Bester Service für Ihr bestes Ergebnis

Einfach gut

Bester Service für Ihr bestes Ergebnis

09.07.2019

Starke Kundenauthentifizierung im Rahmen der Umsetzung der PSD2 - FAQ


Die neue Zahlungsrichtlinie PSD (Payment Service Directive) für den elektronischen und bargeldlosen Zahlungsverkehr im europäischen Wirtschaftsraum wurde am 13. Januar 2018 in ein nationales Gesetz in Deutschland umgesetzt mit dem Ziel, für mehr Transparenz und Sicherheit im Online-Zahlungsverkehr zu sorgen und Innovationen zu fördern.

Zum 14. September 2019 tritt eine verschärfte Version der Zahlungsrichtlinie – besser bekannt als PSD2 – in Kraft, die Sie als Händler dazu verpflichtet, eine starke Kundenauthentifizierung (SCA) für Bezahlvorgänge einzuführen.

Zu beachtende Termine:

  • April 2019 - 3-DS 2 Haftungsverlagerung. Wenn das Unternehmen 3-D Secure 2 anfordert und die ausstellende Bank es nicht akzeptieren kann, erhält das Unternehmen ab diesem Zeitpunkt eine automatische Haftungsverschiebung.
  • 14. September 2019 - SCA-Anforderungen von PSD2 werden in Europa aktiv. Jedes Unternehmen mit signifikantem europäischen Volumen muss 3-D Secure 2 zu diesem Zeitpunkt implementiert haben.

  • 2020 - 3-DS 2 startet weltweit. Wir erwarten, dass die meisten Banken weltweit bis Ende 2020 3-DS 2 akzeptieren und 3-DS 1 auslaufen lassen.

Um Sie bei der Einhaltung und Umsetzung dieser Regelung bestmöglich zu unterstützen, möchten wir Ihnen nachfolgend im ersten Schritt einen Überblick über die Authentifizierungslösung 3-D Secure 2 liefern und Ihnen die Bedeutung für den Handel sowie Vorteile näher bringen. 

Was ist unter 3-DS 2 zu verstehen und wie bewirkt es eine starke Kundenauthentifizierung (SCA)?

Das erweiterte technische Sicherheitsprotokoll 3-D Secure 2 ist die Antwort auf die Vorgaben aus der PSD2 und sichert über eine starke Kundenauthentifizierung (SCA) Zahlungen im E-Commerce im Sinne einer effizienten Betrugsabwehr und berücksichtigt das Käuferverhalten in der mobilen Welt.

Über einen zusätzlichen Step, der in den Zahlungsvorgang integriert wird, kann die Bank die Kundenidentität im Zwei-Faktoren Prinzip (two-factor authentication) überprüfen, anstatt der Benutzung statischer Passwörter. Durch den Einsatz dieses Sicherheitsverfahrens kommt es zu einer Haftungsumkehr (Liability Shift), da die Verantwortung im Betrugsfall nicht länger bei Ihnen als Händler liegt, sondern bei der kartenausgebenden Bank.

Starke Kundenauthentifizierung (SCA) auf Grund der Verwendung von mindestens zwei Faktoren:

  • Wissen (z.B. Passwort, Code, PIN)
  • Besitz (z.B. Token, Smartphone)
  • Inhärenz (z.B. Fingerabdruck, Stimmerkennung)

Dabei müssen mindestens 2 unabhängige Faktoren aus mindestens 2 verschiedenen Kategorien angefragt werden. Ausnahmen hiervon sind möglich, in denen eine SCA nicht zwingend erforderlich ist. So zum Beispiel bei Zahlungen mit geringem Risiko und Kleinstbeträgen.

Des Weiteren unterstützt die neue Version 3-DS 2 die Authentifizierung für In-App Käufe, Mobile Payments und Wallets (bspw. durch den Einsatz biometrischer Verfahren wie der Fingerabdruck-Authentifizierung) sowie die Nutzung von Transaktionsdaten für die Authentifizierung, was mit der Vorgängerversion 3-DS 1 nicht möglich und auf browser-basierte Transaktionen begrenzt war.

