Wichtige Informationen
zur starken
Kundenauthentifizierung (SCA)
So bleiben Ihre Online-Konten sicher.
PSD2 und SCA
Die aktualisierte EU-Zahlungsdiensterichtlinie (PSD2) ist eine Verordnung, bei der es um zusätzliche Sicherheitsmaßnahmen u. a. für Online-Transaktionen geht. Ziel ist, den Betrug in diesem Bereich zu reduzieren. Zu den Maßnahmen gehört die sogenannte starke Kundenauthentifizierung bzw. „Strong Customer Authentication“ (SCA).
Zahlungsdienstleister wie American Express müssen ihre Kunden mittels der sogenannten Zwei-Faktor-Authentifizierung authentifizieren. SCA muss angewendet werden, wenn der Zahler (i) eine elektronische Transaktion (sowohl mit als auch ohne Karte) initiiert, (ii) online auf sein Kartenkonto zugreift oder (iii) eine Remote-Transaktion ausführt, von der ein Betrugsrisiko ausgeht und die keiner Ausnahmeregelung unterliegt.
Aber was verändert sich konkret für die Karteninhaber in Ihrem Unternehmen? Im Folgenden haben wir die wichtigsten Punkte zusammengestellt.
Was hat sich geändert?
Um die Sicherheit von Unternehmen und Karteninhabern zu erhöhen, haben wir zusätzliche Maßnahmen eingeführt und Abläufe angepasst.
Bei Online-Einkäufen
Bei Online-Zahlungen wird SafeKey regelmäßig beim Bezahlvorgang angezeigt. American Express SafeKey ist eine Sicherheitslösung, die die globalen Industriestandards nutzt, um Online Betrug im Internet zu entdecken und zu reduzieren. SafeKey bestätigt, dass es wirklich der Karteninhaber ist, der den Kauf durchführt. Karteninhaber erhalten einen Authentifizierungscode (One Time Passcode / OTP) an ihre Mobilfunknummer, E-Mail-Adresse oder als Push-Nachricht über die AMEX App, bevor sie ihre Online-Zahlungen abschließen.
Gelegentlich benötigen wir mehr als eine Information. Dann müssen Karteninhaber zwei der vier Ziffern Ihrer Karten-PIN eingeben. American Express Karteninhaber können allerdings die sogenannte Express List nutzen und vertrauenswürdige Händler damit auf eine „Whitelist“ setzen. Das reduziert die Zahl der Authentifizierungsanfragen. Diese zusätzliche Authentifizierung wird nur bei Online-Einkäufen und in der Regel nur bei Beträgen über 30 Euro durchgeführt oder wenn der Händler nicht auf der Express List steht.
Für Nutzer von Bezahlportalen
Corporate Purchasing Card Inhaber und Nutzer unserer vPayment- und BIP-Portale erhalten schon länger beim Log-in eine Authentifizierungsanfrage. Diese sendet American Express an die in den Kontaktdaten hinterlegte Mobilfunknummer und / oder E-Mail-Adresse.
Für Online-Konten
Karteninhaber erhalten zusätzlich eine Authentifizierungsanfrage, wenn sie auf ihr American Express Online-Konto zugreifen. Beim Einloggen in ihr American Express Online-Konto werden wie gewohnt Benutzername und Passwort benötigt. Gelegentlich sendet American Express eine zusätzliche Authentifizierungsanfrage an die in den Kontaktdaten hinterlegte Mobilfunknummer und / oder E-Mail-Adresse. Das kann der Fall sein, wenn Karteninhaber auf bestimmte Bereiche des Kontos zugreifen möchten, wie z. B. die Anzeige der PIN, oder wenn sie Änderungen vornehmen möchten. Daher ist es wichtig, dass die Angaben zu Mobilfunknummer und E-Mail-Adresse aktuell und korrekt sind.
Beim kontaktlosen Bezahlen
In den meisten Fällen können Karteninhaber wie gewohnt kontaktlos bezahlen. Gelegentlich werden sie jedoch darum gebeten, ihre PIN einzugeben. Dann werden die Karteninhaber über das Terminal dazu aufgefordert, ihre Karte in den Kartenleser zu stecken und ihre Karten-PIN einzugeben.
