SCA - mit Concardis viele Vorteile genießen

Strong Customer Authentication (SCA)

Häufig gestellte Fragen

Allgemeine Fragen zur SCA
Ab wann gilt die neue SCA-Regelung?

Die SCA ist verpflichtend ab dem 14.09.2019 für alle im EWR (Europäischer Wirtschaftsraum) ansässigen Zahlungsdienstleister. Allerdings haben die nationalen Aufsichtsbehörden (BaFin für Deutschland) die Einforderung der SCA im alltäglichen Transaktionsgeschäft bis zum 31.12.2020 augesetzt. Faktisch betrachtet, muss also die SCA erst zwingend ab dem 01.01.2021 zum Einsatz kommen.

Ab wann wird die neue SCA Regelung eingefordert?

Die BaFin hat die Einforderung der SCA im alltäglichen Transaktionsgeschäft bis zum 31.12.2020 augesetzt. Faktisch betrachtet, muss also die SCA erst zwingend ab dem 01.01.2021 zum Einsatz kommen.

Welche Transaktionen unterliegen der SCA Pflicht?

Die SCA als Bestandteil der PSD2 ist auf alle elektronischen Zahlungsvorgänge anzuwenden (also insbesondere alle ECOM Transaktionen).
Transaktionen, welche nicht von der SCA betroffen sind, sind MOTO Transaktionen und MIT (Merchant Initiated Transaction) Transaktionen, bei welchen der Karteninhaber bei Auslösung der Zahlung physisch nicht zugegen ist. Beide nicht von der SCA betroffenen Transaktionstypen müssen in der Transaktion dementsprechend gekennzeichnet sein, damit der Kartenherausgeber diese Transaktionen als "out of scope" erkennen kann. Details zur Kennzeichnung dieser Transaktionen sind beim PSP zu erfragen.

Gibt es Ausnahmen innerhalb der SCA pflichtigen Transaktionen? Was ist eine SCA Ausnahme?

Ja, obwohl eine Transaktion im Geltungsbereich der SCA liegt, kann sie unter bestimmten Bedingungen mittles sog. "SCA Ausnahmen" von der SCA Pflicht befreit werden.
Die Anwendung dieser Ausnahmen ist immer zuvor mit einer Zustimmung des Acquirer verbunden. Concardis erlaubt allen Acquiring Kunden per default die Nutzung der "Low Value" Ausnahme, bei welcher Transaktionen im ECOM bis zu 30 € von der SCA Pflicht ausgenommen werden können. Diese Transaktionen müssen dementsprechend gekennzeichnet werden. Details zu dieser Kennzeichnung erhalten Sie bei Ihrem PSP.

Ein Hotelzimmer wird 5 Monate im Voraus gebucht, der Betrag soll nicht abgezogen werden.

Muss hier eine SCA erfolgen (auch keine Transaktionsreservierung) ? Was passiert, wenn vor der Anreise belastet werden muss? MIT oder SCA?

Eine erstmalige Transaktion einer Karte, die zuvor noch nicht durch den Händler gespeichert wurde, muss immer SCA authentifiziert sein. Eine Belastung vor Anreise kann nur ohne SCA erfolgen, wenn der Händler die Karte im System gespeichert hat und zuvor eine SCA erfolgreich abgeschlossen wurde.

Wie ist der Stand in Bezug auf Umsetzung bei Payengine 2.0 und 3.0? Gibt es eine Timeline, die wir an unsere Kunden kommunizieren können?

Payengine "start.now", "speed.up", "flex.pro": Für die Integrationsmethoden "Widget Inline" und "Widget Modal" sind keine Anpassungen für 3DS2 notwendig. Concardis wird alle notwendigen Implementierungen fristgerecht zum 14 September automatisch zur Verfügung stellen. Bei Verwendung des produktes "Paylink" sind keine Anpassungen für 3DS2 notwendig. Concardis wird alle notwendigen Implementierungen fristgerecht zum 14 September bereitstellen.

Payengine "Comfort", "Premium", "Professional": Bei der Integrationsart "eCommerce" ist keine Anpassungen für 3DS2 notwendig. Concardis wird alle notwendigen Implementierungen fristgerecht zum 14 September bereitstellen.

