Europese Handelaar navigieren in een komplexen Regulierungsraum met mindestens drei überschneidenden Anforderungsrahmen:PSD2(Zahlungsdiensterichtlinie 2),PCI DSS(Payment Card Industry Data Security Standaard) enAVG. Van deze is de Sterke klantauthenticatie (SCA) onder PSD2 op het häufigsten missverstanden: Viele Handelaar verwechseln SCA met PCI DSS-Vereisten of glauben, dat SCA-Naleving PCI DSS-Naleving impliziert. Dies is een gefährlicher Irrtum.
Wat is Sterke klantauthenticatie (SCA)?
SCA(Strong Customer Authentication, op Deutsch: Sterke klantauthenticatie) is een Vereiste uit PSD2, de van de Europese Bankenaufsichtsbehörde (EBA) via Technische Regulierungsstandards (RTS) konkretisiert werd. SCA verlangt, dat elektronische Betalingen via mindestens twee van drei Kategorien authentifiziert worden:
- Wissen: Etwas, het alleen de Gebruikers weiß (PIN, Passwort)
- Besitz: Etwas, het alleen de Gebruikers besitzt (Smartphone, Hardware-Token)
- Inhärenz: Etwas, het de Gebruikers is (Fingerabdruck, Gesichtserkennung)
In de Praxis is SCA op het häufigsten als3D Secure 2.0 (3DS2)geïmplementeerd, het Log, het Visa (Visa Secure) en Mastercard (Identity Check) voor de Twee-Faktor-Authenticatie bij Online-Transacties gebruiken.
SCA (PSD2) vs. PCI DSS: De belangrijkste Unterschiede
SCA en PCI DSS hebben unterschiedliche Ziele en Geltungsbereiche:
- PSD2/SCA: Europäisches Gesetz, het van Zahlungsdienstleistern de starke Authenticatie van Zahlern verlangt. Schützt De Zahlenden voor ongeautoriseerde Nutzung zijn Zahlungsmethode. Geldt voor de Authentifizierungsmoment de Transactie.
- PCI DSS: Industriestandard, de van Kartennetzwerken verlangt, dat Kaartgegevens veilig opgeslagen, verwerkt en worden overgedragen. Schützt de Kaartgegevens tijdens van de gehele Lebenszyklus. Geldt voor Alle Systemen, de Kaartgegevens berühren.
SCA-Naleving betekent niet PCI DSS-Naleving. Een Handelaar kan 3DS2 korrekt geïmplementeerd hebben (SCA-konform) en gleichzeitig Kaartgegevens unsicher in een Datenbank opslaan (PCI DSS-verletzend). Beide Vereisten moeten separat erfüllt worden.
Hoe 3DS2 in PCI DSS-Bereik-Überlegungen passt
De Implementatie van 3DS2 kan PCI DSS-Implikationen hebben, u nachdem, Hoe u technisch umgesetzt wordt:
- Wanneer de 3DS2-Flow via Uw eigenen Server geleitet wordt (Server-seitige 3DS2-Implementatie), moeten Deze Server in Uw PCI DSS-Bereik einbezogen worden.
- Wanneer 3DS2 volledig via het JavaScript SDK van de Zahlungsdienstleisters op de Clientpagina abgehandelt wordt, zonder dat Kaartgegevens Uw Server berühren, verlässt Deze Teil de CDE.
- Een Tokenisierungslösung, de ook 3DS2 geïntegreerd (Hoe PCI Proxy EU), maakt mogelijk de Volledige SCA-Implementatie zonder eigene Server in de CDE.
SCA-Excepties en uw PCI DSS-Implikationen
PSD2 en de RTS de EBA definiëren mehrere SCA-Excepties, de geen 3DS2-Authenticatie vereisen:
- Geringe Transaktionswerte: Transacties onder 30 € (met kumulativen Limits)
- Risikoanalyse (TRA): Transacties met niedrigem Betrugsprofil, de van de Issuer-Bank als geringes Risico eingestuft worden
- Vertrauenswürdige Begünstigte: Handelaar op een Whitelist van de Karteninhabers
- Terugkerende Transacties: Abonnements---- met festem Betrag en Empfänger (Eerste Transactie vereist SCA)
- MOTO-Transacties: Telefonisch initiierte Betalingen (außerhalb van de SCA-Scopes, maar PCI DSS-relevant)
MOTO-Transacties (Telefonbestellungen) zijn besonders belangrijk: PSD2/SCA geldt niet voor MOTO, maar PCI DSS geldt uneingeschränkt. Handelaar, de MOTO-Transacties durchführen, moeten sicherstellen, dat Kaartgegevens niet telefonisch ontvangen en in interne Systemen eingegeben worden.
Tokenisatie als gemeinsamer Nenner
Tokenisatie is de Technologie, de SCA-Implementatie en PCI DSS-Naleving op het elegantesten verbindet:
- Een Tokenisierungsanbieter kan De gehele Zahlungsflow abwickeln: Kaartgegevens-Erfassung, 3DS2-Authenticatie, Autorisatie en Token-Ausgabe.
- Uw Systemen ontvangen alleen De Token en De Transaktionsstatus, nooit De PAN of de 3DS2-Authentifizierungsdaten.
- SCA-Excepties (TRA, terugkerende Betalingen) worden van het Tokenisierungsanbieter beheert, de de notwendige Verbindung met de Acquiring-Banken heeft.
Veelgestelde vragen
Wanneer een Klant 3DS2-authentifiziert, bin ik tegen Chargebacks beschermd?
In de Regel ja. Wanneer een Transactie erfolgreich via 3DS2 authentifiziert werd, verschiebt zich de Haftung voor Betrug (Fraud Liability Shift) van het Handelaar naar de kartenausgebenden Bank. Het betekent niet, dat Chargebacks völlig ausgeschlossen zijn (z.B. bij Nichtlieferung), maar fraudbasierte Chargebacks moeten van het Liability Shift abgedeckt sein. Konsultieren U Uw Acquirer voor de genauen Bedingungen.
Geldt PSD2/SCA ook voor B2B-Transacties?
PSD2 geldt hauptsächlich voor Verbrauchertransaktionen. B2B-Transacties, bij denen Beide Parteien Bedrijf zijn (d.h. geen Endverbraucher beteiligt), kunnen van bestimmten PSD2-Vereisten ausgenommen sein, u na Implementatie van de nationalen Rechts. PCI DSS geldt echter unabhängig davon, ob de Transactie B2B of B2C is: Wanneer Kaartgegevens verwerkt worden, gelden de PCI DSS-Vereisten.
SCA en PCI DSS gemeinsam meistern: PCI Proxy EU geïntegreerd 3DS2-Authenticatie en Tokenisatie in een einzigen Naleving-freundlichen Flow.PCI Proxy EU Ontdekken.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op