Weiter zum Hauptinhalt

PSD2 & Starke Kundenauthentifizierung (SCA)

Was Hoteliers wissen müssen

Starke Kundenauthentifizierung

Am 14. September 2019 tritt im gesamten Europäischen Wirtschaftsraum eine neue europäische Zahlungsdienstrichtlinie (PSD2) in Kraft, die mit der Starken Kundenauthentifizierung (SCA) die Sicherheit bei Online-Zahlungen erhöhen soll. Falls Ihre Zahlungsmethoden die Sicherheitsstandards nicht rechtzeitig erfüllen, kann sich das auf Online-Zahlungen Ihrer Gäste auswirken.

Diese neue Vorschrift ist eine gute Sache und zielt darauf ab, Zahlungen sicherer und transparenter zu machen. Sie trägt zum Schutz von Hoteliers vor Verlusten aufgrund von Betrugsstreitigkeiten bei.

SiteMinder ist bereit für die SCA, wenn die Vorschrift in Kraft tritt. Wir verbessern weiterhin unsere Zahlungsplattform, um Ihnen den Umgang mit solchen Zahlungen noch einfacher zu machen.

Alles zu kompliziert? Wir erklären Ihnen die neue Richtlinie und inwiefern Ihr Unternehmen und Ihre Gäste davon betroffen sein werden.

PSD2-Richtlinie

Wozu dient die PSD2-Richtlinie?

Die PSD2-Zahlungsdienstrichtlinie wird eingeführt, um Zahlungen sicherer zu gestalten, Ihre Gäste zu schützen und faire Bedingungen für neue und bestehende Zahlungsanbieter zu schaffen. Zahlungsdienstleister wie Banken, Kreditkartenherausgeber und Anbieter von Technologien müssen daher eine Reihe von Änderungen an ihren bestehenden Verfahren vornehmen. Jeder, der Zahlungen tätigt oder erhält ist von der PSD2 betroffen, darunter auch Online-Reisevermittler (OTAs), Online-Buchungssysteme und Hotelverwaltungssysteme.


Was ist SCA?

Was ist SCA?

Zusammen mit der PSD2 wird auch die SCA eingeführt. Die sogenannte Starke Kundenauthentifizierung ist ein striktes Authentifizierungsverfahren zur Überprüfung von Online-Zahlungen, das angewandt wird, wenn sich sowohl der Kreditkartenherausgeber des Gastes als auch Ihre Bank (wo Sie die Beträge erhalten) im EWR befinden.

Um die Sicherheitsstandards der PSD2 zu erfüllen, benötigen Gäste zwei der folgenden Authentifizierungsmöglichkeiten (auch Zwei-Faktor-Authentifizierung, oder 2FA genannt), um sämtliche Online-Zahlungen zu bestätigen.

  • Etwas, das nur der Gast kennt, wie einen PIN-Code oder ein Passwort
  • Etwas, das nur der Gast besitzt, wie eine Karte oder ein Smartphone.
  • Biometrische Informationen zum Gast selbst, wie Gesichtserkennung, Fingerabdruck oder Iriserkennung.


ETWAS, WAS NUR
DER GAST KENNT

(z.B. Passwort oder PIN)

ETWAS, WAS NUR
DER GAST BESITZT

(z.B. Handy oder Karte)

BIOMETRISCHE INFORMATIONEN

(z.B. Fingerabdruck oder Gesichtserkennung)



3D Secure ist ein häufig verwendeter Begriff rund um das Thema der SCA und wird von vielen Zahlungsdienstleistern für die Bestätigung verwendet. Es ist ein Verfahren, das Händlern als auch Kunden zusätzliche Sicherheit bei Online-Zahlungen bietet. Eine Transaktion mit 3D Secure leitet den Kunden auf die Webseite des Kartenherausgebers weiter, um die Zahlung dort zu autorisieren. Im Rahmen der PSD2 werden Zahlungsanbieter dafür das 3DS2 implementieren.


