Jahr für Jahr schreitet die Technologie in ihren Errungenschaften und Fähigkeiten rasant voran. In naher Zukunft wird das aktualisierte 3D Secure 2.0-Protokoll die Online-Sicherheit in der Zahlungsbranche auf ein völlig neues Niveau heben. Das Protokoll bietet die Möglichkeit, einen sicheren Echtzeit-Datenaustauschkanal einzurichten, über den viel mehr Transaktionsdaten für eine genauere Authentifizierung des Käufers übertragen werden. Die Zahlungsgeschwindigkeit wird erhöht, da nicht alle Transaktionen die Authentifizierung mit einem Kennwort bestehen, sondern nur einige von ihnen Teil. Schauen wir uns die wichtigsten Änderungen im neuen Protokoll im Vergleich zur vorherigen Version an.
Was ist 3D Secure?
3D Secure ist ein Sicherheitsprotokoll, das 1999 entwickelt wurde und darauf abzielt, die betrügerische Verwendung von Kreditkarten zu verhindern, indem die Authentizität von Karteninhabern bei Transaktionen überprüft wird, für die keine physische Anwesenheit einer Karte erforderlich ist (CNP-Vorgänge). "3D" bedeutet "3 Domains", in denen das Protokoll funktioniert und die die Domain des Ausstellers (die Domain der ausstellenden Bankkarte), die Acquirer-Domain (die Domain des Verkäufers und der Bank, auf die das Geld überwiesen wird) und die Kompatibilitätsdomäne (die von der Zahlung bereitgestellte Domain) umfassen 3D Secure Protocol Support System). Das Protokoll wurde von EMVCo entwickelt und verwaltet, einer Organisation, die sich im gemeinsamen Besitz der großen Marken Visa, Mastercard, American Express, Discover, JCB und UnionPay befindet.
Die erste Version von 3D Secure wurde entwickelt, um das Vertrauen der Verbraucher in Online-Zahlungen zu stärken, was zum Wachstum des E-Commerce beigetragen hat. Um sich vor betrügerischen Transaktionen zu schützen, fügt 3D Secure einen weiteren Authentifizierungsschritt für Online-Zahlungen hinzu, mit dem Filialen und Banken zusätzlich sicherstellen können, dass der Karteninhaber die Zahlung vornimmt. Bei Verwendung von 3D Secure 1 zeigt das System ein Popup-Fenster oder einen eingebetteten Frame an, in dem der Benutzer ein Kennwort eingeben muss, damit die Bank den Benutzer authentifizieren kann. Die Anmeldeinformationen der Popup-Fenster-generierenden Entität können jedoch nicht authentifiziert werden.
Für Unternehmen liegen die Vorteile von 3D Secure auf der Hand: Das Anfordern zusätzlicher Informationen bietet einen zusätzlichen Schutz vor Betrug und stellt sicher, dass Sie Kartenzahlungen nur von vertrauenswürdigen Kunden akzeptieren. Bei Verwendung von 3D Secure tritt auch die sogenannte „Haftungsverschiebung“ auf, bei der die Verantwortung für Betrug auch vom Verkäufer auf den Kartenaussteller übergeht. Wenn 3D Secure nicht angewendet wird, bestreitet der Karteninhaber eine betrügerische Transaktion:
- Der Verkäufer (Händler) ist für die Transaktion verantwortlich.
- Der Verkäufer (Händler) muss dem Käufer Geld zurückgeben (Rückbuchung)
Wenn der Verkäufer jedoch 3D Secure implementiert, geht die Verantwortung für betrügerische Transaktionen auf den Aussteller (die Bank, die die Karte ausgestellt hat) über.
Was sind die wichtigsten Änderungen am 3D Secure 2.0-Protokoll?
Seit der Entwicklung von 3D Secure 1 sind mehr als 17 Jahre vergangen. Obwohl die Zahlungsbranche in den meisten Ländern diese Authentifizierungsmethode recht gut akzeptierte, wurde die Notwendigkeit der Erstellung eines neuen Protokolls unter Berücksichtigung der aktuellen und zukünftigen Marktanforderungen erkannt, einschließlich der zusätzlichen Unterstützung für die Authentifizierung auf Basis mobiler Geräte und der Integration digitaler Geldbörsen. Darüber hinaus wurde festgestellt, dass die Verwendung von 3D Secure 1 einige Nachteile hat:
- Der zusätzliche Schritt, der zum Abschließen der Zahlung erforderlich ist, erhöht die Komplexität des Bestellvorgangs und kann dazu führen, dass Kunden den Kauf verweigern.
- Einige Banken verlangen von ihren Karteninhabern weiterhin, dass sie ihre eigenen statischen Passwörter erstellen und speichern, um die 3D Secure-Überprüfung abzuschließen. Diese Passwörter sind leicht zu vergessen, was auch zu einer höheren Wahrscheinlichkeit führen kann, einen Kauf abzulehnen.
