• Was ist PSD2?
    Die Zweite EU-Richtlinie über Zahlungsdienste (2015/2366 PSD2) trat im Januar 2018 in Kraft und hat zum Ziel, den Verbraucherschutz bei allen Zahlungsarten zu gewährleisten und eine noch offenere, wettbewerbsfähigere Zahlungslandschaft zu fördern. Als Zahlungsdienstleister ist Ingenico ePayments stolz darauf, seit dem 29. Mai 2018 als PSD2-konform bestätigt worden zu sein. 

    Eine der Hauptanforderungen von PSD2 betrifft die Strong Customer Authentication (SCA), die ab September 2019 für alle elektronischen Transaktionen in der EU erforderlich ist. SCA verlangt von den Karteninhabern, sich mit mindestens ZWEI der folgenden drei Methoden zu authentifizieren: 
    • Etwas, das sie kennen (PIN, Passwort…) 
    • Etwas, das sie besitzen (Kartenleser, Mobiltelefon…) 
    • Etwas, das sie sind (Stimmenerkennung, Fingerabdruck… 

    Das bedeutet, dass Ihre Kunden in der Praxis keine Kartenzahlung mehr online durchführen können, indem sie nur die Informationen auf ihren Karten verwenden. Sie müssen stattdessen beispielsweise ihre Identität mittels einer Bank-App verifizieren, die mit ihrem Mobiltelefon verbunden ist und zur Genehmigung des Kaufs ein Passwort oder einen Fingerabdruck benötigt. 

    Weitere Informationen über PSD2 finden Sie hier: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf

  • Wie beeinflusst PSD2 mich als Händler?

    Am 14. September treten die Regeln der Strong Customer Authentication (SCA) für alle digitalen Zahlungen in Europa in Kraft. Im Augenblick arbeiten Banken, Zahlungsdienstleister und Kartennetze an technischen Lösungen, die den Anforderungen von PSD2 entsprechen. Damit Sie Zahlungen nach dem 14. September akzeptieren können, müssen Sie sicherstellen, dass diese technischen Lösungen mit Ihrem Online-Shop funktionieren. 

    Zur Akzeptanz von Zahlungen aus den weltweit größten Kartennetzwerken Visa, Mastercard und Amex ist es erforderlich, dass Sie die Sicherheitslösung 3D Secure für Ihren Online-Shop umgesetzt haben. 3D Secure wird seit 2001 zur Verbesserung der Sicherheit bei Online-Kartentransaktionen eingesetzt. Jetzt wurde aber eine neue Version entwickelt, mit der die Anforderungen der PSD2 Strong Customer Authentication erfüllt werden.

    Ingenico ePayments empfiehlt die Verwendung von 3-D Secure, da es hilft, Betrug zu verhindern und Sie auch vor der Haftung bei einem Betrug schützt. Ab dem 14. September ist es auch eine Voraussetzung für die Annahme der Zahlungen mit den wichtigsten Karten.

  • Was ist die neue 3-D Secure v2.1?

    Die Secure Version 2 ist eine Weiterentwicklung des bisherigen Programmes der 3-D Secure Version 1: Verifiziert durch Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy und JCB J/Secure. Sie basiert auf einer Spezifikation, die von EMVco entwickelt wurde. EMVCo gibt es, um die weltweite Interoperabilität und Akzeptanz sicherer Zahlungsvorgänge zu erleichtern. Sie wird von den sechs EMVCo-Mitgliedsorganisationen American Express, Discover, JCB, Mastercard, UnionPay und Visa überwacht und von Dutzenden von Banken, Händlern, Verarbeitern, Verkäufern und anderen Branchenbeteiligten unterstützt, die als EMVCo Associates teilnehmen. 

    Einer der wesentlichen Unterschiede in der Version 2 besteht darin, dass der Aussteller viele Datenpunkte aus der Transaktion nutzen kann, um das Transaktionsrisiko zu bestimmen (risikobasierte Analyse). Bei risikoarmen Transaktionen stellen die Aussteller die Transaktion nicht in Frage (z. B. kein Senden einer SMS an den Karteninhaber), obwohl sie die Transaktion (reibungslos) authentifizieren. Umgekehrt verlangen die Aussteller bei Transaktionen mit hohem Risiko, dass sich der Karteninhaber mit einer SMS oder biometrischen Mitteln authentifiziert (Infragestellung). 

