3D Secure 2: Authentifizierungslösungen

Der sicherste Weg für Ihre Zahlungen

Mit dem Inkrafttreten der neuen PSD2-Richtlinie im September 2019 ist es für alle Online-Händler, die Kreditkarten akzeptieren, notwendig, sich den neuen Sicherheitsstandards anzupassen. So sind zur Umsetzung der starken Kundenauthentifizierung (SCA) beispielsweise mehr Datenfelder oder auch zusätzliche Schritte innerhalb des Transaktionsablaufs erforderlich.

Damit Sie schnell und einfach die notwendigen Anforderungen erfüllen können, finden Sie im Folgenden für alle Integrationsmethoden die jeweilige Lösung für 3D Secure 2 von Wirecard.

Erste Schritte für eine reibungslose Implementierung von 3D Secure 2

Um einen reibungslosen Wechsel auf 3D Secure 2 sicherzustellen, empfehlen wir Ihnen folgende Schritte als Best Practices für die Implementierungsphase:

  1. Informieren Sie sich über 3D Secure 2 und darüber, was das Verfahren für Ihr Unternehmen bedeutet.
  2. Weitere Informationen finden Sie in der entsprechenden technischen Dokumentation zu Ihrer jeweiligen Integrationsmethode für das Wirecard Payment Gateway.
  3. Stellen Sie sicher, dass zusätzliche Transaktionsdaten entsprechend den Vorgabe zu Pflichtfeldern für 3D Secure 2 erhoben werden. Diese Tabelle bietet Ihnen eine vollständige Übersicht.
  4. Führen Sie anschließend Transaktionstests für 3D Secure 2 in der Wirecard Testumgebung durch. Verwenden Sie hierfür unsere vorkonfigurierten Testkarten, um die verschiedenen Szenarien für 3D Secure 2 zu simulieren.
  5. Klären Sie mit Ihrer Rechtsabteilung, ob eine Aktualisierung der Allgemeinen Geschäftsbedingungen auf Ihrer Website erforderlich ist.
  6. Aktualisieren Sie die Logos für 3D Secure auf Ihrer Webseite.
  7. Stellen Sie im Livebetrieb auf 3D Secure 2 um. Sie können die Transaktionen direkt über das Wirecard Enterprise Portal überwachen.

 

 

Einfache Integration von 3D Secure 2

In der nachfolgenden Tabelle finden Sie für jede Integrationsmethode den jeweiligen Implementation Guide. Bei Fragen oder Anmerkungen steht Ihnen unser Support-Team über folgende E-Mail-Adresse gerne zur Verfügung: 3ds.support@wirecard.com

Sollten Sie unsere Lösungen über einen Drittanbieter beziehen, wenden Sie sich für weitere Informationen bitte direkt an Ihren dortigen Ansprechpartner.

REST API

Sie sind über eine Programmschnittstelle, sprich über URL-Pfade mit unseren Bezahllösungen verbunden? 

Payment Page

Sie verwenden zur Abwicklung von Online-Zahlungen eine Bezahlseite von Wirecard (Wirecard Payment Page)?

Finden Sie hier Ihre Lösungen für die Wirecard Payment Page:

Mobile SDK

Sie bieten Ihren Kunden die Möglichkeit, über eine mobile App (ganz gleich ob für iOS- oder Android-Geräte) Zahlungen zu tätigen?

Shop Extension

Sie nutzen eine oder mehrere Shop-Extensions für Ihre Shop Systeme, mit denen Sie Ihre Zahlungen abwickeln? 

Auf unserer Download-Seite finden Sie 3D-Secure-konforme Shop Extensions für die folgenden Shopsysteme:

  • Magento 1
  • Magento 2
  • OpenCart
  • PrestaShop
  • Salesforce Commerce Cloud
  • SAP Commerce
  • Shopify
  • WooCommerce

Die 3D-Secure-konformen Lösungen folgender Shop Extensions befinden sich derzeit noch in Entwicklung:

  • OXID
  • Shopware

 

FAQs zu 3D Secure 2

Wenn sich Ihre Kartenakzeptanzstelle innerhalb des Europäischen Wirtschaftsraums befindet und Sie Kreditkarten online akzeptieren, müssen Sie 3D Secure 2 einsetzen.