- Die negativen Auswirkungen auf die Benutzererfahrung (User Experience, UX) machen sich insbesondere in mobilen Anwendungen bemerkbar. Als Visa den 3D Secure-Standard einführte, waren PCs der einzige Kanal, über den Verbraucher online einkaufen konnten. Auf Mobilgeräten kann die Verwendung von 3D Secure Kunden von ihrer eigenen Anwendung auf die Website der Bank umleiten, die nicht für Mobilgeräte optimiert ist.
Unter Berücksichtigung der Hauptprobleme von 3D Secure hat EMVCo kürzlich eine neue verbesserte Version des Protokolls veröffentlicht. EMV 3-D Secure (3D Secure 2 oder 3DS2) behebt viele der Mängel von 3D Secure 1 und bietet die folgenden Hauptvorteile:
1. Flexible Geräte- und Kanalunterstützung.Es bietet eine reibungslosere und konsistentere Interaktion mit dem Benutzer über mehrere Zahlungskanäle, einschließlich Zahlungen im Handybrowser, Zahlungen in Anwendungen und Zahlungen über eine digitale Geldbörse.
2. Verbesserte Benutzererfahrung.Bietet Händlern die Möglichkeit, den Authentifizierungsprozess besser in den Kaufprozess zu integrieren, und bietet Karteninhabern eine schnelle, einfache und bequeme Authentifizierung mit einem hohen Maß an Sicherheit. Im Gegensatz zu statischen Kennwörtern verwendet 3D Secure 2 dynamische Authentifizierungsmethoden wie Biometrie und tokenbasierte Authentifizierung. Mit 3D Secure 2 können Unternehmen außerdem einen Anrufverlauf direkt in ihre Web- und mobilen Zahlungsabläufe einbetten - ohne dass Weiterleitungen erforderlich sind. Mit den neuen mobilen SDKs können Unternehmen ihre eigenen Streams in ihren Anwendungen implementieren, sodass ihre Kunden nicht mehr über den Browser zum Stream wechseln müssen, um die Transaktion abzuschließen.
3D Secure 1 (3D Secure 2-Streifenführung):3D Secure 2 (3D Secure 2-Streifenführung):3. Verbesserter Datenaustausch zur Verwaltung von Betrug und zur Verringerung von Reibungsverlusten (Verbesserter Datenaustausch zur Bekämpfung von Betrug und zum Abbau von Hindernissen). Risikobasierte Authentifizierung (RBA, Risikobasierte Authentifizierung). Reibungslose Authentifizierung.Mit Frictionless Flow können Emittenten eine Transaktion genehmigen, ohne dass der Karteninhaber manuell Daten eingeben muss. Dies wird durch die sogenannte risikobasierte Authentifizierung (RBA) erreicht. RBA sammelt während einer Transaktion eine Reihe von Daten über Karteninhaber und überträgt sie an die ausstellende Bank und ihre Access Control Server (ACS), die dann die gesammelten Daten mit früheren (historischen) Transaktionsdaten für Karteninhaber vergleichen, um den Betrugsrisikowert anzuzeigen, der der neuen entspricht Transaktionen. Mit 3D Secure 2 können Unternehmen und ihre Zahlungsanbieter mehr als 100 Datenelemente für jede Transaktion sicher an die Bank des Karteninhabers senden. Dies umfasst zahlungsbezogene Daten wie eine Lieferadresse sowie Kontextdaten wie eine Client-Gerätekennung oder einen Verlauf früherer Transaktionen.
Die Bank des Karteninhabers kann diese Informationen verwenden, um das Risiko der Transaktion zu bewerten und die entsprechende Antwort auszuwählen. Wenn der Betrugsrisikowert unter einem vorgegebenen Schwellenwert liegt, wird ein reibungsloser Fluss angewendet. Mit anderen Worten, wenn das Betrugsrisiko gering genug ist, fordert die ausstellende Bank vom Karteninhaber keine zusätzliche Überprüfung an und geht davon aus, dass der Karteninhaber die Authentifizierung bestanden hat. Dadurch entfällt der manuelle Überprüfungsschritt, der von Karteninhabern in 3D Secure 1 immer benötigt wurde:
1) Wenn genügend Daten vorhanden sind, damit die Bank glauben kann, dass der echte Karteninhaber einen Kauf tätigt, erfüllt die Transaktion die Anforderungen des reibungslosen Ablaufs und die Authentifizierung wird abgeschlossen, ohne die Benutzerinteraktion zu beeinträchtigen - der Karteninhaber sieht keine Anzeichen 3D Secure wurde angewendet. Mit anderen Worten, wenn das Betrugsrisiko gering genug ist, fordert die ausstellende Bank vom Karteninhaber keine zusätzliche Überprüfung an und geht davon aus, dass der Karteninhaber die Authentifizierung bestanden hat. Dadurch entfällt der manuelle Überprüfungsschritt, der von Karteninhabern in 3D Secure 1 immer benötigt wurde.
