3D Secure 2.1
3D Secure 2.1
Infos für Onlinehändler
Das neue Sicherheitsprotokoll EMV 3D Secure 2.1 und wie Sie es in Ihren Shop integrieren
Wichtige Information!
Am 14. September 2019 ist im Rahmen der PSD2 die Erfordernis zur starken Kundenauthentifizierung für das Bezahlen mit Kredtikarte im Onlinehandel in Kraft getreten.
Zwar duldet die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bis maximal 31. Dezember 2020, wenn E-Commerce-Händler die erforderlichen Anpassungen zur starken Kundenauthentifizierung noch nicht vorgenommen haben (sehen Sie dazu auch die BaFin-Pressemitteilung vom 17. Oktober 2019). Dennoch sollten Sie als Händler so bald wie möglich die Anpassungen vornehmen, sofern noch nicht geschehen. Denn die Vorteile des mit 3DS 2 optimierten Transaktionsvorgangs liegen auf der Hand: Der Authentifizierungsvorgang wird erleichtert, das Einkaufen komfortabler und die Sicherheit für den Verbraucher erhöht. Für Sie als Onlinehändler bedeutet das: mehr Umsatzchancen durch geringere Abbruchraten im Kaufprozess, einen höheren Schutz vor Missbrauch sowie eine Verbesserung der Genehmigungsraten insgesamt.
EMV 3D Secure 2.1
Schnell erklärt
Auch wenn die BaFin eine Übergangsfrist für die Umsetzung der gesetzlichen Anforderungen zur starken Kundenauthentifizierung (gemäß PSD2) beim Bezahlen mit Kreditkarte gewährt, trat diese am 14. September 2019 in Kraft.
Die starke Kundenauthentifizierung betrifft auch Sie als Onlinehändler, denn es gibt ein neues Sicherheitsprotokoll. Aus 3D Secure wird EMV 3D Secure 2.1 (kurz EMV 3DS). In dieser Infothek erfahren Sie, wie Sie in Ihrem Onlineshop 3D Secure 2.1 einführen. Außerdem erfahren Sie mehr über die Hintergründe und wie die starke Kundenauthentifizierung genau funktioniert.
Mastercard und Visa haben das Sicherheitsprotokoll EMV 3D Secure 2.1 (EMV 3DS) entwickelt. Es beinhaltet zusätzliche Sicherheitsmechanismen wie Biometrie. So schützt EMV 3DS Sie als Onlinehändler besser vor Betrugsversuchen und reduziert durch eine bessere Integration innerhalb von Apps Kaufabbrüche auf ein Minimum.
Mehr über EMV 3DS erfahren Sie hier.
Alle wichtigen Informationen zur Umstellung finden Sie hier in einem Flyer zusammengefasst.
So integrieren Sie das neue Sicherheitsprotokoll in Ihren Onlineshop
1. Präsentieren Sie die neuen Logos
Aus ”Mastercard Secure Code” wurde bereits „Mastercard Identitiy Check“ und aus „Verified by Visa“ wurde “Visa Secure”. Das sind die neuen Markennamen, unter denen die Kunden das Authentifizierungsverfahren EMV 3D Secure 2.1 kennen werden.
Schritt 1 ist die Aufnahme des Mastercard Identity Check-Logos und Visa Secure Programmlogos, die Sie hier zum Download finden.
2. Passen Sie Ihre Schnittstelle an
Was Sie im Einzelnen tun müssen, um das neue Sicherheitsprotokoll in Ihren Shop einzubinden, hängt davon ab, welche Lösung Sie nutzen.
Bei COPY+PAY und Server-to-Server müssen Sie die Schnittstellen anpassen. Nutzen Sie ein Online-Shop-Modul, ist die Installation eines neuen Plugins notwendig. Denn zukünftig werden in der Kommunikation zwischen Händler und Kartenherausgeber mehr Informationen über die Transaktion in der Schnittstelle im EMV 3D-Secure-System benötigt. Diese Informationen werden von Ihnen zum Teil noch nicht über die aktuelle Schnittstelle mitgeliefert.
Lesen Sie hier mehr zu den verschiedenen Integrationsbeschreibungen für Kreditkartenzahlungen über das VR pay Internet Gateway. Wenn Sie die Integration über unsere Online-Shop-Module vorgenommen haben, finden Sie hier die aktualisierten Module.
Wenn Sie für die Verarbeitung von Kreditkartenzahlungen einen anderen Dienstleister als die VR Payment nutzen, wenden Sie sich bitte an Ihren Payment Service Provider. Dieser kann Ihnen sagen, welche Anpassungen zur Implementierung von EMV 3DS erforderlich sind.
3. Aktualisieren Sie Ihre Datenschutzhinweise
Stellen Sie sicher, dass Ihre Vertragsbedingungen die Erhebung und Weitergabe von Kundendaten entsprechend der Datenschutzgrundverordnung (DSGVO) erlauben. Nutzen Sie die Chancen, die sich mit der Umstellung auf EMV 3DS 2.1 für Sie und Ihre Kunden ergeben und nehmen Sie die Anpassungen zeitnah vor. Denn mit dem neuen Verfahren steigern Sie die Nutzererfahrung beim Onlineshopping und reduzieren Kaufabbrüche, steigern Umsatz und Gewinn.
