Im Zuge der Umsetzung der europäischen Richtlinie PSD 2 ist bei Zahlungstransaktionen eine mehrfache Kundenverifizierung, die sogenannte starke Kundenauthentifizierung, seitens des Zahlungskartenherausgebers erforderlich. Möglicherweise bricht aufgrund dessen der Kunde die Transaktion ab oder das Zeitlimit für den Kaufabschluss in Ihrem E-Shop wird überschritten.
Um diesen Prozess zu beschleunigen, ist es notwendig, den Parameter ADDINFO mit zusätzlichen Kundendaten zu erweitern. Nur dann können Ausnahmen seitens des Zahlungskartenherausgebers (TRA / Transaction Risk Analysis) angewendet werden. Durch das Ausfüllen der Felder helfen Sie auch unserer Sicherheitsüberwachung, mögliche betrügerische Transaktionen besser zu erkennen.
Die Umsetzung muss bis zum 30. September 2021 abgeschlossen sein. In diesem Zusammenhang ist es auch notwendig, die Geschäftsbedingungen Ihres Webshops zu ändern, wo Sie im DSGVO-Abschnitt Informationen über die Zustimmung der Kunden zur Bereitstellung ihrer Identifikationsdaten hinzufügen müssen. Folgen Sie unserer Website für Antworten auf Ihre Fragen.
__________________________________________________________________________________
Im Januar 2018 trat eine Verordnung der Europäischen Union in Kraft, die als PSD2 (Payment Services Directive) bekannt ist und Änderungen für die Sicherheit und Vereinheitlichung von Zahlungen innerhalb der EU mit sich bringt. Als Teil dieser Verordnung wurde die technische Spezifikation RTS (Regulatory Technical Standards) herausgegeben, um das Sicherheitsniveau zu stärken und das Volumen von Finanzbetrug zu reduzieren. Eine wichtige Anforderung ist die SCA (starke Kundenauthentifizierung) für Benutzer - also Ihre Kunden - bei Fernzahlungen.
Dies gilt für alle Transaktionen mit Karten, die von europäischen Instituten ausgegeben und von europäischen Zahlungsabwicklern verarbeitet werden. Nach dieser Bestimmung muss der zahlende Kunde so authentifiziert werden, dass er nachweisen kann, dass er der echte, berechtigte Inhaber einer solchen Zahlungskarte ist und ein berechtigtes Interesse an der Durchführung der Transaktion hat. Der zahlende Kunde wird authentifiziert, bevor die Zahlung autorisiert und der Betrag vom Konto des Karteninhabers abgebucht wird.
Derzeit unterliegen alle E-Commerce-Transaktionen einer starken Authentifizierung des Karteninhabers, und das Ziel der Kartensysteme ist es, den ausstellenden Banken die Anwendung der TRA-Ausnahme (Transaction Risk Analysis) zu ermöglichen.
TRA (Transaction Risk Analysis)
Wenn ein Karteninhaber eine Online-Zahlung vornimmt, wird zum Zeitpunkt der Transaktion eine weitere Authentifizierungsebene - d. h. eine Authentifizierung des Inhabers beim Zahlungskartenausgeber - erforderlich sein. Die Erweiterung der Integration bedeutet, dass Sie den Zahlungskartenherausgebern die Möglichkeit geben, mit mehr Transaktionsdaten zu arbeiten, und sie in die Lage versetzen, ihre eigenen TRA-Risikoparameter (im Folgenden "RTS") festzulegen, was sowohl für Sie als auch für Ihre Kunden von Vorteil sein wird.
Bei der Anwendung der TRA-Ausnahme sind während einer Transaktion nicht alle Authentifizierungsmethoden erforderlich, und im Falle einer Beanstandung einer solchen Transaktion haftet der Zahlungskartenausgeber für etwaige Verluste.
Um einen unterbrechungsfreien Zahlungsvorgang zu gewährleisten, verlangen die Kartensysteme bei jeder Kartenzahlung die Übermittlung der unten angegebenen Daten. Dies kann zur Anwendung der TRA-Ausnahme von der starken Kundenauthentifizierung durch den Zahlungskartenaussteller führen:
-
Name (Name)
-
E-Mail-Adresse (Email address)
-
Telefonnummer (Home phone number)
-
Handynummer (Mobile phone number)
-
Rechnungsanschrift (Billing address)
-
Lieferanschrift (Shipping address)
Sie müssen Änderungen an der bestehenden Integration über eine HTTP-API vornehmen.
In diesem Fall implementieren und verwenden Sie den erweiterten Parameter ADDINFO für die Übergabe der oben genannten Daten (siehe die aktuelle Version des Dokuments "GP webpay API HTTP - Technical Specification", das hier verfügbar ist https://gpwebpay.cz/en/Download.html).
