Am 14. September 2019 erfolgt die Aktualisierung des 3D Secure Authentifizierungsprotokoll auf die Version 2.0. Diese neue Version ist eine großartige Gelegenheit, das Einkaufserlebnis Ihrer Kunden zu erleichtern und gleichzeitig das Risikomanagement für E-Commerce-Transaktionen zu verbessern.

Aktuelle Version von 3D Secure: 3DS 1.0

Derzeit werden Käufer bei aktiviertem 3D Secure auf eine von ihrem Issuer verwaltete Seite weitergeleitet, um sich über ein für diesen Aussteller spezifisches System (SMS-Code, Taschenrechner, etc.) zu authentifizieren.

Diese erste,  2002 von Visa und MasterCard entwickelte Version von 3D Secure,  war eine erste Reaktion im Hinblick auf die Sicherung von E-Commerce-Transaktionen. Seit 2008 ist es von den meisten Händlerseiten in Verwendung. Dieser Prozess war angesichts der oft unvollständigen Informationen über die Karteninhaber nicht immer erfolgreich.

In den meisten Fällen wird dem E-Merchant ermöglicht, von einer Haftungsänderung zu profitieren, wenn die 3D Secure-Authentifizierung erfolgreich ist. Dies erfordert jedoch eine Störung im Einkaufsprozess und kann zu Zahlungsausfällen führen.

Aus diesem Grund entscheiden sich bestimmte E-Händler mit Zustimmung ihrer Bank oder über Risikomanagementmodule dafür, 3D Secure nach ihren eigenen Geschäftsregeln zu deaktivieren.

Vorteile und Möglichkeiten von 3DS 2

Authentifizierung im Pop-in-Modus

Eine Überprüfung des folgenden Anwendungsfalles wurde durchgeführt: Die Umleitung zu einer Authentifizierungsseite. Diese führte früher oftmals zu abgebrochenen Zahlungen. Die Authentifizierung erfolgt nun im Pop-In-Modus (ein Fenster, das sich im Browser des Käufers öffnet).

Im Gegensatz zur Umleitungsseite in 3D Secure 1 ist es nun möglich, dem Authentifizierungsserver die Größe des Käuferbildschirms anzugeben, und das Pop-in-Fenster muss sich an die Größe der Seite anpassen. Dies verbessert die Benutzerfreundlichkeit, insbesondere auf mobilen Geräten (natürlich nur, wenn der Authentifizierungsserver des Ausstellers die Parameter der Bildschirmgröße unterstützt).

Einfache Authentifizierung(Frictionless authentification): eine Authentifizierung ohne systematische Interaktion mit dem Käufer.

Mit dem 3DS 2.0-Protokoll werden neue Daten zwischen dem Händler und dem Issuer (dem Kartenherausgeber des Karteninhabers) ausgetauscht. Der Issuer kann den Erhalt eines digitalen Fingerabdrucks verlangen, wie beispielsweise die IP-Adresse des Käufers, den Gerätetyp, den Browser, die Version des Betriebssystems usw.

Die Analyse dieser angereicherten Daten gibt dem Issuer folgende Entscheidungsmöglichkeiten:

  • Ob eine starke Authentifizierung des Karteninhabers ausgelöst wird oder nicht. Das heißt ob der Käufer aufgefordert wird, ergänzende Daten einzugeben (starke Authentifizierungsmethoden werden vom Issuer durchgeführt und müssen sich zu biometrischen Lösungen entwickeln, um schließlich SMS-Codes zu eliminieren, die bekanntermaßen nicht sehr zuverlässig sind).
  • Ob der Zahlungsprozess ohne Interaktion mit dem Käufer unter Beibehaltung der Haftungsänderung abgeschlossen werden soll oder nicht. Dieser Prozess wird als “frictionless authentification (einfache Authentifizierung)” bezeichnet.

Wenn der Issuer beschließt, keine starke Authentifizierung auszulösen, folgt die Haftungsänderung den bestehenden Regeln und der Käufer muss keine zusätzlichen Informationen eingeben. Es gibt keine Interaktion zwischen dem Issuer und dem Käufer.

Zusammenfassend

Die Ziele sind:

  • Ein Maximum an Zahlungen ohne Authentifizierung des Karteninhabers zu transformieren, um das Kundenerlebnis zu optimieren. Ziel des Kartensystems ist es, 85 % der Zahlungen ohne Authentifizierung des Karteninhabers unter Beibehaltung der Haftungsänderung zu erhalten.
  • Dies dient der Minimierung von Betrug und damit entstehenden Rückbuchungsraten.

Ausnahmen

Im Rahmen der regulatorischen Verpflichtungen wird 3DS-2-Protokoll zwingend auf alle E-Commerce-Websites angewendet.
Einige Zahlungen können davon jedoch ausgeschlossen werden. Diese erfolgen daher ohne starke Authentifizierung des Karteninhabers, wenn sie unter die von der PSD2 definierten Kriterien fallen (z.B.: geringer Betrag, vertrauenswürdige Begünstigte usw.).

Im Gegensatz zur aktuellen Version von 3DS können Issuer die Zwangsabschaltung von 3DS bei Online-Zahlungen ablehnen und eine Authentifizierung des Karteninhabers verlangen, z.B. wenn sie eine ungewöhnliche Situation feststellen (Zahlung von einem neuen Gerät, einem fremden Land, etc.).

Weltweiter Einsatz von 3D Secure 2 in der ganzen Welt

3DS 2 über die PSD2 richtet sich in erster Linie an europäische Länder, jedoch ist  3DS 2 ein weltweites Protokoll. Visa, MasterCard, CB, CUP, Diners und Amex haben es inzwischen übernommen. Andere Länder wie Chile, Kolumbien und Peru haben dieses starke Authentifizierungsprotokoll bereits eingeführt. Was Brasilien betrifft, so hat es seine umfassende Umsetzung angekündigt. Innovationen bei den Authentifizierungssystemen (digitaler Fingerabdruck, Gesichtserkennung, Online-Banking usw.) sollten sich auf allen Kontinenten verbreiten.

Sollten Sie fragen haben zögern Sie nicht unser Team zu kontaktieren. Gerne auch telefonisch unter: (+49)69 – 59 77 17 27.