Letzte Aktualisierung: 29. Oktober 2024
Am 15. März 2024 wurden einige Branchenrichtlinien zu Sicherheitsmaßnahmen für Unternehmen, die Kartenzahlungen in Japan abwickeln, die sogenannten „Sicherheitsrichtlinien für Kreditkarten“, überarbeitet (Credit Card Security Guidelines Version 5.0).
Gemäß den Sicherheitsrichtlinien für Kreditkarten müssen Händler/innen, die Online-Verkäufe tätigen (Stripe-Nutzer/innen), zur Bekämpfung von Betrug bis Ende März 2025 die 3D Secure-Authentifizierung aktivieren.
Die Authentifizierung mit 3D Secure (3DS) ist ein Sicherheitsverfahren, das eine zusätzliche Authentifizierungsebene für Kreditkartenzahlungen bietet und Unternehmen vor Haftungsansprüchen bei betrügerischen Kartenzahlungen schützt.
Zeitplan für die Einführung von 3DS bei Stripe
Ab dem 31. März 2025 verlangt Stripe 3DS für alle entsprechenden Zahlungen. In einzelnen Fällen können Sie entscheiden, ob Sie 3DS verwenden möchten oder nicht.
Seit Januar 2025 verlangt Stripe zunächst 3DS für einen kleinen Prozentsatz der Zahlungen und erhöht diesen Prozentsatz bis zum 31. März 2025 schrittweise auf 100 % der Zahlungen (mit Ausnahme von Zahlungen, die von den 3DS-Anforderungen ausgenommen sind). Sie müssen bis Ende 2024 alle erforderlichen Änderungen an Ihrer Stripe-Integration durchführen, um zu vermeiden, dass Zahlungen fehlschlagen.
Wenn die Vorbereitungen für die Verwendung von 3DS länger als bis Dezember 2024 dauern, können Sie beantragen, von der Frist im Januar ausgenommen zu werden. Allerdings verlangt Stripe dennoch ab dem 1. April 2025 3DS für alle entsprechenden Zahlungen.
Ab April 2025 ist für Kreditkartenzahlungen über ältere APIs, die 3DS nicht unterstützen (Charges API und Orders API), 3DS erforderlich und die Zahlungen schlagen daher fehl. Nach dem 30. Juni 2025 schlagen alle Kreditkartenzahlungen über diese APIs fehl.
Betroffene Zahlungen
Es gibt Fälle, in denen Sie entscheiden können, ob Sie 3DS verwenden möchten oder nicht. Wenn Zahlungen ohne 3DS im Rahmen einer Ausnahmeregelung durchgeführt werden, entfällt die Haftungsverlagerung für betrügerische Zahlungen. Weitere Informationen zur Implementierung von 3DS-Ausnahmen durch Stripe finden Sie in unserer Dokumentation.
Integration prüfen
Wenn Sie Stripe bereits verwenden, müssen Sie gegebenenfalls Ihre Integration überprüfen, um die Unterstützung von 3DS sicherzustellen.
Wir empfehlen die Verwendung der Testkartennummern von Stripe, um zu prüfen, ob Ihre Integration auch mit 3DS kompatibel ist. Mehr über die Tests erfahren Sie in unserer Dokumentation.
Wenn Sie die Charges API oder die Orders API verwenden
Weder die Charges API noch die Orders API unterstützt 3D Secure 2. Wenn Ihr Konto diese veralteten APIs verwendet, schlagen Kreditkartenzahlungen folglich fehl. Zur Vermeidung von fehlgeschlagenen Zahlungen empfehlen wir Ihnen dringend, schnellstmöglich zur Payment Intents API zu migrieren.
Wenn Sie die Payment Intents API verwenden
Sie müssen sicherstellen, dass Ihre Integration den Status requires_action
verarbeiten kann, um Ihre Kundinnen und Kunden zur Authentifizierung ihrer Zahlungen auffordern zu können. Gegebenenfalls müssen Sie Ihre Integration aktualisieren, um Kartenauthentifizierungen abzuwickeln.
Auch wenn Sie Zahlungen auf dem Server finalisieren, müssen Sie für die Anzeige des Ablaufs der 3DS-Authentifizierung auf dem Client zusätzliche Schritte durchführen. Weitere Informationen finden Sie in diesem Leitfaden.
Wenn Sie Billing mit einer älteren API-Version als der vom 04.03.2019 verwenden
Sie müssen entweder ein Upgrade auf die Version vom 14.03.2019 oder auf eine aktuellere Version der API durchführen oder den in diesem Leitfaden beschriebenen Parameter payment_behavior
verwenden. So können Sie sicherstellen, dass die ersten Zahlungen für die Abonnements Ihrer Kundschaft authentifiziert werden.
Wenn Sie Stripe über die Integration eines Drittanbieters bzw. die Plattform eines Drittanbieters verwenden, müssen Sie sich unmittelbar bei diesem über dessen Bereitschaft informieren.
Mit Kundinnen und Kunden kommunizieren
Bereiten Sie sich auf Fragen Ihrer Kundschaft zum Thema 3DS vor. Bei Bedarf sollten Sie auch sicherstellen, dass alle erforderlichen Support-Inhalte für Ihre Kundinnen und Kunden die 3DS-Anforderungen beschreiben.
Radar und Radar for Fraud Teams verwenden
Mit Stripe Radar können Sie Betrugsfälle verhindern, indem die Zahlungsdaten von über einer Million Unternehmen weltweit analysiert und betrügerische Zahlungen erkannt und blockiert werden. Radar nimmt Risikobewertungen mithilfe von maschinellem Lernen vor. Als Bewertungsgrundlage dienen mehrere Hundert Faktoren, darunter Kartentyp, Nutzungsland, Gerät und Verhalten. Stripe bietet drei Standardregeln für Radar an, mit denen 3DS dynamisch angefordert wird. Durch Festlegung dieser Regeln im Dashboard kann eine zusätzliche Authentifizierung von Kundinnen und Kunden angefordert werden, wenn deren Kartenaussteller 3DS verlangt.
Mit Radar for Fraud Teams, das individuelle Regeleinstellungen ermöglicht, können Unternehmen ihre eigenen, individuellen Einstellungen zum Risikomanagement für 3DS festlegen. 3DS-Anfragen lassen sich anhand von Risikostufen oder spezifischen Metadaten stellen. So wird ein übermäßiges Blockieren rechtmäßiger Zahlungen verhindert, der Anteil abgelehnter Zahlungen reduziert und der Umsatz maximiert.
Mithilfe von Radar können Verluste bei der Konversion verringert und gleichzeitig risikobasierte Maßnahmen zur Betrugsbekämpfung ermöglicht werden. Darüber hinaus kann Radar zur Durchführung der erforderlichen Risikoanalyse für kundenseitig initiierte Zahlungen mit gespeicherten Karten verwendet werden.
FAQ
Sind persönliche Kreditkartentransaktionen ausgenommen?
Transaktionen, bei denen persönlich mit einer physischen Karte gezahlt wird, sind von dieser Maßnahme nicht betroffen.
Händler in Japan müssen gemäß dem „Installment Sales Act“ Sicherheitsmaßnahmen ergreifen. Aber werden sie auch bestraft, wenn sie diese Anforderungen nicht erfüllen?
Es wird zwar keine Geldstrafe verhängt, aber es kann eine Untersuchung des Händlers über Stripe oder den Acquirer beantragt werden. Dabei kann der Händler angewiesen werden, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, falls er keine geeigneten Schritte unternommen hat, um eine betrügerische Nutzung zu verhindern und Kreditkartennummern zu schützen. Ergreift der Händler die Sicherheitsmaßnahmen trotz dieser Anweisung nicht, kann die Person als Händler ausgeschlossen werden.
Fallen für die Verwendung von 3DS Gebühren an?
In den meisten Fällen fallen für die Verwendung von 3DS keine zusätzlichen Gebühren an. Wenn Sie für Ihr Konto jedoch einen individuellen Preisplan nutzen, können ggf. Gebühren für die einzelnen 3DS-Versuche anfallen.
Was ist, wenn ich Stripe über eine Drittanbieterintegration nutze?
Wenn Sie Stripe über eine Integration oder ein Plugin eines Drittanbieters nutzen, müssen Sie gegebenenfalls noch Änderungen vornehmen, um den neuen 3DS-Anforderungen zu entsprechen. Die einzelnen Schritte hängen von der Implementierung Ihres Drittanbieters ab. Wir empfehlen Ihnen, sich schnellstmöglich von Ihrem Drittanbieter oder Plugin-Anbieter bestätigen zu lassen, dass die Vorbereitungen für die entsprechenden Vorschriften getroffen werden. Gleichzeitig sollten Sie sich darüber informieren, welche Aktualisierungen auf Ihrer Seite ggf. vorgenommen werden müssen.
Wie kann ich testen, ob 3DS ordnungsgemäß funktioniert?
Sie können einen Test-API-Schlüssel zusammen mit Testkarten verwenden, um Testtransaktionen zu erstellen. Durch die Verwendung von Testkarten, die eine Authentifizierung erfordern, können Sie die 3DS-Authentifizierung validieren.
Ist dies auch dann verpflichtend, wenn ich Zahlungen von Kundinnen und Kunden außerhalb Japans akzeptiere?
Für Konten in Japan müssen Sie die neuen 3DS-Anforderungen für inländische und internationale Karten erfüllen. Konten außerhalb Japans unterliegen dieser Anforderung nicht.
Wie kann ich 3DS manuell auslösen?
Auch wenn es Ausnahmen für 3DS gibt, kann es wünschenswert sein, eine Haftungsverlagerung herbeizuführen, indem 3DS bei Betrugsverdacht manuell ausgelöst wird. Verwenden Sie dazu die Radar-Regeln im Dashboard oder die API.
- Stripe bietet Standard-Radar-Regeln, und Sie können nutzerdefinierte 3DS-Regeln mit Radar for Teams hinzufügen.
- Bei Verwendung der API können Sie beim Erstellen oder Bestätigen eines PaymentIntent oder SetupIntent oder beim Erstellen einer Checkout-Sitzung payment_method_options[Karte][request_three_d_secure] je nach Ihrem Optimierungsziel auf „Beliebig“ oder „Anfechten“ setzen, um 3DS manuell auszulösen.
Wird die Authentifizierung im abfragebasierten oder im „reibungslosen“ Ablauf stattfinden?
Letztendlich wird dies durch die Risikobewertung des Kartenausstellers bestimmt.
- Der abfragebasierte Ablauf ist eine zusätzliche Authentifizierung, die durchgeführt wird, wenn die Transaktion als risikoreich eingestuft wird. Normalerweise wird ein Einmalpasswort per E-Mail vom Kartenaussteller an den/die Karteninhaber/in gesendet, der/die das Passwort dann auf dem Zahlungsbildschirm eingibt.
- Wenn der Kartenaussteller die Transaktion als risikoarm einstuft, kann er auf eine zusätzliche Authentifizierung verzichten, was als „reibungsloser“ Ablauf bezeichnet wird.
Beide Szenarien führen zu einer Haftungsverlagerung. Wenn Sie den abfragebasierten Ablauf in der Payment Intents API angeben möchten, setzen Sie „request_three_d_secure“ auf „Abfrage“.
Was muss ich tun, wenn ich im Voraus Kartendaten von Kundinnen und Kunden erfassen und diese später in Rechnung stellen möchte?
Wenn Ihre Geschäftsabläufe das Speichern von Karten im Voraus umfassen, müssen Sie überprüfen, ob der Kunde/die Kundin, der/die sich anmeldet, tatsächlich der/die Kontoinhaber/in ist. Sie müssen eine strenge Kontoverwaltung und Maßnahmen gegen nicht autorisierte Anmeldungen umsetzen.
Sie können dies mithilfe der Setup Intents API umsetzen, wobei Stripe 3DS unter den folgenden Bedingungen automatisch auslöst, oder den Einrichtungsmodus in Checkout verwenden, um 3DS standardmäßig während der Kartenregistrierung auszulösen.
- Nutzung: off_session (Standard)
- Nutzung: on_session & payment_method_options.card.request_three_d_secure: beliebig
Wenn die 3DS-Authentifizierung während der Kartenregistrierung abgeschlossen wurde, ist sie für nachfolgende Transaktionen ausgenommen. Sie sollten jedoch bei jeder Transaktion das Betrugsrisiko auf der Grundlage des Transaktionsbetrags, der Waren/Dienstleistungen, der Attribute und der Verhaltensanalyse bewerten und, falls erforderlich, die 3DS-Authentifizierung erneut durchführen. Verwenden Sie in solchen Fällen erneut SetupIntent.
Was sollte ich tun, wenn mein Geschäftsmodell einmalige Zahlungen von Kundinnen und Kunden vorsieht?
Bitte überprüfen Sie zunächst, ob Ihr bestehender Zahlungsablauf mit 3DS-Testkarten ordnungsgemäß funktioniert.
Checkout / Payment Links |
Keine Änderung erforderlich |
Payment Intents API |
Stellen Sie sicher, dass Sie Zahlungen im Status „requires_action“ verarbeiten können. |
Invoicing |
Keine Änderung erforderlich |
Charges API |
Migration zur Payment Intents API ist erforderlich |
Dashboard |
Es wird empfohlen, ohne Code zu bezahlen oder eine Rechnung zu erstellen. |
Auch wenn keine grundlegenden zusätzlichen Arbeiten erforderlich sind, ist es ratsam, zu überprüfen, ob Ihr System 3DS verarbeitet.
Was muss ich tun, wenn ich Abonnements annehme?
Bitte überprüfen Sie zunächst, ob Ihr bestehender Zahlungsablauf mit 3DS-Testkarten ordnungsgemäß funktioniert.
- Wenn Sie 3DS beim Eingeben von Kartendaten auslösen möchten, lesen Sie bitte den Abschnitt „Was muss ich tun, wenn ich im Voraus Kartendaten von Kundinnen und Kunden erfassen und diese später in Rechnung stellen möchte?“
- Wenn Sie 3DS nicht beim Eingeben der Kartendaten auslösen, sondern bei der ersten Zahlung auslösen möchten, geben Sie die Verwendung als on_session an.
Wenn Sie die Subscriptions API verwenden und nach der Karteneingabe nicht manuell ein SetupIntent-Objekt erstellen, wird eines für Sie erstellt, wenn 3DS erforderlich ist. Sie müssen dies auf Ihrer Frontend-Seite durchführen, damit Ihr/e Nutzer/in die 3DS-Authentifizierung abschließen kann.
Bei wiederkehrenden Zahlungen kann die 3DS-Authentifizierung, wenn sie zum Zeitpunkt der Kartenregistrierung oder der ersten Zahlung abgeschlossen wurde, für nachfolgende Zahlungen entfallen, und Sie müssen keine 3DS-Authentifizierung durchführen. Wenn es jedoch zu Kundeninteraktionen im Zusammenhang mit Vertragsänderungen oder zusätzlichen Käufen kommt, müssen Sie die 3DS-Authentifizierung erneut durchführen.