3D Secure 2 ist die Lösung der Kreditkartenunternehmen, um den Anforderungen einer starken Kundenauthentifizierung (SCA) nachzukommen. Die Teilnahme an 3D Secure 2 ist die einfachste Möglichkeit, SCA umzusetzen.

SCA ist seit 14. September 2019 im Rahmen der überarbeiteten EU-Zahlungsdiensterichtlinie (PSD2) verpflichtend. Allerdings wurde die Umsetzungsfrist verlängert.

Die Europäische Bankenaufsichtsbehörde (EBA) gab in ihrer jüngsten Stellungnahme vom 16. Oktober 2019 bekannt,
dass die endgültige Umsetzung der SCA-Anforderungen für Onlinetransaktionen bis zum 31. Dezember 2020 abgeschlossen sein muss.

Als Reaktion auf diese Ankündigung der EBA erwarten wir, dass auch die zuständigen nationalen Behörden (NCAs) weitere Stellungnahmen veröffentlichen und die von der EBA gesetzte Umsetzungsfrist übernehmen.

Die geltenden Anforderungen und Fristen für die einzelnen Märkte entnehmen Sie bitte dem Abschnitt „Aktuelle Veröffentlichungen“, den Sie weiter oben auf dieser Seite finden. Durch Klicken auf die jeweiligen Kacheln werden die zugehörigen Informationen angezeigt.

Wir empfehlen Händlern dringend, 3D Secure 2 so schnell wie möglich in ihre Online-Bezahlvorgänge zu integrieren. Informationen dazu, wie Sie bei der Implementierung von 3D Secure 2 am besten vorgehen, finden Sie unter den einzelnen Integrationsverfahren für Wirecard. 

https://www.wirecard.de/3d-secure-2/merchantform/static/ 

Seit September 2019 ist die starke Kundenauthentifizierung (SCA) für Onlinezahlungen im Europäischen Wirtschaftsraum verpflichtend.

Händler müssen bis spätestens 31. Dezember 2020 – der von der Europäischen Bankenaufsichtsbehörde festgelegten Frist – auf 3D Secure 2 umstellen.

Nach Ablauf dieser Frist werden Finanzinstitute Transaktionen, die nicht SCA-konform sind, ablehnen. Zudem drohen Onlinehändlern, die die SCA-Anforderungen nicht erfüllen, rechtliche Konsequenzen.

 

Obwohl die starke Kundenauthentifizierung (SCA) generell für Zahlungstransaktionen innerhalb des Europäischen Wirtschaftsraums eingesetzt werden muss, gibt es einige Ausnahmen, die auch nach September 2019 weiterhin gelten. Eine umfassende Übersicht über diese Ausnahmen finden Sie hier:
https://www.wirecard.de/3d-secure-2/strong-customer-autentication/.

Die technischen Maßnahmen für 3D Secure 2 hängen im Wesentlichen von zwei Faktoren ab:

1) von der Tatsache, ob Sie bereits 3D Secure 1 nutzen, und
2) von der Art der technischen Integration mit Wirecard.

Weitere Informationen über die Implementierung von 3D Secure 2 finden Sie auf unserer Website unter https://www.wirecard.com/3d-secure-2/merchantform/static/.

„Die Wirecard Bank AG verarbeitet personenbezogene Daten von Karteninhabern zum Zwecke der Zahlungsabwicklung als Verantwortlicher im Sinne von Art. 4 (7) DSGVO. Der Händler stellt den Karteninhabern Informationen zur Verfügung, die gemäß Art. 13, 14 DSGVO durch Wirecard anzugeben sind. Die oben genannten Informationen sind unter https://www.wirecardbank.de/DSGVO verfügbar und sollten in die Allgemeinen Geschäftsbedingungen des Händlers aufgenommen oder den Karteninhabern in geeigneter Weise zur Verfügung gestellt werden."

Wir empfehlen dringend die gleichzeitige Nutzung von 3D Secure 2 und 3D Secure 1, damit Sie von Kartenherausgebern nicht fälschlicherweise abgewiesen werden, die das neue Protokoll von 3D Secure 2 noch nicht unterstützen. Damit Sie beide Protokolle mit minimalem Aufwand unterstützen können, sind unsere APIs abwärtskompatibel.

