Starke Kundenauthentifizierung (SCA) für WordPress-Plugin- und Theme-Entwickler
Veröffentlicht: 2019-09-17Für viele Plugin- und Theme-Shops war Strong Customer Authentication (SCA) in den letzten Monaten ein heißes Thema. Worum genau geht es also bei dem ganzen Lärm und warum ist er für WordPress-Produktentwickler relevant?!
Beginnen wir mit ein wenig Hintergrund.
Was ist starke Kundenauthentifizierung (SCA)?
SCA ist aus dem Ziel der Europäischen Union (EU) entstanden, Online-Zahlungen zu sichern, was ein ziemlich gutes Ziel für alle ist, oder? Wir alle möchten sichere Online-Zahlungen haben, die die Legitimität von Einkäufen im E-Commerce schützen.
Um das Ziel zu erreichen, Online-Zahlungen zu sichern und Betrug zu minimieren, hat die EU zwei „Zahlungsdienste-Richtlinien“ herausgegeben – PSD1 und PSD2 – und nein, das sind keine neuen Photoshop-Formate. PSD2 gab Unternehmen in EU-Ländern zunächst bis zum 14. September 2019 Zeit, sichere Lösungen für Online-Zahlungen zu implementieren, die die SCA-Anforderungen erfüllen.
Diese Anforderungen wurden von vielen Gruppen nicht gut aufgenommen, insbesondere von großen Kreditkartenunternehmen wie Visa und anderen Zahlungsinstituten in Europa, die gemeinsam eine Erklärung unterzeichneten, in der die größten Herausforderungen beim Übergang zur Sicherung von Zahlungen mit 2-Faktor-Authentifizierung (2FA – für viele Zahlungen erforderlich) erläutert wurden unter SCA) und offiziell eine Umsetzungsfrist von 18 Monaten beantragen.
Als Reaktion darauf veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) eine Erklärung, die die Herausforderungen anerkennt, denen sich Finanzdienstleister bei der Erfüllung der SCA-Anforderungen gegenübersehen werden, und eine 18-monatige Übergangsfrist vorsieht.
Also, was soll die ganze Verwirrung?
Insgesamt hat dieses Hin und Her auf einer so hohen Ebene von Regierung und Industrie zu einer TONNE von Verwirrung in den Sektoren über den Zeitplan, die Ausführung und die allgemeinen Anforderungen von SCA geführt. Klären wir es also so gut wir können auf der Grundlage der derzeit verfügbaren Informationen auf.
Das folgende Bild zeigt die neueste Zeitleiste, die wir für PSD2 gefunden haben und die mit allem übereinstimmt, was wir über SCA recherchiert haben:
Quelle: https://www.signifyd.com/psd2-strong-customer-authentication/
Grundsätzlich kann jeder aufatmen. Die „Anfangsfrist“ vom 14. September ist nun abgelaufen, und wegen all der Diskussionen, die auf so hohem Niveau geführt werden, sind viele Menschen immer noch besorgt, dass viele Online-Zahlungen einfach nicht mehr funktionieren werden, was wir mit Sicherheit sagen können nicht der Fall (zumindest nicht bis 2021).
Selbst angesichts dieses Zeitplans ist es erwähnenswert, dass wir uns darum kümmern, wenn Sie mit Freemius verkaufen!
Wir haben gerade unsere gesamte Zahlungsplattform aktualisiert, um alle Aspekte von SCA über unsere relevanten Zahlungs-Gateways zu unterstützen, lange vor dem Durchsetzungsdatum am 14. März 2021.
Das macht SCA für Plugin-/Theme-Shops jedoch nicht irrelevant – unabhängig davon, ob Sie über Freemius verkaufen oder nicht. SCA wird sich auf Verbraucherzahlungen auswirken, und es ist wichtig, sich der neuen Checkout-Erfahrung bewusst zu sein, die für viele E-Commerce-Zahlungen erforderlich sein wird.
Wer genau ist von SCA betroffen?
Hier herrscht noch Unklarheit. Zunächst hieß es „auf der Straße“, dass es nur Händler im Europäischen Wirtschaftsraum (EWR) bei Transaktionen mit europäischen Karten betrifft. Dann begann Stripe zu kommunizieren, dass SCA auch US-Händler betreffen könnte, die Transaktionen mit europäischen Karten durchführen.
Da sich alle noch langsam mit den neuen Zahlungsrichtlinien auseinandersetzen, entwickelt sich die Situation schnell weiter. Wir können mit Sicherheit sagen, dass SCA viele Online-Zahlungen in Bezug auf europäische Karten betreffen wird, unabhängig davon, wo Sie sich befinden, und es ist wichtig sicherzustellen, dass Ihr Zahlungsgateway vollständig darauf vorbereitet ist, die PSD2-Anforderungen unter SCA zu erfüllen.
