PSD2 Değişiklikleri için AuthoriPay Kılavuzu
Güçlü Müşteri Kimlik Doğrulama, Dinamik Bağlantı ve
Üçüncü Taraf Ödeme Sağlayıcılarına Erişim
SON GÜNCELLEME 19 Ağustos 2020
Şu anda PSD2 tarafından uygulanacak olan yaklaşan değişiklikler hakkında çok fazla konuşma var. Burada bu değişikliklerin niteliğini, ne gibi etkileri olacağını ve sonuç olarak firmaların ne yapması gerektiğini vurguluyoruz.
PSD2'nin bir sonucu olarak ne gibi değişiklikler geliyor?
PSD2 tarafından getirilen 2 önemli değişiklik var, her ikisini de duymuş olabilirsiniz:
- Güçlü Müşteri Kimlik Doğrulaması (SCA) ve Dinamik Bağlantı
- Üçüncü Taraf Ödeme Sağlayıcıları (TPP'ler) Tarafından Ödeme Hesaplarına Erişim
Her ikisi de çevrimiçi olarak erişilebilen ödeme hesapları sunan Ödeme Hizmeti Sağlayıcıları üzerinde güçlü bir etkiye sahip olacak ve Birleşik Krallık firmasıysanız 14 Mart 2021 ve AB firmaları için 31 Aralık 2020 olan yakın zamanda uzatılan son tarihten önce gerekli değişiklikleri yapmaları gerekecek.
Güçlü Müşteri Kimlik Doğrulaması (SCA) ve Dinamik Bağlantı
Genel olarak bilinmesine rağmen Güçlü Müşteri Kimlik Doğrulama kuralları hakkında çok az şey bilinmektedir; ne anlama geldikleri ve ne zaman kullanılmaları gerektiği. Burada bu konuya genel bir bakış sunacağız:
Güçlü Müşteri Kimlik Doğrulaması ve Dinamik Bağlantı ne zaman kullanılmalıdır?
Ödeme hizmeti sağlayıcılarının, bir müşteri aşağıdakilerden birini yapmak için ödeme hesabına uzaktan eriştiğinde SCA ve Dinamik Bağlantıyı uygulaması gerekmektedir:
- Bir elektronik ödeme talimatı başlatır
- Bakiye ve/veya İşlem Geçmişini Görüntüleme
- Ödeme sahtekarlığı veya diğer suistimaller riski anlamına gelebilecek herhangi bir eylem gerçekleştirir
Ödeme Hesabı nedir?
PSD2'de Ödeme Hesabı çok basit bir şekilde ödemelerin işlenmesi için kullanılan bir hesap (banka hesabı olması gerekmez) olarak tanımlanmaktadır. Yüz yüze nakit transferi hizmetleri (Western Union gibi) haricinde, Ödeme Hizmeti Sağlayıcılarının çoğu müşterilerine ödemelerin işlenmesi için bir hesap sunacak ve bu nedenle bu tanımın kapsamına girecektir.
Uzaktan erişim ne anlama geliyor?
SCA bağlamında uzaktan erişim, internet (çevrimiçi bir portal aracılığıyla) veya mobil tabanlı bir uygulama gibi elektronik bir mesafe kanalı aracılığıyla erişim anlamına gelir.
Açıklık getirmek adına, e-posta veya telefon yoluyla kabul edilen ödeme talimatları henüz SCA kuralları kapsamına girmemektedir.
Kartlı ödemeler ne olacak?
Güçlü Müşteri Kimlik Doğrulaması Nedir?
Bilgi
Müşterinin bildiği bir şey
Sahiplik
Müşterinin sahip olduğu bir şey
İnherans
Müşterinin olduğu bir şey
Bu durum bir firmayı nasıl etkileyebilir?
Buna iyi bir örnek, internet üzerinden (örneğin bir portal aracılığıyla) çevrimiçi erişim sunan firmalardır. Tipik olarak, müşteriler aşağıdaki kimlik bilgilerini sağlayacaktır:
-
Çoğu durumda e-posta adresleri olan bir kullanıcı adı; ve
-
Benzersiz bir parola.
Burada SCA ile ilgili bir sorunumuz var, çünkü mevcut haliyle her ikisi de müşterinin bildiği bir şey (bilgi) olarak sayılacaktır. Bu nedenle, gerekli güvenlik kimlik bilgilerinden 2'sini değil yalnızca 1'ini kullanmış oluruz.
