Bereitschaft für die starke Kundenauthentifizierung

Die starke Kundenauthentifizierung (SCA), eine Vorschrift, die seit dem 14. September 2019 als Teil der PSD2-Verordnung in Europa in Kraft ist, erfordert Änderungen an der Authentifizierung von Online-Zahlungen durch Ihre europäischen Kundinnen und Kunden. Bei Kartenzahlungen müssen Sie 3D Secure verwenden, um die Anforderungen der starken Kundenauthentifizierung zu erfüllen. Die Banken Ihrer Kundinnen und Kunden können Transaktionen ablehnen, die den neuen Authentifizierungsrichtlinien nicht entsprechen.

Zur Unterstützung der starken Kundenauthentifizierung (SCA):

1. Bestimmen Sie, ob die starke Kundenauthentifizierung (SCA) Auswirkungen auf Ihr Unternehmen hat.
2. Wählen Sie das für Ihr Unternehmen geeignete Produkt, das die starke Kundenauthentifizierung unterstützt, aus.
3. Nehmen Sie jetzt Änderungen vornehmen, um abgelehnte Zahlungen zu vermeiden.

Wenn Sie ein Plugin, eine Plattform eines Drittanbieters oder einen Erweiterungspartner verwenden, wenden Sie sich bitte an Ihren Stripe-Partner, um zu erfahren, ob Änderungen erforderlich sind, um die starke Kundenauthentifizierung (SCA) zu unterstützen. Bei Fragen kontaktieren Sie den Support.

Betroffene Unternehmen und Zahlungen

Aktualisieren Sie Ihre Stripe-Integration zur Unterstützung der starken Kundenauthentifizierung (SCA), wenn alle folgenden Punkte zutreffen:

• Ihr Unternehmen ist im Europäischen Wirtschaftsraum angesiedelt oder Sie erstellen Zahlungen im Namen verbundener Konten, die im EWR niedergelassen sind.
• Sie haben Kundinnen und Kunden im EWR.
• Sie akzeptieren Karten (Kredit- oder Debitkarten).

Zwar erfordern einige Transaktionen mit geringem Risiko (basierend auf der Höhe der Betrugsraten des Zahlungsdienstleisters oder der Bank) keine Authentifizierung, dennoch können Banken von der Kundin oder vom Kunden eine vollständige Authentifizierung verlangen. Auch wenn Sie hauptsächlich Transaktionen mit geringem Risiko abwickeln, sollten Sie Ihre Integration aktualisieren, damit Ihre Kundinnen und Kunden die Authentifizierung durchführen können, wenn die Bank dies verlangt. Informieren Sie sich über SCA-Ausnahmen.

SCA-fähige Produkte und APIs

Unabhängig davon, ob Sie einmalige Zahlungen erhalten oder Karten zur späteren Wiederverwendung speichern, Stripe bietet vorgefertigte und anpassbare Produkte, mit denen Sie die SCA-Anforderungen erfüllen können.

Bei Integrationen, die die starke Kundenauthentifizierung nicht unterstützen, zum Beispiel diejenigen, die die ältere Charges API verwenden, kann es zu hohen Ablehnungsquoten von Banken kommen, die die starke Kundenauthentifizierung durchsetzen.

Einmalige Zahlungen

Akzeptieren Sie Kartenzahlungen mit der Payment Intents API und mit Checkout, einem vorgefertigten, von Stripe gehosteten Bezahlvorgang, bei dem die Anforderungen der starken Kundenauthentifizierung automatisch berücksichtigt werden. Checkout lässt sich flexibel anpassen und bietet Ihnen die Möglichkeit, Zahlungen für einmalige Käufe und für Abonnements auf Ihrer Website anzunehmen.

• Migration zur Payment Intents API
• Vorgefertigte Bezahlseite verwenden
• Nutzerdefinierten Zahlungsablauf erstellen

Karten wiederverwenden

Speichern Sie eine Karte zur späteren Wiederverwendung mit der Payment Intents API und der Setup Intents API. Sie können auch Checkout verwenden, um die SCA-Anforderungen automatisch zu berücksichtigen oder Sie können Billingverwenden, um SCA für Abonnements miteinzubeziehen.