Wirkt sich SCA auf zuvor erstellte Abonnements aus, die noch nicht authentifiziert wurden?
Eine der größten anfänglichen Bedenken war, dass SCA eine erneute Überprüfung bestehender Abonnementzahlungen erfordern würde, was Ihrer Meinung nach Turbulenzen für E-Commerce-Unternehmen verursachen könnte, die auf ihre wiederkehrenden Einnahmen angewiesen sind, um den Betrieb fortzusetzen (wie viele Plugin- und Themenshops).
Einige der von Stripe veröffentlichten Leitlinien haben erklärt, dass viele Zahlungen für „Ausnahmen“ an SCA in Frage kommen, einschließlich Abonnementzahlungen, die vor dem 14.
Für Abonnementzahlungen, die nach dem 14. September 2019 beginnen, ist es wichtig, die neuesten APIs Ihrer relevanten Zahlungs-Gateways zu verwenden, die SCA-Anforderungen für die Verifizierung integriert haben sollten. Diese Zahlungen können von den neuen Anforderungen ausgenommen werden, da sie einen internen Verifizierungsprozess in Echtzeit durchlaufen haben.
Insgesamt gilt: Zahlungen unter 30 € müssen in der Regel nicht zusätzlich verifiziert werden, wenn die Betrugsrate für die Bank des Kunden sehr gering ist – dies nennt man „Ausnahmen“.
Abhängig von der Betrugseinstufung des Zahlungsausstellers kann die Freigrenze für die Überprüfung auf bis zu 100 € oder sogar auf 250 € steigen, wenn die ausstellende Bank nur sehr geringe Betrugsaktivitäten damit in Verbindung bringt.
Das sagt die Website von Stripe zu dem Thema:
Quelle: https://stripe.com/en-de/guides/strong-customer-authentication#low-risk-transactions
Basierend auf dem Zeitplan, der näher am Anfang dieses Artikels liegt, muss jedes Land in der EU nach dem 14. März 2021 mit der Durchsetzung von PSD2 beginnen, was bedeutet, dass Sie in Zukunft möglicherweise keine Zahlungsprobleme haben werden, wenn Ihre Lösung bis zum Durchsetzungsdatum aktualisiert wird (aber Sie haben bessere Chancen, Probleme zu vermeiden, wenn Ihr Zahlungsgateway und Ihre APIs so schnell wie möglich auf dem neuesten Stand sind).
Das Hauptrisiko, das wir sehen können, besteht darin, dass Abonnementzahlungen, die nach dem 14. September 2019 begonnen wurden und nicht den 2FA-Verifizierungsprozess durchlaufen, der gemäß SCA erforderlich ist – oder eine Ausnahme erhalten – möglicherweise nicht ordnungsgemäß verlängert werden, wenn das Abonnement zur Verlängerung ansteht. Diese Zahlungen erfordern möglicherweise eine erneute Überprüfung, aber dies ist noch nicht ganz klar, und wir werden diesen Artikel auf jeden Fall aktualisieren, sobald neue Informationen verfügbar sind. Wenn Sie online etwas dazu finden, können Sie dies gerne in den Kommentaren posten und uns mitteilen!
Trotz der verlängerten Übergangszeit sollten Sie sicherstellen, dass Ihre E-Commerce-Lösung und alle relevanten Zahlungs-Gateways auf die Überprüfung von Zahlungen über SCA umgestellt haben, um das Risiko fehlgeschlagener Zahlungen zu minimieren.
Zahlungen werden basierend auf den Zahlungsschwellenwerten und Betrugsraten in Echtzeit von den SCA-Anforderungen ausgenommen ODER erfordern eine Überprüfung durch 2FA während des Bezahlvorgangs, um eine zusätzliche Sicherheitsebene hinzuzufügen, wenn das Risiko der Zahlung als zu hoch erachtet wird.
All dies wird hinter den Kulissen passieren. Wenn Sie Plugins und Themes über Ihren eigenen Online-Shop verkaufen, müssen Sie Ihre bestehende Lösung anpassen, um die neuesten APIs mit geeigneten Gateways zu verwenden.
Wie genau funktionieren SCA und PSD2?
Funktional werden die SCA-Anforderungen durch die Verwendung von 3D Secure 2.0 (3DS2) erfüllt, um Online-Zahlungen zu überprüfen, die durch die Verwendung von 2FA als zu riskant erachtet werden.
