PSD2 และการตรวจสอบตัวตนลูกค้าแบบเข้มงวด (SCA)

ข้อบังคับบริการการชำระเงิน (PSD2) หมายถึงการตัดสินใจที่ถูกผ่านในเขตเศรษฐกิจยุโรป (EEA) เพื่อส่งเสริมสภาพแวดล้อมการชำระเงินที่ปลอดภัยมากขึ้นสำหรับผู้ค้าและผู้บริโภค กฎนี้มีเป้าหมายเพื่อควบคุมอัตราการฉ้อโกงที่เพิ่มขึ้นในภูมิภาค โดยเฉพาะเมื่อผู้ถือบัตรไม่ได้อยู่ในที่เดียวกับผู้ค้า (เช่น แขกที่ทำการชำระเงินออนไลน์)

องค์ประกอบสำคัญของ PSD2 คือข้อกำหนดในการตรวจสอบตัวตนลูกค้าแบบเข้มงวด (SCA) ซึ่งหลังจากมีการเปลี่ยนแปลงกำหนดเวลาแล้ว มีกำหนดที่จะมีผลบังคับใช้ตั้งแต่วันที่ 31 ธันวาคม 2020 ยกเว้นสหราชอาณาจักรที่กำหนดเวลา 14 กันยายน 2021.

SCA ต้องการให้ผู้ให้บริการการชำระเงินตรวจสอบว่าลูกค้าที่ทำการชำระเงินออนไลน์มีสิทธิ์ในการทำเช่นนั้นหรือไม่ เช่น ผู้ค้าออนไลน์ (เช่น ตัวคุณเอง) ต้องตรวจสอบว่าผู้เข้าพักที่ทำการจองออนไลน์คือเจ้าของบัตร การตรวจสอบนี้จะถูกบูรณาการในกระบวนการชำระเงินออนไลน์และจะ “ท้าทาย” สองหรือมากกว่าขององค์ประกอบดังต่อไปนี้:

• สิ่งที่บุคคลนั้นรู้ (เช่น รหัสผ่าน)
• สิ่งที่บุคคลนั้นมี (เช่น โทรศัพท์)
• สิ่งที่บุคคลนั้นเป็น (เช่น ลายนิ้วมือ / การสแกนม่านตา)

SCA ถูกนำไปใช้ผ่านกระบวนการที่เรียกว่า 3D Secure (3DS) โดยปกติแล้ว 3DS จะเริ่มต้นโดยธนาคารของผู้ถือบัตรเพื่อยืนยันว่าพวกเขาเป็นผู้เริ่มต้นการทำธุรกรรม (โดยปกติจะส่งรหัสมือถือไปยังโทรศัพท์ของผู้ถือบัตร) กระบวนการนี้ได้รับการปรับปรุงด้วยการแนะนำ 3DS2 ซึ่งตอนนี้ช่วยลดผลกระทบต่อประสบการณ์ออนไลน์ของแขก

การมีความเข้าใจที่ดีเกี่ยวกับขั้นตอนที่เกี่ยวข้องในการชำระเงินของแขกของคุณเป็นสิ่งสำคัญในการสร้างความสอดคล้องกับข้อกำหนด ตามแนวทางนี้ พิจารณากระบวนการชำระเงินของคุณและความจำเป็นในการปฏิบัติตาม PSD2 ในระหว่างขั้นตอนต่อไปนี้:

• การชำระเงินในขณะทำการจอง – การชำระเงินเต็มจำนวนหรือบางส่วนในขณะทำการจองอาจต้องการ SCA ในขณะที่ผู้ใช้ยังคงอยู่ในระบบ
• การชำระเงินที่ล่าช้า – การชำระเงินล่วงหน้าก่อนเช็คอิน, การยกเลิก และกรณีไม่มาปรากฏตัว
• การชำระเงินเมื่อเช็คเอาท์ – การชำระเงินยอดคงเหลือ, ค่าอาหาร และค่าใช้จ่ายอื่น ๆ
• การชำระเงินหลังการออกจากที่พัก – การเดินออกจากโรงแรมของแขก, ค่าธรรมเนียมมินิบาร์ที่ล่าช้า และความเสียหาย

ปัญหาที่โรงแรมพบได้บ่อยคือ แม้ว่าแขกจะกรอกรายละเอียดบัตรของตนออนไลน์เมื่อทำการจอง แต่รายละเอียดบัตรจะถูกเก็บรักษาอย่างปลอดภัยเป็น “บัตรที่บันทึกไว้” เพื่อให้ผู้ประกอบการโรงแรมสามารถเริ่มต้นการชำระเงินในภายหลังได้ เช่น เมื่อแขกของคุณ “ออกจากระบบ” หรือไม่ได้ออนไลน์ ซึ่งทำให้การชำระเงินมัดจำ, ยอดคงเหลือ, ค่าใช้จ่ายเพิ่มเติม, การยกเลิก หรือกรณีไม่มาปรากฏตัวเป็นเรื่องยาก เพราะแขกไม่น่าจะสามารถทำการตรวจสอบตัวตนแบบเข้มงวด (SCA) ได้ การชำระเงินด้วยบัตรที่บันทึกไว้นี้มีความเสี่ยงสูงที่จะถูกปฏิเสธโดยธนาคารผู้ออกบัตรหากไม่ทำการตรวจสอบตัวตน (SCA) เพื่อเอาชนะปัญหานี้ในการชำระเงินเหล่านี้ คุณควรจำไว้ว่าควรเก็บรายละเอียดบัตรของแขกในขณะเช็คอินโดยใช้วิธีการชำระเงินที่สอดคล้องกับข้อกำหนด และทำการอนุมัติเบื้องต้นจากแขกว่าบัตรจะถูกหักเงินในภายหลัง

