Project

General

Profile

Bug #4418

DIBS - Strong Customer Authentication

Added by Rolf Madsen 3 months ago. Updated about 2 months ago.

Status:
Resolved
Priority:
Urgent
Assignee:
Target version:
Estimated time:
URL med eksempel:
Kategorier:
Integration - DIBS (Betaling)

Description

Problemstilling

Det skal undersøges om kravet til "Strong Customer Authenticatation" forudsætter ændringer i DDB CMS.

Formål

Sikre at Bibliotekerne fra 14. september 2019 lever op til kravet om "Strong Customer Authentication".

Løsningsbeskrivelse

Analyse af problemstillingen samt udvikling af nødvendige ændringer.

Baggrundsmateriale

Link to technical information of SCA now included (https://www.dibspayment.com/sca)

 

NEW REQUIREMENTS FOR CARD PAYMENTS ONLINE

 

September 14, 2019 is an important date for the e-commerce industry in Europe. A legal change is introduced requiring all card payments online to be verified by the buyer, only a few types of payments are exempt. The verification of payments is made by the consumer, who must approve the payment with two-factor authentication. This is done by using Strong Customer Authentication (SCA). Verified by Visa, Mastercard SecureCode, Amex SafeKey and Dankort Secured by Nets are all examples of Strong Customer Authentication.

 

 

WHAT DO YOU NEED TO DO?

 

It will be mandatory to use Strong Customer Authentication for all e-commerce transactions after September 14, 2019. There are a few transaction types that are exempt, such as MOTO (Mail Order / Telephone Order) payments.

 

If you do not already use Strong Customer Authentication, you must act before September 14, otherwise you risk that all your card transactions will be denied

 

If you don’t use Strong Customer Authentication, you must:

 

Contact your acquirer and ask them to enroll you in Verified by Visa, Mastercard SecureCode, Amex SafeKey and/or Dankort Secured by Nets, depending on your accepted card types. Contact your local support (see e-mail addresses at the end of this e-mail) to notify DIBS as soon as the enrollment is confirmed by your acquirer.

 

We will email you when we have registered and tested your Strong Customer Authentication enrollment.

 

If Nets is your acquirer for Visa and Mastercard, you just need to contact DIBS, and we will help you.

 

If you are unsure if you are using Strong Customer Authentication, please email your local support, and we'll check it for you.

 

 

CHANGES REQUIRED FOR SAVED CARD PAYMENTS (RECURRING AND CARD-ON-FILE)

 

If you are offering your customers to save their card to enable fast checkout, recurring or card-on-file payments, you must ensure that these payments are setup correctly to avoid declined payments after September 14. Please make sure to visit this page for further information and forward the information to your technical resource: https://www.dibspayment.com/sca

 

 

 

WHY ARE THE RULES CHANGING?

This change is one component of the effort to transform EU to a single internal market where the same rules apply to everyone and where consumer protection is strong. The requirement is part of the EU regulatory framework PSD2 (Payment Service Directive 2) and the requirement for verification is called SCA (Strong Customer Authentication). The verification of the payments is done by the consumer approving the payment using 3D Secure for Visa and Mastercard transactions, Amex SafeKey for American Express and Dankort Secured by Nets for Dankort transactions.

 

If you want to read more about the new SCA-rules, you can check out this blog:

 

DK: https://blog.dibs.dk/sca-og-psd2-s%C3%A5dan-fungerer-de-nye-eu-krav-til-online-kortbetalinger

SE: https://blogg.dibs.se/s%C3%A5-h%C3%A4r-fungerar-sca-nya-krav-fr%C3%A5n-eu-p%C3%A5-kortbetalningar

NO: https://blogg.dibs.no/slik-fungerer-sca-eus-nye-krav-til-kortbetalinger

4418-dibs-SCA.PNG (19.4 KB) 4418-dibs-SCA.PNG Simon Holt, 07/15/2019 04:38 PM

Related issues

Related to DDB CMS - Feature #4161: NETS kræver Accepter-knap ved betaling på hjemmesiden HUSK OVERSÆTTELSEReviewed

History

#1 Updated by Christel Krabbenhøft 3 months ago

  • Assignee changed from Christel Krabbenhøft to Simon Holt

Hej Simon. Har du mulighed for at kaste dig over denne?

#2 Updated by Steen Larsen 3 months ago

> If Nets is your acquirer for Visa and Mastercard, you just need to contact DIBS, and we will help you.

Vi har netop Nets som acquirer, men vi har også andre udenlandske kort udover de nævnte, så jeg spurgte DIBS i går hvordan og hvorledes. Han havde fået vores DIBS kundenummer men bad også om vores numre til den udenlandske aftale som jeg herefter gav ham (- det kunne måske være den største udfordring).
Herefter aktiverede han straks funktionen. Jeg tænker at de nok meget gerne vil have den funktion aktiveret :-)

I detalje-visningen i DIBS administration kan man se lidt ekstra informationer og at den faktisk er gennemført med den nye validering ("Secure" / "3D" m.m.)

Vi havde så et problem med en underkonto hos DIBS (som ikke bruges til ddbcms) - jeg tror supporteren hos DIBS havde glemt et eller andet men det blev hurtigt rettet efter oprettelse af support-sag. Det kunne faktisk ses i DIBS administrationen for den konto, at der var lidt flere afviste betalinger end normalt.