    Unabhängig davon führt die in Europa ab dem 14. September 2019 geforderte Strong Customer Authentication (SCA), wie in PSD2 spezifiziert, zu einem erheblichen Anstieg der Transaktionszahlen, die den Einsatz von 3-D Secure Authentifizierung erfordern. Der Einsatz der Version 2 von 3-D Secure sollte die möglichen negativen Auswirkungen auf die Umstellung so weit wie möglich beschränken. Kurz gesagt bedeutet die Version 2 von 3-D Secure: 

    • Sie müssen 3-D Secure vor dem 14. September 2019 implementieren, wenn Ihre Transaktionen unter die EU-Richtlinien PSD2 SCA fallen (wenn Sie 3-D Secure nicht bereits unterstützen). 
    • Wir empfehlen Ihnen (und es ist teilweise erforderlich), zusätzliche Datenpunkte zur Unterstützung der vom Aussteller durchgeführten Risikobewertung bei der Version 2 von 3-D Secure einzureichen.
    • Möglicherweise müssen Sie Ihre Datenschutzerklärung hinsichtlich der DSGVO aktualisieren, da Sie möglicherweise zusätzliche Datenpunkte mit Dritten teilen. 
    • Eine viel bessere Nutzererfahrung für Ihre Kunden

    Die Erwartung am Markt besteht darin, dass ein erheblicher Prozentsatz der Transaktionen mit der Version 2 von 3-D Secure reibungslos abläuft, was im Vergleich zu den aktuellen Non-3-D Secure Bezahlungen nichts Zusätzliches vom Karteninhaber erfordert. Das bedeutet, dass Sie von der erhöhten Sicherheits- und Haftungsverlagerung durch die 3-D Secure-Programme profitieren, während die Umstellung in Ihrem Bezahlprozess nicht negativ beeinflusst werden sollte.

  • Worin besteht der Unterschied zwischen Freistellung und Ausschluss?
    Ausschlüsse sind Transaktionen, die AUSSERHALB des Anwendungsbereichs der PSD2 SCA-Vorschriften liegen: 
    • Bestellung per E-Mail/telefonische Bestellung 
    • One leg journey - Der PSP (der Acquirer) des/der Zahlungsempfängers/Zahlungsempfängin oder der PSP (die Hausbank) des/der Zahlenden befindet sich außerhalb des EWR 
    • Übertragbare Prepaid-Karten mit Guthaben von bis zu 150€ (Artikel 63)
    • MIT - vom Händler initiierte Transaktionen 
    Freistellungen sind Transaktionen, die INNERHALB des Anwendungsbereichs der PSD2 SCA-Vorschriften liegen: 
    • Transaktionen von geringem Wert 
    • Abonnements 
    • Risikoanalyse 
    • Whitelisting
  • Welche Freistellungen gibt es für SCA?
    Zur Vereinfachung für Händler und Verbraucher ermöglicht PSD2 einige Ausnahmen der Strong Customer Authentication. Wichtig ist, ist das alle Transaktionen, die zu einer Freistellung berechtigen, nicht automatisch freigestellt werden. Bei Kartentransaktionen entscheidet beispielsweise die kartenausgebende Bank, ob eine Freistellung genehmigt wird oder nicht. Selbst wenn eine Transaktion für eine Freistellung berechtigt ist, muss der Kunde also möglicherweise noch eine Strong Customer Authentication durchführen, wenn die kartenausgebende Bank diese verlangt. 
    • Transaktionen mit geringem Wert: Diese Freistellung ist wahrscheinlich die am häufigsten verwendete. Die Freistellung besagt, dass ein Kunde, der einen Kauf für weniger als 30 Euro tätigt, von einer Strong Customer Authentication freigestellt werden kann. Diese Freistellung ist begrenzt, und wenn ein Kunde fünf solcher Transaktionen in Folge durchführt oder einen Wert von mehr als 100 Euro erreicht, wird immer eine Strong Customer Authentication verlangt. 
    • Abonnements: Eine weitere Art von Transaktionen, die freigestellt werden können, sind wiederkehrende Zahlungen und Abonnements, bei denen der Betrag für jede Transaktion gleich ist. Für diese Transaktionen ist eine Strong Customer Authentication nur dann erforderlich, wenn der Kunde sich zum ersten Mal für das Abonnement anmeldet und nicht für jede einzelne Transaktion. 
    • Risikoanalyse: Freistellungen können auch auf der Grundlage einer so genannten „Transaktions-Risikoanalyse“ erfolgen. Dies bedeutet, dass ein Zahlungsdienstleister wie Ingenico ePayments Freistellungen für Transaktionen machen kann, die als „risikoarm“ gelten, basierend auf den Anforderungen der technischen Normen von PSD2. Diese Freistellung ist in Bezug auf den Transaktionswert begrenzt und gilt nur, wenn der Zahlungsdienstleister eine ausreichend geringe Betrugsrate für diese bestimmte Art von Transaktionen besitzt. 
    • Whitelisting: Eine letzte Freistellungsart wird als Whitelist Empfänger bezeichnet. Whitelisting bedeutet, dass ein Kunde bestimmte Zahlungsempfänger bei seiner kartenausgebenden Bank als „vertrauenswürdig“ registrieren kann. Auf diese Weise müssen sie keine Strong Customer Authentication durchführen, wenn sie an den betreffenden Empfänger bezahlen, vorbehaltlich der Vereinbarung mit der ausstellenden Bank.
  • Wann steht Ingenico ePayments bereit?

    Seitdem unsere TEST-Umgebung bereit ist, empfehlen wir Ihnen, so schnell wie möglich mit dem Testen Ihrer Integration zu beginnen.

    Klicken Sie hier, wenn Sie die Ingenico eCommerce-Seite verwenden. Wenn Sie Ihre eigene Seite verwenden, klicken Sie hier.

  • Ist Credentials-/Card-on-file (COF) Teil der Ausschluss-/Ausnahmeliste?

    COF in Kürze: Der Kunde leitet eine erste Transaktion mit einem Händler mit 3D-S (CIT) ein. Aus dieser ersten Transaktionserfahrung heraus kann der Händler wiederkehrende Transaktionen (Abonnement oder mit Zustimmung des Kunden -> Tokenisierung) durchzuführen. Diese sind als MIT-Transaktionen gekennzeichnet.

    MIT sind eine der im 3DSv2 vorgesehenen Ausnahmen, wenn sie die folgenden kumulativen Bedingungen erfüllen:

    • nachfolgende Transaktionen eines anfänglichen CIT 
    • CIT wurde mit einer obligatorischen Authentifizierung durchgeführt
    • Eine dynamische ID-Verknüpfung wird zwischen der anfänglichen CIT und den nachfolgenden MITs hergestellt

    Nach der ersten Authentifizierung können die folgenden Ausnahmen/Ausschlüsse gelten:

    • Entweder wegen gesetzlich wiederkehrender Ausnahmen, die für Abonnements mit einem festen Betrag und einer festen Periodizität gelten (Händlern wird in der Tat empfohlen, sich für den vollen Betrag zu authentifizieren und Angaben zur Anzahl der vereinbarten Zahlungen mit Karteninhabern zu machen).
    • Entweder, weil andere Arten von Transaktionen vom Geltungsbereich von SCA ausgeschlossen sind... Auf alleiniges Risiko des Händlers im Falle einer Rückbuchung (Schutz auf den authentifizierten Betrag beschränkt) UND die Verpflichtung des Emittenten, dieses Risiko einzugehen:
      • Außerplanmäßiger COF: Das Prinzip der nachfolgenden Transaktionen wird mit dem Karteninhaber vereinbart, aber Betrag und/oder Periodizität sind nicht festgelegt
      • Branchenpraktiken: inkrementell, No-show, etc...

    Für die Übergangszeit haben die Schemata eine Standard-ID definiert. Sie soll für nachfolgende MITs verwendet werden, die vor der Einführung von 3DS v2 erstellt wurden.

  • Was muss ich tun, um PSD2 und SCA zu erfüllen?
    Zunächst müssen Sie sicherstellen, dass 3-DS in Ihrem Online-Shop für alle Zahlungsmethoden (Visa, MasterCard, American Express, Carte Bancaire, JCB) aktiviert ist. Stellen Sie sicher, dass es gemacht wird. Wenn das nicht der Fall ist, fragen Sie unseren Support, ob sie es für Sie aktivieren.

