Dein Schutz vor Betrug
Mit 3D Secure Dein Unternehmen und Deine Kundschaft schützen
Was ist 3D Secure?
3D Secure (3DS) ist ein technischer Standard und ein zusätzlicher Schutz vor Betrug im E-Commerce nicht nur für Karteninhaber:innen, sondern auch für Händler:innen. Durch die Anwendung von 3DS liegt die Haftung beim Kartenherausgeber. Über die aktuellen 3D Secure 2.0 Versionen lassen sich Kaufabbrüche reduzieren.
3DS ermöglicht eine starke Kundenauthentifizierung (Strong Customer Authentication = SCA).
Jetzt auf 3D Secure setzen
Geringeres
Betrugsrisiko
Durch die zusätzliche Authentifizierungs-
ebene wird es schwieriger für Betrüger, gestohlene Kreditkarteninformationen zu verwenden, da sie auch den zusätzlichen Authentifizierungsschritt überwinden müssten.
Haftungsreduktion
Wenn Karteninhaber Opfer von Betrug werden und 3D Secure aktiviert ist, liegt die Haftung in der Regel beim Kartenherausgeber. Dies schützt den/die Händler:in vor finanziellen Verlusten im Zusammenhang mit betrügerischen Transaktionen.
Steigerung des Kundenvertrauens
Kund:innen fühlen sich wohler dabei, ihre Kreditkartendaten bei Händlern anzugeben, die zusätzliche Sicherheitsmaßnahmen wie 3D Secure implementieren. Dies kann zu einer höheren Conversion Rate und wiederkehrender Kundschaft führen.
Einhaltung regionaler Vorschriften
Die Nutzung von 3D Secure kann Händler:innen helfen, Anforderungen der Sicherheitsstandards zu erfüllen und sicherzustellen, dass Transaktionen den geltenden Vorschriften entsprechen.
3D Secure Lösungen
Nutzt Du 3D Secure, beispielsweise durch den Einsatz von „Mastercard® Identity Check™“ (ehemals „SecureCode“), „Visa Secure“ (ehemals „Verified by Visa“), Amex (Safekey)
und JCB (J/Secure), dann profitierst Du von einem garantierten Zahlungseingang und einer Haftungsumkehr im Falle einer Rückbelastung, sodass Du für diesen Betrag nicht mehr aufkommen musst.
Mit Hilfe des neuen Sicherheitsprotokolls EMV 3D Secure 2 lassen sich auch die
regulatorischen Ausnahmen der starken Kundenauthentifizierung (Strong Customer Authentication = SCA) optimal abbilden.
SCA und das Online Bezahlsystem
Alle Informationen findest Du in unserer technischen Dokumentation für EMV 3D Secure.
Wichtige Fragen und Antworten
über starke Kundenauthentifizierung (Strong Customer Authentication = SCA)
SCA
Was ist 3D Secure 2
Das Sicherheitsverfahren 3D Secure, welches schon sehr lang durch VISA und Mastercard bei Kreditkartenzahlungen als zusätzliche Kundenauthentifizierung zum Einsatz kommt, wurde im Zuge der Einführung der europäischen PSD2 Richtlinie aktualisiert, modernisiert und umfangreich verbessert. Das Verfahren ist auch als VISA Secure oder Mastercard Identity Check™ bekannt.
Ist 3D Secure 2 Pflicht?
Auf jeden Fall ist eine starke Kundenauthentifizierung Pflicht. Bei Kreditkartenzahlungen wird diese durch 3D Secure 2 umgesetzt. Es sollte also in den Kreditkartenbezahlprozess integriert sein.
Werde ich technische Änderungen vornehmen müssen?
Wenn Du mit einem PSP zusammenarbeitest und deren Lösung zur Abrechnung von Kreditkartenzahlungen nutzt, hat dieser den Hauptteil der Arbeit zu erledigen, da die Weiterleitung zum 3D Secure Verfahren meist durch den PSP realisiert wird.
Nutzt Du ein Shop Plugin, so kann es durchaus passieren, dass dieses komplett ausgetauscht oder mindestens mit einem Update versehen werden müssen. Auf jeden Fall solltest Du ein Plugin verwenden, welches PSD2 compliant ist und 3D Secure in der neuesten Version 2.x unterstützt. Plugins findest Du in unserem Plugin-Shop.
Hast Du die Zahlart Kreditkarte oder auch nur das 3D Secure Verfahren per API Schnittstelle selbst angebunden, solltest Du von Deinem Zahlungsdienstleister möglichst schnell die neuesten technischen Dokumentationen zur Umsetzung der 2-Faktor-Authentifizierung anfordern. Solche findest Du auch in unserem digitalen Handbuch zu 3D Secure.
