+43 1 513 88 00 office@viveum.com

Multipay: Häufig gestellte Fragen zu PSD2, SCA und 3DS v2

1. Was ist PSD2?

Die Zweite EU-Richtlinie über Zahlungsdienste (2015/2366 PSD2) trat im Januar 2018 in Kraft und hat zum Ziel, den Verbraucherschutz bei allen Zahlungsarten zu gewährleisten und eine noch offenere, wettbewerbsfähigere Zahlungslandschaft zu fördern.

Eine der Hauptanforderungen von PSD2 betrifft die Strong Customer Authentication (SCA), die ab September 2019 für alle elektronischen Transaktionen in der EU erforderlich ist. SCA verlangt von den Karteninhabern, sich mit mindestens ZWEI der folgenden drei Methoden zu authentifizieren:

  • Etwas, das sie kennen (PIN, Passwort…) 
  • Etwas, das sie besitzen (Kartenleser, Mobiltelefon…) 
  • Etwas, das sie sind (Stimmenerkennung, Fingerabdruck… 

Das bedeutet, dass Ihre Kunden in der Praxis keine Kartenzahlung mehr online durchführen können, indem sie nur die Informationen auf ihren Karten verwenden. Sie müssen stattdessen beispielsweise ihre Identität mittels einer Bank-App verifizieren, die mit ihrem Mobiltelefon verbunden ist und zur Genehmigung des Kaufs ein Passwort oder einen Fingerabdruck benötigt.

Weitere Informationen über PSD2 finden Sie hier: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf

2. Wie beeinflusst PSD2 mich als Händler?

Am 14. September 2019 treten die Regeln der Strong Customer Authentication (SCA) für alle digitalen Zahlungen in Europa in Kraft. Im Augenblick arbeiten Banken, Zahlungsdienstleister und Kartennetze an technischen Lösungen, die den Anforderungen von PSD2 entsprechen. Damit Sie Zahlungen nach dem 14. September akzeptieren können, müssen Sie sicherstellen, dass diese technischen Lösungen mit Ihrem Online-Shop funktionieren.

Zur Akzeptanz von Zahlungen aus den weltweit größten Kartennetzwerken Visa, Mastercard und Amex ist es erforderlich, dass Sie die Sicherheitslösung 3D Secure für Ihren Online-Shop umgesetzt haben. 3D Secure wird seit 2001 zur Verbesserung der Sicherheit bei Online-Kartentransaktionen eingesetzt. Jetzt wurde aber eine neue Version entwickelt, mit der die Anforderungen der PSD2 Strong Customer Authentication erfüllt werden.

Wir empfehlen die Verwendung von 3-D Secure, da es hilft, Betrug zu verhindern und Sie auch vor der Haftung bei einem Betrug schützt. Ab dem 14. September 2019 ist es auch eine Voraussetzung für die Annahme der Zahlungen mit den wichtigsten Karten.

3. Was ist das neue 3-D Secure v2.1 Verfahren?

Die Secure Version 2 ist eine Weiterentwicklung des bisherigen Programmes der 3-D Secure Version 1: Verifiziert durch Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy und JCB J/Secure. Sie basiert auf einer Spezifikation, die von EMVco entwickelt wurde. EMVCo gibt es, um die weltweite Interoperabilität und Akzeptanz sicherer Zahlungsvorgänge zu erleichtern. Sie wird von den sechs EMVCo-Mitgliedsorganisationen American Express, Discover, JCB, Mastercard, UnionPay und Visa überwacht und von Dutzenden von Banken, Händlern, Verarbeitern, Verkäufern und anderen Branchenbeteiligten unterstützt, die als EMVCo Associates teilnehmen. 

Einer der wesentlichen Unterschiede in der Version 2 besteht darin, dass der Aussteller viele Datenpunkte aus der Transaktion nutzen kann, um das Transaktionsrisiko zu bestimmen (risikobasierte Analyse). Bei risikoarmen Transaktionen stellen die Aussteller die Transaktion nicht in Frage (z. B. kein Senden einer SMS an den Karteninhaber), obwohl sie die Transaktion (reibungslos) authentifizieren. Umgekehrt verlangen die Aussteller bei Transaktionen mit hohem Risiko, dass sich der Karteninhaber mit einer SMS oder biometrischen Mitteln authentifiziert (Infragestellung). 

