Betaalflows voor SCA ontwikkelen

De nieuwe SCA-regelgeving (sterke cliëntauthenticatie) stelt strengere eisen aan online betalingen in Europa. Kijk wat de gevolgen zijn voor je betaalflows en ontdek hoe Stripe kan helpen.

Inleiding

Laatst bijgewerkt op 14 september 2019

Op 14 september 2019 is er nieuwe regelgeving voor betalingen ingevoerd in Europa die SCA (sterke cliëntauthenticatie) verplicht stelt voor de meeste online betalingen in de Europese Economische Ruimte (EER). SCA is onderdeel van de tweede Payment Services Directive (PSD2).

De nieuwe SCA-regelgeving vereist een vorm van tweefactorauthenticatie voor de meeste online kaartbetalingen in Europa. Zonder authenticatie worden veel betalingen mogelijk geweigerd door de bank van de klant. We hebben nieuwe essentiële betaal-API’s ontwikkeld om bedrijven te helpen deze wijziging door te voeren en de SCA-vrijstellingen volledig te benutten.

We raden je aan deze gids door te lezen om een goed inzicht te krijgen in de wijzigingen die in de verschillende typen betaalflows moeten worden aangebracht om aan de SCA-vereisten te voldoen. Houd deze gids ook bij de hand bij het aanpassen van je betaalflows.

Hoe betalingen veranderen

Traditionele kaartbetalingen bestaan meestal uit twee stappen: autorisatie en opname. Een betaling wordt geautoriseerd wanneer de bank van de klant of de kaartverstrekker een betaling goedkeurt. En de betaling wordt opgenomen wanneer het bedrag van de kaart wordt afgeschreven.

SCA voegt een verplichte stap toe voorafgaand aan de autorisatie en opname: authenticatie. Deze stap is bedoeld om fraude te voorkomen, zodat klanten beter worden beschermd. Een klant kan een betaling authenticeren door te reageren op een verzoek van de eigen bank om aanvullende informatie in te voeren. Dit kan iets zijn wat de klant weet, zoals een wachtwoord, iets wat de klant gebruikt, zoals een telefoon, of iets wat deel uitmaakt van wie de klant is, zoals een vingerafdruk.

De meest gangbare manier om een betaling te authenticeren is een methode die 3D Secure wordt genoemd, misschien beter bekend onder de merknaam ‘Visa Secure’ of ‘Mastercard Identity Check’. Maar nu is er een nieuwe versie, 3D Secure 2 genaamd, die naar verwachting de standaardmethode voor het authenticeren van betalingen wordt. Meer informatie over de verschillen tussen deze twee methoden kun je vinden in onze 3D Secure 2-gids. Onze nieuwe betaal-API’s, Stripe Billing en de nieuwe versie van Stripe Checkout bieden allemaal ondersteuning voor 3D Secure 2.

Welke methode je ook gebruikt, klanten kunnen alleen tijdens een sessie authenticeren. Dit betekent dat ze op dat moment je website of app moeten gebruiken. Het toevoegen van deze stap is eenvoudiger voor bedrijven die direct bij de klant bedragen in rekening te brengen, en ingewikkelder voor bedrijven die pas bedragen in rekening brengen nadat de klant de afrekenflow heeft verlaten. (Dit wordt ook wel "buiten de sessie" genoemd.)

De scenario’s in deze gids bevatten voorbeelden van hoe deze drie stappen (authenticatie, autorisatie en opname) kunnen variëren, afhankelijk van hoe en wanneer je bedragen bij de klant in rekening brengt.

  1. Authenticeren
    Een klant authenticeert een online betaling.

    Een klant reageert op het 3D Secure-verzoek van de eigen bank en voert aanvullende informatie in om de betaling te authenticeren. Bekijk 3D Secure vanuit het gezichtspunt van de klant.

    Authenticatie is vereist wanneer een betaling niet in aanmerking komt voor een vrijstelling of wanneer de bank van de klant een verzoek om vrijstelling weigert. Onze nieuwe betaal-API's vragen automatisch in aanmerking komende vrijstellingen aan voordat de authenticatiestap wordt toegevoegd. Dit vereenvoudigt de afrekenflows en beschermt het conversiepercentage.

    Wist je dit? De klant moet de authenticatie uitvoeren tijdens de sessie of tijdens het gebruik van de website of app. Daarom wordt deze stap meestal uitgevoerd wanneer de klant het afrekenformulier invult.

  2. Autoriseren
    Je bedrijf vraagt de bank van de klant om de betaling goed te keuren.

    De bank van de klant bepaalt of een betaling wordt goedgekeurd of geweigerd. Als de betaling wordt goedgekeurd, wordt het geld aangehouden en gedurende zeven dagen gegarandeerd. Wordt een autorisatieverzoek geweigerd, dan moet je bedrijf een manier vinden om de klant weer in de sessie te brengen. De klant kan de betaling dan opnieuw authenticeren, waarna je opnieuw een autorisatieverzoek kunt indienen.

    Wist je dit? Een verzoek om autorisatie kan nog steeds worden geweigerd door de bank van de klant nadat de klant de authenticatie heeft uitgevoerd. Dit gebeurt bijvoorbeeld als de klant onvoldoende saldo heeft of als de kaart is verlopen.

  3. Tot 7 dagen

    De tijd tussen autorisatie en opname kan zeven dagen zijn, maar de meeste bedrijven nemen een betaling onmiddellijk na autorisatie op.

    Wist je dit? De bank van een klant kan aangeven dat een betaling "in behandeling is" als het bedrag is geautoriseerd maar niet is opgenomen.

  4. Opnemen
    Het bedrijf schrijft het bedrag af van de kaart van de klant, waarmee de betaling is voltooid.

Informatie over vrijstellingen

Bepaalde typen betalingen (zoals transacties met een laag risico, abonnementen met vaste bedragen, telefonische verkopen en door de handelaar geïnitieerde transacties) zijn mogelijk vrijgesteld van SCA. Door de handelaar geïnitieerde transacties zijn betalingen die worden gedaan met een opgeslagen kaart wanneer de klant buiten de sessie is. Bijvoorbeeld een betaling voor het lidmaatschap van een sportschool of de energierekening. Een bedrijf kan hiervoor in aanmerking komen als het een overeenkomst met de klant heeft en de klant de kaart heeft geauthenticeerd toen deze werd opgeslagen of toen de eerste betaling werd gedaan. Onze gids voor SCA bevat uitgebreide informatie over deze en andere vrijstellingen.

De voor SCA geschikte betaal-API’s en producten van Stripe helpen bedrijven om deze mogelijkheden volledig te benutten door automatisch vrijstellingen aan te vragen. Wanneer een vrijstelling wordt geaccepteerd door de bank van de klant, hoeft de klant geen authenticatie uit te voeren, waardoor de gevolgen voor de conversie tot een minimum worden beperkt.

Bedrijven kunnen er echter niet zomaar van uitgaan dat vrijstellingen worden verleend en moeten hun betaalflows zo ontwerpen dat klanten kunnen worden geauthenticeerd wanneer dat nodig is. De reden hiervoor is dat de regels voor vrijstellingen afhankelijk zijn van de bank van de klant. De bank beoordeelt elke betaling en bepaalt of een vrijstelling kan worden verleend. Met andere woorden, vrijstellingen worden niet door alle banken op dezelfde wijze toegepast.

Bedrijfsscenario’s

Hieronder vind je een overzicht van de gevolgen en toepassing van SCA. Bekijk hoe een authenticatiestap kan worden ingevoegd in betaalflows van verschillende bedrijfsmodellen.

Terug naar whitepapers
You’re viewing our website for Slovenia, but it looks like you’re in the United States.