Ein Zimmer ist bezahlt, aber Minibarbezahlung wurde vergessen. Der Gast ist jedoch schon abgereist.

Kann diese Forderung mit "Credentials on File“ (auch als „Card on File“ bekannt) gelöst werden?

Eine „Credentials on File“ Transaktion wird durch einen Händler in Abwesenheit des Zahlungspflichtigen durchgeführt. Der Händler hat initial beim Speichern der Zahlungsdaten des Zahlungspflichtigen bereits eine erfolgreiche SCA Prüfung vorgenommen und kann nun mit einer entsprechenden Kennzeichnung die Transaktion einreichen. Wenn die Karte bei dem Händler bereits gespeichert ist, muss in einem solchen Fall keine weitere SCA vorgenommen werden. Falls das nicht der Fall ist, darf die Karte nicht ohne SCA erneut belastet werden.

Fallen Card on File-Transaktionen in die SCA?

Card on File-Transaktionen fallen nicht in die Zuständigkeiten der SCA, müssen aber im GICC-Protokoll separat geflaggt werden.

Was ist mit Merchant Initiated Transaktionen?

Merchant Initiated Transaktionen sind von der SCA ausgenommen und bedürfen eines speziellen Flaggings, welches bei Visa und Mastercard unterschiedlich vehandelt wird.

Muss bei einer Restbetragsbuchung (oberhalb des Autorisierungsbetrages) eine erneute SCA durchgeführt werden?

In diesem Fall wird hier eine Card on File mit korrektem MIT flagging durchgeführt, was dazu führt, das keine erneute SCA Prüfung vorzunehmen ist.

Unterstützt die Concardis die TRA Ausnahme?

Die TRA ("Transaction Risk Analysis") SCA Ausnahme erlaubt es einem Händler nach Rücksprache mit der Concardis, Transaktionen in Abhängigleit der Fraud-Performance der Concardis bis zu einem Betrag (100 €, 250 €, 500 €) ohne SCA Prüfung mit entsprechender SCA-Ausnahmen-Kennzeichnung einzureichen.
Concardis bietet diese Ausnahme zur Zeit generell nicht an, da nicht sichergestellt ist, ob ein Kartenherausgeber diese Ausnahme auch akzeptieren wird. Hierzu müssen erst Erfahrungswerte gesammelt werden. Concardis plant die Einführung dieses Produktes zu Mitte 2021.

Was versteht man unter der Haftungsumkehr ("liability shift")?

Die Haftungsumkehr bezeichnet den Vorgang, welcher bei Betrugs-begründeten Transaktionsrückläufern ("Chargeback") zur Anwendung kommen kann, und bei welchem die originär beim Händler ansässige Haftung derartiger Transaktionen auf den Kartenherausgeber verlagert wird.
Betrügerisch begründete Zahlungsrückläufer ("Chargeback") einer durch eine SCA abgesicherten Transaktion unterliegen der Haftungsumkehr, so dass der Kartenherausgeber diese Zahlungsausfälle selbst zu tragen hat.

Wer haftet bei einer SCA geprüften Transaktion?

Ist eine Transaktion SCA geprüft durch den Kartenherausgeber bestätigt, so sind potentiell betrügerische Zahlungsrückläufer ("Chargeback") in der Haftung des Kartenherausgebers - nicht des Händlers.

Was passiert, wenn ein Händler die SCA nicht anwendet?

Sollte der Kartenherausgeber eine SCA pflichtige Transaktion ohne entsprechende SCA Prüfung oder ohne entsprechende SCA-Ausnahmen-Kennzeichnung erhalten, wird er diese mit höchster Wahrscheinlichkeit ablehnen oder aber zur Eingabe eines zweiten Faktors auffordern ("soft decline" / "step up").
Das betrifft nur Transaktionen, deren Kartenherausgeber im EWR ansässig sind.

Wer lehnt eine nicht SCA konforme Transaktion ab?

Concardis erkennt nicht-SCA-konforme Transaktionen und protokolliert diese auch mit. Allerdings lehnt Concardis diese Transaktionen nicht ab, sondern leitet auch diese zur Autorisierung an den Kartenherausgeber weiter. Der Kartenherausgeber wird sehr wahrscheinlich diese Transaktionen ablehnen.

