• An Ihren Webshop-Anbieter
• An Ihren Payment Service Provider (PSP)
• An den S-Händlerservice direkt: Schicken Sie uns dazu einfach eine E-Mail mit Ihren Fragen an kundenservice@s-haendlerservice.de 

Für Händler, die das aktuelle 3-D Secure 1.0 Verfahren und unsere E-Commerce Lösungen nutzen, werden grundsätzlich keine Änderungen entstehen, indem wir den bisherigen 3-D Secure Prozess größtenteils beibehalten.
Insbesondere die Nutzer von Shopware, Magento, Oxid und anderen von uns unterstützten
Standardshopsystemen können ihr Geschäft so nahtlos weiter betreiben. Zudem werden die aktualisierten Shopmodule wie gewohnt bereitgestellt.

Integration von EMV 3-D Secure ("3-D Secure 2"): Jetzt!

Bitte überprüfen Sie, ob Sie bereits die aktuellste Version hinsichtlich Shopmodul oder E-Commerce Lösung nutzen. Umfangreiche technische Beschreibungen zur Umsetzung von
EMV 3-D Secure („3-D Secure 2“) sind für alle E-Commerce Lösungen wie folgt zu finden:

PAYONE Plattform
Auf PAYONE docs unter https://docs.payone.com/#all-updates 

payplace.interface, payplace.express, S-Internetkasse, GiroCheckout Administrationsumgebung (girocockpit), Verwaltungsbackend für Online-Händler
Auf der Administrationsoberfläche im Frontoffice für Händler unter dem Menüpunkt Info-Center.

allpos
Im Integration Guide des Backoffices für Händler.

Ingenico e-Commerce
Auf Ingenico ePayments docs

Payment Service Provider (PSP) mit technischen Händler-Anbindungen außerhalb vom S-Händlerservice
Händler, die keine E-Commerce Lösung von uns nutzen, werden direkt von ihren technischen Payment
Service Providern (PSP) unterstützt. Wurden Sie noch nicht von Ihrem PSP hinsichtlich EMV 3-D Secure informiert,
nehmen Sie bitte SOFORT Kontakt zu Ihrem PSP auf. Zusätzlich stehen wir mit allen PSP im Austausch,
um den Änderungsbedarf auch für diese Händler möglichst gering zu halten.

1. Wissensmerkmale, d.h. etwas, das nur der Kunde weiß (z.B. Passwort)
   
   
2. Besitzelemente, d.h. etwas, das nur der Kunde besitzt (z.B. sein eigenes Smartphone)
   
   
3. Seinselemente (Inhärenz), d.h. etwas, das der Kunde ist (z.B. Fingerabdruck oder Iris)

Jeder Karteninhaber muss sich grundsätzlich einmal bei seiner Bank für das Verfahren „registrieren“, d.h. die Merkmale zur Authentifizierung festgelegt haben. Danach kann der Kunde in Webshops einkaufen, wobei die Bank anhand von weitergegebenen Daten des Webshops die Identität des Karteninhabers bei einer Zahlung prüft. Nur in Zweifelsfällen wird die Bank den Kunden zu einer starken Kundenauthentifizierung auffordern. Diese Überprüfung erfolgt als ein kurzer Zwischenschritt während des Einkaufsprozesses, den der Kunde direkt nach erfolgter Überprüfung fortsetzen kann. Händler und Kunden haben somit höchstmögliche Sicherheit vor Missbrauch beim Einkauf im Netz.

Der ursprüngliche Termin für die nach der PSD2 vorgeschriebenen starken Kundenauthentifizierung (SCA), der 14. September 2019, wurde mir der Ankündigung der BaFin, die Kartenzahlungen ohne SCA bis Ende 2020 nicht zu beanstanden, auf den 01.01.2021 verschoben. Sie müssen daher jetzt handeln und sich mit Ihrem Webshop-Betreiber bzw. Ihrem Payment Service Provider in Verbindung setzen, sodass die Voraussetzungen für eine erfolgreiche Umsetzung geschaffen werden können.

Banken in Europa sind ab 1. Januar 2021 dazu verpflichtet, bei allen Online Transaktionen die Berechtigung des Karteninhabers zu überprüfen und ggf. eine starke Kundenauthentifizierung einzufordern. Händler müssen eine Zahlung auf dem entsprechenden Protokoll auslösen und Transaktionsdaten übermitteln, damit die Bank eine Authentifizierung vornehmen kann. Ab dem genannten Datum sind Banken verpflichtet, Zahlungstransaktionen, bei denen keine vorherige Überprüfung der Kundenidentität stattgefunden hat, abzulehnen und somit die Zahlung nicht zu gestatten.