Bitte beachten Sie, dass die Übertragung der oben genannten Daten als Teil des Authentifizierungsprozesses in voller Übereinstimmung mit den DSGVO-Regeln erfolgen muss. Die oben genannten Daten werden nur bei den Herausgebern der Zahlungskarten gespeichert. Wir bitten Sie, im Rahmen der Information über die Verarbeitung personenbezogener Daten die Inhaber von Zahlungskarten darüber zu informieren, dass ihre angegebenen personenbezogenen Daten an den Zahlungskartenaussteller für die mögliche Anwendung der TRA-Ausnahme weitergegeben werden, was den Kaufprozess vereinfacht. Wir empfehlen, das berechtigte Interesse des Händlers an der Abwicklung der Transaktion als Grund für die Datenübermittlung anzugeben. Fragen und Anforderungen bezüglich der Unterstützung bei der Implementierung übersenden Sie bitte an folgende E-Mail-Adresse: gpwebpay@gpe.cz .
Außerdem möchten wir Sie bitten, die geforderten Änderungen in Bezug auf die Weitergabe von Zusatzinformationen bis spätestens 30. September 2021 umzusetzen.
Wir danken Ihnen im Voraus für Ihre Mitarbeit in dieser Angelegenheit.
English version
PSD2 – ADDINFO Parameter Mandated Changes, by September 30th, 2021
In connection with EU PSD2 Directive there is multiple cardholder authentication required according to the SCA (Strong Customer Authentication) mandate, on the issuer side. This might result on the customer side into cancelling the transaction, or to time-out for finishing the purchase in your e-shop.
To speed up the whole process, it is necessary to extend the ADDINFO parameter with additional customer data . Only then can exceptions be invoked by the issuer of the payment card (TRA/ Transaction Risk Analysis). By submitting all the fields you may help the security monitoring to better detect possible fraudulent transactions.
The implementation must be completed by September 30th, 2021. In connection with this, it is also necessary to change the Terms & Conditions of your e-shop, where in the GDPR section you will add information concerning the consent of customers to the provision of their identification data.
Follow our website for answers to your questions.
__________________________________________________________________________________
In January 2018, a European Union regulation known as the PSD2 (Payment Services Directive) entered into force, bringing changes to the security and unification of payments within the EU. As part of this regulation, the RTS (Regulatory Technical Standards) technical specification was issued to strengthen the level of security protection and reduce the volume of financial fraud. One key requirement is for SCA (strong customer authentication) for users – meaning your customers – when making remote payments.
This applies to all transactions using cards issued by European issuers and processed by European processors. This provision requires the paying customer to be authenticated in such a way as to demonstrate that they are the genuine, authorised holder of such payment card and have a legitimate interest in the performance of the transaction. The paying customer will be authenticated before the payment is authorised and the funds deducted from the cardholder’s account.
Currently, all e-commerce transactions are subject to strong cardholder authentication and the goal of the card schemes is to enable the issuing banks to apply the TRA (Transaction Risk Analysis) exemption.
TRA (Transaction Risk Analysis)
When a cardholder makes an online payment, another level of authentication – meaning authentication of the holder with the payment card issuer – will be required at the time of the transaction. The extension of integration means you will enable payment card issuers to work with more transaction data and enable them to set their own TRA risk parameters (hereinafter “RTS”), which will be of benefit to both you and your customers.
With the application of the TRA exemption, all the authentication methods are not required during a transaction and in the event of a complaint about such a transaction, the payment card issuer will be liable for any loss.
To ensure the payment process is uninterrupted, the card schemes require the transfer of the data indicated below for every card payment. This may result in the application of the TRA exemption from strong customer authentication by the payment card issuer:
-
Name
-
Email address
-
Home phone number
-
Mobile phone number
-
Billing address
-
Shipping address
You will need to make changes in the existing integration using an HTTP API.
In this case, you will implement and use the extended parameter ADDINFO for the transfer of the above data (see the current version of the “GP webpay API HTTP – Technical Specification” document, which is available here:https://gpwebpay.cz/en/Download.html ).
At the same time, please note that the transfer of the above data as part of the authentication process must be in full compliance with GDPR rules. The above data are stored only with the payment card issuers. We are asking that, as part of the information about the processing of personal data, you inform the payment card holders that their indicated personal data will be shared with the payment card issuer for the possible application of the TRA exemption, which will make the purchase process simpler. We recommend using the merchant’s legitimate interest in the processing of the transaction as the grounds for the data transfer.
Please send any queries and implementation support requests to the email address gpwebpay@gpe.cz.
We would also like to ask you to implement the required changes relating to the transfer of additional information no later than 30 September 2021.