Was versteht man unter einem "soft decline"?

Sollte ein Kartenherausgeber eine SCA pflichtige Transaktion ohne entsprechende SCA Prüfung oder ohne entsprechende SCA-Ausnahmenkennzeichnung erhalten, wird er sehr wahrscheinlich einen zweiten Faktor zur Authentifizierung anfordern. Bei diesem Vorgehen spricht man von einer "soft decline" Rückmeldung des Kartenherausgebers. Oft spricht man in diesem Zusammenhang auch von einem "step up" Prozess, der aber das gleiche Vorgehen referenziert

Bedarf die Anwendung der SCA einer Vertragsanpassung bei Concardis?

Generell muss der Kunde keine neuen Verträge zur Nutzung der SCA mit Concardis abschließen. Rechtliche Anpassungen sind in den AGBs verankert.
In gewissen Konstellationen ist aber eine modifizierte Einreichung der Zahlungstransaktionen sinnvoll, was dann auch eine Vertragsanpassung bedingen kann. In diesen Fällen wird aber der Kunde durch einen Concardis Vertriebsmitarbeiter kontaktiert.

Wurde das Thema SCA von Cocardis bereits an die Händler kommuniziert?

Ja, Concardis hat mehrfach (flächendeckend zuletzt im Juni 2020) alle ECOM Kunden per Email über die SCA informiert. Seitdem wurden Kunden zusätzlich mit spezifischem Bezug auf die SCA von Vertriebsmitarbeitern der Concardis angesprochen, Webinare wurden durchgeführt, die SCA landing page wurde fortlaufend erneuert und auch die angeschlossenen PSPs/NSPs wurden kontinuierlich über ein eigens geschaffenes Portal informiert.

Was passiert, wenn der Karteninhaber nicht an 3DS2 teilnimmt?

Bevor ein SCA Authentifizierungsprozess technisch eingeleitet wird, überprüft das System in direkter Interaktion mit dem Kartenherausgeber, ob die angefragte Karte am 3DS2 Programm teilnimmt oder nicht.
Nimmt die Karte nicht teil, wird das Authentifizierungssystem automatische eine 3DS1 Anfrage an den Kartenherausgeber stellen.

Stufenplan der BaFin

Die BaFin hat am 03.12.2020 in einem Rundschreiben an alle deutschen Zahlungsdienstleister den Kartenherausgebern die Option eingeräumt, die SCA stufenweise einzufordern - nach folgendem Plan:
1) SCA ist verpflichtend ab 15.01.2021 für Transaktionen oberhalb von 250 €
2) SCA ist verpflichtend ab 15.02.2021 für Transaktionen oberhalb 150 €
3) SCA ist verpflichtend ab 15.03.2021 für alle Transaktionen.
Ob die Kartenherausgeber dieses Angebot annehmen, ist nicht klar. Vielmehr steht schon jetzt fest, dass bestimmte Kartenherausgeber diese Option nicht nutzen werden, aufgrunddessen Händler mit einer generellen Anwendung der SCA zum 01.01.2021 arbeiten sollten.

Sind die SCA Enforcments EWG weit einheitlich geregelt?

Nein, sind sie leider nicht. Die meisten EWR Länder erwarten eine SCA Nutzung ab 10.-15.01.2021. Nur UK fordert diese SCA Pflicht erst zum September 2021 ein.

Was versteht man unter dem "Challenge Flow" bei der SCA Verarbeitung?

Bei dem "Challenge Flow" entscheidet sich entweder der die SCA anfordernde Händler oder aber der Kartenherausgeber, zur Authentifizierung der Transaktion einen 2. Authentifizierungsfaktor mit dem Karteninhaber auszutauschen.
In diesem Vorfall ist also die direkte Interaktion mit dem Karteninhaber gefordert.

Was versteht man unter dem "Frictionless Flow" bei der SCA Verarbeitung?

Bei dem "Frictionless Flow" entscheidet sich der Kartenherausgeber, zur Authentifizierung der Transaktion keinen 2. Authentifizierungsfaktor vom Karteninhaber einzufordern.
In diesem Vorfall ist also keine direkte Interaktion mit dem Karteninhaber gefordert.

