Starke Kundenauthentifizierung verstehen

In unserer Serie haben wir bisher die wichtigsten Veränderungen betrachtet, die Ihr Unternehmen mit der überarbeiteten Zahlungsdienstrichtlinie (PSD2) erwarten kann, und welche Auswirkungen diese auf Marktplatz-Geschäftsmodelle haben wird. In diesem Artikel widmen wir uns der Notwendigkeit für Unternehmen, eine starke Kundenauthentifizierung für Online-Zahlungen bereitzustellen.

Um dies ein wenig zu vereinfachen, schlüsseln wir im Folgenden auf, was Strong Customer Authentication (SCA) ist, welche Vorkehrungen zu treffen sind und welche Ausnahmen es gibt.

Strong Customer Authentication ist eine neue europäische Anforderung, die entwickelt wurde, um Online-Zahlungen sicherer zu machen. Wenn ein Käufer eine Zahlung tätigt, sind zusätzliche Authentifizierungsstufen während der Transaktion erforderlich.

In der Vergangenheit konnten Kunden einfach ihre Kartennummer und einen CVC-Verifizierungscode eingeben. Mit den PSD2-Bestimmungen werden jedoch mehr Informationen erforderlich sein. Es gibt auch einige Ausnahmen, auf die wir später eingehen werden.

Zurzeit wird ein Authentifizierungstool namens 3D Secure 1 von den Kartensystemen für die Verifizierung von Kartentransaktionen verwendet. Möglicherweise sind Sie mit dem Prozess der Tätigung einer Online-Zahlung und der Weiterleitung auf eine neue Seite zur Eingabe eines Codes vertraut. Dabei handelt es sich um 3D Secure 1, das sicherstellt, dass Sie auch wirklich der sind, für den Sie sich online ausgeben. Jetzt gibt es 3D Secure 2, das es einfacher macht, SCA-Informationen zum Zeitpunkt der Transaktion zu sammeln.

So definiert PSD2 die Strong Customer Authentication

Vor SCA und 3D Secure 2 konnten die ausstellenden Banken die Benutzer nur mit einem einzigen statischen Passwort herausfordern, das sich die Benutzer merken mussten. Und leider werden Passwörter leicht vergessen.

Jetzt werden dynamischere Datenpunkte verwendet, um die Identitäten der Benutzer zu überprüfen. Anstatt sich auf das traditionelle "Etwas, das Sie wissen" (dieses immer wiederkehrende Passwort) zu verlassen, können Ihre Kunden "Etwas, das sie besitzen", wie beispielsweise ihre Smartwatch, mit "Etwas von Ihnen persöhnlich" wie einem Fingerabdruck kombinieren. Dieser Ansatz wird oft als "Zwei-Faktor-Authentifizierung" bezeichnet.

So sieht das im Folgenden aus:

Mit SCA und 3DS2 werden also dynamischere Datenpunkte zur Überprüfung der Benutzeridentitäten verwendet. Die Anzahl der erforderlichen Authentifizierungsdatenpunkte nimmt zu, aber mehr Wahlmöglichkeiten für den Kunden sollten zu besseren Authentifizierungserfahrungen und weniger Drop-offs führen.

Die Absicht hinter der PSD2 ist es, Strong Customer Authentication für alle Online-Transaktionen zu verlangen, jedoch gibt es einige Ausnahmen von dieser Pflicht. Für bestimmte Transaktionen wird Ihr Acquirer die angemessene Ausnahme beantragen.

Durch diese Ausnahmeregelungen wird sichergestellt, dass Kunden auch bei größeren und weniger häufigen Zahlungen ein einfaches Einkaufserlebnis mit zusätzlicher Sicherheit genießen können.

Dies sind die wichtigsten:

Transaktionen unter 30 EUR sind von der starken Kundenauthentifizierung ausgenommen. Die ausstellende Bank behält jedoch den Überblick über die Höhe der geleisteten Zahlungen. Wenn der Gesamtbetrag der innerhalb von 24 Stunden ohne starke Authentifizierung auf der Karte versuchten Zahlungen höher ist als 100 EUR, wird SCA benötigt. Außerdem wird alle 5 Transaktionen SCA angefordert.

Auch Transaktionen mit geringem Risiko sind von SCA ausgenommen. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt.

Abonnements oder wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. Nur die erste Transaktion erfordert SCA. Wenn sich der Betrag ändert, ist 3D Secure für jeden neuen Betrag erforderlich.

Dies stellt eine Herausforderung für wiederkehrende Transaktionen mit wechselnden Beträgen dar, bei denen sich der Wert im Laufe der Zeit ändert. Zum Beispiel, wenn die Kosten einer Mitgliedschaft nach einem Anfangszeitraum steigen. Die Regulierungsbehörden haben bestätigt, dass „vom Händler initiierte Transaktionen“ nicht in den Anwendungsbereich der SCA-Anforderungen im Rahmen der PSD2 fallen.

Da die meisten wiederkehrenden Transaktionen vom Händler und nicht vom Karteninhaber initiiert werden, bedeutet dies, dass die meisten Abonnementzahlungen überhaupt nicht auf Strong Customer Authentication angewiesen sind.

Kunden können Unternehmen einer Whitelist von „Vertrauenswürdigen Empfängern“ zuordnen, die von ihrer Bank geführt wird. Whitelist-Händler sind von 3D Secure ausgenommen. So können Kunden, die regelmäßig bei einem bestimmten Unternehmen einkaufen, SCA von diesem Zeitpunkt an vermeiden.

Versandhandels- und Telefonbestellungen (Mail Order and Telephone Orders, MOTO) sind in sämtlichen Fällen von 3D Secure ausgenommen. MOTO-Transaktionen gelten nicht als „elektronische“ Zahlungen und fallen daher nicht in den Anwendungsbereich der Verordnung.

Zahlungen, bei denen der Issuer oder der Acquirer der Karte nicht in Europa ansässig sind, werden ebenfalls ausgenommen. Dies bedeutet, dass die Annahme von Zahlungen in Europa von außereuropäischen Käufern nach der Änderung der Verordnung kein Problem darstellen wird.

Zahlungen zwischen zwei Unternehmen sind frei von Strong Customer Authentication, wenn eine Zahlungsmethode verwendet wird, die für solche B2B-Zahlungen bestimmt ist.

Die Liste der Ausnahmen ist umfangreich und stützt sich stark auf die Auslegung durch Banken, Systeme und Aufsichtsbehörden. Die gute Nachricht für unsere Kunden ist, dass unser Dynamic 3D Secure Service Unternehmen dabei hilft, diese Komplexität zu bewältigen und die Vorteile von Ausnahmeregelungen, wo immer möglich, automatisch zu nutzen. Das bedeutet, dass Ihre Kunden Transaktionen nur dann authentifizieren müssen, wenn es absolut notwendig ist.

Das Kundenerlebnis bei 3D Secure 1 ist nicht optimal, besonders wenn Mobilgeräte verwendet werden. Die zusätzliche Sicherheitsebene kann Sie als Händler also Conversions kosten.

Um den neuen Anforderungen von PSD2 gerecht zu werden und 3DS1 zu verbessern, hat EMVco, eine Organisation bestehend aus Vertretern der wichtigsten Kartensysteme und führenden Unternehmen der Zahlungsbranche, das 3DS2-Protokoll entwickelt. Das neue Ziel: Die Authentifizierung dynamischer und sicherer machen.

3DS2 entfernt die umständliche Weiterleitung und Ihre Kunden können sich mit einem Fingerabdruck oder sogar mit einem Lächeln authentifizieren. 3DS2 verwendet zertifizierte SDKs und APIs, um reichhaltige Authentifizierungsdaten mit Banken auszutauschen und die Integration von Authentifizierungsströmen in Websites und Anwendungen nahtlos zu gestalten, wobei die SCA-Anforderungen von PSD2 erfüllt werden.

Während die starke Kundenauthentifizierung zweifellos Herausforderungen für Unternehmen mit sich bringen wird, wird unsere neue 3D Secure 2-Lösung die Auswirkungen abmildern. Wir hoffen, dass Sie dank der Kenntnisse darüber wie die PSD2 und Strong Customer Authentication definiert und welche Ausnahmeregelungen verfügbar sind, in der Lage sein werden, die Änderung der Vorschriften mit Zuversicht und in dem Wissen anzugehen, dass wir für Sie da sind.