Die Vorteile der Nutzung von 3-D Secure 2

Für Ihre Kunden:

  • Kauf- und Zahlungserlebnis ohne Unterbrechungen / Weiterleitungen aus Online-Shop, App, etc.
  • keine separate Browser-Seite für die Authentifizierung notwendig
  • mobiles Bezahlen rückt in den Mittelpunkt und ist eine komfortable Stärke von
  • 3-DS 2, indem bequem durch biometrische Merkmale wie beispielsweise den Fingerabdruck authentifiziert werden kann
  • Vermeidung eines zusätzlichen Passworts
  • Authentifizierung wird für jeden Karteninhaber einfacher und schneller, gleich über welchen Kanal oder über welches Gerät bzw. welche Anwendung (Smartphone, Tablet, In-App oder Browser) der Karteninhaber sich bewegt


Für Sie als Händler:

  • weniger Kaufabbrüche, höhere Kaufabschlussquote durch unterbrechungsfreie Zahlungen und somit höhere Conversion
  • höhere Akzeptanzquote
  • reibungslose Integration in Ihren Kaufabwicklungsprozess
  • BS PAYONE als Zahlungsinstitut (Acquirer) darf alle Ausnahmen im Rahmen der SCA anbieten, wodurch weiterhin ein großer Teil der Transaktionen auch ohne starke Kundenauthentifizierung möglich sein wird.
  • Unterbindung von ungerechtfertigten Ablehnungen
  • erhöhte Sicherheit und Reduzierung der Fraud-Rate
  • BS PAYONE sorgt dafür, dass Sie als Händlerkunden die neuen Zahlungsverkehrsanforderungen erfüllen können

Wie geht es weiter?

Um Sie als Händler bei der Vorbereitung und Umsetzung der PSD2 bestmöglich zu unterstützen und einen reibungslosen Übergang zu gewährleisten, werden wir Sie fortlaufend über das Thema „SCA/ 3-DS 2“ informieren. Unsere nächste Information über SCA und 3-D Secure 2 wird Ihnen die Ausnahmen, die Ihr Acquirer und der Issuer (kartenausgebendes Institut) ziehen können, näher beleuchten. Weitere Details zur Kommunikation bezüglich des Umstellungsprozesses erfolgen in Kürze nochmals separat.

  • FRAGE: Was verbirgt sich hinter 3-D Secure 2?

    ANTWORT: Über einen zusätzlichen Schritt, der in den Zahlungsvorgang integriert wird, kann die Bank die Kundenidentität im Zwei-Faktoren Prinzip (two-factor authentication) überprüfen, anstatt der Benutzung statischer Passwörter. Durch den Einsatz dieses Sicherheitsverfahrens kommt es zu einer Haftungsumkehr (Liability Shift), da die Verantwortung im Betrugsfall nicht länger bei Ihnen als Händler liegt, sondern bei der kartenausgebenden Bank.

    Starke Kundenauthentifizierung (SCA) auf Grund der Verwendung von mindestens zwei Faktoren:

    • Wissen (z.B. Passwort, Code, PIN)
    • Besitz (z.B. Token, Smartphone)
    • Inhärenz (z.B. Fingerabdruck, Stimmerkennung)

    Dabei müssen mindestens 2 unabhängige Faktoren aus mindestens 2 verschiedenen Kategorien angefragt werden. Ausnahmen hiervon sind möglich, in denen eine SCA nicht zwingend erforderlich ist. So zum Beispiel bei Zahlungen mit geringem Risiko und Kleinstbeträgen.

  • FRAGE: Muss 3-D Secure 2 verpflichtend durch E-Commerce Händler genutzt werden?

    ANTWORT: Wenn sich Ihre Kartenakzeptanzstelle innerhalb des Europäischen Wirtschaftsraums (EWR) befindet und Sie Kreditkarten im E-Commerce akzeptieren, müssen Sie 3D Secure 2 verwenden. Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) wird ab September 2019 im Rahmen der EU-Zahlungsdiensterichtlinie (PSD2) verpflichtend. 3D Secure 2 ist die geeignete Lösung für Kreditkartensysteme.

  • FRAGE: Was passiert, wenn E-Commerce Händler 3-D Secure 2 nicht unterstützen?

    ANTWORT: Ab September 2019 müssen Finanzinstitute innerhalb des EWR eine starke Kundenauthentifizierung für Finanztransaktionen einsetzen. Wenn Sie nicht auf 3D Secure 2 umsteigen möchten, können Sie davon ausgehen, dass deutlich mehr Transaktionen abgelehnt werden.

  • FRAGE: Ist 3-DS 1.0 weiterhin zulässig?

    ANTWORT: 3-DS 1.0 wird teilweise in Märkten ausserhalb der EU weiterhin genutzt. Es können durchaus ausländische Karteninhaber innerhalb der EU einkaufen, deren Bank noch nicht 3DS 2.X unterstützt.
    Beispiel: Visa kündigt das 3-DS 1.0 zum Ende des Jahres 2020 ab.
    Grundsätzlich erfüllt 3DS 1.0 die Anforderungen einer SCA – ist von der User Experience unter Nutzung der Ausnahmen nicht vollumfänglich auf die Anforderungen der PSD2 ausgelegt. Es ist denkbar, dass kartenausgebende Institute die Transaktionen ablehnen. Technisch werden die neuen 3-D Secure 2 Protokolle parallel zu 3-DS 1 verwendet, um den Übergang zu dem
    neuen Protokoll so reibungslos wie möglich zu gestalten. Dank dieses Ansatzes können wir Händlern, die sowohl die alten als auch die neuen Nachrichtenübertragungswege nutzen, besser unterstützen.

  • FRAGE: Werden Transaktionen ohne 3-DS Verfahren (1.0 und/oder 2.X) noch verarbeitet?

    ANTWORT: Der Kartenausgeber ist verpflichtet Transaktionen ohne SCA ab dem 14.09.2019 abzulehnen. Es sei denn, der Kartenherausgeber rechnet die jeweilige Transaktion einer der Ausnahmen (siehe weiter unten) zu. Für Händler, die noch kein 3-D Verfahren nutzen, ist es empfehlenswert, sich für beide Verfahren (1.0 und 2.X) durch die Zahlungsdienstleister (Acquirer/PSP) registrieren zu lassen.

  • FRAGE: Welche Vorteile bringt 3-D Secure 2 gegenüber 3-D Secure 1 für Sie als Händler?
    • weniger Kaufabbrüche, höhere Kaufabschlussquote durch unterbrechungsfreie Zahlungen und somit höhere Conversion
    • höhere Akzeptanzquote
    • reibungslose Integration in Ihren Kaufabwicklungsprozess
    • Wir als Zahlungsinstitut (Acquirer) dürfen alle Ausnahmen im Rahmen der SCA anbieten, odurch weiterhin ein großer Teil der Transaktionen auch ohne starke Kundenauthentifizierung möglich sein wird.
    • Unterbindung von ungerechtfertigten Ablehnungen
    • erhöhte Sicherheit und Reduzierung der Fraud-Rate
    • Wir sorgen dafür, dass Sie als Händlerkunden die neuen  Zahlungsverkehrsanforderungen erfüllen können

     

    Des Weiteren unterstützt die neue Version 3-DS 2 die Authentifizierung für In-App Käufe, Mobile Payments und Wallets (bspw. durch den Einsatz biometrischer Verfahren wir der Fingerabdruck-Authentifizierung) sowie die Nutzung von Transaktionsdaten für die Authentifizierung, was mit der Vorgängerversion 3-DS 1 nicht möglich und auf browser-basierte Transaktionen begrenzt war. 3-DS 2 ist somit für mobiles Zahlen optimiert.

  • FRAGE: Was bedeutet 3-D Secure 2 für die Karteninhaber (User Experience)?

    ANTWORT: Starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist ein verpflichtender Bestandteil von Zahlungen im E-Commerce. Sie wird immer dann erforderlich, wenn ein Kunde (persönlich, mobil oder mit hinterlegten Kartendaten) einen elektronischen Zahlungsvorgang auslöst oder eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs birgt.

  • FRAGE: Für welche Transaktionen und Geschäftsvorfälle ist kein SCA im E-Commerce erforderlich?

    ANTWORT: Für folgende Transaktionen und Geschäftsvorfälle ist keine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) erforderlich:

    • vom Händler initiierte Transaktionen (Merchant Initiated Transaction, MIT)
    • Manuelle Mail- and Telephoneorder (MOTO) Transaktionen
    • internationale, globale Transaktionen von Karteninhabern, die kartenausgebende Institute Issuer) außerhalb des Europäischen Wirtschaftsraums (EWR) nutzen und die Akzeptanzseite (Händler/Acquirer) sich beispielsweise innerhalb des EWR befindet
    • anonyme Prepaid-Karten
    • Lastschriftmandate ohne Verifizierung durch einen Zahlungsdienstleister
    • Kartenzahlung mit Unterschrift ohne elektronische Verifizierung
  • FRAGE: Was sind die möglichen Ausnahmen, bei denen von einer SCA abgesehen werden kann?