Bunu yeni kurallarla uyumlu hale getirmenin bir yolu, e-posta adresini müşterinin bildiği bir şey olmaktan çıkarıp müşterinin sahip olduğu bir şey (sahiplik) olarak değiştirmek olacaktır. Bunun işe yaraması için, müşterinin bu e-posta adresine eriştiğini kanıtlamanız gerekir. Bu, e-posta adresini Tek Kullanımlık Şifre (OTP) ile birlikte kullanarak yapılabilir.
Bu senaryoda müşterinin e-postasını ve benzersiz şifresini girmesi gerekir. Ödeme Hizmeti Sağlayıcısının daha sonra müşterinin e-posta adresine OTP oluşturması gerekecektir.
Bu, SCA'nın bir firmayı nasıl etkileyebileceğinin sadece bir örneğidir ve ayrı ayrı değerlendirilmesi gereken başka örnekler de vardır.
Buna ek olarak, bir elektronik ödeme başlatıldığında uygulanması gereken dinamik bağlantı kavramı vardır.
Dinamik Bağlantı Nedir?
Dinamik Bağlantı Gereksinimi |
Pratik açıdan ne anlama geliyor |
Ödeyen, ödeme işleminin tutarı ve alacaklı hakkında bilgilendirilir; |
Temel anlamda bu, bir ödeme yapılırken ödeme yapan kişiye gönderilen tutarın ve lehtarın adının gösterilmesi gerektiği anlamına gelir. Örneğin, müşteri John Smith'e 1.000 € ödüyorsa, bu açıkça görülebilmelidir. Kuralların bunu müşteriye nasıl göstermeniz gerektiğini belirtmediğine dikkat edilmelidir, bu nedenle burada biraz esnekliğe sahipsiniz. |
Oluşturulan kimlik doğrulama kodu, ödeme işleminin tutarına ve işlemi başlatırken ödeme yapan tarafından kabul edilen alacaklıya özgüdür; | Esasen bu, ödemeyi yetkilendirdiğinizde, bu işleme özgü olan ve başka bir işlem için kullanılamayan bir kimlik doğrulama kodu oluşturmanız gerektiği anlamına gelir. Oluşturulan kod, belirli bir ödemeye bağlayabildiğiniz sürece istediğiniz herhangi bir biçimde olabilir. |
Ödeme hizmeti sağlayıcısı tarafından kabul edilen kimlik doğrulama kodu, ödeme işleminin orijinal belirli tutarına ve ödeme yapan tarafından kabul edilen alacaklının kimliğine karşılık gelir; |
Basitçe söylemek gerekirse, ödeme hizmeti sağlayıcısı ödeme başına yalnızca 1 kimlik doğrulama kodu kullanabilir. Bir firmanın tek bir ödemeyi işlemek için kullandığı sistem sayısı göz önüne alındığında, bu sistemlerin her birinin kendi benzersiz yetkilendirme kodunu üretmesi mümkün olabilir. Ödeme hizmeti sağlayıcısı, dinamik olarak bağlantılı yetkilendirme kodu olarak hareket etmek üzere yalnızca 1 tanesini seçmelidir. |
Tutarda / alacaklıda yapılan herhangi bir değişiklik, oluşturulan kimlik doğrulama kodunun geçersiz olmasına neden olur; | İşlem tutarı veya alacaklı değişirse, kimlik doğrulama kodunun iptal edilmesi ve yukarıdaki gereksinimi karşılayan yeni bir kodun düzenlenmesi gerekir |
Üçüncü Taraf Ödeme Sağlayıcıları Tarafından Ödeme Hesaplarına Erişim
Açık Bankacılık Girişimi'nin bir sonucu olarak, 14 Eylül 2019 itibariyle, ödeme yapanlara çevrimiçi olarak erişilebilen ödeme hesapları sunan Ödeme Hizmeti Sağlayıcıları, düzenlenmiş Üçüncü Taraf Ödeme Sağlayıcılarının (TPP'ler) SCA kimlik bilgilerini kullanarak müşterilerinin hesaplarına erişmelerine izin vermek zorunda kalacaktır.
