PSD2
QUÈ ÉS PSD2?
La PSD2 (Segona Directiva de Serveis de Pagament) és una normativa europea que regula els serveis de pagaments digitals per a oferir major seguretat i protecció als consumidors.
L'objectiu de la PSD2 és crear un mercat únic de pagaments a la Unió Europea, fomentant la competència, innovació i eficiència, fent els pagaments electrònics més fàcils i sobretot més segurs. No sols s'enforteix el mercat de pagaments europeu, sinó que es crea una experiència d'usuari homogènia.
La nova normativa, que va entrar en vigor el 14 de Setembre 2019, afecta tant a consumidors com a comerços.
D'igual manera, i amb el propòsit d'aconseguir un mercat europeu més integrat i interoperable per a tots els seus participants, permet a terceres empreses proveïdores (TPP o ThirdPartyProvider) que també intervinguen en els pagaments.
Com afecta aquesta normativa als pagaments electrònics?
Una part fonamental de la PSD2 en l'aplicació de mesures de seguretat en els pagaments electrònics, és la introducció de nous mesures mínimes d'autenticació per al consumidor. L'Autenticació Reforçada de Clients, també coneguda com SCA (en les seues sigles en anglés Strong Customer Authentication) cobra una gran importància fent que les operacions siguen encara més segures.
Fins ara, els pagaments electrònics també eren segurs, però davant l'entrada de noves tecnologies la regulació europea veu necessari reforçar aquestes mesures de seguretat per a incrementar la protecció dels consumidors i les seues dades.
El principal objectiu és protegir els clients contra el frau, sol·licitant nous nivells d'autenticació en les operacions. D'aquesta manera, serà necessària una doble autenticació (SCA) pel que en determinats pagaments i operacions en línia se sol·licitaran 2 dels 3 factors que estableix la PSD2:
-
Coneixement: alguna cosa que l'usuari coneix (per exemple, una contrasenya)
-
Possessió: alguna cosa que l'usuari posseeix (per exemple una OTP enviada al mòbil)
-
Inherencia: alguna cosa que l'usuari és (per exemple, elements biomètric com a petjada, reconeixement facial,…).
Es tracta d'un nivell addicional de seguretat per als pagaments electrònics.
Encara que la PSD2 va entrar en vigor el 14 de Setembre de 2019, la part que afecta els pagaments electrònics amb targeta no entra en vigor fins al 31 de Desembre de 2020.
INFORMACIÓ PER A CONSUMIDORS
Com m'afecta en les meues compres online?
Amb l'entrada en vigor de la PSD2 els pagaments amb targeta en comerç electrònic seran encara més segurs i igualment senzills.
Encara que fins ara et sol·licitem autenticació en totes les teues compres en línia, des de Caixa Rural volem oferir als nostres clients la major seguretat, per això ens adaptem a la normativa per a sol·licitar-te doble autenticació (SCA) en els pagaments que realitzes per internet amb targeta, amb 2 dels 3 factors que estableix la PSD2:
- alguna cosa que saps (per exemple, una contrasenya)
- alguna cosa que tens (per exemple una OTP enviada al mòbil)
- alguna cosa que eres (per exemple, petjada, reconeixement facial,…)
Hauré d'autenticar-me en totes les operacions?
Pot haver-hi operacions en les quals no siga necessària la teua autenticació, ja siga perquè estan excloses per PSD2 d'aplicar doble autenticació reforçada (vendes per telèfon, cobrament de subscripcions,...) o perquè des de Caixa Rural busquem a més de la màxima seguretat, la millor experiència d'usuari. Per això, pot haver-hi pagaments electrònics en els quals nosaltres hàgem analitzat i comprovat per altres mitjans i eines de les quals disposem que no és necessària aqueixa doble autenticació, perquè estem segurs que eres tu qui està realitzant aqueix pagament. En qualsevol cas, els pagaments electrònics que realitzes amb targeta sempre seran segurs.
D'igual forma, en tractar-se de normativa europea, pot ser que si compres en comerços en línia de fora d'Europa, aquests comerços no apliquen SCA.
He de fer alguna cosa?
Perquè quan entre en vigor l'aplicació de la doble autenticació reforçada pugues autenticar-te sense problema, necessitem que verifiques que tenim les teues dades actualitzades, en particular el teu número de telèfon mòbil. Consulta les teues dades a través de Ruralvía i en cas de ser necessària l'actualització, posa't en contacte amb la teua oficina perquè ho gestionen.
I si les teues dades són correctes, només hauràs d'activar l'autenticació del pagament de les teues compres en línia amb la teua petjada o reconeixement facial a través de l'app de Ruralvia mòbil (Els meus ajustos/Seguretat).
Recorda, no oblides mantindre la teua app de Ruralvía mòbil actualitzada (Descarrega't l'app de Ruralvía en Google Play o Apple Store).
INFORMACIÓ PER A COMERÇOS
Com comerç online, estic afectat?
Volem ajudar al teu negoci, no sols protegint la seguretat del comprador sinó protegint també les teues vendes en línia amb l'adaptació a la directiva PSD2, que busca potenciar les compres en línia a Europa.
Amb PSD2 s'incrementa la seguretat en cada transacció de compra que realitza el teu client.