Bei Mastercard SecureCode, Verified by Visa und American Express Safekey 1.0 handelt es sich zwar um Authentifizierungsverfahren, die jedoch nicht den Anforderungen der SCA genügen, da lediglich ein statisches Passwort abgefragt wird. Im Unterschied dazu erfüllen Mastercard Identity Check, Visa Secure und American Express Safekey 2.0 die Anforderungen von SCA vollständig. Die neuen Verfahren sind zudem deutlich kundenfreundlicher, da sich der Kunde kein Passwort merken muss und die Authentifizierung auf einem beliebigen Endgerät (PC, Tablet, Smartphone) durchgeführt werden kann. 

Das Neue bei EMV 3-D Secure ist auch, dass es die APP-/Device-Entwicklung (also „Apps auf Smartphones“) besser unterstützen soll. 3-D Secure 1.0 war ein browserfixierter Workflow, der auch in einer App eine Browser-Session zur Authentifizierung öffnet.

Mit EMV 3-D Secure werden nun offiziell auch Apps und Devices unterstützt. Dazu gibt es sogenannte SDKs, die bei der Implementierung helfen soll

EMV 3-D Secure mit SCA ist so nutzerfreundlich konzipiert, dass sich der Karteninhaber insbesondere mittels mobilem Device wie beispielsweise seinem Smartphone reibungslos über die ihm bekannten Prozesse im Online- Banking authentifizieren kann.

3-D Secure 1.0 wird teilweise in Märkten außerhalb der EU weiterhin genutzt. Es können durchaus ausländische Karteninhaber innerhalb der EU einkaufen, deren Bank noch nicht EMV 3-D Secure unterstützt.

3-D Secure 1.0 erfüllt zwar die Grundanforderungen einer SCA, es ist jedoch nicht vollumfänglich auf die Anforderungen der PSD2 ausgelegt. Neben der eingeschränkten Nutzung von mobilen Devices werden hier keine Ausnahmen von der SCA berücksichtigt.

Technisch werden die neuen EMV 3-D Secure Protokolle parallel zu 3-D Secure 1.0 verwendet, um den Übergang zu dem neuen Protokoll so reibungslos wie möglich zu gestalten. Dank dieses Ansatzes können wir Händlern, die sowohl die alten als auch die neuen Nachrichtenübertragungswege nutzen, besser unterstützen.

Der Kartenausgeber ist verpflichtet, Transaktionen ohne SCA ab dem 1. Januar 2021 im europäischen Wirtschaftsraum abzulehnen. Es sei denn, der Kartenherausgeber rechnet die jeweilige Transaktion einer der Ausnahmen (siehe weiter unten) zu. 

Für Händler, die noch kein 3-D Secure Verfahren nutzen, ist es empfehlenswert, sich für beide Verfahren (1.0 und EMV) durch die Zahlungsdienstleister (Acquirer/PSP) registrieren zu lassen. 

Grundsätzlich gelten die gesetzlichen Anforderungen der SCA für alle Online-Zahlungsprozesse. Dies bedeutet im Umkehrschluss, dass Verfahren wie Zahlung auf Rechnung davon ausgenommen sind. Allerdings verzichten Händler auf die bewährten und im Rahmen der SCA Regelung verbesserten Schutzmechanismen der Kreditkarte.

Durch EMV 3-D Secure ändert sich bei diesen Geschäftsvorfällen grundsätzlich nichts. Es ist jedoch zu beachten, dass bei einer abgelaufenen Preauth (wie bereits auch unter 3-D Secure 1.0) eine neue Preauth durch Abfrage einer SCA erforderlich wird.

Die starke Kundenauthentifizierung gilt auch für Recurring-/Abo-Transaktionen. Um als Endkunde nicht jede Zahlung authentisieren zu müssen, gibt es die Möglichkeit der "Card on File" bzw. "Credentials on File" (kurz CoF). Dabei wird die initiale Zahlung per EMV 3-D Secure mittels SCA authentisiert und dann eine Referenz bei den Folge-Zahlungen mitgegeben, die diese als „authentifiziert“ kennzeichnen. Ihr PSP wird Ihnen hierzu bei der
technischen Umsetzung zur Seite stehen.

