Skip to content

Ověření karetních plateb

Jump to bottom
Daniel Marek edited this page Jul 18, 2024 · 4 revisions

Klíčová slova jako PSD2, silná autentizace či 3D Secure 2 vstoupily do světa online plateb zejména jako synonyma obav o další bezproblémové placení kartou v e-shopech a mobilních aplikacích. Těchto témat ale není třeba se bát, protože platební brána ČSOB řeší za obchodníky většinu souvisejících činností. Silná autentizace podle směrnice PSD2 je navíc promítnuta do pravidel karetních asociací tak, že umožňuje obchodníkům výrazně zvýšit bezpečnost transakcí, omezit podvody a neoprávněné reklamace.

Proč ověřujeme

Podle evropské směrnice PSD2 (v ČR transponované do Zákona o platebním styku) musí být všechny online platby tzv. “silně ověřené”. Silným ověřením se rozumí dvoufaktorová autentizace. Konkrétně kombinace dvou faktorů ze tří - něco vím (například heslo), něco mám (například aktivovanou mobilní aplikaci nebo hardwarový generátor kódů) a něco jsem (biometrie - typicky otisk prstu nebo snímek obličeje).

Ani karetní platby nejsou výjimkou. Prakticky se rozšířilo ověřování pomocí mobilních aplikací, které jsou buď samostatné (např. Smart klíč ČSOB, George klíč České Spořitelny apod.), nebo spojené s mobilním bankovnictvím (např. Raiffeisenbank). Výhodu nad klasickými platebními kartami mají peněženky Apple Pay a Google Pay, které provádějí ověření zákazníka přímo v iOS, nebo Androidu - ať již zadáním systémového hesla (kódu), nebo stále rozšířenější biometrií (např. Touch ID, Face ID).

Ověření bez potvrzení zákazníkem  

Regulace PSD2 umožňuje i ověření pomocí rizikového modelu, který porovnává aktuální transakci s typickým chováním zákazníka. Ověřování pomocí 3D Secure 2 právě s touto možností pracuje. Platební brána předá vydavateli karty dodatečná data o nákupu a zákazníkovi. A je to právě vydavatel karty, který si postupně - na základě všech plateb zákazníka - tvoří model typického chování zákazníka. Při každé transakci pak vydavatel karty na základě dodatečných informací o nákupu vyhodnotí, zda akceptuje rizika transakce - ověří “na pozadí” a zákazník nemusí nic potvrzovat. Pouze v případě, že je transakce např. na vysokou částku nebo transakce vybočuje z typického chování zákazníka, bude vydavatel karty vyžadovat potvrzení. V takovém případě musí zákazník transakci potvrdit například ve zmíněné mobilní aplikaci své banky.

Nakupování s ověřením na pozadí je samozřejmě mnohem komfortnější, protože je rychlejší a pro zákazníka odpadá potvrzování v bankovní aplikaci vydavatele karty. Doporučujeme proto posílat na platební bránu co nejvíce dodatečných dat o nákupu, aby se vydavatel platební karty mohl co nejlépe rozhodnout a zbytečně nevyžadoval potvrzení zákazníkem z důvodu nedostatku informací o transakci.

Předávání dodatečných dat o nákupu pro rizikovou analýzu u vydavatele karty  

Dodatečná data o nákupu lze rozdělit do několika skupin:

Data o zákazníkovi a jeho historii nákupů jsou důležitá v případě, že má zákazník uživatelský účet v e-shopu - na platební bránu se pak předávají údaje o jeho historii účtu (založení, změna apod.) a počtu nákupů.

Data o nákupu obsahují zejména kontaktní údaje zákazníka (fakturační a dodací adresu). Neobsahují jednotlivé položky, ale pouze informace o charakteru nákupu (zda se jedná o zboží, službu, digitálně dodávaný obsah apod.) a o rizikových položkách (jako jsou například dárkové karty s kreditem).

Data o zařízení zákazníka - v průběhu platby získává vydavatel karty otisk technických parametrů prohlížeče nebo smartphonu zákazníka. Pokud zákazník nakupuje ze stejného zařízení jako dříve, je vyšší pravděpodobnost ověření na pozadí bez potvrzení.

Z hlediska ochrany osobních údajů a GDPR vystupují banka a obchodník jako samostatní správci osobních údajů a plní tak své povinnosti z právních předpisů každý za sebe. Rádi bychom upozornili zejména na povinnost transparentně informovat své zákazníky/klienty o tom, jaká data a za jakým účelem jsou zpracovávaná. Banka plní svou povinnost vůči svým klientům zveřejněním dokumentu “Informace o zpracovávání osobních údajů” na svém webu. Tento dokument pravidelně aktualizujeme, včetně úpravy související se zavedením 3D Secure 2. Obdobně by měl své zákazníky informovat také obchodník.

Datovou strukturu, kterou API platební brány využívá k přenosu dodatečných dat o nákupu, najdete v detailním popisu.

Výjimka ze silného ověření pro podlimitní transakce  

Pro transakce pod 700 Kč je možné požádat vydavatele karty o neověření transakce. Cílem je urychlit platbu, která je pro obchodníka (například na základě jeho znalostí chování zákazníka) spojena s malým rizikem. Pokud vydavatel karty žádost akceptuje, transakce je autorizována bez ověření. Pokud žádost není vydavatelem akceptována (např. z důvodu překročení povoleného počtu po sobě jdoucích transakcí bez ověření), pak si vydavatel vyžádá provedení ověření s potvrzením zákazníkem.

Chcete-li využívat výjimku pro neověřování plateb nízkých částek, kontaktujte prosím [email protected]. Tato služba není aktivní automaticky. Při využití této výjimky přebírá rizika transakce obchodník, který není chráněn před reklamací transakce zákazníkem. Platební brána proto neaplikuje výjimku ze silného ověření na každou transakci automaticky a obchodník o ni žádá dle svého uvážení při inicializaci transakce pomocí API funkce payment/init anebo pomocí API funkce oneclick/init (podpora pro Oneclick platby přidána od 06/2024).

Výjimka ze silného ověření pro platby nízkých částek je dostupná pouze pro běžné platby kartou nebo pro OneClick platby - nelze ji aplikovat na platby peněženkami Apple Pay a Google Pay.

💳 Platební brána

  1. Průběh platby
  2. API integrace a zabezpečení
  3. Návod na přechod do produkčního prostředí
  4. Testovací karty
  5. API Sunset

💰 Platby

  1. Ověření karetních plateb
  2. Platba na bráně
  3. OneClick platba
  4. Platba na míru
  5. Apple Pay
  6. Google Pay
  7. Zaúčtování platby kartou na menší částku
  8. Platební tlačítko ČSOB
  9. Platba Skip Pay

🔬 eAPI 1.9

  1. Volání rozhraní eAPI
  2. Podpis požadavku a ověření podpisu odpovědi
  3. Přehled eAPI metod
  4. Základní metody
  5. Metody pro OneClick platbu
  6. Metody pro Apple Pay
  7. Metody pro Google Pay
  8. Metody pro platební tlačítko
  9. Metody pro platbu Skip Pay
  10. Dodatečná data o nákupu

📐 Návody a podklady

  1. Loga a prezentace platebních metod
  2. Logo obchodníka
  3. Barevné schéma

📟 API rozšíření

  1. Koncept API rozšíření
  2. Detailní datum a čas zpracování a vypořádání transakce
  3. Data o kartě pro OneClick platbu
  4. Data o kartě pro platbu na bráně
  5. Tokenizace
  6. Ověřovací kód na výpis

🔧 Časté dotazy (FAQ)

  1. Funkční a komerční dotazy
  2. Technické dotazy

📡 Archiv starších verzí eAPI

  1. eAPI 1.8
  2. eAPI 1.7
  3. eAPI 1.6
  4. eAPI 1.5
  5. eAPI 1.0
Clone this wiki locally