Ihr Schutz vor Betrug

mit 3D-Secure

 

Beim Kauf und Verkauf von Waren über das Internet stehen sich Käufer und Verkäufer nicht gegenüber. Sie, als Händler, haben also eingeschränkte Möglichkeiten, zu überprüfen, ob es sich bei dem Besteller auch um den rechtmäßigen Karteninhaber handelt. 3D-Secure stellt die Authentifizierung der Personen auf beiden Seiten sicher und minimiert so das Betrugsrisiko im Fernabsatz wesentlich.

 

 

Laptop mit geschlossenem Vorhängeschloss

 

Warum? - Darum!


Nutzen Sie als Händler 3D-Secure, beispielsweise durch den Einsatz von „Mastercard® Identity Check™“ oder „Visa Secure“ (ehemals "Verified by Visa"), profitieren Sie von einem garantierten  Zahlungseingang und einer Haftungsumkehr im Falle einer Rückbelastung, sodass Sie für diesen Betrag nicht mehr aufkommen müssen.

 

 

 

So funktioniert's!


Der Kunde muss sich für das Verfahren bei seiner Hausbank freischalten lassen und legt eine Authentifizierungsmethode fest. Dies kann beispielsweise eine mTAN per SMS, eine App mit Gesichtsscan oder Fingerabdruck oder eine PIN sein. Bevor die Transaktion im Internet ausgeführt wird, authentifiziert sich der Kunde über sein gewähltes Verfahren und schließt damit weitgehend aus, dass eine fremde Person die Karte einsetzt.

 

Laptop mit offenem Vorhängeschloss

 

 

Starke Kundenauthentifizierung

ab 14.09.2019 Pflicht!
Neuregelung im E-Commerce: Handeln Sie jetzt

 

Mit Inkrafttreten neuer regulatorischer und technischer Standards in der Europäischen Union zum 14. September 2019 (auch genannt: PSD2) müssen grundsätzlich alle Beteililigten, die Zahlungen im Internet ermöglichen, eine starke Kundenauthentifizierung unterstützen. Dies bedeutet, dass gleichzeitig 2 der folgenden 3 Faktoren im E-Commerce unabhängig voneinander angewendet werden müssen, um einen Käufer zu authentifizieren:

 

 

Ihre 6 ToDo's

Was Sie als Händler unternehmen müssen

 

1

Nutzen Sie als Händler 3D-Secure in der neuesten verfügbaren Version (mindestens: 3D-Secure 2.1 bis 2.2), versenden Sie standardmäßig Authentifizierungsanfragen und profitieren Sie somit weiterhin von einem garantierten Zahlungseingang und einer Haftungsumkehr im Falle einer Rückbelastung, so dass Sie für diesen Betrag nicht mehr aufkommen müssen.

 

2

Kontaktieren Sie Ihren Payment Service Provider (PSP), der Ihre Authentifizierungsschnittstelle bzw. Ihr Internet Gateway für Online-Zahlungen betreut.

 

3

Passen Sie in Zusammenarbeit mit Ihrem PSP Ihre Server-Schnittstelle an oder installieren Sie ein neues Plugin für Ihr Online-Shop-Modul um die neue 3D-Secure 2-Anbindung zu unterstützen.

 

4

Stellen Sie in Absprache mit Ihrem PSP sicher, dass Sie zukünftig zusätzliche Datenelemente zur Weitergabe an Ihren PSP unterstützen können (z.B. Liefer- und Rechnungsanschrift, Mailadresse, Mobilfunknummer,...) und passen Sie ggf. Ihre Geschäftsbedingungen unter Berücksichtigung der DGSVO um die Weitergabe umfangreicherer Datensätze an. Eine Übersicht über die neuen Datenelemente finden Sie unten in den FAQ unter dem Punkt zu "technischen Änderungen".

 

5

Sprechen Sie uns an, wenn wir Sie nach erfolgreicher Implementierung bei den Kartenorganisationen wie Mastercard oder VISA als 3D-Secure 2-Händler registrieren lassen können.

 

6

Passen Sie Ihre Website hinsichtlich der neuen PSD2-Anforderungen an. Verwenden Sie zum Beispiel die Logos der relevanten Kartenorganisationen (z.B. „Mastercard® Identity Check™" oder „Visa Secure"). Zum Download klicken Sie oben auf das gewünschte Logo.

