3D Secure

Häufig gestellte Fragen zur starken Kundenauthentifizierung

Welche regulatorischen Änderungen liegen den sicheren Bezahlverfahren zugrunde?

Regulatorische Anforderungen fordern eine beständige Weiterentwicklung der Sicherheitsverfahren im E-Commerce. Im Rahmen der PSD2-Anpassungen der „Vertragsbedingungen für Visa/Mastercard Karten“ haben sich per 13. Januar 2018 auch die Sonderbedingungen und Verfahrenshinweise für die gesicherte Authentifizierung bei Visa/Mastercard Kartenzahlungen im Internet geändert.

Werden die gesicherten Zahlverfahren zukünftig von mehr Händlern unterstützt?

Mit Inkrafttreten der „Regulatory Technical Standards on Secure Customer Authentication“ (RTS SCA) am 14. September 2019 dürfen Kartenherausgeber keine Umsätze mehr im E-Commerce durchführen, die keine starke Kundenauthentifizierung seitens des Händlers anfordern. Diese Verpflichtung gilt innerhalb des Anwendungsbereichs der PSD2, also für in Europa ansässige Händler und Händlerbanken. Diese Zielgruppe wird damit die 3DSecure Verfahren anbieten (müssen).

Was versteht man unter „2-Faktor-Authentifizierung“ bzw. „starke Kundenauthentifizierung“?

Die „Mindestanforderungen an die Sicherheit von Internetzahlungen“ (MaSI) haben für alle Online-Zahlungen die sogenannte „starke Kundenauthentifizierung“ verpflichtend eingeführt. Diese Anforderung wurde auch in der PSD2 übernommen, welche mit den Standards zur  starken Kundenauthentifizierung die MaSI-Regelungen abgelöst und fortgeschrieben hat. Im E-Commerce mit Kreditkarte wird dies durch die 3D-Secure Verfahren Mastercard ® Identity Check TM bzw. Verified by Visa umgesetzt. Starke Kundenauthentifizierung bedeutet, dass eine TAN oder ein statisches Passwort alleine für einen Bezahlvorgang nicht mehr ausreicht. Vielmehr müssen zwei Faktoren der drei Authentifizierungsklassen gemeinsam vorkommen:

» Wissen (Wissen des Kunden, z. B. Passwort)

» Besitz (etwas im physischen Besitz des Kunden, z. B. Mobiltelefon)

» Inhärenz (biometrisches Merkmal, z. B. Fingerabdruck)

Hinweis: Kartenherausgeber müssen spätestens ab dem 14.September 2019 bei Händlern in der EU auf Unterstützung der starken Kundenauthentifizierung bestehen, ansonsten ist die Transaktion abzulehnen.

Gibt es auch Ausnahmen von der Pflicht zur 2-Faktor-Authentifizierung?

Die RTS SCA1 lassen Ausnahmen für verschiedene Transaktionen zu, sofern der Händler das Verfahren anbietet und der Karteninhaber für das Verfahren registriert ist. Beispielsweise  können als risikoarm eingestufte Kleinbetragstransaktionen weiter ohne 2-Faktor-Authentifizierung abgewickelt werden. Gleiches gilt für wiederkehrende Zahlungen mit gleicher Betragshöhe an den gleichen Empfänger. Die Ausnahmen sind allerdings erst nach erfolgreicher Registrierung der Karte durch den Kunden möglich.

Welche Verfahren stehen dem Kunden heute zur Verfügung?

1. Die App VR-SecureCARD verbindet den Besitz des Geräts mit einem vom Kunden vergebenen Kennwort oder, auf unterstützten Geräten, einem Fingerabdruck als zweites Sicherheitselement.
2. Die Zustellung per SMS kombiniert eine Sicherheitsfrage als zweiten Faktor neben dem Gerätebesitz.

Auf welchen Geräten ist die Entsperrung der App per Fingerabdruck schon möglich?

Auf allen Mobilgeräten, die die Technik mit Fingersensor2 im Betriebssystem unterstützen und bei denen der Kunde die Entsperrung bereits eingerichtet hat, kann diese auch für das Öffnen der App gewählt werden.

Hinweis: In einigen Fällen ist die erneute Kennworteingabe erforderlich, daher sollte sich der App-Nutzer sein Kennwort trotz Fingersensornutzung merken. Beispielsweise nach einigen Softwareupdates des Telefonherstellers, bei Neuinstallation der App durch Gerätewechsel. Weisen Sie Ihre App-Nutzer darauf hin.

Bieten die Verfahren über die App VR-SecureCARD als auch über SMS + Sicherheitsfrage eine starke Authentifizierung?

Beide Verfahren sind sicher und bieten die geforderte starke Authentifizierung. Die generierte E-Commerce-TAN ist ebenso wie die kryptographisch gesicherte Nachricht zur Direktfreigabe in der App dynamisch und an die freizugebende Transaktion gebunden.
» Die VR-SecureCARD App verbindet die Faktoren Besitz (des Geräts) mit dem Faktor Wissen (des Kennworts) bzw. Inhärenz (Fingerabdruck, bei unterstützten Geräten).
» Das SMS-Verfahren verbindet Besitz (des Geräts) und Wissen (Sicherheitsfrage).