Jetzt umgehend handeln

Die starke Kundenauthetifizierung und was diese für ihr Geschäft bedeutet

Die zweite EU-Zahlungsdiensterichtlinie (PSD2) führt neue verbindliche Anforderungen für die Authentifizierung von E-Commerce-Transaktionen ein, die als starke Kundenauthentifizierung (Strong Customer Authentication, SCA) bezeichnet werden. 

Ab dem 1. Januar 2021 muss SCA für alle E-Commerce-Transaktionen angewendet werden, es sei denn, es gilt eine Ausnahme oder ein Ausschluss (“Out-of-Scope”). Ausnahmen erfordern kein SCA und ermöglichen eine reibungslose Zahlungserfahrung (“frictionless flow”), die für Transaktionen mit geringem Risiko genutzt werden kann.

Was ist starke Kundenauthentifizierung?

SCA wurde entwickelt, um Online-Betrug zu reduzieren und Online-Zahlungen sicherer zu machen. SCA verlangt von der Zahlungsindustrie, zusätzliche Sicherheitsmaßnahmen einzuführen, indem sie eine zusätzliche Authentifizierung in den E-Commerce-Bezahlprozess integriert. SCA wird dazu beitragen, dass Kartenherausgeber nur Transaktionen von echten Karteninhabern autorisieren, indem sie Daten aus mindestens zwei der folgenden drei Kategorien verwenden:

Wissen

Etwas, das nur der Kunde weiß, z.B. eine PIN, ein Passwort, ein einmaliger Passcode, der an den Karteninhaber geschickt wird.

Besitz

Etwas, das nur der Kunde besitzt, z.B. eine Karte/Smartcard, ein Mobiltelefon/Smartphone mit einer Banking-App.

Inhärenz

Etwas, das nur der Kunde ist, z.B. Biometrie wie ein Fingerabdruck, Iris-Scan, Stimm- oder Gesichtserkennung.

Welche spezifischen Änderungen/Aktionen muss ich (als Händler) vornehmen?

Um die erforderlichen Änderungen an Ihrer E-Commerce-Lösung vorzunehmen, beachten Sie bitte die folgenden Hinweise

Wenn Sie Kartentransaktionen über unser Gateway EVO E-PAY einreichen

  • und noch kein 3-D Secure verwenden, so informieren Sie uns per E-Mail an support.emea@evopayments.com über die gewünschte Aktivierung von 3DS 1.0 und geben Sie die EVO VN-Nummer Ihres Vertrages sowie die Mandantennummer an. Die Aktivierung erfolgt dann kurzfristig und für Sie kostenfrei. Alle übrigen Konditionen bleiben unverändert bestehen.
  • und Sie ein Shop-Plugin einsetzen, muss dieses aktualisiert werden. Details dazu erhalten Sie bei ihrem Plugin-Anbieter. Mit einem bestehenden Wartungsvertrag entstehen Ihnen für eine Aktualisierung in der Regel keine weiteren Kosten.
  • und Sie direkt an unser Gateway EVO E-PAY anschlossen sind, so erhalten Sie die technische Referenz zur Aktualisierung auf 3-D Secure 2.x zur Übergabe weiterer Datenelemente für eine verbesserte Transaktionsrisikoanalyse von ihrem Implementation Manager.

​​​​​​​Wenn Sie mit einem anderen Zahlungsdienstleister (PSP) zusammenarbeiten

  • und noch kein 3-D Secure verwenden, setzen Sie sich bitte zunächst mit ihrem Zahlungsdienstleister (PSP) in Verbindung mit der Bitte, 3DS 1.0 zu aktivieren. Parallel dazu müssen wir (EVO) Sie mit dem neuen Standard bei den Kreditkartenorganisationen anmelden und in unseren Systemen aktivieren. Bitte informieren Sie uns per E-Mail an support.emea@evopayments.com über die gewünschte Aktivierung von 3DS 1.0 und geben Sie die EVO VN-Nummer Ihres Vertrages sowie die Mandantennummer an. Die Aktivierung erfolgt dann kurzfristig und für Sie kostenfrei. Alle übrigen Konditionen bleiben unverändert bestehen.
  • wenden Sie sich bitte an ihren Zahlungsdienstleister (PSP), um Einzelheiten zu den Änderungen zu erhalten, die Sie zur Unterstützung von 3DS2 vornehmen müssen.

Im Zweifelsfall

Was wird passieren, wenn die Händler die Änderungen zur Unterstützung des SCA nicht bis zum 1. Januar 2021 vornehmen?

Wenn Sie nicht die erforderlichen Änderungen zur Unterstützung von SCA vornehmen, werden Ihre E-Commerce Kartentransaktionen von den kartenausgebenden Bank (Issuer) abgelehnt.

Sicherheitsstandard EMV® 3-D Secure

EMV® 3-D Secure (auch bekannt als 3-D Secure 2.x oder 3DS2) ist der Nachfolger von 3-D Secure 1.0 (auch bekannt als 3DS1). Obwohl 3DS1 mit der PSD2 SCA-Anforderung konform ist, wurde 3DS2 eingeführt, um die Karteninhaber-Authentifizierung zu verbessern und die Sicherheit durch die Verwendung verbesserter Daten zu erhöhen, die Nutzung von Ausnahmeregelungen zu ermöglichen und das Kundenerlebnis zu verbessern, unabhängig vom Zahlungsgerätetyp/Zahlungskanal:

3-D Secure 1.0 (Verified by Visa, Mastercard SecureCode) 3-D Secure 2.x (Visa Secure, Mastercard Identity Check)
PSD2 konform
Nahtloser Übergang von Shop zu Authentifizierung Eingeschränkt
Optimierte Authentifizierung Eingeschränkt Einmalpasswort, Fingerabdruck oder biometrische Daten
Erweiterte Daten Eingeschränkt Zehnmal mehr als bei 3DS1
Haftungsumkehr

Wenn die Authentifizierung des Karteninhaber mit 3-D Secure durchgeführt wird, sind Händler in der Regel gegen betrugsbedingte Chargebacks im E-Commerce geschützt und die Haftung verlagert sich vom Händler/Acquirer auf den Kartenherausgeber. Wenn Händler/Acquirer jedoch bei der Verwendung von 3DS2 eine Ausnahme für die Transaktion anwenden, verlagert sich die Haftung vom Kartenherausgeber auf den Händler.

Das folgende Diagramm zeigt die Händler- und Issuer-Optionen und die jeweilige Haftung:
 

Bitte beachten: 3DS schützt nur vor Chargebacks im Zusammenhang mit Betrug. Gegen Chargebacks aufgrund von bspw. „Ware entspricht nicht der Beschreibung im Shop des Händlers oder ist defect” oder “Der Karteninhaber hat die Ware/Leistung/Gutschrift nicht erhalten“ sichert 3DS nicht ab.

Schematischer Prozess von 3-D Secure 2.x
Übersicht der Ausnahmen

Beschreibung:
Für elektronische Transaktionen bis einschließlich 30 EUR ist SCA für bis zu fünf aufeinander folgenden Transaktionen oder einem kumulierten Betrag von 100 EUR nicht erforderlich.

Welcher Handlungsbedarf besteht für den Händler?
Je nach Art des E-Commerce-Produkts und der Integrationsmethode müssen Händler möglicherweise Änderungen vornehmen (dies wird später im Dokument erläutert). Nur der Issuer kann bestimmen, wann der Transaktionszähler oder das kumulative Limit erreicht ist, und (falls ja) eine Authentifizierung verlangen. 
 

