Chargement...

Soft Decline, aktive Authentifizierung, Authentifizierung im Hintergrund: kleines 3DSV2-Vokabular 

7 April 2022

Business insight

Im Rahmen der europäischen Zahlungsdiensterichtlinie (PSD2) ist eine starke Kundenauthentifizierung seit Anfang des Jahres verpflichtend und auf alle Online-Transaktionen anwendbar, seit April auch unabhängig vom Betrag der Transaktion. Das erforderliche starke Authentifizierungsprotokoll ist 3DSv2, die neue Version von 3D Secure, die mehr Flexibilität bei der Verwendung bietet.

 

Um alles dafür zu tun, Ihren Kunden ein reibungsloses Einkaufserlebnis zu bieten, sollten Sie das 3DSv2-Vokabular aus dem Effeff kennen! Hier ist unser Wortschatz zu den wichtigsten Begriffen, die Sie kennen sollten.

 

Kleines 3DSv2-Vokabular

 

PSD2

Die überarbeitete europäische Zahlungsdiensterichtlinie zielt darauf ab, den Verbraucherschutz zu stärken, Innovation zu fördern und die Sicherheit von Zahlungsdienstleistungen in der gesamten Europäischen Union zu verbessern, und zwar mittels Harmonisierung und Stärkung der Sicherheit von Online-Zahlungen. Sie trat Anfang 2018 in Kraft und ermöglichte unter anderem die Senkung der Selbstbeteiligung bei Betrug, kürzere Zahlungsfristen und die Abschaffung der Gebühren bei der Zahlung per Bankkarte.

 

Siehe auch PSD2 für Marktplätze: wie funktioniert das?

 

Regulatory Technical Standards

 

Regulatory Technical Standards (RTS) sind regulatorisch technische Anforderungen, die eine zur Erreichung der PSD2-Ziele starke Kundenauthentifizierung definieren. Sie gelten für alle von Käufern mit einer Bankkarte getätigten Online-Zahlungen.

 

Starke Authentifizierung / Strong customer Authentication (SCA)

 

Zur Stärkung der Sicherheit von Online-Transaktionen, verpflichtet die PSD2 zur Authentifizierung des Käufers mit mindestens zwei voneinander unabhängigen Authentifizierungsfaktoren, das heißt, dass bei Ungültigkeit eines Faktors nicht automatisch der andere ungültig ist (z. B. ein Passwort und ein Fingerabdruck). Dabei kann auf 3 Faktoren zurückgegriffen werden: Besitz, Wissen oder Inhärenz.

 

Authentifizierungsfaktoren

Ein Authentifizierungsfaktor ist ein Mittel, um sicherzustellen, dass die Person, die den Online-Kauf durchführt tatsächlich der Zahlungskarteninhaber ist. Es kann sich dabei um einen Code, ein Passwort oder einen Fingerabdruck handeln. Es gibt 3 Arten von Authentifizierungsfaktoren:

 

Wissensfaktoren

Eine Angabe, die nur der Käufer und der Zahlungskartenaussteller kennen. Dabei kann es sich um einen Code, ein Passwort oder eine Geheimfrage handeln.

 

Besitzfaktoren

Eine Angabe, die nur von einem Gerät (Smartphone) oder einem Datenträger abgerufen werden kann, die dem Käufer gehören, wie etwa der Versand eines einmalig nutzbaren Codes. Hier ist zu erwähnen, dass eine Bestätigung per SMS von der Europäischen Bankenaufsichtsbehörde (EBA) nicht als starke Authentifizierungsmethode anerkannt wird.

 

Inhärenzfaktoren

Eine Angabe, die nur dem Käufer gehört, wie etwa seine biometrischen Daten (Fingerabdruck, Gesichtserkennung usw.).

 

Soft Decline

 

Soft Decline ist ein Mechanismus bei dem der Aussteller der Zahlungskarte (die Issuing Bank) eine Transaktion, die nicht mit der PSD2 konform ist, ablehnen kann, dem Händler dabei aber die Möglichkeit lässt, die Transaktion erneut einzureichen, in diesem Fall aber mit einer starken Authentifizierung.

 

Aktive Authentifizierung und Authentifizierung im Hintergrund

 

Der Händler hat die Möglichkeit eine Befreiung von der 3DS zu beantragen. Diese kann zu zwei Szenarien führen:

  • Aktive Authentifizierung: Das 3DSv2-Protokoll wird ausgelöst und die Transaktion muss aktiv authentifiziert werden
  • Authentifizierung im Hintergrund: Die Transaktion läuft für den Käufer reibungslos ab und er muss sich nicht aktiv authentifizieren.

 

 Im Fall einer Authentifizierung im Hintergrund nach Ausnahmeantrag trägt der Händler die Verantwortung, falls es zu einem Betrug kommt.

 

Keine Präferenz

 

Der Händler kann es seiner Bank überlassen, ob die Transaktion einer aktiven Authentifizierung unterzogen wird oder nicht. Die Bank überprüft das Risiko und bestätigt den Vorgang oder verlangt eine aktive Authentifizierung. In diesem Fall trägt die Bank bei einem Betrug die Verantwortung.

 

Dieses neue Regelwerk zur Verbesserung der Sicherheit von Online-Zahlungen bietet Zahlungsdienstleistern wie Lemonway die Möglichkeit zu mehr Innovation und dazu, seinen Kunden mit immer reibungsloseren und sichereren Transaktionen zur Seite zu stehen.

Möchten Sie mehr darüber erfahren? Kontaktieren Sie uns!