Die Zwei-Faktor-Authentifizierung (2FA) ist ein wesentlicher Bestandteil der PSD2. Wie sehen Sie deren Bedeutung für POS und E-Commerce?
Im E-Commerce werden die gestiegenen Anforderungen deutlich zur Sicherheit der Zahlungsabwicklung beitragen. Wenn ein Konsument seine Zahlung am Laptop per SMS am Smartphone bestätigen muss, wird es unkomfortabel für ihn. Komfortabler und sicherer sind biometrische Verfahren, zum Beispiel die Authentifizierung per Fingerabdruck oder Spracherkennung, Moderne Smartphones bringen die notwendige Technologie bereits mit. Sobald sich im stationären Handel eWallets wie Master Pass oder Pay Pal als Bezahlmethode durchsetzen, kann die biometrische Authentifizierung auch zum POS kommen. Händler und Banken sollten sich darauf einstellen.
Ralf Gladis, Computop
Handel und Konsumenten können die Zweifaktor-Authentifizierung abschalten. Welche Konsequenz hat dies für Payment Service Provider?
Ein Konsument kann die Händler seines Vertrauens auf eine sogenannte White List setzen und so die Authentifizierung abschalten. Diese Befreiung bezieht sich jedoch oft nur auf einzelne Zahlarten des gelisteten Händlers. Um das Ziel der White List zu erreichen, müsste die Befreiung des Händlers von der Zweifaktor-Authentifizierung bei Kartenzahlungen dann auch für Online-Überweisungen gelten und umgekehrt. Derzeit interagieren die Systeme für Kartenzahlungen und Online-Überweisungen noch nicht miteinander. Hinsichtlich der Befreiung eines konkreten Kaufs sieht es besser aus: Die technischen Regularien, RTS, definieren Umsatzgrenzen, unter denen von der 2FA abgesehen werden kann. So kann der Händler im Fernabsatz bei Zahlungen unter 30 Euro auf 2FA verzichten, wenn der Käufer seit der letzten starken Authentifizierung nicht mehr als 100 Euro ausgegeben und nicht mehr als fünf Online-Zahlungen getätigt hat. Unklar ist, ob diese Grenzen zahlungsmittelübergreifend zu verstehen sind.
Ein wiederkehrendes Problem ist der Datendiebstahl. Schützen die Vorgaben der PSD2 den Handel auch in dieser Hinsicht?
Die Zwei-Faktor-Authentifizierung soll Konsumenten vor Missbrauch ihrer Zahlungsmittel schützen. Die Datensicherheit muss der Händler weiterhin selbst gewährleisten. Will ein Händler die Daten seiner Kunden schützen, kann er auf das Speichern von Konto- und Kartendaten verzichten. Im Onlineshop speichert er statt der Kartendaten nur ein Token – eine Ersatznummer. Für den stationären Handel empfiehlt sich der Einsatz von Karten-Terminals mit Punkt-zu-Punkt-Verschlüsselung (P2PE). Diese im Terminal verschlüsslten Kartendaten kann nur der Zahlungsdienstleister entschlüsseln und speichern. Der Händler bekommt wieder nur ein Token. Die PSD2 bietet insofern einen zusätzlichen Schutz, als das die Pflicht zur 2FA dafür sorgt, dass es für die Diebe erheblich schwerer wird, vom Händler gestohlenen Konto- oder Kartendaten zum Bezahlen einzusetzen.
Wird Instant Payments den Zahlungsverkehr in Europa vereinfachen?
Im stationären Handel lässt sich kaum noch etwas verbessern. Viele Europäer besitzen meist landestypische Debitkarten, die auch im Ausland funktionieren. Allerdings verursachen die vielen lokalen Debitkarten in Europa viel Aufwand bei der Integration in Kassensysteme und POS-Terminals. Immer mehr internationale Händler scheuen den IT-Aufwand für die Integration und setzen stattdessen auf internationale Standards wie Maestro und V-Pay. Für den Käufer ändert sich nichts. Fortschritte kann Instant Payments im E-Commerce bringen: Manche Debitkarten wie die Girocard können im Internet nicht genutzt werden und die Integration mehrerer Zahlarten kann im Onlineshop sehr aufwendig werden. Hier könnte Instant Payment als EU-Standard für sichere und schnelle Zahlungen einen Vorteil für den Handel schaffen.
Wie sehen Sie die Chancen für Instant Payments am POS?
Wie erfolgreich Instant Payments an der Ladenkasse wird, hängt davon ab, wie die Banken ihren Kunden Instant Payments zur Verfügung stellen. Es könnte als neue Debitkarte kommen, als bessere Lastschrift auf dem EMV-Chip oder per Funk via NFC. Führen Banken allerdings Instant Payment nur als App auf dem Smartphone oder mit QR-Code ein, wäre es vielen Konsumenten zu kompliziert, ihre Zahlungsgewohnheiten zu ändern. Wer Instant Payments zum Erfolg bringen möchte, muss die ganze Klaviatur der alten und neuen Zahlungsmittel spielen: Karte mit EMV, Funk mit NFC und eine App auf dem Smartphone oder bestehende Debitkarten auf Instant Payments umstellen. Die Standardisierungsgremien der GS1 verfolgen den Ansatz, dass nicht der Händler die Zahlung abwickeln soll, sondern der Kunde mit seinem Smartphone. Dabei überträgt die Kasse nur die Rechnung an eine App. Der Kunde löst eine Instant Payment-Zahlung bei seiner Bank aus, die Kasse registriert nach ein paar Sekunden den Zahlungseingang. Das könnte den Handel von der aufwendigen Zahlungsabwicklung befreien. Allerdings dauert der Übertragungsweg von der Kasse zum Smartphone über die Bank zurück zur Kasse zu lange. Außerdem müssen die Händler trotzdem alle anderen Zahlungsmittel abwickeln können, denn die verschwinden nicht. Wahrscheinlicher ist, dass bestehende Kartenmarken Instant Payment als neuen Motor nutzen. Es bringt den Vorteil der europaweiten Verbreitung und des schnellen Zahlungseingangs mit.
Foto: Fotolia/Tomasz Zajda
Weitere Informationen: www.computop.com
Starke Authentifizierung im Onlineshop
In vielen Onlineshops melden sich Kunden noch immer mit Username und Passwort an. In ihrem Account sind sowohl personenbezogene Daten als auch Kreditkartennummern hinterlegt. Seite Inkrafttreten der EU-Datenschutzgrundverordnung sind Unternehmen in der Pflicht, den Zugriff auf die von ihnen gespeicherten personenbezogenen Daten angemessen abzusichern. Welche Verfahren eignen sich für Onlineshops?
