Reibungslose Zahlungen durch PSD2, SCA, 3D-Secure 2 – wir sind bereit für die neuen Regulierungsmaßnahmen

05.09.2019 | Expertise

3DS2 Compliance achieved

Auch wenn die EBA (European Banking Authority) den Regulierungsbehörden der einzelnen europäischen Ländern eine längere Übergangsfrist eingeräumt hat, die Payment Services Directive (PSD) der EU wird in Kürze (Ursprungsdatum: 14. September 2019) durch die PSD2 abgelöst und für eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA) bei digitalen Kartentransaktionen (Kreditkarten und Debitkarten) in Europa sorgen. In unserem Blogbeitrag möchten wir Ihnen skizzieren, was das für das Payment Ecosystem und im weiteren Sinne für uns und unsere Kunden und Partner bedeutet.

SCA: Neue User-Experience durch reibungslose Authentifizierung für noch sichereres Einkaufen im Internet

Online Shopping wächst weltweit rasant – Bezahlen über diverse Devices, im Browser, via App & co. ist mitlerweile in vielen Region der Welt zum Alltag geworden. Dabei muss die Transaktion sicher, schnell und reibungslos abgewickelt werden. Der steigende Wachstum von digital Commerce sorgte in der Vergangenheit auch dafür, dass Fraud-Aktivitäten stiegen. Darum wurde PSD2, die überarbeitete Zahlungsdienstrichtlinie der EU, entwickelt, um europaweit sicherere und transparentere Online-Zahlungen zu gewährleisten – nahtlos, effektiv und benutzerfreundlich.

Im Rahmen der PSD2 benötigt der neue SCA-Check (Strong Customer Authentication)  mindestens zwei von folgenden drei Authentifizierungsfaktoren (Two-Factor Authentication), um eine Transaktion durchzuführen:

  • Etwas, das der Karteninhaber weiß wird abgefragt – zum Beispiel ein PIN oder ein Passwort
  • Etwas, das der Karteninhaber besitzt – zum Beispiel ein Token oder ein benutzerspezifisches Gerät 
  • Etwas, das den Karteninhaber unverwechselbar macht – zum Beispiel Fingerprint oder Gesichtserkennung

Herausforderungen im Payment Ecosystem

Durch die von der PSD2 eingeführten SCA wird der Online Zahlungsverkehr noch stärker vor Betrug geschützt (Fraud Prevention). Dafür müssen sowohl die Bank des Karteninhabers als auch der Zahlungsdienstleister des Händlers in Europa ansässig sein. Durch die SCA wird während des Online Einkaufs die Identität des Kunden ermittelt und die Authentifizierung basierend auf der Existenz von zwei Faktoren durchgeführt. Im Bereich von Kartenzahlungen wurde dafür der 3D-Secure 2 (3DS2) Standard eingeführt, der je nach Karten-Brand Sicherheitsüberprüfungen wie “Visa Secure" (vormals "Verified by Visa"), “Mastercard Identity Check” oder “American Express SafeKey” erfordert. Transaktionen, die den neuen Authentifizierungsrichtlinien nicht entsprechen, können von den Kartenaustellenden Banken (Issuer) der Kunden abgelehnt werden. Die Weitergabe von den bereitgestellten Informationen aus den vordefinierten Datenfeldern ermöglicht ein real-time Transaction Monitoring und Risk Analysis beim Acquirer. 

Marco Dania, Lead Software Engineer IXOPAY: “Das 3DS2 Protokoll ist eine neue Systemlandschaft, wobei die eigentliche Authentifizierung auf Issuer Seite passiert. Hier müssen wir dem Issuer essentielle Informationen über definierte Datenfelder (z.B. über Browsersprache, Cardholder Info, wie lang der User schon registriert ist, wann das letzte Passwort Update war, ob die Shipping Adresse bereits verwendet wurde, etc.) mitteilen, die ihm dabei helfen, eine Entscheidung zu fällen, ob ein SCA durchgeführt werden muss oder nicht. Für 3D-Secure 2 heißt das dann entweder “Frictionless Flow” – keine weitere Authentifizierung notwendig, oder eben “Challenge Flow” – der Karteninhaber muss sich mittels SCA näher identifizieren. Unsere API stellt all jene Datenelemente zur Verfügung, die vom Acquirer/PSP benötigt werden, um die 3D-Secure Authentifizierung durchzuführen. IXOPAY hat einen 3D-Secure 2 Server von Netcetera implementiert, einem weltweit führenden Unternehmen für 3D-Secure Software, über den der Prozess initiiert und abgewickelt wird.”

