Ist Ihr Business in Gefahr?
Was ist 3D Secure?
3D Secure (3DS) ist ein technischer Standard und ein zusätzlicher Schutz vor Betrug im E-Commerce, nicht nur für Karteninhaber*innen sondern auch für Händler*innen. Durch die Anwendung von 3DS liegt die Haftung beim Kartenherausgeber. Über die aktuellen 3D Secure 2.0 Versionen lassen sich Kaufabbrüche reduzieren.
3DS ermöglicht eine starke Kundenauthentifizierung (Strong Customer Authentication = SCA).
Hierbei müssen 2 der 3 folgenden Faktoren im E-Commerce unabhängig voneinander angewendet werden, um den Käufer zu identifizieren:
Handeln Sie schon jetzt!
Vom 15.10.-18.10.2022 wird das veraltete 3DS 1.0 Protokoll durch die Kartenorganisationen Mastercard™ und Visa deaktiviert. Warten Sie nicht bis dahin, denn schon jetzt bietet die ausschließliche Verwendung von 3DS 1.0 erhebliche Nachteile:
Warum Sie auf 3D Secure 2 setzen sollten?
Wenn jeder, sei es Sie als Händler*in, die kartenausgebende Bank oder der Karteninhaber, mehr Transaktionsdaten zur Verfügung stellt, gewinnen alle. Der Kaufabschluss wird beschleunigt und sowohl die Sicherheit als auch die Umsätze und die Kundenzufriedenheit werden gesteigert.
Transaktionszeit
Die Dauer des Kaufprozesses
reduziert sich um 85 Prozent.
Kaufabbruch
Die Dauer des Kaufprozesses
reduziert sich um 70 Prozent.
Nutzen Sie als Händler 3D Secure, beispielsweise durch den Einsatz von „Mastercard® Identity Check™“ (ehemals "SecureCode"), „Visa Secure“ (ehemals "Verified by Visa"), Amex (Safekey) und JCB (J/Secure) profitieren Sie von einem garantierten Zahlungseingang und einer Haftungsumkehr im Falle einer Rückbelastung, sodass Sie für diesen Betrag nicht mehr aufkommen müssen. Mit Hilfe des neuen Sicherheitsprotokolls EMV 3D Secure 2 lassen sich auch die regulatorischen Ausnahmen der SCA optimal abbilden.
Der Kunde muss sich für das Verfahren bei seiner Hausbank freischalten lassen und legt eine Authentifizierungsmethode fest. Dies kann beispielsweise eine mTAN per SMS, eine App mit Gesichtsscan oder Fingerabdruck oder eine PIN sein. Bevor die Transaktion im Internet ausgeführt wird, authentifiziert sich der Kunde über sein gewähltes Verfahren und schließt damit weitgehend aus, dass eine fremde Person die Karte einsetzt. Weitere Informationen finden Sie in den FAQ und im Merkblatt.
Was Sie als Händler tun müssen
Kontaktieren Sie Ihren Zahlungsdienstleister und stellen im Zweifel sicher, dass dieser standardmäßig die aktuellste 3D Secure 2.X Version einsetzt.
Informationen zu notwendigen technischen Anpassungen finden Sie in unserem digitalen Handbuch zu 3D Secure.
1. Onlineshop Anbindung
Sie bieten Ihren Kunden über eine unserer Schnittstellen oder unsere Plugins die Lieblingszahlarten an.
2. Manuelle Transaktionen über ein virtuelles Terminal
Sie erhalten einen webbasierten Zugang, um Kreditkarten oder ein Konto manuell zu belasten - alles in einer gesicherten Umgebung. Es gilt hier die sensiblen Kartendaten analog der Datensicherheitsrichtlinien zu händeln. Das Risiko einer Rückbelastung durch den Karteninhaber besteht, da es sich um eine Moto Transaktion handelt.
3. Abwicklung über einen Paymentlink
Der Paymentlink wird über ein webbasiertes System nach Eingabe von Betrag und Kundendaten per Email an den Kunden versendet. Der Kunde klickt auf den Link in der Email und autorisiert die Zahlung mit einem von ihm gewählten Zahlmittel. Somit ist das Risiko einer Rückbelastung deutlich gemindert, da es das Mitwirken des Kunden braucht.
