Je bent succesvol ingelogd op Mijn ANVR
Uitloggen
Intranet

Skip Navigation LinksStrong Customer Authentication komt er aan: een uitleg voor reisbedrijven.

Je bent hier:
ANVR  >  ANVR-Nieuws

Nieuws
Strong Customer Authentication komt er aan: een uitleg voor reisbedrijven.

Maandag 29 juli 2019
Vanaf 14 september moeten ook onlinebetalingen aan reisbedrijven voldoen aan de EU-regels voor wat betreft Strong Customer Authentication. De ANVR verwacht dat voor de Nederlandse reisbedrijven de gevolgen beperkt zijn, maar dat geldt echter niet voor de internationaal opererende reisbedrijven.

cc.png

 

Extra authenticatiestap
De PSD2 wetgeving met betrekking tot betalingen is in januari ingevoerd in Nederland. De ANVR heeft haar leden hierover in februari 2019 al uitgebreid over geïnformeerd.
Per 14 september 2019 volgt een volgende stap waaraan betalingen aan bedrijven moet voldoen: de Strong Customer Authentication. (SCA): SCA betekent dat er bij online betalingen een extra authenticatiestap moet plaatsvinden. Deze maatregel is er op gericht om fraude tegen te gaan. Waar tot nu toe een creditcardnummer en een adres voldoende waren, moeten klanten nu minstens twee van de volgende drie extra authenticatiemethoden gebruiken als ze online voor iets willen betalen. Dit zijn:
1) iets dat je weet (zoals een wachtwoord of je PIN-code),
2) iets dat je hebt (zoals een smartphone of een authenticatie-apparaat) en,
3) iets dat je bent (zoals een vingerafdruk of gezichtsherkenning).
IDeal-betalingen, betalingen met een pincode/pas via een bankreader, maar ook pin betalingen op een kassa-terminal voldoen hieraan. Nog niet alle creditcardbetalingen worden echter uitgevoerd via SCA.

Gevolgen voor Nederland beperkt
De SCA wordt nog niet overal toegepast, maar is zeker in Nederland ook niet nieuw: Walter Schut, adj. dir.  ANVR: "In de internationale reispers zien wij verhalen over de grote gevolgen van de SCA voor de reisbranche. Wij verwachten echter dat voor de meeste Nederlandse reisbedrijven de gevolgen beperkt zijn, want wat het betalingsverkeer betreft loopt Nederland voorop. Bedrijven die in verschillende landen reizen verkopen, kunnen echter tegen lokale verschillen aan lopen. Voor hen kunnen de gevolgen groter zijn".
Specifiek voor de Nederlandse reisbranche gelden de volgende overwegingen:  
- Anders dan in andere landen wordt in Nederland veel afgerekend via iDeal. iDeal (pas +code) voldoet aan SCA. Lang niet alle reisbedrijven faciliteren naast iDeal of overschrijving ook betaling met creditcard, mede gelet op de kosten.
- alle IATA-agenten moeten nu al voldoen aan het PCI-DSS protocol wat betreft creditcardbetalingen. Dit is het voorjaar van 2018 ingevoerd. Door de ANVR zijn hierover  raamafspraken met auditors gemaakt. Nederland is bij IATA mondiaal één van de koplopers voor wat betreft invoering van PCI-DSS. IATA heeft de IATA agenten afgelopen week hierover geïnformeerd. Zeker voor landen waarin onbeveiligde creditcardbetalingen worden geaccepteerd en waar ze nog onvoldoende volgens PCI-DSS werken, kan de SCA een fors probleem zijn.
- De af te rekenen bedragen in de reisbranche zijn naar verhouding hoog. De meeste betalingen met creditcard worden daarom nu al door bedrijven alleen geaccepteerd via een beveiligde (3Dsecure) procedure van de paymentprovider. SCA geldt overigens niet voor betalingen van minder dan €30 en periodieke betalingen. Hogere betalingen kunnen uitgezonderd worden afhankelijk van het risiconiveau.
- Lang niet alle betalingen gaan via een reiswebsite. Ook bij een boeking via de mail kan eenvoudig een beveiligd betaalverzoek (pay-per-mail) aan de klant worden gedaan dat voldoet aan de gestelde eisen. De ANVR heeft hierover raamafspraken met Worldonline (voorheen Paysquare) waarbij iDeal en creditcardbetalingen kunnen worden opgenomen
- Door ANVR en ECTAA is, met succes,  in EU-verband sterk gepleit om het werken met virtual creditcards voor o.m. de businesstravel hanteerbaar te houden. In de regelgeving zijn bedrijfskaarten inderdaad uitgezonderd. Ook in de regels van IATA is dit expliciet uitgezonderd.

Mogelijk uitstel op onderdelen.
Voor reisbedrijven die in diverse EU-landen werkzaam zijn of veel buitenlandse creditcardbetalingen ontvangen, kan de invoering wél complex zijn! Zij hebben immers te maken met verschillende betalingsgewoonten - en systemen in de diverse EU-landen.  De Engelse toezichthouder heeft al aangegeven 18 maanden uitstel voor invoering SCA-regels te willen geven; dat is niet verbazend want het creditcard gebruik (en misbruik overigens) is in de UK verreweg het grootst. Mogelijk komt er dus Europees uitstel op bepaalde onderdelen, maar dat is op dit moment nog niet bekend.
Indien je hierover vragen hebt of opmerkingen kan je die sturen naar wschut@anvr.nl