3-D Secure jetzt und damals

Was ist 3-D Secure?

3-D Secure ist eine zusätzliche Sicherheitsebene für Online Kredit- und Debitkarten-Transaktionen. Eingeführt im Jahr 1999, soll 3DS den Betrug bei Online-Transaktionen reduzieren. Es funktioniert, indem es der Bank des Karteninhabers ermöglicht, zu beweisen, dass der Kunde, der einen Kauf tätigt, der legitime Benutzer der Kredit- oder Debitkarte ist. Das Grundkonzept des Protokolls besteht darin, den finanziellen Autorisierungsprozess mit der Online-Authentifizierung zu verbinden. Diese zusätzliche Sicherheitsauthentifizierung basiert auf einem Drei-Domain-Modell. Die drei Domänen sind:

Die Merchant/Acquirer Domäne: der Bank und der Händler, an den das Geld gezahlt wird.
Die Issuer Domäne: die Bank, die die verwendete Karte ausgestellt hat.
Die Interoperabilität Domäne: die vom Kartensystem bereitgestellte Infrastruktur zur Unterstützung des 3-D Secure-Protokolls. Sie umfasst das Internet, das Händler-Plug-in (MPI), den Zugangskontrollserver und andere Softwareanbieter.

Der Vorteil von 3DS ist, dass es eine zusätzliche Sicherheitsebene ist, die das Risiko von Chargebacks reduziert. Wenn es zu einem Chargeback kommt, wird die Haftung in der Regel auf die Bank des Karteninhabers verlagert, da dort die erfolgreiche Authentifizierung stattgefunden hat. Bei einer Transaktion mit 3-D Secure wird eine Weiterleitung zur Autorisierung auf die Website der kartenausgebenden Bank veranlasst. Die Issuing Bank kann jede beliebige Authentifizierungsmethode verwenden, die gängigste Methode ist jedoch die Verwendung eines an die Karte gebundenen Passworts.

Beispiele von 3DS Version 1 beinhalten:

Verified by Visa
Mastercard ID Check
American Express SafeKey

Was sind die Herausforderungen von 3DS?

Als der 3DSv1 Standard eingeführt wurde, waren Technologien, die wir heute als selbstverständlich ansehen - wie z. B. Smartphones - noch nicht erfunden oder noch nicht weit verbreitet. Obwohl 3DSv1 eine leistungsstarke und weit verbreitete Lösung zur Betrugsbekämpfung war, war sie nicht ohne Mängel. Verbraucher brachen immer wieder den Bezahlvorgang ab, da 3DSv1 keine nativen In-App- und mobilen Abläufe hatte. Statische Passwörter wurden häufig vergessen und verursachten Reibungsverluste, was die Abbruchrate bei der Bezahlung erhöhte. Außerdem entstanden zusätzliche Betriebskosten für Issuer, da Kunden Unterstützung benötigten, um statische Passwörter zurückzusetzen.

Da die Zahlungsabwicklung immer ausgefeilter wurde, sind viele Banken zu einem risikobasierten Ansatz übergegangen, der die Kunden weniger fordert. Bei einem statischen Passwort besteht jedoch immer die Gefahr des Phishings. Dies geschieht, wenn ein Verbraucher auf eine Seite geleitet wird, die von Betrügern betrieben wird, die dann die Details übernehmen und Einkäufe mit Ihrer Karte tätigen.

Wie unterscheidet sich 3-D Secure Versions 2 (3DSv2)?

3-D Secure 2 behebt die Schwachstellen von 3-D Secure 1. Es bietet eine reibungslosere und konsistentere Benutzererfahrung über alle Geräte hinweg und ermöglicht einen Datenaustausch, der dazu beiträgt, Betrug zu verhindern und Reibungsverluste zu reduzieren.

Wenn ein Karteninhaber eine Online-Zahlung unter 3DSv2.x vornimmt, werden über 100 Datenpunkte erzeugt. Diese Informationen werden zwischen dem Händler und dem Issuer ausgetauscht. Die Daten werden dann vom Issuer verwendet, um ein Risikoprofil der Zahlung zu erstellen, wodurch die Zahlung sicherer wird. Der Unterschied besteht darin, dass dies im Hintergrund geschieht, anstatt den Benutzer aufzufordern, zufällige Zeichen eines statischen Passworts einzugeben. Dieser reibungslose Ablauf verbessert das Kundenerlebnis erheblich und soll langfristig zu weniger Zahlungsabbrüchen führen.