Unabhängig davon führt die in Europa ab dem 14. September 2019 geforderte Strong Customer Authentication (SCA), wie in PSD2 spezifiziert, zu einem erheblichen Anstieg der Transaktionszahlen, die den Einsatz von 3-D Secure Authentifizierung erfordern. Der Einsatz der Version 2 von 3-D Secure sollte die möglichen negativen Auswirkungen auf die Umstellung so weit wie möglich beschränken. Kurz gesagt bedeutet die Version 2 von 3-D Secure: 

  • Sie müssen 3-D Secure vor dem 14. September 2019 implementieren, wenn Ihre Transaktionen unter die EU-Richtlinien PSD2 SCA fallen (wenn Sie 3-D Secure nicht bereits unterstützen). 
  • Wir empfehlen Ihnen (und es ist teilweise erforderlich), zusätzliche Datenpunkte zur Unterstützung der vom Aussteller durchgeführten Risikobewertung bei der Version 2 von 3-D Secure einzureichen.
  • Möglicherweise müssen Sie Ihre Datenschutzerklärung hinsichtlich der DSGVO aktualisieren, da Sie möglicherweise zusätzliche Datenpunkte mit Dritten teilen. 
  • Eine viel bessere Nutzererfahrung für Ihre Kunden

Die Erwartung am Markt besteht darin, dass ein erheblicher Prozentsatz der Transaktionen mit der Version 2 von 3-D Secure reibungslos abläuft, was im Vergleich zu den aktuellen Non-3-D Secure Bezahlungen nichts Zusätzliches vom Karteninhaber erfordert. Das bedeutet, dass Sie von der erhöhten Sicherheits- und Haftungsverlagerung durch die 3-D Secure-Programme profitieren, während die Umstellung in Ihrem Bezahlprozess nicht negativ beeinflusst werden sollte.

4.Worin besteht der Unterschied zwischen Freistellung und Ausschluss?

Ausschlüsse sind Transaktionen, die AUSSERHALB des Anwendungsbereichs der PSD2 SCA-Vorschriften liegen: 

  • Bestellung per E-Mail/telefonische Bestellung 
  • One leg journey – Käufer oder Karteninhaber befindet sich außerhalb der EWR-Zone. 
  • Anonyme Prepaid Karten
  • MIT (merchant initiated transaction) – vom Händler initiierte Transaktionen 

Freistellungen sind Transaktionen, die INNERHALB des Anwendungsbereichs der PSD2 SCA-Vorschriften liegen: 

  • Transaktionen von geringem Wert 
  • Abonnements 
  • Risikoanalyse 
  • Whitelisting
5. Welche Freistellungen gibt es für SCA?

Zur Vereinfachung für Händler und Verbraucher ermöglicht PSD2 einige Ausnahmen der Strong Customer Authentication. Wichtig ist, ist das alle Transaktionen, die zu einer Freistellung berechtigen, nicht automatisch freigestellt werden. Bei Kartentransaktionen entscheidet beispielsweise die kartenausgebende Bank, ob eine Freistellung genehmigt wird oder nicht. Selbst wenn eine Transaktion für eine Freistellung berechtigt ist, muss der Kunde also möglicherweise noch eine Strong Customer Authentication durchführen, wenn die kartenausgebende Bank diese verlangt.

 

  • Transaktionen mit geringem Wert: Diese Freistellung ist wahrscheinlich die am häufigsten verwendete. Die Freistellung besagt, dass ein Kunde, der einen Kauf für weniger als 30 Euro tätigt, von einer Strong Customer Authentication freigestellt werden kann. Diese Freistellung ist begrenzt, und wenn ein Kunde fünf solcher Transaktionen in Folge durchführt oder einen Wert von mehr als 100 Euro erreicht, wird immer eine Strong Customer Authentication verlangt. 
  • Abonnements: Eine weitere Art von Transaktionen, die freigestellt werden können, sind wiederkehrende Zahlungen und Abonnements, bei denen der Betrag für jede Transaktion gleich ist. Für diese Transaktionen ist eine Strong Customer Authentication nur dann erforderlich, wenn der Kunde sich zum ersten Mal für das Abonnement anmeldet und nicht für jede einzelne Transaktion. 
  • Risikoanalyse: Freistellungen können auch auf der Grundlage einer so genannten „Transaktions-Risikoanalyse“ erfolgen. Dies bedeutet, dass ein Zahlungsdienstleister wie wir bzw. unser Partner Ingenico ePayments Freistellungen für Transaktionen machen kann, die als „risikoarm“ gelten, basierend auf den Anforderungen der technischen Normen von PSD2. Diese Freistellung ist in Bezug auf den Transaktionswert begrenzt und gilt nur, wenn der Zahlungsdienstleister eine ausreichend geringe Betrugsrate für diese bestimmte Art von Transaktionen besitzt. 
  • Whitelisting: Eine letzte Freistellungsart wird als Whitelist Empfänger bezeichnet. Whitelisting bedeutet, dass ein Kunde bestimmte Zahlungsempfänger bei seiner kartenausgebenden Bank als „vertrauenswürdig“ registrieren kann. Auf diese Weise müssen sie keine Strong Customer Authentication durchführen, wenn sie an den betreffenden Empfänger bezahlen, vorbehaltlich der Vereinbarung mit der ausstellenden Bank.
6. Ist Credentials-/Card-on-file (COF) Teil der Ausschluss-/Ausnahmeliste?