    ANTWORT: Ausnahmen für E-Commerce Transaktionen beinhalten

    Kleinstbetragszahlungen

    • Unter 30 €
    • Der kumulierte Betrag beträgt weniger als 100 € oder überschreitet nicht 5 aufeinander folgende Transaktionen


    Wiederkehrende Transaktionen

    • Nur für denselben Betrag, Transaktionen mit demselben Zahlungsempfänger
    • Die erste Transaktion und sämtliche Änderungen erfordern eine Authentifizierung


    Transaktionsrisikoanalyse (TRA)

    • Betrugsraten- und risikobasierte Authentifizierung (RBA)
    • Die von uns ermittelte Risikorate ist niedriger als oder gleich dem Ausnahmeschwellenwert
    • Maximaler Vorgangswert < 500 €


    Whitelisted Transaktionen - vertrauenswürdiger Empfänger

    • Der Karteninhaber kann die Whitelist vertrauenswürdiger Zahlungsempfänger über seine kontoführende Bank verwalten sofern dieser Service von seiner Bank angeboten wird. Der Kartenherausgeber hat aber grundsätzlich die letzte Entscheidung für die Transaktionsgenehmigung.
  • FRAGE: Was sind „trusted beneficiaries“ und wie erfolgt das Whitelisting?

    ANTWORT: Vertrauenswürdige Zahlungsempfänger, sogenannte Trusted Beneficiaries können vom User innerhalb seines Online-Banking-Portals gekennzeichnet werden, sofern die Bank diesen Service anbietet. Dazu legt er eine Liste mit vertrauenswürdigen Empfängern an, die sogenannte Whitelist. Dieser Vorgang, das Whitelisting, sorgt dafür, dass Transaktionen an die gelisteten Empfänger nicht stark authentifiziert werden. Eine SCA findet lediglich einmalig statt, um die angelegte Whitelist oder den jeweiligen Trusted Beneficiary zu bestätigen. Alle folgenden Transaktionen an den Empfänger werden ohne SCA realisiert, sofern die Transaktionen keine allgemeinen Auffälligkeiten aufweisen.

  • FRAGE: Ist es richtig, dass der Händler sich bei seinen Banken auf eine „Whitelist“ setzen kann, um grundsätzlich für 3D Secure Verfahren ausgeschlossen zu werden? Bei Betrugsfällen haftet er - wie soll dies umgesetzt werden?

    ANTWORT: Ein Händler kann sich nicht selbst auf die Liste der vertrauenswürdigen Empfänger bei Käufern setzen lassen. Nur der Käufer/Kontoinhaber kann Händler, denen er vertraut, auf eine Whitlist setzen lassen. Eine Generalbefreiung für alle Händler ist nicht möglich, die Händler müssen einzeln benannt werden. Zudem kann seine Bank im Einzelfall weiterhin das 3-DS Verfahren durchführen, wenn sie Hinweise auf ein erhöhtes Risiko der entsprechenden Transaktion hat. Generell sind die Banken außerdem nicht verpflichtet, eine Whitelist zu führen.

  • FRAGE: Erfolgt die Anmeldung bei PayPal zukünftig ebenfalls via 2FA und wer ist für diese Umstellung zuständig; PayPal oder der Händler?

    ANTWORT: PayPal wird nach der neuen PSD2 Richtlinie in Zukunft nicht mehr über eine reine Passwortanmeldung (TAN) funktionieren. Die Umstellung auf die Zwei-Faktor-Authentifizierung, die PayPal bereits jetzt als freiwillige Lösung anbietet, wird mit Wirksamwerden der PSD2 verpflichtend werden. Sie obliegt PayPal und nicht dem Händler.

  • FRAGE: Wie kann ich 3-D Secure 2 technisch integrieren?

    ANTWORT: Für Händler, die das aktuelle 3-D Secure 1.0 Verfahren und unsere E-Commerce Lösungen nutzen, werden grundsätzlich keine Änderungen entstehen, indem wir den bisherigen 3D-Secure Prozess größtenteils beibehalten. Insbesondere die Nutzer von Shopware, Magento, Oxid und anderen von PAYONE unterstützten Standardshopsystemen können ihr Geschäft so nahtlos weiter betreiben. Zudem werden die aktualisierten Shopmodule bereitgestellt. Händler mit individuellen Anbindungen an unsere E-Commerce Lösungen erhalten für die erforderlichen Anpassungen die entsprechend erweiterte Produktdokumentation, um auf die neue Version umstellen zu können. Händler die keine E-Commerce Lösung von PAYONE nutzen, werden direkt von ihren technischen Payment Service Providern unterstützt. Hier stehen wir mit allen Payment Service Providern in Kontakt, um den Änderungsbedarf auch für diese Händler möglichst gering zu halten.

  • FRAGE: Muss der Händler dafür Sorge tragen, dass nur 3-D Karten akzeptiert werden oder geht es eher dahin, dass der Karteninhaber zwingend 3D machen muss-> in diesem Fall hätte der Händler keine Karten ohne 3D zu "befürchten".

    ANTWORT: Der Händler muss nicht dafür Sorge tragen, dass nur 3-D Karten akzeptiert werden, da der Issuer bzw. die kartenausgebende Bank über die Akzeptanz von Ausnahmen und Transaktionen z. B. außerhalb des EWR entscheidet. Auch falls einzelne Institute / Issuer die neuen Anforderungen nicht rechtzeitig unterstützen, wird BS PAYONE die Transaktionen unter Berücksichtigung der neuen Vorgaben weiterhin abwickeln.

  • FRAGE: Ändert sich mit 3-DS 2.X bei Geschäftsvorfällen mit langen Lieferzeiten etwas (Zeit zwischen Preauth + Capture)?

    ANTWORT: Durch 3-DS 2.X ändert sich bei diesen Geschäftsvorfällen grundsätzlich nichts. Es ist jedoch zu beachten, dass bei einer abgelaufenen Preauth wie bereits auch unter 3-DS 1.0 eine neue Preauth durch Abfrage einer SCA erforderlich wird.

Glossar

PSD2 Die neue Zahlungsdiensterichtlinie PSD (Payment Service Directive) für den elektronischen und bargeldlosen Zahlungsverkehr im europäischen Wirtschaftsraum wurde am 13. Januar 2018 in nationales Recht in Deutschland umgesetzt mit dem Ziel, für mehr Transparenz und Sicherheit im Online-Zahlungsverkehr zu sorgen und Innovationen zu fördern.

Zum 14.09. tritt der RTS SCA in Kraft der Bestandteil der PSD2 ist, der Sie als Händler dazu verpflichtet, eine starke Kundenauthentifizierung (SCA) für Bezahlvorgänge einzuführen.

SCA SCA ist eine neue europäische Anforderung, die entwickelt wurde, um Online-Zahlungen sicherer zu machen. Wenn ein Käufer eine Zahlung tätigt, sind zusätzliche Authentifizierungsstufen erforderlich.

RTS Die Europäische Kommission hat im November 2017 die delegierte Verordnung über technische Regulierungsstandards (RTS) verabschiedet. Diese Standards enthalten detaillierte Spezifikationen, um die strengen Sicherheitsanforderungen für Zahlungsdienstleister in der EU zu erfüllen. Die Standards beziehen sich auf die Zahlungsdiensterichtlinie sowie andere Mechanismen zur Gewährleistung der Transaktionssicherheit.

EBA Die Europäische Bankenaufsichtsbehörde

Whitelisting Kunden können Unternehmen einer Whitelist („Positivliste“) von „Vertrauenswürdigen Empfängern“ zuordnen, die von ihrer Bank oder dem kartenherausgebenden Institut (Issuer) geführt wird. Whitelist-Händler sind von 3D Secure ausgenommen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, SCA von diesem Zeitpunkt an vermeiden.

Merchant Initiated Transaction (MIT) sind Online-Transaktionen, die durch den Händler ausgelöst werden. Dazu gehört die Abwicklung von Abonnements (recurrings) oder Ratenzahlungen (installments).

Low Value Payment Transaktionen unter 30€ stellen im Rahmen der RTS und PSD2 eine Low Value Transaktion dar. Sie setzen kein SCA voraus, solange die Summe der Transaktionen eines Händlers auf einer Karte nicht 100€ oder 5 Transaktionen überschreiten. Die Kalkulation des Limits findet auf der emittierenden Seite statt.

MOTO Versandhandels- und Telefonbestellungen (Mail Order and Telephone Orders, MOTO) sind in sämtlichen Fällen von 3D Secure ausgenommen. MOTO-Transaktionen gelten nicht als „elektronische“ Zahlungen und fallen daher nicht in den Anwendungsbereich der Verordnung.

TRA Transaktionsrisiko-Analyse

Recurring Payments wiederkehrende Zahlungen

Card on File (COF) Bei Card-on-file-Transaktionen handelt es sich um Transaktionen, bei denen der Karteninhaber Händler autorisiert, die Zahlungsinformationen seiner Mastercard- oder Maestro-Karte zu speichern. Anschließend autorisiert der Karteninhaber denselben Händler, sein gespeichertes Konto zu belasten.

Issuer Kartenherausgeber

S-Händlerservice Vertrieb Jetzt kostenlos und unverbindlich über bargeldlose Zahlungslösungen für Ihren Bedarf informieren.