Beschreibung:
Die TRA-Ausnahme erlaubt es, bestimmte elektronische Transaktionen von der SCA auszunehmen, sofern eine Echtzeit-Risikoanalyse durchgeführt wird und der Acquirer/ Issuer bestimmte Betrugsschwellenwerte unterschreitet. Sie wird daher auch als Ausnahme für Transaktionen mit "geringem Risiko" bezeichnet. Die TRA ist der Schlüssel für reibungslose Zahlungsabläufe bei Transaktionen mit geringem Risiko. Sowohl Issueren als auch Acquirer können die TRA-Ausnahme anwenden, solange sie bestimmte Voraussetzungen erfüllen, einschließlich der Erreichung von Betrugsraten innerhalb der spezifischen Betrugsschwellenwerte für Kartenzahlungen, die in der nachstehenden Tabelle aufgeführt sind:

Transaktionswertband PSP-Betrugsrate
< €100 13 Basispunkte / 0,13 %
€100 - €250 6 Basispunkte / 0,06 %
€250 - €500 1 Basispunkt / 0,01 %

 

Welcher Handlungsbedarf besteht für den Händler?
Diese Ausnahme hängt stark von den Daten ab, die für eine Transaktion zur Verfügung gestellt werden, so dass der Issuer / Acquirer das Risiko einer Transaktion richtig einschätzen kann. Es wird daher dringend empfohlen, alle Informationen zu einer Transaktion sowie den Karteninhaber anzugeben. Welche Informationen Sie als Händler oder Ihr PSP zur Verfügung stellen müssen, hängt von Ihrer Integrationsmethode ab. Dies wird in dem entsprechenden Dokumentation von EVO oder Ihrem 3rd-Party-Gateway erklärt. Für die Acquirerseite plant EVO, diese Art der Ausnahme in naher Zukunft anzubieten. 

Beschreibung:
Anwendbar, wenn der Kunde eine Reihe von wiederkehrenden Zahlungen für den gleichen Betrag an dasselbe Unternehmen leistet. SCA ist für die erste Zahlung des Kunden erforderlich - nachfolgende Gebühren können jedoch von SCA befreit werden.

Hinweis: Visa betrachtet wiederkehrende Zahlungen nicht als Befreiung, da sie Teil ihres MIT-Netzes sind und daher ihrer Meinung nach nicht in den Geltungsbereich von SCA fallen. Die Transaktionen müssen gemäß den Angaben Ihres PSP als wiederkehrende Transaktion gekennzeichnet sein, um für einen Befreiungsantrag in Frage zu kommen. Sie müssen auch die Trace-ID der ersten Zahlung angeben.

Welcher Handlungsbedarf besteht für den Händler?
Die Transaktionen müssen gemäß den Angaben Ihres PSP als wiederkehrende Transaktion gekennzeichnet sein, um für einen Befreiungsantrag in Frage zu kommen. Sie müssen auch die Trace-ID der ersten Zahlung angeben.

 

Beschreibung:
Karteninhaber können einen Händler zu einer Liste von White-List/Vertrauensbegünstigten hinzufügen, die von ihrem Kartenherausgeber geführt wird. Spätere Zahlungen an solche Händler erfordern keine SCA. 

Welcher Handlungsbedarf besteht für den Händler?
Hierbei handelt es sich in erster Linie um eine Issuerausnahme, da die erforderlichen Informationen vom Issueren gespeichert werden. Die Kennzeichnung der gewährten Issuerausnahme in der Autorisierung wird von Ihrem PSP verwaltet - es besteht kein Handlungsbedarf.

Beschreibung:
Zahlungen, die über dedizierte Unternehmensprozesse und -protokolle (z.B. Buchungsportale für Dienstreisen) erfolgen, die von Unternehmen initiiert werden, den Verbrauchern nicht zur Verfügung stehen und die bereits ein hohes Maß an Schutz vor Betrug bieten, können vorbehaltlich der Stellungnahme der jeweils zuständigen Behörden von SCA ausgenommen werden.

Welcher Handlungsbedarf besteht für den Händler?
Hierbei handelt es sich in erster Linie um eine Issuerausnahme, da die erforderlichen Informationen vom Issueren gespeichert werden. Die Kennzeichnung der gewährten Issuerausnahme in der Autorisierung wird von Ihrem PSP verwaltet - es besteht kein Handlungsbedarf.

Bei allen Ausnahmen trifft der Issuer die endgültige Entscheidung. Wenn der Acquirer/Händler eine Ausnahme beantragt, wird die endgültige Entscheidung daher vom Issuer getroffen.