Sie können 3D Secure 2 ab sofort verwenden. Das Wirecard Payment Gateway unterstützt das neue Protokoll bereits. Da wir davon ausgehen, dass in den kommenden Monaten immer mehr Kartenherausgeber 3D Secure 2 unterstützen werden, empfehlen wir Ihnen, schnellstmöglich auf das neue Protokoll umzusteigen.

Wiederkehrende Transaktionen (z. B. Abonnements) werden in regelmäßigen Abständen mit dem gleichen, wiederkehrenden Betrag verarbeitet. Wenn Sie eine wiederkehrende Vereinbarung einrichten, erfordert die erste Transaktion eine starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Nachfolgende Transaktionen gelten dann als von einem Händler initiierte Transaktionen, sodass keine starke Kundenauthentifizierung erforderlich ist.

Ratenzahlungen erfolgen, wenn ein Kunde Waren kauft und die Rechnung über einen vereinbarten Zeitraum in mehreren Teilzahlungen begleicht. Wie auch bei wiederkehrenden Transaktionen erfordert nur die erste Transaktion eine starke Kundenauthentifizierung. Alle nachfolgenden Transaktionen werden als vom Händler initiierte Transaktionen betrachtet, sodass keine starke Kundenauthentifizierung erforderlich ist.

In beiden Fällen muss der Kunde eindeutig über die Vereinbarungsbedingungen informiert werden.

Vereinbarungen, die vor der überarbeiteten Richtlinie für Zahlungsdienste der Europäischen Union (PSD2) abgeschlossen wurden, bleiben unverändert bestehen. Die starke Kundenauthentifizierung gilt also nur für wiederkehrende Zahlungen bzw. Ratenzahlungen, die nach Inkrafttreten von PSD2 initiiert werden.

Marktplätze sind Umgebungen, in denen ein Unternehmen Kunden und Verkäufer auf einer zentralen Plattform zusammenführt und Zahlungen im Namen der Verkäufer einzieht, die Kunden auf der Plattform einer Marke Waren oder Dienstleistungen anbieten. Der Marktplatz ist Eigentümer der gesamten Kundenbeziehung, ist für die Transaktionen verantwortlich und regelt oft die Verkaufsbedingungen.

Aus der Sicht von 3D Secure 2 ist der Marktplatz für das Senden von 3D Secure 2-Authentifizierungs- und Autorisierungsanfragen verantwortlich.

Im Allgemeinen sind die Bestimmungen der Haftungsumkehr bei 3D Secure 2 mit denen von 3D Secure 1 vergleichbar: Fordert ein Händler erfolgreich eine Authentifizierung von einem Kartenherausgeber an, geht die Rückbuchungspflicht auf den Herausgeber über.

Wir weisen jedoch darauf hin, dass es innerhalb des Europäischen Wirtschaftsraums Ausnahmen gibt, für die eine starke Kundenauthentifizierung (SCA) erforderlich ist:

  • Wird eine Ausnahme (siehe doc.wirecard.com/CreditCard.html) von einem Händler und seiner Akzeptanzstelle angewendet (wenn z. B. der Händler eine Ablehnung vermeiden möchte), haftet in der Regel weiterhin der Händler.
  • Unterstützt ein Kartenherausgeber 3D Secure 2 nach September 2019 nicht, gibt es Fälle, in denen bereits der Versuch, 3D Secure 2 anzuwenden, zu einer Haftungsumkehr führt.

Bitte beachten Sie: Die oben genannten Hinweise sind als Verallgemeinerung der Vorschriften für Kreditkartensysteme zu betrachten. Die genauen Vorschriften können Sie in den 3D-Secure-2-Implementierungsleitfäden für Kreditkartensysteme nachlesen.

Die PS2-Vorschriften schreiben eine starke Kundenauthentifizierung immer dann vor, wenn ein Kunde (oder Zahlungsempfänger) eine elektronische Zahlung initiiert. Dies gilt auch für POS-Transaktionen.