Hoteliers

Inwiefern sind Hoteliers und Gäste von der Starken Kundenauthentifizierung betroffen?

Die neue Zahlungsdienstrichtlinie (PSD2) wird definitiv Auswirkungen auf den Online-Vertrieb für Hotels haben, besonders auf „Hotel Collect-Buchungen“. Da SCA eine Zwei-Faktor-Authentifizierung vorschreibt, werden viele Transaktionen von Hotels betroffen sein – sowohl vor dem Aufenthalt der Gäste (ab dem Zeitpunkt der Buchung bis zur Ankunft des Gastes in der Unterkunft) als auch nach der Abreise.

Vor der Einführung von PSD2 war es für Online-Reisevermittler oder Buchungssysteme im Internet ausreichend, die Kartenangaben eines Gastes in einem Formular aufzunehmen und somit die Buchung zu garantieren, ohne die Details zu Karte und Person mit einem Authentifizierungsverfahren zu überprüfen.

Genau das wird sich mit PSD2 ändern.

Ab dem 14. September 2019 haben OTAs und Buchungssysteme die Möglichkeit, bei der Aufnahme der Kartenangaben von Gästen eine SCA durchzuführen – egal ob die Zahlung zum Zeitpunkt der Buchung fällig ist oder es sich um eine verzögerte Zahlung handelt (z.B. Anzahlung, Stornierungsgebühren oder No-Show). Um die Kartentransaktion (oft auch Merchant Initiated Transactions – MIT genannt) durchzuführen, müssen die Kartenangaben Ihres Gastes zusammen mit dem Nachweis der durchgeführten SCA durch das Netzwerk der Vermittler – wie OTAs, Buchungssysteme und Payment Gateways – weitergeleitet werden. Das bedeutet, dass Ihre Online-Zahlungen scheitern können, falls die Kartenangaben ohne die Durchführung einer SCA aufgenommen wurden und zum Zeitpunkt der Belastung der Karte kein Nachweis einer SCA verfügbar ist.


SCA vorbereiten

Wie können sich Hotels auf SCA vorbereiten?

Obwohl Zahlungsdienstleister wie Banken und Payment Gateways für die Durchführung des Authentifizierungsverfahren der Online-Zahlungen von Gästen verantwortlich sind, hat die neue Richtlinie auch deutliche Auswirkungen auf die Zahlungen und Transaktionen von Hotels. Wir empfehlen Ihnen, Ihre Zahlungsvorgänge zu überprüfen, um eine bessere Vorstellung davon zu bekommen, welche Auswirkung die SCA auf Ihr Unternehmen hat. Wir haben ein paar Punkte für Sie zusammengestellt, die Sie sich ansehen sollten:

Zahlung bei der Buchung – Volle Zahlung oder Anzahlung bei der Buchung
  • Vergewissern Sie sich, dass Ihr Payment-Gateway die Karte von Gästen auf sichere Weise authentifizieren kann, während der Gast die Online-Zahlung vornimmt.
  • Wenn eine Online-Reiseagentur (OTA) die Zahlung einzieht, ist diese für die Zahlungsauthentifizierung verantwortlich. Sie sollten sich daher an die entsprechende Online-Reiseagentur wenden und sich vergewissern, dass dort alle Vorbereitungen für die Einhaltung der SCA getroffen sind.
Verzögerte Zahlung – Anzahlung vor Check-in, Stornierungsgebühren oder No-Shows
  • Merchant Initiated Transactions (MIT), die gespeicherte „Karten in der Datenbank“ nutzen, sind theoretisch nicht von SCAs betroffen. Wenn die SCA jedoch nicht zu dem Zeitpunkt durchgeführt wurde, als die Kartenangaben aufgenommen wurden, und kein Nachweis einer SCA an den Zahlungsanbieter weitergeleitet wurde, kann es sein, dass Sie die Zahlung zu einem späteren Zeitpunkt nicht bearbeiten können, wenn der Gast mit der Karte nicht anwesend ist. Um sicherzugehen, dass Sie alle Zahlungen stets durchführen können, empfehlen wir Ihnen, Ihre Gäste zu bitten, die Zahlungen direkt zum Zeitpunkt der Buchung durchzuführen, einschließlich der Beträge für Anzahlungen, Stornierungsgebühren oder Gebühren für Nichtanreise.
Zahlung bei Abreise – Unterkunfts- und andere Kosten
  • Begleichen Sie ausstehende Zahlungen mit dem Gast direkt per Kartenzahlung vor Ort mit Chip und Geheimzahl.
Zahlung nach der Abreise – Abreise vor Zahlung, ausstehende Minibar-Kosten, Schäden
  • Es besteht das Risiko, dass Sie diese Zahlungen nicht mit einer hinterlegten Karte bearbeiten können. Wir empfehlen Ihnen, beim Check-in, wenn der Gast anwesend ist, eine Vorautorisierung für den vollen Betrag der Übernachtung und mögliche andere Kosten durchzuführen (z.B. mit Chip und Geheimzahl). So können Sie die Karte später belasten, falls es zur Abreise vor Zahlung kommt oder andere Kosten anfallen.

Bereiten Sie sich auf die SCA vor

Sehen Sie sich dieses Video an, um alles Wichtige über die neue Zahlungsdienstrichtlinie zu erfahren und einschätzen zu können, wie Ihr Hotel davon betroffen sein wird.

 

Wie wird SiteMinder die SCA umsetzen?

Zahlungen, die über unser Buchungssystem (TheBookingButton) vorgenommen werden, erfüllen die Auflagen der Starken Kundenauthentifizierung für Online-Buchungen zu dem Zeitpunkt, wenn die Buchung vorgenommen wird. Dies betrifft die Märkte, wo unsere SiteMinder Payments-Lösung verfügbar ist. Eine Ausweitung auf andere Länder innerhalb des Europäischen Wirtschaftsraums (EWR) ist für 2020 geplant.

Der SiteMinder Channel Manager ist bereit für die SCA, wenn die Vorschrift in Kraft tritt. Wir verbessern weiterhin unsere Zahlungsplattform, um Ihnen den Umgang mit solchen Zahlungen noch einfacher zu machen.

Kontakt

Häufig gestellte Fragen (FAQ)

Die neue Zahlungsdienstrichtlinie PSD2 kommt von der Europäischen Bankenaufsichtsbehörde und wird im Europäischen Wirtschaftsraum (EWR) eingeführt, um Online-Zahlungen für Händler und Kunden sicherer zu gestalten. Die Regulierung soll betrügerische Aktivitäten im EWR verringern, die häufig vorkommen, wenn der Karteninhaber bei der Zahlung nicht persönlich anwesend ist (z.B. bei Online-Zahlungen).

Ein wichtiger Teil der PSD2 ist die erforderliche Starke Kundenauthentifizierung (SCA), die offiziell am 14. September 2019 in Kraft tritt.

Für die Durchführung der SCA müssen Zahlungsdienstleister die Legitimität des Kunden bei der Online-Zahlung authentifizieren. Beispielsweise müssen Online-Händler (wie auch Sie selbst) verifizieren, dass der Gast, der die Buchung online abschließt, auch der Karteninhaber der verwendeten Zahlungskarte ist. Diese Authentifizierung wird üblicherweise in den Zahlungsprozess integriert und erfordert zwei oder mehr der untenstehenden Nachweise vom Kunden:

  • Etwas, das nur der Kunde kennt (z.B. eine PIN-Nummer)
  • Etwas, das nur der Kunde besitzt (z.B. ein Smartphone) und
  • Biometrische Informationen zum Kunden selbst (z. B. Fingerabdruck / Iriserkennung)
  • SCA wird mit Hilfe des 3D Secure-Verfahrens (3DS) angewandt. 3DS wird für gewöhnlich von der Bank des Karteninhabers eingeleitet, um eine Transaktion zu verifizieren (normalerweise durch einen Code, der an das Smartphone des Karteninhabers gesendet wird). Dieses Verfahren wurde vor Kurzem auf 3DS2 aktualisiert, um die Online-Erfahrung des Kunden weniger zu beeinträchtigen.

Ein gutes Verständnis der Schritte, die ein Kunde bei Online-Zahlungen durchlaufen muss, ist nötig, um mit dem neuen System konform zu gehen. Sehen Sie sich Ihren Zahlungsprozess genau an und überprüfen Sie, bei welchen Schritten Sie der PSD2 unterliegen:

  • Zahlung bei der Buchung – Volle Zahlungen oder Anzahlungen zum Zeitpunkt der Buchung unterliegen möglicherweise den SCA-Vorschriften
  • Verzögerte Zahlung – Anzahlung vor Check-in, Stornierungsgebühren oder No-Shows
  • Zahlung bei Abreise – Unterkunfts- und andere Kosten
  • Zahlung nach der Abreise – Abreise vor Zahlung, ausstehende Minibar-Kosten, Schäden

Hoteliers werden sich nun neuen Herausforderung stellen müssen. Wenn ein Gast seine Kartenangaben online bei der Buchung hinterlegt, werden die Details sicher als „Karte in der Datenbank“ gespeichert, damit Hoteliers zu einem späteren Zeitpunkt Zahlungen darüber bearbeiten können, wenn der Gast wieder offline ist. Die eigentliche Zahlung von Anzahlungen, ausstehenden Beträgen, Zusatzleistungen, Stornierungen oder No-Show-Gebühren werden dann jedoch schwierig, da der Gast nicht vor Ort oder online ist, um die SCA durchzuführen. Zahlungen über eine Karte in der Datenbank tragen daher ein hohes Risiko von der Bank des Karteninhabers abgelehnt zu werden, wenn kein Nachweis einer SCA vorliegt. Um sich dieser Herausforderung zu stellen, sollten Sie ab sofort die Kartenangaben des Gastes immer beim Check-in über eine konforme Zahlungsmethode erfassen und die Karte für spätere Zahlungen vom Gast vor-autorisieren lassen.

Beispiele von Zahlungsmethoden, die mit der PSD2 konform gehen:
  • Technologien wie Online-Buchungssysteme oder PMS mit einem konformen Payment-Gateway.
  • POS Transaktionen mit Chip und PIN-Nummer, da der Nutzer im Besitz von Karte und PIN sein muss.
  • Zahlungen mit Apple Pay, da der Nutzer das eigene Smartphone und einen Fingerabdruck oder Gesichtserkennung dazu benötigt.

Diese Regulierung wurde von den Behörden zur Verhinderung von Kreditkartenbetrug eingeführt und wird die Zahlungsvorgänge für Hotels grundlegend verändern. Mit der Einführung der SCA ist das größte Risiko für Ihr Unternehmen, dass nicht-konforme Transaktionen abgelehnt werden und sich die Anzahl Ihrer Buchungen, Ihre Belegungsrate und Ihr Umsatz deutlich verringern. Außerdem wird die Verwaltung von Stornierungen und No-Shows komplizierter, da diese nicht länger wie gewohnt über hinterlegte Karten abgerechnet werden können.

In der Branche wird hart daran gearbeitet, die Anforderungen der neuen SCA zu erfüllen. SiteMinder arbeitet eng mit OTAs, PMSs und Payment Gateways zusammen, um sicherzugehen, dass unsere Produkte den neuen Sicherheitsstandards gerecht werden.