• โซลูชันเทคโนโลยี เช่น เครื่องมือจองออนไลน์หรือระบบจัดการที่พัก (PMS) ที่มีเกตเวย์การชำระเงินออนไลน์ที่สอดคล้องกับข้อกำหนด
• ธุรกรรม POS เช่น การทำธุรกรรมด้วยชิปและรหัส PIN เนื่องจากผู้ใช้ต้องมีบัตรและรหัส PIN ของตน
• การชำระเงินผ่าน Apple Pay เนื่องจากเกี่ยวข้องกับโทรศัพท์มือถือของผู้ใช้และลายนิ้วมือหรือการสแกนใบหน้าของพวกเขา

เพื่อลดการฉ้อโกงบัตร มีการเพิ่มแรงกดดันจากกฎระเบียบในการเปลี่ยนแปลงวิธีที่โรงแรมได้รับการชำระเงินโดยพื้นฐาน เมื่อมีการบังคับใช้ SCA ความเสี่ยงที่ใหญ่ที่สุดสำหรับธุรกิจโรงแรมของคุณคือ ธุรกรรมที่ไม่สอดคล้องจะถูกปฏิเสธและคุณอาจเห็นการลดลงของอัตราการจอง, อัตราการเข้าพัก และรายได้ นอกจากนี้ยังมีความท้าทายในการจัดการการยกเลิกและกรณีไม่มาปรากฏตัว เพราะการชำระเงินเหล่านี้มักจะถูกเก็บเป็น “บัตรที่บันทึกไว้” ซึ่งจะไม่สามารถทำได้อีกต่อไป

อุตสาหกรรมกำลังทำงานอย่างหนักเพื่อให้สอดคล้องกับข้อกำหนด SCA ใหม่ และ SiteMinder กำลังติดต่ออย่างใกล้ชิดกับพันธมิตรทางธุรกิจ เช่น OTAs, PMSs และเกตเวย์การชำระเงิน เพื่อให้มั่นใจว่าผลิตภัณฑ์ของเราตรงตามความต้องการใหม่

ในที่สุด PSD2 และ SCA จะเป็นผลดีต่อผู้บริโภค, แขกของคุณ และธุรกิจของคุณ แม้ว่าจะมีผลกระทบในระยะแรกต่ออัตราการแปลงการจอง แต่ผลประโยชน์ที่ได้รับคาดว่าจะมากกว่าข้อจำกัดในระยะสั้น

เพื่อเอาชนะความท้าทายต่าง ๆ จนกว่าอุตสาหกรรมจะพัฒนาโซลูชันที่สอดคล้องกับข้อกำหนดได้ครบถ้วน พิจารณากระบวนการชำระเงินทางเลือกที่ได้รับการยกเว้นจาก SCA หรือวิธีการทำให้การตรวจสอบตัวตนแบบเข้มงวด (SCA) ง่ายขึ้น วิธีการที่สามารถทำได้รวมถึง:

• การรับชำระเงินโดยตรง (เมื่อบัตรเครดิตและรหัส PIN พร้อมใช้งาน)
• การเก็บเงินล่วงหน้าผ่านเครื่องมือจองของคุณ (เพื่อลดความเสี่ยงจากการไม่สามารถหักเงินจากบัตรที่บันทึกไว้) หรือ
• การแจกจ่ายสินค้าคงคลังของคุณผ่าน OTAs ที่ออกบัตรเสมือน (เนื่องจากพวกเขาได้รับการยกเว้นจากกฎระเบียบ)

ข้อยกเว้นหลักจาก SCA ได้แก่:

• ธุรกรรมมูลค่าต่ำ – ธุรกรรมใดที่มีมูลค่าต่ำกว่า 30 ยูโรสามารถได้รับการยกเว้นมูลค่าต่ำและทำธุรกรรมได้โดยไม่ต้องใช้ SCA อย่างไรก็ตาม จะมีขีดจำกัดความเร็วที่ห้าธุรกรรมติดต่อกัน หรือขีดจำกัดสะสมที่ 100 ยูโร เมื่อถึงขีดจำกัดเหล่านี้ SCA จะต้องถูกใช้ใหม่
• การเพิ่มในรายการที่ได้รับอนุญาต – หลังจากการซื้อครั้งแรกที่ได้รับการตรวจสอบ SCA ผู้บริโภคสามารถเพิ่มผู้ค้าในรายการที่ได้รับอนุญาตเพื่อให้ธุรกรรมถัดไปไม่ต้องใช้ SCA อีก ผู้ค้าต้องใช้ 3DS2 (ดูคำศัพท์) เพื่อเปิดใช้งานฟังก์ชันการเพิ่มในรายการที่ได้รับอนุญาตได้อย่างสมบูรณ์
• การชำระเงินของบริษัทและบัตรเครดิตเสมือน – บัตรเครดิตของบริษัทที่ไม่ใช่ชื่อของผู้ถือบัตรและบัตรเครดิตเสมือนจะได้รับการยกเว้นจาก SCA
• ธุรกรรมที่เริ่มต้นโดยผู้ค้า (MIT) – การชำระเงินที่ทำด้วยบัตรที่บันทึกไว้เมื่อผู้ใช้ไม่ได้อยู่ในกระบวนการชำระเงิน (บางครั้งเรียกว่า “ออกจากระบบ”) อาจถือเป็นธุรกรรมที่เริ่มต้นโดยผู้ค้า ธุรกรรมเหล่านี้ทางเทคนิคจะอยู่นอกขอบเขตของ SCA ในทางปฏิบัติ การทำเครื่องหมายการชำระเงินว่าเป็น “ธุรกรรมที่เริ่มต้นโดยผู้ค้า” จะคล้ายกับการขอการยกเว้น และเหมือนกับการยกเว้นอื่น ๆ ธนาคารจะเป็นผู้ตัดสินใจว่า จำเป็นต้องมีการตรวจสอบตัวตนสำหรับธุรกรรมนี้หรือไม่

ธุรกรรม MOTO (การสั่งซื้อผ่านโทรศัพท์มือถือ หรือการสั่งซื้อทางโทรศัพท์) – ประเภทธุรกรรมนี้ได้รับการยกเว้นเพราะในปัจจุบันการใช้การตรวจสอบตัวตนแบบสองปัจจัยผ่านทางโทรศัพท์, แฟกซ์ และจดหมายเป็นเรื่องที่ทำได้ยากมาก

OTAs จะมีโอกาสในการทำ SCA ในขณะทำการจองเมื่อเก็บข้อมูลบัตรเครดิต

ในช่วงเวลาก่อนวันที่ 14 กันยายน 2019 เราคาดว่า OTAs จะให้คำแนะนำแก่ลูกค้าและพันธมิตรเกี่ยวกับวิธีการที่พวกเขาจะสนับสนุนข้อกำหนดของ PSD2 เราคาดการณ์ว่า OTAs หลายแห่งจะเปลี่ยนพันธมิตรใน EEA ไปสู่โมเดลการชำระเงินแบบ “OTA collect” และจัดหาบัตรเครดิตเสมือน (VCC) แทนที่จะให้รายละเอียดบัตรของแขกแก่ผู้ให้บริการที่พัก บัตรเครดิตเสมือนจะได้รับการยกเว้นจาก SCA ดังนั้น โซลูชันนี้ ถึงแม้อาจไม่เหมาะสมกับบางกรณี แต่ก็ยังสามารถใช้งานได้

เราขอแนะนำให้คุณติดต่อพันธมิตร OTA ของคุณเพื่อให้แน่ใจว่าพวกเขากำลังทำงานร่วมกับผู้ให้บริการการชำระเงินเพื่อให้สอดคล้องกับข้อกำหนดภายในวันที่ 14 กันยายน

หากโรงแรมของคุณตั้งอยู่ในหนึ่งในประเทศที่เป็นสมาชิกของเขตเศรษฐกิจยุโรป (EEA) ก็มีแนวโน้มว่าคุณจะต้องปฏิบัติตามข้อกำหนดใหม่เหล่านี้ SCA จะใช้เมื่อทั้งผู้ออกบัตรของแขกและธนาคารของคุณตั้งอยู่ในประเทศใน EEA

อย่างไรก็ตาม สามารถคาดหวังได้ว่ามาตรการที่คล้ายกับ PSD2 SCA จะถูกนำไปใช้ทั่วโลกในอีกไม่กี่ปีข้างหน้า

คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ PSD2 และ SCA ได้ที่

• บทความความคิดเห็นจากหน่วยงานธนาคารแห่งยุโรปเกี่ยวกับ SCA และ PSD2
• คู่มือการตรวจสอบตัวตนแบบเข้มงวดของลูกค้า (SCA) จาก Stripe
• ข่าวประชาสัมพันธ์จากคณะกรรมาธิการยุโรป

เราขอแนะนำให้คุณติดต่อผู้ให้บริการการชำระเงินของคุณและตรวจสอบว่าเขาจะทำอย่างไรเพื่อให้สอดคล้องกับข้อกำหนดภายในกำหนดเส้นตายวันที่ 14 กันยายน