Authentifizierung von Karteninhaber/innen mit 3D Secure

So funktioniert 3D Secure

3D Secure (3DS) verwendet eine Multi-Faktor-Authentifizierung, um Betrug bei Online-Transaktionen ohne physische Karte zu reduzieren. 3DS wird von Unternehmen im Online-Bezahlvorgang ausgelöst und erfordert eine Multi-Faktor-Authentifizierung (in der Regel durch einen von Stripe gesendeten einmaligen Passcode per SMS oder E-Mail).

Beispiel für einen 3D Secure-Ablauf

Schritt 1: Die Kundin/der Kunde gibt die Kartenangaben ein.

Schritt 2: Der Acquirer (Händlerbank) fordert die 3DS-Verifizierung an. Wenn die Issuing-Karte von Stripe für 3DS registriert ist, werden Karteninhaber/innen aufgefordert, einen zusätzlichen Verifizierungsschritt durchzuführen.

Wie oben gezeigt, wird den Karteninhaberinnen/Karteninhabern bei dem zusätzlichen 3D Secure-Schritt im Bezahlvorgang in der Regel eine Authentifizierungsseite von ihrem Aussteller angezeigt. Auf dieser Seite müssen sie einen Verifizierungscode eingeben, den sie per Telefon oder E-Mail erhalten haben.

Warum 3DS so wichtig ist

In den meisten Fällen sind die Unternehmen für Verluste durch Online-Betrug bei Transaktionen ohne Karte verantwortlich. Um sich zu schützen, können Unternehmen die 3DS-Verifizierung auslösen und so die Wahrscheinlichkeit betrügerischer Transaktionen verringern. Selbst wenn ein Unternehmen die 3DS-Verifizierung auslöst, müssen Karteninhaber/innen diesen Schritt nur ausführen, wenn Sie Ihre Stripe-Karten für 3DS registriert haben. Im Vereinigten Königreich und in der EU ist 3DS der Standard für die Umsetzung der regulatorischen Anforderungen der starken Kundenauthentifizierung (SCA).

Haftungsverlagerung

Wenn ein Unternehmen die 3DS-Verifizierung auslöst, geht die Haftung für Betrug in der Regel vom Unternehmen auf den Aussteller über. Dies gilt unabhängig davon, ob Ihre Issuing-Karten für 3DS registriert sind. Das bedeutet, dass die Aussteller ohne zusätzliche Verifizierung eine erhöhte Haftung übernehmen können.

3DS-Registrierung

• USA: Die Registrierung für 3DS in den USA ist optional und Ihre Karten werden nicht für 3DS registriert, außer Sie fordern dies direkt bei unserem Support-Team an. Im Rahmen unserer Best Practices für den Umgang mit Transaktionsbetrug empfehlen wir, Ihre Karten in der Anfangsphase Ihres Issuing-Programms für 3DS zu registrieren. Durch die Registrierung mag sich zwar der Bezahlvorgang für eine geringe Teilmenge der Transaktionen Ihrer Karteninhaber/innen ein wenig länger gestalten, Ihnen entstehen dafür aber deutlich weniger Betrugsfälle bei Online-Transaktionen, bei denen keine physische Karte vorliegt (Card-Not-Present-Transaktionen). Wenn Sie um eine Registrierung bitten, registrieren wir alle aktiven Karten, die mit Ihrem Konto verknüpft sind, und registrieren ebenfalls automatisch alle künftig erstellten Karten.
  • Karteninhaber/innen ohne hinterlegte Telefonnummer oder E-Mail werden nicht für 3DS registriert. Sobald Sie die Registrierung angefordert haben, können Sie den Karteninhaber-Objekten Kontaktinformationen hinzufügen, damit die Karten automatisch registriert werden. Umgekehrt wird die Registrierung der Karten aufgehoben, wenn Sie die Kontaktinformationen von Karteninhaberinnen/Karteninhabern entfernen.
• Vereinigtes Königreich und EU: Bei der Erstellung von Karten werden diese aufgrund lokaler Vorschriften standardmäßig für 3DS registriert.
  • Um die starke Kundenauthentifizierung (SCA) anstatt von 3DS zu implementieren und lokale Vorschriften einzuhalten, muss für alle in der EU und im Vereinigten Königreich ausgestellten Karten eine gültige Telefonnummer hinterlegt sein.

3DS-Authentifizierung

Wenn eine 3DS-Authentifizierungsanforderung für Karteninhaber/innen eingeht, sendet Stripe eine Textnachricht oder eine E-Mail mit einem einmaligen Verifizierungscode.

