Kreditkartenzahlung: 3D Secure 2 wird Pflicht
Laut VISA und Mastercard sollen Online-Händler bis zum 16. Oktober 2020 3D Secure 2 für Kreditkartenzahlungen unterstützen. Ab 31. Dezember 2020 werden keine Kreditkartenzahlungen ohne 3D Secure 2 mehr akzeptiert.
Starke Kundenauthentifizierung nach PSD2
Eigentlich hätte die Umsetzung einer starken Kundenauthentifizierung für Online-Zahlungen bereits am 14. September 2019 erfolgen müssen, dem Stichtag zur Einführung der Regeln aus der EU-Zahlungsdienstrichtlinie PSD2. Diese Frist wurde jedoch zunächst auf unbestimmte Zeit außer Kraft gesetzt, da viele Marktteilnehmer eine rechtzeitige Umsetzung der Richtlinie nicht sicherstellen konnten. Nun gibt es mit dem 31. Dezember 2020 eine neue Deadline.
Ziel der starken Kundenauthentifizierung ist es, Betrugsfälle bei elektronischen Zahlungen zu verringern. Der neue Sicherheitsstandard sieht drei Möglichkeiten vor, wie sich der Kunde bei einem elektronischen Zahlungsvorgang authentifizieren kann. Es müssen mindestens zwei dieser drei Möglichkeiten (Zwei-Faktor-Authentifizierung) im Authentifizierungsvorgang enthalten sein:
- Wissen: Unter diesen Bereich fallen alle Elemente, die nur du wissen kannst, wie z.B. Passwort, PIN, Sicherheitsfragen etc.
- Besitz: Hier geht es um etwas, das sich nur in deinem Besitz befinden kann, wie z.B. Karte, Smartphone etc.
- Inhärenz: Dieser Bereich umfasst alle Eigenschaften, welche dir „anhaften“. Darunter fallen beispielsweise der Fingerabdruck-Scan, Gesichtserkennung, Iris-Scan, etc.
Durch die PSD2 wird keine konkrete Technologie vorgeschrieben, mit der diese Vorgaben umgesetzt werden müssen.
Für Online-Zahlarten wie Paypal oder Amazon Pay müssen die Vorgaben durch den Zahlungsanbieter selbst umgesetzt werden. Für direkte Kreditkartenzahlungen im eigenen Webshop bedeutet dies in der Paxis die Einführung von 3D-Secure. VISA und Mastercard fordern nun alle Händler auf, bis zum 16. Oktober 3D Secure 2 einzuführen, ab 31. Dezember werden keine Kreditkartenzahlungen mehr ohne 3D Secure 2 mehr akzeptiert.
So funktioniert 3D Secure 2
Um die Online-Zahlung per Kreditkarte sicherer zu machen, hat der Verband der Kreditkartenwirtschaft 3D Secure eingeführt. Bei dem Verfahren muss der Kunde den Online-Kauf nach Eingabe der Kreditkartendaten noch in einem weiteren Schritt authorisieren. Bei den meisten Kreditkartenanbietern erfolgt dies über eine Push-Benachrichtigung auf dem Smartphone mit anschließender Freigabe über eine App.
Im Gegensatz zu 3D Secure 1 wird der Kreditkarteninhaber bei 3D Secure 2 jedoch nicht bei jedem Online-Kauf aufgefordert, eine zusätzliche Authentifizierung durchführen. Durch die Übergabe von bis zu 100 Merkmalen zum Kauf (Warenkorbgröße, IP-Adresse des Käufers) kann eine Risikoanalyse stattfinden und dadurch die Anzahl Authentifizierungs-Aufforderungen minimiert werden. Generell hat der Gesetzgeber einige Ausnahmen definiert, bei denen eine solche Authentifizierung nicht notwendig ist:
- Transaktionsrisikoanalyse
- Kleinbeträge (Warenkorbwert unter 30,- €)
- Wiederkehrende Zahlungen z.B. bei Abonnements
- Whitelisting von Unternehmen durch den Kunden
Für Shop-Betreiber bedeutet dies: Wenn dein Webshop auf 3D-Sercure umgestellt ist und der Kunde das Verfahren noch nicht eingerichtet hat, führt dies zu Fragen und möglichen Kaufabbrüchen. Wir empfehlen dir deshalb, in deinem Webshop entsprechende Hinweise und Hilfestellungen für deine Kunden bereitzustellen. Trotzdem wird die Conversion-Rate für Kreditkartenzahlung sicherlich in der Übergangsphase negativ beeinträchtigt werden.
Wie unterstützt dich dc?
Sofern du unser Modul Online-Payment nutzt, kümmern wir uns neben den technischen Anpassungen der Schnittstelle auch um weitere Abstimmungen mit dem Payment Service Provider. Du erhältst von uns in Kürze eine Benachrichtigung, in der alle notwendigen Anpassungen für die Implementierung von 3D Secure 2 kundenindividuell aufgeführt sind.
Du hast Fragen?
Wenn du technische Fragen hast oder eine der oben beschriebenen Lösungen einführen möchtest, wende dich an:
- Jörg Söllner, Managing Director Technology, +49 9221 9652-100, js@dc.ag
Wenn du einen eigenen Computop-Vertrag hast, wende dich zur Freischaltung von 3DS-2 direkt an Computop:
- Volker Wohlrab, Senior Account Manager, +49 951 98009-34, volker.wohlrab@computop.com