Was versteht man unter einer MIT Transaktion

MIT (Merchant Initiated Transaktionen) sollen immer dann angewandt werden, wenn ein Händler ohne physische Anwesenheit des Karteninhabers eine Zahlungstransaktion auslösen muss. Eine entsprechende Kennzeichnung der Transaktion ist zwingend notwendig (bitte PSP/NSP kontaktieren).
Eine MIT Transkation muss auch zwingend immer eine Referenz auf eine zuvor erfolgreich SCA authentifizierte Transaktion aufweisen ("trans id"/"trace id"), welche mit der gleichen Kartennummer erfolgt ist. Zusätzlich bedingt die Nutzung von MIT, dass der Händler mit dem Karteninhaber zuvor ein sog. "MIT Agreement" abgeschlossen hat, welches ihn zum Einzug weiterer Zahlungstransaktionen berechtigt.
Die genaue Anwendung der MIT Logik erfragen Sie bitte bei Ihrem PSP/NSP.

Unterliegen Card On File Transaktion (CoF) der SCA?

Grundsätzlich ja, sie werden meistens mittels des MIT Frameworks des PSP eingereicht. D.h., dass Zahlungstransaktionen gespeicherter Kartendaten mittels MIT Kennzeichnung vom PSP Portal an den Acquirer eingereicht werden. Details zur Umsetzung sind beim PSP zu erfragen.

Wie muss eine MIT Transaktion gekennzeichnet sein?

Bei einer MasterCard MIT Transaktion muss in der GICC Autorisierungsanfrage das BMP 60.54 mit dem Wert "01" gekennzeichnet werden.
Bei einer Visa MIT Transaktion muss in der GICC Nachricht das BMP60.49 mit der Angabe des korrekten reason codes angegeben werden.
Eine entsprechende Angabe der Referenz ID ("trace id" / "trans id") zur ursprünglich erfolgreich SCA authentifizierten Transaktion ist im BMP 60.73 einzutragen.

Haftet der Händler für eine MIT Transaktion?

Sofern der Händler nicht vor Ausführung der MIT Transaktion mittels eines 3RI Requests eine SCA Authentifizierung beim Kartenherausgeber angefragt hat (ist erst ab Protokollversion EMV 3DS 2.2 möglich), trägt der Händler das Zahlungsausfallrisiko im Betrugsfall selbst.

Fragen zu Network Service Providern (NSP) & Payment Service Provider (PSP)
Sind Terminal-Zahlungen von SCA Anpassungen betroffen?

Generell nicht, da schon heute alle deutschen Terminals per Default EMV Transaktionen abwickeln müssen (Magnetstreifen ist nur noch als Fallback erllaubt).
Dennoch sind aber viele Terminals im Betrieb, die entweder
1) Zahlungstransatkionen per Magnetstreifen einreichen
2) key entry Transaktionen auch bei nicht-manueller Handeingabe auslösen.
In diesen Fällen muss eventuell eine Anpassung erfolgen. Falls der NSP nicht schon bereits entsprechende Informationen an die Händler herausgegeben hat, sollten Händler sich jetzt bei Ihrem NSP zu dem Thema SCA erkundigen.

Muss mein Terminal "single tap" fähig sein?

Die Eigenschaft "single tap" bezeichnet das Verhalten des Terminals bei einer kontaktlosen Zahlung, wenn der Kartenherausgeber eine nachgelagerte PIN Eingabe anfordert. In diesem Fall soll der Karteninhaber kein zweites Mal gezwungen sein, seine Karte zur SCA Verifizierung an das Terminal zu halten.
Ob das Terminal die entsprechende Software zur korrekten Verarbeitung in diesem Vorfall bereits besitzt, ist beim NSP zu erfragen.

Meine Authentifizierungen schlagen fehl

Wenn Ihr PSP nicht die Concardis ist, wenden Sie sich bitte direkt an Ihren PSP, da nur dieser Einsicht in die 3DS2 Authentifizierungsprotokolle hat.
Falls Ihre PSP Lösung die Payengine ist, geben Sie bitte die Payengine merchant_id, den genauen Zeitstempel, den Transaktionsbetrag und den Antwortcode aus dem Authentifizierungsvorgang an.