Den ekstra validering sker i DIBS vinduet hvis det kræves. Hvornår man bliver spurgt eller får sendt en sms afhænger vist af beløbets størrelse og sandsynligvis også af nogle andre ting.

 

#3 Updated by Simon Holt 3 months ago

Jeps, tager et kig på den!

#4 Updated by Simon Holt 3 months ago

Har haft kontakt med DIBS.

Vi gemmer ikke brugernes kort i CMS og anvender kun guest checkout, så det er "kun" et spørgsmål om at noget skal aktiveres i DIBS og vi skal ikke lave noget om i den måde vi interagere med DIBS API.

For Visa og Mastercard hedder det der skal aktiveres "3D Secure", som Steen også nævner. 

Indtil videre forestiller jeg mig processen bliver noget i retning af:

1. Hvert bibliotek skriver en mail til support@disbpayment.com, hvor de angiver CVR og Merchant ID.

2. DIBS kigger på hvilke aftaler, indløsere man har og hvilke oplysninger der kræves for at få SCA på det hele.

3. Biblioteker finder de nødvendige oplysninger og sender til DIBS.

4. Der aftales et tidspunkt med DIBS hvor SCA aktiveres, så man kan tjekke umiddelbart efter om betalingerne går igennem uden problemer.

Har igangsat processen for vejlebib.dk. Vender tilbage.

#5 Updated by Simon Holt 2 months ago

Jeg har nu været igennem processen for vejlebib.dk og vi har fået SCA på alle vores kort inkl. udenlandske.

Som sagt kræver dette ikke ændring i kode, da vi kun anvender "Guest checkout" og vi gemmer ikke brugernes kort til "One-click payment".

En simpel vejledning som følgende til bibliotekerne burde derfor være tilstrækkeligt:

1. Tag kontakt til dibs via support@dibspayment.com og oplys merchant-ID og CVR-nummer. Merchant-ID kan findes i DIBS-kontrolpanel eller man kan også se hvad man har indtastet i CMS under /admin/config/payment/dibs/edit/ding_dibs/1. Det er også en god ide at nævne, at man kun vil have det aktiveret for aftaler, der er tilknyttet ens Merchant-ID. Hvis man f.eks. deler CVR med kommunen kan der være andre aftaler.

2. Hvis man har udenlandske kort vil DIBS bede om forretningsnummer på disse aftaler. Her skal man kigge i de mails, man har modtaget da man lavede aftale med indløser eller tage kontakt til indløser.

3. Når DIBS har modtaget det de skal bruge, aktiveres de krævede sikkerhedsforanstalninger (som f.eks. "Dankort Secured by Nets" og "3D secure" for udenlandske kort) på ens aftaler.

4. Det er en god ide at tjekke DIBS administrationen på https://payment.architrade.com efter aktivering og sikrer at alt stadig kører igennem som det skal og at transaktionerne er blevet sikret i oversigten eller under detaljevisning. Ved os står der f.eks. "PBS (SECURED)" ved dankort og "PBS (3D)" ved vores udenlandske kort (se vedhæftet screenshot).

Sætter sagen "Needs code review" så I kan se jeg har kigget på den.

#6 Updated by Jesper K. Lund about 2 months ago

Et opklarende spørgsmål.

Kan vi (redaktør løsning) allerede nu kontakte DIBS og sætte processen igang eller skal vi vente på Release 31 - bugfixes?

Mvh Jesper/Aabenraa

#7 Updated by Simon Holt about 2 months ago

Hej Jesper. Tak for et godt spørgsmål :) Den havde jeg lige glemt at vende:

Vi skal opfordre alle biblioteker til at starte processen fra #note-5 så hurtigt som muligt.

Man kan lige så godt få styr på det og det giver jo også bedre sikkerhed ved betalinger. Der kan muligvis også opstå nogle vanskeligheder med at få fat i de forskellige oplysninger, så det er godt at være i god tid.

 

#8 Updated by Steen Larsen about 2 months ago

Det er en god ide - som Simon skriver - at kigge i DIBS administrationsdelen så vær sikker på at de rette personer faktisk HAR adgang til det inden processen startes.

Dér kan man også se evt underkonti der hører til netop dén aftale og se hvad normal betalingsflow er mht f.eks. godkendte/afviste transaktioner (dem er der jo altid nogle af pga forkerte indtastninger m.m.) så man evt. kan se et mønster når skiftet er sket.

 

I forbindelse med den ekstra validering ved betalingen viderestilles browseren fra DIBS-vinduet til andre websites før den sendes tilbage til DIBS-vinduet og til sidst til bibliotekssiden.

Vær opmærksom på hvis der er særlige firewall-regler eller lignende sat op på bibliotekets netværk som der skal tages hensyn til.

#9 Updated by Gitte Barlach about 2 months ago

  • Status changed from Needs code review to Resolved
  • Assignee changed from Gitte Barlach to Rolf Madsen

Super, mange tak for afklaring, Simon, og tak for supplerende indput, Steen. Vi sender info. ud til bibliotekerne. 

#10 Updated by Rolf Madsen 28 days ago

  • Related to Feature #4161: NETS kræver Accepter-knap ved betaling på hjemmesiden HUSK OVERSÆTTELSE added

Also available in: Atom PDF