Leitfaden zur starken Kundenauthentifizierung

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) ist eine europäische regulatorische Anforderung gemäß der zweiten Zahlungsdienstrichtlinie (PSD2), die die Zahlungssicherheit erhöht und Karteninhaber vor Betrug schützt. Der SCA-Sicherheitsprozess gilt für elektronische Zahlungen innerhalb des Europäischen Wirtschaftsraums (EWR), einschließlich persönlicher Zahlungen und E-Commerce-Käufe im Internet. Zahlungstransaktionen ohne SCA-Verifizierung werden abgelehnt, sofern die Transaktion nicht unter eine Ausnahmeregelung fällt. Dieser Prozess kommt für alle Firmenkarten der Marke Bank of America zur Anwendung, die in Europa ausgestellt wurden.

Elektronische Zahlungen erfordern, dass Karteninhaber ihre Identität anhand von Elementen nachweisen, die die SCA-Anforderungen erfüllen.

Für persönliche Zahlungen: Karteninhaber führen die Verifizierung durch Einfügen der Karte in das POS-Terminal des Händlers und Eingabe ihrer PIN durch.
Für E-Commerce-Käufe im Internet: Karteninhaber führen den Verifizierungsprozess mithilfe einer der unten beschriebenen Methoden durch.

Hinweis: Die Verifizierungsprozesse können je nach Kartenaussteller unterschiedlich gestaltet sein. Dieser Leitfaden beschreibt den von der Bank of America eingesetzten Prozess.

1. Starke Kundenauthentifizierung über die Global-Card-Access-App (empfohlen)¹

Der Karteninhaber meldet sich mit dem Gerät, auf dem er SCA-Benachrichtigungen erhalten möchte, bei seiner GCA-App (Global Card Access) an und aktiviert seine Karte.²

Der Karteninhaber schließt einen Onlinekauf ab und gibt die Kartendaten im Zahlungsbildschirm ein.

Eine Benachrichtigung wird über die App an das Gerät des Karteninhabers gesendet.

Der Karteninhaber genehmigt die Zahlung mithilfe von Biometrie oder eines Passworts.

Cardholder approves the payment using biometrics or password

2. Starke Kundenauthentifizierung über die Händler-Website

Ersteinrichtung: Der Karteninhaber registriert sein Kartenkonto auf der Global-Card-Access-Website und erstellt Sicherheitsfragen.

Der Karteninhaber schließt einen Onlinekauf ab und gibt die Kartendaten im Zahlungsbildschirm ein.

Ein Einmalzugangscode wird per SMS oder E-Mail an die registrierte Mobiltelefonnummer oder E-Mail-Adresse des Karteninhabers gesendet.

Der Karteninhaber genehmigt die Zahlung mit einem Einmalzugangscode und beantwortet die im Voraus festgelegte Sicherheitsfrage.

¹ Karteninhaber, welche die Global-Card-Access-App nicht verwenden, können die Authentifizierung beim Bezahlen auf der Händler-Website abschließen.

² Der Karteninhaber muss die Global-Card-Access-App installiert haben. Nach der Anmeldung in der App werden EMEA-Firmenkarten automatisch für die Benachrichtigung und Verifizierung über die SCA-App aktiviert.

Bitte beachten Sie Folgendes, da nicht alle Onlinekäufe die SCA erfordern:

Wenn die Buchung über das Online-Buchungstool erfolgt, das vom Reisemanagementunternehmen (TMC) bereitgestellt wird, ist die SCA im Allgemeinen nicht erforderlich, da der Buchungsvorgang über ein globales Distributionssystem (GDS) und nicht direkt über die Website des Händlers abgeschlossen wird.
Es gibt basierend auf der Art und dem Risiko der Transaktion eine Reihe von Ausnahmen für die SCA – Lodge-Karten und virtuelle Karten fallen beispielsweise unter die Ausnahme sicherer Unternehmenszahlungen. Weitere Informationen entnehmen Sie bitte den Häufig gestellten Fragen.

Option 1 (empfohlen): Starke Kundenauthentifizierung über die Global-Card-Access-App

Karteninhaber mit der Global-Card-Access-App können die Zahlung mithilfe von Biometrie oder eines Passworts verifizieren, wodurch der SCA-Prozess schneller und einfacher wird.

Dieser Prozess gilt für Karteninhaber mit auf einem Mobiltelefon installierter Global-Card-Access-App.

Während der E-Commerce-Bezahlung wird der Karteninhaber aufgefordert, die Kartendaten einzugeben und die Zahlung auf der Website des Händlers zu bestätigen. Dadurch wird eine Push-Benachrichtigung ausgelöst, die an das Mobiltelefon des Karteninhabers gesendet wird.

Hinweis: Wenn die Push-Benachrichtigung nicht angezeigt wird, starten Sie bitte die Global-Card-Access-App.

Beispielbildschirm zur Verifizierung

Durch Klicken auf die Push-Benachrichtigung wird die Global-Card-Access-App gestartet. Der Karteninhaber wird aufgefordert, sich mithilfe von Biometrie oder eines Passworts anzumelden.

Nach der Anmeldung werden die Zahlungsdetails angezeigt. Der Karteninhaber kann die Zahlungsdetails überprüfen und auf „Genehmigen“ oder „Ablehnen“ klicken.

Damit ist die SCA-Verifizierung abgeschlossen. Der Karteninhaber muss zur Website des Händlers zurückkehren, um zu bestätigen, dass die Zahlung erfolgreich abgeschlossen wurde.

Nach Abschluss der Zahlungsverifizierung können die Karteninhaber dieses Unternehmen zur Liste der vertrauenswürdigen Händler hinzufügen. Wenn Karteninhaber einen Händler als vertrauenswürdig festlegen, können sie zukünftige Onlinekäufe beim selben Händler abschließen, ohne die starke Kundenauthentifizierung nutzen zu müssen3. Dies sorgt für einen reibungslosen Zahlungsvorgang, wenn bei einem vertrauten Unternehmen bezahlt wird. Darüber hinaus können die Karteninhaber Unternehmen überprüfen und entfernen, die sie zuvor der Liste der vertrauenswürdigen Händler hinzugefügt haben.

³ Händler, die auf der Liste der vertrauenswürdigen Händler stehen, verlangen mit geringerer Wahrscheinlichkeit eine starke Kundenauthentifizierung. Aus Sicherheitsgründen kann die Bank of America jedoch von Zeit zu Zeit eine Zahlungsverifizierung anfordern.

Option 2: Starke Kundenauthentifizierung über die Händler-Website

Karteninhaber, welche die Global-Card-Access-App nicht verwenden, können die Zahlungsverifizierung über den 3D-Secure-Prozess auf der Händler-Website vornehmen.

Während des Bezahlvorgangs, bei dem eine Zahlungsverifizierung erforderlich ist, werden Karteninhaber gebeten, ihren Einmalzugangscode anzugeben und ihre Sicherheitsfrage für BofA Global Card Access zu beantworten. Beide Angaben müssen korrekt sein, damit die Karteninhaber die Zahlung abschließen können. Dieser Prozess wird direkt auf der Händler-Website abgeschlossen.

Validierung über Einmalzugangscode (One-Time-Passcode, OTP)

Der OTP ist ein sechsstelliger numerischer Code, der einmalig für diesen Onlinekauf gilt. Er wird per SMS oder E-Mail an die registrierte Mobiltelefonnummer oder E-Mail-Adresse des Karteninhabers gesendet. Jeder OTP ist 10 Minuten lang gültig und der Karteninhaber kann einen neuen OTP anfordern, wenn der alte abgelaufen ist.

Bestätigung der Sicherheitsfragen von BofA Global Card Access

Wenn Karteninhaber ihre Karten auf Global Card Access registrieren, werden sie gebeten, drei Sicherheitsfragen zu beantworten. Die Karteninhaber können sich bei Global Card Access anmelden, um ihre Sicherheitsfrage aufzurufen oder zu aktualisieren.

Neue Funktion des vertrauenswürdigen Zahlungsempfängers

Nach Abschluss der Zahlungsverifizierung können die Karteninhaber dieses Unternehmen zur Liste der vertrauenswürdigen Händler hinzufügen. Wenn Karteninhaber einen Händler als vertrauenswürdig festlegen, können sie zukünftige Onlinekäufe beim selben Händler abschließen, ohne die starke Kundenauthentifizierung nutzen zu müssen³. Dies sorgt für einen reibungslosen Zahlungsvorgang, wenn bei einem vertrauten Unternehmen bezahlt wird. Darüber hinaus können die Karteninhaber Unternehmen überprüfen und entfernen, die sie zuvor der Liste der vertrauenswürdigen Händler hinzugefügt haben.

SCA ist eine aufsichtsrechtliche Anforderung, die die Sicherheit für elektronische Zahlungen stärkt. Um dieser Anforderung zu entsprechen, müssen Authentifizierungen auf zwei oder mehr Elemente zurückgreifen, die als Wissen (etwas, das nur der Benutzer weiß), Besitz (etwas, das nur der Benutzer besitzt) und Inhärenz (etwas, das nur der Benutzer ist) kategorisiert und voneinander unabhängig sind.

Wenn Karteninhaber ihre Karten auf Global Card Access registrieren, werden sie gebeten, drei Sicherheitsfragen zu beantworten. Die zur SCA verwendete Sicherheitsfrage ist die erste Sicherheitsfrage, die in Global Card Access verwendet wurde. Karteninhaber sollten Global Card Access unter bofa.com/globalcardaccess besuchen, um ihre Karte zu registrieren oder ihre Sicherheitsfrage und -antwort zurückzusetzen.

Der verbesserte SCA-Prozess ist für alle Firmenkarten der Marke Bank of America anwendbar, die in EMEA ausgestellt wurden. Dies hat keine Auswirkungen auf Karten, die nicht in EMEA ausgestellt wurden. Wenn US-amerikanische Karteninhaber in die EMEA-Region reisen und dort einen Onlinekauf tätigen, wird SCA dafür nicht benötigt.

Wenn die Buchung direkt über die Website des Händlers erfolgt ist, kann SCA als zusätzliche Authentifizierung erforderlich sein, sofern der Händler den 3D Secure-Prozess übernommen hat. Gegenwärtig haben nicht alle Händler den 3D Secure-Prozess eingeführt, aber es wird erwartet, dass die meisten dies zur Einhaltung der Zweiten Zahlungsdiensterichtlinie (PSD2) tun werden. Es gibt eine Reihe von Ausnahmeregelungen der Zweiten Zahlungsdiensterichtlinie (PSD2) für SCA, die auf der Art und dem Risiko der Transaktion basieren.

Es liegt im Ermessen der Zahlungsdienstleister, SCA auf der Grundlage von PSD2-Ausnahmeregelungen nicht anzuwenden. Die wichtigsten von der PSD2 erlaubten Ausnahmeregelungen für SCA umfassen Folgendes:

Kontaktlose Zahlungen am Verkaufsort
Unbeaufsichtigte Terminals für Verkehrsmitteltarife und Parkgebühren
Vertrauenswürdige Begünstigte
Wiederkehrende Transaktionen
Transaktionen mit geringem Wert
Sichere Unternehmenszahlung für Lodge-Karte und Virtual-Karte
Transaktionsrisikoanalyse

Gemäß unserer Datenschutzerklärung müssen wir gegebenenfalls persönliche Daten erfassen und verarbeiten, um die gewünschte Dienstleistung zu erfüllen. Alle erfassten persönlichen Daten werden lediglich für legitime Geschäftszwecke genutzt. In diesem Fall, um Internetkäufe zu ermöglichen und gesetzliche Vorschriften einzuhalten. Bitte lesen Sie unsere Datenschutzerklärung.

Leitfaden zur starken Kundenauthentifizierung

Neue Funktion des vertrauenswürdigen Zahlungsempfängers

Häufig gestellte Fragen (FAQ)

Was ist die Strong Customer Authentication (SCA, starke Kundenauthentifizierung)?

Was bedeutet das für Kunden mit Firmenkarten?

Was ist die mobile Global Card Access-App?

Was ist der Einmal-Zugangscode (one-time passcode, OTP)?

Was ist meine Sicherheitsfrage?

Was gilt als ein Onlinekauf?

Wer wird betroffen sein?

Worin liegt der Vorteil von SCA?

Müssen Karteninhaber etwas Bestimmtes tun?

Kann man sich von SCA abmelden?

Wird SCA bei jedem Onlinekauf benötigt?

Was sind die Ausnahmeregelungen für SCA?

In welchem Bezug steht dies zum Datenschutz und zur DSGVO?

Wen kann ich mit Fragen kontaktieren?