• Vorgefertigte Bezahlseite verwenden
• Nutzerdefinierten Ablauf erstellen, um Kartenangaben zu speichern

SCA-Migration

Möglicherweise müssen Sie Ihre Integration aktualisieren, um die starke Kundenauthentifizierung (SCA) zu unterstützen. Ausführliche Informationen zu den erforderlichen Änderungen, einschließlich spezifischer Produktempfehlungen basierend auf Use Cases, finden Sie in den folgenden Leitfäden:

• Migration zur Payment Intents API
• Zahlungsabläufe mit starker Kundenauthentifizierung (SCA)

Plugins und Entwicklerbibliotheken aktualisieren

Möglicherweise müssen Sie Ihr Stripe-Plugin oder Ihre Entwicklerbibliothek aktualisieren, um SCA zu unterstützen. Wenn Sie nach einem die starke Kundenauthentifizierung unterstützenden Plugin suchen, besuchen Sie Stripe Partners.

Plugin auf unserer Plattform identifizieren

Fügen Sie bitte Identifizierungsinformationen in Ihre Plugins und Bibliotheken von Drittanbietern ein, damit wir Sie über zukünftige Änderungen oder wichtige Updates der API informieren können. Verwenden Sie die Funktion setAppInfo function, um diese Details in Ihrer Stripe-Integration anzugeben.

Wir empfehlen Ihnen die Teilnahme am Stripe-Partnerprogramm, für das Sie sich kostenlos registrieren können und das Ihnen weitere Entwicklerressourcen zur Erstellung von Plugins bietet. Erfahren Sie mehr über empfohlene Best Practices.

Integrationspfad bestimmen

Das sollten Sie dabei berücksichtigen:

• Verwenden Sie Stripe Checkout, um Zahlungen über ein anpassbares Formular einzuziehen. Sie können das Zahlungsformular in Ihre Website einbetten oder es auf Stripe hosten.
• Um mehr Kontrolle über Ihren Bezahlvorgang zu erhalten, nutzen Sie die Payment Intents API und die Setup Intents API mit Elements, PaymentMethods, Kunden/Kundinnen und Connect. Diese APIs zeigen Authentifizierungsabläufe wie 3DS 2 an, speichern Karten für die spätere Verwendung und unterstützen die starke Kundenauthentifizierung (SCA).
• Für wiederkehrende Zahlungen nutzen Sie Stripe Billing, um Abonnements und Rechnungsstellung zu verwalten.
• Registrieren Sie einen Webhook-Endpoint für Ihr Konto oder verbundene Konten und verwalten Sie diese mit der Webhooks-API.

Wenn keine dieser Optionen für Ihre Integration funktioniert, kontaktieren Sie uns.

Dynamische Authentifizierung testen

Nachdem Sie Ihren Integrationspfad implementiert haben, konfigurieren Sie Ihre Dynamic 3D Secure Radar-Regeln, um Ihre Integration mit 3D Secure-Testkarten zu überprüfen. Stellen Sie sicher, dass Sie sowohl erfolgreiche als auch erfolglose Authentifizierungsfälle testen.

Ihre Kunden/Kundinnen und Stripe benachrichtigen

Sobald Sie die Aktualisierung abgeschlossen haben, stellen Sie Ihren Kunden/Kundinnen eine die starke Kundenauthentifizierung unterstützende Aktualisierung zur Verfügung. Sie können den Leitfaden zur starken Kundenauthentifizierung an Ihre Kundinnen und Kunden weitergeben, um ihnen zu helfen, diese regulatorischen Änderungen zu verstehen. Wenn Sie eine die starke Kundenauthentifizierung (SCA) unterstützende Aktualisierung veröffentlichen, informieren Sie bitte auch Stripe. Auf der Seite Stripe Partners verweisen wir Nutzer/innen auf Lösungen, die eine starke Kundenauthentifizierung (SCA) unterstützen.