Fins ara, només era necessari per a l'autenticació del comprador l'ús d'una contrasenya. Amb l'entrada en vigor de la PSD2 serà necessària una doble autenticació del comprador (SCA) amb 2 dels 3 factors establits: alguna cosa que sap (per exemple, una contrasenya), alguna cosa que té (per exemple, una OTP enviada al mòbil) i alguna cosa que és (petjada, reconeixement de veu,...).
Tots els comerços han d'adaptar-se per a tindre la capacitat de processar aquestes transaccions segures, i evitar així, no sols reclamacions dels clients per frau, sinó també possibles rebutjos per les entitats emissores de la targeta amb la qual es realitza el pagament.
Per a això, els comerços han de ser sempre comerços segurs i operar baix protocol d'autenticació 3DS.
Per a complir amb tots els requisits de PSD2 i aprofitar els avantatges que ofereix, el teu comerç haurà d'adaptar-se a la versió 3DS 2.2.
El protocol 3DS 2.2 és la nova generació del protocol 3DS, que permet no sols aplicar SCA en les transaccions de compra, sinó que millora l'experiència d'usuari, podent incorporar en la transacció informació addicional que puga permetre aplicar una exempció en la sol·licitud de SCA al titular.
Encara que la data límit per a tindre habilitat aquest procés és Desembre de 2020, la recomanació i el pla definit per les associacions de comerços és adoptar-lo a partir de Juny de 2020.
Què he de fer per a adaptar-me a 3DS 2.2?
Depenent de cada comerç i de la connexió que utilitze per a processar les operacions de la seua TPV Virtual, les modificacions poden ser o no necessàries
- Si el teu comerç es connecta amb la passarel·la de pagaments per redirecció, des de Caixa Rural hem adaptat la configuració del nostre TPV virtual perquè no hages de realitzar cap modificació en la integració. Nosaltres t'informarem quan estiga activat.Només en cas que encara operes baix comerç no segur, hauràs de posar-te en contacte amb nosaltres per a modificar-ho i començar a operar baix protocol EMV 3DS.
- Si eres un comerç amb passarel·la de pagaments amb connexió directa (host to host) que manté una gestió pròpia i completa del flux de cada operació, o amb solucions pròpies, a més d'operar baix protocol *EMV 3DS hauràs de realitzar l'adaptació de la passarel·la al protocol per a suportar pagaments versió 3DS 2.2.
En tots dos casos, posem a la teua disposició les especificacions tècniques per a escometre aquestes adaptacions.
En qualsevol dels escenaris, per a adaptar-se per complet a la nova normativa, existeix una versió actualitzada del protocol EMV 3DS que incorpora nous camps que han d'enviar-se en cada transacció i evitar així operacions fraudulentes.
INFORMACIÓ PER A APIS
La regulació europea en matèria de pagaments, PSD2 (Payment Services Directive 2), permet als proveïdors de serveis de pagament a tercers, també coneguts com TPPs (Third Party Payment Service Providers), tindre accés els serveis de comptes de pagament de les entitats de crèdit sota la supervisió de l'Autoritat Bancària Europea.
Això suposa que tercers, autoritzats pels seus clients, podran accedir als seus comptes de pagament per a poder iniciar en el seu nom una transacció de pagament i/o recuperar l'estat i transaccions del compte amb la finalitat d'oferir serveis de valor afegit.
Caixa Rural oferirà l'accés als TPPs, a través de APIs obertes, als següents serveis:
-
Serveis d'iniciació de pagaments: que permeten als TPPs iniciar una ordre de pagament des d'un compte bancari que l'usuari té oberta en Caixa Rural.
-
Serveis d'informació sobre comptes: serveis en línia que permeten unificar en una sola plataforma tota la informació financera sobre una o diversos comptes de les quals és titular l'usuari, comptes que poden ser sol de Caixa Rural, o de Caixa Rural i d'una altra entitat.
-
Confirmació de saldo, que permeten als TPP confirmar que en el compte de pagament hi ha fons suficients.
Els TPPs que complisquen amb els requisits de registre, autorització i supervisió per part de les autoritats competents de cada Estat, podran accedir a les APIs de Caixa Rural, les seues especificacions tècniques i entorn de proves a través del següent enllaç:
Enllaç a especificacions tècniques
A continuació s'inclouen els contactes de Suport segons l'entorn d'accés:
Sandbox
Dades de contacte per a la resolució de les consultes o incidències que es produïsquen durant el procés de configuració tècnica en l'entorn Sandbox:
Atenció telefònica: 917282321
Correu electrònic: [email protected]
Horari d'atenció telefònica: 12x5 (Dilluns a Divendres 08:00h-20:00h)
Producció
Dades de contacte per a la resolució de consultes o incidències que es produïsquen a l'entorn de producció:
Atenció telefònica: 917282321
Correu electrònic: [email protected]
Horari d'atenció telefònica: 24x7 (Dilluns a Diumenge 00:00h-23:59h)
Els TPP tindran habilitat en Caixa Rural un servei per a la resolució de consultes o queixes, a través del següent correu electrònic: [email protected]
A continuació es publiquen les estadístiques trimestrals sobre la disponibilitat i rendiment de les APIs i de la interfície utilitzada pels seus usuaris de serveis de pagament:
1) Estadistiques Tècniques Disponibilitat.
2) Estadistiques Tècniques Rendiment.