COF in Kürze: Der Kunde leitet eine erste Transaktion mit einem Händler mit 3DS (CIT – customer initiated transaction) ein. Aus dieser ersten Transaktionserfahrung heraus kann der Händler wiederkehrende Transaktionen (Abonnement oder mit Zustimmung des Kunden -> Tokenisierung) durchzuführen. Diese sind als MIT (MIT – merchant initiated transction) gekennzeichnet.

MIT sind eine der im 3DSv2 vorgesehenen Ausnahmen, wenn sie die folgenden kumulativen Bedingungen erfüllen:

  • nachfolgende Transaktionen eines anfänglichen CIT 
  • CIT wurde mit einer obligatorischen Authentifizierung durchgeführt
  • Eine dynamische ID-Verknüpfung wird zwischen der anfänglichen CIT und den nachfolgenden MITs hergestellt

Nach der ersten Authentifizierung können die folgenden Ausnahmen/Ausschlüsse gelten:

  • Entweder wegen gesetzlich wiederkehrender Ausnahmen, die für Abonnements mit einem festen Betrag und einer festen Periodizität gelten (Händlern wird in der Tat empfohlen, sich für den vollen Betrag zu authentifizieren und Angaben zur Anzahl der vereinbarten Zahlungen mit Karteninhabern zu machen).
  • Entweder, weil andere Arten von Transaktionen vom Geltungsbereich von SCA ausgeschlossen sind… Auf alleiniges Risiko des Händlers im Falle einer Rückbuchung (Schutz auf den authentifizierten Betrag beschränkt) UND die Verpflichtung des Emittenten, dieses Risiko einzugehen:
    • Außerplanmäßiger COF: Das Prinzip der nachfolgenden Transaktionen wird mit dem Karteninhaber vereinbart, aber Betrag und/oder Periodizität sind nicht festgelegt
    • Branchenpraktiken: inkrementell, No-show, etc…

Für die Übergangszeit haben die Schemata eine Standard-ID definiert. Sie soll für nachfolgende MITs verwendet werden, die vor der Einführung von 3DS v2 erstellt wurden.

7. Was muss ich tun, um PSD2 und SCA zu erfüllen?

Zunächst müssen Sie sicherstellen, dass 3-DS in Ihrem Online-Shop für alle Zahlungsmethoden (Visa, MasterCard, American Express, Carte Bancaire, JCB) aktiviert ist. Wenn das nicht der Fall ist, wenden Sie sich bitte an unseren Support, der 3DS dann für Sie aktiviert.

Da 3-D Secure Version 2 (3DS v2) darauf abzielt, der ausstellenden Bank den SCA-Trigger (Strong Customer Authentication) zu erteilen, muss die ausstellende Bank das mit der Transaktion verbundene Risiko besser einschätzen. Infolgedessen enthält die 3DSv2-Spezifikation viele Datenelemente. Gute Nachrichten also, wenn Sie unser Betrugstool verwenden, da einige von ihnen bereits häufig in unserer Betrugsprüfung verwendet werden.  Natürlich sind einige neu und spezifisch für 3-D Secure v2. Zusammenfassend können die Datenelemente wie folgt kategorisiert werden:

  • Pflichtangaben – Browserdaten:
    • Integration mit einer Extension bzw. einem Plug-in? Bitte wenden Sie sich hierzu direkt an den Lieferanten Ihrer Extension bzw. Ihres Plug-ins da ggf. ein Update notwendig ist.
    • Wenn Sie unsere E-Commerce-Seite verwenden, werden obligatorische Informationen von uns bzw. unserem Partner Ingenico ePayments erfasst. Sie können direkt zu den unten empfohlenen Informationen gehen.
    • Wenn Sie Ihre eigene Zahlungsseite verwenden, müssen Sie die obligatorischen Informationen selbst erfassen. Auf unserer Support-Seite finden Sie eine Anleitung.
  • Empfohlene Informationen; diese können möglicherweise im Rahmen der Betrugspräventionsprüfung verwendet werden:
    • Karteninhabername (CN)
    • E-Mail-Adresse (EMAIL)
    • IP-Adresse (REMOTE_ADDR)
    • Telefonnummer (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber …)
    • Rechnungsadresse (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 …)
    • Lieferadresse (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 …)
    • Beachten Sie, dass die empfohlenen/optionalen Parameter angegeben werden sollten, damit Sie vom reibungslosen Durchfluss profitieren, der Ihren Umsatz steigern kann.
  • Optionale Informationen; erweiterte Karteninhaber-/Kontodaten, wie von EMVCo eingeführt: 
    • Mpi.cardholderAccountAgeIndicator
    • Mpi.cardholderAccountChange
    • Mpi.cardholderAccountPasswordChange
    • Mpi.suspiciousAccountActivityDetected
    • Mpi.threeDSRequestorChallengeIndicator

Unsere vorhandenen APIs erfassen bereits viele Datenelemente, aber wir fügen stetig viele neue Datenelemente hinzu. Wir glauben, dass jeder im Zahlungsökosystem von einer erhöhten Sicherheit profitiert, wobei die Erfahrung des Verbrauchers am wenigsten beeinträchtigt wird. Zahlungen basieren auf Vertrauen. Durch die Bereitstellung von mehr Daten wird es für Parteien einfacher, sich gegenseitig zu vertrauen, ohne dass zusätzliche Herausforderungen für die Authentifizierung des Verbrauchers erforderlich sind. Fast alle neu hinzugefügten Datenelemente sind optional. Wir empfehlen Ihnen jedoch, so viele wie möglich anzugeben. Dies erhöht die Wahrscheinlichkeit, dass Ihre Transaktionen dem reibungslosen Ablauf folgen, während Sie von einer Verschiebung der Haftung profitieren. Wenn Sie die von uns gehostete Zahlungsseite verwenden, erfassen wir die browserbezogenen Daten automatisch.

Das Ausmaß der erforderlichen Änderungen hängt von der Art der Integration mit Multipay ab.

8. Kann ich mit der Implementierung und dem Testen beginnen?

Ja, auf unserer Test-Plattform sind alle Vorkehrungen getroffen worden. Wir nutzen einen Simulator, um die verschiedenen Szenarios nachzustellen.

Wir stellen Test-Kreditkarten zur Verfügung, welche Sie sowohl auf unserer Support -Seite als auch in der Test-Umgebung finden können (Konfiguration > Technische Informationen > Test-Info). 

Da unsere TEST-Umgebung bereit ist, empfehlen wir Ihnen, so schnell wie möglich mit dem Testen Ihrer Integration zu beginnen.

Klicken Sie hier, wenn Sie die hosted eCommerce-Seite verwenden. Wenn Sie Ihre eigene Seite verwenden, klicken Sie hier.

9. Wie kann ich zusätzliche Daten für SCA erfassen?

Wenn Sie unsere Zahlungsseite nutzen, werden wir uns um alle obligatorischen Parameter kümmern. 

Wenn Sie Ihre Integration über DirectLink vorgenommen haben, d.h. Sie verfügen über eine eigene Zahlungsseite, können Sie unseren JavaScript-Code von unserer Support-Seite nutzen, um diese Daten zu erfassen. 

Für die Erfassung von optionalen Daten konsultieren Sie bitte unsere Support-Seite.

10. Was passiert, wenn der Händler keine V2-Pflichtfelder sendet?

Diese Situation ist nur möglich, wenn Sie über DirectLink (Merchant own page/FlexCheckOut) eingebunden sind, da wir auf der gehosteten Zahlungsseite die obligatorischen Daten sammeln.

Zuallererst identifiziert unser System den Fluss, der basierend auf den Kartennummern zu V1 oder V2 geleitet werden soll.

Wenn die Karte in V2 registriert ist, gibt es die folgenden möglichen Szenarien:

Pflichtdaten:

  • Wenn die falschen Daten übermittelt werden, wird die Transaktion blockiert
  • Wenn einige Daten fehlen, leiten wir Ihre Transaktion an Fluss V1 weiter.
  • Wenn keine Daten übermittelt werden, wird die Transaktion NICHT blockiert, sondern an Fluss V1 umgeleitet.

Empfohlene oder optionale Daten:

  • Wenn keine Daten übermittelt werden, wird die Transaktion NICHT blockiert, kann jedoch nicht von der Ausnahme profitieren.