Hier finden Sie die technische Dokumentation für 3D Secure 2.0 für unser 1cs Online Bezahlsystem.
Das Sicherheitsverfahren 3D Secure, welches schon sehr lang durch VISA und mastercard bei Kreditkartenzahlungen als zusätzliche Kundenauthentifizierung zum Einsatz kommt, wurde im Zuge der Einführung der europäischen PSD2 Richtlinie aktualisiert, modernisiert und umfangreich verbessert. Das Verfahren ist auch als VISA Secure oder Mastercard Identity Check™ bekannt.
Mit der Erweiterung des 3D Secure Verfahrens wird die Authentifizierung des Karteninhabers bei einer Kreditkartenzahlung im Internet verstärkt, um diesen noch besser vor Betrug zu schützen. In Zukunft müssen Kunden sich mithilfe zweier Merkmale aus den Bereichen Inhärenz, Besitz und Wissen identifizieren.
Zu dem Bereich Besitz zählt zum Beispiel das Smartphone. Wissen kann ein Passwort oder eine PIN sein und Inhärenz beinhaltet beispielsweise biometrische Merkmale, wie den Fingerabdruck oder den Gesichtsscan.
Einige Banken werden zum Beispiel eine Bestätigung über eine separate Sicherheits-App mit Authentifizierung durch ein biometrisches Merkmal beim Öffnen umsetzen.
Auf jeden Fall ist eine starke Kundenauthentifizierung Pflicht. Bei Kreditkartenzahlungen wird diese durch das neue 3D Secure 2 umgesetzt. Sie sollten es also in Ihren Kreditkartenbezahlprozess integrieren.
Die Payment Service Directive 2 ist eine europäische Richtlinie, welche umfangreiche Änderungen und Neuerungen im europäischen Payment Markt mit sich bringt. Sie beinhaltet viele neue Regeln für Banken und Zahlungsdienstleister oder Payment Service Provider (PSP), die den Endkunden effektiver vor Betrug schützen sollen.
Die PSD2 und somit auch die Pflicht zur starken Kundenauthentifizierung – oder auch 2-Faktor-Authentifizierung – tritt offiziell zum 14.09.2019 in Kraft. Zwischenzeitlich hat die deutsche Bankenaufsicht (BaFin) eine Schonfrist bis zum 31.12.2020 erteilt.
Gehen Sie auf jeden Fall auf Ihren PSP zu. Dieser beschäftigt sich mit Sicherheit schon länger mit dem Thema und kann Ihnen sagen, welche Maßnahmen Sie in technischer Sicht noch ergreifen müssen, um die PSD2 richtig umzusetzen. Einen Überblick über diese Maßnahmen finden Sie auch in unserem digitalen Handbuch zu 3D Secure.
Wenn Sie mit einem PSP zusammenarbeiten und deren Lösung zur Abrechnung von Kreditkartenzahlungen nutzen, hat dieser den Hauptteil der Arbeit zu erledigen, da die Weiterleitung zum 3D Secure Verfahren meist durch den PSP realisiert wird.
Nutzen Sie ein Shop Plugin, so kann es durchaus passieren, dass Sie dieses komplett austauschen oder mindestens mit einem Update versehen müssen. Auf jeden Fall sollten Sie ein Plugin verwenden, welches PSD2 compliant ist und 3D Secure in der neuesten Version 2.x unterstützt. Plugins finden Sie in unserem Plugin-Shop.
Haben Sie die Zahlungsart Kreditkarte oder auch nur das 3D Secure Verfahren per API Schnittstelle selbst angebunden, sollten Sie von Ihrem Zahlungsdienstleister möglichst schnell die neuesten technischen Dokumentationen zur Umsetzung der 2-Faktor-Authentifizierung anfordern. Solche finden Sie auch in unserem digitalen Handbuch zu 3D Secure.
