Fragen Sie uns:

Zum Kontaktformular

Suchen & finden:

Zur Suche

Service:

Infothek

Hotline:

Zur Übersicht

3D Secure 2.0
Infos für Onlinehändler

Das neue Sicherheitsprotokoll EMV 3D Secure 2.0 und wie Sie es in Ihren Shop integrieren

EMV 3D Secure 2.0
Schnell erklärt

EMV 3D Secure 2.0

Am 14. September 2019 treten die gesetzlichen Anforderungen zur starken Kundenauthentifizierung (gemäß PSD2) beim Bezahlen mit Kreditkarte in Kraft. Die damit verbundene starke Kundenauthentifizierung betrifft auch Sie als Onlinehändler, denn es gibt ein neues Sicherheitsprotokoll. Aus 3D Secure wird EMV 3D Secure 2.0 (kurz EMV 3DS). In dieser Infothek erfahren Sie, wie Sie in Ihrem Onlineshop 3D Secure 2.0 einführen. Außerdem erfahren Sie mehr über die Hintergründe und wie die starke Kundenauthentifizierung genau funktioniert.

Mastercard und Visa haben das Sicherheitsprotokoll EMV 3D Secure 2.0 (EMV 3DS) entwickelt. Es beinhaltet zusätzliche Sicherheitsmechanismen wie Biometrie. So schützt EMV 3DS Sie als Onlinehändler besser vor Betrugsversuchen und reduziert durch eine bessere Integration innerhalb von Apps Kaufabbrüche auf ein Minimum.

Mehr über EMV 3DS erfahren Sie hier.

So integrieren Sie das neue Sicherheitsprotokoll in Ihren Onlineshop

1. Präsentieren Sie die neuen Logos

Aus ”Mastercard Secure Code” wurde bereits „Mastercard Identitiy Check“ und aus „Verified by Visa“ wurde “Visa Secure”. Das sind die neuen Markennamen, unter denen die Kunden das Authentifizierungsverfahren EMV 3D Secure 2.0 kennen werden.

Schritt 1 ist die Aufnahme des Mastercard Identity Check-Logos und Visa Secure Programmlogos, die Sie hier zum Download finden.

Mastercard Identity CheckVisa Secure

2. Passen Sie Ihre Schnittstelle an

Was Sie im Einzelnen tun müssen, um das neue Sicherheitsprotokoll in Ihren Shop einzubinden, hängt davon ab, welche Lösung Sie nutzen.

Bei COPY+PAY und Server-to-Server müssen Sie die Schnittstellen anpassen. Nutzen Sie ein Online-Shop-Modul, ist die Installation eines neuen Plugins notwendig. Denn zukünftig werden in der Kommunikation zwischen Händler und Kartenherausgeber mehr Informationen über die Transaktion in der Schnittstelle im EMV 3D-Secure-System benötigt. Diese Informationen werden von Ihnen zum Teil noch nicht über die aktuelle Schnittstelle mitgeliefert.

Lesen Sie hier mehr zu den verschiedenen Integrationsbeschreibungen für Kreditkartenzahlungen über das VR pay Internet Gateway. Wenn Sie die Integration über unsere Online-Shop-Module vorgenommen haben, finden Sie hier die aktualisierten Module zu einem späteren Zeitpunkt.

VR pay Internet Gateway

Wenn Sie für die Verarbeitung von Kreditkartenzahlungen einen anderen Dienstleister als die VR Payment nutzen, wenden Sie sich bitte an Ihren Payment Service Provider. Dieser kann Ihnen sagen, welche Anpassungen zur Implementierung von EMV 3DS erforderlich sind.

3. Aktualisieren Sie Ihre Datenschutzhinweise

Stellen Sie sicher, dass Ihre Vertragsbedingungen die Erhebung und Weitergabe von Kundendaten entsprechend der Datenschutzgrundverordnung (DSGVO) erlauben. Nutzen Sie die Chancen, die sich mit der Umstellung auf EMV 3DS 2.0 für Sie und Ihre Kunden ergeben und nehmen Sie die Anpassungen zeitnah vor. Denn mit dem neuen Verfahren steigern Sie die Nutzererfahrung beim Onlineshopping und reduzieren Kaufabbrüche, steigern Umsatz und Gewinn.

Wir sind für Sie da!

Als Payment Experte kennen wir die Herausforderungen im Markt in Verbindung mit den neuen Anforderungen zur starken Kundenauthentifizierung. Mit unserer Erfahrung und unserem Wissen tun wir alles dafür, dass die Umstellung für Sie so einfach wie möglich wird. Mit uns haben Sie einen starken Partner an Ihrer Seite, der Sie auf den 14. September 2019 bestens vorbereitet.

 

Hintergrund: Aus 3D Secure wird EMV 3D Secure 2.0
Starke Kundenauthentifizierung

Am 14. September 2019 treten die gesetzlichen Anforderungen zur starken Kundenauthentifizierung (gemäß PSD2) beim Bezahlen mit Kreditkarte in Kraft. Um diesen Vorgaben zu genügen, haben Mastercard und Visa das Sicherheitsprotokoll EMV 3D Secure 2.0 (EMV 3DS) als neuen Standard entwickelt.

Nach der PSD2 ist eine Kundenauthentifizierung dann stark, wenn mindestens zwei Faktoren zur Authentifizierung genutzt werden. Darüber hinaus müssen die gewählten Faktoren aus unterschiedlichen Kategorien stammen und unabhängig voneinander sein, um höchstmögliche Sicherheit zu erreichen.

Die drei Faktorenkategorien auf einen Blick

3 Faktorenkategorien

Die Kombination der Zwei-Faktorauthentifizierung obliegt dem Kartenherausgeber und kann beispielsweise wie folgt aussehen:

Beispiel 1 für eine starke Authentifizierung: Einmalpasswort und Wissensfrage

Der Nutzer kann ein Einmalpasswort, das er per SMS erhält mit einer persönlichen Wissensfrage kombinieren. Das Einmalpasswort steht für den ersten Faktor und gilt als „Besitz“. Die persönliche Frage steht für den zweiten Faktor und gilt als „Wissen“.

Beispiel 2 für eine starke Authentifizierung: Wissensfrage und Fingerscan

Denkbar wäre auch statt dem Einmalpasswort ein Fingerscan über die Banking-App auf seinem Smartphone mit einer persönlichen Wissensfrage zu kombinieren. Der Fingerabdruck steht dann für den zweiten Faktor und gilt als „Inhärenz“. Der Karteninhaber kann aber auch „Etwas, das er besitzt“, wie z. B. das Smartphone, mit „Etwas von ihm persönlich“, etwa einem Gesichtsscan, verknüpfen.

Gut zu wissen
Die Ausnahmen von der starken Kundenauthentifizierung

Es gibt eine Reihe von Ausnahmen für die starke Kundenauthentifizierung, die bei der Transaktionsverarbeitung unter bestimmten Voraussetzungen angewendet werden können:

Zahlungen bis 30 Euro
E-Commerce Transaktionen bis zu 30 Euro können bis zur fünften aufeinanderfolgenden Transaktion oder solange der kumulative Betrag von 100 Euro nicht überschritten wird, von der starken Kundenauthentifizierung ausgenommen werden.

Zahlungen mit geringem Risiko
Auch Transaktionen mit geringem Risiko bis zu einem Betrag von 500 Euro können von der starken Kundenauthentifizierung ausgenommen werden. Der maximal erlaubte Betrag der Zahlung richtet sich nach der durchschnittlichen Brutto-Betrugsrate des Kartenherausgebers und des Acquirers, der die Transaktion abwickelt.

Abonnements oder wiederkehrende Transaktionen
Abonnements, bei denen der Händler die Transaktion ohne das Beisein des Käufers tätigt oder wiederkehrende Transaktionen mit gleichem Betrag und Zahlungsempfänger sind ab der zweiten Transaktion von einer starken Kundenauthentifizierung ausgenommen bzw. können von der starken Kundenauthentifizierung ausgenommen werden.

Whitelisting
Kunden können bei ihrer Bank Händler einer Whitelist von „Vertrauenswürdigen Empfängern“ zuordnen. Transaktionen bei diesen Whitelist-Händlern können dann von einer starken Kundenauthentifizierung ausgenommen werden. So können Kunden, die regelmäßig bei einem bestimmten Händler einkaufen, die starke Kundenauthentifizierung vermeiden, sofern die Bank des Kunden das Whitelisting zulässt.

Wichtig ist, dass für die Anwendung der Ausnahmen bestimmte Voraussetzungen erfüllt sein müssen, u. a. dass Sie die Anpassungen an Ihrer Schnittstelle vorgenommen haben. Die Umsetzungs­möglichkeiten liegen vor allem beim Kartenherausgeber, denn er trifft letztlich immer die finale Entscheidung über die Durchführung einer Transaktion.