Der eigentliche Checkout-Prozess für europäische Kunden wird entweder so aussehen wie heute, was bedeutet, dass ihre Zahlung wahrscheinlich von SCA ausgenommen ist, oder Kunden müssen im Checkout-Prozess eine zweite Überprüfungsebene durchlaufen.
Der zusätzliche Verifizierungsschritt in 3DS2 erfordert einen der drei Sicherheitsfaktoren, die in dieser Stellungnahme der Europäischen Bankenaufsichtsbehörde als Wissen, Besitz oder Inhärenz beschrieben werden. Dies sind grundlegende Definitionen der 3 Sicherheitsfaktoren, die im Zahlungsprozess überprüft werden können:
Wissen = Versteckte Informationen wie ein Passwort, eine PIN oder Antworten auf geheime Fragen.
Besitz = Ein physisches Gerät, wie ein Kartenlesegerät oder ein USB-Token
Inhärenz = Biometrische Daten wie Fingerabdruck oder Gesichtserkennung, oft von mobilen Geräten.
Viele Zahlungs-Gateways beziehen diese Art von Faktoren bereits in ihren Bezahlvorgang ein, sodass Ihre Benutzer je nach Gateway möglicherweise keine Änderungen an ihrem Bezahlvorgang in Ihrem Geschäft sehen. Sie können 3DS2 im Hintergrund implementieren oder wenn andere Optionen zur Erfüllung von SCA verfügbar sind/werden, können diese ebenfalls verwendet werden. 3DS2 ist einfach die Antwort der Online-Zahlungsbranche auf die Aufrechterhaltung einer nahtlosen Benutzererfahrung bei gleichzeitiger Erfüllung der neuen Sicherheitsanforderungen.
Abonnieren Sie unser Buch und sichern Sie sich ein kostenloses Exemplar
11 erprobte Techniken zur Steigerung Ihrer Erfolgsquote bei Kreditkartenstreitigkeiten um 740 %
Teilen Sie mit einem Freund
Geben Sie die E-Mail-Adresse Ihres Freundes ein. Wir schicken ihnen nur dieses Buch per E-Mail, Scout's Ehre.
Ich danke Ihnen für das Teilen
Genial – ein Exemplar von „11 erprobte Techniken zur Steigerung Ihrer Erfolgsquote bei Kreditkartenstreitigkeiten um 740 %“ wurde gerade an gesendet . Möchten Sie uns helfen, das Wort noch mehr zu verbreiten? Los, teilen Sie das Buch mit Ihren Freunden und Kollegen.
Danke fürs Abonnieren!
- wir haben gerade Ihr Exemplar von '11 erprobte Techniken zur Steigerung Ihrer Erfolgsquote bei Kreditkartenstreitigkeiten um 740 %' an gesendet .
Haben Sie einen Tippfehler in Ihrer E-Mail? Klicken Sie hier, um die E-Mail-Adresse zu bearbeiten und erneut zu senden.
Innovatives Benutzererlebnis mit 3DS 2.0
Während SCA der Entwicklung eine Ebene der Komplexität hinzufügt, hat es das Potenzial, die Endbenutzererfahrung während des Bezahlvorgangs dramatisch zu verbessern. 3DS 2.0 bringt die Vorteile von weniger Betrug, breiterer Verfügbarkeit von Zahlungsoptionen und einem potenziell schnelleren Verifizierungs- und Checkout-Prozess mit sich, da Zahlungsanbieter 2FA als mögliches Verifizierungsverfahren in ihre Checkout-Abläufe aufnehmen müssen. Einige Kunden sehen also möglicherweise ein erheblich verbessertes Checkout-Erlebnis als zuvor.
Freemius nutzt diese Gelegenheit gerne, um unseren Checkout-Prozess zu erneuern, um diese neuen Anforderungen zu erfüllen, damit unsere Plugin- oder Theme-Verkaufspartner dies nicht tun müssen!
Wie sich SCA auf Freemius-Verkaufspartner auswirkt
Unser Team hat hart daran gearbeitet, sicherzustellen, dass der Übergang zu SCA für alle reibungslos und schmerzlos verläuft. Wir haben viel Zeit damit verbracht, die Auswirkungen von SCA auf die Benutzererfahrung Ihrer Kunden zu untersuchen, und wir haben es jetzt vollständig in unseren Checkout integriert.
Beachten Sie, dass dieser Vorgang je nach verwendeter Zahlungsmethode, Art der Kreditkarte und Kartenaussteller des Kunden etwas anders aussehen kann.