EMV-Zahlungskarten, die heute in Europa die Standardzahlungsmethode sind, entsprechen bereits der starken Kundenauthentifizierung nach PSD2, da der Karteninhaber die PIN am POS eingibt. Die neueren, kontaktlosen Zahlungskarten, die ohne PIN-Eingabe schnellere Zahlungen ermöglichen, sind von der starken Kundenauthentifizierung ausgenommen, wenn:

  • der Einzelbetrag für die kontaktlose Transaktion weniger als 50 € beträgt und
  • der Gesamtbetrag aus früheren kontaktlosen Transaktionen 150 € nicht überschreitet und
  • die Gesamtzahl der kontaktlosen Zahlungen fünf nicht überschreitet.


Wird eines dieser Kriterien nicht erfüllt, erfordert die kontaktlose Transaktion eine starke Kundenauthentifizierung durch Eingabe der PIN am POS.

Die Verpflichtung zur Anwendung der starken Kundenauthentifizierung gilt auch für andere Zahlungsmethoden. Nicht alle Methoden werden jedoch mit 3D Secure 2 abgewickelt. Nachfolgend wird erläutert, wie einige der gängigsten Zahlungsmethoden mit der starken Kundenauthentifizierung umgehen:

  • Elektronische Geldbörsen (Wallets): Abhängig von der Zahlungsmethode, mit der die Kunden ihre Wallet aufladen, können verschiedene Verfahren zur starken Kundenauthentifizierung erforderlich sein.
  • Google Pay/Apple Pay: Bei Apple Pay und Google Pay erfolgt die starke Kundenauthentifizierung direkt über die Endgeräte. Lediglich Google Pay verwendet 3D Secure 2 für nicht gerätegebundene Transaktionen (z. B. bei Desktop-Transaktionen).
  • Online-Überweisung: Online-Überweisungen erfolgen in der Regel durch eine Weiterleitung auf das Bankkonto des Kunden, wo die starke Kundenauthentifizierung seit Jahren Standard ist. In der Regel wird diese durch die Eingabe eines Anmeldekennworts in Kombination mit einem einmalig gültigen Passwort realisiert.
  • SEPA-Lastschriftverfahren: SEPA-Lastschrifttransaktionen gelten als „vom Händler initiierte Transaktionen“. Diese Zahlungen sind von den PSD2-Vorschriften nicht betroffen und erfordern daher keine starke Kundenauthentifizierung.

Gemäß PSD2-RTS gelten Zahlungen als geringwertig, wenn sie weniger als oder 30 € bzw. den entsprechenden Gegenwert in anderen Währungen betragen. Informationen hierzu sind in den Final Q&As der EBA zu finden . Dort heißt es: 

„Für Nicht-Euro-Transaktionen sollten die Zahlungsdienstleister (Payment Service Provider, PSPs) und Kartensysteme die Euro-Schwellenwerte gemäß den Artikeln 11, 16 und 18 der delegierten Verordnung der Kommission (EU) 2018/389 unter Verwendung des durchschnittlichen EZB-Referenzkurses in Nicht-Euro-Währungsschwellenwerten umrechnen. In der Praxis möchten PSPs und Kartensysteme die Schwellewerte in Euro u. U. beibehalten. Eine Rundung des Schwellenwert in einer Nicht-Euro-Währung ist nur möglich, wenn dieser in der anderen Währung auf einen Wert gerundet wird, der den Euro-Schwellenwert der delegierten Verordnung auf der Grundlage des EZB-Referenzkurses voraussichtlich nicht überschreitet. Ein solch gerundeter Betrag muss ggf. von Zeit zu Zeit angepasst werden. So hätte beispielsweise der Schwellenwert von 50 € für Zahlungen per Fernzugriff zum 12. September 2018 einem Schwellenwert von 44,50 £ entsprochen; der niedrigste Schwellenwert der letzten 12 Monate würde 43 £ betragen. Würde also der Schwellenwert für britische Pfund auf 40 £ abgerundet, würde er wahrscheinlich immer dem Schwellenwert von 50 € für den in diesem Beispiel genannten Zeitraum (September 2017 bis September 2018) entsprechen.“