Bu özel düzenleme hakkında çok az şey biliniyor ve burada aşağıdakileri inceleyeceğiz:
- Üçüncü Taraf Ödeme Sağlayıcısı nedir?
- Bunlara erişime kim izin vermelidir?
- Özel gereklilikler nelerdir?
1. Üçüncü Taraf Ödeme Sağlayıcısı (TPP) nedir?
TPP, PSD2 ile resmi olarak tanıtılan yeni bir düzenlenmiş ödeme hizmeti türüdür (gerçekte o zamandan çok önce var olmalarına rağmen). TPP'ler 2 hizmet türüne ayrılabilir:
- Hesap Bilgileri Hizmet Sağlayıcıları (AISP)
- Ödeme Başlatma Hizmet Sağlayıcıları (PISP)
Hesap Bilgileri Hizmet Sağlayıcıları (AISP)
AISP'ler bir müşterinin SCA kimlik bilgilerini kullanarak hesabında oturum açacak ve işlem bilgilerini ve bakiye ayrıntılarını harmanlayacaktır. Bu, harcama analizi veya mali duruma genel bakış gibi çeşitli nedenlerle kullanılabilir.
Ödeme Başlatma Hizmet Sağlayıcıları (PISP)
PISP'ler müşterinin SCA kimlik bilgilerini kullanarak hesabına giriş yapacak ve doğrudan müşterinin tayin ettiği lehtara ödeme talimatı verecektir. PISP'ler hiçbir zaman fonların mülkiyetine sahip olmayacaktır.
2. TPP'lere erişime kim izin vermelidir?
Resmi olarak, Hesap Hizmeti Ödeme Hizmeti Sağlayıcısı (ASPSP) olarak nitelendiriliyorsanız ve müşterilerin Ödeme Hesaplarına uzaktan erişimine izin veriyorsanız, TPP'lere de erişime izin vermeniz gerekir.
Açıklığa kavuşturmak gerekirse, ASPSP, bir ödeme yapan için bir ödeme hesabı sağlayan ve sürdüren kişidir. Müşterinizin ödeme yapmasına izin vermiyorsanız (örneğin, müşterileri ödeme alan ancak ödeme yapmayan tüccar ediniciler) bu kural geçerli değildir.
3. Özel gereksinimler nelerdir?
Firmaların yalnızca TPP'lere erişime izin vermeleri değil, aynı zamanda bunların düzenlemeye tabi olup olmadıklarını kontrol etmek için prosedürlere de sahip olmaları gerekir. Bir Ödeme Hizmeti Sağlayıcısının erişime izin vermeden önce yapması gereken belirli şeyler vardır:
- SCA Kimlik Bilgilerini Doğrulayın ve bir erişim belirteci yayınlayın
- TPP Sağlayıcısının eIDAS Sertifikasını Kontrol Edin
- TPP Sağlayıcısının yasal durumunu kontrol edin
Firmalar bunu özel bir sistem kullanarak (yerleşik veya raftan satın alınmış) veya TPP sağlayıcısının müşteriyle aynı kanalı kullanmasına izin vererek yapabilirler. Firmalar özel bir sistem kullandıklarında, düzenleyiciyi bilgilendirmeli ve nasıl çalıştığına dair ayrıntıları sağlamalıdırlar.
Bu durum ödeme ortamını nasıl etkiler?
Aşağıdaki diyagramlar, yeni PSD2 kuralları uygulanmadan önce ve sonra ödeme ortamını göstermektedir. Sadece yeni kuralların ne kadar etkisi olacağını değil, aynı zamanda uyumlu olmak için ne kadar iş yapılması gerektiğini de göstermektedir.
Firmaların ne yapması gerekiyor?
Bu yeni kuralların bir sonucu olarak, firmaların sundukları hizmetleri analiz etmeleri, kapsam dahilinde olup olmadıklarına ve etkisinin ne olacağına karar vermeleri ve ardından son tarihe kadar uyumlu olduklarından emin olmak için bir proje uygulamaya koymaları gerekecektir.
Dikkate alınması gereken çok şey ve hazırlanmak için çok az zaman var. Firmanızla ilgili daha spesifik bilgi ve tavsiyeler için bugün bizimle iletişime geçin.
İletişime geçin
AuthoriPay Ltd, Milton Hall, Ely Road, Cambridge, CB24 6WZ.