Authentifizierung: Updates zu 3-D Secure 2 und PSD2
Was Sie zum heutigen Zeitpunkt über den neuen Sicherheitsstandard 3-D Secure 2 und PSD2 wissen müssen und was Sie unternehmen sollten.
3-D Secure 2
Wie wir bereits in den Newslettern 3 und 4 des letzten Jahres informiert haben, beginnt ab diesem April die offizielle Ramp-up-Phase für 3-D Secure 2 Transaktionen durch die Acquirer, Issuer und Kreditkarten-Schemes. Die technischen Grundvoraussetzungen sind bei unseren aktuellen Standardschnittstellen Redirect, Lightbox, Secure Fields und SDK erfüllt.
Die Aufschaltung des neuen 3-D Secure 2 Verfahrens wird bei einem bestehenden 3-D Secure Vertrag automatisch durch Datatrans und durch den Acquirer erledigt. Händler, welche 3-D Secure über unsere aktuellen Standardschnittstellen integriert haben, brauchen aktuell keine technischen Anpassungen vorzunehmen. Andernfalls sind Händler angehalten, ihre Integration entsprechend auf den neusten Stand zu bringen (siehe «Was ist zu tun?»).
Datatrans empfiehlt Händlern die Nutzung der aktuellen Standardschnittstellen sowie die Prüfung der nachfolgenden Checkliste zur Einführung von 3-D Secure 2.
Detaillierte Informationen dazu finden Sie auf unserer Webseite:
https://docs.datatrans.ch/docs/3d-secure
Wir bleiben bezüglich der technischen Umsetzung in regem Austausch mit den Acquirern und den Kreditkarten-Schemes und halten Sie weiter auf dem Laufenden.
PSD2 und Starke Kundenauthentifizierung (SKA)
Am 14. September 2019 treten die Regulatory Technical Standards (RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation unter PSD2 in Kraft.
Händler, die Waren und Dienstleistungen im EU/EWR-Raum anbieten und deren Acquirer ebenfalls in demselben ansässig sind, unterliegen der PSD2 Regulierung. Grundsätzlich empfehlen wir allen Händlern, deren Angebote sich an Personen im EU/EWR-Raum richten, die PSD2 Anforderungen zu erfüllen unabhängig vom Sitz ihres Acquirers. Jeder Händler, der Distanzzahlungen anbietet, muss die Anwendung von 3-D Secure bei kundeninitiierten Zahlungen sicherstellen. Von der Regulierung ausgenommen sind Bestellungen/Transaktionen per Telefon/Fax/Post (sogenannte MOTO- oder Mail-/Phone-Verträge).
Erweiterungen der Datenschutzbestimmungen
Die datenschutzrechtlichen Bestimmungen der DSGVO stehen nicht im Widerspruch zu den Anforderungen der PSD2 an eine strenge Kundenauthentifizierung.
Sie sind vielmehr Voraussetzung für die sichere Verarbeitung solcher Transaktionsdaten. Welche optionalen Daten zur Risikobewertung an den Issuer geschickt werden, entscheiden letztendlich die Händler. Wichtig dabei ist die Aufklärung der Käufer über die mögliche Nutzung der Daten sowie deren Verarbeitungszweck
in der Datenschutzerklärung oder den Allgemeinen Geschäftsbedingungen.
Bei vielen Datenpunkten handelt es sich um personenbezogene Daten gemäss DSGVO. Die geforderten Richtlinien zum Schutz solcher Daten sind deshalb streng zu befolgen. Die Verantwortung für die Verarbeitung von biometrischen Daten hingegen liegt alleine beim Issuer.
Was ist zu tun?
- Händler ohne 3-D Secure Vertrag sind angehalten, mit ihren Acquirern Kontakt aufzunehmen, ihren Vertrag zu prüfen und gegebenfalls zu erweitern.
- Händler, die kundeninitiierte Kartenzahlungsverfahren über die Datatrans Payment Page anbieten, sind angehalten, 3-D Secure anzuwenden.
- Händler mit einem kundeninitiierten Kartenzahlungsverfahren basierend auf einer reinen Server-to-Server API (z.B. One-Click Checkout Flows über eine Datatrans Alias-Lösung) sind ebenfalls angehalten, auf die webbasierten Schnittstellen der Datatrans Payment Page umzustellen und 3-D Secure anzuwenden.
- Bei händlerinitiierten Transaktionen ist nur bei der initialen Kartenregistrierung 3-D Secure erforderlich, bei dem der Karteninhaber explizit sein Einverständnis erteilen muss. Jede weitere, vom Händler initiierte Transaktion verlangt keine SKA mehr.
- Erweiterung der Datenschutzbestimmungen: Händler müssen in ihren Datenschutzerklärungen oder Allgemeinen Geschäftsbedinungen über die mögliche Nutzung von 3-D Secure 2 Daten und deren Zweck informieren.
Infos
Weitere Informationen zu PSD2 und 3-DS 2 finden Sie unter:
https://docs.datatrans.ch/docs/psd2-compliance
https://docs.datatrans.ch/docs/3d-secure
https://eur-lex.europa.eu/
https://www.emvco.com/
Datatrans informiert Sie fortlaufend über die Entwicklungen in den Bereichen PSD2 und insbesondere 3-DS 2.
Haben Sie Fragen zu diesen Themen? Kontaktieren Sie uns unter folgender E-Mail-Adresse: support@datatrans.ch