 

 

Unnötige Kaufabbrüche

mit etwas Vorbereitung vermeiden!

 

Stellen Sie eine Fallback-Möglichkeit bzw. einen Parallelbetrieb der derzeitigen 3D Secure 1 Version sicher (genauer: Version 1.0.2). Dieses ist wichtig für Kunden, deren kartenausstellende Bank 3D Secure 2 ggf. noch nicht unterstützt.

 

Machen Sie sich mit den Chancen für Händler bei Ausnahmeregelungen der starken Kundenauthentifizierung vertraut:

Drehknopf wird auf Option "White List" gestellt

 

 

Bitten Sie Ihre Kunden darum, Ihren Online-Shop auf eine Positivliste (sog. Whitelist) setzen zu lassen und Sie als Whitelist-Händler bzw. One-Click Partner hinzuzufügen. Dadurch ist die starke Kundenauthentifizierung für die nächsten Einkäufe nicht mehr erforderlich. Nutzen Sie dazu die Gelegenheit der direkten Kundenansprache, z.B. beim Bestellprozess auf Ihrem Online-Shop.

 

 

Achten Sie darauf, dass Transaktionen korrekt gekennzeichnet werden, zum Beispiel sog. Merchant Initiated Transactions (MIT). Solche Transaktionen unterliegen nicht der Pflicht zur starken Kundenauthentifizierung. Lediglich die initiale Zahlung, die durch den Kunden „on-screen“ ausgelöst wurde, auf welche Sie auch bei allen Folgetransaktionen referenzieren sollten.

Mann markiert mit Highlighter etwas
Höhe von Würfelturm mit Wort Risk wird mit Lineal gemessen

 

 

Transaction Risk Analysis (TRA) bietet die Möglichkeit, Transaktionen unter bestimmten Bedingungen als risikoarm zu kennzeichnen und eine Ausnahme-Anfrage zu kreieren. Die Einstufung einer Zahlung als risikoarm erfolgt anhand der durchschnittlichen Betrugsraten des Kartenausstellers und des Acquirers, der die Transaktion abwickelt.

 

 

MoTo-Transaktionen (z.B. Versandhandel- und Telefonbestellungen) sind in sämtlichen Fällen von 3D Secure ausgenommen. Wichtig ist daher, dass diese MoTo-Transaktionen auch weiterhin als solche im technischen Autorisierungsprozess gekennzeichnet werden.

Mann in Arbeitskleidung nimmt Bestellung am Telefon entgegen und gibt diese in Laptop ein
Steinmännchen, dass sich die Waage hält

 

 

Stellen Sie sicher, dass der Betrag der Authentifizierung und der Betrag der Autorisierung möglichst übereinstimmen, um Rückbelastungen zu vermeiden. Dies ist besonders bei wiederkehrenden Transaktionen wie Abonnement-Zahlungen wichtig: Wenn sich der Betrag ändert, ist 3D Secure für jeden neuen Betrag erforderlich.

 

 

Achten Sie auf Konsistenz und Unterscheidbarkeit Ihres Internetauftritts, vor allen Dingen hinsichtlich Ihres Namens bzw. Ihrer Shop-Bezeichnung.

Eine rose Socke zwischen mehreren Grünen

 

 

Frequently Asked Questions

about Strong Customer Authentication!

Was ist 3D-Secure 2?

Das Sicherheitsverfahren 3D-Secure, welches schon sehr lang durch VISA und mastercard bei Kreditkartenzahlungen als zusätzliche Kundenauthentifizierung zum Einsatz kommt, wurde im Zuge der Einführung der europäischen PSD2 Richtlinie aktualisiert, modernisiert und umfangreich verbessert. Das Verfahren ist auch als VISA Secure oder Mastercard Identity Check™ bekannt.

Was ist neu bei 3D-Secure 2?

Mit der Erweiterung des 3D-Secure Verfahrens wird die Authentifizierung des Karteninhabers bei einer Kreditkartenzahlung im Internet verstärkt, um diesen noch besser vor Betrug zu schützen. In Zukunft müssen Kunden sich mithilfe zweier Merkmale aus den Bereichen Inhärenz, Besitz und Wissen identifizieren.

Zu dem Bereich Besitz zählt zum Beispiel das Smartphone. Wissen kann ein Passwort oder eine PIN sein und Inhärenz beinhaltet beispielsweise biometrische Merkmale, wie den Fingerabdruck oder den Gesichtsscan.

Einige Banken werden zum Beispiel eine Bestätigung über eine separate Sicherheits-App mit Authentifizierung durch ein biometrisches Merkmal beim Öffnen umsetzen.

Ist 3D-Secure 2 Pflicht?

Auf jeden Fall ist eine starke Kundenauthentifizierung ab dem Stichtag Pflicht. Bei Kreditkartenzahlungen wird diese durch das neue 3D-Secure 2 umgesetzt. Sie sollten es also in Ihren Kreditkartenbezahlprozess integrieren.

Aktivieren Sie zur Sicherheit auch das derzeitige 3D-Secure 1 (genauer: Version 1.0.2) als Fallback-Option, falls kartenherausgebende Banken den neuen 3D-Secure 2 Standard nicht rechtzeitig unterstützen.

Was ist PSD2?

Die Payment Service Directive 2 ist eine europäische Richtlinie, welche umfangreiche Änderungen und Neuerungen im europäischen Payment Markt mit sich bringt. Sie beinhaltet viele neue Regeln für Banken und Zahlungsdienstleister oder Payment Service Provider (PSP), die den Endkunden effektiver vor Betrug schützen sollen.

Ab wann gilt die neue Richtlinie?

Die PSD2 und somit auch die Pflicht zur starken Kundenauthentifizierung – oder auch 2-Faktor-Authentifizierung – tritt offiziell zum 14.09.2019 in Kraft.

Was passiert, wenn ich zum Stichtag keine starke Kundenauthentifizierung umsetze?

Die kartenherausgebenden Banken, auch Issuer genannt, sind von den europäischen Aufsichtsbehörden dazu angehalten, sämtliche Zahlungen abzulehnen, die ab dem 14.09.19 ohne eine starke Kundenauthentifizierung realisiert werden.

Umfragen unter Issuern haben entsprechende Ablehnungsabsichten bestätigt. Aufgrund dessen empfiehlt es sich auf jeden Fall, das neue Sicherheitsverfahren rechtzeitig umzusetzen.

Wer kann mir dabei helfen, 3D-Secure 2 umzusetzen?

Gehen Sie auf jeden Fall auf Ihren PSP zu. Dieser beschäftigt sich mit Sicherheit schon länger mit dem Thema und kann Ihnen sagen, welche Maßnahmen Sie in technischer Sicht noch ergreifen müssen, um die PSD2 richtig umzusetzen.  

Werde ich technische Änderungen vornehmen müssen?

Ein ganz klares „Vielleicht“. Wenn Sie mit einem PSP zusammenarbeiten und deren Lösung zur Abrechnung von Kreditkartenzahlungen nutzen, hat dieser den Hauptteil der Arbeit zu erledigen, da die Weiterleitung zum 3D-Secure Verfahren meist durch den PSP realisiert wird.

Nutzen Sie ein Shop Plugin, so kann es durchaus passieren, dass Sie dieses komplett austauschen oder mindestens mit einem Update versehen müssen. Auch diese Frage beantwortet Ihnen Ihr PSP.

Haben Sie die Zahlungsart Kreditkarte oder auch nur das 3D-Secure Verfahren per API Schnittstelle selbst angebunden, sollten Sie von Ihrem Zahlungsdienstleister möglichst schnell die neuesten technischen Dokumentationen zur Umsetzung der 2-Faktor-Authentifizierung anfordern.

Auf Sie als Shop-Anbieter können technische Anpassungen im Bezug auf die neuen zu übertragenden Datenelemente zukommen. Sprechen Sie hierzu mit Ihrem PSP, um die notwendigen Datenelemente zu bestimmen. Neue Logos der Kartenorganisationen sowie Hinweise zum Whitelisting können ebenfalls technische Änderungen erfordern.

Gibt es technische Details, die ich zusätzlich beachten muss?

