3-D-Secure-Verfahren kommen bei Kreditkartentransaktionen im Internet zur Anwendung. Zur Autorisierung einer Transaktion ist eine zusätzliche gesicherte Verbindung zwischen Karteninhaber und kontoführender Bank erforderlich. Über diese Verbindung gibt sich zunächst die Bank über eine zwischen ihr selbst und dem Karteninhaber vereinbarten persönlichen Ansprache oder einen vereinbarten Code zu erkennen. Der Karteninhaber wiederum identifiziert sich durch ein vereinbartes Passworte oder einen via Kartenleser vom EMV-Chip der Kreditkarte generierten Code.
3-D-Secure-Verfahren werden von VISA und MasterCard eingesetzt. VISA bezeichnet das hauseigene Verfahren als “Verified by VISA”, bei MasterCard firmiert das Verfahren als “MasterCard Secure Code”. Im Hinblick auf die Abwicklung der Transaktion sind sich beide Verfahren ausgesprochen ähnlich. Bei VISA wird ein Codewort für die Identifikation der Bank festgelegt, bei MasterCard eine persönliche Ansprache.
MasterCard Secure Code
MasterCard Secure Code ist der MasterCard-Standard für 3D Secure Authentifizierungsverfahren. Der Standard kommt ausschließlich bei Transaktionen im Internet zur Anwendung und soll diese besser gegen unerlaubten Zugriff auf die Transaktionsdaten und Missbrauch schützen. Karteninhaber müssen ihre MasterCard zunächst bei ihrer Bank für das Verfahren registrieren. Nach der Registrierung sind Zahlungen ohne MasterCard Secure Code bei unterstützenden Onlineshops nicht mehr möglich – sehr wohl aber bei Shops, die das Verfahren nicht unterstützen.
Einsatz sofort nach Registrierung möglich
Im Rahmen der Registrierung erfolgt die Bestellung des Secure Codes bei der kontoführenden Bank oder Sparkasse als ein vom Karteninhaber selbst zu wählendes Passwort. Zusätzlich wird eine individuelle Begrüßungsformel festgelegt (zum Beispiel “Hallo Jan Schmidt”). Die Registrierung kann vollständig online vorgenommen werden, erfordert keinen Download und ermöglicht die sofortige Nutzung des Verfahrens im Anschluss.
Alternativ dazu kann – sofern die Kreditkarte einen EMV-Chip besitzt – auch über ein Lesegerät ein Secure Code vom Chip abgelesen werden. Der generierte Code ersetzt das selbstgewählte Passwort. Das Kartenlesegerät muss nicht mit dem Computer verbunden werden.
Transaktionen mit MasterCard Secure Code
Wird in einem unterstützenden Onlineshop eine für MasterCard Secure Code registrierte Kreditkart als Zahlungsmittel hinterlegt, öffnet sich während des Bezahlvorgangs ein zweites Fenster über eine separate Verbindung zwischen dem Rechner des Karteninhabers und dem Server der Bank. Der Händler hat keinen Zugriff auf diese Verbindung. Die Bank übermittelt die vereinbarte Begrüßung und gibt sich dadurch zu erkennen. Der Karteninhaber gibt daraufhin den Secure Code – entweder als Passwort oder vom EMV-Chip generiert – ein und die Transaktion wird durchgeführt.
Verified by VISA
“Verified by VISA” ist der MasterCard-Standard für 3D Secure Authentifizierungsverfahren und kommt bei Online-Transaktionen zur Anwendung. Bank und Karteninhaber vereinbaren ein Passwort, das für die Autorisierung von Zahlungen im Interner eingegeben werden muss und dadurch der Betrugsprävention dient.
Grundsätzlich unterstützen alle VISA-Kreditkarten das Verfahren. Ob eine Karte teilnehmen kann, obliegt letztlich der kontoführenden Bank. Karteninhaber müssen ihre Kreditkarte bei dieser für Verified by VISA registrieren. Die Registrierung wird online vorgenommen und erfordert keinen Download.
Ist eine Karte einmal für Verified by VISA registriert, sind Transaktionen bei unterstützenden Shops nur noch unter Anwendung des Verfahrens möglich. Unterstützt ein Shop das Verfahren nicht, kann dort weiterhin ohne das Verfahren gezahlt werden. Bei der Registrierung vereinbaren Bank und Kunde ein Passwort und eine persönliche Sicherheitsmeldung (z. B. “Leonardo da Vinci”).
Wird eine Kreditkarte bei einem unterstützenden Shop als Zahlungsmittel angegeben, überprüft der Shop während des Bezahlvorgangs, ob die Karte bereits für Verified by VISA registriert ist. Ist dies der Fall, wird während des Bezahlvorgangs eine zweite, sichere Verbindung zwischen Bank und Karteninhaber aufgebaut, auf die der Händler keinen Zugriff hat. Angezeigt wird ein Formular mit allen Daten zur Transaktion und der vereinbarten Sicherheitsmeldung, mit der sich die Bank identifiziert. Der Karteninhaber wird aufgefordert, das vereinbarte Passwort einzugeben – danach kann die Transaktion fortgesetzt werden.