3D Secure 2: Authentifizierungslösungen

Mehr Sicherheit im E-Commerce

 

Zahlungsbetrug ist – besonders im Online-Shopping – nach wie vor ein Problem, mit dem sich Händler intensiv auseinandersetzen. Die Herausforderung hierbei: Oftmals müssen sich Händler zwischen einem niedrigeren Betrugsrisiko und einer geringeren Rate von Kaufabbrüchen entscheiden. Um die Sicherheit von Kreditkartenzahlungen im E-Commerce europaweit zu steigern, sind am 14. September 2019 die technischen Regulierungsstandards im Rahmen der überarbeiteten Zahlungsdiensterichtlinie der EU (PSD2) in Kraft getreten.


PSD2 – neue Regelungen im Zahlungsverkehr

Die PSD (Payment Service Directive) regelt grundsätzlich Zahlungsabwicklungen innerhalb des europäischen Wirtschaftsraumes. Die erweiterte Richtline PSD2 sieht nun unter anderem für Transaktionen im Online-Handel eine starke Kundenauthentifizierung vor (SCA). 
Dies bedeutet, dass für eine Online-Kreditkartenzahlung nicht nur Daten wie Nummer, Ablaufdatum und Code vorliegen müssen, sondern sich der Käufer zusätzlich authentifizieren muss. Als Wegbereiter für SCA wurde eine neue Version von 3D Secure veröffentlicht. So sieht 3D Secure 2 beispielsweise die Möglichkeit vor, eine Transaktion mithilfe einer biometrischen Methode zu authentifizieren. Auf diese Weise soll im Bereich des E-Commerce mehr Sicherheit bei Transaktionen gewährleistet werden.

Update zu den anstehenden PSD2-Änderungen

Im Rahmen der neuen EU-Zahlungsdiensterichtlinie PSD2 treten in Kürze strengere Sicherheitsstandards für Onlinezahlungen in Kraft. Die Europäische Bankaufsichtsbehörde hat im Juni eine Stellungnahme veröffentlicht, in der sie die damit verbundenen Herausforderungen aufgrund der Komplexität der Zahlungsmärkte in der EU anerkennt. Wir möchten Ihnen bei dem Übergang helfen und haben zu diesem Zweck die aktuelle Sachlage für Sie zusammengefasst.

Die Europäische Bankenaufsichtsbehörde (EBA) hat den zuständigen nationalen Behörden gestattet, die Frist für die Umsetzung der starken Kundenauthentifizierung (SCA, Strong Customer Authentication) über den 14. September 2019 hinaus zu verlängern und eine Übergangsphase vorzusehen, um in den Märkten des Europäischen Wirtschaftsraums (EWR) eine reibungslose Umstellung auf die PSD2-Anforderungen zu ermöglichen. 
Zeitlich befristete Übergangsphase für die Umsetzung der SCA-Anforderungen im Rahmen der PSD2

Aktuelle Veröffentlichungen der wichtigsten Regulierungsbehörden:

Europäische Bankenaufsichtsbehörde
BaFin
Financial Conduct Authority
Banca d’Italia
Banque de France
Weitere Mitteilungen

Machen Sie sich und Ihr Unternehmen für 3D Secure 2 bereit

Beim bisher verwendeten Verfahren 3D Secure musste das Kundenerlebnis hinsichtlich der Sicherheit von Onlinezahlungen starke Abstriche machen. Aus diesem Grund haben Mastercard, Visa, American Express, UPI, Diners Club, Discover, JCB und Cartes Bancaires die neuen Sicherheits-Anforderungen von PSD2 zum Anlass genommen ebenfalls an der Nutzerfreundlichkeit zu arbeiten. Mit 3D Secure 2.0 stellen die Kreditkartenunternehmen nun ein Verfahren vor, mit dem sie dank der neuen Authentifizierungstechnologie nicht nur weniger Betrugsfälle, sondern im Vergleich zu 3D Secure auch mehr Conversion versprechen. 

Vergleich: 3D Secure vs. 3D Secure 2

Was sind die konkreten Unterschiede zwischen 3D Secure und 3D Secure 2?

  • Besserer Betrugsschutz
  • Keine statischen Passwörter
  • Unterstützung mobiler Geräte
  • Händler-Opt-out
  • Mehr Flexibilität für Händler

Welche Vorteile bringt 3D Secure 2 für den Kunden?

  • Höhere Benutzerfreundlichkeit
  • Niedrigere Rate unberechtigter Ablehnungen
  • Mehr Komfort dank risikobasierter Authentifizierung 

Ihre Vorteile von 3D Secure 2 im Detail

Flexible Nutzung über alle Endgeräte

Reibungslose und konsistente Benutzererfahrung über alle Kanäle, einschließlich Wallets und Apps.