Produkt-Übersicht: Wann gilt die starke Kundenauthentifizierung und wann nicht?
Corporate Card, Corporate Meeting Card und Corporate Purchasing
Bei Online-Zahlungen wird SafeKey regelmäßig beim Bezahlvorgang angezeigt. American Express SafeKey ist eine Sicherheitslösung, die die globalen Industriestandards nutzt, um Online-Betrug im Internet zu entdecken und zu reduzieren. SafeKey bestätigt, dass es wirklich der Karteninhaber ist, der den Kauf durchführt. Karteninhaber erhalten dann einen Authentifizierungscode (One Time Passcode / OTP) an ihre Mobilfunknummer oder E-Mail-Adresse, bevor sie ihre Online-Zahlungen abschließen.
Was die Karteninhaber tun müssen
Um sicherzustellen, dass die Karteninhaber ihre American Express Corporate Card oder Corporate Meeting Card weiterhin nutzen können, benötigen wir die aktuelle E-Mail-Adresse und Mobilfunknummer. Nur dann können wir ihnen den für die Transaktion notwendigen Authentifizierungscode (One Time Passcode / OTP) zusenden.
Sicherer und schneller Bezahlvorgang
Karteninhaber können mit der Express List von American Express Händler speichern, bei denen sie häufig einkaufen und denen sie vertrauen. Beim Bezahlvorgang entfällt dann in der Regel die zusätzliche Authentifizierung, das Bezahlen wird dadurch schneller und einfacher.
Weitere Informationen: www.amex.de/safekey
Sicher einkaufen mit SafeKey
Die gängigste Art der Authentifizierung für Kartenzahlungen im Internet beruht auf 3D-Sicherheitstechnologien – einem Authentifizierungsstandard, der von den meisten europäischen Kartenherausgebern unterstützt wird. American Express Karteninhaber sind automatisch für American Express SafeKey angemeldet, das die neueste 3D-Sicherheitstechnologien verwendet, um Karteninhaber beim Online-Einkauf vor Betrug zu schützen.
Andere Transaktionen
Bestellungen per E-Mail oder per Telefon und händlerinitiierte Transaktionen sind von den SCA-Anforderungen nicht betroffen.
Ausnahmeregelungen für Unternehmen
Was ist mit virtuellen Produkten?
Die SCA-Regelungen zur Authentifizierung von Transaktionen betreffen nur personenbezogene Kartenprogramme. Virtuelle Zahlungslösungen wie z. B. Reisestellenkonten (BTAs/I-BTAs), American Express vPayment oder BIP sind davon ausgenommen. Allerdings erhalten Corporate Purchasing Card Inhaber und Nutzer unserer vPayment- und BIP-Portale ebenfalls Authentifizierungsanfragen beim Einloggen in die Online-Konten, nicht aber bei Zahlungen.
Was ist mit Corporate Cards, die bei einem Reisebüro hinterlegt sind?
Wenn die Karte bei einem Reisebüro hinterlegt ist und die Transaktion über eine entsprechende Plattform erfolgt, ist keine zusätzliche Authentifizierung erforderlich.
Produkt-Übersicht: Wann gilt die starke Kundenauthentifizierung und wann nicht?
Corporate Card und Corporate Meeting Card Online-Konten
Karteninhaber erhalten zusätzlich regelmäßig eine Authentifizierungsanfrage, wenn sie auf ihr American Express Online-Konto zugreifen. Beim Einloggen in ihr American Express Online-Konto werden wie gewohnt Benutzername und Passwort benötigt. Gelegentlich sendet American Express eine zusätzliche Authentifizierungsanfrage an die in den Kontaktdaten hinterlegte Mobilfunknummer und / oder E-Mail-Adresse. Das kann der Fall sein, wenn Karteninhaber auf bestimmte Bereiche des Kontos zugreifen möchten, wie z. B. die Anzeige der PIN, oder wenn sie Änderungen vornehmen möchten.
Das gilt für Inhaber von Corporate Cards, Corporate Meeting Cards und Corporate Purchasing Cards, die sich in ihr Online-Konto einloggen, ebenso wie für die Nutzer von vPayment und BIP.
American Express Online-Portale für Unternehmen
Unsere Online-Portale wie vPayment und Buyer Initiated Payments (BIP) benötigen Authentifizierungscodes beim Einloggen und nach fünf Minuten Inaktivität. Reisestellenkonten (BTAs) und Corporate Purchasing Accounts (CPAs) sind von den SCA-Regelungen ausgenommen, ein Authentifizierungscode ist also beim Einloggen nicht erforderlich.
Was müssen Karteninhaber und Benutzer von Online-Konten tun?
Bitte stellen Sie sicher, dass die Kontaktdaten der Karteninhaber und der Nutzer überall auf dem neuesten Stand sind. Auch wenn nur für einige Produkte eine starke Kundenauthentifizierung (SCA) erforderlich ist, sind aktuelle Mobilfunknummern und E-Mail-Adressen wichtig, um Karteninhaber und Konten zu schützen.
Wann ist ein Authentifizierungscode notwendig?
Die Regelungen zur starken Kundenauthentifizierung sehen vor, dass Karteninhaber und Nutzer in bestimmten Situationen einen Authentifizierungscode benötigen. Unten finden Sie dazu eine praktische Übersicht.
Produkt-Übersicht: Wann gilt die starke Kundenauthentifizierung und wann nicht?
Am 14. September 2019 ist ein wichtiger Teil der EU-Zahlungsdiensterichtlinie PSD2 in Kraft getreten. Dabei geht es um die zusätzlichen Sicherheitsauthentifizierungen u. a. für Online-Transaktionen, die sogenannte starke Kundenauthentifizierung bzw. „Strong Customer Authentication“ (SCA). Die Erhöhung der Sicherheit im Zahlungsverkehr bedeutet, dass Kartenherausgeber die Identität eines Karteninhabers überprüfen müssen: bei Online-Einkäufen, beim kontaktlosen Bezahlen im Geschäft und beim Einloggen in sein Online-Konto.
Die PSD2-Vorschriften gelten für alle Kartenzahlungen mit American Express® Karten, die in EU-Ländern und im Europäischen Wirtschaftsraum (EWR) ausgegeben werden. Sie gelten auch für den Einsatz bei Akzeptanzpartnern im EWR.
EU-Länder: Belgien, Bulgarien, Dänemark, Deutschland, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, Luxemburg, Malta, Niederlande, Österreich, Polen, Portugal, Rumänien, Schweden, Slowakei, Slowenien, Spanien, Tschechien, Ungarn und Großbritannien.
Europäischer Wirtschaftsraum (EWR): Der EWR umfasst die EU-Länder sowie Island, Liechtenstein und Norwegen.
PSD2 wirkt sich auf alle am Kauf und Verkauf von Waren und Dienstleistungen in der EU Beteiligten aus. Das heißt: Verbraucher, Finanzinstitute und die Zahlungsbranche einschließlich Aggregatoren und Kontoinformationsdiensten sind von PSD2 betroffen.
Karteninhaber erhalten zusätzlich eine Authentifizierungsanfrage, wenn sie auf ihr American Express Online-Konto zugreifen. Beim Einloggen in ihr American Express Online-Konto werden wie gewohnt Benutzername und Passwort benötigt. Gelegentlich sendet American Express eine zusätzliche Authentifizierungsanfrage an die in den Kontaktdaten hinterlegte Mobilfunknummer und/oder E-Mail-Adresse. Das kann der Fall sein, wenn Karteninhaber auf bestimmte Bereiche des Kontos zugreifen möchten, wie z. B. die Anzeige der PIN, oder wenn sie Änderungen vornehmen möchten.
Corporate Purchasing Card Inhaber und Nutzer unserer vPayment- und BIP-Portale erhalten bereits heute beim Log-in eine Authentifizierungsanfrage.
Für die Umsetzung von PSD2 ist die Verwendung von zwei unabhängigen Validierungsquellen erforderlich. Dies wird durch eine Kombination von zwei der folgenden Kriterien sichergestellt (Zwei-Faktor-Authentifizierung):
- Etwas, das Sie wissen (z. B. PIN)
- Etwas, das Sie besitzen (z. B. Telefon)
- Etwas von Ihnen persönlich (z. B. Fingerabdruck)
Diese Vorgaben gelten nur für Transaktionen, bei denen sich sowohl der Zahlungsdienstleistende als auch der Zahlungsempfänger im EWR befindet.
Dabei handelt es sich um einen 6-stelligen Code, der an die in den Kontaktdaten hinterlegte Mobilfunknummer und/oder E-Mail-Adresse gesendet wird. Diesen Authentifizierungscode (OTP) müssen die Karteninhaber beim Online-Einkauf in das vorgegebene SafeKey®-Feld eingeben, um ihre Identität zu bestätigen. Mittels SafeKey® kann die Person, die den Kauf tätigt, dann eindeutig als Karteninhaber authentifiziert werden.
SCA (Strong Customer Authentication) muss für alle personenbezogenen Karten, wie beispielsweise Corporate Cards, Corporate Purchasing Cards oder Corporate Meeting Cards, umgesetzt werden.
Die SCA-Regelungen zur Authentifizierung von Transaktionen betreffen nur personenbezogene Kartenprogramme. Virtuelle Zahlungslösungen wie z. B. Reisestellenkonten (BTAs/I-BTAs), American Express vPayment oder BIP sind davon ausgenommen.
Allerdings erhalten Corporate Purchasing Card Inhaber und Nutzer unserer vPayment- und BIP-Portale ebenfalls Authentifizierungsanfragen beim Einloggen in die Online-Konten.
Eine branchenweite Herausforderung ist, Reibungsverluste bei Reisezahlungen von Unternehmen zu minimieren. Auf der anderen Seite arbeitet American Express aktiv daran, dass die Lösungen den Anforderungen aus PSD2/der Strong Customer Authentication (SCA) entsprechen. Nach wie vor sind unsere virtuellen Produkte ausgenommen von SCA. Zudem gehen wir davon aus, dass personenbezogene Karten, die in einem für sicher befundenen System vorgehalten werden, ebenfalls die Ausnahmekriterien erfüllen. Derzeit arbeiten wir mit der EBA (European Banking Authority) an den Ausnahmekriterien, um diese bis Dezember 2020 genau festzulegen.
Nicht für alle Transaktionen ist eine zusätzliche Authentifizierung erforderlich. PSD2 sieht Ausnahmen bei bestimmten Arten von Transaktionen vor, wie z. B. bei schriftlichen und telefonischen Bestellungen oder bei als vertrauenswürdig eingestuften Empfängern. Karteninhaber können mit der Express List von American Express Händler speichern, bei denen sie häufig einkaufen und denen sie vertrauen. Dadurch erhalten sie zukünftig seltener Authentifizierungscodes, um die Transaktionen abzuschließen. Weitere Informationen: www.amex.de/safekey
SCA ist im Falle von regelmäßig wiederkehrenden Zahlungen nur bei der ersten Transaktion erforderlich, vorausgesetzt, der Händler ist vom Karteninhaber in der Express List als vertrauenswürdig eingestuft worden. Siehe auch „Gibt es Ausnahmen von der zusätzlichen Authentifizierung?“.
Kartentransaktionen unter 30 Euro gelten derzeit als geringwertig und sind grundsätzlich von der Authentifizierung ausgenommen. Ansonsten liegen die Grenzen für die Risikobewertung bei 100, 250 bzw. 500 Euro. Wird eine Transaktion durch eine Echtzeit-Risikobewertung als risikoarm eingestuft, kann ebenfalls eine Ausnahmeregelung gelten. Die Grenzwerte werden vierteljährlich überprüft und können sich gegebenenfalls ändern.
Seit dem 14. September 2019 ist für die Nutzer von Online-Konten und bei Online-Einkäufen für alle Inhaber von Corporate Cards sowie Corporate Meeting Cards eine Zwei-Faktor-Authentifizierung erforderlich. Die Regelung gilt für die Person, auf die die Karte ausgestellt ist und die den Kauf tätigt. Werden die Anforderungen nicht erfüllt, muss der Kartenherausgeber die Transaktionen ablehnen. Deshalb ist es wichtig, dass wir über aktuelle E-Mail-Adressen und Mobilfunknummern der Karteninhaber verfügen, um ihnen für die Transaktion einen einmaligen Authentifizierungscode (One Time Passcode/OTP) zu senden.
Kreditkartenunternehmen benötigen eine aktuelle E-Mail-Adresse, Mobilfunknummer und Anschrift von Karteninhabern, um Transaktionen zeitnah genehmigen zu können.
Firmenkreditkarteninhaber können die aktuelle E-Mail-Adresse und Mobilfunknummer online auf www.americanexpress.de/konto-online hinterlegen. Änderungen der Wohnanschrift können über das Online-Konto oder telefonisch übermittelt werden. Die Telefonnummer des Kundenservice befindet sich auf der Kartenrückseite. Sollten Sie über eine Mobilfunknummer eines ausländischen Anbieters verfügen, sollten Sie die Änderungen vom Kundenservice durchführen lassen.
Den Bestätigungscode senden wir auch per E-Mail zu. Karteninhaber können den Service also auch ohne Einbeziehung eines Mobilgerätes nutzen, etwa über ihren Desktop-Computer oder Laptop. Wichtig ist, dass die aktuelle E-Mail-Adresse in den Kontaktdaten hinterlegt ist.
American Express ist der Schutz von persönlichen Daten sehr wichtig. Wir erheben und speichern die Daten gemäß unserer Datenschutzerklärung.
Bei Online-Zahlungen wird SafeKey® beim Bezahlvorgang angezeigt. American Express SafeKey® ist eine Sicherheitslösung, die die globalen Industriestandards nutzt, um Online-Betrug im Internet zu entdecken und zu reduzieren.
SafeKey® bestätigt, dass es wirklich der Karteninhaber ist, der den Kauf durchführt. Karteninhaber erhalten einen Authentifizierungscode (One Time Passcode/OTP) an ihre Mobilfunknummer oder E-Mail-Adresse, bevor sie ihre Online-Zahlungen abschließen.
Wenn der Händler die SCA-Vorgaben nicht einhält, werden die Transaktionen abgelehnt.
In den meisten Fällen können Karteninhaber wie gewohnt kontaktlos bezahlen. Gelegentlich werden sie jedoch darum gebeten, ihre PIN einzugeben. Dann werden die Karteninhaber über das Terminal dazu aufgefordert, ihre Karte in den Kartenleser zu stecken und ihre Karten-PIN einzugeben.
Falls die Karten-PIN vergessen wurde, kann sie online unter „Mein Konto“ eingesehen oder auch geändert werden. www.americanexpress.de/konto-online
Die Express List ist ein Service, den wir American Express Karteninhabern anbieten. Die Liste enthält vertrauenswürdige Händler, bei denen der Karteninhaber bereits häufig eingekauft hat. Aus dieser Liste kann der Karteninhaber die Händler auswählen, die zu seiner Express List hinzugefügt werden sollen. Indem Karteninhaber einen vertrauenswürdigen Händler zu ihrer Express List hinzufügen, erlauben sie uns, ihre Identität oder die ordnungsgemäße Verwendung ihrer Karte zu überprüfen, ohne ihnen einen Bestätigungscode zu senden. Wenn Karteninhaber einen vertrauenswürdigen Händler ihrer Express List hinzufügen, erhalten sie beim Einkauf in dessen Online-Shop keine Bestätigungscodes, außer es gibt andere nicht PSD2-begründete Verdachtsmomente zu dieser Transaktion.
Die Express List kann von Karteninhabern in ihrem persönlichen Online-Konto unter www.americanexpress.de/konto-online im Bereich „Kontoverwaltung“ eingesehen und bearbeitet werden.
Die Express List ist eine Standardfunktion in American Express SafeKey®. SafeKey® erkennt auf Basis der bisherigen Kaufhistorie Websites bzw. Online-Shops, auf bzw. in denen ein Karteninhaber häufig eingekauft hat. Diese können Karteninhaber ihrer persönlichen Express List hinzufügen. Damit müssen Karteninhaber seltener Bestätigungscodes eingeben, um eine Transaktion abzuschließen. Gleichzeitig sind die Karteninhaber durch die Verwendung der neuesten 3D-Sicherheitstechnologien für SafeKey® beim Einkauf vor Betrug geschützt. Die Express List kann unter www.americanexpress.de/konto-online im Bereich
„Kontoverwaltung“ verwaltet werden.
Karteninhaber können ihre Express List beim nächsten Online-Einkauf mit SafeKey® oder unter www.americanexpress.de/konto-online im Bereich „Kontoverwaltung“ einrichten. Sie können einzelne Websites auswählen oder über „Alle auswählen“ alle Websites hinzufügen, auf denen sie bereits eingekauft haben (derzeit maximal 100).
Während des nächsten Online-Einkaufs können Karteninhaber, wenn sie den SafeKey®-Bildschir sehen, auf „Express List verwalten“ gehen, um die Auswahl zu bearbeiten. Karteninhaber können die Auswahl ihrer Express List ebenfalls direkt im Online-Konto ändern.
Auf der AmericanExpress Website unter www.americanexpress.de/registrieren können sich Karteninhaber für das Online-Konto registrieren.
Ja. Mit Express List können American Express Karteninhaber Händler speichern, bei denen sie häufig einkaufen und denen sie vertrauen. Wird ein Händler der Express List hinzugefügt, können wir die Identität der die Berechtigung des Karteninhabers prüfen, ohne einen Code zu senden. Karteninhaber erhalten also beim Einkauf bei diesen Händlern weniger Authentifizierungscodes und sind trotzdem geschützt. Express List ist eine Standardfunktion in SafeKey®. Weitere Informationen: www.amex.de/safekey
Karteninhaber sind automatisch bei American Express SafeKey® angemeldet. Sie müssen nichts unternehmen. Es muss nur sichergestellt sein, dass die aktuelle Mobilfunknummer und/oder E-Mail-Adresse für alle Karten einschließlich Zusatzkarten* bei American Express hinterlegt sind/ist. Zusatzkarteninhaber benötigen einen eigenen Online-Account.
* Betrifft nur die American Express Business Card.
Nein, Zusatzkarteninhaber sind automatisch bei American Express SafeKey® angemeldet. Aber Zusatzkarteninhaber müssen sich einen eigenen Online-Account einrichten.
Fehlgeschlagene oder abgelehnte Transaktionen können verschiedene Ursachen haben. Beispielsweise kann eine Transaktion bei fehlerhafter Eingabe des Bestätigungscodes (OTP = One Time Passcode) nicht abgeschlossen werden. Karteninhaber werden dann in der Regel auf die Bezahlseite des Online-Händlers zurückgeleitet. Für die korrekte Eingabe des OTP haben sie drei Versuche.
Bei technischen Problemen – wie z. B. bei Abbruch des Verbindungsaufbaus zwischen Online-Händler und Kartenherausgeber – verliert ein OTP unmittelbar seine Gültigkeit.
Um technische Probleme bei den Transaktionen möglichst zu vermeiden, fordern wir die Händler in der gesamten EU bzw. im EWR auf, ihre Strukturen schnellstmöglich an die SCA-Anforderungen anzupassen und die technischen Voraussetzungen dafür zu schaffen. Das gilt vor allem für die Aktivierung von SafeKey® für alle Online-Transaktionen. Ansonsten können Transaktionen fehlschlagen oder abgelehnt werden.
Karteninhaber sollten sicherstellen, dass ihr Mobiltelefon bzw. ihr E-Mail-Account verfügbar ist, bevor sie eine Transaktion bei einem teilnehmenden SafeKey®-Händler starten. Ein Bestätigungscode ist zehn Minuten gültig. Während dieser Zeit können Karteninhaber beliebig oft einen neuen Bestätigungscode anfordern.
Karteninhaber sollten den Bestätigungscode nach erfolgreichem Abschluss der Transaktion löschen.
Karteninhaber erhalten sofort einen Bestätigungscode an die bei American Express hinterlegte Mobilfunknummer und/oder E-Mail-Adresse. Nachdem die Kartendaten an den Vertragspartner/ Lieferanten übermittelt wurden, ist der Bestätigungscode zehn Minuten gültig. Sollte die Transaktion nicht innerhalb dieser zehn Minuten abgeschlossen sein, muss sie erneut gestartet werden.