Das neue 3D-Secure 2 Verfahren verlangt die Übergabe von deutlich mehr transaktionsbezogenen Informationen und Daten. Diese Übergabe wird in den meisten Fällen durch Ihren PSP geregelt, doch sollten Sie trotzdem darauf achten, diese Informationen auch Ihrem Zahlungsdienstleister zur Verfügung zu stellen.

Warum muss ich als Händler so viele neue Datenelemente bereitstellen?

Eine höhere Conversion durch unterbrechungsfreie Zahlungen kann durch risikobasierte Analysen unterstützt werden. Für diese sind nämlich Ausnahmen möglich (siehe auch: Transaktionsrisikoanalyse - TRA) mit dem Vorteil, dass Transaktionen mit geringem Betrugsrisiko im Hintergrund ohne unnötige Beteiligung des Karteninhabers autorisiert werden können. Dieses Verfahren wird auch risikobasierte Authentifizierung (RBA) genannt.

Damit dies funktionieren kann, bedarf es der Übertragung von mehr Datenelementen, da RBA-Systeme Informationen wie Geräteinformationen, Händlerdaten und Verhaltensmuster nutzen um das Risiko einer Transaktion zu bestimmen. Hier kommen Sie als Händler ins Spiel: Sprechen Sie auch hinsichtlich der neu zu unterstützenden Datenelemente mit Ihrem PSP.

Eine Übersicht über die neuen Datenelemente stellen wir Ihnen hier zur Verfügung und empfehlen dringend, die Übertragung der fett gekennzeichneten Datenelemente mit höchster Priorität anzugehen.

Gibt es weiter Ausnahmen vom 3D-Secure 2 Verfahren?

Sie haben die Möglichkeit, Transaktionen mit der sogenannten Transaction Risk Analysis als risikoarme Transaktionen einstufen zu lassen. Hierzu müssen Sie wiederum eine spezielle Markierung / Flag mit übergeben. Hierdurch wird geprüft, ob die Transaktion tatsächlich ein geringeres Risiko darstellt und somit ohne 3D-Secure 2 durchgeführt werden kann.

Die Transaction Risk Analysis greift auf Informationen, wie die Fraud Raten des Issuers und des Acquirers oder auch die Einstufungen von Ihnen als Händler zurück. Natürlich gibt es hier noch weitere Merkmale.

Außerdem können Sie Ihre Kunden bitten, Sie als Händler auf die Whitelist des jeweiligen Issuers setzen zu lassen. Hierdurch muss der betroffene Kunde bei keiner künftigen Transaktion mehr das 3D-Secure 2 Verfahren in Ihrem Shop durchlaufen. Ein allgemeines Whitelisting wird nicht vorgenommen.

 

Die folgende Grafik zeigt die regulatorische Ausnahmen von SCA und die Transaktionen, die von SCA nicht betroffen sind.

Grafik zur Veranschaulichung der Ausnahmen und nicht betroffenen Transaktionen von SCA
Sind MoTo-Transaktionen hiervon auch betroffen?

Nein. Wenn Sie ausschließlich MoTo-Transaktionen (Mail Order / Telephone Order) akzeptieren, so haben Sie vorerst keine Änderungen vorzunehmen, da diese keiner Pflicht zur 2-Faktor-Authentifizierung unterliegen.

Wie steht es mit Abonnements?

Die Folgezahlung eines Abonnements gilt, laut Richtlinie, ebenfalls als MIT und gilt somit als Ausnahme. Vorschrift ist es jedoch, dass die Ursprungstransaktion bei Abos mit der starken Kundenauthentifizierung abgesichert werden muss, es sei denn das Abo wurde vor dem 14.09.2019 abgeschlossen oder das Abo-Mandat wurde über MoTo eingereicht.

Bei der Unterscheidung zwischen Ursprungs- und Folgetransaktion ist es wichtig, dass die Transaktionen richtig übergeben bzw. technisch gekennzeichnet werden. Hierfür muss ein sogenannter Flag, also eine virtuelle Markierung genutzt werden. Sprechen Sie auch hierzu Ihren PSP direkt an.

Was passiert mit Vorautorisierungen?