Auf Sie als Shop-Anbieter können technische Anpassungen im Bezug auf die neuen zu übertragenden Datenelemente zukommen. Essentiell sind hierfür die Übertragung von Informationen zum Karteninhaber: Name, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Rechnungsadresse, Lieferadresse, Browser-Informationen (je nach Integrationsart) und die IP-Adresse. Je mehr Datenelemente Sie übertragen, desto höher ist die Wahrscheinlichkeit einer Genehmigung der Transaktion durch den Issuer. Sprechen Sie hierzu mit Ihrem PSP, um die notwendigen Datenelemente zu bestimmen. Neue Logos der Kartenorganisationen sowie Hinweise zum Whitelisting können ebenfalls technische Änderungen erfordern.
Sie haben die Möglichkeit, Transaktionen mit der sogenannten Transaction Risk Analysis als risikoarme Transaktionen einstufen zu lassen. Hierzu müssen Sie wiederum eine spezielle Markierung / Flag mit übergeben. Hierdurch wird geprüft, ob die Transaktion tatsächlich ein geringeres Risiko darstellt und somit ohne 3D Secure 2 durchgeführt werden kann.
Die Transaction Risk Analysis greift auf Informationen, wie die Fraud Raten des Issuers und des Acquirers oder auch die Einstufungen von Ihnen als Händler zurück. Natürlich gibt es hier noch weitere Merkmale.
Außerdem können Sie Ihre Kunden bitten, Sie als Händler auf die Whitelist des jeweiligen Issuers setzen zu lassen. Hierdurch muss der betroffene Kunde bei keiner künftigen Transaktion mehr das 3D Secure 2 Verfahren in Ihrem Shop durchlaufen. Ein allgemeines Whitelisting wird nicht vorgenommen.
Die folgende Grafik zeigt die regulatorische Ausnahmen von SCA und die Transaktionen, die von SCA nicht betroffen sind.
Nein. Wenn Sie ausschließlich MoTo-Transaktionen (Mail Order / Telephone Order) akzeptieren, so haben Sie vorerst keine Änderungen vorzunehmen, da diese keiner Pflicht zur 2-Faktor-Authentifizierung unterliegen.
Die Folgezahlung eines Abonnements gilt, laut Richtlinie, ebenfalls als MIT und gilt somit als Ausnahme. Vorschrift ist es jedoch, dass die Ursprungstransaktion bei Abos mit der starken Kundenauthentifizierung abgesichert werden muss, es sei denn das Abo wurde vor dem 14.09.2019 abgeschlossen oder das Abo-Mandat wurde über MoTo eingereicht.
Bei der Unterscheidung zwischen Ursprungs- und Folgetransaktion ist es wichtig, dass die Transaktionen richtig übergeben bzw. technisch gekennzeichnet werden. Hierfür muss ein sogenannter Flag, also eine virtuelle Markierung (auch Trace-ID genannt) genutzt werden. Sprechen Sie auch hierzu Ihren PSP direkt an.
Bei der Nutzung der Zusatzfunktion Paymentlink ist die Umsetzung von SCA sehr einfach, denn das Online Bezahlsystem erfüllt sämtliche Vorgaben. Ruft ein Kunde den Bezahllink auf, wird automatisch das neue 3D Secure-Verfahren angewandt. Allerdings müssen bei der Zahlungserfassung im virtuellen Terminal die vorhandenen Felder vollständig mit den Kundeninformationen ausgefüllt werden. Felder die ausgefüllt sind, bspw. die Adressdaten Ihrer Kunden, werden an die Transaktion angehängt und der Bank Ihres Kunden zur Prüfung zur Verfügung gestellt, was eine Ablehnung unwahrscheinlicher macht.
Achten Sie bitte darauf, dass das Häkchen "Versuche 3-D Secure 2.x für Kreditkarte" stets gesetzt ist.
Jeder Händler, Acquirer, PSP und weiterer Beteiligter muss als 3D Secure 2 Organisation bei den Kartenmarken gemeldet werden. Hierzu können Sie uns gern jederzeit kontaktieren.