Frühere Autorisierungsvereinbarungen verwenden

Wenn Sie Zahlungen einziehen, während Ihre Kundin oder Ihr Kunde Ihre Anwendung nicht aktiv nutzt, kann es sein, dass Ihre Kundin oder Ihr Kunde sich gemäß der starken Kundenauthentifizierung erneut authentifizieren muss, auch wenn er sich bereits in der Vergangenheit authentifiziert hat. Für diese Off-Session-Zahlungen können Sie die Stripe-APIs verwenden, um Ihre Kundin oder Ihren Kunden einmalig während On-Session zu authentifizieren und die Karte dann wiederholt Off-Session wiederzuverwenden.

Alternativ können Sie frühere Autorisierungsvereinbarungen (mitunter auch als „Grandfathering“ bezeichnet) für Zahlungen außerhalb der Sitzung verwenden, welche die folgenden Anspruchsvoraussetzungen erfüllen, unabhängig von Zahlungsbetrag und -häufigkeit:

• Es sind Karten von EU-Kund/innen, die vor dem 31. Dezember 2020 gespeichert wurden.
• Es sind Karten von britischen Kund/innen, die vor dem 14. September 2021 gespeichert wurden.

Stripe sucht automatisch nach Transaktionen, die vor den oben genannten Daten mit Karten getätigt wurden. Wenn solche Transaktionen gefunden werden, verwendet Stripe die vorherige Autorisierungsvereinbarung für die aktuelle Transaktion. Wenn die Bank die vorherige Autorisierungsvereinbarung akzeptiert, wird die Transaktion als außerhalb des Geltungsbereichs der starken Kundenauthentifizierung (SCA) eingestuft und kann ohne zusätzliche Authentifizierung fortgesetzt werden.

Sollte die Bank die vorherige Autorisierungsvereinbarung ablehnen, ändert sich der Status von PaymentIntent in requires_payment_method und Sie müssen Ihren Kundinnen und Kunden darüber informieren, dass die Zahlung abgeschlossen werden muss.

Karten nach Ablauf der Umsetzungsfrist speichern

Nach Inkrafttreten der starken Kundenauthentifizierung (SCA) können Sie die Payment Intents API zum Speichern und Wiederverwenden von Karten sowie die Setup Intents API zur Qualifizierung für Off-Session-Ausnahmen verwenden. Sie können Karten auch mit Stripe Checkout speichern.

Ihre gespeicherten Karten für die starke Kundenauthentifizierung (SCA) vorbereiten

Damit Stripe frühere Autorisierungsvereinbarungen wiederverwenden kann, müssen Sie die Payment Intents API verwenden und Stripe mitteilen, dass es sich um eine Off-Session-Zahlung handelt.

Umsetzung der starken Kundenauthentifizierung (SCA)

Bereiten Sie Ihre Zahlungsabläufe so bald wie möglich auf die Unterstützung der starken Kundenauthentifizierung (SCA) vor, falls die SCA-Vorgaben für Sie relevant sind. Dies kann dazu beitragen, eine Zunahme von Ablehnungen durch europäische Karten zu verhindern und Sie auf eine frühzeitige Durchsetzung durch Banken vorzubereiten. Informieren Sie sich darüber, wie sich die Durchsetzung von Land zu Land unterscheidet.

Stellen Sie sicher, dass Ihre Integration die starke Kundenauthentifizierung unterstützt

Ihre Integration unterstützt die starke Kundenauthentifizierung, wenn Sie alle Ihre Zahlungen mit die starke Kundenauthentifizierung unterstützenden Produkten wie Checkout, Billing, der Payment Intents API oder einer die starke Kundenauthentifizierung unterstützenden Partnerlösung abwickeln.

Führen Sie zusätzlich folgende Schritte aus:

• Testen Sie die 3DS-Authentifizierung mit unseren regulären Testkarten, um sicherzustellen, dass Ihre Integration 3DS verarbeiten kann.
• Für Off-Session-Zahlungen richten Sie die Karte beim Speichern der Zahlungsmethode ein und authentifizieren Sie diese. Verwenden Sie anschließend die API, um Off-Session-Zahlungen zu kennzeichnen.
• Wenn Sie die Billing-API für Abonnements oder Rechnungen verwenden, stellen Sie bitte sicher, dass Ihre Integration mit unvollständigen Status umgehen kann.