Eine Autorisierung mit in der Zukunft liegender Zahlung ist natürlich weiterhin möglich. Hierbei müssen Sie jedoch bei der Autorisierung darauf achten, dass die 2-Faktor-Authentifizierung durchgeführt wird. Zudem sollte der Betrag bei der abschließenden Buchung nach Möglichkeit mit dem ursprünglich über 3D-Secure authentifizierten Betrag übereinstimmen. In Fällen, bei denen der finale Betrag noch nicht feststeht (z.B. Autovermietung), wird eine 3D-Secure Authentifizierungsanfrage über den zu erwarteten Betrag empfohlen. Die Abweichung sollte aber in jedem Fall nicht mehr als 20% betragen. Sonst muss die starke Kundenauthentifizierung erneut durchlaufen werden.

Sie nutzen den 1cs Paymentlink, was müssen Sie beachten?

Bei der Nutzung der Zusatzfunktion Paymentlink ist die Einführung von SCA sehr einfach, denn das Online Bezahlsystem übernimmt für Sie zum Stichtag automatisch die neuen Anforderungen. Ruft ein Kunde den Bezahllink auf, wird automatisch das neue 3D-Secure-Verfahren angewandt. Allerdings müssen bei der Zahlungserfassung im virtuellen Terminal die vorhandenen Felder vollständig mit den Kundeninformationen ausgefüllt werden. Felder die ausgefüllt sind, bspw. die Adressdaten Ihrer Kunden, werden an die Transaktion angehängt und der Bank Ihres Kunden zur Prüfung zur Verfügung gestellt, was eine Ablehnung unwahrscheinlicher macht.

Was muss mein Kunden tun, um mich auf die Whitelist setzen zu lassen?

Hierzu muss Ihr Kunde einfach seine Hausbank, bzw. kartenherausgebende Bank kontaktieren. Hier gibt er Ihre Firma und wenige weitere Details an und der Issuer ist dann dafür verantwortlich, Sie auf die eigene Whitelist zu setzen.

Daher ist es wichtig, dass Sie über Ihren Händler- bzw. Webshop-Namen eindeutig identifiziert werden können und der Kunde nicht aus Versehen jemand anderen auf die Whitelist setzen lässt. Zudem empfehlen wir, den Kunden beispielsweise direkt über Ihren Webshop anzusprechen und sich so als OneClick- bzw. Whitelist-Partner zu empfehlen.

Wird es ab dem 14.09.2019 nur noch 3D-Secure 2 geben?

Nicht zwingend. Sowohl VISA und Mastercard, als auch die kartenherausgebenden Banken empfehlen eine zweigleisige Strategie. So sollte über die Authentifizierungsschnittstelle grundsätzlich sowohl 3D-Secure 1 als auch 3D-Secure 2 mit der starken Kundenauthentifizierung angebunden sein, um eine Notfallvariante zu haben. 3D-Secure 1 wird frühestens 2020 deaktiviert.

Welchen Vorteil bietet 3D-Secure für mich als Händler?

Das 3D-Secure Verfahren, egal in welcher Version, erzeugt immer eine Haftungsumkehr bei Rückbuchungen. Ein Chargeback ist zum Beispiel bei einer verifizierten 3D-Secure Transaktion nur in ganz bestimmten Fällen möglich.

So wie sich die PIN im stationären Bereich als Sicherheitsstandard etabliert hat, reduziert 3D-Secure Ihre Betrugs- und Chargeback Quote enorm und gibt Ihnen mehr Sicherheit für die Zahlungsart Kreditkarte im Internet.

Muss ich mit meinem Acquirer ebenfalls Kontakt aufnehmen?

Jeder Händler, Acquirer, PSP und weiterer Beteiligter muss als 3D-Secure 2 Organisation bei den Kartenmarken gemeldet werden. Hierzu können Sie uns gern jederzeit kontaktieren.

Tritt 3D-Secure 2 mit der DSGVO in Konflikt?

Auch hier ein ganz klares „Vielleicht“. Dies wird aktuell durch die Aufsichtsbehörden in Zusammenarbeit mit allen Beteiligten geprüft. Hier kann es noch einmal zu Änderungen kommen. Hierzu halten Ihr PSP oder auch wir Sie natürlich auf dem Laufenden.

Beachten Sie hierzu die neuen Datenelemente wie im Punkt "technische Änderungen" erwähnt.