Die starke Kundenauthentifizierung ist eine der Kernvorschriften, die Zahlungsdienste gemäß der neuen überarbeiteten europäischen Zahlungsdiensterichtlinie PSD2 einhalten müssen.
Mit dem Aufkommen von Open Banking und Online-Zahlungen haben die Regierungen SCA implementiert, um Betrug zu reduzieren, die Transaktion digitaler Zahlungen zu sichern und die Verbraucher über digitale Kanäle zu schützen.
Es erfordert, dass Kunden ihre Identität überprüfen, bevor Zahlungsüberweisungen online erfolgen können, sei es bei einem Institut, einer Finanzdienstleistung oder einem Drittunternehmen.
Die Authentifizierung bietet eine zusätzliche Sicherheitsebene für Kunden und Zahlungsdienstleister. Da PSD2 die Zahlungssysteme entlang elektronischer Kanäle vereinfachte, wurden Bankplattformen zu einem einheitlichen Markt geöffnet.
Um den potenziellen Betrug mit Online-Diensten zu bekämpfen, zwingt SCA die Banken, einen Sicherheitsstandard einzuhalten, indem sie die Benutzer überprüfen, bevor Zahlungen autorisiert werden.
Sie können davon ausgehen, dass SCA im Laufe des Jahres 2021 in Kraft treten wird. Damit Sie sich darauf vorbereiten können, erfahren Sie hier alles, was Sie wissen müssen, um SCA-konform zu werden, was dies für Ihr Unternehmen oder Ihre Dienstleistung bedeutet und wie Sie SCA zu Ihrem Vorteil nutzen können.
Was ist eine starke Kundenauthentifizierung?
SCA verlangt, dass alle Banken oder Finanzdienstleistungen mindestens zwei von drei Verifizierungsfaktoren erheben:
Besitz
Ein einzigartiger Gegenstand, den nur der Benutzer hat oder besitzt.
|
|
|
|
Wissen
Etwas, das der Kunde kennt, oder Wissen, in das nur er eingeweiht ist.
|
|
|
|
Inhärenz
Etwas, das der Kunde ist und seinen physischen Zustand eindeutig identifiziert.
|
|
|
|
Nach den SCA-Vorschriften müssen diese Authentifizierungsbedingungen in Ihren Checkout-Ablauf integriert werden, bevor Sie Zahlungstransaktionen für Ihre Kunden akzeptieren oder durchführen können.
Wenn ein Benutzer die Kriterien nicht erfüllt, muss Ihr Dienst oder Ihre Bank alle eingeleiteten Zahlungsanforderungen ablehnen. Beachten Sie, dass die beiden Faktoren, die Sie als Authentifikatoren auswählen, im Falle eines Verstoßes (d. h. eines Diebstahls eines Telefons) aus verschiedenen Kategorien stammen müssen.
Vorteile der Verwendung von SCA
Solche strengen Verifizierungsmethoden tragen dazu bei, die Sicherheit der Kundendaten zu gewährleisten und gleichzeitig alle Datenschutzrichtlinien zu erfüllen, die von den zuständigen Aufsichtsbehörden erwartet werden.
Auch wenn SCA zu Reibungsverlusten auf der Nutzerseite führt und Online-Zahlungssystemen zusätzliche Komplexität verleiht, bietet es sowohl für den Händler als auch für den Kunden eine Reihe von Vorteilen.
Vorteile für den Händler
1. Reduzierunf der Kosten für eine ungenaue Verarbeitung
SCA stellt sicher, dass jeder Kunde bei der Einleitung eines Geldtransfers eine aktive und bewusste Anfrage stellt. Die Gesamtlimits für die Anzahl der Transaktionen können die Gesamtüberweisungsausgaben senken und auch die Anzahl der falschen Zahlungsanforderungen erheblich senken.
Wenn man bedenkt, dass Berichte besagen, dass „Rückbuchungsbetrug“ die Banken im Jahr 2020 50 Milliarden Dollar hätte kosten können, ist eine Reduzierung versehentlicher Überweisungen ein großer Segen.
2. Abschreckung von Betrugsversuchen durch böswillige Akteure
Große digitale Unternehmen verzeichneten im Jahr 2020 einen Anstieg der betrügerischen Angriffe um 39,48 %. Für jeden Dollar Betrug zahlen Finanzdienstleistungen durchschnittlich 3,78 US-Dollar an Kosten.
Die Bestimmung der Gültigkeit aller Benutzer und jeder Transaktion ist ein entscheidender Schritt im Kampf gegen betrügerische, böswillige Akteure. Die SCA-Infrastruktur mag im Vorfeld Kosten verursachen, aber ihre Fähigkeit, vor unrechtmäßigen Forderungen zu schützen, wird sich langfristig auszahlen.
3. Zusätzliche Einhaltung von PCI-DSS
SCA stimmt mit PCI-DSSüberein, Vorschriften, die die Verwendung von Kreditkartendaten regeln. Eine große Mehrheit der digitalen Zahlungen (d. h. Online-Wallet oder kontaktlose Käufe) wird immer noch über die Systeme von Kreditkartenunternehmen übertragen, sodass SCA Ihnen hilft, die Einhaltung mehrerer erforderlicher Richtlinien zu gewährleisten.
Vorteile für den Kunden
Vertrauen in Online-Dienste
73 % der Befragten in einer Accenture-Studie gaben an, dass sie gerne personenbezogene Daten weitergeben würden, wenn die Bank transparent wäre, wie die Daten verwendet werden würden. Verbraucher sind bereit, sich elektronisch mit Finanzdienstleistungen zu beschäftigen, wenn sie wissen, dass sie sich auf ihren Service verlassen können, um sicher zu bleiben. Anmeldeinformationen und Authentifikatoren bieten ein Maß an Sicherheit, das das Vertrauen der Benutzer erhöht.
Besserer Schutz vor Betrug
Nicht nur Banken zahlen für betrügerische Angriffe. Über die Hälfte der in einer KPMG-Studie befragten Kunden gaben an, dass sie weniger als 25 % ihrer Betrugsverluste erhalten haben.
Die Kundenbindung wird sinken, und da Fintech-Dienstleistungen allgegenwärtig werden, können betrügerische Szenarien langjährige Geschäftsbeziehungen zu Kunden ruinieren.
Flexible Authentifizierung kann die Benutzerreibung verringern
Es mag kontraintuitiv erscheinen, aber sichere Logins bieten im Laufe der Zeit bessere Benutzererfahrungen als ungesicherte. Während die Grenzen der Zahlungssysteme dem UX-Design einer Schnittstelle immer mehr Zugkraft verleihen, überwiegen die langfristigen Ergebnisse sicherer Transaktionen die Kosten langer Anmeldezeiten.
Konsistente Dienste und sichere Transaktionen über mehrere Zahlungsgateways hinweg binden Kunden mit hoher Priorität.
Wie wird eine starke Kundenauthentifizierung implementiert?
Im Moment ist der einfachste Weg, SCA-Bedingungen zu erstellen, mit 3D-Secure oder 3D-Secure 2.
Es ist ein Authentifizierungsstandard, der in den meisten europäischen Kreditkarten oder Finanzdienstleistungen zu finden ist. Es wendet einen zusätzlichen Schritt bei einem Point-of-Sale-Prozessor an, z. B. einen Finger- oder Gesichtsscan von einem Smartphone.
Authentifikatoren sind über die Standard-Passwort-, Text- und E-Mail-Verifizierungen hinausgegangen. Hier sind einige der neuesten und stärksten Authentifikatoren, die Sie bei der Auswahl Ihrer Zwei-Faktor-Verifizierungen verwenden können:
Einmalpasswörter
Benutzer können ein zufälliges Passwort für eine einzelne Sitzung anfordern. Einmalpasswörter bieten ein hohes Maß an Sicherheit, da für jede Anmeldung eine neue, algorithmisch gestaltete Passwortzeichenfolge erforderlich ist, um Zugriff zu erhalten. Die kontinuierlichen Codeaktualisierungen schaffen zusätzliche Benutzerreibung und erfordern die Implementierung von zwei Geräten (z. B. einem Computer und einem Smartphone), aber bestimmte Anwendungen bevorzugen möglicherweise dieses neueste Sicherheitsniveau.
Sicherheits-Token
Durch die Integration eines Authentifikators eines Drittanbieters können Sie zahlreiche eindeutige Passwörter in einzelnen „Buckets“ speichern. Auf jedes Passwort kann über ein Master-Passwort zugegriffen werden, während der Datenstring gesichert bleibt, um Betrug zu verhindern. Halten Sie für jeden Bucket ein anderes Passwort bereit, um einzelne Dienste vor einer Sicherheitsverletzung zu schützen und gleichzeitig eine im Allgemeinen reibungslose Benutzererfahrung zu schaffen.
2FA-Apps
Mehrere Apps haben Authentifikatoren auf der Grundlage des Zero-Trust-Modells erstellt (alles ist eine Bedrohung, bis es verifiziert ist). Das ist zwar sicher, führt aber zu immensen Schwierigkeiten bei der Anmeldung.
Beispielsweise erfordert die Zwei-Faktor-Authentifizierung eine Validierung Ihres primären Netzwerkzugangs sowie eine Out-of-Band-Verifizierung (zeitgesteuerte Codes, die an ein Smartphone geliefert werden), um den Benutzer zu identifizieren.
Egal, welche zwei Bedingungen Sie wählen, stellen Sie sicher, dass jeder Ihrer Authentifikatoren dynamisch verknüpft ist. Beispielsweise funktioniert eine Geldautomatenkartentransaktion nur mit der physischen Karte und einer PIN, die gleichzeitig verwendet werden.
Andere häufig verknüpfte Authentifikatoren sind, wenn ein einmaliger Sicherheitscode an ein Smartphone gesendet wird, um eine Desktop-Anmeldung zu verifizieren. Auf einer hohen Ebene im Backend sendet die dynamische Verknüpfung Authentifizierungstoken sowohl an die Zahlungsdienste als auch an den Zahlungsempfänger, die ablaufen, wenn die Transaktion nicht wie geplant abläuft.
Ausnahmen von SCA
Für diejenigen, die sich über den Umfang der Verifizierungsregeln Sorgen machen, müssen Sie SCA nicht in jedem Fall anwenden.
Eine starke Kundenauthentifizierung ist nur erforderlich, wenn die Transaktion vom Kunden initiiert wird, was bedeutet, dass Sie mehrere Ausnahmen in Anspruch nehmen können:
Transaktionen mit geringem Risiko
Die Dienste dürfen Echtzeitberechnungen über das Risikoniveau jeder Transaktion durchführen.
Wenn die Transaktionsrisikoanalyse und Betrugsrate des Emittenten einen bestimmten Schwellenwert im Vergleich zur Transfergröße erreicht, kann auf die SCA-Anforderung verzichtet werden. Unternehmen können jederzeit eine Befreiung beantragen, aber der Emittent hat das Recht, diese Befreiung abzulehnen oder zu gewähren.
Niedrige Kosten
Transaktionen, die unter 30 Euro liegen, kommen für eine Befreiung in Frage. Diese Befreiung ist mit einigen Bestimmungen verbunden — die Bank muss den Betrag und die Häufigkeit der geleisteten Zahlungen nachverfolgen.
Wenn ein Kunde fünf aufeinanderfolgende Transaktionen mit einem Gesamtwert von mehr als 100 Euro tätigt, gilt SCA. Der Zweck der Regeln trägt dazu bei, betrügerische Transaktionen von geringem Wert zu begrenzen, die in festgelegten Intervallen durchgeführt werden, in der Hoffnung, übermäßige Aufmerksamkeit zu erregen.
Wiederkehrende Subskriptionen
Wiederkehrende, abonnierte oder feste Zahlungen eines genauen Betrags von einem gleichbleibenden Lieferanten erfordern nur einmal SCA. Sobald der Überweisungsbetrag schwankt, muss jede neue Transaktion eine sichere Kundenauthentifizierung enthalten.
Für Händler, die eine gleitende Skala oder anpassbare Zahlungsfristen verwenden, können Sie dennoch befreit sein, da vom Händler initiierte Transaktionen nicht unter SCA geregelt sind.
Business-to-Business-Transaktionen
Überweisungen zwischen zwei Unternehmen, die Anfragen zwischen einem sicheren Zahlungssystem einleiten, müssen keine SCA anwenden. Zum Beispiel kann ein Unternehmen eine hinterlegte Karte oder virtuelle Nummer haben, die Mitarbeiter für Spesenkonten verwenden können.
Diese Transaktionen erfordern keine SCA. Darüber hinaus können einige Unternehmen andere Dienstleistungen als vertrauenswürdige Begünstigte zuweisen oder auf die „weiße Liste“ setzen. Diejenigen, die auf der weißen Liste stehen, benötigen nicht für jede Transaktion eine 3D-Secure oder Secure Customer Authentication.
Schlussfolgerung
Während sichere Kundenauthentifizierer jetzt erforderlich sind, gibt es für jedes Unternehmen oder jede Finanzdienstleistung immer noch die Freiheit, die Verifizierungsmethoden auszuwählen, die am besten funktionieren.
Ihre Anwendungen erfordern möglicherweise kein biometrisches Scannen als Anmeldeinformationen — wenn Sie dies als Verifizierungsmethode verwenden, wird dies nur zu mehr Ärger für Benutzer führen, die versuchen, auf Ihr Produkt zuzugreifen (ganz zu schweigen von den unangemessenen Kosten).
Das ideale Szenario ist eine Kombination aus verknüpften Authentifikatoren, die Sie konform halten, aber auch ein Gleichgewicht mit der Benutzererfahrung halten. Zum Beispiel implementierte die Privat Bank einen QR-Code-basierten Authentifikator, der Compliance erreichte, aber auch den Kundenzugang verbesserte.
Einige Unternehmen benötigen nur eine einfache Zwei-Faktor-Steuerung für SMS und Text, um sicher zu bleiben und gleichzeitig eine einfache Bedienung zu bieten. Wählen Sie die Kombination, die am besten zu Ihrem Unternehmen passt, und halten Sie es einfach.
Wenn Sie Schwierigkeiten haben, sich zwischen allen verfügbaren Verifizierungsoptionen zu entscheiden, oder wenn Sie weitere Details zur Integration von SCA benötigen, kann S-PRO Ihnen bei der Integration einer Vielzahl von Lösungen helfen. Entdecken Sie die optimalen Authentifikatoren für Ihren Service und implementieren Sie Zwei-Faktor-Methoden mit minimalem Aufwand.
Kontaktieren Sie uns hier für die richtige Secure Customer Authentication Strategie.