Die mit der neuen Zahlungsdiensterichtlinie PSD2– verlangte „Starke Kundenauthentifizierung“ (SCA) betrifft alle Händler innerhalb der EU und des EWR, die Kartenzahlungen annehmen. Unabhängig vom Kartensystem.
SCA ist ein neues technisches Kundenauthentifizierungsmandat bei dem der Zahlungsdienstleister (PSP) den Karteninhaber währen eines Zahlungsvorganges authentifizieren muss.
Die SCA-Bestimmungen verlangen, dass Karteninhaber über mindestens zwei der folgenden drei unabhängigen Elemente authentifiziert werden:
Besitz
etwas, das der Zahlende besitzt, beispielsweise ein Mobiltelefon.
Wissen
etwas, das der Zahlende kennt, beispielsweise ein Passwort.
Inhärenz
etwas womit sich der Zahlende identifizieren kann: beispielsweise eine biometrische Identifikation wie Fingerabdruck, Gesichtserkennung oder Augen-Scan.
Kartentransaktionen im Präsenzgeschäft erfordern eine Authentifizierung mit Chip & Pin.
Was wird abgelehnt?
Magnetstreifen
Magnetstreifentransaktionen sind unter PSD2 nicht mehr regelkonform, weil die Unterschrift kein genehmigtes Authentifizierungsmedium ist.
Manuelle Eingabe von Kartendaten
Kartenzahlungen, die am Terminal manuell eingegeben wurden, werden abgelehnt, da sie nicht den SCA-Anforderungen entsprechen.
Was wird abgelehnt?
Nicht über SafeKey authentifizierte Transaktionen
American Express ist verpflichtet alle Internet-Transaktionen abzulehnen, die ab dem 01.01.2021 nicht über SafeKey 1.0, 2.1 (oder höher) authentifiziert werden.
Welche Maßnahmen muss ich ergreifen?
Stellen Sie sicher, dass auf Ihrer Website bzw. Anwendung, SafeKey 1.0,2.1 (oder höher) von American Express aufgeschaltet und aktiviert ist. Wenden Sie sich hierfür an Ihren Zahlungsdienstleister (PSP).
Nach der neuen PSD2 Richtlinie gibt es Zahlungsvorgänge, die von den SCA-Bestimmungen ausgenommen sind:
1. Transaktionen von geringem Wert
- American Express muss die Verwendung von SafeKey für jede einzelne Transaktion anfordern. Dies verlagert die Haftung im Betrugsfall zugunsten des Akzeptanzpartners.
- American Express wird versuchen, so viele Kleinstbeträge wie möglich durchzulassen um so den Zahlungsprozess für Kartenmitglieder und Händler so reibungslos wie möglich zu gestalten.
2. Durch die Express List ausgenommenen Händler
- Karteninhaber können Akzeptanzpartners denen sie vertrauen auf ihrer American Express „Express List“ hinterlegen und sie so von der SCA- Authentifikation befreien.
- Diese Liste wird sowohl von American Express als auch von den Karteninhabern geführt.
- Weitere Informationen finden Sie unter www.americanexpress/safekey.
3. Transaktionsrisikoanalyse (TRA)
- Transaktionen werden von den SCA-Bestimmungen ausgenommen, wenn American Express ein geringes Risiko ausweist.
- Trotzdem müssen diese Transaktionen über SafeKey übermittelt werden. American Express ermittelt das Risiko und ergreift die erforderlichen Maßnahmen zur Authentifizierung des Karteninhabers.
4. Ausnahmeregelung für Unternehmen (Corporate Exemption)
- SCA-Vorschriften müssen nicht bei Zahlungen angewendet werden, die durch die Verwendung von speziellen Zahlungsverfahren oder -protokollen initiiert wurden.
- American Express beabsichtigt, diese Ausnahmeregelung nach Möglichkeit in vollem Umfang auf seine verschiedenen, für Unternehmen geltenden Zahlungsprodukte anzuwenden.
- SafeKey bestimmt, ob für das an der Transaktion beteiligte Produkt eine Starke Kundenauthentifizierung erforderlich ist oder nicht.
1. Mailorder/Telefonorder – (MOTO)
- Alle Bestellungen per Mail und Telefon (MOTO) sind von den SCA-Bestimmungen ausgenommen.
- Um von der Ausnahme profitieren zu können muss sichergestellt sein, dass American Express vom Akzeptanzpartner und seinem Zahlungsdienstleister die korrekten Kennzeichnungen erhält, mit denen eine Transaktion eindeutig als MOTO (Versand- und Telefonbestellung) identifiziert werden kann.
2. Merchant initiated Transactions (MIT)
- Zahlungen, die nicht vom Karteninhaber, sondern vom Händler initiiert werden, unterliegen nicht den SCA-Bestimmungen. Dies ist deshalb der Fall, weil der Karteninhaber ein Mandat (eine vorherige Vereinbarung zwischen Händler und Karteninhaber) erteilt hat, das den Händler zur Initiierung einer Transaktion berechtigt.
- Weitere Informationen zu allen Merchant initiated Transactions (MIT), die nicht unter die SCA-Bestimmungen fallen, finden Sie auf unserer Akzeptanzpartner Spezifikation. Wählen Sie dort Ihr Land aus und melden sich anschließend mit Ihren Zugangsdaten an, um die Informationen angezeigt zu bekommen.
3. Zahlungsvorgänge, bei denen nur einer der beteiligten Zahlungsdienstleister in der EU ansässig ist (EU / Nicht-EWR)
- Die Starke Kundenauthentifizierung gilt nur für Händler und Kunden im EWR.
4. Fahrgastbeförderung und Parktickets
- TTransaktionen, die an unbeaufsichtigten Terminals zum Erwerb von Beförderungs- und Parktickets eingeleitet wurden, sind von den SCA-Bestimmungen ausgenommen.
Weitere Informationen zur Position von American Express in Bezug auf Vorgänge, die nicht unter die SCA-Bestimmungen fallen finden Sie unter www.americanexpress.com/merchantspecs.