3-d-secure
Helaas komt fraude op internet nog steeds voor en in sommige gevallen kan dit een flinke kostenpost zijn voor een ondernemer. Speciaal voor internetondernemers bestaat nu al een tijd MasterCard® SecureCode™, Verified by Visa en American Express SafeKey, oftewel 3D Secure of 3DS / 3 DS. Dit zorgt ervoor dat risico's bij creditcardbetalingen aanzienlijk worden verminderd voor de verkopende partij.
Mastercard® SecureCode™, Verified by Visa en American Express SafeKey
MasterCard SecureCode, Verified by Visa en American Express SafeKey zijn unieke standaards die doen wat voorheen ontbrak bij creditcardbetalingen via internet: identificeren en authentiseren. Kort gezegd maken deze unieke systemen het voor de kaartuitgevende instantie mogelijk te checken of de koper ook de rechtmatige eigenaar is van de creditcard.
Bancontact
Ook de verificatie van online Bancontact betalingen, waarbij de kaartgegevens worden gebruikt ter identificatie, wordt door een 3-D Secure actie gewaarborgd. Na het invullen van de kaartgegevens zal de gebruiker worden gevraagd om een extra code te delen. Deze kan worden gegenereerd door gebruik te maken van de digipass of kaartlezer, welke voor deze kaart beschikbaar is gesteld door de uitgevende bank.
Hoe werkt de identificatie?
Alle deelnemers, zowel ondernemers als consumenten, worden geregistreerd in centrale databases die beheerd worden door MasterCard, Visa, American Express en Bancontact zelf. De deelnemende consumenten worden opgenomen met bepaalde kenmerken. Dit deel van het registratieproces neemt de kaartuitgevende instantie (issuer) voor haar rekening. Ook de winkelier is gekoppeld aan een uniek identificatienummer. Dit verzorgt de contractpartij voor creditcard acceptatie die een overeenkomst heeft met de winkelier. Hiermee zijn alle controlegegevens van beide partijen voor handen, echter betekent dit nog niet automatisch een sluitende gegevenscontrole. Voor het laatste is speciale software ontwikkeld, genaamd de ‘Merchant Plug-in’ (MPI). Deze MPI is gekoppeld aan het betalingssysteem van de ondernemer. Dat zorgt ervoor dat zowel de kenmerken van de consument als die van de winkelier kunnen worden vergeleken met die in de gegevensbank.
Specifiek voor American Express SafeKey
Wanneer u als Merchant ervoor kiest om alles via Safekey aan te melden, ligt de liability altijd bij American Express. Deze geeft de consument tot 3x toe de kans zich ook te registreren. Wanneer deze dat de eerste twee keer niet doet, wordt de transactie alsnog succesvol verwerkt (zonder verificatie/registratie) maar ligt het risico bij American Express in geval van fraude. Wanneer de consument ook de derde keer niet registreert, dan wordt de transactie door American Express zelf al geannuleerd.
Er zijn kaarten die zijn uitgegeven in landen die niet meedoen aan het Safekey programma. Voor deze kaarten ligt de liability (het risico) wel bij de merchant. De lijst van de landen waarin SafeKey actief is wordt beheerd door American Express.
Liability shift
Met MasterCard® SecureCode™, Verified by Visa, American Express SafeKey en Bancontact wordt er een bewijs van de transactie vastgelegd. Zodra een kaarthouder beweert dat deze de aankoop niet heeft gedaan, moeten de kaartuitgevende instantie en de kaarthouder dit kunnen aantonen wanneer de transactie met 3-D secure is gedaan. De merchant hoeft, in tegenstelling tot non-3-D Secure transacties, helemaal niets te doen. De merchant beschikt immers niet over de unieke code, welke is afgegeven door de kaartuitgevende instantie. Dankzij 3-D secure heeft er dan een verschuiving plaatsgevonden van de verantwoordelijkheid, hiernaar wordt gerefereerd als een zogeheten 'Liability shift' (van de merchant naar de kaartuitgevende instantie).
Wat uiteraard wel blijft is dat een kaarthouder een transactie kan betwisten als een product niet of niet volgens afspraak is geleverd, of bijvoorbeeld defect is bij ontvangst. De kaartuitgevende instanties gaan er vanuit dat de merchant die verantwoordelijkheid in het uitleverproces heeft gewaarborgd.
Advies : voorkom misverstanden en zorg voor een duidelijk klachten-, garantie- en retourbeleid.
In onderstaande figuur en tabel staan de situaties voor wanneer er al dan niet sprake is van een liability shift.
De eerste controle is Enrollment: Is de kaart al dan niet in het 3-D Secure programma opgenomen.
De tweede controle is Authentication: Is 3-D Secure op de juiste wijze uitgevoerd.
Type kaart | Enrolled | Status | Liability |
---|---|---|---|
Visa & Amex | U | - | [Afgebroken] |
Visa & Amex | N | - | Card Issuer |
Visa & Amex | Y | Y | Card Issuer |
Visa & Amex | Y | N | [Afgebroken] |
Visa & Amex | Y | A | Card Issuer |
Visa & Amex | Y | U | [Afgebroken] |
MasterCard | U | - | [Afgebroken]1 |
MasterCard | N | - | [Afgebroken]1 |
MasterCard | Y | Y | Card Issuer |
Mastercard | Y | N | [Afgebroken] |
MasterCard | Y | A | Card Issuer |
MasterCard | Y | U | [Afgebroken] |
Maestro | U | - | [Afgebroken] |
Maestro | N | - | Card Issuer |
Maestro | Y | Y | Card Issuer |
Maestro | Y | N | [Afgebroken] |
Maestro | Y | A | Card Issuer |
Maestro | Y | U | [Afgebroken] |
Bancontact | U | - | [Afgebroken] |
Bancontact | N | - | [Afgebroken] |
Bancontact | Y | Y | Card Issuer |
Bancontact | Y | N | [Afgebroken] |
Bancontact | Y | A | [Afgebroken] |
Bancontact | Y | U | [Afgebroken] |
1 Bij Mastercard komen Enrolled = U en Enrolled = N niet voor, omdat Mastercard deze zelf wijzigt naar Enrolled = Y
Toelichting op bovenstaande tabellen
- Enrollment = antwoord op de vraag: doet de kaart mee in het 3-D secure systeem?
- Een 3-D Secure transactie kan op de volgende manieren enrolled zijn: U = Unknown; N = No; Y = Yes
- Nadat een transactie enrolled is, kunnen weer één van de volgende authenticatie / authentication statussen van toepassing zijn: Y = Yes; N = No; U = Unknown; A = Attempt
Dynamic
Voor Worldline Collecting is de optie Dynamic 3-D Secure (3DS) toegevoegd op basis van order bedrag. Dat betekent dat een Merchant een bedrag/limiet in de Plaza kan instellen. Wanneer het transactiebedrag onder deze limiet blijft, dan wordt 3-D Secure authenticatie overgeslagen. Dit bedrag / deze limiet is per currency in te stellen. De reden om van deze mogelijkheid gebruik te maken is dat een Merchant de inschatting kan maken dat een lager orderbedrag minder risico op fraude geeft. In die gevallen zou de Merchant ervoor kunnen kiezen, de consument niet te confronteren met de extra 3DS authenticatie stap. De Merchant neemt hierbij wel bewust het risico dat als er toch fraude in het spel is, dit voor eigen rekening komt.
na het invoeren van SCA via 3DS 2.x kan deze optie niet meer gebruikt worden.