/f/118211/3840x3840/21fbb1d97b/03-better-ways.png)
Starke Kundenauthentifizierung (SCA)
von Sonali Purohit - Product Manager Cards bei Unzer
Überblick
Starke Kundenauthentifizierung (SCA) ist eine Unzer-Funktion, die es Händler:innen ermöglicht, die Authentifizierung des Karteninhabers von der Zahlungsautorisierung zu entkoppeln.
Hierbei wird das EMV 3DS 2.x Authentifizierungsprotokoll verwendet, um den Karteninhaber zu authentifizieren, ohne die Karte unmittelbar zu autorisieren oder zu belasten. Das Ergebnis der Authentifizierung wird gespeichert und als eindeutige SCA-Referenz (Payment ID) zurückgegeben. Diese kann später verwendet werden, um genau eine Autorisierung oder Belastung durchzuführen, sobald Waren oder Dienstleistungen versandbereit bzw. auslieferbar sind.
Dieses Vorgehen ist PSD2-konform und eignet sich besonders für Anwendungsfälle mit späterer Erfüllung wie:
- Vorbestellungen und Rückstände (Backorders)
- Verzögerter Versand oder individuelle Anfertigung
- Dienstleistungen, die zu einem späteren Zeitpunkt erbracht werden
Durch die frühzeitige Authentifizierung und spätere Autorisierung reduziert SCA die Reibung für den Kunden bei gleichzeitiger Einhaltung gesetzlicher Anforderungen und erhöhter betrieblicher Flexibilität.
Vorteile für Händler:innen
Regulatorische Konformität
- Erfüllt die SCA-Anforderungen der PSD2, ohne eine sofortige Autorisierung zu erzwingen
Reduzierte Checkout-Hürden
- Kund:innen authentifizieren sich nur einmal
- Nachträgliche Re-Authentifizierung bei Versand der Ware ist nicht nötig
Höhere Conversion & Flexibilität
- Optimal für Anwendungsfälle mit verzögerter Lieferung
- Autorisierung erst, wenn Ware oder Dienstleistung tatsächlich bereitgestellt wird
Pflichten der Händler:innen
Händler:innen sind verantwortlich für:
- Die Registrierung der Karte vor der Einleitung der SCA.
- Die Einleitung der Authentifizierung über die SCA-API.
- Die sichere Speicherung der zurückgegebenen paymentId (SCA-Referenz).
- Die Verwendung derselben paymentId für genau eine nachfolgende Autorisierung oder Belastung.
- Die Sicherstellung, dass die Autorisierung innerhalb des zulässigen 90-Tage-Zeitfensters erfolgt.
Regeln & Einschränkungen
- Jede SCA-Referenz (paymentId) darf nur mit einer einzigen Autorisierung oder Belastung verknüpft werden.
- Die Wiederverwendung einer SCA-Referenz führt zu einer Ablehnung (Single-Use CAVV).
- Die Autorisierung muss innerhalb von 90 Tagen nach erfolgreicher Authentifizierung abgeschlossen werden.
- Die SCA-Authentifizierung reserviert keine Gelder.
End-to-End Prozess & API-Referenz
Schritt 1: Kartenregistrierung
Bevor die SCA eingeleitet werden kann, muss die Karte registriert werden.
/f/118211/602x67/094a982777/picture1.png)
Zweck
- Registriert die Karte
- Gibt eine typeId zurück
- Die typeId ist zwingend erforderlich zur Einleitung der SCA
Schritt 2: SCA einleiten (Nur-Authentifizierung)
/f/118211/602x566/d3aef009c2/picture2.png)
Zweck
- Führt eine EMV 3DS-Authentifizierung durch
- Erstellt keine Autorisierung oder Belastung
- Speichert 3DS-Artefakte (ECI, CAVV, Protokollversion, DS/ACS-IDs, Status, Zeitstempel)
- Gibt eine eindeutige SCA-Referenz (paymentId) zurück
Ergebnis
- Karteninhaber wurde authentifiziert
- Händler speichert die paymentId zur späteren Verwendung
Schritt 3: (Optional) SCA-Details abrufen
/f/118211/602x79/5f75a4e4d8/picture3.png)
Zweck
- Ruft den SCA-Status und Metadaten ab
- Gibt keine Rohdaten der 3DS-Authentifizierung aus
Schritt 4: Autorisierung, verknüpft mit vorheriger SCA
Wird durchgeführt, wenn Waren oder Dienstleistungen bereitgestellt werden.
/f/118211/602x72/8076b0b13a/picture4.png)
Regeln
- Verwendet die gespeicherten SCA-Authentifizierungsdaten
- Die SCA-Referenz wird dabei verbraucht
- Pro SCA ist nur eine Autorisierung oder Belastung erlaubt
Schritt 5: Belastung, verknüpft mit vorheriger SCA (Alternative)
/f/118211/602x77/670c0ef455/picture5.png)
Zweck
- Führt Autorisierung und Capture (Belastung) in einem Schritt durch
- Verwendet die gespeicherten SCA-Daten
- Es wird keine neue SCA ausgelöst
Zahlungsabläufe
Zahlungsablauf: Kartenregistrierung & SCA (Authentifizierung)
/f/118211/602x281/1e301aaef8/picture6.png)
Sequenzdiagramm: Autorisierung verknüpft mit SCA
/f/118211/602x317/0819e30624/picture7.png)
FAQ
Kann SCA für Card-on-File-Zahlungen verwendet werden?
Ja. SCA kann während der initialen Card-on-File-Setup-Transaktion durchgeführt werden. Folge-Transaktionen, die vom Händler initiiert werden, benötigen unter Umständen keine SCA, wenn sie korrekt gekennzeichnet und richtlinienkonform sind.
Kann SCA für wiederkehrende Zahlungen verwendet werden?
Ja. SCA kann für wiederkehrende Zahlungen verwendet werden, sofern die initiale Transaktion ordnungsgemäß authentifiziert wurde.
Wichtige Hinweise:
- Die erste Transaktion muss eindeutig kennzeichnen, dass sie eine wiederkehrende Zahlung einrichtet.
- Folge-Transaktionen müssen korrekt als wiederkehrend / MIT (Merchant Initiated Transaction) gekennzeichnet werden.
- Bei wesentlichen Änderungen des Betrags oder der Vereinbarung kann eine erneute Authentifizierung erforderlich sein.
- Herausgeber behalten sich das Recht vor, in bestimmten Fällen erneut SCA anzufordern.
Was passiert, wenn der Autorisierungsbetrag vom authentifizierten Betrag abweicht?
Änderungen des Betrags können eine neue SCA-Authentifizierung erforderlich machen und zu einer Ablehnung führen. Händler sollten nach Möglichkeit den final erwarteten Betrag authentifizieren.
Kann ich nach SCA + Autorisierung eine Teilbelastung durchführen?
Ja. Wenn Sie eine Autorisierung durchführen, die mit SCA verknüpft ist, können Sie Teilbelastungen gemäß den Standardregeln für Autorisierungen vornehmen. Die SCA-Referenz selbst darf jedoch nur einmal für eine Autorisierung verwendet werden.
Kann ich eine SCA-Referenz auf mehrere Autorisierungen aufteilen?
Nein. Jede SCA-Referenz (paymentId) ist strikt für den Einmalgebrauch vorgesehen und kann nur mit einer Autorisierung oder Belastung verknüpft werden. Ein Wiederverwendungsversuch führt zu einer Ablehnung.
Was passiert, wenn die Autorisierung nach erfolgreicher SCA fehlschlägt?
Wird die Autorisierung abgelehnt:
- Gilt die SCA-Referenz als verbraucht.
- Eine neue SCA-Authentifizierung muss vor einem erneuten Versuch durchgeführt werden.
Ein erfolgreicher Authentifizierungsvorgang garantiert keine Autorisierungsfreigabe.
Können Herausgeber während der Autorisierung dennoch SCA anfordern?
Ja. Auch nach einer vorherigen SCA behalten sich die Herausgeber immer das Recht vor, basierend auf einer risikobasierten Entscheidung eine zusätzliche Authentifizierung zu verlangen.
Kann ich eine SCA-Authentifizierung stornieren?
Nein. Nach Abschluss der Authentifizierung kann diese nicht storniert werden. Wird sie innerhalb des 90-Tage-Zeitfensters nicht verwendet, verfällt sie automatisch.