Am 14. März 2023 trat eine Reihe von überarbeiteten Branchenrichtlinien zu Sicherheitsmaßnahmen für Unternehmen, die Kartentransaktionen durchführen, in Kraft. Diese Richtlinien sind unter der Bezeichnung „Credit Card Security Guidelines“ zusammengefasst (Credit Card Security Guidelines Version 4.0, im Folgenden als „Credit Card Security Guidelines“ bezeichnet). In der Folge wurde am 14. November 2023 ein Dokument mit dem Titel „Deployment Roadmap for EMV 3-D Secure for Merchants“ („Roadmap“) veröffentlicht, das die Credit Card Security Guidelines ergänzt.
3D Secure bietet eine zusätzliche Authentifizierungsebene für Kreditkartentransaktionen und schützt Unternehmen vor Haftungsansprüchen bei betrügerischen Kartenzahlungen.
Laut Credit Card Security Guidelines und Roadmap müssen japanische Händler, die Online-Verkäufe tätigen (Stripe-Nutzer/innen), 3D Secure 2 bis spätestens Ende März 2025 zur Betrugsbekämpfung aktivieren.
Nach dem Ratenzahlungsgesetz sind Händler verpflichtet, bestimmte Sicherheitsmaßnahmen zu ergreifen, und sie müssen bis Ende März 2025 Maßnahmen in Einklang mit den Card Security Guidelines und der Roadmap getroffen haben.
Händler sind verpflichtet, die Implementierung von 3D Secure 2 gemäß den Credit Card Security Guidelines und der Roadmap in dieser Reihenfolge durchzuführen:
Stufe |
Betroffene Händler |
Erwartung |
Stufe 1 |
Händler, bei denen die bestätigten betrügerischen Transaktionen in drei aufeinanderfolgenden Monaten mehr als 500.000 JPY pro Monat umfassen („Betrugsgefährdete Händler“) |
Sofort mit der Implementierung von 3D Secure 2 beginnen |
Stufe 2 |
Händler, die keine „betrugsgefährdeten Händler“ sind, jedoch in den letzten zwei Jahren mindestens fünf bestätigte betrügerische Transaktionen oder aber bestätigte betrügerische Transaktionen im Umfang von mindestens 100.000 JPY festgestellt haben. |
Die Implementierung von 3D Secure 2 planen und zügig durchführen |
Stufe 3 |
Händler, die digitale Inhalte, Elektronik, E-Geld oder gespeicherte Werte verkaufen oder Websites zum Ticketverkauf oder zur Buchung von Unterkünften betreiben |
Die Implementierung von 3D Secure 2 planen und zügig durchführen |
Stufe 4 |
Andere Händler |
Die Implementierung von 3D Secure 2 planen und zügig durchführen |
Wenn Sie Stripe bereits nutzen, müssen Sie eventuell Ihre Integration dahingehend überprüfen, ob 3D Secure 2 unterstützt wird.
Wenn Sie mit der Charges API arbeiten
Die Charges API unterstützt 3D Secure 2 nicht. Daher werden bei Nutzung der Charges API alle über diese API durchgeführten Zahlungen fehlschlagen, die eine Authentifizierung durch den Kartenaussteller erfordern. Damit nicht immer mehr Zahlungen über Ihr Konto abgelehnt werden, sollten Sie unbedingt so bald wie möglich auf die Payment Intents API umstellen.
Wenn Sie mit der Payment Intents API arbeiten
Damit nicht immer mehr Zahlungen über Ihr Konto abgelehnt werden, müssen Sie dafür sorgen, dass Ihre Integration den Status `requires_action` verarbeiten kann, damit Ihre Kundschaft zur Authentifizierung ihrer Zahlungen aufgefordert wird. Wenn Sie zuvor die grundlegende Kartenintegration (Basisintegration) durchgeführt haben, müssen Sie Ihre Integration dahingehend aktualisieren, dass sie die Kartenauthentifizierung verarbeiten kann.
Am besten testen Sie Ihre Integration, um sicherzustellen, dass Sie 3D Secure 2 implementiert haben. In unserer Dokumentation zu Tests erfahren Sie mehr über die Durchführung von Integrationstests.
Stripe bietet die Betrugspräventionslösung Radar an, die mithilfe von maschinellem Lernen Zahlungsdaten von über einer Million Unternehmen weltweit analysiert und auf dieser Basis betrügerische Transaktionen erkennt sowie blockiert. Radar nimmt Risikobewertungen mithilfe von maschinellem Lernen vor. Als Bewertungsgrundlage dienen mehrere Hundert Faktoren, darunter Kartentyp, Nutzungsland, Gerät und Verhalten. Stripe bietet drei standardmäßige Radar-Regeln , über die 3D Secure 2 dynamisch angefordert wird. Durch Festlegung dieser Regeln im Dashboard kann eine zusätzliche Authentifizierung von Kundinnen und Kunden angefordert werden, wenn deren Kartenaussteller 3D Secure 2 verlangt.
Mit Radar for Fraud Teams, das individuelle Regeleinstellungen ermöglicht, können Unternehmen eigene Einstellungen zum Risikomanagement für 3D Secure 2 festlegen. 3D Secure 2-Anforderungen lassen sich anhand von Risikostufen oder spezifischen Metadaten stellen. So wird ein übermäßiges Blockieren rechtmäßiger Zahlungen verhindert, der Anteil abgelehnter Zahlungen bei Transaktionen reduziert und der Umsatz maximiert.
Der Einsatz von Radar kann dazu beitragen, dass den Unternehmen nicht mehr so viele Konversionen entgehen. Gleichzeitig ermöglicht Radar risikobasierte Maßnahmen zur Betrugsbekämpfung.
Von „Zahlungsdienstleistern“ wie Stripe und den Acquirern, mit denen wir zusammenarbeiten (SMCC, JCB, American Express usw.), wird erwartet, dass sie die Nutzer/innen bei der Implementierung von 3D Secure 2 unterstützen, die spätestens Ende März 2025 abgeschlossen sein soll. Zudem sind wir aufgefordert, „betrugsgefährdete Händler“ zur umgehenden Aktivierung von 3D Secure 2 zu veranlassen.
Stripe arbeitet auch in Zukunft mit seinen Partnern zusammen, damit wir unseren Nutzerinnen und Nutzern relevante Informationen und Unterstützung bieten können. Wir werden die Nutzer/innen benachrichtigen, wenn sie ihre Integrationen ändern müssen, und wir werden uns gegebenenfalls mit ihnen in Verbindung setzen, um die Implementierung von 3D Secure 2 zu unterstützen.
Die Maßnahme betrifft Transaktionen mit Kreditkarten internationaler Marken. In der Praxis wird von den Händlern erwartet, dass sie Prepaid-Karten, Debitkarten, Corporate Cards und im Ausland ausgestellte Karten genauso behandeln wie in Japan ausgestellte persönliche Kreditkarten. Bei Karten, deren Aussteller 3D Secure 2 nicht verarbeiten kann, wird davon ausgegangen, dass die angeforderte Transaktion ohne 3D Secure 2 genehmigt wird.
Transaktionen, bei denen persönlich mit einer physischen Karte gezahlt wird, sind von dieser Maßnahme nicht betroffen.
Es wird zwar keine Geldstrafe verhängt, aber die Aufsichtsbehörde kann Informationen anfordern und Prüfungen bei dem Händler vor Ort durchführen. Darüber hinaus kann der Aussteller über Stripe oder den Acquirer eine Untersuchung des Händlers beantragen. Dabei kann der Händler angewiesen werden, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, falls er keine geeigneten Schritte unternommen hat, um eine betrügerische Nutzung zu verhindern und Kreditkartennummern zu schützen. Ergreift der Händler die Sicherheitsmaßnahmen trotz dieser Anweisung nicht, kann die Person als Händler ausgeschlossen werden.
Ausnahmen und Kategorien von Transaktionen, für die diese Maßnahme nicht gelten soll, werden geprüft. Wir gehen davon aus, dass der entsprechende Branchenverband weitere Informationen veröffentlichen wird, sobald diese vorliegen.