Nein, es gibt keine Änderungen in der Zahlungsweise der Rechnungen.
SCA gilt für alle im Europäischen Wirtschaftsraum (EWR) ausgestellten American Express Karten, somit auch für künftige Ersatzkarten.
Nach der Authentifizierung darf die Zeitspanne ohne Aktivität fünf Minuten nicht überschreiten. Das betrifft alle Online-Portale (z. B. vPayment, BIP) einschließlich des Online-Kontos für Karteninhaber.
Die Financial Conduct Authority hat in ihrem PSD2-Leitfaden anerkannt, dass hinterlegte oder virtuelle Firmenkarten, wie sie beispielsweise in einem zugangskontrollierten Reisemanagement oder in inkaufssystemen von Unternehmen verwendet werden, in den Anwendungsbereich der Unternehmensfreistellung fallen würden, sofern bestimmte Kriterien erfüllt sind. Wir gehen davon aus, dass die nationalen egulierungsbehörden eine ähnliche Ansicht vertreten werden. American Express beabsichtigt, sich auf die Unternehmensfreistellung für Transaktionen über diese Produkte zu stützen, und arbeitet hier eng mit der BA (European Banking Authority) und der NCA (National Competent Authority) zusammen, um diese Position zu bestätigen.
Ja. Sobald ein Karteninhaber ein Hotel online bucht, kann er einen Authentifizierungscode (One Time Passcode/OTP) erhalten.
Wenn ein Corporate Card Inhaber beispielsweise eine Hotelreservierung telefonisch vornimmt, ist keine zusätzliche Authentifizierung erforderlich. Erfolgt die Buchung allerdings durch den Travel-Agent über ein Online-Portal oder über die Website des Hotels im Namen des Corporate Card Inhabers, finden die SCA-Regelungen Anwendung und die Transaktion muss bestätigt werden. Kann der Karteninhaber die Authentifizierungsanfrage nicht bestätigen, wird die Buchung möglicherweise storniert.
Das trifft nichtzu, wenn der Travel-Agent die klassischen Reservierungswege der Global Distribution Systems (GDS) nutzt.
Der Karteninhaber muss die Authentifizierungsanfrage persönlich bestätigen. Wird die Buchung beispielsweise vom Reisebüro oder einer dritten Person vorgenommen und der Karteninhaber kann zum Zeitpunkt der Reservierung/Buchung nicht direkt auf die Authentifizierungsanfrage reagieren, kann die Buchung möglicherweise nicht durchgeführt werden. Wichtig: Personenbezogene Karten sind nicht übertragbar.
Bei Transaktionen, für die die starke Kundenauthentifizierung (SCA) gilt, erhält ausschließlich der Karteninhaber die Authentifizierungsanfrage. Erfolgt keine Rückmeldung, wird die Transaktion nicht durchgeführt zw. sie wird abgelehnt. Auch wenn er nicht selbst bucht, kann der Karteninhaber die Transaktion über den mit der Authentifizierungsanfrage eingehenden Link autorisieren. Sie können die Anzahl dieser Abfragen durch die Einrichtung einer Express List (Liste mit vertrauenswürdigen Händlern, die regelmäßig frequentiert werden) vermeiden bzw. deren Anzahl reduzieren. Siehe auch „Was ist die Express List von American
Express?“.
Weitere Informationen: www.amex.de/safekey
Reisebüroleistungen wie beispielsweise die Transaction-Fee (TAF) und Eigenleistungen sind derzeit von SCA ausgenommen.
Nein. SCA hat keinen Einfluss auf die vertragliche Haftungsvereinbarung.
Nein. Die Art der Rechnungsstellung (online oder papierbasiert, monatlich oder 14-täglich, zentral oder individuell) bleibt von den SCA-Anforderungen unberührt.
Ja. Das geht mit der Amex App für Apple und Android oder auf www.americanexpress.de/konto-online
Gegebenenfalls erhalten Karteninhaber zusätzlich eine Authentifizierungsanfrage, wenn sie online auf ihr onto zugreifen.