    Da 3-D Secure Version 2 (3DSv2) darauf abzielt, der ausstellenden Bank den SCA-Trigger (Strong Customer Authentication) zu erteilen, muss die ausstellende Bank das mit der Transaktion verbundene Risiko besser einschätzen. Infolgedessen enthält die 3DSv2-Spezifikation viele Datenelemente. Gute Nachrichten also, wenn Sie unser Betrugstool verwenden, da einige von ihnen bereits häufig in unserer Betrugsprüfung verwendet werden.  Natürlich sind einige neu und spezifisch für 3-D Secure v2. Zusammenfassend können die Datenelemente wie folgt kategorisiert werden:
    • Pflichtangaben - Browserdaten:
        • Integration mit Warenkörben? Sie können gerne auf den Warenkorb-Marktplatz zu gehen, um entweder die neueste Version des Ingenico ePayments -Plug-ins zu installieren oder sich direkt an Ihren Lieferanten zu wenden.
        • Wenn Sie unsere E-Commerce-Seite verwenden, werden obligatorische Informationen von Ingenico ePayments erfasst. Sie können direkt zu den unten empfohlenen Informationen gehen.
        • Wenn Sie Ihre eigene Zahlungsseite verwenden, müssen Sie die unten aufgeführten obligatorischen Informationen selbst erfassen. Wir empfehlen Ihnen, auf unsere Support-Seite zu gehen, um herauszufinden, wie das geht. Werfen Sie einen Blick auf das Beispiel von Javascript
      • Weitere Informationen finden Sie im Leitfaden zu DirectLink 3D.
    • Empfohlene Informationen; diese können möglicherweise im Rahmen der Betrugspräventionsprüfung verwendet werden:
        • Karteninhabername (CN)
        • E-Mail-Adresse (EMAIL)
        • IP-Adresse (REMOTE_ADDR)
        • Telefonnummer (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber ...)
        • Rechnungsadresse (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 ...)
        • Lieferadresse (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 ...)
      • Beachten Sie, dass die empfohlenen/optionalen Parameter angegeben werden sollten, damit Sie vom reibungslosen Durchfluss profitieren, der Ihren Umsatz steigern kann.
    • Optionale Informationen; erweiterte Karteninhaber-/Kontodaten, wie von EMVCo eingeführt: 

    Unsere vorhandenen APIs erfassen bereits viele Datenelemente, aber wir fügen stetig viele neue Datenelemente hinzu. Wir glauben, dass jeder im Zahlungsökosystem von einer erhöhten Sicherheit profitiert, wobei die Erfahrung des Verbrauchers am wenigsten beeinträchtigt wird. Zahlungen basieren auf Vertrauen. Durch die Bereitstellung von mehr Daten wird es für Parteien einfacher, sich gegenseitig zu vertrauen, ohne dass zusätzliche Herausforderungen für die Authentifizierung des Verbrauchers erforderlich sind. Fast alle neu hinzugefügten Datenelemente sind optional. Wir empfehlen Ihnen jedoch, so viele wie möglich anzugeben. Dies erhöht die Wahrscheinlichkeit, dass Ihre Transaktionen dem reibungslosen Ablauf folgen, während Sie von einer Verschiebung der Haftung profitieren. Wenn Sie die von Ingenico ePayments gehostete Zahlungsseite verwenden, erfassen wir die browserbezogenen Daten automatisch.

    as Ausmaß der erforderlichen Änderungen hängt von der Art der Integration mit Ingenico ePayments ab.

  • Kann ich mit der Implementierung und dem Testen beginnen?

    Ja, auf unserer Test-Plattform sind alle Vorkehrungen getroffen worden. Wir nutzen einen Simulator, um die verschiedenen Szenarios nachzustellen.

    Wir stellen Test-Kreditkarten zur Verfügung, welche Sie sowohl auf unserer Support -Seite als auch in der Test-Umgebung finden können (Konfiguration > Technische Informationen > Test-Info).

  • Wie kann ich zusätzliche Daten für SCA erfassen?

    Wenn Sie unsere Ingenico ePayments Zahlungsseite nutzen, wird sich Ingenico ePayments um alle obligatorischen Parameter kümmern. 

    Wenn Sie Ihre Integration über DirectLink vorgenommen haben, d.h. Sie verfügen über eine eigene Zahlungsseite, können Sie unseren JavaScript-Code von unserer Support-Seite nutzen, um diese Daten zu erfassen. 

    Für die Erfassung von optionalen Daten konsultieren Sie bitte unsere Support-Seite zum Thema Ingenico ePayments.

  • Bieten wir die sichere Authentifizierung, welche über einen anderen MPI (Merchant plug-in) als Ingenico ePayments ausgeführt wird, an?

    Nein, und wir planen nicht, dies anzubieten.

  • Was passiert, wenn der Händler keine V2-Pflichtfelder sendet?

    Diese Situation ist nur möglich, wenn Sie nur über DirectLink (Merchant own page/FlexCheckOut) eingebunden sind, da Ingenico ePayments auf der gehosteten Zahlungsseite Ingenico ePayments die obligatorischen Daten sammelt.

    Zuallererst identifiziert Ingenico ePayments den Fluss, der basierend auf den Kartennummern zu v1 oder v2 geleitet werden soll.

    Wenn die Karte in V2 registriert ist, gibt es die folgenden möglichen Szenarien:

    Pflichtdaten:

    • Wenn die falschen Daten übermittelt werden, wird die Transaktion blockiert
    • Wenn einige Daten fehlen, leitet Ingenico ePayments Ihre Transaktion an Fluss v1 weiter.
    • Wenn keine Daten übermittelt werden, wird die Transaktion NICHT blockiert, sondern an Fluss v1 umgeleitet.
    Empfohlene oder optionale Daten:
    • Wenn keine Daten übermittelt werden, wird die Transaktion NICHT blockiert, kann jedoch nicht von der Ausnahme profitieren.
  • Was muss ich wissen i.B.a. PSD2 und der Datenschutz-Grundverordnung (GDPR)?

    3DSv2 fordert Händlerinnen/Händler dazu auf, zusätzliche Daten (obligatorische / empfohlene etc.) zu erfassen. Auf der folgenden Seite finden Sie alles, was Sie als Händlerin/Händler hierzu wissen müssen:

    https://ingenico.be/privacy-policy  Kapitel 3

  • Meine PCI-Zertifikat ist weniger als ein Jahr alt. Muss ich die Zertifizierung erneuern falls ich den Acquirer wechsele?

    Ihr PCI-Zertifikat ist für ein Jahr gültig und wird von jedem Acquirer akzeptiert.

Diese Website verwendet Cookies, um Ihnen die beste Nutzer-Erfahrung zu geben. Wenn Sie Cookies nicht akzeptieren möchten, empfehlen wir Ihnen, Ihre Cookie-Einstellungen zu ändern. Klicken Sie auf "Akzeptieren", um alle Cookies von dieser Website zu ermöglichen.

Cookie-einstellungen

Cookies werden verwendet, um die Webseite zu verbessern und Informationen anzubieten, die für Sie von Interesse sind.

Funktionsbezogene Cookies

Funktionsbezogene Cookies sind für das ordnungsgemäße Funktionieren der Webseite nötig. Diese Cookies können nicht deaktiviert werden.

Optimierte

Optimierungscookies ermöglichen es uns, die Nutzung der Webseite zu analysieren, damit wir unsere Webseite bewerten und verbessern können.
Dies ist der Standardwert.

Personalisierte

Personalisierte Cookies werden für Soziale Medien und die erweiterte Personalisierung verwendet. Sie ermöglichen es uns, Ihnen Informationen bezüglich Ihres Unternehmens zu zeigen.


Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern

Beispiel für eine unerlaubte Funktion

  • Personenbezogene Daten über Ihren Besuch speichern
  • anonymes Tracking über Google Analytics
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern
  • Anonymes Tracking über Google Analytics

Beispiel für eine unerlaubte Funktion

  • Personenbezogene Daten über Ihren Besuch speichern
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern
  • Anonymes Tracking über Google Analytics
  • Auf Ihre Interessen abgestimmte Inhalte bereitstellen
  • Auf Ihre Interessen abgestimmte Inserate bereitstellen
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unerlaubte Funktionen

  • Personenbezogene Daten speichern