April 21, 2020

DSGVO war gestern, jetzt kommt SCA

Ab September 2019 tritt für die zweite EU-Zahlungsdiensterichtlinie (PSD2) in Kraft. Das bringt einige Änderungen bei online Zahlungen mit sich. Abgesehen von den Banken, die Zahlungsdienstleistern nach Zustimmung des Kunden Zugriff auf die online Konten gewähren müssen, kommt vor allem auch der Zwang zur starken Authentifizierung mittels zweiten Faktors.

2fA

PSD2 fällt nicht aus dem Himmel, ebenso wenig wie die DSGVO. Nach nunmehr zweijähriger Frist wird die Regulierung zum Schutz von online Transaktionen wirksam. Ziel ist es die Betrügereien mit Kreditkarten zu minimieren. Zwar sind die Schäden im Zusammenhang mit Kreditkarten im Onlinehandel in den letzten Jahren rückläufig, aber immer noch hoch.

Die Regulierung sieht unter anderem technische Maßnahmen vor um sicherzustellen, dass der Kunde auch wirklich Inhaber des Zahlungsmittels ist. Dazu wird im SCA Standard zur starken Kunden Authentifizierung gefordert, dass bei der Benutzung des Zahlungsmittels zwei von drei Faktoren geprüft werden:

  • Besitz
  • Wissen
  • Biometrisches Merkmal

Als Ausnahme gelten Zahlungen bis zu 30€, solange diese eine Tageslimit von 100€ nicht überschreiten.

Dazu steht das bereits seit 2016 verfügbare Verfahren 3-D Secure 2.0 eine Grundlage dar, die einen wesentlichen Vorteil für Händler bietet:

Da die Authentifizierung eindeutiger ist, werden weniger Zahlungen zurückgewiesen und Betrugsversuche minimieren sich. Das wirkt sich positiv bei Kunden aus. Noch besser, die Haftung bei Betrug verschiebt sich auf den Kreditkarten Herausgeber, da dieser mit der starken Authentifizierung sicherstellen muss, dass auch wirklich der Kunde die Karte nutzt.

Für Onlinehändler stellt sich das recht einfach dar, sie fordern bei Ihrem Zahlungsdienstleister das neue Verfahren an. Dieses muss dann als Plugin im Shop implementiert werden. Nach Ende der Übergangsfrist müssen dann konsequent abgebrochen werden

Umsetzung

Für die Authentifizierung und nach SCA stehen unterschiedliche Methoden zur Verfügung. Dabei können QR Codes z.B. auch mit FaceID oder Fingerabdruck kombiniert werden. Zur Kritikalität biometrischer Faktoren hatte ich schon berichtet. Solange jedoch die Devices diese Faktoren speichern und auswerten, stellen sie ein erhöhtes Sicherheitsmerkmal dar, ohne die Probleme der zentralen Speicherung aufzuwerfen.

Für weitere Informationen und auch Unterstützung bei der Implementierung stehen wir gerne zur Verfügung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.