Optimierte User Experience

Nahtlose Integration des Authentifizierungs-prozesses in das Einkaufserlebnis sowie schnelle, einfache und bequeme Authentifizierung für Karteninhaber.

Verbesserter Datenaustausch

Option zur risikobasierten Authentifizierung bietet zusätzlichen Schutz vor Betrug und steigert damit den Umsatz.

Erfahren Sie mehr zu 3D Secure 2 in unseren Webinaren

'
'

Strong Customer Authentication als EU-weite Maßnahme gegen Betrug

Unternehmen bieten sich die verschiedensten Möglichkeiten, um Betrugsversuche aktiv zu bekämpfen – von der Vorhersage und Verhinderung von Betrug per Machine Learning bis hin zur manuellen Überprüfung von Zahlungen. Als besonders effektive Methode gilt derzeit die umfassende Authentifizierung zur Überprüfung der Identität eines Kunden, bevor eine Online-Zahlung überhaupt akzeptiert wird. Dabei existieren drei verschiedene Arten – die Einzelfaktor-Authentifizierung (z. B. über ein Kennwort), die Zwei-Faktoren-Authentifizierung (z. B. über einen einmaligen Authentifizierungscode in Kombination mit einem Kennwort) oder die Authentifizierung anhand mehrere Faktoren.

Mehr über SCA erfahren

FAQs zu 3D Secure 2

Wenn sich Ihre Kartenakzeptanzstelle innerhalb des Europäischen Wirtschaftsraums (EWR) befindet und Sie Kreditkarten online akzeptieren, müssen Sie 3D Secure 2 einsetzen.
3D Secure 2 ist die Lösung der Kreditkartenunternehmen, um den Anforderungen einer starken Kundenauthentifizierung (SCA, Strong Customer Authentication) nachzukommen. Die Teilnahme an 3D Secure 2 ist die einfachste Möglichkeit, SCA umzusetzen.

Ab dem 14. September 2019 wird die SCA im Rahmen der neuen Zahlungsdiensterichtlinie (PSD2) schrittweise verpflichtend. 

Allerdings hat die Europäische Bankenaufsichtsbehörde (EBA) den zuständigen nationalen Behörden (NCA) gestattet, über dieses Datum hinaus eine zeitlich befristete Übergangsphase vorzusehen, um in den EWR-Märkten eine reibungslose Umstellung auf die Anforderungen der starken Kundenauthentifizierung (SCA) im Rahmen der PSD2 zu ermöglichen.

Einige NCA haben bereits eine schrittweise Umsetzung der SCA-Anforderungen mit detaillierten Fristen und Etappenzielen bis zur endgültigen Durchsetzung angekündigt. 

Die geltenden Anforderungen und Fristen für die einzelnen Märkte entnehmen Sie bitte dem vorstehend aufgeführten Länderverzeichnis.

Wir empfehlen Händlern dringend, 3D Secure 2 (3DS2) so schnell wie möglich in ihre Online-Bezahlvorgänge zu integrieren. Informationen dazu, wie bei der 3DS2-Implementierung vorzugehen ist, finden Sie in den einzelnen Integrationsverfahren für Wirecard.

www.wirecard.com/3d-secure-2/merchantform/static/


Händler: Seit September 2019 müssen Finanzinstitute innerhalb des EWR eine starke Kundenauthentifizierung für Finanztransaktionen durchführen. Wenn Sie nicht auf 3D Secure 2 umstellen, müssen Sie mit einem erheblichen Anstieg abgelehnter Transaktionen rechnen.

Obwohl die starke Kundenauthentifizierung generell für Zahlungstransaktionen innerhalb des EWR eingesetzt werden muss, gibt es einige Ausnahmen, die auch ab September 2019 weiter gelten. Eine umfassende Liste dieser Ausnahmen finden Sie hier: https://www.wirecard.de/3d-secure-2/strong-customer-autentication/.

Die technischen Maßnahmen für 3D Secure 2 hängen im Wesentlichen von zwei Faktoren ab:

1) von der Tatsache, ob Sie bereits 3D Secure 1 nutzen, und
2) von der Art der technischen Integration mit Wirecard.

Weitere Informationen über die Implementierung von 3D Secure 2 finden Sie auf unserer Website unter https://www.wirecard.com/3d-secure-2/merchantform/static/.

„Die Wirecard Bank AG verarbeitet personenbezogene Daten von Karteninhabern zum Zwecke der Zahlungsabwicklung als Verantwortlicher im Sinne von Art. 4 (7) DSGVO. Der Händler stellt den Karteninhabern Informationen zur Verfügung, die gemäß Art. 13, 14 DSGVO durch Wirecard anzugeben sind. Die oben genannten Informationen sind unter https://www.wirecardbank.de/DSGVO verfügbar und sollten in die Allgemeinen Geschäftsbedingungen des Händlers aufgenommen oder den Karteninhabern in geeigneter Weise zur Verfügung gestellt werden."