Sofern eine SCA erforderlich ist, wird die Überprüfung allein in einer Online-Überprüfung zwischen Bank und Kunde vorgenommen. Ihr Shop muss lediglich technisch sicherstellen, dass eine solche Kommunikation eingeleitet werden kann. Das Verfahren leitet den Kunden automatisch auf die erforderliche SCA-Bestätigungsseite weiter. Sowohl bei erfolgreicher Authentifizierung als auch bei Abbruch wird der Kunde auf die Händler-Seite zurückgeführt, sodass keine Unterbrechung im Kaufprozess erfolgt. Bei nicht erfolgreicher Zahlung kann der Kunde zudem ein anderes Zahlungsmittel einsetzen.

Die starke Kundenauthentifizierung ist ein verpflichtender Bestandteil von Zahlungen im E-Commerce. Sie wird immer dann erforderlich, wenn ein Kunde (persönlich, mobil oder mit hinterlegten Kartendaten) einen elektronischen Zahlungsvorgang auslöst oder eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder eines anderen Missbrauchs birgt.

Für folgende Transaktionen und Geschäftsvorfälle ist keine SCA erforderlich: 

• Vom Händler initiierte Transaktionen (Merchant Initiated Transaction, kurz: MIT) 
• Manuelle Mail- and Telephoneorder (MOTO) Transaktionen 
• Internationale, globale Transaktionen von Karteninhabern, die kartenausgebende Institute (Issuer) 
  außerhalb des Europäischen Wirtschaftsraums (EWR) nutzen und die Akzeptanzseite (Händler/ 
  Acquirer) sich beispielsweise innerhalb des EWR befindet 

• Anonyme Prepaid-Karten 
• Lastschriftmandate ohne Verifizierung durch einen Zahlungsdienstleister 
• Kartenzahlung mit Unterschrift ohne elektronische Verifizierung 

Ausnahmen für E-Commerce Transaktionen beinhalten

• Kleinstbetragszahlungen: Unter 30 € und der kumulierte Betrag beträgt weniger als 100 € oder 
  überschreitet nicht 5 aufeinander folgende Transaktionen 

• Wiederkehrende Transaktionen: Nur für denselben Betrag, Transaktionen mit demselben Zahlungsempfänger, die erste Transaktion und sämtliche Änderungen erfordern eine Authentifizierung 
• Transaktionsrisikoanalyse: Betrugsraten- und risikobasierte Authentifizierung 
• Whitelisted Transaktionen – vertrauenswürdiger Zahlungsempfänger: Der Karteninhaber kann die 
  Whitelist vertrauenswürdiger Zahlungsempfänger über seine kontoführende Bank verwalten – sofern 
  dieser Service von seiner Bank angeboten wird. Der Kartenherausgeber hat aber grundsätzlich die letzte Entscheidung für die Transaktionsgenehmigung 
  und kann trotzdem eine SCA einfordern. 

Es fallen für SCA die üblichen Kosten für Online Bezahlungen an. Davon ausgenommen sind Kosten, die für die Implementierung von SCA entstehen können.

• Der Issuer trägt die alleinige Verantwortung für die Überprüfung der Kundenidentität sofern Transaktionen nach den Anforderungen der SCA Regelungen abgewickelt werden 
• Als Händler haben Sie die Sicherheit, dass alle Transaktionen ab Januar 2021 wie gewohnt weiter ausgeführt werden und keine Umsatzausfälle erwarten werden müssen, vielmehr wird mit weniger Kaufabbrüchen und einer höheren Conversion gerechnet. 
• Autorisierungsraten werden nach einer erfolgreichen Implementierung von SCA ansteigen, da Banken Betrug aufgrund erfolgter Autorisierung ausschließen können. 

• Das Kauf- und Zahlungserlebnis läuft ohne Unterbrechungen / Weiterleitungen aus Online-Shop, 
  App, etc. 

• Es ist keine separate Browser-Seite für die Authentifizierung notwendig 
• Das mobile Bezahlen rückt in den Mittelpunkt und ist eine komfortable Stärke bei SCA, indem bequem durch biometrische Merkmale wie beispielsweise den Fingerabdruck authentifiziert werden kann 
• Ein zusätzliches Passwort wird vermieden und die Authentifizierung wird für jeden Karteninhaber 
  einfacher und schneller, gleich über welchen Kanal oder über welches Gerät bzw. welche Anwendung (Smartphone, Tablet, In-App oder Browser) der Karteninhaber sich bewegt