A bank és a kereskedő dönti el, hogy a kockázatelemzés alapján szükséges-e SCA vagy rákerülhet a tranzakció permanens whilelist-re.
Tiszta sor, csak kár, hogy a webbanki felület nem mutatja ezt a listát.
bizonyos nézőpontból a SCA nem az ügyfelet védi, hanem a bankot, az ügyfélnek és a kereskedőnek egy szükséges rossz.
Ennek a kérdésemnek a kapcsán nemrég igyekeztem utánaolvasni a 3D Secure-nak, és teljesen megdöbbentett, hogy a 3D Secure (ami nem azonos az SCA-val) az eredeti célja a kereskedő védelme volt. Ugyanis téves vagy rosszindulatú terhelésnél az ügyfélnek (akár credit, akár debit kártyája van) mindig is joga volt utólag panaszt tenni és kivizsgáltatni az ügyet a banknál. Ha tényleg baj van, akkor a bank a kereskedőn veri le a megfelelő hitelesítés hiányát, és ha ez néhány százaléknál gyakrabban előfordul, akkor abból a kereskedőből többet nem kér a bank. Ennek a kereskedői rizikónak a csökkentésére csinálták a 3D Secure-t, amikor a kereskedő kezdeményezheti (ha akarja) az erős hitelesítést, és utána tud azzal takarózni, ha az ügyfél vitatja a tranzakciót; vagyis a bizonyítási teher megfordul.
Ehhez képest a legtöbb helyen a weben úgy adták el a 3D Secure-t, hogy az az "ügyfelet védi". Tévedés, mert ha a kereskedők jó részénél nincs megkövetelve a 3D Secure, akkor a kiszivárgott vagy ellopott kártyaadatokkal azoknál még mindig meg lehet próbálni visszaélni. Ezt a lukat zárná be a PSD2/SCA (mivel minden kereskedőt kötelez az MFA-ra), és ezért nem értettem a kivételeket.
Permanens whitelist lehet például ...
Most már értem, köszönöm; engem az kavart meg, amit a sajtóban évekkel ezelőtt olvastam (vagyis hogy az SCA az ügyfelet védi).