PSD2: Starke Kundenauthentifizierung verstehen

Lernen Sie, was starke Kundenauthentifizierung (Strong Customer Authentication, SCA) im Rahmen von PSD2 bedeutet und wie Sie Ihr Unternehmen dafür bereit machen.

In dieser Serie haben wir bisher die wichtigsten Veränderungen betrachtet, die Ihr Unternehmen mit der überarbeiteten Zahlungsdienstrichtlinie (PSD2) erwarten kann, und welche Auswirkungen diese auf Marktplatz-Geschäftsmodelle haben wird. In diesem Artikel widmen wir uns der Notwendigkeit für Unternehmen, eine starke Kundenauthentifizierung (SCA) für E-Commerce-Zahlungen bereitzustellen.

Um zumindest einen Teil des Puzzles zu vereinfachen, schlüsseln wir im Folgenden auf, was SCA ist, welche Vorkehrungen zu treffen sind und welche Ausnahmen es gibt.

Was ist starke Kundenauthentifizierung (SCA)?

SCA ist eine neue europäische Anforderung, die entwickelt wurde, um Online-Zahlungen sicherer zu machen. Wenn ein Käufer eine Zahlung tätigt, sind zusätzliche Authentifizierungsstufen erforderlich. Es gibt Ausnahmen, auf die wir später eingehen werden.

Zurzeit wird ein Authentifizierungstool namens 3D Secure 1 von den Kartensystemen für die Verifizierung von Kartentransaktionen verwendet. Möglicherweise sind Sie mit dem Prozess der Tätigung einer Online-Zahlung und der Weiterleitung auf eine neue Seite zur Eingabe eines Codes vertraut. Dabei handelt es sich um 3D Secure 1, das sicherstellt, dass Sie auch wirklich der sind, für den Sie sich online ausgeben.

So definiert die PSD2 SCA

SCA ist mehr als nur die Eingabe eines Passworts. Die Authentifizierung basiert auf etwas, das du weißt, etwas, das du besitzt oder das du bist. Schauen wir uns an, was das bedeutet:

Anstatt sich auf das traditionelle "Etwas, das Sie wissen" (dieses immer wiederkehrende Passwort) zu verlassen, können Ihre Kunden "Etwas, das sie besitzen", wie beispielsweise ihre Smartwatch, mit "Etwas, das sie sind" wie einem Fingerabdruck kombinieren. Dieser Ansatz wird oft als "Zwei-Faktor-Authentifizierung" bezeichnet.

Bisher hatten die ausstellenden Banken in der Regel nur die Möglichkeit, Käufer mit einem einzigen statischen Passwort zu überprüfen, an das sich diese erinnern mussten. Und wie Sie sich vorstellen können, werden manche Passwörter leicht vergessen.

Mit SCA und 3DS2 werden dynamischere Datenpunkte zur Überprüfung der Benutzeridentitäten verwendet. Die Anzahl der erforderlichen Authentifizierungsdatenpunkte nimmt zu, aber eine größere Auswahl der Kunden könnte zu besseren Authentifizierungserfahrungen und weniger Drop-offs führen.

SCA-Ausnahmen

Die Absicht hinter der PSD2 ist es, SCA für alle Online-Transaktionen zu verlangen, jedoch gibt es einige Ausnahmen von dieser Pflicht. Für bestimmte Transaktionen wird Ihr Acquirer die angemessene Ausnahme beantragen. Durch diese Ausnahmeregelungen wird sichergestellt, dass Kunden auch bei größeren und weniger häufigen Zahlungen ein einfaches Einkaufserlebnis mit zusätzlicher Sicherheit genießen können.

Der komplizierte Teil der SCA-Ausnahmen besteht darin, dass man bis zum Zeitpunkt der Transaktion nicht wissen kann, ob sie gelten. Teil der 3DS2-Lösung von Adyen ist die Möglichkeit, für jede Transaktion eine Ausnahme zu beantragen und dem Kunden nur bei Bedarf einen SCA-Flow vorzulegen.

Dies sind die wichtigsten:

Transaktionen mit geringem Wert und geringem Risiko

Transaktionen unter 30 EUR sind von SCA ausgenommen. Die ausstellende Bank behält jedoch den Überblick über die Höhe der geleisteten Zahlungen. Wenn der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher ist als 100 EUR, wird SCA benötigt. Außerdem wird alle 5 Transaktionen SCA angefordert.

Auch Transaktionen mit geringem Risiko sind von SCA ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt.

Abonnement oder wiederkehrende Transaktionen

Abonnements oder wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Nur die erste Transaktion erfordert SCA. Wenn sich der Betrag ändert, ist 3D Secure für jeden neuen Betrag erforderlich.

Dies stellt eine Herausforderung für wiederkehrende Transaktionen mit wechselnden Beträgen dar, bei denen sich der Wert im Laufe der Zeit ändert. Zum Beispiel, wenn die Kosten einer Mitgliedschaft nach einem Anfangszeitraum steigen. Die Regulierungsbehörden haben bestätigt, dass „vom Händler initiierte Transaktionen“ nicht in den Anwendungsbereich der SCA-Anforderungen im Rahmen der PSD2 fallen. Da die meisten wiederkehrenden Transaktionen vom Händler und nicht vom Karteninhaber initiiert werden, bedeutet dies, dass die meisten Abonnementzahlungen überhaupt nicht auf SCA angewiesen sind.