Wir sind für Sie da!
Als Payment Experte kennen wir die Herausforderungen im Markt in Verbindung mit den neuen Anforderungen zur starken Kundenauthentifizierung. Mit unserer Erfahrung und unserem Wissen tun wir alles dafür, dass die Umstellung für Sie so einfach wie möglich wird. Mit uns haben Sie einen starken Partner an Ihrer Seite, der Sie auf Ihre Umstellung bestens vorbereitet und begleitet.
Hintergrund: Aus 3D Secure wird EMV 3D Secure 2.1
Starke Kundenauthentifizierung
Für die Umsetzung der gesetzlichen Anforderungen zur starken Kundenauthentifizierung (gemäß PSD2) beim Bezahlen mit Kreditkarte haben Mastercard und Visa das Sicherheitsprotokoll EMV 3D Secure 2.1 (EMV 3DS) als neuen Standard entwickelt.
Nach der PSD2 ist eine Kundenauthentifizierung dann stark, wenn mindestens zwei Faktoren zur Authentifizierung genutzt werden. Darüber hinaus müssen die gewählten Faktoren aus unterschiedlichen Kategorien stammen und unabhängig voneinander sein, um höchstmögliche Sicherheit zu erreichen.
Die drei Faktorenkategorien auf einen Blick
Die Kombination der Zwei-Faktorauthentifizierung obliegt dem Kartenherausgeber und kann beispielsweise wie folgt aussehen:
Beispiel 1 für eine starke Authentifizierung: Einmalpasswort und Wissensfrage
Der Nutzer kann ein Einmalpasswort, dass er per SMS erhält mit einer persönlichen Wissensfrage kombinieren. Das Einmalpasswort steht für den ersten Faktor und gilt als „Besitz“. Die persönliche Frage steht für den zweiten Faktor und gilt als „Wissen“.
Beispiel 2 für eine starke Authentifizierung: Wissensfrage und Fingerscan
Denkbar wäre auch statt dem Einmalpasswort ein Fingerscan über die Banking-App auf seinem Smartphone mit einer persönlichen Wissensfrage zu kombinieren. Der Fingerabdruck steht dann für den zweiten Faktor und gilt als „Inhärenz“. Der Karteninhaber kann aber auch „Etwas, das er besitzt“, wie z. B. das Smartphone, mit „Etwas von ihm persönlich“, etwa einem Gesichtsscan, verknüpfen.
Das neue Verfahren
EMV 3D Secure bei Mastercard und Visa
Aus ”Mastercard Secure Code” wurde bereits „Mastercard Identitiy Check“ und aus „Verified by Visa“ wird “Visa Secure”. Das sind die neuen Markennamen, unter denen die Kunden das Authentifizierungsverfahren EMV 3D Secure 2.0 kennen werden.
Gut zu wissen
Die Ausnahmen von der starken Kundenauthentifizierung
Es gibt eine Reihe von Ausnahmen für die starke Kundenauthentifizierung, die bei der Transaktionsverarbeitung unter bestimmten Voraussetzungen angewendet werden können:
Zahlungen bis 30 Euro
E-Commerce Transaktionen bis zu 30 Euro können bis zur fünften aufeinanderfolgenden Transaktion oder solange der kumulative Betrag von 100 Euro nicht überschritten wird, von der starken Kundenauthentifizierung ausgenommen werden.
Zahlungen mit geringem Risiko
Auch Transaktionen mit geringem Risiko bis zu einem Betrag von 500 Euro können von der starken Kundenauthentifizierung ausgenommen werden. Der maximal erlaubte Betrag der Zahlung richtet sich nach der durchschnittlichen Brutto-Betrugsrate des Kartenherausgebers und des Acquirers, der die Transaktion abwickelt.
Abonnements oder wiederkehrende Transaktionen
Abonnements, bei denen der Händler die Transaktion ohne das Beisein des Käufers tätigt oder wiederkehrende Transaktionen mit gleichem Betrag und Zahlungsempfänger sind ab der zweiten Transaktion von einer starken Kundenauthentifizierung ausgenommen bzw. können von der starken Kundenauthentifizierung ausgenommen werden.
Whitelisting
Kunden können bei ihrer Bank Händler einer Whitelist von „Vertrauenswürdigen Empfängern“ zuordnen. Transaktionen bei diesen Whitelist-Händlern können dann von einer starken Kundenauthentifizierung ausgenommen werden. So können Kunden, die regelmäßig bei einem bestimmten Händler einkaufen, die starke Kundenauthentifizierung vermeiden, sofern die Bank des Kunden das Whitelisting zulässt.
Wichtig ist, dass für die Anwendung der Ausnahmen bestimmte Voraussetzungen erfüllt sein müssen, u. a. dass Sie die Anpassungen an Ihrer Schnittstelle vorgenommen haben. Die Umsetzungs¬möglichkeiten liegen vor allem beim Kartenherausgeber, denn er trifft letztlich immer die finale Entscheidung über die Durchführung einer Transaktion.