3D Secure 1.0 Abschaltung im Oktober 2022

Ist Ihr Business in Gefahr?

 

Was ist 3D Secure?

3D Secure (3DS) ist ein technischer Standard und ein zusätzlicher Schutz vor Betrug im E-Commerce, nicht nur für Karteninhaber*innen sondern auch für Händler*innen. Durch die Anwendung von 3DS liegt die Haftung beim Kartenherausgeber. Über die aktuellen 3D Secure 2.0 Versionen lassen sich Kaufabbrüche reduzieren.

3DS ermöglicht eine starke Kundenauthentifizierung (Strong Customer Authentication = SCA).

Hierbei müssen 2 der 3 folgenden Faktoren im E-Commerce unabhängig voneinander angewendet werden, um den Käufer zu identifizieren:

                                                                                               

 

 

Abschaltung 3D Secure 1.0

Handeln Sie schon jetzt!

 

Vom 15.10.-18.10.2022 wird das veraltete 3DS 1.0 Protokoll durch die Kartenorganisationen Mastercard™ und Visa deaktiviert. Warten Sie nicht bis dahin, denn schon jetzt bietet die ausschließliche Verwendung von 3DS 1.0 erhebliche Nachteile:  

  • Händler*innen die nur auf 3DS 1.0 setzen, haften für Betrugstransaktionen, wenn der Kartenherausgeber*in bereits ausschließlich das neue 3DS 2.0 unterstützt (schon jetzt der Regelfall!) und die Transaktion ohne Authentifizierung genehmigt wird.
  • Händler*innen die nur 3DS 1.0 unterstützen können die Kundenauthentifizierung nicht wie erforderlich anbieten, z.B. beim Einholen von Abo-Mandate.

 

 

Jetzt auf 3D Secure 2 setzen

Warum Sie auf 3D Secure 2 setzen sollten?

 

  • Es liefert zehnmal mehr Daten als zuvor, zum Beispiel über das verwendete Gerät oder die Bezahlhistorie.
  • Dies beschleunigt die Authentifizierung und erhöht die Sicherheit.
  • Es ermöglicht den Kunden*innen einen schnelleren Kaufabschluss.

Wenn jeder, sei es Sie als Händler*in, die kartenausgebende Bank oder der Karteninhaber, mehr Transaktionsdaten zur Verfügung stellt, gewinnen alle. Der Kaufabschluss wird beschleunigt und sowohl die Sicherheit als auch die Umsätze und die Kundenzufriedenheit werden gesteigert.


Transaktionszeit

Die Dauer des Kaufprozesses
reduziert sich um 85 Prozent.

 

 


Kaufabbruch

Die Dauer des Kaufprozesses
reduziert sich um 70 Prozent.

 

 

 

Laptop mit geschlossenem Vorhängeschloss

3D Secure Lösungen:

Nutzen Sie als Händler 3D Secure, beispielsweise durch den Einsatz von „Mastercard® Identity Check™“ (ehemals "SecureCode"), „Visa Secure“ (ehemals "Verified by Visa"), Amex (Safekey) und JCB (J/Secure) profitieren Sie von einem garantierten  Zahlungseingang und einer Haftungsumkehr im Falle einer Rückbelastung, sodass Sie für diesen Betrag nicht mehr aufkommen müssen. Mit Hilfe des neuen Sicherheitsprotokolls EMV 3D Secure 2 lassen sich auch die regulatorischen Ausnahmen der SCA optimal abbilden.

Laptop mit geschlossenem Vorhängeschloss

3D Secure Lösungen:

Nutzen Sie als Händler 3D Secure, beispielsweise durch den Einsatz von „Mastercard® Identity Check™“ (ehemals "SecureCode"), „Visa Secure“ (ehemals "Verified by Visa"), Amex (Safekey) und JCB (J/Secure) profitieren Sie von einem garantierten  Zahlungseingang und einer Haftungsumkehr im Falle einer Rückbelastung, sodass Sie für diesen Betrag nicht mehr aufkommen müssen. Mit Hilfe des neuen Sicherheitsprotokolls EMV 3D Secure 2 lassen sich auch die regulatorischen Ausnahmen der SCA optimal abbilden.

                       ...

 

 

So funktioniert's

Der Kunde muss sich für das Verfahren bei seiner Hausbank freischalten lassen und legt eine Authentifizierungsmethode fest. Dies kann beispielsweise eine mTAN per SMS, eine App mit Gesichtsscan oder Fingerabdruck oder eine PIN sein. Bevor die Transaktion im Internet ausgeführt wird, authentifiziert sich der Kunde über sein gewähltes Verfahren und schließt damit weitgehend aus, dass eine fremde Person die Karte einsetzt. Weitere Informationen finden Sie in den FAQ und im Merkblatt.

Weitere Informationen im 3DS Merkblatt

Laptop mit offenem Vorhängeschloss

So funktioniert's

Der Kunde muss sich für das Verfahren bei seiner Hausbank freischalten lassen und legt eine Authentifizierungsmethode fest. Dies kann beispielsweise eine mTAN per SMS, eine App mit Gesichtsscan oder Fingerabdruck oder eine PIN sein. Bevor die Transaktion im Internet ausgeführt wird, authentifiziert sich der Kunde über sein gewähltes Verfahren und schließt damit weitgehend aus, dass eine fremde Person die Karte einsetzt. Weitere Informationen finden Sie in den FAQ und im Merkblatt.

Weitere Informationen im 3DS Merkblatt

Laptop mit offenem Vorhängeschloss

 

 

Ihr To Do

Was Sie als Händler tun müssen

 

Kontaktieren Sie Ihren Zahlungsdienstleister und stellen im Zweifel sicher, dass dieser standardmäßig die aktuellste 3D Secure 2.X Version einsetzt.

Informationen zu notwendigen technischen Anpassungen finden Sie in unserem digitalen Handbuch zu 3D Secure.

 

 

Welche Lösungen bietet Ihnen die 1cs mit dem Online Bezahlsystem (OBS)?

1. Onlineshop Anbindung

Sie bieten Ihren Kunden über eine unserer Schnittstellen oder unsere Plugins die Lieblingszahlarten an.

2. Manuelle Transaktionen über ein virtuelles Terminal

Sie erhalten einen webbasierten Zugang, um Kreditkarten oder ein Konto manuell zu belasten - alles in einer gesicherten Umgebung. Es gilt hier die sensiblen Kartendaten analog der Datensicherheitsrichtlinien zu händeln. Das Risiko einer Rückbelastung durch den Karteninhaber besteht, da es sich um eine Moto Transaktion handelt.

3. Abwicklung über einen Paymentlink

Der Paymentlink wird über ein webbasiertes System nach Eingabe von Betrag und Kundendaten per Email an den Kunden versendet. Der Kunde klickt auf den Link in der Email und autorisiert die Zahlung mit einem von ihm gewählten Zahlmittel. Somit ist das Risiko einer Rückbelastung deutlich gemindert, da es das Mitwirken des Kunden braucht.  

 

 

 

 

SCA und das 1cs Online Bezahlsystem

Hier finden Sie die technische Dokumentation für 3D Secure 2.0 für unser 1cs Online Bezahlsystem.

 

 


Frequently Asked Questions

über SCA

Was ist 3D Secure 2?

Das Sicherheitsverfahren 3D Secure, welches schon sehr lang durch VISA und mastercard bei Kreditkartenzahlungen als zusätzliche Kundenauthentifizierung zum Einsatz kommt, wurde im Zuge der Einführung der europäischen PSD2 Richtlinie aktualisiert, modernisiert und umfangreich verbessert. Das Verfahren ist auch als VISA Secure oder Mastercard Identity Check™ bekannt.

Was ist neu bei 3D Secure 2?

Mit der Erweiterung des 3D Secure Verfahrens wird die Authentifizierung des Karteninhabers bei einer Kreditkartenzahlung im Internet verstärkt, um diesen noch besser vor Betrug zu schützen. In Zukunft müssen Kunden sich mithilfe zweier Merkmale aus den Bereichen Inhärenz, Besitz und Wissen identifizieren.

Zu dem Bereich Besitz zählt zum Beispiel das Smartphone. Wissen kann ein Passwort oder eine PIN sein und Inhärenz beinhaltet beispielsweise biometrische Merkmale, wie den Fingerabdruck oder den Gesichtsscan.

Einige Banken werden zum Beispiel eine Bestätigung über eine separate Sicherheits-App mit Authentifizierung durch ein biometrisches Merkmal beim Öffnen umsetzen.

Ist 3D Secure 2 Pflicht?

Auf jeden Fall ist eine starke Kundenauthentifizierung Pflicht. Bei Kreditkartenzahlungen wird diese durch das neue 3D Secure 2 umgesetzt. Sie sollten es also in Ihren Kreditkartenbezahlprozess integrieren.

Was ist PSD2?

Die Payment Service Directive 2 ist eine europäische Richtlinie, welche umfangreiche Änderungen und Neuerungen im europäischen Payment Markt mit sich bringt. Sie beinhaltet viele neue Regeln für Banken und Zahlungsdienstleister oder Payment Service Provider (PSP), die den Endkunden effektiver vor Betrug schützen sollen.

Ab wann gilt die neue Richtlinie?

Die PSD2 und somit auch die Pflicht zur starken Kundenauthentifizierung – oder auch 2-Faktor-Authentifizierung – tritt offiziell zum 14.09.2019 in Kraft. Zwischenzeitlich hat die deutsche Bankenaufsicht (BaFin) eine Schonfrist bis zum 31.12.2020 erteilt.

Wer kann mir dabei helfen, 3D Secure 2 umzusetzen?

Gehen Sie auf jeden Fall auf Ihren PSP zu. Dieser beschäftigt sich mit Sicherheit schon länger mit dem Thema und kann Ihnen sagen, welche Maßnahmen Sie in technischer Sicht noch ergreifen müssen, um die PSD2 richtig umzusetzen. Einen Überblick über diese Maßnahmen finden Sie auch in unserem digitalen Handbuch zu 3D Secure. 

Werde ich technische Änderungen vornehmen müssen?

Wenn Sie mit einem PSP zusammenarbeiten und deren Lösung zur Abrechnung von Kreditkartenzahlungen nutzen, hat dieser den Hauptteil der Arbeit zu erledigen, da die Weiterleitung zum 3D Secure Verfahren meist durch den PSP realisiert wird.

Nutzen Sie ein Shop Plugin, so kann es durchaus passieren, dass Sie dieses komplett austauschen oder mindestens mit einem Update versehen müssen. Auf jeden Fall sollten Sie ein Plugin verwenden, welches PSD2 compliant ist und 3D Secure in der neuesten Version 2.x unterstützt. Plugins finden Sie in unserem Plugin-Shop.

Haben Sie die Zahlungsart Kreditkarte oder auch nur das 3D Secure Verfahren per API Schnittstelle selbst angebunden, sollten Sie von Ihrem Zahlungsdienstleister möglichst schnell die neuesten technischen Dokumentationen zur Umsetzung der 2-Faktor-Authentifizierung anfordern. Solche finden Sie auch in  unserem digitalen Handbuch zu 3D Secure.

Auf Sie als Shop-Anbieter können technische Anpassungen im Bezug auf die neuen zu übertragenden Datenelemente zukommen. Essentiell sind hierfür die Übertragung von Informationen zum Karteninhaber: Name, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Rechnungsadresse, Lieferadresse, Browser-Informationen (je nach Integrationsart) und die IP-Adresse. Je mehr Datenelemente Sie übertragen, desto höher ist die Wahrscheinlichkeit einer Genehmigung der Transaktion durch den Issuer. Sprechen Sie hierzu mit Ihrem PSP, um die notwendigen Datenelemente zu bestimmen. Neue Logos der Kartenorganisationen sowie Hinweise zum Whitelisting können ebenfalls technische Änderungen erfordern.

Gibt es weitere Ausnahmen vom 3D Secure 2 Verfahren?

Sie haben die Möglichkeit, Transaktionen mit der sogenannten Transaction Risk Analysis als risikoarme Transaktionen einstufen zu lassen. Hierzu müssen Sie wiederum eine spezielle Markierung / Flag mit übergeben. Hierdurch wird geprüft, ob die Transaktion tatsächlich ein geringeres Risiko darstellt und somit ohne 3D Secure 2 durchgeführt werden kann.

Die Transaction Risk Analysis greift auf Informationen, wie die Fraud Raten des Issuers und des Acquirers oder auch die Einstufungen von Ihnen als Händler zurück. Natürlich gibt es hier noch weitere Merkmale.

Außerdem können Sie Ihre Kunden bitten, Sie als Händler auf die Whitelist des jeweiligen Issuers setzen zu lassen. Hierdurch muss der betroffene Kunde bei keiner künftigen Transaktion mehr das 3D Secure 2 Verfahren in Ihrem Shop durchlaufen. Ein allgemeines Whitelisting wird nicht vorgenommen.

 

Die folgende Grafik zeigt die regulatorische Ausnahmen von SCA und die Transaktionen, die von SCA nicht betroffen sind.

Grafik zur Veranschaulichung der Ausnahmen und nicht betroffenen Transaktionen von SCA
Sind MoTo-Transaktionen hiervon auch betroffen?

Nein. Wenn Sie ausschließlich MoTo-Transaktionen (Mail Order / Telephone Order) akzeptieren, so haben Sie vorerst keine Änderungen vorzunehmen, da diese keiner Pflicht zur 2-Faktor-Authentifizierung unterliegen.

Wie steht es mit Abonnements?

Die Folgezahlung eines Abonnements gilt, laut Richtlinie, ebenfalls als MIT und gilt somit als Ausnahme. Vorschrift ist es jedoch, dass die Ursprungstransaktion bei Abos mit der starken Kundenauthentifizierung abgesichert werden muss, es sei denn das Abo wurde vor dem 14.09.2019 abgeschlossen oder das Abo-Mandat wurde über MoTo eingereicht.

Bei der Unterscheidung zwischen Ursprungs- und Folgetransaktion ist es wichtig, dass die Transaktionen richtig übergeben bzw. technisch gekennzeichnet werden. Hierfür muss ein sogenannter Flag, also eine virtuelle Markierung (auch Trace-ID genannt) genutzt werden. Sprechen Sie auch hierzu Ihren PSP direkt an.

Sie nutzen den 1cs Paymentlink oder das virtuelle Terminal der 1cs – was müssen Sie beachten?

Bei der Nutzung der Zusatzfunktion Paymentlink ist die Einführung von SCA sehr einfach, denn das Online Bezahlsystem übernimmt für Sie zum Stichtag automatisch die neuen Anforderungen. Ruft ein Kunde den Bezahllink auf, wird automatisch das neue 3D Secure-Verfahren angewandt. Allerdings müssen bei der Zahlungserfassung im virtuellen Terminal die vorhandenen Felder vollständig mit den Kundeninformationen ausgefüllt werden. Felder die ausgefüllt sind, bspw. die Adressdaten Ihrer Kunden, werden an die Transaktion angehängt und der Bank Ihres Kunden zur Prüfung zur Verfügung gestellt, was eine Ablehnung unwahrscheinlicher macht.

Muss ich mit meinem Acquirer ebenfalls Kontakt aufnehmen?

Jeder Händler, Acquirer, PSP und weiterer Beteiligter muss als 3D Secure 2 Organisation bei den Kartenmarken gemeldet werden. Hierzu können Sie uns gern jederzeit kontaktieren.