Übersicht der Ausschlüsse

Beschreibung:
Aufgrund ihrer Beschaffenheit unterliegen Zahlungen, die unter Verwendung anonymer Zahlungsinstrumente, wie z.B. anonymer vorausbezahlter (z.B. Geschenk-)Karten, nicht der Verpflichtung einer starken Kundenauthentifizierung. Der Kartenherausgeber ist der einzige, der in der Lage ist, diese Art von Karte zu identifizieren. Der Acquirer ist nicht in der Lage, anhand der primären Kontonummer zu erkennen, dass es sich um ein anonymes Produkt handelt.

Welcher Handlungsbedarf besteht für den Händler?
Übernimmt Ihr PSP - keine Maßnahmen erforderlich.

Beschreibung:
Zahlungen, die per E-Mail oder Telefon getätigt werden, gelten nicht als elektronische Zahlungen und sind daher für SCA nicht relevant.

Welcher Handlungsbedarf besteht für den Händler?
Stellen Sie sicher, dass Ihre MOTO-Transaktionen für alle Karteninhaber Kauf- bzw. Zahlungsszenarien korrekt kodiert sind.

Beschreibung:
Die SCA-Bestimmungen gelten nur für Transaktionen, die vollständig innerhalb des EWR getätigt werden und von der Europäischen Bankaufsichtsbehörde geregelt werden. Wenn der Issuer oder Acquirer außerhalb des EWR ansässig ist ("One-leg out"), gelten keine SCA-Mandate. Die Nationalität des Karteninhabers oder der Geschäftssitz des Händlers sind für die Beurteilung, ob eine Transaktion aufgrund der "One-leg out"-Regel nicht in den Geltungsbereich fällt, nicht relevant. Die Risikorichtlinien und -systeme von EVO determinieren jeoch, ob SCA in solchen Fällen angewendet werden sollte.

Welcher Handlungsbedarf besteht für den Händler?
Übernimmt Ihr PSP - keine Maßnahmen erforderlich.

Beschreibung:
SCA ist für die erste Zahlung des Kunden erforderlich, wenn der Karteninhaber den Bedingungen für spätere Folgekosten zustimmt. Diese Folgekosten sind jedoch von SCA ausgeschlossen, vorausgesetzt, dass der Karteninhaber zum Zeitpunkt der Belastung nicht im Kassenfluss (manchmal als Off-Session bezeichnet) anwesend ist. Zu dieser Kategorie gehören auch spätere wiederkehrende Zahlungen.

Welcher Handlungsbedarf besteht für den Händler?
Die Transaktionen müssen gemäß Ihren PSP-Spezifikationen/MIT-Rahmenwerk als wiederkehrend oder MIT gekennzeichnet sein, um von den Issueren als nicht SCA-pflichtig genehmigt zu werden. Sie müssen auch die ID der ersten (vom Karteninhaber initiierten und von SCA authentifizierten) Zahlung angeben.

FAQ

Eine SCA-Ausnahme bedeutet, dass der Acquirer/Händler eine Ausnahme beantragt (mit dem Ziel, einen reibungslosen Transaktionsablauf ohne SCA zu erreichen) und der Issuer dann entscheidet, ob SCA erforderlich ist. Wenn ja, löst der Issuer den Authentifizierungsfluss (Challenge Request) aus, um den Karteninhaber zu authentifizieren. Ein Ausschluss ("out of scope"-Transaktionstyp) beinhaltet keine Authentifizierungspflicht und -entscheidung / -fluss, sofern er korrekt gekennzeichnet ist.