Die Authentifizierungsmethode hängt von den Kontaktinformationen ab, die die Karteninhaber/innen zur Verfügung gestellt haben. Im Vereinigten Königreich und in der EU müssen Karteninhaber/innen eine Telefonnummer für Stripe Issuing hinterlegen, um sich per einmaligem Verifizierungscode authentifizieren zu können. In den USA wird die hinterlegte Telefonnummer oder E-Mail-Adresse verwendet, um die Authentifizierung durchzuführen. Wenn jedoch sowohl eine Telefonnummer als auch eine E-Mail-Adresse vorliegen, wird standardmäßig die Telefonnummer genutzt. Sind keine dieser beiden Angaben vorhanden, so verwendet die Authentifizierungsanfrage jegliche verfügbare Kontaktinformationen. Um Sie und Ihre Karteninhaber/innen bestmöglich zu schützen, sollten die Telefonnummern und E-Mail-Adressen stets auf dem neuesten Stand sein. So können wir die Karteninhaber/innen während der Authentifizierung direkt kontaktieren. Die Kontaktinformationen können Sie aktualisieren, indem Sie in die entsprechenden Felder der API bzw. des Dashboards neue Werte eingeben.

Im Vereinigten Königreich und in der EU müssen Karteninhaber/innen möglicherweise auch eine zusätzliche Sicherheitsfrage beantworten. Dabei wird ihnen eine Liste mit Kartentransaktionen angezeigt, aus der sie die ihnen bekannte auswählen sollen. Wird eine Karte zum ersten Mal verwendet, so geben sie an, dass sie keine der angezeigten Transaktionen kennen.

Die Liste der Transaktionen, die den Karteninhaber/innen angezeigt wird.

Wählen Sie die Sprache, in der 3D Secure angezeigt wird

Durch das Feld preferred_locales des Cardholder-Objekts wird bestimmt, welche Sprache beim Autorisierungsablauf per 3D Secure angezeigt wird. Die Standardsprache ist Englisch.

Um die Anzeigesprache für 3DS für Karteninhaber/innen festzulegen, wählen Sie über die API deren preferred_locales für ein Array der bevorzugten Sprachen in der gewünschten Reihenfolge aus. Es steht Ihnen frei, auch nur eine Sprache auszuwählen. Die unterstützten Sprachen sind Deutsch (de), Englisch (en), Französisch (fr), Italienisch (it) und Spanisch (es).

curl https://api.stripe.com/v1/issuing/cardholders \
  -u "
sk_test_BQokikJOvBiI2HlWgH4olfQ2
:" \
  -d type=individual \
  -d name="Jane D. Rocket" \
  --data-urlencode email="jane@example.com" \
  -d "preferred_locales[]"=fr \
  -d "preferred_locales[]"=en \
  -d "billing[address][line1]"="1234 Main Street" \
  -d "billing[address][city]"="San Francisco" \
  -d "billing[address][state]"=CA \
  -d "billing[address][country]"=US \
  -d "billing[address][postal_code]"=94111

In den USA unterstützt Stripe außerdem die Authentifizierung über eine native iOS- und Android-Anwendung. Wenn Sie diese Funktionalität nutzen möchten, wenden Sie sich bitte an den Support.

Wenn Karteninhaber/innen drei aufeinanderfolgende 3DS-Versuche innerhalb kürzester Zeit nicht erfolgreich bestätigen können, wird 3DS für die Karte unabhängig von der genutzten Authentifizierungsmethode für 60 Minuten deaktiviert.

Ausnahmen

Bestimmte Arten von Zahlungen mit geringem Risiko sind möglicherweise von der starken Kundenauthentifizierung (SCA) ausgenommen. Durch Ausnahmen bei Zahlungen mit geringem Risiko fallen kundenseitig weniger Authentifizierungen an. Standardmäßig lässt Stripe die folgenden Ausnahmen von für 3DS registrierte Karten für Transaktionen mit geringem Wert oder geringem Risiko zu, um den Bezahlvorgang nahtloser zu gestalten:

Wenn ein Aussteller eine Ausnahme angewendet hat, sieht die Autorisierung folgendermaßen aus:

{
  "object": "issuing.authorization",
  ...
  "verification_data" : {
    ...
    "authentication_exemption": {
      "type": "low_value_transaction",
      "claimed_by": "issuer"
    },
    ...
  },
  ...
}

Umgekehrt sieht das Autorisierungsobjekt wie folgt aus, wenn der Acquirer (Händlerbank) eine Ausnahme angewendet hat:

{
  "object": "issuing.authorization",
  ...
  "verification_data" : {
    ...
    "authentication_exemption": {
      "type": "low_value_transaction",
      "claimed_by": "acquirer"
    },
    ...
  },
  ...
}

Wenn Sie im Vereinigten Königreich oder in der EU ansässig sind und in Ihrem Anwendungsszenario nur virtuelle Karten nutzen, können Sie sich an den Stripe-Support wenden. Unser Team berät Sie gerne dazu, ob sich Ihr Programm eventuell für eine Ausnahme von Secure Corporate Payment (SCP) eignet.

Betrugsbekämpfung mit 3DS

Stripe erfasst die Details zu einem 3DS-Versuch über die API in dem Autorisierungs-Endpoint. Verwenden Sie den Hash three_d_secure im verification_data-Hash, um zu ermitteln, ob eine Autorisierung erfolgreich authentifiziert wurde. Wenn Sie Ihre eigene Autorisierungslogik nutzen möchten, empfehlen wir, diese Werte zu nutzen, da sie bestimmen, ob eine Autorisierung genehmigt oder abgelehnt werden soll.

Wenn das Unternehmen keinen Autorisierungsversuch über 3DS durchgeführt hat, ist das Feld three_d_secure den Wert null. Wenn es sich um eine Ausnahme von 3DS gehandelt hat, ist authentication_exemption vorhanden und das Feld three_d_secure hat den Wert null. Eine Autorisierung kann niemals gleichzeitig three_d_secure und authentication_exemption enthalten.

In der folgenden Tabelle finden Sie Richtlinien dazu, was diese Werte bedeuten und wie Sie diese zur Betrugsprävention einsetzen können.

So testen Sie 3DS

Verwenden Sie die Stripe Payments API, um 3DS zu testen.

Erstellen Sie eine PaymentMethod mit Ihrer ausgestellten Karte

Sie können mit Ihrer eigenen ausgestellten Karte eine PaymentMethod erstellen, indem Sie den folgenden Befehl ausführen:

curl https://api.stripe.com/v1/payment_methods \
  -u 
pk_test_TYooMQauvdEDq54NiTphI7jx
: \
  -d type=card \
  -d "card[number]"=YOUR_ISSUED_CARD_NUMBER \
  -d "card[exp_month]"=YOUR_ISSUED_CARD_EXPIRATION_MONTH \
  -d "card[exp_year]"=YOUR_ISSUED_CARD_EXPIRATION_YEAR \
  -d "card[cvc]"=YOUR_ISSUED_CARD_CVC

Ersetzen Sie die folgenden Werte:

• YOUR_ISSUED_CARD_NUMBER durch die Kartennummer Ihrer ausgestellten Karte
• YOUR_ISSUED_CARD_CVC durch die CVC Ihrer ausgestellten Karte
• YOUR_ISSUED_CARD_EXPIRATION_MONTH durch den Ablaufmonat Ihrer ausgestellten Karte
• YOUR_ISSUED_CARD_EXPIRATION_YEAR durch das Ablaufjahr Ihrer ausgestellten Karte

Einen PaymentIntent erstellen

Sie können mit Ihrer eigenen ausgestellten Karte einen PaymentIntent erstellen, indem Sie den folgenden Befehl ausführen:

curl https://api.stripe.com/v1/payment_intents \
  -u 
sk_test_BQokikJOvBiI2HlWgH4olfQ2
: \
  -d amount=15000 \
  -d currency=usd \
  -d "payment_method_types[]"=card \
  -d "payment_method_options[card][request_three_d_secure]"=any \
  -d "capture_method"=manual

Dieser Befehl erstellt einen PaymentIntent, der eine 3D Secure-Authentifizierung initiiert. Verwenden Sie den Parameter payment_method_options[card][request_three_d_secure]=any, um die 3D Secure-Authentifizierung durchzuführen. Der Betrag muss groß genug sein, um eine Anfechtung zu rechtfertigen. In diesem Beispiel werden 150 USD verwendet.

Der Parameter "capture_method"=manual ermöglicht die manuelle Erfassung für den PaymentIntent, was bedeutet, dass die Gelder autorisiert, aber noch nicht erfasst wurden.

PaymentIntent bestätigen

Sie können den PaymentIntent bestätigen, indem Sie den folgenden Befehl ausführen:

curl https://api.stripe.com/v1/payment_intents/pi_XXX/confirm \
  -u 
sk_test_BQokikJOvBiI2HlWgH4olfQ2
: \
  -d payment_method=pm_XXX \
  -d return_url=https://www.example.com

Ersetzen Sie pi_XXX durch Ihre PaymentIntent-ID und pm_XXX durch Ihre PaymentMethod-ID. Nachdem Sie den PaymentIntent bestätigt haben, enthält die Antwort, die Sie erhalten, das Feld next_action. Dieses Feld enthält eine URL, mit der Sie den/die Nutzer/in weiterleiten können, um die 3DS-Authentifizierung abzuschließen.

...
"next_action": {
    "redirect_to_url": {
      "return_url": "https://www.example.com ",
      "url": "https://hooks.stripe.com/3d_secure_2/hosted?...."
    },
    "type": "redirect_to_url"
  },
...

Autorisierung stornieren

Nachdem Sie die 3DS-Abfrage und die Zahlungsautorisierung abgeschlossen haben, können Sie den PaymentIntent abbrechen, ohne Gelder erfassen zu müssen.

curl https://api.stripe.com/v1/payment_intents/pi_XXX/cancel \
  -u 
sk_test_BQokikJOvBiI2HlWgH4olfQ2
: \
  -d "cancellation_reason"=abandoned

Ersetzen Sie pi_XXX durch Ihre PaymentIntent-ID.