DSP2 e Sistema de Autenticação Forte do Cliente (AFC)
O que os hotéis precisam de saber
A partir de 14 de setembro de 2019, entrará em vigor no Espaço Económico Europeu uma nova diretiva europeia (D2P2), com o objetivo de tornar os pagamentos online mais seguros, e que irá requerer a Autenticação Forte do Cliente (AFC). Isto significa que os pagamentos online dos seus hóspedes poderão ser afetados se os seus métodos de pagamento não cumprirem esta diretiva a tempo.
Este novo regulamento é positivo e visa aumentar a segurança e a transparência dos pagamentos. Ajudará a proteger os hoteleiros de perdas devido a litígios decorrentes de fraudes.
A SiteMinder está pronta para a AFC quando o regulamento entrar em vigor e continuamos a melhorar a nossa plataforma de pagamentos para que seja ainda mais fácil trabalhar com estes pagamentos.
Parece-lhe demasiado complexo? Vamos tentar explicar-lhe o que é esta nova lei e como irá afetar os seus hóspedes e o seu negócio.
Qual é o âmbito da diretiva DSP2?
A diretiva DSP2 tem como objetivo tornar os pagamentos mais seguros, proteger os seus hóspedes e uniformizar o campo de ação para os novos e já existentes prestadores de serviços de pagamento. Em consequência, requer que os prestadores de serviços de pagamento (PSP) como bancos, entidades emissoras de cartões e soluções de tecnologia implementem um número significativo de mudanças às operações existentes. Também irá afetar quem fizer ou receber pagamentos online, incluindo agências de viagens on-line (OTA), sistemas de reservas online e sistemas de gestão hoteleira.
O que é a AFC?
No seguimento da DSP2, vem a AFC (Autenticação Forte do Cliente), um processo de autenticação mais rigoroso para validar pagamentos online. Aplica-se quando tanto uma entidade emissora de cartões de um hóspede como o seu banco (local onde recebe dinheiro) estão situados no EEE.
Para cumprir a DSP2, os hóspedes irão precisar de dois dos fatores de autenticação abaixo (chamada autenticação de dois fatores) para aprovar quase todos os pagamentos online.
- Algo que apenas o hóspede saiba, como um PIN, um código ou uma palavra-passe
- Algo que apenas o hóspede possua, como um cartão de pagamento físico ou um telemóvel
- Algo que faça parte das características do hóspede (informação biométrica), como reconhecimento facial, uma impressão digital ou leitura da íris.
ALGO QUE
O CLIENTE SAIBA
(p.ex.: palavra-passe ou PIN)
ALGO QUE
O CLIENTE TENHA
(p.ex.: telemóvel ou código de hardware)
ALGO QUE SEJA UMA
CARACTERÍSTICA DO CLIENTE
(p.ex.: impressão digital ou reconhecimento facial)
3D Secure é um termo frequentemente usado quando falamos de AFC e é utilizado pelos prestadores de serviços de pagamento para realizarem a AFC. É um conjunto de regras que oferece proteção extra a comerciantes e clientes para pagamentos online. Uma transação que utilize 3D Secure irá redirecionar para o site do banco emissor do cartão para autorizar a transação. Como parte das regras da nova DSP2, os prestadores de serviços de pagamento terão de implementar a autenticação 3DS.
Como é que a Autenticação Forte do Cliente irá afetar os hoteleiros e os hóspedes?
A Diretiva de Serviços de Pagamento revista (DSP2) terá implicações no cenário da distribuição de viagens e hotelaria, especialmente para “reservas hotel collect”. Uma vez que a AFC irá requerer uma autenticação de dois fatores, esta irá afetar muitas transações de hotéis – tanto na fase de pré-estadia (desde a reserva até o hóspede chegar ao estabelecimento) como na fase de pós-estadia.
Num mundo anterior à DSP2, era suficiente para uma agência de viagens on-line (OTA) ou para um sistema de reservas na internet recolher os dados do cartão de um hóspede como garantia da reserva sem ser necessário realizar qualquer tipo de autenticação para validar os dados do cartão ou a identidade da pessoa que os introduzia.
Num mundo em que vigora a DSP2, tudo isto muda.
A partir de 14 de setembro de 2019, a OTA e o sistema de reservas têm uma oportunidade para realizar a AFC quando recolhem os dados dos cartões dos clientes, independentemente de o pagamento for realizado no momento da reserva ou de pagamentos em atraso (ou seja, depósitos em atraso, taxas de cancelamento, não comparências). Para realizar uma transação através de cartão corretamente (frequentemente chamada de Transação Iniciada pelo Comerciante – MIT), os dados dos cartões dos seus hóspedes, juntamente com uma prova de realização da AFC, devem passar por uma rede de intermediários de entrega, como OTA, sistemas de reserva e gateways de pagamento. Isto significa que os seus pagamentos online poderão falhar se os dados dos cartões foram recolhidos sem realizar a AFC e se não estiver disponível prova da AFC no momento em que o cartão for cobrado.
Como é que os hotéis se podem preparar para cumprir a AFC?
Apesar de os prestadores de serviços de pagamento (PSP), como bancos e gateways de pagamento, serem responsáveis por facilitar o processo de autenticação para que os hóspedes possam realizar pagamentos online, existe um impacto significativo para os hotéis nos seus pagamentos e transações. Recomendamos que analise os fluxos de pagamento dos seus hóspedes para avaliar o impacto da AFC no seu negócio. Aqui estão alguns dos cenários aos quais prestar atenção
- Certifique-se de que o seu gateway de pagamento lhe permite autenticar com segurança o cartão de crédito do hóspede enquanto este está a efetuar o pagamento online
- Se a agência de viagens online estiver a cobrar o pagamento, verifique com a agência de viagens online para confirmar se está pronta para a AFC, pois é responsável pela autenticação destes pagamentos.
- As Transações Iniciadas pelo Comerciante (MIT) usando “cartões guardados” tecnicamente não são abrangidas pela AFC. No entanto, no caso de a AFC não se realizar na altura da recolha dos dados do cartão, e de não se passar registo da AFC ao prestador de serviços de pagamento, poderá não conseguir processar o pagamento mais tarde quando não tiver o cartão. Para garantir que consegue receber o pagamento, recomendamos que incentive os hóspedes a pagar ao efetuar a reserva. Isto inclui a recolha de quaisquer depósitos para cobrir pré-pagamentos, cancelamentos e taxas de não comparecimento.
- Acerte os pagamentos diretamente com os hóspedes recorrendo a transações com cartão de chip ou de PIN.
- Há o risco de não conseguir processar estes pagamentos ao usar um “cartão guardado”. Recomendamos que, durante o check-in na presença do hóspede, realize uma pré-autorização do valor da estadia total mais extras (ou seja, usando o chip e o PIN). Isto permitir-lhe-á debitar mais tarde despesas de abandono do hóspede ou de extras no cartão.
Está a preparar-se para a AFC mas não sabe por onde começar?
Assista a este vídeo para obter orientações sobre todas as questões relacionadas com as normas da AFC ao abrigo da diretiva DSP2 e o impacto que terá no seu hotel.
Como é que a SiteMinder vai suportar a AFC?
Os pagamentos através do nosso sistema de reservas (TheBookingButton) cumprem as normas da AFC relativamente aos pagamentos online no momento da reserva nos mercados em que a nossa solução totalmente integrada de Pagamentos através da SiteMinder estiver disponível. Está prevista uma maior expansão da nossa solução de processamento de pagamentos conforme com a AFC no EEE no ano de 2020.
O gestor de canais da SiteMinder está pronto para a AFC quando o regulamento entrar em vigor e continuamos a melhorar a nossa plataforma de pagamentos para que seja ainda mais fácil trabalhar com estes pagamentos.
ContactoPerguntas Frequentes
A Diretiva de Serviços de Pagamento (DSP2) refere-se a uma decisão aprovada no Espaço Económico Europeu (EEE) para promover um ambiente de pagamentos mais seguro tanto para os comerciantes como para os consumidores. A direita tem como objetivo combater as taxas de fraude na região, nomeadamente quando um hóspede executa um pagamento online quando não se encontra fisicamente no hotel (p. ex. paga online porque não está no hotel).
Um elemento importante da DSP2 é o requisito da Autenticação Forte do Cliente (AFC), que irá entrar oficialmente em vigor a partir de 14 de setembro de 2019.
A AFC exige que os prestadores de serviços de pagamentos verifiquem que o cliente que está a realizar o pagamento online está autorizado a fazê-lo. P. ex., os comerciantes online (como você) devem autenticar e comprovar que o hóspede que realiza a reserva online é o titular do cartão. Esta autenticação está normalmente incorporada no processo de check-out e exige dois ou mais elementos dos listados abaixo:
- Algo que só a pessoa conhece (p. ex., uma palavra-passe);
- Algo que só a pessoa possui (p. ex., um telemóvel); e
- Algo da própria pessoa (p. ex., dados biométricos/leitura da íris)
A AFC é aplicada através de um processo designado 3D Secure (3DS). O 3DS é usado quando um banco do titular do cartão precisa de validar que a pessoa iniciou uma transação (normalmente através do envio de um código para o telemóvel do titular do cartão). Este processo foi refinado com a introdução do 3DS2, que melhora a experiência online do hóspede.
Conhecer bem os passos envolvidos no pagamento dos seus hóspedes é fundamental para estabelecer a conformidade. Considere os seus fluxos de pagamento e a necessidade de cumprir a DSP2 durante os passos seguintes:
- Pagamentos no momento da reserva – o pagamento total ou parcial no momento da reserva poderá requerer a AFC enquanto o utilizador está presente
- Pagamentos em atraso – pré-pagamentos antes do check-in, cancelamentos e não comparecimento
- Acertos no check-out – pagamento de despesas, comida e extras
- Pagamentos pós-saída – abandono do hóspede, cobranças em atraso de consumos do minibar e danos
Um desafio comum encontrado pelos hotéis é que, enquanto um hóspede introduz os dados do seu cartão online ao efetuar uma reserva, os dados do cartão são guardados de forma segura como “Cartão Guardado” para permitir que um hoteleiro inicie o pagamento mais tarde, ou seja, quando o seu hóspede estiver indisponível ou não estiver online. Isto torna o pagamento de depósito, saldo, extras, cancelamentos ou no shows difícil, dado que é provável que o hóspede não esteja disponível para realizar a AFC. Estes pagamentos de “Cartões Guardados” estão especialmente em risco de serem recusados pela entidade bancária emissora se a AFC não for realizada. Para ultrapassar o desafio que estes pagamentos apresentam, deverá lembrar-se de registar os dados do cartão do seu hóspede durante o check-in usando um método de pagamento conforme e pedir uma pré-autorização do hóspede em como o cartão será debitado numa data posterior.
- Soluções de tecnologia, como sistemas de reservas online ou PMS (sistema de gestão hoteleira) com um gateway de pagamento conforme
- Transações POS, como transações com chip e PIN, dado que o utilizador deve ter o seu cartão e PIN
- Pagamentos do Apple Pay, dado que envolvem o telemóvel do utilizador e a sua impressão digital ou reconhecimento facial
Para reduzir as fraudes com cartões, existe uma pressão regulatória maior para alterar a forma como os hotéis receberam pagamentos. Com a implementação da AFC, o maior risco para o seu hotel relaciona-se com o facto de que as transações que não cumpram este procedimento serão rejeitadas e poderá assistir a uma quebra nas suas conversões de reservas, ocupação e receita. Também existem desafios relativamente à gestão de cancelamentos e não comparências, dado que estes são normalmente cobrados como pagamentos de “Cartão Guardado”, o que já não será possível.
O setor está a esforçar-se arduamente para cumprir os novos requerimentos da AFC e a SiteMinder está em contacto próximo com parceiros de negócio como OTA, PMS, e gateways de pagamento para garantir que os nossos produtos correspondem às novas exigências.
No fundo, a DSP2 e a AFC defendem o interesse dos consumidores, dos seus hóspedes e do seu negócio. Apesar de poder haver um impacto inicial nas conversões, espera-se que os benefícios superem largamente os obstáculos a curto prazo
Para poder superar quaisquer desafios até que o setor esteja totalmente a par das soluções de cumprimento, considere fluxos de trabalho de pagamento alternativos que não necessitem de utilizar a AFC ou formas de facilitar o registo de dados com a AFC. As abordagens incluem:
- Receber pagamentos pessoalmente (quando o hóspede puder fornecer o seu cartão de crédito e o seu PIN)
- Receber pagamentos antecipadamente através do seu sistema de reservas (para minimizar o risco de não conseguir cobrar cartões guardados), ou
- Distribuir o seu inventário através de OTA que emitam um cartão virtual (uma vez que estes estão isentos da norma).
As principais exceções à AFC incluem:
- Transações de baixo valor – qualquer transação abaixo dos 30€ pode receber uma isenção de baixo valor e passar sem a AFC. No entanto, existe um limite de velocidade de cinco transações consecutivas, ou um limite cumulativo de 100€. Após estes limites terem sido atingidos, será novamente necessária a AFC.
- Whitelisting – após a primeira compra verificada através da AFC, um consumidor pode adicionar um comerciante à lista de permissões para que as transações seguintes não precisem da AFC. Os comerciantes terão de implementar o sistema 3DS2 (ver glossário) para poder ativar totalmente a funcionalidade das listas de permissões (whitelisting).
- Pagamentos das empresas e cartões de créditos virtuais – cartões de empresas que não estão no nome do titular do cartão e cartões de crédito virtuais que estão isentos da AFC.
- Transações Iniciadas pelo Comerciante (MIT) – os pagamentos efetuados com cartões guardados quando o cliente não está presente no fluxo de check-out podem qualificar-se como transações iniciadas pelo comerciante. Estes pagamentos tecnicamente estão fora do âmbito da AFC. Na prática, marcar um pagamento como uma “transação iniciada pelo comerciante” irá ser semelhante a requerer uma isenção. E como qualquer outra isenção, caberá ao banco decidir se é necessária uma autenticação para a transação.
Pagamento por telemóvel ou telefone (MOTO: Mobile Order Telephone Order) – este tipo de transação está excluído porque atualmente é muito difícil usar autenticação de dois fatores através do telefone, por fax ou por correio.
As OTA terão uma oportunidade de realizar a AFC no momento da reserva durante o registo do cartão.
Até dia 14 de setembro de 2019, esperamos que as OTA aconselhem os seus clientes e parceiros sobre como suportar a diretiva DSP2. Prevemos que algumas OTAs irão mudar seus parceiros no EEE para os modelos de pagamento “OTA collect” e fornecer um Cartão de Crédito Virtual (CCV) em vez de fornecer os dados dos cartões dos hóspedes aos alojamentos. Os Cartões de Crédito Virtuais estão isentos da AFC, por isso esta solução, apesar de poder não ser ideal para alguns, será eficiente.
Aconselhamos que contacte os seus parceiros OTA para garantir que estes estão a trabalhar com prestadores de serviços de pagamento para estarem conformes até 14 de setembro.
Autoridade de Conduta Financeira (ACF) do Reino Unido confirmou que irá estipular uma “implementação faseada” de 18 meses da aplicação da diretiva DSP2 no Reino Unido, a partir de 14 de setembro de 2019. Isto significa que a ACF não irá adotar medidas coercivas contra bancos emissores e prestadores de serviços de pagamento no Reino Unido se estes não cumprirem as normas relevantes relativamente à AFC a partir de 14 de setembro de 2019. Espera-se que a AFC entre efetivamente em vigor no final do período de 18 meses. Além disso, dado que será o banco emissor (do titular do cartão) que decide se aceita ou rejeita um pagamento, se o banco do titular do cartão não se situar no Reino Unido (p.ex.: um hóspede que viaje de outro país da UE), permanece o risco de que os pagamentos destes hóspedes sejam rejeitados se não cumprirem as normas da AFC.
Apenas se o seu estabelecimento estiver situado num dos países do Espaço Económico Europeu (EEE), é provável que esteja sujeito a estas novas normas. A AFC apenas se aplicará quando tanto o emissor do cartão do hóspede como o seu banco estiverem situados num país do EEE.
No entanto, espera-se que variações semelhantes da AFC da DSP2 sejam implementadas em todo o mundo nos próximos anos.
Pode encontrar mais informações sobre a DSP2 e a AFC nos websites abaixo (apenas disponível em inglês):
- Artigo de Opinião sobre a Autoridade Bancária Europeia sobre a AFC e a DSP2
- Guia da Stripe sobre a Autenticação Forte do Cliente
- Comunicado de Imprensa da Comissão Europeia
Recomendamos que contacte o seu prestador de serviços de pagamento e verifique como ele irá atingir a conformidade a tempo do prazo de 14 de setembro.
Definições
DSP2 | Diretiva de Serviços de Pagamento. Introduzida pela União Europeia para unificar e criar um mercado único para os pagamentos realizados na União Europeia. |
AFC | Autenticação Forte do Cliente. Norma da lei DSP2 para tornar os pagamentos online mais seguros e reduzir a fraude. |
3DS | Também chamado de 3D Secure. É um processo de autenticação usado por um banco emissor para validar um titular de cartão. Com este processo, normalmente o hóspede recebe um código por telemóvel que depois deverá ser registado numa página de resposta antes de o pagamento poder ser processado. |
3DS2 | Versão melhorada do processo 3DS. Oferece uma experiência mais simples ao hóspede. Esta tornou-se a norma para novos prestadores de serviços de pagamento que estejam em conformidade com a DSP2 |
UE | União Europeia. Consiste em 28 estados-membro. |
EEE | Espaço Económico Europeu. Compreende os países da União Europeia, a Noruega, a Islândia e o Listenstaine. |
SEPA | Área Única de Pagamentos em Euros. Regulamentação que foi estabelecida pela Autoridade Bancária Europeia e que consiste em normas e regras técnicas para serviços de pagamentos e infraestruturas na Europa. |
MIT | Transação Iniciada pelo Comerciante. Quando o comerciante tenta receber o pagamento em nome do cliente na sua ausência. |
CCV | Cartões de Crédito Virtuais (CCV). Número de cartão de crédito virtual (CCV) normalmente usado para compras online, e frequentemente para transações de utilização única. |
MOTO | Canal de pagamento por telemóvel ou telefone (Mobile Order Telephone Order) |
OLO | One Leg-Out . As transações são classificadas como OLO quando uma das seguintes condições se aplica:
|