Wenn Ihre Kunden nach diesem neuen Update Probleme beim Bezahlen haben, fragen Sie sie unbedingt nach einem Screenshot. Für viele Zahlungen müssen sie eine Art sekundäre Verifizierung auf dem von ihnen verwendeten Gerät verwenden – entweder einen Fingerabdruck, zusätzliche Sicherheitsinformationen zu ihrem Zahlungsprofil bei ihrem Banksystem oder andere biometrische Daten. Dies kann der Grund dafür sein, dass Zahlungen aufgehalten werden – aber der Kunde muss es trotzdem ordnungsgemäß überprüfen, ob die Anfrage ordnungsgemäß funktioniert.
Wenn Sie mit Gateways zu kämpfen haben …
Wir wissen, dass viele E-Commerce-Plattformen im Ökosystem Schwierigkeiten haben, mit den SCA-Anforderungen Schritt zu halten, und dem Website-Administrator wird viel Arbeit auferlegt, um sicherzustellen, dass Ihre Plattform mit den neuesten Plugin-Versionen, Serveranforderungen und mehr auf dem neuesten Stand ist.
Wenn Sie damit Kopfschmerzen haben, ist es wichtig, dass Sie sich die Zeit nehmen, es anzusprechen, denn ehe Sie sich versehen, werden einige Ihrer Zahlungen von europäischen Kunden einfach nicht mehr funktionieren, was bedeutet, dass Ihr Geschäft vom Erfolg abgehalten wird. Lass dich nicht von SCA lebendig essen:
Unabhängig davon, wo Sie leben und wie Sie Ihre Plugins und Themes verkaufen, benötigen Sie eine Verkaufs- und Lizenzierungslösung, mit der Ihr Plugin- und Theme-Geschäft gedeihen kann. Wir haben Beschwerden von einer Reihe von Entwicklern gehört, dass ihre Verkaufslösung SCA noch nicht unterstützt, und wir können dieses Gefühl nach jahrelanger Erfahrung darin, Plugin- und Themenshops zu wachsen und ihr größtes Potenzial auszuschöpfen, definitiv nachvollziehen.
Wir haben dieses nützliche Diagramm der wichtigsten Plattformen erstellt, die für den Verkauf von Plugins oder Themes verwendet werden, sowie den Status von SCA-unterstützten Gateways, die über diese Plattformen verfügbar sind. Wir werden diese Tabelle aktualisieren, sobald sich die Dinge ändern.
| Unterstützung der WordPress eCommerce-Plattform für SCA von Payment Gateway | ||
| Zahlungs-Gateways | Plattform | |
| WooCommerce | EDD (einfache digitale Downloads) | |
| 2Kasse vor Ort | Nicht unterstützt | Nicht unterstützt |
| AmazonPay | Unterstützt | Nicht unterstützt |
| Autorisieren.net | Nicht unterstützt | Nicht unterstützt |
| Braintree | Unterstützt | Nicht unterstützt |
| Global Payments Gateway (ehemals Realex) | Unterstützt | Nicht unterstützt |
| PayPal-Zahlungen erweitert | Nicht unterstützt | Nicht unterstützt |
| PayPal Pro | Nicht unterstützt | Unterstützung folgt in Kürze |
| Streifen | Unterstützt | Unterstützung folgt in Kürze |
| Salbei bezahlen | Unterstützt | Nicht unterstützt |
Also was als nächstes?
Langfristig werden wir Sie über weitere Änderungen an Zahlungsgateways auf dem Laufenden halten, damit Sie mit dem Wissen befähigt sind, die richtigen Entscheidungen für den Verkauf Ihrer WordPress-Plugins und -Themes zu treffen. Wir wissen, dass die Verwaltung von Zahlungs-Gateways für Entwickler ein großer Aufwand sein kann, insbesondere wenn Sie sich hauptsächlich auf Ihre Produktentwicklung und Ihr Marketing konzentrieren möchten.
In Bezug auf SCA ändern sich die Dinge in diesem Bereich ziemlich schnell, und es gibt immer noch nicht viel Klarheit, da jedes Land die Vorschriften zu unterschiedlichen Zeiten umsetzt. Wir werden unsere Nachforschungen fortsetzen und die Leute über den Fortschritt auf dem Laufenden halten.
Hoffentlich helfen Ihnen diese Informationen, den Übergang effektiver zu gestalten, und Sie können gerne Fragen in den Kommentaren stellen!
* Dieser Artikel sollte nicht als Rechtsberatung ausgelegt werden. Wir empfehlen dringend, sich an einen Anwalt zu wenden, um sicherzustellen, dass Ihr Unternehmen mit den neuesten für Ihr Unternehmen relevanten Vorschriften auf dem Laufenden bleibt.