Authentifizierung: Bald tritt PSD2 SKA in Kraft.

3-D Secure PSD2
Datatrans AG – Authentifizierung: Bald tritt PSD2 SKA in Kraft.

Lesen Sie hier, was Sie bis zum Inkrafttreten des neuen Europäischen Sicherheitsstandards PSD2 und der starken Kundenauthentifizierung (SKA) wissen sollten, und was als Nächstes zu tun ist.

Datatrans kümmert sich um die Migration von 3-D Secure 1 zu 3-D Secure 2 mit dem Ziel, betroffenen Händlern die Umstellung so einfach wie möglich zu machen. 

Wer ist von PSD2 betroffen?
Datatrans empfiehlt allen Händlern, deren Waren oder Dienstleistungen sich an Personen im EU/EWR-Raum richten, die PSD2 SKA Anforderungen zu erfüllen – unabhängig davon, ob ihr Acquirer dort ansässig ist. Wenn Sie Distanzzahlungen anbieten, müssen Sie sicherstellen, dass 3-D Secure bei jeder vom Karteninhaber initiierten Zahlung angewendet wird. Nicht betroffen sind von Händlern initiierte Zahlungen (u.a. MOTO- oder Mail-/Phone-Verträge).

Was müssen Händler ohne 3-D Secure tun?
Datatrans informiert alle Händler, die Kreditkarten über eine Merchant ID ohne 3-D Secure verarbeiten, vorab per E-Mail. Wenn Sie dazugehören, prüfen Sie bitte, ob Ihre Geschäftsaktivitäten unter die Regulierung von PSD2 fallen und ob sie die Anforderungen an eine starke Kundenauthentifizierung erfüllen müssen. Dabei helfen Ihnen die Checklisten zu PSD2 und 3-D Secure auf docs.datatrans.ch/docs. Bei Fragen wenden Sie sich an [email protected]. Übrigens: Falls Sie bereits einen bestehenden 3-D Secure Vertrag haben, wird auf diesem die starke Kundenauthentifizierung automatisch aktiviert.

Besondere Regelung bei Zahlungsverfahren mit Server-to-Server API.
Sie arbeiten mit einem vom Karteninhaber initiierten Zahlungsverfahren, wie z.B. One-Click Checkout mit Alias, das auf einer reinen Server-to-Server API basiert? Stellen Sie jetzt auf webbasierte Schnittstellen der Datatrans Payment Page um, damit 3-D Secure in jedem Fall zur Anwendung kommt. 

Datatrans hält Sie über Ausnahmen auf dem Laufenden.
Die in der PSD2 definierten Ausnahmen (SCA Exemptions) können Issuer ebenso wie Acquirer anwenden. Datatrans koordiniert dabei die Anwendung der von den Acquirern mit dem Händler vereinbarten Exemptions. Sobald diese Datatrans zur Verfügung stehen, werden Sie darüber informiert.

SCA Authentication only: Einmalige SKA für mehrere Anbieter.
Wenn ein Händler nicht direkt am Bezahlvorgang mit dem Karteninhaber beteiligt ist, wird mit SCA Authentication only eine klare Trennung zwischen Kundenauthentifizierung und Autorisierung vollzogen. Ein Beispiel aus der Reisebranche: Eine Online-Plattform nimmt die Buchung eines Hotels, Fluges und Mietautos entgegen und leitet sie an die jeweiligen Anbieter weiter. Die Kundenauthentifizierung erfolgt einmalig über die Online-Plattform, während die Autorisierungen einzeln über die verschiedenen Anbieter und unter Einhaltung der PSD2 SKA abgewickelt werden.

Wie funktioniert die Kundenauthentifizierung mit PayPal, Apple Pay Google Pay oder Samsung?
Die Kundenauthentifizierung muss unter PSD2 durch den Kartenherausgeber oder einem seiner Dienstleister durchgeführt werden. Damit in Zukunft auch Kreditkarten-Wallets wie PayPal, Apple Pay, Google Pay oder Samsung Pay eine Kundenauthentifizierung durchführen können, arbeiten Mastercard und Visa an einem vertraglichen Rahmen, der eine Abtretung der SKA vom Kartenherausgeber an Dritte ermöglicht.

Nicht vergessen!
Am 14. September 2019 treten die technischen Standards zur Umsetzung der starken Kundenauthentifizierung und sicheren Kommunikation unter PSD2 in Kraft. Datatrans unterstützt Sie bei der Implementierung technischer Anforderungen und steht Ihnen bei Fragen gerne zur Seite.