PSD2 – wieso, weshalb, warum?
Die für Europa und den europäischen Wirtschaftsraum gültige Zahlungsdienstrichtlinie heißt nach Überarbeitung PSD2 und soll Verbraucher*innen bei der Nutzung von Online-Bezahlsystemen besser schützen. Was bedeuten die Änderungen für Onlineshops?
Die Payment Services Directive 2 (PSD2) und ihre Auswirkung auf Onlineshops
Die Payment Services Directive 2 (PSD2) trat bereits am 13. Januar 2018 in Kraft. Zusätzlich gelten seit dem 14. September 2019 die mit dieser EU-Richtlinie verbundenen, erhöhten Sicherheitsbestimmungen für den Online-Zahlungsverkehr innerhalb Europas.
Das bedeutet, dass eine Zwei-Faktor-Authentifizierung von Kund*innen erfolgen muss, um diese besser vor Missbrauch, wie beispielsweise Phishing, zu schützen. Zwar sind hier vor allem die Zahlungsdienstleister gefragt, da diese eine Zwei-Faktor-Authentifizierung bereitstellen müssen, Shopbetreiber sind jedoch dafür verantwortlich, dass dieses Verfahren auch tatsächlich für den Onlineshop existiert.
Was ist eine Zwei-Faktor-Authentifizierung?
Bei der Zwei-Faktor-Authentifizierung, oder kurz 2FA, wird die Identität der Benutzer*innen anhand von zwei verschiedenartigen Merkmalen verifiziert. Die Angabe von Benutzername und Passwort ist also nicht ausreichend, da beide Merkmale aus der Kategorie "Wissen" stammen. Die PSD2 schreibt bei der sogenannten starken Kundenauthentifizierung aber die Prüfung von zwei unterschiedlichen Merkmalen aus den drei folgenden Kategorien vor:
- Inhärenz / Biometrie (Fingerabdruck, Gesicht, Stimme, Iris etc.)
- Wissen (PIN, Passwort, Antwort auf Geheimfrage etc.)
- Besitz (TAN-Generator, Smartcard, Token, Dongle, USB-Authenticator etc.)
Die Zahlarten Rechnungskauf und Bezahlung per Lastschrift bzw. das SEPA-Lastschriftverfahren sind von der Zwei-Faktor-Authentifizierung ausgenommen.
Wie prüft man, ob eine 2FA vorhanden ist?
Der einfachste Weg herauszufinden, ob eine Zwei-Faktor-Authentifizierung im eigenen Onlineshop bereits greift, ist die Durchführung einer Testbestellung. Die oben genannten Merkmale sollten während der Anmeldung bei den Zahlungsdienstleistern abgefragt werden.
Was tun, wenn keine 2FA vorhanden ist?
Greift bislang keine Zwei-Faktor-Authentifizierung, sollte das Plugin des Payment-Providers aktualisiert werden, sofern eines zum Einsatz kommt. In seltenen Fällen muss auch die manuelle Einbindung der Zahlart angepasst werden.
Viele Zahlarten laden das Transaktionsinterface direkt vom Zahlungsanbieter, so dass dieses ohne weitere Maßnahmen der Shopbetreiber immer auf dem aktuellsten Stand ist. Aber auch in diesem Fall sollte auf Updates von verwendeten Plugins geprüft werden.
Worauf ist bei Updates zu achten?
Auf keinen Fall sollten eigenständig Updates durchgeführt werden, ohne über Kenntnisse dazu zu verfügen, wie auf etwaige Fehler zu reagieren ist. Im schlimmsten Fall führt dies dazu, dass keine Zahlungen entgegengenommen werden können.
Generell ist es empfehlenswert, sich an eine fachkundig betreuende Agentur zu wenden. Zudem hat es sich für solche Fälle bewährt, eine Staging-Umgebung zur Verfügung zu haben, damit Updates in einem geschützten Rahmen durchgeführt und ausgiebig getestet werden können, ohne den Produktivbetrieb zu stören.
Autor: Torben Trahn