Whitelist-Händler

Kunden können Unternehmen einer Whitelist von „Vertrauenswürdigen Empfängern“ zuordnen, die von ihrer Bank geführt wird. Whitelist-Händler sind von 3D Secure ausgenommen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, SCA von diesem Zeitpunkt an vermeiden.

MOTO-Transaktionen

Versandhandels- und Telefonbestellungen (Mail Order and Telephone Orders, MOTO) sind in sämtlichen Fällen von 3D Secure ausgenommen. MOTO-Transaktionen gelten nicht als „elektronische“ Zahlungen und fallen daher nicht in den Anwendungsbereich der Verordnung.

Interregionale Transaktionen

Zahlungen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig sind, werden ebenfalls ausgenommen. Dies bedeutet, dass die Annahme von Zahlungen in Europa von außereuropäischen Käufern nach der Änderung der Verordnung kein Problem darstellen wird.

B2B Transaktionen

Zahlungen zwischen zwei Unternehmen sind frei von SCA, wenn eine Zahlungsmethode verwendet wird, die für solche B2B-Zahlungen bestimmt ist.

Die Liste der Ausnahmen ist umfangreich und stützt sich stark auf die Auslegung durch Banken, Systeme und Aufsichtsbehörden. Die gute Nachricht für unsere Kunden ist, dass unser Dynamic 3D Secure Service Unternehmen dabei hilft, diese Komplexität zu bewältigen und die Vorteile von Ausnahmeregelungen, wo immer möglich, automatisch zu nutzen. Das bedeutet, dass Ihre Kunden Transaktionen nur dann authentifizieren müssen, wenn es absolut notwendig ist.

Zu beachtende Termine

April 2019 - 3DS2 Haftungsverlagerung. Sowohl Visa als auch Mastercard ermutigen die Banken, sich auf PSD2 vorzubereiten, indem sie 3DS2-konform sind. Dies ist ein guter Zielmonat, um auch als Unternehmen "PSD2 ready" zu sein. Von diesem Zeitpunkt an, wenn ein Unternehmen 3D Secure 2 anfordert und die Issuing Bank es nicht akzeptieren kann, erhält das Unternehmen eine automatische Haftungsverschiebung.

14. September 2019 - Die SCA-Anforderungen unter PSD2 gehen in Europa live. Jedes Unternehmen mit einem beträchtlichen europäischen Umsatzvolumen muss 3D Secure 2 bis zu diesem Zeitpunkt implementiert haben, um die SCA-Anforderungen bestmöglich zu erfüllen.

Ab 2020 - 3DS2 wird weltweit eingeführt. Wir erwarten, dass die meisten Banken weltweit bis Ende 2020 3D Secure 2 akzeptieren und 3DS1 auslaufen lassen werden.

Vorbereitung auf PSD2 mit 3D Secure 2

Das Kundenerlebnis bei 3D Secure 1 ist nicht optimal, besonders wenn Mobilgeräte verwendet werden. Die zusätzliche Sicherheitsebene kann Sie als Händler also Conversions kosten.

Um den neuen Anforderungen von PSD2 gerecht zu werden und 3DS1 zu verbessern, hat EMVco, eine Organisation bestehend aus Vertretern der wichtigsten Kartensysteme und führenden Unternehmen der Zahlungsbranche, das 3DS2-Protokoll entwickelt. Das neue Ziel: Die Authentifizierung dynamischer und sicherer machen.

3DS2 entfernt die umständliche Weiterleitung und Ihre Kunden können sich mit einem Fingertipp oder sogar mit einem Lächeln authentifizieren. 3DS2 verwendet zertifizierte SDKs und APIs, um reichhaltige Authentifizierungsdaten mit Banken auszutauschen und die Integration von Authentifizierungsströmen in Websites und Anwendungen nahtlos zu gestalten, wobei die SCA-Anforderungen von PSD2 erfüllt werden.

In den kommenden Wochen werden wir weitere Informationen über unsere 3DS2 Lösung und wie Sie diese zur Vorbereitung auf PSD2 nutzen können, veröffentlichen.

Während SCA zweifellos Herausforderungen für Unternehmen mit sich bringen wird, wird unsere neue 3D Secure 2-Lösung die Auswirkungen abmildern. Wir hoffen, dass Sie dank der Kenntnisse darüber wie die PSD2 SCA definiert und welche Ausnahmeregelungen verfügbar sind, in der Lage sein werden, die Änderung der Vorschriften mit Zuversicht und in dem Wissen anzugehen, dass wir für Sie da sind.

Falls Sie weitere Fragen haben, nehmen Sie bitte mit uns Kontakt auf.

Empfohlene weitere Artikel:


Holen Sie sich Payment-News direkt in Ihre Inbox.

Ich stimme zu, dass Adyen mir Newsletter mit Neuigkeiten über Adyen, unser Unternehmen und unsere Branche, unsere Partner und verbundenen Unternehmen, unsere Produkte und Dienstleistungen sowie über neue Funktionen und Einführungen sendet. Durch Absenden dieses Formulars bestätigen Sie, dass Sie die Bedingungen unserer Datenschutzerklärung gelesen haben und der entsprechenden Verwendung Ihrer Daten zustimmen.


Are you looking for test card numbers?

Would you like to contact support?