Wenn die Transaktion als zu risikoreich eingestuft wird, wird der Verbraucher zu weiteren Authentication Checks aufgefordert. Unter der PSD2 Strong Customer Authentication (SCA) ersetzt diese Art der erweiterten Zahlungsauthentifizierung ein statisches Passwort durch eine "Zwei- oder Drei-Faktor"-Authentifizierung; "was Sie wissen", "wer Sie sind" oder "was Sie haben". Indem Biometrie (Fingerabdrücke, Gesichtserkennung) in den Mittelpunkt des Verifizierungsprozesses gestellt wird, ist diese Art der Authentifikation sofort besser in der Lage, den Authentifizierungsprozess für eCommerce und mCommerce zu managen, der für die Kundenerfahrung im Online-Handel unerlässlich ist.

Während alle Transaktionen über 3DSv2 abgewickelt werden müssen, geht Visa davon aus, dass die Strong Customer Authentication (SCA) nur für ca. 5 % der Transaktionen erforderlich sein wird.

Welche Zahlungen werden von 3DSv2 SCA ausgeschlossen?

Transaktionen mit geringem Wert: Ausnahmen werden für Transaktionen unter 30 EUR gewährt. Issuer können jedoch nach fünf Transaktionen oder wenn der aggregierte Betrag 100 EUR übersteigt, SCA verlangen.

Subscriptions und wiederkehrende Zahlungen: Subscriptions oder wiederkehrende Transaktionen mit einem festen Betrag sind ab der zweiten Transaktion ausgenommen. SCA ist nur bei der ersten Transaktion oder bei Änderung des Betrags erforderlich

Mail Order und Telephone Orders (MOTO): MOTO Transaktionen sind von dem neuen Standard ausgeschlossen.

Im Moment unterstützen die meisten großen Kartensysteme sowohl 3DSv1 als auch 3DSv2, damit die Beteiligten auf jede Version der Daten reagieren und die erfolgreichen Transaktionen für die Kunden erhöhen können. Dies ändert sich jedoch, und bald wird 3DSv1 nicht mehr unterstützt. Wie die Card Schemes 3DSv2 implementieren, können Sie hier nachlesen.

Wie kann ich meinen Online Handel auf 3DSv2 vorbereiten?

Mit den Änderungen und Updates in der Zahlungsindustrie Schritt zu halten, kann eine Herausforderung sein. Wenn Sie mit neuen Gateways arbeiten, ist es keine nachhaltige Lösung, sich auf Zahlungsdienstleister zu verlassen, die Sie über kritische Updates - wie 3DSv2 oder die recurring Payments von VISA - informieren. Eine Möglichkeit, dieses Problem zu vermeiden, ist der Einsatz einer Payment Orchestration Platform. Es mag zwar paradox erscheinen, einen weiteren Anbieter in den Mix zu bringen, aber die einzige Aufgabe einer Payment Orchestration Platform ist es, als technologische Schicht zwischen Ihrem eCommerce und Ihren Zahlungsanbietern zu fungieren. Dieser Puffer spart Ihnen nicht nur Zeit und Energie, wenn es um die allgemeine Verwaltung Ihres Payment Stacks geht, sondern ist auch eine Form des Schutzes.

3DSv2 ist bereits im Einsatz, und viele Kunden von IXOPAY haben es übernommen, um ihren Kunden eine intuitive Checkout-Lösung zu bieten. Als Best-of-Breed Payment Orchestration Plattform ist IXOPAY auch PCI-3DS zertifiziert und stellt sicher, dass alle Connections auf dem neuesten Stand und konform mit den neuen Vorschriften sind. Damit Unternehmen florieren, ist Kommunikation der Schlüssel; wir stellen sicher, dass unsere Kunden über Branchenänderungen und andere Themen, die ihr Geschäft betreffen könnten, auf dem Laufenden gehalten werden. So können sich die Nutzer der Plattform auf ihr Kerngeschäft konzentrieren. Um mehr darüber zu erfahren, was IXOPAY für Ihr Unternehmen tun kann, nehmen Sie Kontakt mit unserem Sales-Team auf, das Ihnen gerne mehr über unsere Lösung erzählen wird.

IXOPAY ist bereit, sind Sie es auch?

Switchen Sie jetzt auf 3DSv2

Kontakt

Über IXOPAY

IXOPAY ist eine Payment Orchestration Plattform, die unabhängiges, flexibles und globales payment processing ermöglicht. Als hoch-skalierbarer und PCI-DSS zertifizierter “Fintech Enabler”, erfüllt IXOPAY sowohl die Wünsche von großen Kunden, als auch jene von “White Label” Kunden, wie z.B. Payment Service Providern, Acquirern und unabhängiges Sales Organisations (ISOs). Die moderne, leicht erweiterbare Architektur bietet intelligente Routing- und Cascading-Funktionen sowie modernstes Risikomanagement, automatisierte Reconciliation und Settlement Funktionalitäten mit Plugin-basierten Integrationen von Acquirern, Payment Service Providern und alternativen Zahlungsmethoden (APMs).