Letztendlich wurden die PSD2 und SCA im besten Interesse von Kunden, Ihren Gästen und Ihrem Unternehmen eingeführt. Auch wenn die Regulierung vielleicht zunächst Auswirkungen auf die Conversion hat, werden die Vorteile diese kurzzeitigen Hürden weitaus überwiegen.

Stellen Sie sich den neuen Herausforderungen, bis bessere Lösungen gefunden werden, und ziehen Sie alternative Zahlungsvorgänge in Erwägung, die von der SCA ausgeschlossen sind oder die Authentifizierung leichter machen. Wir empfehlen:

  • Zahlungen vor Ort abzuwickeln (wenn Kreditkarteninhaber mit Karte und PIN anwesend sind);
  • Zahlungen vorab über Ihr Buchungssystem erfassen (um das Risiko zu verringern, Zahlungen über hinterlegte Karten nicht bearbeiten zu können); oder
  • Bestand auf OTAs verteilen, die virtuelle Kreditkarten ausstellen (da diese von der Regulierung ausgeschlossen sind).

Es gibt folgende Ausnahmen:

  • Transaktionen von geringem Wert – Jegliche Zahlungen unter 30 € gelten als Ausnahmen und müssen keine SCA durchlaufen. Diese Transaktionen können jedoch maximal fünf Mal hintereinander durchgeführt werden oder dürfen insgesamt 100 € nicht überschreiten. Danach ist eine SCA erforderlich.
  • Whitelisting – Nach der Durchführung einer SCA kann ein Kunde den Händler auf eine weiße Liste setzen, sodass zukünftig keine weiteren Kundenauthentifizierungen erforderlich sind. Händler müssen 3DS2 implementieren (siehe Glossar), um diese Funktion vollständig nutzen zu können.
  • Geschäftszahlungen und virtuelle Kreditkarten – Geschäftliche Kreditkarten, die nicht im Namen des Kunden ausgestellt sind, und virtuelle Kreditkarten sind von der SCA ausgenommen.
  • Merchant-initiated transactions (MIT) – Zahlungen über gespeicherte Karten, wenn der Kunde nicht anwesend ist, können als „Merchant-initiated transactions“ gelten. Diese Zahlungen sind theoretisch von der SCA ausgenommen. Praktisch wird bei dieser Art von Zahlungen eine Ausnahme angefragt und die jeweilige Bank entscheidet, ob die Authentifizierung für die Transaktion nötig ist oder nicht.

Mail Order and Telephone Order (MOTO) – Diese Transaktionen sind von der SCA ausgenommen, da es derzeit zu schwierig ist, eine Zwei-Faktor-Authentifizierung telefonisch, per Fax oder Post durchzuführen.

Online-Reisevermittler haben die Möglichkeit, eine SCA zum Zeitpunkt der Buchung durchzuführen, wenn die Kartenangaben erfasst werden.

Bis zum 14. September 2019 werden OTAs ihre Kunden und Partner über die Änderungen auf Grund der PSD2 informieren. Wir nehmen an, dass viele OTAs ihre Partner im EWR auf „OTA collect“-Zahlungsverfahren umstellen und virtuelle Kreditkarten (VCC) ausstellen, anstatt die Kartenangaben von Gästen an die Unterkünfte weiterzuleiten. Da virtuelle Kreditkarten von der SCA ausgenommen sind, ist dies vielleicht nicht für alle ideal, aber zumindest vorübergehend eine Lösung.

Wir raten Ihnen, Ihre OTA-Partner zu kontaktieren, um sicherzugehen, dass sie mit Zahlungsanbietern daran arbeiten, bis zum 14. September die neuen Sicherheitsstandards implementiert zu haben.

