​

In het ANVR-Nieuws van 29 juli 2019 hebben we al uitgebreid stilgestaan bij de invoering van de Strong Customer Authentication (SCA).
Kort samengevat schrijven de Europese (PSD2-) regels voor dat vrijwel iedere online betaling met veilige 2-trapsverificatie moet worden goedgekeurd.
Het is dus niet meer voldoende dat bijvoorbeeld een creditkaarthouder een online kaartbetaling goedkeurt door het kaartnummer, de vervaldatum en het controlenummer op de achterzijde van de betaalkaart te verstrekken.
Voortaan moet de kaarthouder in beginsel iedere kaartbetaling veilig goedkeuren met een combinatie van iets dat alleen hij of zij bezit (zoals een persoonlijke, uniek identificeerbare smartphone), met iets dat alleen hij of zij weet (zoals een geheime pincode), of met een uniek lichamelijk kenmerk (zoals een biometrische vingerafdruk).

Bij iDeal betalingen is dat al het geval, maar vanaf 2021 moet het ook gelden voor àlle creditcardbetalingen. Er is een kleine uitzondering voor betalingen onder de € 30, maar dat is voor de reisbranche feitelijk niet van belang.
Een zeer begrijpelijke uitleg over SCA wordt gegeven op de website van Betaalvereniging Nederland.
Voor IATA agenten die creditcardbetalingen zelf accepteren, zijn de regels voor veilige betaling al enkele jaren geleden aangescherpt. Alle IATA agenten moeten nu al voldoen aan het zgn. PCI-DSS-protocol wat betreft creditcardbetalingen. Hierover heeft de ANVR raamafspraken met auditors gemaakt; deze auditors zijn uiteraard ook aan te raden voor leisure-agenten die zelf creditcards verwerken. De meeste agenten zullen dit echter overlaten aan hun Payment Service Provider (PSP).
Als je online creditcardbetalingen accepteert met alleen het creditcardnummer, vervaldatum en het nummer op de achterkant van de creditcard moet je omschakelen en adviseren we je contact op te nemen met je PSP.