So implementieren Sie die 3DS-Authentifizierung für SaaS, Software und Videospiele

Um 3DS-Authentifizierung integrieren in Ihr Zahlungssystem, müssen Sie eine Zahlungslösung integrieren, die dieses Protokoll unterstützt, was aus Sicherheitsgründen einen zusätzlichen Schritt bei Online-Kartenzahlungen hinzufügt. Dies ist entscheidend für die Betrugsreduzierung und der Einhaltung verschiedener Regeln, wie der starken Kundenauthentifizierung (SCA) der EU.

Dieser Leitfaden bietet Schritt-für-Schritt-Anleitungen zur Integration von 3DS und zur Verbesserung Ihrer Zahlungsprozesse, was Ihnen hilft, ein konformes System zu schaffen.

Die erfolgreiche Umsetzung dieser Strategie erfordert einen MoR oder einen Zahlungsabwickler, der vollständig mit dem modernen 3DS 2 Protokoll.

Um zu beginnen, müssen Sie einen geeigneten globalen Zahlungspartner auswählen, der zertifiziert ist, den 3DS 2-Protokoll durchzuführen und bei Bedarf auch auf 3DS 1 zurückgreifen kann. Dieser Partner übernimmt die Kommunikation zwischen Ihrem SaaS-System, dem Kartennetzwerk und der kartenausgebenden Bank. Die Akquirierung von 3DS kann in diesem Stadium in Betracht gezogen werden. Ihr Entwicklungsteam muss entscheiden, ob es eine einfache Hosted Payment Page verwendet, die Zeit und Geld bei der Integration spart, oder eine Direkte API/SDK-Integration, was mehr Kontrolle über das Erscheinungsbild und die Benutzerführung des Checkouts gibt.

Ihr Partner muss zertifiziert sein und alle EMV 3DS-Spezifikationen einhalten, wodurch Komplikationen während der Implementierung des Sicherheitsprotokolls in verschiedenen Kartennetzwerken vermieden werden.

1. Integrationstyp auswählen: Die einfachste Option ist die Verwendung eines Gehostete Zahlungsseite, bei der der Partner die Transaktionsabwicklung übernimmt. Wenn mehr Kontrolle über die Benutzererfahrung gewünscht ist, Direkte API/SDK-Integration genutzt werden, wodurch ein breiteres Spektrum an Stripe-Funktionalitäten zugänglich wird.  
2. Zertifizierung überprüfen: Stellen Sie sicher, dass Ihr Partner mit den neuesten EMV 3DS-Spezifikationen auf dem neuesten Stand ist. 

Der Erfolg des reibungslosen Ablaufs hängt von der Genauigkeit der bereitgestellten Daten. 3DS 2 benötigt bis zu 100 Datenpunkte, um das Risiko zu bestimmen, daher sollte Ihr System diese Informationen bei jeder Transaktionsanfrage erfassen und senden.

Es ist notwendig, alle erforderlichen Felder, darunter die IP-Adresse, E-Mail und der Name des Karteninhabers, zusätzlich zu den notwendigen Kontextdaten aus Ihren Systemen, in das Checkout-System einzugeben. Das Hinzufügen solcher Kontextinformationen wie dem Alter des Kundenkontos oder dessen Kaufhistorie hilft der Risiko-Engine der Bank, die Zahlung ohne weitere Überprüfung zu genehmigen.

1. Obligatorische Datenfelder: Stellen Sie sicher, dass Ihr Kassensystem alle notwendigen Informationen sammelt und übermittelt, dazu gehören die IP-Adresse des Kunden, die Rechnungsadresse, der vollständige Name des Karteninhabers, die E-Mail-Adresse und die Telefonnummer.
2. Kontextbezogene Datenanreicherung: Betten Sie Backend-Informationen in die Zahlungsanfrage ein. Die risikobasierte Analyse erfordert Zugriff auf wesentliche Kundendaten, einschließlich:

• • Alter/Erstellungsdatum des Kundenkontos (entscheidend für die SaaS-Nutzungsdauer)
  • Historie früherer Käufe (ein Faktor für die Transaktionshäufigkeit)
  • Gerätespezifikationen (Geräte-ID, Browser, Bildschirmauflösung)

Sie müssen einen Plan erstellen und diesen in Bezug auf Ihren Zeitplan berücksichtigen 3DS Leistung. Die Herausforderung liegt darin, die Kundenreibung zu reduzieren und die Regeln einzuhalten. Deshalb ist es unerlässlich, das Risiko und die Notwendigkeit jeder einzelnen Transaktion zu berücksichtigen.

Dieser Schritt soll den „Reibungslosen Ablauf“ für viele gültige Transaktionen erleichtern und den „Prüfungsablauf“ einleiten.” wenn für EWR-Karteninhaber oder bei erhöhtem Risiko erforderlich. Eine untenstehende Risikoanalysetabelle kann zur Einhaltung geltender Vorschriften beitragen und sich auf die Konversionsraten auswirken.

Für jede Transaktion, bevor Sie die Zahlung einleiten, sollten Sie eine Risikobewertung unter Verwendung dieser Tabelle durchführen:

die Reibungslosen Ablauf in 3DS 2 bezieht sich auf Konversionsraten durch die mögliche Aufhebung der Authentifizierung für erkannte Kunden. Für SaaS-Unternehmen sollte das System so eingerichtet sein, dass es Verlängerungszahlungen korrekt identifiziert und somit von der Ausnahmeregelung für wiederkehrende Zahlungen profitiert, einem entscheidenden Bestandteil der Umsatzbindung. Sie müssen Ihren Checkout auch mit der Risiko-Engine Ihres Zahlungspartners integrieren, damit dieser in der Lage ist, Entscheidungen in Echtzeit zu treffen, was die Realisierung eines reibungslosen Ablaufs ermöglicht, wenn der Risikowert niedrig ist. Diese hohe Genehmigungsrate für Transaktionen mit geringem Risiko hilft bei der Bewältigung der hohen Anzahl von Mikrotransaktionen, die typisch sind für SaaS und Videospiele.

• Abonnement-Kennzeichnung (SaaS-Modell): Für wiederkehrende SaaS Abrechnungen:
  • Die erste Zahlung als erforderlich kennzeichnen 3DS zum Einrichten der Framework für gespeicherte Zugangsdaten.
  • Alle nachfolgenden, festen Verlängerungen als “Wiederkehrende Zahlung” kennzeichnen, um die SCA-Ausnahme zu beantragen.

• Risiko-Engine-Integration: Nehmen Sie sich die Zeit, Ihr MoR-Konto bei Ihrem Zahlungsabwickler einzurichten, damit dessen Risikomotor in der Lage ist, Echtzeitentscheidungen zu treffen. Der Motor sollte automatisch den reibungslosen Ablauf anfordern, wenn der Risikowert niedrig ist

In Fällen, in denen eine mobile Anwendung verwendet wird (was bei SaaS und Videospielen der Fall ist), ist das Authentifizierungsverfahren von Bedeutung, und ein reibungsloser Checkout wirkt sich direkt auf die Conversion aus. Um dies zu gewährleisten, müssen Sie die dedizierten mobilen SDKs Ihres Zahlungspartners für den 3DS-Prozess verwenden, wobei der Kunde während der Verifizierung in Ihrer Anwendung bleibt. Dies kann die Wahrscheinlichkeit verringern, dass der Kunde zu einem externen Browser weitergeleitet wird, was manchmal mit dem Abbruch des Einkaufswagens verbunden ist.

Darüber hinaus kann die Unterstützung biometrischer Authentifizierung (Face ID, Fingerabdruck) durch das 3DS 2 Protokoll eine vergleichsweise schnelle Methode zur Identitätsbestätigung bieten und ist Berichten zufolge bei mobilen Nutzern verbreitet.

1. In-App SDK-Integration: Nutzen Sie die speziellen mobilen SDKs (iOS/Android) Ihres Zahlungspartners, um den 3DS-Flow zu verwalten. Auf diese Weise bleibt der Kunde während des Verifizierungsprozesses in Ihrer App.
2. Weiterleitungen verhindern: Der Ablauf sollte eine Authentifizierungsaufforderung anzeigen, die die zu authentifizierenden Informationen und die entsprechenden Zugangsdaten enthält. Das Vermeiden einer Browser-Weiterleitung für die Anmeldung während des Ablaufs kann die Abschlussquoten von Käufen beeinflussen. 
3. Biometrie unterstützen: Das 3DS 2-Protokoll ermöglicht die biometrische Authentifizierung (Face ID, Fingerabdruck). Ihr Zahlungsabwicklungspartner muss diese Funktion aktivieren, damit Kunden sich schnell authentifizieren können, falls ihre Bank dies unterstützt.

Tipps zur Fehlerbehebung

• Erhöhte Warenkorbabbruchrate: Um Warenkorbabbrüche zu vermeiden, können Sie nutzen 3DS 2 um den reibungslosen Umgang mit Transaktionen zu ermöglichen, die keine Herausforderung oder ein zu hohes Risiko darstellen, wobei die Authentifizierungsaufforderung nur bei Bedarf angezeigt wird.
• Umgang mit Anzeigeproblemen auf Mobilgeräten: Zur Optimierung der Abwicklung mobiler In-App-Käufe nutzen Sie dedizierte mobile Software Development Kits Ihres Zahlungsanbieters, um den Challenge-Prozess in die Webview der App einzubetten, anstatt eine Seite zu öffnen, die die Sitzungsträgheit verlängert.
• Fehlgeschlagene Verlängerungen aufgrund von SCA: Betrachten Sie den Fall, dass das Abrechnungssystem nicht die Funktion zur Verfolgung wiederkehrender Zahlungen umfasst und alternative Wege zur Handhabung solcher Fälle identifiziert werden müssen. Sollte auch der erste Zahlungsversuch fehlschlagen, benötigt der Kunde möglicherweise eine E-Mail-Genehmigung, um die Transaktion fortzusetzen.