Carding 4 Carders
Professional
- Messages
- 2,724
- Reaction score
- 1,586
- Points
- 113
Директива о платежных услугах 2 (PSD2) вступила в силу с 12 января 2016 года. Ключевым моментом PSD2 является защита потребителей при удаленных или онлайн-транзакциях. Кроме того, с 14 сентября 2019 г. будут введены нормативные технические стандарты (РТС). Наряду с наиболее обсуждаемыми темами, такими как надежная проверка подлинности клиентов (SCA), сторонние поставщики (TPP) и общая и безопасная связь (CSC).
Динамическое связывание - это дополнительное требование к SCA, введенное в RTS для снижения риска мошенничества. Динамическое связывание - это когда генерируется код аутентификации, где элементы транзакции динамически связаны с суммой и получателем, указанными плательщиком при инициировании транзакции. Согласно RTS, Dynamic Linking предъявляет следующие требования:
EMVCo описывает потребителя, представленного QR в спецификации QR-кода EMV, следующим образом:
Потребители могут совершать покупки, используя QR-коды, которые генерируются в их мобильных приложениях, выбрав опцию QR для оплаты. Этот QR-код будет использовать учетные данные, связанные с EMV-картой потребителя, которая ранее была предоставлена на их мобильном устройстве. После того, как QR-код был сгенерирован и отсканирован продавцом, транзакция завершается.
EMVCo также поясняет, что эти транзакции всегда авторизуются онлайн, и вышеупомянутое сканирование QR-кода является односторонней передачей данных с мобильного устройства на устройство Point of Interaction. Следовательно, QR-код не содержит данных от устройства Point of Interaction.
Государства-члены должны гарантировать, что поставщик платежных услуг применяет надежную аутентификацию клиента, если плательщик:
(а) получает доступ к своему платежному счету в Интернете;
(б) инициирует транзакцию электронного платежа;
(c) осуществляет любые действия через удаленный канал, которые могут подразумевать риск мошенничества с платежами или других злоупотреблений.
« Что касается инициирования электронных платежных транзакций, как указано в пункте (b) параграфа 1, государства-члены должны гарантировать, что для электронных удаленных платежных транзакций поставщики платежных услуг применяют надежную аутентификацию клиента, которая включает элементы, которые динамически связывают транзакцию с конкретная сумма и конкретный получатель ».
Кроме того, Европейское банковское управление (EBA) заявило следующее в ответ на аналогичный вопрос относительно применения SCA с динамическим связыванием:
« Мы считаем, что требования Статьи 2 RTS применяются только к инициированию электронных дистанционных платежей (включая PIS) в соответствии с объемом статьи 97 (2) PSD2. Статью 2 RTS следует рассматривать вместе с пунктами 17 и 19 обоснования EBA. Другими словами, единственными платежными транзакциями, которые требуют применения SCA с динамической привязкой, являются удаленные кредитовые переводы (в том числе инициированные через PISP и пакетные кредитные переводы). ”
В этих заявлениях проводится четкое различие между «электронными платежами» и «электронными удаленными платежами». Статья 4 (5) PSD2 определяет «платежную операцию» как:
« Действие, инициированное плательщиком, от его имени или получателем платежа, по размещению, переводу или снятию средств, независимо от каких-либо основных обязательств между плательщиком и получателем». Статья 4 (6) определяет «электронные удаленные платежи» как «платежную транзакцию, инициированную через Интернет или через устройство, которое может использоваться для дистанционной связи ».
В соответствии с определениями «электронный платеж» и «электронный удаленный платеж» и спецификацией EMVCo для потребителей представлен QR; мы определяем, что платеж инициирован устройством продавца после сканирования представленного потребителем QR-кода, а не инициирован устройством потребителя. Следовательно, эта транзакция не может быть определена как электронный удаленный платеж, и поэтому требования динамического связывания, указанные в статье 97 (2) PSD2, не применяются.
Кроме того, мы определяем QR-код в контексте платежей как бесконтактный платеж без использования NFC. EBA сообщило, что:
«Платежная индустрия вложила значительные средства в разработку безопасной аутентификации бесконтактных платежей на основе стандартов EMV, которые обеспечили очень безопасную среду для платежей по бесконтактным картам. Основная цель - распространить этот подход на менее безопасные и более подверженные мошенничеству каналы. Мы не видим очевидной причины, по которой потребуются новые подходы к аутентификации в отношении платежей с использованием бесконтактных карт или свидетельств, указывающих на какие-либо недостатки, которые необходимо устранить в соответствии с законодательством».
С разных точек зрения можно заметить, что представленный потребителем QR-код не нуждается в реализации требований динамического связывания, следовательно, из-за того, что: во-первых, представленный потребителем QR-код не инициирует платежную транзакцию, которая классифицирует эту транзакцию как не- электронная операция удаленного платежа. Во-вторых, поскольку EBA также заявляет, что для бесконтактных транзакций, не основанных на NFC, нет необходимости в новых методах, включая динамическое связывание, поскольку этот тип транзакций уже является безопасным.
По мере развития платежной индустрии правила обработки становятся все более сложными, особенно с введением PSD2. Как правило, правила нашей отрасли строятся вокруг традиционных рельсов для карточек; но введение различных методов бесконтактной оплаты, как NFC, так и не связанных с NFC, в сочетании с включением онлайн-обработки и цифровых кошельков, означало, что определения инициирования, близости, удаленности и онлайн нуждаются в срочном уточнении.
Динамическое связывание - это дополнительное требование к SCA, введенное в RTS для снижения риска мошенничества. Динамическое связывание - это когда генерируется код аутентификации, где элементы транзакции динамически связаны с суммой и получателем, указанными плательщиком при инициировании транзакции. Согласно RTS, Dynamic Linking предъявляет следующие требования:
- Информация о сумме платежной операции и личности получателя доводится до сведения плательщика.
- Должен быть сгенерирован код аутентификации, который зависит от суммы платежа и личности получателя. Это согласовывается с плательщиком при инициировании платежа.
- Поставщики платежных услуг (PSP) должны принимать коды аутентификации, которые соответствуют исходной сумме платежной транзакции и личности получателя платежа, согласованной с плательщиком.
- Любые изменения суммы платежа или личности получателя должны привести к недействительности сгенерированного кода аутентификации.
EMVCo описывает потребителя, представленного QR в спецификации QR-кода EMV, следующим образом:
Потребители могут совершать покупки, используя QR-коды, которые генерируются в их мобильных приложениях, выбрав опцию QR для оплаты. Этот QR-код будет использовать учетные данные, связанные с EMV-картой потребителя, которая ранее была предоставлена на их мобильном устройстве. После того, как QR-код был сгенерирован и отсканирован продавцом, транзакция завершается.
EMVCo также поясняет, что эти транзакции всегда авторизуются онлайн, и вышеупомянутое сканирование QR-кода является односторонней передачей данных с мобильного устройства на устройство Point of Interaction. Следовательно, QR-код не содержит данных от устройства Point of Interaction.
Нужно ли нам внедрять динамическое связывание с QR-кодом, представленным потребителем?
Во-первых, при рассмотрении требований к аутентификации. Статья 97 (1 и 2) PSD2 гласит:Государства-члены должны гарантировать, что поставщик платежных услуг применяет надежную аутентификацию клиента, если плательщик:
(а) получает доступ к своему платежному счету в Интернете;
(б) инициирует транзакцию электронного платежа;
(c) осуществляет любые действия через удаленный канал, которые могут подразумевать риск мошенничества с платежами или других злоупотреблений.
« Что касается инициирования электронных платежных транзакций, как указано в пункте (b) параграфа 1, государства-члены должны гарантировать, что для электронных удаленных платежных транзакций поставщики платежных услуг применяют надежную аутентификацию клиента, которая включает элементы, которые динамически связывают транзакцию с конкретная сумма и конкретный получатель ».
Кроме того, Европейское банковское управление (EBA) заявило следующее в ответ на аналогичный вопрос относительно применения SCA с динамическим связыванием:
« Мы считаем, что требования Статьи 2 RTS применяются только к инициированию электронных дистанционных платежей (включая PIS) в соответствии с объемом статьи 97 (2) PSD2. Статью 2 RTS следует рассматривать вместе с пунктами 17 и 19 обоснования EBA. Другими словами, единственными платежными транзакциями, которые требуют применения SCA с динамической привязкой, являются удаленные кредитовые переводы (в том числе инициированные через PISP и пакетные кредитные переводы). ”
В этих заявлениях проводится четкое различие между «электронными платежами» и «электронными удаленными платежами». Статья 4 (5) PSD2 определяет «платежную операцию» как:
« Действие, инициированное плательщиком, от его имени или получателем платежа, по размещению, переводу или снятию средств, независимо от каких-либо основных обязательств между плательщиком и получателем». Статья 4 (6) определяет «электронные удаленные платежи» как «платежную транзакцию, инициированную через Интернет или через устройство, которое может использоваться для дистанционной связи ».
В соответствии с определениями «электронный платеж» и «электронный удаленный платеж» и спецификацией EMVCo для потребителей представлен QR; мы определяем, что платеж инициирован устройством продавца после сканирования представленного потребителем QR-кода, а не инициирован устройством потребителя. Следовательно, эта транзакция не может быть определена как электронный удаленный платеж, и поэтому требования динамического связывания, указанные в статье 97 (2) PSD2, не применяются.
Кроме того, мы определяем QR-код в контексте платежей как бесконтактный платеж без использования NFC. EBA сообщило, что:
«Платежная индустрия вложила значительные средства в разработку безопасной аутентификации бесконтактных платежей на основе стандартов EMV, которые обеспечили очень безопасную среду для платежей по бесконтактным картам. Основная цель - распространить этот подход на менее безопасные и более подверженные мошенничеству каналы. Мы не видим очевидной причины, по которой потребуются новые подходы к аутентификации в отношении платежей с использованием бесконтактных карт или свидетельств, указывающих на какие-либо недостатки, которые необходимо устранить в соответствии с законодательством».
С разных точек зрения можно заметить, что представленный потребителем QR-код не нуждается в реализации требований динамического связывания, следовательно, из-за того, что: во-первых, представленный потребителем QR-код не инициирует платежную транзакцию, которая классифицирует эту транзакцию как не- электронная операция удаленного платежа. Во-вторых, поскольку EBA также заявляет, что для бесконтактных транзакций, не основанных на NFC, нет необходимости в новых методах, включая динамическое связывание, поскольку этот тип транзакций уже является безопасным.
По мере развития платежной индустрии правила обработки становятся все более сложными, особенно с введением PSD2. Как правило, правила нашей отрасли строятся вокруг традиционных рельсов для карточек; но введение различных методов бесконтактной оплаты, как NFC, так и не связанных с NFC, в сочетании с включением онлайн-обработки и цифровых кошельков, означало, что определения инициирования, близости, удаленности и онлайн нуждаются в срочном уточнении.