Die Finanzdienstleistungsaufsicht (FCA) des Vereinigten Königreichs hat bestätigt, dass ab dem 14. September 2019 über 18 Monate eine „stufenweise Einführung“ der SCA vorgenommen wird. Das bedeutet, dass die FCA keine Fahndungsaktionen gegen Banken und Zahlungsdienstleister im Vereinigten Königreich durchführen wird, welche die neuen Sicherheitsstandards der SCA ab dem 14. September nicht erfüllen. Am Ende der 18 Monate wird die SCA voll in Kraft treten. Da die Bank des Karteninhabers entscheidet, ob eine Zahlung durchgeführt oder abgelehnt wird, besteht jedoch weiterhin das Risiko, dass Zahlungen von diesen Gästen aufgrund fehlender SCA abgelehnt werden, falls sich die Bank nicht im Vereinigten Königreich befindet (z.B. wenn ein Gast aus einem anderen EU-Land zu Besuch ist).

Sie sind wahrscheinlich nur dann von den neuen Richtlinien betroffen, wenn sich Ihre Unterkunft in einem Land im Europäischen Wirtschaftsraum (EWR) befindet. SCA ist nur dann erforderlich, wenn sich sowohl der Kartenherausgeber als auch Ihre Bank im EWR befinden.

In den kommenden Jahren kann man allerdings davon ausgehen, dass es weltweit zu ähnlichen Regulierungen kommen wird.

Weitere Informationen zur PSD2 und SCA finden Sie hier:

Wir empfehlen Ihnen, sich an Ihren Zahlungsanbieter zu wenden und nachzufragen, ob bis zum 14. September alle neuen Sicherheitsstandards implementiert sein werden.

Begriffserklärungen

PSD2 Die Zahlungsdienstrichtlinie „Payment Services Directive 2“ wurde von der Europäischen Union eingeführt, um einen einheitlichen Sicherheitsstandard zu gewährleisten und faire Marktbedingungen für Zahlungen innerhalb Europas zu schaffen.
SCA Starke Kundenauthentifizierung ist eine Anforderung der PSD2, um Online-Zahlungen sicherer zu gestalten und betrügerische Aktivitäten zu verhindern.
3DS (Auch 3D Secure genannt) ist ein Authentifizierungsprozess von Banken zur Verifizierung eines Karteninhabers. Bei diesem Verfahren erhält der Gast für gewöhnlich einen Code auf dem Smartphone, der dann auf der Webseite eingegeben werden muss, ehe die Zahlung bearbeitet werden kann.
3DS2 ist eine aktualisierte Version des 3DS-Verfahrens, das Gästen einen reibungsloseren Ablauf bietet. Dieses Verfahren ist der neue Standard gemäß der PSD2 für Zahlungsdienstleister.
EU Die Europäische Union, die aus 28 Mitgliedsstaaten besteht.
EWR Der Europäische Wirtschaftsraum umfasst alle Mitgliedsstaaten der EU sowie Norwegen, Island und Liechtenstein.
SEPA Der einheitlicher Euro-Zahlungsverkehrsraum (Single Euro Payment Area) wurde von der Europäischen Bankenaufsichtsbehörde eingeführt. Die Richtlinien bieten einen Standard für Zahlungsdienstleistungen und die Infrastruktur in Europa.
MIT Merchant Initiated Transaction bezieht sich auf Transaktionen, bei denen der Händler die Zahlung in Abwesenheit und im Namen des Kunden bearbeitet.
VCC Virtuelle Kreditkarten – Eine virtuelle Kreditkarte (VCC) ist eine virtuelle Kreditkartennummer (VCN)), die üblicherweise für Online-Käufe und häufig für einmalige Transaktionen genutzt wird.
MOTO Mail Order and Telephone Order; Portale für telefonisch erhaltene Kreditkarteninformationen
OLO One Leg-Out – Transaktionen werden als OLO bezeichnet, wenn eine der folgenden Aussagen darauf zutrifft:
  • Die Karte wurde außerhalb der EU ausgestellt.
  • Die Bank des Kunden befindet sich außerhalb der EU (für Kreditkartenzahlungen).
  • Der Händler befindet sich außerhalb der EU.