IXOPAY ist Teil der 2001 gegründeten IXOLIT Group, die nationale und internationale eCommerce Kunden aus Wien, Österreich und Florida, USA betreut. Das inhabergeführte und finanzierte Unternehmen ist von einem zwei-köpfigen Team zu einem IT-Spezialisten mit über 65 Experten gewachsen, das innovative Lösungen und Produkte im Herzen von Wien entwickelt.

Weitere Informationen zu IXOPAY: https://www.ixopay.com

Das könnte Sie ebenfalls interessieren:

News

17.04.2024

IXOPAY and TokenEx Merger: A New Era in Payment...

Rene Siegl shares his opinion on IXOPAY's merger with TokenEx

Die MPE hat einen entscheidenden Einfluss auf die Trends des kommenden Jahres, daher haben wir...

Mehr

Expertise

20.03.2024

Gesetzgebung nimmt BNPL-Reform ins Visier

BNPL ist beliebt. Die Gesetzgeber hingegen stufen BNPL zunehmend als problematisch ein.

Mehr

Partner	Name	Beschreibung	Dauer
IXOPAY GmbH	cookiesConsent	Cookie Banner. Speichert Ihre Cookie Einstellungen.	12 Monate
IXOPAY GmbH	_fm	Nutzerorientierter Sicherheitscookie, um Authentifizierungsmissbrauch zu erkennen. Filtert Websiteaufrufe aus, die durch Computer (Bots) erzeugt wurden.	30 Minuten
Google Ireland Limited	reCAPTCHA	Nutzerorientierter Sicherheitscookie, um zu prüfen, ob Eingaben in unsere Kontakt- und Newsletterformulare durch einen Menschen oder missbräuchlich computergeneriert erfolgen.	6 Monate
Cloudflare Inc.	cf_clearance	Wird von Cloudflare (Website-Sicherheitsnetzwerk) verwendet, um vertrauenswürdigen Webverkehr zu identifizieren und unsere Website vor bösartigen Aktivitäten zu schützen (siehe Cloudflares Cookie Informationen).	30 Minuten

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_ga	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	2 Jahre
Google Ireland Limited	_gid	Analyse-Cookie des Services Google Analytics zur Unterscheidung von Besuchern. Erfasst Daten über die Anzahl der Besuche und die User Journey.	24 h
Google Ireland Limited	_gat_ua-keynumber	Analyse-Cookie des Services Google Analytics zur Drosselung der Request Rate (Anfragerate) auf Websites mit starker Auslastung.	Sitzung
Google Ireland Limited	_ga_container-id	Cookie des Services Google Analytics 4. Dieses Cookie wird verwendet, um den Sitzungsstatus zu erhalten.	12 Monate
Microsoft Ireland Operations Limited	Clarity	Analyse-Service, der Ihre Interaktionen auf der Website erfasst, zB wie die Website gerendert wurde und welche Interaktionen Sie auf der Website hatten (Surfverhalten: Mausbewegungen, Klicks, Scrollverhalten). Microsoft erhebt oder erhält personenbezogene Daten von uns für Microsoft Werbezwecke (siehe Microsoft Privacy Statements). Vertrauliche Inhalte wie Passwörter, Usernamen und Nutzereingaben werden vor der Übermittlung an Microsoft durch Platzhalter ersetzt.	12 Monate
Dealfront Group GmbH	_lfa	Analyse-Service, der die IP Adresse erhebt, um Besuche von Unternehmen und deren Standort zu erfassen. Dealfront filtert automatisch alle Besucher mit einer auf einen Wohnsitz bezogenen IP Adresse aus, und erfasst somit nur unternehmerische Besuche. Erhobene Daten werden auf Unternehmensebene aggregiert (kein Personenbezug). Über eine Verbindung zu Google Analytics zeigt uns Dealfront die Website-Interaktionen der Besuche von Unternehmen an (besuchte Seiten, Quelle des Besuchers, Dauer der Session). Dealfront reichert diese Firmeninformationen mit aus öffentlichen Quellen (bspw LinkedIn) abrufbaren Kontaktdaten natürlicher Personen an.	24 Monate

Partner	Name	Beschreibung	Dauer
Google Ireland Limited	_gcl_au	Conversion-Cookie des Services Google Ads, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren.	3 Monate
Google Ireland Limited	_gac_gb_container-id	Cookie zur Verknüpfung von Google Analytics und Google Ads. Dieses Cookie wird von den Website-Conversion-Tags von Google Ads ausgelesen.	90 Tage
Microsoft Ireland Operations Limited	Universal Event Tracking (UET)	Conversion-Cookie des Services Microsoft Advertising, um die Wirksamkeit von Werbung auf unseren Websites und auf Webseiten unserer Marketing- & Werbepartner zu evaluieren. Grundsätzlich werden der Cookie der entsprechenden Domain und Ihre IP Adresse nicht nur über den UET, sondern mit jeder Anfrage (http request) an Microsoft weitergegeben.	13 Monate