3-D Secure

3-D Secure Definition:

3-D Secure ist ein Sicherheitsmerkmal bei Online-Kreditkartentransaktionen. Es wurde von der Kreditkartenorganisation VISA entwickelt und heißt dort „Verified by Visa“. Unter dem Namen SecureCode, J/Secure bzw. SafeKey bieten auch Mastercard, JCB bzw. American Express diesen Standard an.

Mit 3-D Secure sollen das Betrugsrisiko und der Zahlungsausfall durch Kreditkartenmissbrauch minimiert werden. Online-Shop-Betreibern, die 3-D Secure als Zahlungsverfahren in ihrem Online-Shop einsetzen, wird der Zahlungseingang garantiert. Ohne dem Sicherheitsmerkmal haftet immer der Betreiber eines Webshops für missbräuchlich eingesetzte Kreditkarten. Mit Einsatz kommt es zu einer Haftungsumkehr: Nun haftet die kartenausgebende Bank für Schäden aus missbräuchlich eingesetzten Karten. Diese Haftungsumkehr bewahrt den Händler vor einem Zahlungsausfall.

Funktionsweise von 3-D Secure

Der Karteninhaber muss sich vorab bei seiner kartenausgebenden Bank oder Sparkasse einmalig für den Service registrieren. Nach der Registrierung kann der Karteninhaber bei allen Online-Shops, die dieses Sicherheitsmerkmal einsetzen, mit diesem Verfahren online bezahlen. Während des Bezahlvorgangs im Check-out wird dann zusätzlich eine sichere Verbindung zu seiner kartenausgebenden Bank oder Sparkasse aufgebaut. Der Bezahlvorgang wird erst abgeschlossen, wenn der Kreditkarteninhaber mit einem eigenen Passwort die Zahlung in dem 3-D Secure Frame oder auf einer separaten Internetseite der Bank nochmals bestätigt. Der Händler hat dabei keinen Zugriff auf die vom Karteninhaber eingegebenen Daten.

3-D Secure Zusammenfassung aus Käufersicht:

1. Der Käufer gibt seine Kreditkartennummer ein
2. Verbindung zum Kartenherausgeber wird hergestellt, damit der Käufer seine Identität mittels Code bestätigt (SCA)
3. War die Authentifizierung erfolgreich, wird die Kreditkartenzahlung ausgeführt
    

Funktionsweise von 3-D-Secure im Detail:

1. Der Online-Kunde (Karteninhaber) checkt in seinem Webbrowser auf der Händlerseite aus und gibt seine Zahlungskartendaten ein.
2. Wenn die Website des Händlers 3-D Secure aktiviert, implementiert sie das Merchant-Plugin (MPI). MPI kontaktiert den Payment System Directory Server (DS) in der Interoperabilitätsdomäne, um die Registrierung der Zahlungskarte in 3-D Secure zu überprüfen, indem es einen Verifying Enrolment Request (VEReq) an den DS sendet, die die Zahlungskartennummer des Karteninhabers (Primary Account Number (PAN)) enthält.
3. Basierend auf der PAN findet der DS den Access Control Server (ACS) des Kartenherausgebers und kontaktiert ihn, um festzustellen, ob die Karte in 3-D Secure registriert ist.
4. Der ACS antwortet auf den DS und bestätigt, dass die Karte mit der angegebenen PAN im Zahlungssystem registriert ist.
5. Der DS antwortet auf das MPI mit einer Verifying Enrolment Response (VERes) Meldung, die dem MPI bestätigt, ob die Karte registriert ist oder nicht.
6. Das MPI des Händlers leitet den Browser des Karteninhabers an die ACS-URL weiter und fügt ihn zur POST-Request signed Payer Authentication Request (PAReq) hinzu, die PAN und andere Transaktionsdetails enthält.
7. Der Karteninhaber authentifiziert sich bei der ACS-Authentifizierung. Abhängig von der unterstützten Authentifizierungsmethode kann es sich um One Time PIN, bekanntes festes Passwort, Anmeldung bei der Webbank usw. handeln. Die Personal Assurance Message (PAM) wird vom Karteninhaber während der Registrierung gewählt, die möglicherweise auf dieser Seite angezeigt wird, wenn der Herausgeber diese Option unterstützt.
8. Wenn der Karteninhaber das Authentifizierungsformular wie oben beschrieben übermittelt hat, leitet das ACS sie zurück zum MPI und fügt eine Payer Authentication Response (PARes) Nachricht hinzu.
9. Die PARes werden dann über den Browser des Kunden an das MPI weitergeleitet. PARes beinhaltet den Transaktionsstatus, der angibt, ob der Kunde sich erfolgreich mit 3-D Secure authentifiziert hat. Abhängig von den Regeln des Zahlungssystems und dem Transaktionsstatus in der PARes-Nachricht kann der Händler mit einer Zahlungsautorisierungsanforderung fortfahren.