3D secure – og Dankort Secured by Nets

Er man faktisk beskyttet med 3D secure og Dankort Secured By Nets koblet til betaling på sin hjemmeside?

Hvad er det?

Navnet 3D secure dækker faktisk over flere løsninger, nemlig Visas ”Secured By Visa”, Mastercard ”Securecode”, American Express ”SafeKey” og JSB kortets løsning ” J/Secure”. I den følgende omtaler jeg dem blot som 3D secure, da de fungerer på samme måde.

Både 3D secure og Dankort Secured By Nets er et ekstra sikkerhedstrin, som dine kunder skal igennem, når de betaler med kreditkort eller debetkort (3D secure) eller Dankort (Secured By Nets) på din hjemmeside. Med andre ord sender systemet en såkaldt OTP kode (One Time Password) til din telefon, som din kunde skal indtaste i et separate vindue, der kommer op på skærmen, for at skabe en yderligere sikkerhed og et verificeringstrin, der ligger på et fysisk device, nemlig din kundes telefon.

3D secure kan du koble til på samtlige transaktioner, men Dankort Secured By Nets fungere på den måde, at alle transaktioner under 450 kroner kører igennem uden det ekstra sikkerhedstrin, hvorimod alle transaktioner over 450 kroner kræver det ekstra sikkerhedstrin.

Hvad er fordelen?

Den helt store fordel ved 3D secure er, at hvis der er tale om tredjemands misbrug på et kreditkort, så sker der et såkaldt ”liability shift”, som på dansk betyder, at ansvaret flytter fra din forretning til banken, der udstedte kortet til din kunde. Dvs. at banken, der har udstedt kortet til din kunde dækker dit tab, som igen i praktisk betyder, at der IKKE trækkes penge tilbage fra din konto for varen eller ydelsen, der er gjort indsigelse imod.

Desværre er dette ikke tilfældet for Dankort Secured By Nets, så sker der tredjemands misbrug på et Dankort, så vil tabet stadig være dit, da pengene vil blive trukket på din konto og tilbageført til den kortholder, hvis kort er blevet misbrugt.

Hvordan stiller det mig, hvis jeg benytter 3D secure og Dankort Secured By Nets?

Der kan stadig ske svindel på din hjemmeside, som udmønter sig i en indsigelse fra en kortholder – at en anden har benyttet deres kort, såkaldt ”tredje mands misbrug”. Det burde naturligvis ikke være så mange, da man må antage, at personen der har afluret din kundes kort eller fået det af anden uærlig vej, ikke har adgang til deres telefon også. Det betyder, at du stadig vil få en henvendelse om, at der er sket et misbrug og det vil stadig blive forventet, at du behandler sagen med eventuelle beviser på, at det ER den korrekte kortholder, der har foretaget købet. Men uagtet udfaldet vil der ikke blive trukket penge tilbage fra din firmakonto.

Hvad hvis der ikke er tale om tredjemandsmisbrug?

Der findes mange typer indsigelser, der ikke har noget at gøre med tredjemandsmisbrug, men hvor kortholder selv laver en indsigelse. F.eks. har kortholder ret til at lave en indsigelse, hvis den vare de køber ikke er som lovet (f.eks. kjolen er i bomuld, men på beskrivelsen står, at den er af silke) eller de på anden vis ikke modtager den vare eller ydelse, de har betalt for. En anden type indsigelse kan være hvis kortholder føler sig ”snydt” ved at der trækkes et højere beløb end det aftalte (abonnementsfælde).

I alle disse tilfælde bør og skal kortholder forsøge at løse uoverensstemmelsen med forretningen først, men i sidste ende er kortholder meget beskyttet og har de en god sag, vil de kunne foretage en indsigelse. Har trækkes pengene tilbage fra din firmakonto, uden at 3D secure har nogen betydning.

Skal jeg gøre noget for at ”få det”?

Du kobler både 3D secure og Dankort Secured By Nets til ved at henvende dig til din PSP og bede om at få det koblet til i dit betalingsvindue på dit betalingsmodul.

Ved 3D secure er det hos nogle PSPere muligt at implementere en logik, så kun transaktioner over et vist beløb møder det ekstra krav om sikkerhed.

Som nævnt ovenfor er denne logik bygget ind i Secured By Nets, da det kun er transaktioner over 450 kroner, der vil resultere i, at dine kunder skal indtaste den ekstra kode.

Er alle mine kunder koblet til?

Dine kunder skal oplyse deres telefonnummer én gang per kort for at koble det til deres kort – hvis de skiftet telefonnummer skal de desuden gøre det igen, for at koble kortet til den nye telefon. Hvis din kunde ikke tidligere har ”ramt” 3D secure eller Dankort Secured By Nets, så vil det betyde, at når de støder ind i det på din hjemmeside, vil de blive sendt til en ekstern hjemmeside (f.eks. Nets side, for kreditkort fra de banker, der er koblet til Nets) og de vil blive bedt om at oprette forbindelsen mellem kort og telefon. Dette kræver NemId. Når det er sket, vil alle efterfølgende transaktioner ske ved at koden sendes direkte til telefonen.

Er alle pengeinstitutter koblet til?

De fleste, men det er faktisk ikke dit problem som merchant/webshop. Hvis transaktionen er kørt igennem som ”forsøg på 3D secure”, så sker liability shift stadig og banken, der udstedte kortet, dækker tabet.

Kan noget gå galt, så merchant skal betale?

Hvis transaktionen er foretaget med 3D secure, så kan ikke komme til at hænge på regningen ved tredjemandsmisbrug, men andre typer indsigelser vil du stadig være økonomisk ansvarlig for. Vær også obs på, at vælger du at f.eks. kun benytte 3D secure til transaktioner over f.eks. 500 kroner, så vil du skulle betale for alle dem under.

Som nævnt ovenfor, hvis transaktionen er foretaget med Secured By Nets dækker banken ikke dit tab uagtet. Så det er udelukkende kreditkort, hvor du får dækket er eventuelt tab grundet tredjemandsmisbrug.

Fremtiden

Kortselskaberne, med Visa i spidsen, arbejder aktivt på at beskytte webshops bedre og med at gøre disse løsninger bedre, hurtigere og smidigere end i dag og med at tilføre real værdi for kortholder. Et eksempel på dette er Visas 3D secure 2.0, som du kan læse mere om her: https://www.visaeurope.com/media/pdf/visa-infographic.pdf

Hvor kan jeg læse mere:

Mastercard: https://www.mastercard.dk/da-dk/betalingslosninger-til-private/tjenester-og-innovation/innovation/securecode.html

Visa: https://www.visaeurope.com/making-payments/verified-by-visa/

American Express: https://network.americanexpress.com/globalnetwork/safekey/dk/en/

JCB: https://www.global.jcb/en/products/security/jsecure/index.html

Dankort: https://www.dankort.dk/Pages/sikkerhed-paa-internettet-forretninger.aspx

Mere om indsigelser: https://www.emaerket.dk/forbruger/tips-guides-og-gode-raad/benyt-indsigelsesordningen