2) Wenn der Betrugsrisikowert beispielsweise über einem festgelegten Schwellenwert liegt, entscheidet die Bank, dass zusätzliche Nachweise erforderlich sind, die Transaktion wird im Herausforderungsmodus ausgeführt, und der Kunde wird aufgefordert, zusätzliche Daten bereitzustellen, um die Echtheit der Zahlung zu überprüfen.
4. Haftungsänderung von Verkäufern (Händlern) bei BetrugWesentliche Unterschiede bei PSD2 sind auch Änderungen in der Haftung von Verkäufern (Händlern) im Falle von Betrug. Emittenten sind die eindeutigen Nutznießer des für 3DS 2.0 erforderlichen umfassenderen Datenaustauschs, da sie für etwaige Rückbuchungen verantwortlich sind. Je mehr Daten sie haben, desto genauer können sie das Risiko einer Transaktion einschätzen.
Händler profitieren jedoch auch, insbesondere wenn sie noch nicht genügend Transaktionsdaten gesammelt haben, die für die Teilnahme an 3DS erforderlich sind, da sie diese Daten dann verwenden können, um ihre eigenen Bemühungen zur Aufdeckung von Betrug zu verbessern. Aber selbst wenn der Verkäufer bereits über ein ausgeklügeltes Betrugspräventionsprogramm verfügt, sollte das zusätzliche Schutzniveau, das der Emittent bei seiner eigenen Risikobewertung bietet, nicht aus den Augen verloren werden. Die von Emittenten verwendeten ACS-Anbieter haben in der Regel Zugriff auf Betrugsdatenquellen, die einzelnen Verkäufern nicht zur Verfügung stehen, sodass sie häufig eine zuverlässigere Einschätzung des Betrugsrisikos vornehmen können.
Wann werden Zahlungssysteme 3-D Secure 2.0 unterstützen?
Die weit verbreitete Verfügbarkeit von 3D Secure 2 hängt davon ab, ob einzelne Kartenaussteller den neuen Standard unterstützen. Es wird erwartet, dass die ersten Banken Anfang 2019 beginnen, 3D Secure 2 für ihre Karteninhaber zu unterstützen. Es ist wahrscheinlich, dass eine umfassendere Implementierung schrittweise erfolgen und mehrere Monate dauern wird. Beispielsweise ist die Visa 3DS 2.0-Plattform jetzt verfügbar und bereit, 3DS 2.0-Authentifizierungsanforderungen zu bearbeiten: ACS- und 3DS Server-Anbieter müssen Tests mit EMVCo und Visa bestehen, bevor sie an 2.0 teilnehmen können. Anbieter können mit dem Testen mit Visa erst beginnen, nachdem sie ein Bestätigungsschreiben erhalten haben, in dem der erfolgreiche Abschluss des Tests mit EMVCo bestätigt wird. Damit interessierte Parteien genügend Zeit für die Implementierung von 3-D Secure haben, werden die vollständigen Programmregeln erst zu den unten angegebenen Programmaktivierungsdaten wirksam:
- April 2019: gültig für Europa
- August 2019: Aktivierungsdatum für Kanada, Lateinamerika und die Vereinigten Staaten.
- April 2020: Aktivierungsdatum für den asiatisch-pazifischen Raum, den Nahen Osten und Afrika.
Es wird auch davon ausgegangen, dass 3D Secure 1 und 3D Secure 2 mindestens bis 2020 nebeneinander existieren werden.
Für europäische Unternehmen gilt das Inkrafttreten einer neuen Verordnung namens Strong Customer Authentication (SCA) im September 2019, die für Online-Zahlungen im Europäischen Wirtschaftsraum (EWR) gilt, in dem sich die Bank und der Zahlungsdienstleister des Karteninhabers befinden macht 3D Secure 2 bei EEA noch wichtiger. Da nach der neuen Regel mehr Authentifizierung für europäische Zahlungen erforderlich ist, bietet 3D Secure 2 die beste UX (User Experience), um die Auswirkungen auf die Site-Conversion zu minimieren.
Obwohl 3D Secure 2 die primäre Methode zur Einhaltung der Zahlungsanforderungen für SCA-Karten sein wird, wird erwartet, dass der reibungslose Ablauf nicht als eine Form einer starken Clientauthentifizierung angesehen wird. Dies bedeutet, dass nach dem Betrieb des SCA in Europa der reibungslose Ablauf nur für Zahlungen verwendet werden kann, für die eine Ausnahme gilt (während alle Zahlungen, für die ein SCA erforderlich ist, mithilfe des Challenge-Streams authentifiziert werden müssen).