Ich erhalte den ResponseCode 65 (1A) auf meine Autorisierungsanfrage zurück

Der Antwortcode 65 (für MC) oder 1A (für Visa) entspricht dem sog. "soft decline". In diesem Fall wurde dem Kartenherausgeber eine SCA pflichtige Transaktion präsentiert, ohne eine entsprechende SCA Prüfung/Kennzeichnung zu besitzen.
Der Kartenherausgeber veranlasst daraufhin das Transaktionssystem, einen zweiten Faktor beim Karteninhaber anzufordern.
Der "soft decline" Prozess ist für alle PSPs/Acquirer seit dem 01.07.2020 mandatorisch anzuwenden. Wenden Sie sich bitte umgehend an Ihren PSP, um die korrekte Verarbeitung dieses Antwortcodes sicherzustellen.

Meine Conversion Rate verschlechtert sich drastisch nach Aktivierung der SCA

Dazu muss beim jeweiligen PSP eine Analyse über die pro Transaktion zurückerhaltenen Ablehnungsgründe der Kartenherausgeber getätigt werden. Setzen Sie sich bitte umgehend mit Ihrem PSP in Verbindung.

Muss ein Händler vor der SCA Nutzung freigeschaltet werden?

Ja, die Aktivierung erfolgt auf verschiedenen Ebenen:
1) Zunächst muss jeder Händler bei den Krditkartenorganisationen einen Enrolment Prozess erfolgreich abgeschlossen haben. Für MasterCard hat Concardis bereits alle notwendigen Schritte unternommen - für Visa Freischaltungen wenden Sie sich bitte an Ihren PSP
2) die PSP Systeme müssen meist die SCA-Nutzung pro Händler einmalig konfigurieren. Zur Überprüfung wenden Sie sich bitte an Ihren PSP.

Müssen technische Anpassungen an meinem System zur Nutzung der SCA erfolgen?

Die Entscheidung, ob die Nutzung der SCA Prozesse beim Händler einer Anpassung bedürfen, hängt stark vom SCA Produktangebot des jeweiligen PSP ab. Alle Händler sollten in engem Kontakt mit ihrem PSP über potentiell notwendig werdende technische/operative Anpassungen diskutieren und diese noch vor dem 31.12.2020 umsetzen.

Muss ein PSP zur Nutzung von SCA zertifiziert werden?

Ja. Jede Kreditkartenorganisation betreibt für die SCA (und die damit verbundenen Protokollversionen) eigene Zertifizierungsprogramme. SCA-Authentifizierungsdienstleister müssen diese pro Kreditkartenorganisation erfolgreich durchlaufen. Nur so dürfen SCA-Produkte den Händlern angeboten werden.

Low Value Transaktionen
Darf ein Händler eine Low Value Ausnahme ohne zusätzliche Vertragsvereinbarung nutzen?

Ja, Concardis erlaubt jedem Händler die ordnungsgemäße Nutzung einer SCA Low-Value Ausnahme ohne eine zusätzliche Vertragserweiterung. Wie die Low Value Ausnahme in der Transaktion anzuwenden ist, muss mit dem PSP geklärt werden.

Was sind die sog. "counter" im Kontext der Low Value Ausnahme?

Die Low Value SCA Ausnahme darf bei Transaktionen bis zu einem Gegenwert von 30 € angewandt werden. Zusätzlich dazu führen die Kartenherausgeber pro Kartennummer Zähler ("counter") mit, bei welchen zwei Dinge kontinuierlich beobachtet werden:

  1. die Anzahl der aufeinanderfolgenden, nicht SCA geprüften Transaktionen darf 5 nicht übersteigen
  2. die Betragssumme von aufeinanderfolgenden, nicht SCA geprüften Transaktionen darf in Summe den Gegenwert von 100 € nicht übersteigen.

Erkennt der Kartenherausgeber eine Überschreitung eines der Zähler, so wird er mit einer "soft decline" Antwort den Karteninhaber zur erneuten SCA Authentifizierung auffordern.

Haftet der Händler für eine mittels Low Value von der SCA ausgenommene Transaktion?

