Was ist 3D Secure?

Das Sicherheitsverfahren 3D Secure, welches schon sehr lang durch VISA und Mastercard bei Kreditkartenzahlungen als zusätzliche Kundenauthentifizierung zum Einsatz kommt, wurde im Zuge der Einführung der europäischen PSD2 Richtlinie aktualisiert, modernisiert und umfangreich verbessert. Das Verfahren ist auch als VISA Secure oder Mastercard Identity Check™ bekannt.

Auf jeden Fall ist eine starke Kundenauthentifizierung Pflicht. Bei Kreditkartenzahlungen wird diese durch 3D Secure 2 umgesetzt. Es sollte also in den Kreditkartenbezahlprozess integriert sein.

Wenn Du mit einem PSP zusammenarbeitest und deren Lösung zur Abrechnung von Kreditkartenzahlungen nutzt, hat dieser den Hauptteil der Arbeit zu erledigen, da die Weiterleitung zum 3D Secure Verfahren meist durch den PSP realisiert wird.

Nutzt Du ein Shop Plugin, so kann es durchaus passieren, dass dieses komplett ausgetauscht oder mindestens mit einem Update versehen werden müssen. Auf jeden Fall solltest Du ein Plugin verwenden, welches PSD2 compliant ist und 3D Secure in der neuesten Version 2.x unterstützt. Plugins findest Du in unserem Plugin-Shop.

Hast Du die Zahlart Kreditkarte oder auch nur das 3D Secure Verfahren per API Schnittstelle selbst angebunden, solltest Du von Deinem Zahlungsdienstleister möglichst schnell die neuesten technischen Dokumentationen zur Umsetzung der 2-Faktor-Authentifizierung anfordern. Solche findest Du auch in  unserem digitalen Handbuch zu 3D Secure.

Als Shop-Anbieter:in können technische Anpassungen im Bezug auf die neuen zu übertragenden Datenelemente auf Dich zukommen. Essentiell sind hierfür die Übertragung von Informationen zum Karteninhaber: Name, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Rechnungsadresse, Lieferadresse, Browser-Informationen (je nach Integrationsart) und die IP-Adresse. Je mehr Datenelemente übertragen werden, desto höher ist die Wahrscheinlichkeit einer Genehmigung der Transaktion durch den Issuer. Sprich hierzu mit Deinem PSP, um die notwendigen Datenelemente zu bestimmen. Neue Logos der Kartenorganisationen sowie Hinweise zum Whitelisting können ebenfalls technische Änderungen erfordern.

Du hast die Möglichkeit, Transaktionen mit der sogenannten Transaction Risk Analysis als risikoarme Transaktionen einstufen zu lassen. Hierzu muss wiederum eine spezielle Markierung / Flag mit übergeben werden. Dadurch wird geprüft, ob die Transaktion tatsächlich ein geringeres Risiko darstellt und somit ohne 3D Secure 2 durchgeführt werden kann.

Die Transaction Risk Analysis greift auf Informationen, wie die Fraud Raten des Issuers und des Acquirers oder auch die Einstufungen von Dir als Händler:in zurück. Natürlich gibt es hier noch weitere Merkmale.

Außerdem kannst Du Deine Kund:innen bitten, Dich als Händler:in auf die Whitelist des jeweiligen Issuers setzen zu lassen. Hierdurch muss der betroffene Kund:in bei keiner künftigen Transaktion mehr das 3D Secure 2 Verfahren in Deinem Shop durchlaufen. Ein allgemeines Whitelisting wird nicht vorgenommen.

Die folgende Grafik zeigt die regulatorische Ausnahmen von SCA und die Transaktionen, die von SCA nicht betroffen sind.

Nein. Wenn Du ausschließlich Moto-Transaktionen (Mail Order / Telephone Order) akzeptierst, so hast Du vorerst keine Änderungen vorzunehmen. Diese unterliegen keiner Pflicht zur 2-Faktor-Authentifizierung.

Die Folgezahlung eines Abonnements gilt, laut Richtlinie, ebenfalls als MIT (Merchant Initiated Transaction = Der/Die Merchant/Händler:in löst die Transaktion aus) und gilt somit als Ausnahme. Vorschrift ist es jedoch, dass die Ursprungstransaktion bei Abos mit der starken Kundenauthentifizierung abgesichert werden muss, es sei denn das Abo wurde vor dem 14.09.2019 abgeschlossen oder das Abo-Mandat wurde über Moto eingereicht.

Bei der Unterscheidung zwischen Ursprungs- und Folgetransaktion ist es wichtig, dass die Transaktionen richtig übergeben bzw. technisch gekennzeichnet werden. Hierfür muss ein sogenannter Flag, also eine virtuelle Markierung (auch Trace-ID genannt) genutzt werden. Sprich auch hierzu Deinen PSP direkt an.

Bei der Nutzung der Zusatzfunktion Paymentlink ist die Umsetzung von SCA sehr einfach, denn das Online Bezahlsystem erfüllt sämtliche Vorgaben. Ruft ein/e Kund:in den Bezahllink auf, wird automatisch das neue 3D Secure-Verfahren angewandt. Allerdings müssen bei der Zahlungserfassung im virtuellen Terminal die vorhandenen Felder vollständig mit den Kundeninformationen ausgefüllt werden. Felder die ausgefüllt sind, bspw. die Adressdaten der Kund:innen, werden an die Transaktion angehängt und der Bank der Kundschaft zur Prüfung zur Verfügung gestellt, was eine Ablehnung unwahrscheinlicher macht.

Achte bitte darauf, dass das Häkchen “Versuche 3-D Secure 2.x für Kreditkarte” stets gesetzt ist.

Jeder Händler, Acquirer, PSP und weiterer Beteiligter muss als 3D Secure 2 Organisation bei den Kartenmarken gemeldet werden. Hierzu kannst Du uns gern jederzeit kontaktieren.

Mit der Erweiterung des 3D Secure Verfahrens wird die Authentifizierung des Karteninhabers bei einer Kreditkartenzahlung im Internet verstärkt, um diesen noch besser vor Betrug zu schützen. In Zukunft müssen Kund:innen sich mithilfe zweier Merkmale aus den Bereichen Inhärenz, Besitz und Wissen identifizieren.

Zu dem Bereich Besitz zählt zum Beispiel das Smartphone. Wissen kann ein Passwort oder eine PIN sein und Inhärenz beinhaltet beispielsweise biometrische Merkmale, wie den Fingerabdruck oder den Gesichtsscan.

Einige Banken werden zum Beispiel eine Bestätigung über eine separate Sicherheits-App mit Authentifizierung durch ein biometrisches Merkmal beim Öffnen umsetzen.