3-D Secure 2.0: Sichere, benutzerfreundliche Authentifizierung im Online-Zahlungsprozess
Ein starkes Authentifizierungsverfahren im Online-Zahlungsverkehr ist für die Gewährleistung einer hohen Betrugssicherheit unverzichtbar.
Bereits heute sind viele Kreditkarten mit dem Sicherheitsstandard 3-D Secure versehen. Im klassischen 3-D Secure-Verfahren muss sich der Karteninhaber vor der Online-Bezahlung in einem separaten Fenster authentifizieren. Durch diese zusätzliche Authentifikation wird die Karte besser gegen Missbrauch geschützt, bei gleichzeitiger Verlagerung der Haftung für Chargebacks auf den Issuer. Die Entscheidung über die Verwendung von 3-D Secure 1.0.2 (3-DS) liegt letztendlich aber beim Händler und seiner Bank (Acquirer).
Auch wenn zwischenzeitlich viele Kreditinstitute auf ein dynamisches Verfahren zur Authentifizierung umgestellt haben (z.B. Out-Of-Band Authentication), ist die aktuelle Version des 3-DS Sicherheitsstandards nicht mehr zeitgemäss. Das Verfahren ist wenig benutzerfreundlich und führt zu häufigen Abbrüchen im Checkout-Prozess. Kurzum, 3-DS wurde vom Handel und den Konsumenten nur beschränkt angenommen.
EMVCo – ein Verbund der grossen Kreditkartenorganisationen – hat die Herausforderungen vor geraumer Zeit erkannt, das bestehende Sicherheitsverfahren überdacht und mit 3-D Secure 2.0 (3-DS 2.0) einen neuen, einheitlichen Standard verabschiedet. Ziel ist es, ein positives, reibungsloses Einkaufserlebnis im E-Commerce zu schaffen und dennoch die höchstmögliche Sicherheit zu garantieren.
Gemäss EMVCo bringt 3-DS 2.0 die folgenden Vorteile gegenüber 3-DS:
- Vollständige Integration der Kundenauthentifizierung in den Verkaufsprozess sowohl im Webshop als auch in einer App.
- Die risikobasierte Authentifizierung erlaubt eine reibungslose Abwicklung der Transaktionen. Im sogenannten «Frictionless Flow» werden risikoarme Transkationen auf Basis der im Hintergrund übermittelten Daten identifiziert. Eine echte Kundenauthentifizierung ist in solchen Fällen nicht mehr erforderlich. Der Checkout-Prozess erfolgt somit ohne Unterbrechung durch den 3-DS-Prozess.
- Die initiale Registrierung des Karteninhabers während des Checkout fällt weg.
- Unterstützung von sicheren und benutzerfreundlicheren Technologien und Standards zur Benutzerauthentifizierung wie Biometrie, dynamisches Passwort, Out-of-Band und Token-basierte Authentifizierung.
- 3-DS 2.0 dient der Umsetzung der technischen Anforderungen RTS (Regulatory Technical Standard) der neuen Europäischen Zahlungsrichtlinie PSD2 (Payment Service Directive 2).
Zurzeit arbeiten Issuer, Acquirer, Payment Service Provider (PSP) sowie weitere wichtige Akteure im Markt an der technischen Umsetzung und Implementierung von 3-DS 2.0.
Laut Aussage der Kredikarten-Schemes tritt der neue Standard im April 2019 in einer ersten Reihe von Ländern verbindlich in Kraft. Ab diesem Zeitpunkt muss 3-DS 2.0 von den Acquirern und Issuern, aber auch von den Händlern verbindlich unterstützt werden. Nach Angaben von EMVCo wird 3-DS 2.0 jedoch parallel zur Vorgängerversion laufen.
Datatrans empfiehlt ihren Kunden, die 3-DS 2.0-Anforderungen sowie die geplanten Termine für die technische Umsetzung zusammen mit ihren Acquirern zu erörtern. Entsprechende technische Lösungen werden von Datatrans zu gegebener Zeit bereitgestellt.
Infos
Weitere Informationen zu 3-DS 2.0 finden Sie unter: https://www.emvco.com
Datatrans wird Sie über die Entwicklungen in den Bereichen PSD2 und 3-DS 2.0 weiter informieren. Haben Sie Fragen zu diesen Themen? Sie können uns gerne unter der folgenden E-Mail-Adresse kontaktieren: support@datatrans.ch