Konzipierung von Zahlungsabläufen für SCA

Die als starke Kundenauthentifizierung (Strong Customer Authentication, SCA) bekannte neue Verordnung führt zu einer Änderung bei Online-Zahlungen in Europa. Finden Sie heraus, welche Auswirkungen dies auf Ihren Zahlungsfluss hat und wie Stripe helfen kann.

Einführung

Zuletzt aktualisiert am 14. September 2019

Am 14. September 2019 tritt eine neue Verordnung in Kraft, die die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) für viele Online-Zahlungen im europäischen Wirtschaftsraum (EWR) verlangt. SCA ist Teil der zweiten Zahlungsdienstrichtlinie (second Payment Services Directive – PSD2).

Um die neuen Anforderungen der starken Kundenauthentifizierung zu erfüllen, ist für viele Online-Kartenzahlungen in Europa eine Form der Zwei-Faktor-Authentifizierung erforderlich. Ohne diese könnten zahlreiche Zahlungen von den Banken Ihrer Kunden/Kundinnen abgelehnt werden. Daher haben wir eine neue grundlegende Payments-API entwickelt, die Unternehmen dabei helfen soll, diese Änderung zu handhaben und jegliche Ausnahmen von der starken Kundenauthentifizierung geltend zu machen.

Mithilfe dieses Leitfadens können Sie ermitteln, wie verschiedene Arten von Zahlungsabläufen aufgrund der starken Kundenauthentifizierung geändert werden müssen. Zudem können Sie ihn bei der Entwicklung Ihrer Zahlungsabläufe zurate ziehen.

So ändert sich der Zahlungsvorgang

Kartenzahlungen erfolgen traditionell in zwei Schritten: Autorisierung und Erfassung. Eine Zahlung wird autorisiert, wenn die Kundenbank bzw. der Kartenaussteller eine Zahlung genehmigt; die Zahlung wird erfasst, wenn die Karte belastet wird.

Die starke Kundenauthentifizierung führt einen zusätzlichen und zwingend erforderlichen Schritt ein: die Authentifizierung. Dieser Schritt dient dem Schutz von Kunden durch Betrugsprävention. Zur Authentifizierung einer Zahlung reagieren Kunden auf eine Aufforderung der Bank und liefern zusätzliche Informationen. Hierbei kann es sich um etwas handeln, das nur der Nutzer weiß, wie z. B. ein Passwort, oder um etwas, das nur der Nutzer besitzt, wie z. B. ein Mobiltelefon, oder um etwas, das der Nutzer ist, wie z. B. deren Fingerabdruck.

Die am häufigsten verwendete Methode zur Authentifizierung einer Zahlung ist 3D Secure. 3D Secure wird auch in Zusammenhang mit Markennamen wie „Visa Secure“ bzw. „Mastercard Identity Check“ verwendet. Darüber hinaus gibt es eine neue Version, nämlich 3D Secure 2 und es wird erwartet, dass diese Version zur Standardmethode zur Authentifizierung von Zahlungen wird. Weitere Informationen zu den Unterschieden zwischen diesen Methoden sind im 3D Secure 2-Leitfaden enthalten. 3D Secure 2 wird sowohl von unseren neuen Zahlungs-APIs, Stripe Billing, als auch der neuen Version von Stripe Checkout unterstützt.

Ganz gleich, welche Methode verwendet wird, müssen Kunden zur Authentifizierung eine aktive Sitzung vorweisen, was auch als „on-session“ bezeichnet wird. Dies bedeutet, dass Kunden Ihre Website oder App verwenden müssen.

Das Hinzufügen dieses Schrittes ist für Unternehmen einfacher, die Kundenzahlungen sofort abwickeln. Für Unternehmen, bei denen Zahlungen erst dann abgewickelt werden, nachdem Kunden den Bezahlvorgang durchlaufen haben, ist dies komplexer. (Dies wird manchmal als „off-session“ bezeichnet.)

Die Szenarien in diesem Leitfaden geben Beispiele dazu, wie sich diese drei Schritte (Authentifizierung, Autorisierung und Erfassung) unterscheiden können, je nachdem, wie und wann Kundenzahlungen abgewickelt werden.

  1. Authentifizieren
    Ein Kunde authentifiziert eine Online-Zahlung.

    Ein Kunde reagiert auf eine 3D Secure-Eingabeaufforderung von der Bank und liefert zusätzliche Informationen, um die Zahlung zu authentifizieren. Siehe 3D Secure aus der Kundenperspektive.

    Die Authentifizierung ist erforderlich, wenn keine Ausnahme für eine Zahlung geltend gemacht werden kann bzw. wenn die Kundenbank die Anforderung einer Ausnahme ablehnt. Unsere neuen Payments-APIs fordern automatisch alle zutreffenden Ausnahmen an, bevor der Authentifizierungsschritt hinzugefügt wird. Dies vereinfacht den Bezahlvorgang und beugt einem Einbruch der Konversionsrate vor.

    Hinweis: Die Authentifizierung muss durchgeführt werden, wenn Kunden sich noch in der Sitzung befinden bzw. wenn diese Ihre Website oder App verwenden. Daher erfolgt dieser Schritt für gewöhnlich, wenn Kunden das Zahlungsformular ausfüllen.

  2. Autorisieren
    Ihr Unternehmen bittet die Kundenbank, die Zahlung zu genehmigen.

    Die Kundenbank entscheidet, ob eine Zahlung genehmigt oder abgelehnt wird. Bei Genehmigung werden die Gelder gehalten und sieben Tage lang garantiert. Wenn eine Authentifizierungsanfrage abgelehnt wird, benötigt Ihr Unternehmen eine Möglichkeit, die Kunden zur Sitzung zurückzubringen, um die Zahlung erneut zu authentifizieren und einen neuen Autorisierungsversuch zu unternehmen.

    Hinweis: Eine Autorisierungsanfrage kann auch noch nach der Authentifizierung von der Kundenbank abgelehnt werden. Dies kann dann passieren, wenn unzureichende Gelder zur Verfügung stehen oder die Karte abgelaufen ist.

  3. Bis zu 7 Tage

    Der Zeitraum zwischen Autorisierung und Erfassung kann bis zu sieben Tage betragen. Viele Unternehmen erfassen eine Zahlung jedoch sofort nach der Autorisierung.

    Hinweis: Eine Kundenbank gibt eine Zahlung möglicherweise als „ausstehend“ an, wenn diese autorisiert, jedoch nicht erfasst wurde.

  4. Erfassen
    Das Unternehmen belastet die Kundenkarte und schließt die Zahlung ab.

Überblick über Ausnahmen

Einige Zahlungsarten – wie beispielsweise Transaktionen mit geringem Risiko, Abonnements mit einem festen Betrag, Telefonbezahlung oder von Händlern initiierte Transaktionen – sind von der SCA ausgenommen. Bei von Händlern veranlassten Transaktionen handelt es sich um Zahlungen, die mithilfe einer gespeicherten Karte erfolgen, ohne dass Kunden/Kundinnen sich in einer Sitzung befinden. Übliche Beispiele hierfür sind Zahlungen für Mitgliedschaften im Fitnessstudio oder Gas-, Wasser- oder Stromrechnungen. Um diese Ausnahme geltend machen zu können, muss Ihr Unternehmen eine Kundenvereinbarung haben, wobei die Authentifizierung der Karte der Person erfolgt, wenn diese gespeichert oder für die erste Zahlung authentifiziert wird. Unser Leitfaden für die starke Kundenauthentifizierung (SCA) enthält weitere Einzelheiten zu diesen und anderen Ausnahmen.

Stripe hat Zahlungs-APIs und Produkte, die die starke Kundenauthentifizierung unterstützen, entwickelt, um Unternehmen dabei zu helfen, die Möglichkeiten voll auszuschöpfen, indem automatisch Ausnahmen angefordert werden. Sobald die Ausnahmen von den Banken der Kunden/Kundinnen genehmigt werden, ist eine Authentifizierung durch diese nicht mehr erforderlich, was die Auswirkungen auf Konversionen minimiert.

Unternehmen können sich jedoch nicht auf Ausnahmen verlassen und müssen ihren Zahlungsfluss so konzipieren, dass die Kundenauthentifizierung, wenn erforderlich, erfolgt. Grund hierfür ist, dass die Richtlinien bezüglich Ausnahmen von den Banken der Kunden abhängig sind. Die Banken beurteilen jede Zahlung und entscheiden, ob eine Ausnahme geltend gemacht werden kann – und die Handhabung von Ausnahmen ist von Bank zu Bank unterschiedlich.

Geschäftsszenarien

Um die Auswirkungen und Geltungsbereiche der SCA darzustellen, haben wir zusammengefasst, wie ein Authentifizierungsschritt in Zahlungsabläufe für verschiedene Geschäftsmodelle integriert werden kann.

Zurück zu den Leitfäden
You’re viewing our website for France, but it looks like you’re in the United States. Switch to the United States site