Die Fortschritte von 3-D Secure werden besonders deutlich, wenn man sich die Historie vor Augen führt. Das Sicherheitsprotokoll wurde 1999 zunächst von Visa und Arcot eingeführt, um den Kartenmissbrauch im Online-Shopping über herkömmliche Browser einzudämmen. Eine Zeit lang gab es keine einheitliche Regelung, bis das Thema bei EMVCo angesiedelt wurde. Seitdem ist ein einheitliches Vorgehen aller großen Kartenorganisationen gewährleistet. EMVCo veröffentlichte 2016 das EMV 3DS Protokoll, um die zunehmende Nutzung von mobilen Geräten für Online-Einkäufe berücksichtigen zu können. Mit den Versionen 3DS 2.1 und 2.2 wurde die User Experience laufend verbessert.
Erweiterungen für mehr Sicherheit und Bequemlichkeit
Die neue Version 3DS 2.3 bietet eine Reihe zusätzlicher Möglichkeiten, um sowohl bei der Sicherheit als auch bei der Bequemlichkeit für die Karteninhaber noch weitere Fortschritte zu erzielen. Eine wichtige Erweiterung betrifft die Einbindung neuer Geräte, wie zum Beispiel Smart Speaker („Alexa“) oder Smart TV. Um hier weiterhin ein hohes Sicherheitsniveau beim Online-Shopping zu gewährleisten, wird das SDK, das die Verbindung zwischen solchen Geräten und dem 3DS-Server sowie dem Access Control Server (ACS) herstellt, in einen SDK Client und einen SDK Server aufgeteilt (Split SDK).
Bei einer anderen Erweiterung geht es um die Berücksichtigung von „Secure Payment Confirmation“ (SPC). Bei SPC handelt es sich um ein Web API (Application Programming Interface), das von der Web Payment Working Group innerhalb des World Wide Web Consortium (W3C) entwickelt wurde. Es soll die Authentifizierung bei Zahlungstransaktionen auf der Basis von FIDO vereinfachen und beschleunigen. Für die Nutzung von SPC ist die Registrierung der Karteninhaber:innen erforderlich. Die Registrierung kann der Kreditkarteninhaber zum Beispiel direkt im Anschluss an eine erfolgreiche Authentifizierung durchführen. Unterstützt wird dieser Prozess vom Issuer. Kreditkarteninhaber:innen können zukünftig beispielsweise die TouchID Funktion des Notebooks zur Authentifizierung nutzen. Die UI wird vom Browser gestellt. SPC liegt aktuell als Entwurf (Draft) vor. Im Google-Browser Chrome gibt es eine erste Implementation als Prototyp für Tests.
App-Channel wird kontinuierlich verbessert
Da inzwischen beim Online-Shopping in den meisten Fällen Smartphones oder Tablets zum Einsatz kommen, legt EMVCo großen Wert darauf, die Authentifizierung via App-Channel kontinuierlich nutzerfreundlicher zu gestalten. So soll der Switch zwischen der Händler-App und Authentifizierungs-App der Bank möglichst automatisch erfolgen. Auch hierfür bietet 3DS 2.3 weitere Verbesserungen.
In Apps soll für die Karteninhaber zukünftig auch die Möglichkeit bestehen, dem Issuer die Speicherung der Gerätedaten der Konsument:innen zu erlauben (Device Binding). Diese beiden Funktionen arbeiten unabhängig voneinander. Über das Device Binding erhält der Issuer zusätzliche Daten für seine risikobasierte Authentifizierung (RBA, Risk-Based Authentication).
Insgesamt wird die neue Version EMV 3DS 2.3 zu einer deutlichen Verbesserung der User Experience führen. Davon werden sowohl die Karteninhaber als auch die Issuer und die Online-Händler profitieren. Netcetera wird frühzeitig in einen intensiven Dialog mit ihren Kunden einsteigen, um sie bei der Einführung von EMV 3DS 2.3 bestmöglich unterstützen zu können.
Zum Webinar „EMV 3-D Secure 2.3 – What’s new for the cardholder?“