Unvollständige, abgelehnte oder fehlgeschlagene Zahlungen verstehen

Zahlungen können aus verschiedenen Gründen fehlschlagen, beispielsweise aufgrund unvollständiger, abgelehnter oder fehlgeschlagener Zahlungen. Bei Zahlungen, die sich im (API)-Status incomplete (Dashboard) oder requires_action hängen bleiben, gehen Sie bitte wie folgt vor:

• Stellen Sie sicher, dass Ihre Kundin oder Ihr Kunde nicht gerade eine On-Session-Zahlung authentifiziert. Möglicherweise hat sie bzw. er auch den Bezahlvorgang abgebrochen.
• Stellen Sie sicher dass Sie die nächsten Schritte durchführen, wie beispielsweise die Authentifizierung.
• Setzen Sie off_session auf true wenn Sie eine Off-Session-Zahlung erstellen.

Banken können Zahlungen ablehnen, die eine 3DS-Authentifizierung erfordern, jedoch nicht 3DS-fähig sind.

Sollte eine Off-Session-Zahlung fehlschlagen, Sie jedoch der Ansicht sind, dass diese von den SCA-Anforderungen ausgenommen ist, gehen Sie bitte wie folgt vor:

• Stellen Sie bitte sicher, dass Sie die Karte beim Speichern der Angaben zur Zahlungsmethode authentifizieren, entweder während einer Zahlung oder ohne Zahlung.
• Wenn Sie Karten während einer Zahlung speichern, setzen Sie setup_future_usage auf off_session.
• Wenn Sie Karten ohne Zahlung speichern möchten, verwenden Sie bitte die Setup Intents API und setzen Sie usage auf off_session.

Ausnahmen können nicht garantiert werden und Off-Session-Zahlungen erfordern möglicherweise weiterhin eine Authentifizierung durch die Bank.

Abgelehnte Zahlungen anzeigen

1. Gehen Sie im Dashboard auf Transaktionen > Payments.

2. Führen Sie in der Dropdown-Liste Filtern nach: Status eine der folgenden Aktionen durch:

   • Wählen Sie Fehlgeschlagen, um abgelehnte On-Session-Zahlungen anzuzeigen.
   • Wählen Sie Unvollständig, um abgelehnte On-Session-Zahlungen anzuzeigen.

3. Klicken Sie auf Anwenden.

4. Bewegen Sie den Mauszeiger über das Status-Badge, um den Grund anzuzeigen.

Angefochtene Zahlungen überwachen

Beachten Sie bei der Überwachung von Zahlungsanfechtungen, dass über 3DS authentifizierte Zahlungen der Haftungsverlagerungsregel unterliegen. Wenn Karteninhaber/innen 3DS Secure-Zahlungen als betrügerisch anfechten, wird die Haftung in der Regel von Ihnen auf den Kartenaussteller verlagert. Wendet der Kartenaussteller Ausnahmen an, wird die Zahlung nicht über 3D Secure authentifiziert. In diesem Fall greift die Haftungsverlagerung nicht.

Erlaubnis zur Wiederverwendung von Kartendaten erwirken

Wenn Sie Ihren Zahlungsablauf so einrichten, dass eine Karte mithilfe der Payment Intents API oder der Setup Intents API gespeichert wird, kennzeichnet Stripe nachfolgende Zahlungen außerhalb der Sitzung als vom Händler initiierte Transaktion (MIT). Diese Transaktionen erfordern eine Vereinbarung (auch als Mandat bezeichnet) zwischen Ihnen und Ihren Kundinnen und Kunden.

Stellen Sie auf Ihrer Website oder in Ihrer Anwendung mindestens folgende Informationen bereit:

• Die Zustimmung der/s Kund/in zur Einleitung einer Zahlung in ihrem/seinem Namen
• Die erwartete Häufigkeit von Zahlungen (einmalig oder wiederkehrend)
• Wie Sie den Zahlbetrag ermitteln

Verweisen Sie in Ihrem Bezahlvorgang auf die Zahlungsbedingungen: