STRATEGIE1. Oktober 2018

SCA: Was Kreditkarten herausgebende Banken beachten müssen – das Mastercard-Interview (2. Teil)

Carsten Mürl, Director Product Management für Sicherheitslösungen Mastercard DACH erläutert SCA bei Kreditkarten<q>Mastercard</q>
Carsten Mürl, Director Product Management für Sicherheitslösungen Mastercard DACHMastercard

14. September 2019: die RTS der PSD2 tritt in Kraft. Zentraler Punkt: SCA – star­ke Kun­den­au­then­ti­fi­ka­ti­on (2-Fak­tor-Au­then­ti­fi­zie­rung). Im zweiten Teil (zum ersten Teil) des Interviews von Rudolf Linsenbarth mit Carsten Mürl (Direktor und Produktmanager Mastercard) geht es darum, was die Karten herausgebenden Banken beachten müssen, um die vom Gesetzgeber verlangten Vorgaben zu erfüllen.

Herr Mürl, die PSD2 verlangt auch für Kartenzahlungen eine starke Kundenauthentifizierung. Müssen die Karten herausgebenden Banken hier nun aktiv werden?

Die Karten der herausgegebenen Banken haben derzeit schon starke Kundenauthentifikation durch Chip & PIN. Karten, die noch mit Unterschrift ohne PIN funktionieren, sind nach unserem Wissensstand entsprechend einer Sonderregelung der BaFin von der starken Kundenauthentifikation ausgenommen, laut der BaFin genügen diese Karten den gesetzlichen Anforderungen, da eine Unterschrift eine rechtliche Verbindlichkeit, laut BGB begründet.
Mastercard sieht aber eine starke Kundenauthentifikation nur durch Chip & PIN erfüllt. Wenn eine händische Unterschrift verwendet wird, dann müsste diese auf Digitalgeräten mit Schrifterkennung erfolgen. Maßgeblich ist aber die Sicht des Regulators im jeweiligen Land.

Mastercard empfiehlt den Umstieg von Signature First auf Chip & PIN. Eine regulatorische Vorgabe ab dem 14.09.2019 sehen wir aber zumindest für Deutschland nicht.“

Aber für die kontaktlosen Karten ist die Sachlage doch eindeutig. Hier wird ab dem 14.09.2019 auch für Low Value Payments in bestimmten Abständen eine PIN verlangt. Müssen dazu die Karten ausgetauscht werden?

Dieser Punkt ist noch in Klärung. In der Vergangenheit wurden solche Regelungen immer für neu herausgegebene Karten ab einem bestimmten Datum verpflichtend. Mastercard würde hier keinen Austausch fordern – aber endgültig müssen wir hier auf die Entscheidung des Regulators warten.

Wie unterstützt Mastercard die Banken in diesem Prozess?

Wir haben unsere Systeme entsprechend vorbereitet, dass zum September 2019 ein „Contactless-Counter“ auch von Mastercard von den Banken genutzt werden kann. Wir haben auch Sorge getragen, dass die Nachrichten-Typen, welche im Markt etabliert sind, auf Terminalseite richtig interpretiert werden und so zu korrekten Anzeigen und Prozessen bei den Terminals führen. So soll bei Vorliegen einer Zählerüberschreitung dem Kunden und Bedienpersonal des Terminals angezeigt werden, dass nun die Karte gesteckt werden muss. Auch wollen wir in Zukunft die Chipprofile entsprechend anpassen. Des Weiteren stehen wir auch bei diesem Thema den Banken beratend zur Seite.

Carsten Mürl, Mastercard
Carsten Mürl, Director Product Management für Sicherheitslösungen Mastercard DACH erläutert SCA bei KreditkartenCarsten Mürl ist Di­rec­tor Pro­duct Ma­nage­ment für Si­cher­heits­lö­sun­gen (Au­then­ti­fi­ka­ti­on, 3D-Se­cu­re, Be­trugs­er­ken­nung) bei Mas­ter­card, ver­ant­wort­lich für Deutsch­land und Schweiz – und seit 20 Jah­ren im Pay­ment tä­tig. Als Lei­ter des Pro­dukt­ma­nage­ments für Kar­ten bei der Deut­schen Bank war er vor sei­nem Wech­sel zu Mas­ter­card ver­ant­wort­lich für neue Kar­ten­pro­gram­me wie die De­bit Mas­ter­card und neue Pro­dukt­fea­tures wie Card­app oder Mo­bi­le Pay­ment. Er hat ei­nen Ab­schluss in Wirt­schafts­in­for­ma­tik von der Fachhochschule Karlsruhe.

Was empfehlen Sie den Banken – den Zähler auf die Anzahl der Transaktionen zu setzen oder eine kumulierte Summe zu verwenden?

Im deutschen Markt empfehlen wir, eher die kumulierten Summen zu verwenden, da dann häufiger kontaktlos ohne Unterbrechungen gezahlt werden kann – hierbei sei aber angemerkt, dass diese beschränkt ist auf lediglich fünf verschiedene Währungscodes. Am Ende ist es aber wirklich die Entscheidung der Bank und auch eine kommunikative Frage.

Ist der Zähler im Kreditkarten-Chip eigentlich die einzige Möglichkeit, das Problem zu lösen oder kann die PIN-Eingabe auch vom Backend angefordert werden?

Korrekt – die Backend-Lösung ist auf jeden Fall auch eine valide Option und Mastercard baut diese entsprechend in die eigenen Systeme.

Wäre das auch die Lösung für passive Wearables, bei denen ein Zähler-Reset durch Stecken nicht möglich ist? Ich denke da zum Beispiel an das Armband von VIMPay.

Richtig, hier käme dann ein Online-Zähler zum Einsatz. Die Rücksetzung des Zählers würde dann entweder über eine App oder eine gesteckte Transaktion einer „Coupled Card“ erfolgen.“

Wie sieht es mit einem rollierenden Zähler aus, der nicht zurückgesetzt werden muss? Also zum Beispiel der Kunde wird bei jeder fünften Zahlung aufgefordert eine Online-PIN einzugeben. Ist das technisch umsetzbar und erfüllt so etwas die Anforderungen an ein SCA gemäß den EU-Vorgaben?

Die Fragen stellt Rudolf Linsenbarth
Rudolf LinsenbarthRudolf Linsenbarth be­schäf­tigt sich mit Mo­bi­le Pay­ment, NFC, Kun­den­bin­dung und di­gi­ta­ler Iden­ti­tät. Er ist seit über 15 Jah­ren in den Be­rei­chen Ban­ken, Con­sul­ting, IT und Han­del tä­tig. Lin­sen­barth ist pro­fi­lier­ter Blog­ger im Fi­nanz­be­reich und kom­men­tiert bei Twit­ter un­ter @holimuk die aktuellen Entwicklungen. Alle Beiträge schreibt Rudolf Linsenbarth im eigenen Namen.

Rollierende Zähler sehe ich derzeit nicht im Markt – eigentlich diskutieren alle Beteiligten, wie an sich hochgezählt und dann der Reset vollzogen wird.

Sind neben den Karten auch die aktiven Wearables und Mobile-Payment-Verfahren betroffen oder erfüllen diese die Anforderungen schon per Default?

Ja, aktive Wearables wie Smartwatches und Smartphones sind auch von der PSD2/RTS betroffen. Da man auf diesen Geräten aber die Consumer Device Cardholder Verification Methode (CDCVM), also die Authentifikation auf dem Gerät vollziehen kann – hier sind biometrische Verfahren (z.B. Touch ID oder Face ID) erwähnt – ist es viel einfacher, die Counter/Accumulatoren zu managen. Somit werden die regulatorischen Anforderungen tatsächlich bereits „per default“ erfüllt.

Herr Mürl, vielen Dank für das Gespräch!Rudolf Linsenbarth

Den ersten Teil des Interviews finden Sie hier.

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/78467
 
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (6 Stimmen, Durchschnitt: 5,00 von maximal 5)
Loading...

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

3D-Secure 2.0? SCA für Kreditkarten kommt – genau in einem Jahr; das Interview mit Carsten Mürl Mastercard

Am 14.9.2019, also genau heute in einem Jahr, treten die...

Schließen