“IXOPAY kann auf unsere zertifizierten 3D-Secure Produkte zählen. Das heißt wir garantieren unsere Produkte immer auf dem neuesten Technologiestand zu halten, daher auch eines der führenden Unternehmen im Sinne der Schemes Zertifizierungen zu sein und können IXOPAY dadurch ermöglichen, rasch auf neue Marktanforderungen zu reagieren.”
Martin Zeisel
Head of Sales Digital Finance CEE&SEE von Netcetera

SCA-Ausnahmen

Im Fokus dieser neuen EU Richtlinie stehen “Seamless & Safe Payments” für Transaktionen, die über Karten erfolgen (z.B. via VISA, Mastercard, etc.). Ausgenommen sind u.a. Transaktionen unter 30 Euro, wiederkehrende Transaktionen (z.B. bei Mitgliedschaften), MoTo Transaktionen (Zahlungen die über Mail oder Telefon Order erfolgen) oder Zahlungen bei denen Acquirer der Karte oder der Issuer nicht in Europa ansässig sind. 

”3D-Secure 2 stellt Merchants betreffend der Datenübergabe vor große Herausforderungen, um einen reibungslosen Checkout zu ermöglichen. Wir sind stolz, nach spannenden Monaten der Integration und intensiven Abstimmungsprozessen mit den Card Schemes wie VISA und Mastercard, die Umstellung für unsere Händler so einfach wie möglich gehalten zu haben. Diese Lösung erlaubt es unseren Kunden Acquirer-unabhängig Transaktionen via 3DS abzusichern”, so Marco Dania, Lead Software Engineer IXOPAY.

Was ist der Unterschied zwischen 3DS1 und 3DS2?

Das Einkaufserlebnis bei 3DS1 wurde sehr starr gehalten. Jeder Kunde musste den Authentifizierungs-Prozess durch Weiterleitung zu einer Sicherheitsmaske in einem neuen Browserfenster bzw. iFrame durchlaufen. Noch dazu waren diese Formulare nicht an die Gegebenheiten moderner Web-Applikationen bzw. Web-Shops angepasst. Mit 3DS2 wird einerseits die Möglichkeit eines “Frictionless-Flows” geschaffen (das heißt keine Weiterleitung erforderlich), andererseits das Sicherheitsformular für den Händler besser steuerbar gemacht. So kann zum Beispiel die gewünschte Größe des iFrames definiert werden, oder für Mobile Apps ein eigenes 3D-Secure SDK eingebunden werden. Dies ermöglicht eine nahtlose Integration in die native App des Händlers. Eine höhere Conversion Rate und stärkerer Schutz vor Betrug und Fraud wird somit gewährleistet

Fazit

Mit der neuen EU Regelung soll Issuers und Merchants geholfen werden, gute Transaktionen von schlechten zu unterscheiden, und gleichzeitig Kunden ein angenehmes und schnelles Online Shopping Erlebnis zu bieten. Am 14.09.2019 tritt die SCA-Anforderung unter PSD2 in Europa in Kraft. Nach derzeitigem Stand sind jedoch viele Issuer und Acquirer noch nicht für den neuen Standard gerüstet. Die Karten-Schemes haben daher bereits angekündigt in vielen Regionen zumindest bis Anfang 2020 auch noch 3D-Secure 1 Authentifizierung zuzulassen, bzw. die Issuer angewiesen Transaktionen aufgrund dieser Tatsache nicht abzulehnen. Die User Identifikation soll bei erhöhtem Schutzfaktor schnelle und bequeme eCommerce Zahlungen ermöglichen – Tatsachen, die für Endkonsumenten essentiell sind, und die gleichzeitig Conversion Rates von Merchants hoch halten. IXOPAY bietet ab sofort allen seinen Kunden und Partner eine starke Kundenauthentifizierung / Strong Customer Authentication in Form von 3D-Secure 2 an. 

Hier finden Sie IXOPAY auf den bereitgestellten 3D-Secure Vendor Listen von Visa and Mastercard!

Noch Fragen?

Schreiben Sie uns eine Nachricht und vereinbaren Sie einen Termin!

Kontakt

Das könnte Sie auch interessieren: