PSD2: Starke Kundenauthentifizierung verstehen

Lernen Sie, was starke Kundenauthentifizierung (Strong Customer Authentication, SCA) im Rahmen von PSD2 bedeutet und wie Sie Ihr Unternehmen dafür bereit machen.

In dieser Serie haben wir bisher die wichtigsten Veränderungen betrachtet, die Ihr Unternehmen mit der überarbeiteten Zahlungsdienstrichtlinie (PSD2) erwarten kann, und welche Auswirkungen diese auf Marktplatz-Geschäftsmodelle haben wird. In diesem Artikel widmen wir uns der Notwendigkeit für Unternehmen, eine starke Kundenauthentifizierung (SCA) für E-Commerce-Zahlungen bereitzustellen.

Um zumindest einen Teil des Puzzles zu vereinfachen, schlüsseln wir im Folgenden auf, was SCA ist, welche Vorkehrungen zu treffen sind und welche Ausnahmen es gibt.

Was ist starke Kundenauthentifizierung (SCA)?

SCA ist eine neue europäische Anforderung, die entwickelt wurde, um Online-Zahlungen sicherer zu machen. Wenn ein Käufer eine Zahlung tätigt, sind zusätzliche Authentifizierungsstufen erforderlich. Es gibt Ausnahmen, auf die wir später eingehen werden.

Zurzeit wird ein Authentifizierungstool namens 3D Secure 1 von den Kartensystemen für die Verifizierung von Kartentransaktionen verwendet. Möglicherweise sind Sie mit dem Prozess der Tätigung einer Online-Zahlung und der Weiterleitung auf eine neue Seite zur Eingabe eines Codes vertraut. Dabei handelt es sich um 3D Secure 1, das sicherstellt, dass Sie auch wirklich der sind, für den Sie sich online ausgeben.

So definiert die PSD2 SCA

Das folgende Diagramm zeigt Ihnen, wie eine PSD2-zugelassene SCA-Transaktion aussieht. Die Authentifizierung muss zwei oder mehr der folgenden Punkte enthalten:

Zur Authentifizierung ist so nichts weiter erforderlich als die Eingabe eines Einmalpassworts, das per SMS an den Kunden gesendet wird. Anstatt sich auf das traditionelle „Etwas, das Sie wissen“ (das immer wieder in Vergessenheit geratende Passwort) zu verlassen, können Ihre Kunden „Etwas, das Sie besitzen“, wie z. B. ihre Smartwatch, mit „Etwas von Ihnen persönlich“, z. B. einem Fingerabdruck, kombinieren.

Bisher hatten die ausstellenden Banken in der Regel nur die Möglichkeit, Käufer mit einem einzigen statischen Passwort zu überprüfen, an das sich diese erinnern mussten. Und wie Sie sich vorstellen können, werden manche Passwörter leicht vergessen.

Unternehmen werden vor Herausforderungen stehen; die Einführung neuer Technologien für biometrische Authentifizierungen wird nicht von heute auf morgen möglich sein. Die Investition ist jedoch notwendig und führt zu einem stärkeren Authentifizierungsfluss und mehr Conversions.

SCA-Ausnahmen

Die Absicht hinter der PSD2 ist es, SCA für alle Online-Transaktionen zu verlangen, jedoch gibt es einige Ausnahmen von dieser Pflicht. Für bestimmte Transaktionen wird Ihr Acquirer die angemessene Ausnahme beantragen. Durch diese Ausnahmeregelungen wird sichergestellt, dass Kunden auch bei größeren und weniger häufigen Zahlungen ein einfaches Einkaufserlebnis mit zusätzlicher Sicherheit genießen können.

Der komplizierte Teil der SCA-Ausnahmen besteht darin, dass man bis zum Zeitpunkt der Transaktion nicht wissen kann, ob sie gelten. Teil der 3DS2-Lösung von Adyen ist die Möglichkeit, für jede Transaktion eine Ausnahme zu beantragen und dem Kunden nur bei Bedarf einen SCA-Flow vorzulegen.

Dies sind die wichtigsten:

Transaktionen mit geringem Wert und geringem Risiko

Transaktionen unter 30 EUR sind von SCA ausgenommen. Die ausstellende Bank behält jedoch den Überblick über die Höhe der geleisteten Zahlungen. Wenn der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher ist als 100 EUR, wird SCA benötigt. Außerdem wird alle 5 Transaktionen SCA angefordert.

Auch Transaktionen mit geringem Risiko sind von SCA ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt.

Abonnement oder wiederkehrende Transaktionen

Abonnements oder wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Nur die erste Transaktion erfordert SCA. Wenn sich der Betrag ändert, ist 3D Secure für jeden neuen Betrag erforderlich.

Dies stellt eine Herausforderung für wiederkehrende Transaktionen mit wechselnden Beträgen dar, bei denen sich der Wert im Laufe der Zeit ändert. Zum Beispiel, wenn die Kosten einer Mitgliedschaft nach einem Anfangszeitraum steigen. Die Regulierungsbehörden haben bestätigt, dass „vom Händler initiierte Transaktionen“ nicht in den Anwendungsbereich der SCA-Anforderungen im Rahmen der PSD2 fallen. Da die meisten wiederkehrenden Transaktionen vom Händler und nicht vom Karteninhaber initiiert werden, bedeutet dies, dass die meisten Abonnementzahlungen überhaupt nicht auf SCA angewiesen sind.

Whitelist-Händler

Kunden können Unternehmen einer Whitelist von „Vertrauenswürdigen Empfängern“ zuordnen, die von ihrer Bank geführt wird. Whitelist-Händler sind von 3D Secure ausgenommen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, SCA von diesem Zeitpunkt an vermeiden.

MOTO-Transaktionen

Versandhandels- und Telefonbestellungen (Mail Order and Telephone Orders, MOTO) sind in sämtlichen Fällen von 3D Secure ausgenommen. MOTO-Transaktionen gelten nicht als „elektronische“ Zahlungen und fallen daher nicht in den Anwendungsbereich der Verordnung.

Interregionale Transaktionen

Zahlungen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig sind, werden ebenfalls ausgenommen. Dies bedeutet, dass die Annahme von Zahlungen in Europa von außereuropäischen Käufern nach der Änderung der Verordnung kein Problem darstellen wird.

B2B Transaktionen

Zahlungen zwischen zwei Unternehmen sind frei von SCA, wenn eine Zahlungsmethode verwendet wird, die für solche B2B-Zahlungen bestimmt ist.

Die Liste der Ausnahmen ist umfangreich und stützt sich stark auf die Auslegung durch Banken, Systeme und Aufsichtsbehörden. Die gute Nachricht für unsere Kunden ist, dass unser Dynamic 3D Secure Service Unternehmen dabei hilft, diese Komplexität zu bewältigen und die Vorteile von Ausnahmeregelungen, wo immer möglich, automatisch zu nutzen. Das bedeutet, dass Ihre Kunden Transaktionen nur dann authentifizieren müssen, wenn es absolut notwendig ist.

Zu beachtende Termine

  • April 2019 – 3DS2 Haftungsverlagerung. Wenn das Unternehmen 3D Secure 2 anfordert und die ausstellende Bank es nicht akzeptieren kann, erhält das Unternehmen ab diesem Zeitpunkt eine automatische Haftungsverschiebung.
  • 14. September 2019 – Die SCA-Anforderungen von PSD2 werden in Europa aktiv. Jedes Unternehmen mit signifikantem europäischen Volumen muss 3D Secure 2 bis zu diesem Zeitpunkt implementiert haben.
  • Ab 2020 – 3DS2 startet weltweit. Wir erwarten, dass die meisten Banken weltweit bis Ende 2020 3DS2 akzeptieren und 3DS1 auslaufen lassen.

Vorbereitung auf PSD2 mit 3D Secure 2

Das Kundenerlebnis bei 3D Secure 1 ist nicht optimal, besonders wenn Mobilgeräte verwendet werden. Die zusätzliche Sicherheitsebene kann Sie als Händler also Conversions kosten.

Um den neuen Anforderungen von PSD2 gerecht zu werden und 3DS1 zu verbessern, hat EMVco, eine Organisation bestehend aus Vertretern der wichtigsten Kartensysteme und führenden Unternehmen der Zahlungsbranche, das 3DS2-Protokoll entwickelt. Das neue Ziel: Die Authentifizierung dynamischer und sicherer machen.

3DS2 entfernt die umständliche Weiterleitung und Ihre Kunden können sich mit einem Fingertipp oder sogar mit einem Lächeln authentifizieren. 3DS2 verwendet zertifizierte SDKs und APIs, um reichhaltige Authentifizierungsdaten mit Banken auszutauschen und die Integration von Authentifizierungsströmen in Websites und Anwendungen nahtlos zu gestalten, wobei die SCA-Anforderungen von PSD2 erfüllt werden.

In den kommenden Wochen werden wir weitere Informationen über unsere 3DS2 Lösung und wie Sie diese zur Vorbereitung auf PSD2 nutzen können, veröffentlichen.

Während SCA zweifellos Herausforderungen für Unternehmen mit sich bringen wird, wird unsere neue 3D Secure 2-Lösung die Auswirkungen abmildern. Wir hoffen, dass Sie dank der Kenntnisse darüber wie die PSD2 SCA definiert und welche Ausnahmeregelungen verfügbar sind, in der Lage sein werden, die Änderung der Vorschriften mit Zuversicht und in dem Wissen anzugehen, dass wir für Sie da sind.

Falls Sie weitere Fragen haben, nehmen Sie bitte mit uns Kontakt auf.

Are you looking for test card numbers?

Would you like to contact support?

Den Adyen Blog durchsuchen...

 Blog