Starke Authentifizierung für Online-Payment – PSD2, 3-D Secure

Warum Sie eine starke Authentifizierung für Online- und Mobile-Payment benötigen

inWebo access security for web and mobile payments  

Die Authentifizierung des Zahlenden, der auch in der Regel die Zahlungsart auswählt, ist bei Online-Transkationen aus mehreren Gründen sinnvoll. Zum einen schützt dies gegen Online-Betrug. Bei Online-Zahlungen mit Kreditkarten wird zum anderen die Haftung der Zahlung vom Händler an die Bank (oder die Emittenten) übertragen, wenn der Benutzer von der Bank (oder dem Emittenten) authentifiziert wird. Banken und Emittenten müssen daher eine sichere Authentifizierung durchsetzen, um ihre Risiken zu begrenzen. Wird die Zahlungsprozedur jedoch zu komplex, führt dies dazu, dass ein höherer Prozentsatz der Käufe entfällt, was aus Sicht der Händler sogar noch schlimmer sein kann als die Verluste durch Betrug. Die Benutzerfreundlichkeit und Sicherheit des Authentifizierungsmechanismus ist hierbei der Schlüssel zum Erfolg für die Nutzung von Zahlungsmethoden. Schließlich wird in Vorschriften wie PDS2 in Europa zunehmend eine starke Authentifizierung für Online-Zahlungen gefordert. Betrugsprävention, Verlagerung von Haftungsrisiken und die Einhaltung der Compliance-Richtlinien sind die Hauptgründe für den Einsatz sicherer und benutzerfreundlicher Authentifizierungslösungen für Online-Zahlungen. Wie Spezialisten herausgefunden haben, steigt die Anzahl von Betrugsfällen betreffend Zahlungsmethoden gegenproportional mit der Sicherheit der eingesetzten Technik.

Starke Authentifizierung für PSD2-Konformität

Die Einführung der Zweiten EU-Zahlungsdienste-Richtlinie 2015/2366 (PSD2) schreibt vor, dass Zahlungsdienstleister (PISP) ​​eine starke Authentifizierung des Zahlenden erzwingen müssen, es sei denn es ergibt sich eine Ausnahmemöglichkeit durch die Transaktionscharakteristika. Zu diesem Zweck kann der PISP eine MFA-Lösung implementieren oder die MFA-Lösung nutzen, die von dem kontoführenden Zahlungsdienstleister (ASPSP), d.h. der Bank, implementiert wurde und auf seiner API bereitgestellt.

Kurz gesagt: Banken müssen MFA-Lösungen für die Zahlungskonten ihrer Kunden implementieren und diese über eine API zur Verfügung stellen. Der PISP muss die starke Authentifizierung für Zahlungstransaktionen erzwingen, es sei denn eine Transaktion ist zu einer Ausnahme berechtigt und kann die von der Bank des Benutzers zur Verfügung gestellte MFA-Lösung oder ihre eigene verwenden.

Die inWebo MFA-Lösung erfüllt alle im PSD2 / RTS-Dokument festgelegten Anforderungen, einschließlich der folgenden:

  • Authentifizierungscodes (z.B.Einmalpasswörter) müssen aus mindestens zwei unterschiedlichen Authentifizierungskategorien (Sicherheitsberechtigungsnachweisen: Besitz, Inhärenz und Wissen) entstehen.
  • Authentifizierungscodes können dynamisch mit dem Transaktionsbetrag oder falls dieser zum Zeitpunkt der Authentifizierung nicht bekannt ist, mit dem vom zahlenden Benutzer maximal autorisierten Betrag, verknüpft werden. inWebo nennt diese Funktion Transaction Sealing, sie entspricht einer Transaktionssignatur.
  • Sicherheitsanmeldeinformationen sollen nicht aus Authentifizierungscodes oder aus zuvor kompromittierten Sicherheitsanmeldeinformationen, abgeleitet werden können. Sie müssen geschützt bleiben, damit sie nicht aus einem Authentifizierungsgerät extrahiert und unberechtigt verwendet werden können.
  • Authentifizierungscodes dürfen nicht wiederverwendet werden.
  • Die Benutzeranmeldung ist auf maximal 5 aufeinanderfolgenden und fehlgeschlagenen Anmeldeversuchen zu beschränken und soll bei Überschreitung vorübergehend oder endgültig blockiert werden.

PISP und ASPSP können mit der Implementierung und dem Einsatz der inWebo MFA die PDS2 / RTS-Richtlinien erfüllen!

Starke Authentifizierung für 3-D Secure

Gemäß 3-D Secure sollten Kartenemittenten in der Lage sein, wenn der Händler dies verlangt, eine dynamische Authentifizierung des Zahlers, während einer Distanzzahlung (Card Not Present Transaction, Kreditkarte wird nicht vorgelegt), durchzusetzen. Wenn die dynamische Authentifizierung erfolgreich ist, verlagert sich die Verantwortung für die Zahlung auf den Kartenherausgeber und schützt den Händler somit vor einer Rückbuchung.

Kreditkartenaussteller (und / oder Banken, die Karten ausstellen) müssen somit MFA-Lösungen implementieren und einsetzen.

Die 3-D Secure-Anforderungen, die auch die Authentifizierung einschließen, haben sich im Laufe der Zeit verändert und wurden auch von lokalen Regulierungsbehörden beeinflusst. Die Authentifizierung des Karteninhabers erfolgte bisher mit einem transaktionsspezifischen und dynamischen Code. Hierfür wurden SMS als die Hauptauthentifizierungsmethode für 3-D Secure genutzt, die jetzt durch fortschrittlichere und sicherere Authentifizierungsmethoden ersetzt werden.

inWebo MFA übertrifft die Sicherheitsanforderungen für 3-D Secure und kann daher von Kartenherausgebern und Banken verwendet werden, um die Compliance von 3-D Secure zu erreichen!

Starke Authentifizierung für Android Pay und Apple Pay

Mit der Nutzung der Apple Pay und Android Pay SDKs ist die Benutzerauthentifizierung mit inWebo MFA nicht zwingend notwendig. Allerdings ist für eine konsistente Benutzererfahrung, eine einheitliche Authentifizierung für z.B. Zahlungen am POS (Proximity-Payments), Online-Zahlungen mit 3-D Secure oder PSD2 und Zahlungen über Bankkonten sinnvoll. Sprechen Sie uns an, um mehr darüber zu erfahren, wie Sie dies mit inWebo erreichen können.

inWebo starke Authentifizierung für Web-basierte und mobile Zahlungen

Unsere MFA-Lösung für Bezahlanwendungen besteht aus:

  • Clientseitige OTP-Generierungsbibliotheken, inWebo mAccess und inWebo Helium:
    • Diese Bibliotheken werden über Schnittstellen in Ihren Bezahlanwendungen integriert. Die Benutzergeräte auf denen Ihre Mobile Payment Apps oder SDKs, Mobile Wallet Apps sowie Webbrowser installiert sind, werden zu vertrauenswürdigen Geräten, d.h. starke Authentifizierungsmethoden.
    • Für die Validierung einer Zahlung im Namen des Benutzers ist ein gültiges Einmalpasswort (OTP) erforderlich, dass von einem der vertrauenswürdigen Geräte des Benutzers generiert wird. Dadurch werden Hacker abgehalten, die nicht im Besitz eines der vertrauenswürdigen Geräte des Benutzers sind, während die Zahlung für den berechtigten Benutzer extrem einfach ist, da das Einmalpasswort lokal generiert (es wird nicht an den Benutzer gesendet) und automatisch übergeben wird (der Benutzer muss es nicht kopieren und einfügen).
    • inWebo Authentifizierungsbibliotheken können dynamisch für 1-Faktor (vertrauenswürdiges Gerät), 2-Faktor (vertrauenswürdiges Gerät + einen geheimen oder biometrischen Faktor) oder sogar 3-Faktor Authentifizierungen (über verschiedene Kanäle/Geräte) verwendet werden. Transaktionsdaten, wie z.B. ein autorisierter Betrag, können dynamisch in den Authentifizierungscode (Transaction Sealing) eingebunden werden, um die Zustimmung des Zahlungspflichtigen zu diesen Daten zu erhalten. Sie können damit effiziente Schutzstrategien für alle Online Zahlungsmethoden entwerfen und implementieren.
    • Im Gegensatz zu anderen MFA Anbietern werden 100% der Benutzergeräte wie Laptops, Tablets oder Smartphones unterstützt. Wenn Sie die Bibliothek in Ihre Web- und / oder mobilen Anwendungen integrieren, benötigen Sie weder physische Token die bereitgestellt oder verwalten werden, noch Apps oder Plug-Ins die heruntergeladen werden müssen. Es ist ein sehr effizienter Ansatz für die sichere Authentifizierung der Benutzer.
    • Die Bibliotheken bieten eine Abstraktionsschicht für die Verwaltung von Benutzeranmeldeinformationen. Ihre Entwickler müssen sich somit keine Gedanken über die plattformspezifische Sicherheitsintegration machen.
  • Back-End-Authentifizierungsdienst und vollständige API: Die Aufgabe der API besteht darin OTPs zu validieren, die Ihre Web-basierten und Mobile-Payment-Anwendungen erhalten haben und die von Ihnen definierten Sicherheitsrichtlinien durchzusetzen. Darüber hinaus können Sie die Verwaltung von Anmeldeinformationen, die Benutzerregistrierung (nach MFA) und die vertrauenswürdige Geräteverwaltung vollständig automatisieren. Nur mit einer solchen Automatisierung kann Sicherheit in grobem Stil implementiert werden.

Was nun?

Um einen tieferen Einblick in unsere Lösungen zu bekommen, haben Sie folgende Möglichkeiten:

  • Erstellen Sie ein kostenloses Basic-Konto und implementieren Sie inWebo MFA für Ihre Web-basierten- und Mobile-Payment-Anwendungen. Sie können dieses Konto jederzeit upgraden, um mehr Lizenzen oder Optionen zu erhalten. Es gibt nichts zu verlieren, also können Sie sofort loslegen.
  • Testen Sie inWebo kostenlos und unverbindlich für 30 Tage. Beachten Sie, dass wir Partner für Projektmanagement, Beratung und Integration in unseren Lösungen geschult haben, die Sie für einen Test oder PoC unterstützen können.
  • Fordern Sie eine Demo nach Ihren Anforderungen an. Wir zeigen ihnen gerne die Grundlagen unserer Lösung und beantworten ihre Fragen.