Es gibt eine Reihe von Ausnahmen und Ausschlüssen (Transaktionen außerhalb des Anwendungsbereichs), die keine SCA erfordern. Ausnahmen können immer noch Gegenstand von SCA sein, basierend auf der endgültigen Entscheidung des Issueren und/oder des Acquirers, z.B. basierend auf dem Risiko oder der Politik des Acquirers. Einfach ausgedrückt:

  • Transaktionen ≤ 30 Euro können von SCA ausgenommen werden, sowie bestimmte Transaktionen mit höherem Wert bis zu 500 EUR, je nach dem aktuellen Betrugsniveau sowohl bei EVO als auch beim Kartenherausgeber.
  • Nachfolgende wiederkehrende Transaktionen (gleicher Betrag, gleicher Zahlungsempfänger) und vom Händler initiierte Transaktionen sind von SCA ausgeschlossen.

Bitte beachten Sie die obige Tabelle (Link) für eine detailliertere Betrachtung der SCA-Ausnahmen und SCA-Ausschlüsse. 

Nein. Versand- und Telefonbestellungen (MOTO) / Transaktionen über virtuelle Terminals (VT) fallen nicht in den Anwendungsbereich von SCA, da sie nicht als elektronische Zahlungen gelten. Händler können diese wie heute abwickeln.
 

Nein, Sie müssen SCA für alle E-Commerce-Transaktionen anwenden, es sei denn, sie sind außerhalb des Geltungsbereichs oder es wird eine Ausnahme beantragt. Der Kartenherausgeber entscheidet, ob er vom Karteninhaber SCA verlangt. Selbst wenn ein Händler eine Transaktion als auszunehmen kennzeichnet, hat der Kartenherausgeber immer noch das letzte Wort und kann verlangen, dass die Transaktion authentifiziert wird.
 

Heute sind Händler, die 3DS verwenden, in der Regel nicht für Betrug haftbar. Dies ist bei 3DS2 unverändert. Fordert der Händler jedoch eine Ausnahme für eine Transaktion an und der Kartenherausgeber verlangt daraufhin kein SCA vom Karteninhaber, so haftet der Händler im Betrugsfall. Die Optionen und die Haftung für jede dieser Optionen sind in der Tabelle in diesem Dokument aufgeführt. 
 

EVO wird alle Ausnahmearten für Acquirer vorbehaltlich relevanter Risikorichtlinien und -bewertungen unterstützen, z.B. für den lokalen Markt, spezifische Geschäftsarten, individuelle Händlerrisiken, etc.. EVO gibt derzeit vor, dass "one-leg" Transaktionen mit SCA abgesichert werden. EVO wird in Bälde auch die aquirerseitige Ausnahmen basierend auf einer Transaktionsrisikoanalyse (TRA) einführen. 
 

Nein, sie gilt für den Acquirer und den Kartenherausgeber - je nachdem, wer die Ausnahme beantragen möchte. EVO plant die Inanspruchnahme der TRA-Ausnahme und wird bestätigen, sobald diese verfügbar ist. 
 

Alle verfügbaren Daten sollten, wo immer möglich, zur Verfügung gestellt werden, um eine optimale Erfahrung für Karteninhaber und Händler zu gewährleisten und die Transaktionsreibung (Anfechtungsrate) zu reduzieren. Je mehr Informationen Sie angeben, desto größer ist die Wahrscheinlichkeit, dass der Kartenherausgeber den Karteninhaber nicht mit SCA herausfordert. 
 

Während der Nutzen von SCA darin liegen wird, das Ausmaß des Betrugs bei Online-Kartenzahlungen zu reduzieren, wird erwartet, dass sich die Änderungen auch auf die conversion rates bei Bestellungen mit Kreditkarten auswirken wird. Wenn Sie aber die für die Unterstützung von 3DS2 erforderlichen Änderungen nicht durchführen, werden Sie eine Häufung von abgelehnten Transaktionen feststellen. Wie bei jeder neuen Technologie kann es einige Zeit dauern, bis sich die Karteninhaber an den Prozess gewöhnt haben, und so kann SCA kurzfristig zu einer erhöhten Anzahl abgebrochener Transaktionen führen, während die Anzahl der Transaktionen, die eine Authentifizierung erfordern, voraussichtlich abnehmen wird.

Wir empfehlen auch die Lektüre der neuesten Visa und Mastercard Merchant Best Practice Guides und PSD2 SCA Informationen, die hier zu finden sind: