SCA: Was Kreditkarten herausgebende Banken beachten müssen – das Mastercard-Interview (2. Teil)
Mastercard
14. September 2019: die RTS der PSD2 tritt in Kraft. Zentraler Punkt: SCA – starke Kundenauthentifikation (2-Faktor-Authentifizierung). Im zweiten Teil (zum ersten Teil) des Interviews von Rudolf Linsenbarth mit Carsten Mürl (Direktor und Produktmanager Mastercard) geht es darum, was die Karten herausgebenden Banken beachten müssen, um die vom Gesetzgeber verlangten Vorgaben zu erfüllen.
Herr Mürl, die PSD2 verlangt auch für Kartenzahlungen eine starke Kundenauthentifizierung. Müssen die Karten herausgebenden Banken hier nun aktiv werden?
Die Karten der herausgegebenen Banken haben derzeit schon starke Kundenauthentifikation durch Chip & PIN. Karten, die noch mit Unterschrift ohne PIN funktionieren, sind nach unserem Wissensstand entsprechend einer Sonderregelung der BaFin von der starken Kundenauthentifikation ausgenommen, laut der BaFin genügen diese Karten den gesetzlichen Anforderungen, da eine Unterschrift eine rechtliche Verbindlichkeit, laut BGB begründet.Mastercard sieht aber eine starke Kundenauthentifikation nur durch Chip & PIN erfüllt. Wenn eine händische Unterschrift verwendet wird, dann müsste diese auf Digitalgeräten mit Schrifterkennung erfolgen. Maßgeblich ist aber die Sicht des Regulators im jeweiligen Land.
Mastercard empfiehlt den Umstieg von Signature First auf Chip & PIN. Eine regulatorische Vorgabe ab dem 14.09.2019 sehen wir aber zumindest für Deutschland nicht.”
Aber für die kontaktlosen Karten ist die Sachlage doch eindeutig. Hier wird ab dem 14.09.2019 auch für Low Value Payments in bestimmten Abständen eine PIN verlangt. Müssen dazu die Karten ausgetauscht werden?
Dieser Punkt ist noch in Klärung. In der Vergangenheit wurden solche Regelungen immer für neu herausgegebene Karten ab einem bestimmten Datum verpflichtend. Mastercard würde hier keinen Austausch fordern – aber endgültig müssen wir hier auf die Entscheidung des Regulators warten.
Wie unterstützt Mastercard die Banken in diesem Prozess?
Wir haben unsere Systeme entsprechend vorbereitet, dass zum September 2019 ein „Contactless-Counter” auch von Mastercard von den Banken genutzt werden kann. Wir haben auch Sorge getragen, dass die Nachrichten-Typen, welche im Markt etabliert sind, auf Terminalseite richtig interpretiert werden und so zu korrekten Anzeigen und Prozessen bei den Terminals führen. So soll bei Vorliegen einer Zählerüberschreitung dem Kunden und Bedienpersonal des Terminals angezeigt werden, dass nun die Karte gesteckt werden muss. Auch wollen wir in Zukunft die Chipprofile entsprechend anpassen. Des Weiteren stehen wir auch bei diesem Thema den Banken beratend zur Seite.
Carsten Mürl ist Director Product Management für Sicherheitslösungen (Authentifikation, 3D-Secure, Betrugserkennung) bei Mastercard, verantwortlich für Deutschland und Schweiz – und seit 20 Jahren im Payment tätig. Als Leiter des Produktmanagements für Karten bei der Deutschen Bank war er vor seinem Wechsel zu Mastercard verantwortlich für neue Kartenprogramme wie die Debit Mastercard und neue Produktfeatures wie Cardapp oder Mobile Payment. Er hat einen Abschluss in Wirtschaftsinformatik von der Fachhochschule Karlsruhe.Was empfehlen Sie den Banken – den Zähler auf die Anzahl der Transaktionen zu setzen oder eine kumulierte Summe zu verwenden?
Im deutschen Markt empfehlen wir, eher die kumulierten Summen zu verwenden, da dann häufiger kontaktlos ohne Unterbrechungen gezahlt werden kann – hierbei sei aber angemerkt, dass diese beschränkt ist auf lediglich fünf verschiedene Währungscodes. Am Ende ist es aber wirklich die Entscheidung der Bank und auch eine kommunikative Frage.
Ist der Zähler im Kreditkarten-Chip eigentlich die einzige Möglichkeit, das Problem zu lösen oder kann die PIN-Eingabe auch vom Backend angefordert werden?
Korrekt – die Backend-Lösung ist auf jeden Fall auch eine valide Option und Mastercard baut diese entsprechend in die eigenen Systeme.
Wäre das auch die Lösung für passive Wearables, bei denen ein Zähler-Reset durch Stecken nicht möglich ist? Ich denke da zum Beispiel an das Armband von VIMPay.
Richtig, hier käme dann ein Online-Zähler zum Einsatz. Die Rücksetzung des Zählers würde dann entweder über eine App oder eine gesteckte Transaktion einer „Coupled Card“ erfolgen.”
Wie sieht es mit einem rollierenden Zähler aus, der nicht zurückgesetzt werden muss? Also zum Beispiel der Kunde wird bei jeder fünften Zahlung aufgefordert eine Online-PIN einzugeben. Ist das technisch umsetzbar und erfüllt so etwas die Anforderungen an ein SCA gemäß den EU-Vorgaben?
Rudolf Linsenbarth beschäftigt sich mit Mobile Payment, NFC, Kundenbindung und digitaler Identität. Er ist seit über 15 Jahren in den Bereichen Banken, Consulting, IT und Handel tätig. Linsenbarth ist profilierter Blogger im Finanzbereich und kommentiert bei Twitter unter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.Rollierende Zähler sehe ich derzeit nicht im Markt – eigentlich diskutieren alle Beteiligten, wie an sich hochgezählt und dann der Reset vollzogen wird.
Sind neben den Karten auch die aktiven Wearables und Mobile-Payment-Verfahren betroffen oder erfüllen diese die Anforderungen schon per Default?
Ja, aktive Wearables wie Smartwatches und Smartphones sind auch von der PSD2/RTS betroffen. Da man auf diesen Geräten aber die Consumer Device Cardholder Verification Methode (CDCVM), also die Authentifikation auf dem Gerät vollziehen kann – hier sind biometrische Verfahren (z.B. Touch ID oder Face ID) erwähnt – ist es viel einfacher, die Counter/Accumulatoren zu managen. Somit werden die regulatorischen Anforderungen tatsächlich bereits „per default” erfüllt.
Herr Mürl, vielen Dank für das Gespräch!Rudolf Linsenbarth
Den ersten Teil des Interviews finden Sie hier.
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/78467
Schreiben Sie einen Kommentar