Wir empfehlen dringend die gleichzeitige Nutzung von 3D Secure 2 und 3D Secure 1, damit Sie von Kartenherausgebern nicht fälschlicherweise abgewiesen werden, die das neue Protokoll von 3D Secure 2 noch nicht unterstützen. Damit Sie beide Protokolle mit minimalem Aufwand unterstützen können, sind unsere APIs abwärtskompatibel.

Sie können 3D Secure 2 ab sofort verwenden. Das Wirecard Payment Gateway unterstützt das neue Protokoll bereits. Da wir davon ausgehen, dass in den kommenden Monaten immer mehr Kartenherausgeber 3D Secure 2 unterstützen werden, empfehlen wir Ihnen, schnellstmöglich auf das neue Protokoll umzusteigen.

Wiederkehrende Transaktionen (z. B. Abonnements) werden in regelmäßigen Abständen mit dem gleichen, wiederkehrenden Betrag verarbeitet. Wenn Sie eine wiederkehrende Vereinbarung einrichten, erfordert die erste Transaktion eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Nachfolgende Transaktionen gelten dann als von einem Händler initiierte Transaktionen, sodass keine starke Kundenauthentifizierung erforderlich ist.

Ratenzahlungen erfolgen, wenn ein Kunde Waren kauft und die Rechnung über einen vereinbarten Zeitraum in mehreren Teilzahlungen begleicht. Wie auch bei wiederkehrenden Transaktionen erfordert nur die erste Transaktion eine starke Kundenauthentifizierung. Alle nachfolgenden Transaktionen werden als vom Händler initiierte Transaktionen betrachtet, sodass keine starke Kundenauthentifizierung erforderlich ist.

In beiden Fällen muss der Kunde eindeutig über die Vereinbarungsbedingungen informiert werden.

Vereinbarungen, die vor der überarbeiteten Richtlinie für Zahlungsdienste der Europäischen Union (PSD2) abgeschlossen wurden, bleiben unverändert bestehen. Die starke Kundenauthentifizierung gilt also nur für wiederkehrende Zahlungen bzw. Ratenzahlungen, die nach Inkrafttreten von PSD2 initiiert werden.

Marktplätze sind Umgebungen, in denen ein Unternehmen Kunden und Verkäufer auf einer zentralen Plattform zusammenführt und Zahlungen im Namen der Verkäufer einzieht, die Kunden auf der Plattform einer Marke Waren oder Dienstleistungen anbieten. Der Marktplatz ist Eigentümer der gesamten Kundenbeziehung, ist für die Transaktionen verantwortlich und regelt oft die Verkaufsbedingungen.

Aus der Sicht von 3D Secure 2 ist der Marktplatz für das Senden von 3D Secure 2-Authentifizierungs- und Autorisierungsanfragen verantwortlich.

Im Allgemeinen sind die Bestimmungen der Haftungsumkehr für 3D Secure 2 mit denen von 3D Secure 1 vergleichbar: Fordert ein Händler erfolgreich eine Authentifizierung von einem Kartenherausgeber an, geht die Rückbuchungspflicht auf den Herausgeber über.
Wir weisen jedoch darauf hin, dass es innerhalb des EWR Ausnahmen gibt, für die eine starke Kundenauthentifizierung erforderlich ist:

  • Wird eine Ausnahme (siehe doc.wirecard.com/CreditCard.html) für Händler und deren Akzeptanzstelle angewendet (wenn z. B. der Händler eine Ablehnung vermeiden möchte), haftet in der Regel weiterhin der Händler.
  • Unterstützt ein Herausgeber 3D Secure 2 ab September 2019 nicht, gibt es Fälle, in denen bereits der Versuch, 3D Secure 2 anzuwenden, zu einer Haftungsumkehr führt.


Bitte beachten: Die oben genannten Hinweise sind als Verallgemeinerung der Vorschriften für Kreditkartensysteme zu betrachten. Die spezifischen Vorschriften können Sie in den 3D Secure 2-Implementierungsleitfäden für Kreditkartensysteme nachlesen.

Die PS2-Vorschriften schreiben eine starke Kundenauthentifizierung immer dann vor, wenn ein Kunde (oder Zahlungsempfänger) eine elektronische Zahlung initiiert. Dies gilt auch für POS-Transaktionen.

EMV-Zahlungskarten, die heute in Europa die Standardzahlungsmethode sind, entsprechen bereits der starken Kundenauthentifizierung nach PSD2, da der Karteninhaber die PIN am POS eingibt. Die neueren, kontaktlosen Zahlungskarten, die ohne PIN-Eingabe schnellere Zahlungen ermöglichen, sind von der starken Kundenauthentifizierung ausgenommen, wenn:

  • der Einzelbetrag für die kontaktlose Transaktion weniger als 50 € beträgt und
  • der Gesamtbetrag aus früheren kontaktlosen Transaktionen 150 € nicht überschreitet und
  • die Gesamtzahl der kontaktlosen Zahlungen fünf nicht überschreitet.


Wird eines dieser Kriterien nicht erfüllt, erfordert die kontaktlose Transaktion eine starke Kundenauthentifizierung durch Eingabe der PIN am POS.

Die Verpflichtung zur Anwendung der starken Kundenauthentifizierung gilt auch für andere Zahlungsmethoden. Nicht alle Methoden werden jedoch mit 3D Secure 2 abgewickelt. Nachfolgend wird erläutert, wie einige der gängigsten Zahlungsmethoden mit der starken Kundenauthentifizierung umgehen:

  • Elektronische Geldbörsen (Wallets): Abhängig von der Zahlungsmethode, mit der die Kunden ihre Wallet aufladen, können verschiedene Verfahren zur starken Kundenauthentifizierung erforderlich sein.
  • Google Pay/Apple Pay: Bei Apple Pay und Google Pay erfolgt die starke Kundenauthentifizierung direkt über die Endgeräte. Lediglich Google Pay verwendet 3D Secure 2 für nicht gerätegebundene Transaktionen (z. B. bei Desktop-Transaktionen).
  • Online-Überweisung: Online-Überweisungen erfolgen in der Regel durch eine Weiterleitung auf das Bankkonto des Kunden, wo die starke Kundenauthentifizierung seit Jahren Standard ist. In der Regel wird diese durch die Eingabe eines Anmeldekennworts in Kombination mit einem einmalig gültigen Passwort realisiert.
  • SEPA-Lastschriftverfahren: SEPA-Lastschrifttransaktionen gelten als „vom Händler initiierte Transaktionen“. Diese Zahlungen sind von den PSD2-Vorschriften nicht betroffen und erfordern daher keine starke Kundenauthentifizierung.

Gemäß PSD2-RTS gelten Zahlungen als geringwertig, wenn sie weniger als oder 30 € bzw. den entsprechenden Gegenwert in anderen Währungen betragen. Informationen hierzu sind in den Final Q&As der EBA zu finden . Dort heißt es: 

„Für Nicht-Euro-Transaktionen sollten die Zahlungsdienstleister (Payment Service Provider, PSPs) und Kartensysteme die Euro-Schwellenwerte gemäß den Artikeln 11, 16 und 18 der delegierten Verordnung der Kommission (EU) 2018/389 unter Verwendung des durchschnittlichen EZB-Referenzkurses in Nicht-Euro-Währungsschwellenwerten umrechnen. In der Praxis möchten PSPs und Kartensysteme die Schwellewerte in Euro u. U. beibehalten. Eine Rundung des Schwellenwert in einer Nicht-Euro-Währung ist nur möglich, wenn dieser in der anderen Währung auf einen Wert gerundet wird, der den Euro-Schwellenwert der delegierten Verordnung auf der Grundlage des EZB-Referenzkurses voraussichtlich nicht überschreitet. Ein solch gerundeter Betrag muss ggf. von Zeit zu Zeit angepasst werden. So hätte beispielsweise der Schwellenwert von 50 € für Zahlungen per Fernzugriff zum 12. September 2018 einem Schwellenwert von 44,50 £ entsprochen; der niedrigste Schwellenwert der letzten 12 Monate würde 43 £ betragen. Würde also der Schwellenwert für britische Pfund auf 40 £ abgerundet, würde er wahrscheinlich immer dem Schwellenwert von 50 € für den in diesem Beispiel genannten Zeitraum (September 2017 bis September 2018) entsprechen.“

Wichtige Termine zwecks 3D Secure 2 und SCA

Bleiben Sie up to date

Die Inhalte dieser Seite werden stetig aktualisiert und erweitert. Updates zur Implementierung von 3D-Secure 2 sind in Kürze verfügbar. Damit Sie ausreichend Zeit und Ressourcen für die Integration der neuen Authentifizierungslösungen einplanen können, werden wir Sie zeitnah über die nächsten Schritte informieren.

Jetzt Kontakt aufnehmen

Wenn Sie Unterstützung benötigen, erreichen Sie unser Support-Team unter 3ds.support@wirecard.com oder +49 (0) 30 300 113 177
(Montag bis Freitag, 8.00 bis 17.00 Uhr). Sie können auch gerne das folgende Kontaktformular verwenden: