Das Sicherheitsverfahren 3D Secure, welches schon sehr lang durch VISA und mastercard bei Kreditkartenzahlungen als zusätzliche Kundenauthentifizierung zum Einsatz kommt, wurde im Zuge der Einführung der europäischen PSD2 Richtlinie aktualisiert, modernisiert und umfangreich verbessert. Das Verfahren ist auch als VISA Secure oder Mastercard Identity Check™ bekannt.

Mit der Erweiterung des 3D Secure Verfahrens wird die Authentifizierung des Karteninhabers bei einer Kreditkartenzahlung im Internet verstärkt, um diesen noch besser vor Betrug zu schützen. In Zukunft müssen Kunden sich mithilfe zweier Merkmale aus den Bereichen Inhärenz, Besitz und Wissen identifizieren.

Zu dem Bereich Besitz zählt zum Beispiel das Smartphone. Wissen kann ein Passwort oder eine PIN sein und Inhärenz beinhaltet beispielsweise biometrische Merkmale, wie den Fingerabdruck oder den Gesichtsscan.

Einige Banken werden zum Beispiel eine Bestätigung über eine separate Sicherheits-App mit Authentifizierung durch ein biometrisches Merkmal beim Öffnen umsetzen.

Auf jeden Fall ist eine starke Kundenauthentifizierung Pflicht. Bei Kreditkartenzahlungen wird diese durch das neue 3D Secure 2 umgesetzt. Sie sollten es also in Ihren Kreditkartenbezahlprozess integrieren.

Die Payment Service Directive 2 ist eine europäische Richtlinie, welche umfangreiche Änderungen und Neuerungen im europäischen Payment Markt mit sich bringt. Sie beinhaltet viele neue Regeln für Banken und Zahlungsdienstleister oder Payment Service Provider (PSP), die den Endkunden effektiver vor Betrug schützen sollen.

Die PSD2 und somit auch die Pflicht zur starken Kundenauthentifizierung – oder auch 2-Faktor-Authentifizierung – tritt offiziell zum 14.09.2019 in Kraft. Zwischenzeitlich hat die deutsche Bankenaufsicht (BaFin) eine Schonfrist bis zum 31.12.2020 erteilt.

Gehen Sie auf jeden Fall auf Ihren PSP zu. Dieser beschäftigt sich mit Sicherheit schon länger mit dem Thema und kann Ihnen sagen, welche Maßnahmen Sie in technischer Sicht noch ergreifen müssen, um die PSD2 richtig umzusetzen. Einen Überblick über diese Maßnahmen finden Sie auch in unserem digitalen Handbuch zu 3D Secure. 

Wenn Sie mit einem PSP zusammenarbeiten und deren Lösung zur Abrechnung von Kreditkartenzahlungen nutzen, hat dieser den Hauptteil der Arbeit zu erledigen, da die Weiterleitung zum 3D Secure Verfahren meist durch den PSP realisiert wird.

Nutzen Sie ein Shop Plugin, so kann es durchaus passieren, dass Sie dieses komplett austauschen oder mindestens mit einem Update versehen müssen. Auf jeden Fall sollten Sie ein Plugin verwenden, welches PSD2 compliant ist und 3D Secure in der neuesten Version 2.x unterstützt. Plugins finden Sie in unserem Plugin-Shop.

Haben Sie die Zahlungsart Kreditkarte oder auch nur das 3D Secure Verfahren per API Schnittstelle selbst angebunden, sollten Sie von Ihrem Zahlungsdienstleister möglichst schnell die neuesten technischen Dokumentationen zur Umsetzung der 2-Faktor-Authentifizierung anfordern. Solche finden Sie auch in  unserem digitalen Handbuch zu 3D Secure.

Auf Sie als Shop-Anbieter können technische Anpassungen im Bezug auf die neuen zu übertragenden Datenelemente zukommen. Essentiell sind hierfür die Übertragung von Informationen zum Karteninhaber: Name, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Rechnungsadresse, Lieferadresse, Browser-Informationen (je nach Integrationsart) und die IP-Adresse. Je mehr Datenelemente Sie übertragen, desto höher ist die Wahrscheinlichkeit einer Genehmigung der Transaktion durch den Issuer. Sprechen Sie hierzu mit Ihrem PSP, um die notwendigen Datenelemente zu bestimmen. Neue Logos der Kartenorganisationen sowie Hinweise zum Whitelisting können ebenfalls technische Änderungen erfordern.

Sie haben die Möglichkeit, Transaktionen mit der sogenannten Transaction Risk Analysis als risikoarme Transaktionen einstufen zu lassen. Hierzu müssen Sie wiederum eine spezielle Markierung / Flag mit übergeben. Hierdurch wird geprüft, ob die Transaktion tatsächlich ein geringeres Risiko darstellt und somit ohne 3D Secure 2 durchgeführt werden kann.

Die Transaction Risk Analysis greift auf Informationen, wie die Fraud Raten des Issuers und des Acquirers oder auch die Einstufungen von Ihnen als Händler zurück. Natürlich gibt es hier noch weitere Merkmale.

Außerdem können Sie Ihre Kunden bitten, Sie als Händler auf die Whitelist des jeweiligen Issuers setzen zu lassen. Hierdurch muss der betroffene Kunde bei keiner künftigen Transaktion mehr das 3D Secure 2 Verfahren in Ihrem Shop durchlaufen. Ein allgemeines Whitelisting wird nicht vorgenommen.

Die folgende Grafik zeigt die regulatorische Ausnahmen von SCA und die Transaktionen, die von SCA nicht betroffen sind.

Nein. Wenn Sie ausschließlich MoTo-Transaktionen (Mail Order / Telephone Order) akzeptieren, so haben Sie vorerst keine Änderungen vorzunehmen, da diese keiner Pflicht zur 2-Faktor-Authentifizierung unterliegen.

Die Folgezahlung eines Abonnements gilt, laut Richtlinie, ebenfalls als MIT und gilt somit als Ausnahme. Vorschrift ist es jedoch, dass die Ursprungstransaktion bei Abos mit der starken Kundenauthentifizierung abgesichert werden muss, es sei denn das Abo wurde vor dem 14.09.2019 abgeschlossen oder das Abo-Mandat wurde über MoTo eingereicht.

Bei der Unterscheidung zwischen Ursprungs- und Folgetransaktion ist es wichtig, dass die Transaktionen richtig übergeben bzw. technisch gekennzeichnet werden. Hierfür muss ein sogenannter Flag, also eine virtuelle Markierung (auch Trace-ID genannt) genutzt werden. Sprechen Sie auch hierzu Ihren PSP direkt an.

Bei der Nutzung der Zusatzfunktion Paymentlink ist die Umsetzung von SCA sehr einfach, denn das Online Bezahlsystem erfüllt sämtliche Vorgaben. Ruft ein Kunde den Bezahllink auf, wird automatisch das neue 3D Secure-Verfahren angewandt. Allerdings müssen bei der Zahlungserfassung im virtuellen Terminal die vorhandenen Felder vollständig mit den Kundeninformationen ausgefüllt werden. Felder die ausgefüllt sind, bspw. die Adressdaten Ihrer Kunden, werden an die Transaktion angehängt und der Bank Ihres Kunden zur Prüfung zur Verfügung gestellt, was eine Ablehnung unwahrscheinlicher macht.

Achten Sie bitte darauf, dass das Häkchen "Versuche 3-D Secure 2.x für Kreditkarte" stets gesetzt ist.

Jeder Händler, Acquirer, PSP und weiterer Beteiligter muss als 3D Secure 2 Organisation bei den Kartenmarken gemeldet werden. Hierzu können Sie uns gern jederzeit kontaktieren.