الامتثال · فبراير 2025

PSD2 والمصادقة القوية للعميل (SCA)

SCA والاستثناءات وما الذي يعنيه ذلك لمنتجك.

تتطلب توجيهات خدمات الدفع المُنقّحة (PSD2) في أوروبا حماية المدفوعات الإلكترونية والوصول إلى حسابات الدفع عبر المصادقة القوية للعميل (SCA). عملياً، يعني ذلك غالباً مصادقة بعاملين: شيء يعرفه المستخدم (مثل PIN)، وشيء يملكه (مثل الهاتف أو رمز)، أو شيء يمثله (مثل القياسات الحيوية). إذا كنت تبني منتج Open Banking أو مدفوعات — في الاتحاد الأوروبي أو المملكة المتحدة أو مناطق تتبع قواعد مشابهة — فيجب أن تعمل تدفقاتك مع SCA لا أن تلتف حولها.

متى تكون SCA مطلوبة؟

تكون SCA مطلوبة عندما يقوم المستخدم: (1) بالوصول إلى معلومات حساب الدفع عبر الإنترنت، (2) بدء دفع إلكتروني، أو (3) تنفيذ أي إجراء قد ينطوي على مخاطر احتيال. لذلك عندما يطلب تطبيقك من البنك بيانات الحساب أو يبدأ دفعاً، سيطلب البنك عادةً SCA قبل إتاحة البيانات أو تنفيذ الدفع. يتم توجيه المستخدم إلى البنك (أو تدفق مضمّن للبنك)، ويُكمل SCA هناك، ثم يعود إلى تطبيقك مع رمز تفويض (auth code). بعد ذلك يقوم خادمك بتبديل الرمز إلى رمز وصول (access token). هذا هو التدفق الذي ننفّذه عند بناء مصادقة Open Banking للعملاء.

الاستثناءات

يسمح PSD2 باستثناءات في حالات محددة: معاملات منخفضة القيمة (مثلاً أقل من 30€)، مستفيدون موثوقون، دفعات متكررة، وغيرها. قد تطبقها البنوك والجهات التنظيمية بطرق مختلفة. إذا كان منتجك يعتمد على استثناء، يجب فهم القواعد المحلية وسياسة البنك. وحتى مع الاستثناءات، يتجه السوق نحو SCA أكثر اتساقاً، لذا فإن تصميم تدفق الموافقة وإعادة التوجيه مع مراعاة SCA أكثر أماناً على المدى الطويل.

ماذا يعني ذلك لمنتجك

لا ينفّذ منتجك SCA بنفسه — البنك هو من ينفّذها. دورك هو: (1) توجيه المستخدم إلى صفحة مصادقة البنك بالمعلمات الصحيحة (مثل معرف الموافقة وredirect URI)، (2) استقبال العودة (callback) مع رمز التفويض، و(3) تبديل الرمز إلى توكن وتخزينه بأمان. تجربة المستخدم تكون: “اضغط لربط بنكك” → إعادة توجيه → تسجيل دخول/OTP/بصمة لدى البنك → العودة إلى التطبيق. نحن نبني تدفق إعادة التوجيه وتبادل التوكنات هذا ليبقى تطبيقك متوافقاً ويحصل المستخدمون على تجربة سلسة وآمنة. نفّذناه لعملاء مثل Meras وInfinipi ويمكننا تنفيذه لمنتجك في باكستان أو أي مكان آخر.

ما بعد أوروبا

تعتمد دول كثيرة مفاهيم مشابهة: مصادقة آمنة قبل مشاركة بيانات الحساب أو بدء المدفوعات. وقد يكون لباكستان وأسواق أخرى قواعدها أو ممارساتها البنكية الخاصة. عندما نبني لك أنظمة Open Banking أو TPP، نصمم تدفقات شبيهة بـ SCA مع مراعاة المتطلبات المحلية لتكون جاهزاً للوائح الحالية والمستقبلية.

هل تحتاج بناء تدفق المصادقة وتكامل SCA لمنتجك؟ نبنيه لك.

← العودة إلى المدونة