Griežtas kliento autentiškumo patvirtinimas (angl. Strong Customer Authentication, SCA) – tai naujas reikalavimas, taikomas mokėjimų internetu patvirtinimui ir Europoje buvo pristatytas kaip antrosios Mokėjimo paslaugų direktyvos (PSD2) dalis.
Taigi daugumai atsiskaitymų kortelėmis bei visiems mokėjimo pervedimams reikalingas SCA (išskyrus nesusijusius atvejus ar išimtis).
SCA metu būtina naudoti bent du iš trijų tapatybės patvirtinimo būdų, susijusių su:
- Žiniomis: tai kažkas, ką klientas privalo žinoti (pvz., slaptažodis, PIN kodas)
- Nuosavybe: tai kažkas, ką klientas turi turėti su savimi (pvz., telefonas, techninės įrangos žymuo, OTP (angl. One True Pairing) per SMS)
- Įgimtumu: tai kažkas, kas klientui yra įgimta (pvz., piršto antspaudas, veidas, balsas)
Faktiniai autentifikavimo metodai, srautas ir logika priklauso nuo kliento banko (kortelės išleidėjo) įdiegto sprendimo.
Nors PSD2 reglamentas buvo pristatytas 2019 m. rugsėjo 14 d., Europos bankininkystės institucija (EBI) nustatė naują įvedimo terminą, nes didžioji dalis rinkos dalyvių nebuvo pasirengusios prie jo pereiti. Paskelbtas pereinamasis laikotarpis, kurio metu turi būti užtikrintas PSD2 reikalavimų įgyvendinimas, ir mes tikimės, kad tai bus padaryta iki 2020 m. gruodžio 31 d.
Pastaba: Atsiskaitymų mokėjimo kortelėmis atveju SCA reikalavimas yra įmanomas ir naudojant 3DS protokolą, tačiau griežtas kliento autentiškumo patvirtinimas nėra susijęs su 3DS versija (3DS v1 palyginti su EMV 3DS/ 3DS v2). Nors tikimasi, kad 3DS v2 užtikrins geresnę pirkėjų patirtį, tai nebūtinai reiškia, kad 3DS v2 yra SCA ekvivalentas, o 3DS v1 nėra – griežtą kliento autentiškumo patvirtinimą galima atlikti ir su 3DS v1. Konkretų tapatybės patvirtinimo metodą įgyvendina ir tvarko kliento bankas (kortelės išleidėjas), neatsižvelgdamas į 3DS versiją.