink geïntegreerd bent, moet jij het mechanisme van 'soft decline' zoals beschreven in onze DirectLink handleiding, invoeren.

Aangezien 3DSv2 wrijvingsloze authenticatie introduceert, is het mogelijk dat de verwerkingstijd voor transacties wordt gereduceerd. Aan de andere kant kan de verwerkingstijd langer zijn als om SCA (sterke klantauthenticatie) wordt verzocht.