Comply with PSD2
1. Einleitung
Im Jahr 2013 veröffentlichte die Europäische Kommission einen Vorschlag für die überarbeitete Version der ersten Richtlinie über Zahlungsdienste zur Vereinfachung der Zahlungsabwicklung sowie Erstellung von Regeln und Vorschriften für Zahlungsdienste in der EU. Allerdings wurde eine zweite Richtlinie über Zahlungsdienste namens PSD2 sowie eine neue Version von 3-D Secure, Version 2.1 (3DSv2.1), erforderlich. PSD2 trat im Januar 2018 in Kraft. Dadurch soll der Verbraucherschutz bei allen Zahlungsarten gewährleistet und eine noch offenere, wettbewerbsfähigere Zahlungslandschaft gefördert werden. Als Zahlungsdienstleister sind wir stolz darauf, seit dem 29. Mai 2018 als PSD2-konform bestätigt worden zu sein.
Die Frist für die Umsetzung von PSD2 war für alle Mitgliedsstaaten der Europäischen Union der 31. Dezember 2020. Die einzige Ausnahme ist das Vereinigte Königreich (UK), das die SCA ab März 2022 anwenden wird.
In diesem Handbuch erfahren Sie, wie Sie diesen neuen Standard voll ausschöpfen und die Einhaltung sicherstellen können.
2. What is Strong Customer Authentication?
Teil dieser neuen Verordnung ist die Umsetzung einer starken Kundenauthentifizierung (SKA) für europaweite elektronische Transaktionen. Dabei müssen sich Ihre Kunden mit mindestens ZWEI der folgenden drei Methoden zu authentifizieren:- Etwas, was der Kunde weiß (z. B. ein PIN oder ein Passwort)
- Etwas, was der Kunde besitzt (z. B. Kartenlesegerät oder ein Mobiltelefon)
- Etwas, was der Kunde ist (z. B. Stimmerkennung oder ein Fingerabdruck)
Die größte Veränderung und der größte Vorteil für Sie als Händler ist, dass Sie für eine betrügerische Transaktion nicht haftbar gemacht werden können. Die Entscheidung über die Authentifizierungsanforderung obliegt der Bank des Kunden (Emittent).
In der Grafik werden die elektronischen Transaktionen dargestellt, für die PSD2 infrage kommt.
3. Bevorzugtes SKA-Szenario angeben
Wenn Ihr Kunde (der Karteninhaber) eine Transaktion in Ihrem Webshop beginnt, kann einer dieser beiden Szenarioabläufe auftreten:
- Aktive Authentifizierung: Der Karteninhaber muss für die Authentifizierung zusätzliche Daten bereitstellen.
- Authentifizierung im Hintergrund: Die Karteninhaber müssen sich nicht authentifizieren, da die Authentifizierung ohne ihr Zutun im Hintergrund erfolgte. In diesem Fall ist der Emittent von den Informationen, die Sie bei der Transaktion angegeben haben, überzeugt und die Haftung geht auf den Emittenten über.
Da die Entscheidung nun dem Emittenten obliegt, werden Sie um zusätzliche Daten gebeten. Die Emittenten verlangen nach Datenpunkten, damit sie die Genauigkeit ihrer Entscheidung verbessern können. Das kann letztendlich zu einem reibungslosen Szenario führen, obwohl Sie vordergründig die Daten erfassen.
Hinweis: Bevor Sie Parameter senden können, prüfen Sie, ob für alle Kreditkartenzahlungsmethoden 3DS aktiviert ist. Ist dies nicht der Fall, setzen Sie sich bitte mit uns in Verbindung und fordern Sie die Aktivierung an.
4. SKA-Ausnahmen
Um Verzögerungen beim Bezahlvorgang zu verringern, sind einige Transaktionen von der SKA ausgenommen. Sie müssen eine Ausnahme anfordern und der Emittent entscheidet, ob die Ausnahme gewährt wird oder nicht. Sie können Ausnahmen anfordern, indem Sie zusätzliche Parameter an unsere Plattform senden.
Ausgenommene Transaktionen sind:
- Händler auf der weißen Liste: Kunden können beim Emittenten eine Ausnahme anfordern, um einen Händler auf die weiße Liste zu setzen. Diese Händler gelten als „vertrauenswürdige Nutznießer“. Diese Ausnahme wird von den Kreditkartenherausgebern angewendet.
- Unternehmenstransaktionen: Dies sind Transaktionen zwischen zwei Unternehmen. Diese Ausnahme wird von den Kreditkartenherausgebern angewendet.
- Acquirer TRA (Transaktionsrisikoanalyse): Sie können eine Ausnahme für Transaktionen beantragen, die Sie als risikoarm betrachten. Da die Haftung beim Acquirer liegt, prüfen sie zuerst das Gesamtportfolio der Transaktion (Transaktionswert, Betrugsrate) und entscheiden dann, ob eine Ausnahme infrage kommt oder nicht. Weitere Informationen erhalten Sie von Ihrem Acquirer.
- Emittenten-TRA: Der Emittent kann eine Ausnahme anfordern, wenn Sie oder der Acquirer keine Ausnahme gemacht haben. Der Emittent prüft zuerst das Gesamtportfolio der Transaktion (Transaktionswert, Betrugsrate) und entscheidet dann, ob eine Ausnahme infrage kommt oder nicht.
- Transaktionen mit geringem Betrag: Bei Einkäufen unter 30 € kann eine Ausnahme angefordert werden. SKA wird jedoch angewandt, wenn ein Kunde fünf Transaktionen hintereinander durchführt oder einen Wert von mehr als 100 € erreicht.
- Delegierte Authentifizierung (zertifiziertes Wallet): Ein Emittent kann einem Dritten, z. B. einem zertifizierten Walletanbieter oder einem Händler, die Befugnis erteilen, in seinem Namen eine SKA anzuwenden.
Es gibt zwei Möglichkeiten, eine Ausnahme zu beantragen: Entweder innerhalb einer Authentifizierung, die eine Authentifizierung im Hintergrund fordert, oder direkt innerhalb der Autorisierung mit einem Rückfall auf 3-D Secure v1, um die Transaktion mit Authentifizierung noch einmal durchzuführen, falls der Kreditkartenherausgeber Ihren Antrage auf eine Ausnahme ablehnt.
- Wenn Sie unsere DirectLink Integrationslösung verwenden, lesen Sie zu diesem Thema unser Kapitel.
- Wenn Sie unsere e-Commerce Integrationslösung verwenden, lesen Sie zu diesem Thema unser Kapitel.
5. SKA-Ausschlüsse
Einige Transaktionen gelten als außerhalb des Geltungsbereichs liegend und sind daher von PSD2 ausgeschlossen. Deshalb ist keine SKA erforderlich.
- Transaktionen über E-Mail- oder Telefonbestellungen (Mail Order/Telephone Order, MOTO)
- Transaktionen, die erfolgen, wenn sich der Acquirer oder die Bank des Karteninhabers außerhalb der EWR-Zone befindet.
- Anonyme Prepaid-Karten bis zu 150 € (Artikel 63 der PSD2)
- Wiederkehrende Transaktionen, Abonnements oder verzögerte bzw. geteilte Sendungen, die die MIT-Bedingungen (Merchant-Initiated Transactions) erfüllen. Sollten sie diese Bedingungen nicht erfüllen, müssen Sie zusätzliche Parameter an unsere Plattform senden. Wenn Sie jedoch eine erste wiederkehrende Transaktion mit Ihren Kunden einrichten, ist eine starke Kundenauthentifizierung zwingend erforderlich. Dies muss auch mit einem bestimmten Parameter Mpi.threeDSRequestorChallengeIndicator=04 hervorgehoben werden
6. SKA mit Soft Decline überspringen
Wie im vorherigen Kapitel beschrieben, können Sie anfordern, eine SKA für einige Ihrer Transaktionen ganz zu überspringen. Es kann jedoch jederzeit passieren, dass die Bank Ihres Kunden auf 3-D Secure besteht, was zu einer abgelehnten Transaktion führt.
Unser Soft Decline-Mechanismus ist hierbei eine hervorragende Möglichkeit, diese abgelehnten Transaktionen wiederherzustellen. Damit können Sie die Transaktion nach einer ersten Ablehnung aufgrund fehlender 3-D Secure erneut an unsere Plattform senden. Durch das Senden der Authentifizierungsdaten bei der zweiten Anfrage ist die Wahrscheinlichkeit höher, dass Ihre Transaktion schließlich akzeptiert wird. Dieser Service ist für Visa, American Express, MasterCard und Carte Bancaire erhältlich.
Weitere Informationen zu Soft Decline finden Sie in unserem DirectLink Handbuch zu diesem Thema.