Letzte Aktualisierung: 29. Oktober 2024
Am 15. März 2024 wurde eine Reihe von Branchenrichtlinien zu Sicherheitsmaßnahmen für Unternehmen, die Kartenzahlungen in Japan abwickeln, die sogenannten „Sicherheitsrichtlinien für Kreditkarten“, überarbeitet (Credit Card Security Guidelines Version 5.0).
Gemäß den Sicherheitsrichtlinien für Kreditkarten müssen Händler/innen, die Online-Verkäufe tätigen (Stripe-Nutzer/innen), zur Bekämpfung von Betrug bis Ende März 2025 3D Secure aktivieren.
3D Secure (3DS) ist ein Sicherheitsverfahren, das eine zusätzliche Authentifizierungsebene für Kreditkartenzahlungen bietet und Unternehmen vor Haftungsansprüchen bei betrügerischen Kartenzahlungen schützt.
Ab dem 31. März 2025 erfordert Stripe 3DS für alle entsprechenden Zahlungen. In einzelnen Fällen können Sie entscheiden, ob Sie 3DS verwenden wollen oder nicht.
Ab Januar 2025 fordert Stripe zunächst 3DS für einen kleinen Prozentsatz der Zahlungen und erhöht diesen Prozentsatz bis zum 31. März 2025 schrittweise auf 100 % der Zahlungen (mit Ausnahme von Zahlungen, die von den 3DS-Anforderungen ausgenommen sind). Sie müssen bis Ende 2024 alle erforderlichen Änderungen an Ihrer Stripe-Integration durchführen, um das Fehlschlagen von Zahlungen zu vermeiden.
Wenn die Vorbereitungen für die Verwendung von 3DS länger als bis Dezember 2024 dauern, können Sie beantragen, von der Frist im Januar ausgenommen zu werden. Allerdings erfordert Stripe dennoch ab dem 1. April 2025 3DS für alle entsprechenden Zahlungen.
Ab April 2025 erfordern Kreditkartenzahlungen über ältere APIs, die 3DS nicht unterstützen (Charges API und Orders API), 3DS und schlagen daher fehl. Nach dem 30. Juni 2025 schlagen alle Kreditkartenzahlungen über diese APIs fehl.
Es gibt Fälle, in denen Sie entscheiden können, ob Sie 3DS verwenden wollen oder nicht. Wenn Zahlungen ohne 3DS im Rahmen einer Ausnahmeregelung durchgeführt werden, entfällt die Haftungsverlagerung für betrügerische Zahlungen. Weitere Informationen zur Implementierung von 3DS-Ausnahmen durch Stripe finden Sie in unserer Dokumentation.
Wenn Sie Stripe bereits verwenden, müssen Sie gegebenenfalls Ihre Integration überprüfen, um die Unterstützung von 3DS sicherzustellen.
Wir empfehlen die Verwendung der Testkartennummern von Stripe, um zu prüfen, ob Ihre Integration auch mit 3DS kompatibel ist. Mehr über die Tests erfahren Sie in unserer Dokumentation.
Weder die Charges API noch die Orders API unterstützen 3D Secure 2. Wenn Ihr Konto diese veralteten APIs verwendet, schlagen Kreditkartenzahlungen folglich fehl. Zur Vermeidung von fehlgeschlagenen Zahlungen empfehlen wir Ihnen dringend, schnellstmöglich zur Payment Intents API zu migrieren.
Sie müssen sicherstellen, dass Ihre Integration den Status requires_action verarbeiten kann, um Ihre Kundinnen und Kunden zur Authentifizierung ihrer Zahlungen auffordern zu können. Gegebenenfalls müssen Sie Ihre Integration aktualisieren, um Kartenauthentifizierungen abzuwickeln.
Auch wenn Sie Zahlungen auf dem Server finalisieren, müssen Sie für die Anzeige des Ablaufs der 3DS-Authentifizierung auf dem Client zusätzliche Schritte durchführen. Mehr Informationen finden Sie in diesem Leitfaden.
Sie müssen entweder ein Upgrade auf die Version vom 14.03.2019 oder eine aktuellere Version der API durchführen oder den in diesem Leitfaden beschriebenen Parameter payment_behavior verwenden. So können Sie sicherstellen, dass die ersten Zahlungen für die Abonnements Ihrer Kundschaft authentifiziert werden.
Wenn Sie Stripe über die Integration eines Drittanbieters bzw. die Plattform eines Drittanbieters verwenden, müssen Sie sich unmittelbar bei diesem über dessen Bereitschaft informieren.
Bereiten Sie sich auf Fragen Ihrer Kundschaft zum Thema 3DS vor. Bei Bedarf sollten Sie auch sicherstellen, dass alle erforderlichen Support-Inhalte für Ihre Kundinnen und Kunden die 3DS-Anforderungen beschreiben.
Mit Stripe Radar können Sie Betrugsfälle verhindern, indem die Zahlungsdaten von über einer Million Unternehmen weltweit analysiert und betrügerische Zahlungen erkannt und blockiert werden. Radar nimmt Risikobewertungen mithilfe von maschinellem Lernen vor. Als Bewertungsgrundlage dienen mehrere Hundert Faktoren, darunter Kartentyp, Nutzungsland, Gerät und Verhalten. Stripe bietet drei Standardregeln für Radar an, mit denen 3DS dynamisch angefordert wird. Durch Festlegung dieser Regeln im Dashboard kann eine zusätzliche Authentifizierung von Kundinnen und Kunden angefordert werden, wenn deren Kartenaussteller 3DS verlangt.
Mit Radar for Fraud Teams, das individuelle Regeleinstellungen ermöglicht, können Unternehmen ihre eigenen, individuellen Einstellungen zum Risikomanagement für 3DS festlegen. 3DS-Anfragen lassen sich anhand von Risikostufen oder spezifischen Metadaten stellen. So wird ein übermäßiges Blockieren rechtmäßiger Zahlungen verhindert, der Anteil abgelehnter Zahlungen reduziert und der Umsatz maximiert.
Mithilfe von Radar können Verluste bei der Konversion verringert und gleichzeitig risikobasierte Maßnahmen zur Betrugsbekämpfung ermöglicht werden. Darüber hinaus kann Radar zur Durchführung der erforderlichen Risikoanalyse für kundenseitig initiierte Zahlungen mit gespeicherten Karten verwendet werden.
Transaktionen, bei denen persönlich mit einer physischen Karte gezahlt wird, sind von dieser Maßnahme nicht betroffen.
Es wird zwar keine Geldstrafe verhängt, aber es kann eine Untersuchung des Händlers über Stripe oder den Acquirer beantragt werden. Dabei kann der Händler angewiesen werden, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, falls er keine geeigneten Schritte unternommen hat, um eine betrügerische Nutzung zu verhindern und Kreditkartennummern zu schützen. Ergreift der Händler die Sicherheitsmaßnahmen trotz dieser Anweisung nicht, kann die Person als Händler ausgeschlossen werden.
In den meisten Fällen fallen für die Verwendung von 3DS keine zusätzlichen Gebühren an. Wenn Sie für Ihr Konto jedoch einen individuellen Preisplan nutzen, können ggf. Gebühren für die einzelnen 3DS-Versuche anfallen.
Wenn Sie Stripe über eine Integration oder ein Plugin eines Drittanbieters nutzen, müssen Sie gegebenenfalls noch Änderungen vornehmen, um den neuen 3DS-Anforderungen zu entsprechen. Die einzelnen Schritte hängen von der Implementierung Ihres Drittanbieters ab. Wir empfehlen Ihnen, sich schnellstmöglich von Ihrem Drittanbieter oder Plugin-Anbieter bestätigen zu lassen, dass die Vorbereitungen für die entsprechenden Vorschriften getroffen werden. Gleichzeitig sollten Sie sich darüber informieren, welche Aktualisierungen auf Ihrer Seite ggf. vorgenommen werden müssen.