Sofern der Händler nicht vor Ausführung der Low Value Transaktion mittels eines 3RI Requests eine SCA Authentifizierung beim Kartenherausgeber angefragt hat (ist erst ab Protokollversion EMV 3DS 2.2 möglich), trägt der Händler das Zahlungsausfallrisiko im Betrugsfall selbst.

Fragen zu Key Entry
Was versteht man unter einer "key entry" Transaktion?

Das Chipnutzungs-Kriterium "key entry" beschreibt per Definition Transaktionen, welche manuell am Terminal durch Nutzung des Keypads (Eingabe der Kartennummer) ausgelöst werden.
Allerdings wird die Mehrheit der "key entry" Transaktionen nicht durch manuelle Eingabe am Terminal generiert, sondern vielmehr durch Hotel-Reservierungssyteme, welche dieses Kriterium der Chipnutzung der Transaktion beilegen, wenn ein Gast bei der Belastung der Karte nicht anwesend ist.

Sind key entry Transaktionen SCA pflichtig?

Der Gesetzgeber hat diese Frage nicht eindeutig beantwortet, da nicht festgelegt wurde, ob key entry Transaktionen als elektronsche Zahlungstransaktionen gelten oder nicht. Die Kartenherausgeber im EWR Raum fassen key entry aber überwiegend als SCA pflichtig auf, sodass der Händler eine SCA Authentifizierung anwenden muss, möchte er eine Ablehnung des Kartenherausgebers vermeiden.

Was muss ich als Händler tun, damit meine key entry Transaktionen auch 2021 weiterhin akzeptiert werden?

Damit key entry Transaktionen aus der Travel & Hospitality Branche auch weiterhin ohne Veränderung der Technik beim Händler durch den Kartenherausgeber akzeptiert werden können, wird Concardis ab Mitte Januar genau diese als key entry eingereichten Transaktionen automatisch auf den SalesChennel "MOTO" umstellen, bevor diese an den Kartenherausgeber weitergereicht werden. Dieses Verfahren ist offiziell durch Visa und MasterCard als "Interimslösung" (vorerst unbefristet) genehmigt worden.
Da MOTO Transaktionen als nicht SCA pflichtig gelten, können diese dann auch  trotz key entry Kennung ohne SCA Prüfung beim Kartenherausgeber akzeptiert werden.

Gilt das Concardis MOTO reflagging für alle T&H key entry Transaktionen?

Nein, AMEX Transaktionen werden direkt durch den PSP bei AMEX - und nicht bei Concardis - zur Verarbeitung eingereicht, da AMEX selbst der Acquirer des Händlers ist. AMEX hat bereits avisiert, dass sie alle key entry Transaktionen ohne SCA Prüfung ab dem 01.01.2021 ablehnen wollen. An dieser Stelle kann und darf Concardis keine Maßnahmen ergreifen, sondern muss den Händler an AMEX direkt verweisen.

Fragen zu Card Schemes
Sind AMEX Zahlungen ebenfalls SCA pflichtig?

Auch AMEX Zahlungen gelten als elektronische Zahlungsvorgänge und unterliegen somit der SCA Pflicht.

Sind JCB Zahlungen ebenfalls SCA pflichtig?

Auch JCB Zahlungen gelten als elektronische Zahlungsvorgänge und unterliegen somit der SCA Pflicht. Allerdings hat Concardis keine JCB SCA Abnahme durchgeführt aufgrund der äußerst wenigen Karten, welche unter der Brand JCB in Europa heraugegeben wurden. Daher können JCB Transaktionen nicht SCA konform verarbeitet werden.
Es ist aber kaum zu erwarten, dass ein JCB Kartenherausgeber eine SCA Prüfung mittels "soft decline" anfordern wird, da die meisten Karten außerhalb des EWR heraufgegeben wurden.
Concardis hat aber bereits die Zertifizierung mit JCB auf dem Acquiring Host für 2021 eingeplant.

Sind Diners Zahlungen ebenfalls SCA pflichtig?

Auch Diners Zahlungen gelten als elektronische Zahlungsvorgänge und unterliegen somit der SCA Pflicht. Concardis hat für Diners Zahlungen sämtliche SCA Abnahmen umgesetzt und kann somit Diners Transaktionen sowohl auf dem Acquiring-Host als auch auf der PSP Plattform erfolgreich verarbeiten.

FAQs zur SCA aus dem Webinar vom 23.09.2020
Handelt es sich bei einer Kreditkarte, die ich am Terminal per Hand eingebe um eine MoTo Transaktion?

Per Hand wird die Kartennummer am Terminal eingegeben: Hierbei handelt es sich um eine 'Key Entry Transaktion'. Diese werden als SCA pflichtig angesehen (lt. Aussage der Issuer). Ist der Karteninhaber bei Eingabe physisch anwesend, so entspricht er mit der PIN Eingabe den SCA Anforderungen. Ist er NICHT anwesend, kann er keine PIN eingeben, muss das aber nach SCA Pflicht tun. Aus diesem Grund werden diese speziellen Transaktionsvorfälle oft als MOTO Transaktionen durchgeführt (entspricht nicht den Compliance Anforderungen, wird aber geduldet).

Gilt die Haftungsumkehr nur für europäische Karten oder auch für Karten aus den USA?

Die durch die SCA begründete Haftungsumkehr gilt nur für Karten aus dem EWR ( europäischer Wirtschaftsraum).

Betrifft das Thema die Kaufmännischen Netzbetreiber ? (KNB)

Die technische Umsetzung der SCA im Netzbetrieb wird durch die Netzbetreiber (z.B. Cardtech) vorgenommen. Der KNB nutzt nur die Lösungen dieser Anbieter. Das kaufmännische Risiko (Haftungsumkehr) trägt der KNB.

Wie lange kann eine Merchant Initiated Transaction (MIT) nach der Card Initiated Transaction (CIT) genutzt werden? Gibt es eine zeitliche Begrenzung?

Es gibt keine zeitliche Einschränkung aus regulatorischer Sicht. Es kann durchaus sein, dass PSPs / NSPs (Payment Service Providers / Network Service Providers)  entsprechende maximale Gültigkeitszeiträume festgelegt haben. 

Sind MoTo Transaktionen von der SCA betroffen?

MoTo Transaktionen gelten als NICHT SCA pflichtig. 

Wie plant Concardis SCA umzusetzen? Es gibt z.B. API-Anbieter, um hierfür SMS und App zu nutzen!?

Die Concardis als Acquirer bietet keine Schnittstellen für den eigentlichen Authentifizierungsvorgang (fingerprint / face ID) an. Diese Schnittstellen werden NUR von den kartenherausgebenden Banken zur Verfügung gestellt.

Gibt es für den Händler bereits in 2020 Vorgaben, ein gewissen Prozentsatz der 3DS Transaktionen, als 3DSv2 Transaktion durchzuführen?

Nein, es gibt kein Mandat an die Händler. Es gibt allerdings eine Handlungsempfehlung an die kartenherausgegebenden Banken, die ab Oktober 2020 angehalten sind beispielhaft SCA Prüfungen durchzuführen.

Was bedeutet PSP

Payment Service Provider 

Was ist der Unterschied zwischen MIT (Merchant Initiated Transaction) und Abo-Zahlungen?

Das eine Verfahren schließt das andere nicht aus. Ein Abo Zahlungszyklus kann mit Hilfe eines MIT Frameworks durch den PSP umgesetzt sein. Die jeweiligen Details sind immer beim PSP zu erfragen 

Ist SCA durch den Gesetzgeber geregelt?

Ja. Die Vorgaber erfolgen durch die BaFin.

FAQs zur SCA aus dem Webinar vom 15.10.2020
Entstehen für die automatische Umwandlung in MOTO zusätzliche Kosten und wie hoch ist das Risiko, dass MOTO TRX abgelehnt werden?

MOTO Transkationen unterliegen keiner SCA Pflicht. Daher ist es unwahrscheinlich, dass diese Transaktionen ohne SCA Kennung von Issueren abgelehnt werden.

Habe ich es richtig verstanden, dass bei jeder MOTO auch bei der "automatischen" Umwandlung auf MOTO das Risiko beim Hotel liegt?

Das ist korrekt. Jegliche nicht SCA geprüfte Transaktion - und dazu zählen ja auch die MOTO Transaktionen - verbleiben mit dem Chargeback-Haftungsrisiko beim Händler.

Wenn das Hotel vom OTA eine virtuelle Kreditkartennummer ohne SCA Prüfung erhält, wie kann diese dann durch das PMS im Hotel mit einer Zahlung belastet werden?

Die Belastung im Hotel müsste regelgerecht als MIT Transaktion ausgeführt werden. Das ist aber aufgrund der fehlenden SCA Prüfung beim OTA nicht möglich. Daher sollte sich das PMS der Interimslösung bedienen, und die Zahlungstransaktion als MOTO Transaktion auslösen. Das Hotel muss hierzu aber sicherstellen, dass ein entsprechender MOTO Vertrag mit der Concardis abgeschlossen wurde.
Ist eine dementsprechende Anpassung im PMS des Hotels nicht möglich und löst das Hotel heute diese Transaktionen als "key entry" Transaktion aus, so wird Concardis zentral das Flagging dieser Transaktion auf MOTO im Processing umstellen, ohne dass das Hotel eine Änderung am System vornehmen muss.

Wie funktioniert es mit den Concardis Systemen später dann mit Transaktionen, wo die SFA durch einen anderen durchgeführt wurden? Muss in der PayEngine ein zusätzliches Feld gefüllt werden?

Bei einer "Fremdauthentifizierung", bei welcher der Authentifizierung und Autorisierung bei unterschiedlichen Dienstleistern erfolgt, muss in der Payengine API ein neuer Aufruf genutzt werden. Hierzu kontaktieren Sie bitte den Concardis Payengine Support.

Bei allen großen Hotelketten läuft inzwischen ein Großteil der Buchungen über Vorauszahlung der Hotelgesellschaften. Da bekommt das Hotel nur noch die Nummer übermittelt und belastet den Betrag vor Anreise. Die Übermittlung der Kartennummer und die Belastung sind somit zeitlich und räumlich getrennt. Wie stellen wir diesen Vorgang dar? Derzeit ist nur MOTO möglich.

Die SCA regelgerechte Nutzung wäre die Anwendung eines MIT Verfahrens. MOTO ist im Zeitrahmen der Interimslösung aber auch erlaubt. Die richtige Anwendung ist immer mit dem PSP/NSP abzustimmen.

Wenn eine Buchung über Booking.com erfolgt, ist dann Booking.com für die SCA Authentifizierung zuständig?

So sieht es die Best Practice Beschreibung der Kartenorganisationen vor.

Frage zu Corporate Reisebüros: Ist Airplus & AX BTA ausgenommen? Sollte ein Firmenkunde per Mastercard oder VI zahlen, ist er in der Regel nicht vor Ort - sind Airline Transaktionen aus dem GDS heraus auch MOTO?

Zunächst einmal ist festzuhalten, dass generell immer nur Transaktionstypen von der SCA Pflicht befreit sein können, niemals aber ganze Typen von Händlern (z.B. Corporate Reisebüro). Wie ein GDS die Zahlungstransaktionen auslöst, ist mit dem GDS Betreiber abzustimmen. Eine Anwendung von MOTO bei diesen Transaktionen ist aber wahrscheinlich.

Wir haben in den Reisebüros keine Terminals sondern eine Schnittstelle von Concardis - hier sind aktuell MOTO Verträge geschlossen für die Belastung der Serviceentgelte etc. - gibt es hier noch weitere To Do's auf der Reisebüro Seite ?

Nein, die MOTO Verträge entbinden Sie von einer SCA Pflicht auf diesen Zahlungstransaktionen

Gibt es Möglichkeiten die Autorisierung / Authentifizierung automatisch zu verlängern?

Generell besteht diese Möglichkeit. Es hängt aber von der Implementierung des PSP Systems ab, ob eine automatisierte Verlängerung einer Authentifizierung durch die jeweilige PSP Plattform angeboten wird. Dazu sollte man sich kurzfristig mit dem PSP in Verbindung setzen.

Wie lange gilt diese Nummer damit MIT funktioniert?

Die Trans-ID, welche als Referenz auf die Ursprungstransaktion gilt, welche SCA authentifiziert war, ist unbegrenzt gültig.