Als Shop-Anbieter:in können technische Anpassungen im Bezug auf die neuen zu übertragenden Datenelemente auf Dich zukommen. Essentiell sind hierfür die Übertragung von Informationen zum Karteninhaber: Name, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Rechnungsadresse, Lieferadresse, Browser-Informationen (je nach Integrationsart) und die IP-Adresse. Je mehr Datenelemente übertragen werden, desto höher ist die Wahrscheinlichkeit einer Genehmigung der Transaktion durch den Issuer. Sprich hierzu mit Deinem PSP, um die notwendigen Datenelemente zu bestimmen. Neue Logos der Kartenorganisationen sowie Hinweise zum Whitelisting können ebenfalls technische Änderungen erfordern.
Gibt es weitere Ausnahmen vom 3D Secure 2 Verfahren?
Du hast die Möglichkeit, Transaktionen mit der sogenannten Transaction Risk Analysis als risikoarme Transaktionen einstufen zu lassen. Hierzu muss wiederum eine spezielle Markierung / Flag mit übergeben werden. Dadurch wird geprüft, ob die Transaktion tatsächlich ein geringeres Risiko darstellt und somit ohne 3D Secure 2 durchgeführt werden kann.
Die Transaction Risk Analysis greift auf Informationen, wie die Fraud Raten des Issuers und des Acquirers oder auch die Einstufungen von Dir als Händler:in zurück. Natürlich gibt es hier noch weitere Merkmale.
Außerdem kannst Du Deine Kund:innen bitten, Dich als Händler:in auf die Whitelist des jeweiligen Issuers setzen zu lassen. Hierdurch muss der betroffene Kund:in bei keiner künftigen Transaktion mehr das 3D Secure 2 Verfahren in Deinem Shop durchlaufen. Ein allgemeines Whitelisting wird nicht vorgenommen.
Die folgende Grafik zeigt die regulatorische Ausnahmen von SCA und die Transaktionen, die von SCA nicht betroffen sind.
Sind Moto-Transaktionen hiervon auch betroffen?
Nein. Wenn Du ausschließlich Moto-Transaktionen (Mail Order / Telephone Order) akzeptierst, so hast Du vorerst keine Änderungen vorzunehmen. Diese unterliegen keiner Pflicht zur 2-Faktor-Authentifizierung.
Wie steht es mit Abonnements?
Die Folgezahlung eines Abonnements gilt, laut Richtlinie, ebenfalls als MIT (Merchant Initiated Transaction = Der/Die Merchant/Händler:in löst die Transaktion aus) und gilt somit als Ausnahme. Vorschrift ist es jedoch, dass die Ursprungstransaktion bei Abos mit der starken Kundenauthentifizierung abgesichert werden muss, es sei denn das Abo wurde vor dem 14.09.2019 abgeschlossen oder das Abo-Mandat wurde über Moto eingereicht.
Bei der Unterscheidung zwischen Ursprungs- und Folgetransaktion ist es wichtig, dass die Transaktionen richtig übergeben bzw. technisch gekennzeichnet werden. Hierfür muss ein sogenannter Flag, also eine virtuelle Markierung (auch Trace-ID genannt) genutzt werden. Sprich auch hierzu Deinen PSP direkt an.
Ich nutze den 1cs Paymentlink oder das virtuelle Terminal der 1cs – was muss ich beachten?
Bei der Nutzung der Zusatzfunktion Paymentlink ist die Umsetzung von SCA sehr einfach, denn das Online Bezahlsystem erfüllt sämtliche Vorgaben. Ruft ein/e Kund:in den Bezahllink auf, wird automatisch das neue 3D Secure-Verfahren angewandt. Allerdings müssen bei der Zahlungserfassung im virtuellen Terminal die vorhandenen Felder vollständig mit den Kundeninformationen ausgefüllt werden. Felder die ausgefüllt sind, bspw. die Adressdaten der Kund:innen, werden an die Transaktion angehängt und der Bank der Kundschaft zur Prüfung zur Verfügung gestellt, was eine Ablehnung unwahrscheinlicher macht.
Achte bitte darauf, dass das Häkchen „Versuche 3-D Secure 2.x für Kreditkarte“ stets gesetzt ist.
Muss ich mit meinem Acquirer ebenfalls Kontakt aufnehmen?
Jeder Händler, Acquirer, PSP und weiterer Beteiligter muss als 3D Secure 2 Organisation bei den Kartenmarken gemeldet werden. Hierzu kannst Du uns gern jederzeit kontaktieren.
Was ist neu bei 3D Secure 2?
Mit der Erweiterung des 3D Secure Verfahrens wird die Authentifizierung des Karteninhabers bei einer Kreditkartenzahlung im Internet verstärkt, um diesen noch besser vor Betrug zu schützen. In Zukunft müssen Kund:innen sich mithilfe zweier Merkmale aus den Bereichen Inhärenz, Besitz und Wissen identifizieren.
Zu dem Bereich Besitz zählt zum Beispiel das Smartphone. Wissen kann ein Passwort oder eine PIN sein und Inhärenz beinhaltet beispielsweise biometrische Merkmale, wie den Fingerabdruck oder den Gesichtsscan.
Einige Banken werden zum Beispiel eine Bestätigung über eine separate Sicherheits-App mit Authentifizierung durch ein biometrisches Merkmal beim Öffnen umsetzen.
