1. Roger Burkhardt, Senior Product Manager
Profitcard 2019, Berlin
Eine Einschätzung aus 3-D Secure Perspektive
Online Shopping 2019 -
Technik auf der Überholspur?
2. Inhalt
• Die Tempomacher
Neue Technologien und Standards bringen neue Bezahl-Lösungen.
• Die Bremser
Sind die Karteninhaber bereit mitzuhalten?
• Das Aufholmanöver
Der Umgang mit der Technik ist im Wandel.
• Das Ende der Reise in Sicht?
5. Die Tempomacher für das mobile Bezahlen
• Near field communication (NFC) / Host Card Emulation (HCE)-Technologie
• Diverse (cloud basierte) Mobile Payment Dienste (Google Pay, Apple Pay,
PayPal, Samsung Pay, TWINT, AliPay, ...)
• Diverse E-Wallet-Dienste (Apple Wallet, Masterpass, ..)
• Tokenbasierte Gateways für sichere Authentisierungslösungen
• Neue Technologien für optimiertes Bezahlen (z.B. SRC) mit virtualisierten,
tokenisierten Karten
• Mobile Phone Generation «X»: Biometrische Erkennung
7. Was ist neu an EMV® 3-D Secure 2.1?
• Besseres Kundenerlebnis dank besserer Browser-Integration beim
Zahlungsvorgang (geänderter Protokoll-Flow)
• Viele zusätzliche Datenfelder für bessere Entscheidungen bei der risikobasierten
Authentifizierung
• Unterstützt app-basierte Käufe («in-app-purchases») auf mobilen und anderen
Endgeräten (HTML und/oder native XML)
• Erweitert die Funktionalität, die es Händlern ermöglicht, den
Authentifizierungsprozess in ihre Checkout-Erfahrung zu integrieren, sowohl für
app- als auch für browserbasierte Implementierungen.
• Der EMV® 3-D Secure – Standard wird durch ein breites Komitee laufend
weiterentwickelt (Version 2.2 ist finalisiert, Version 2.3 bereits in Diskussion)
9. PSD 2
• Per 14.09.2019 tritt die PSD 2 (zweite europäische Zahlungsdienstrichtlinie) in Kraft.
• Diese hat unter anderem das wesentliche Ziel, die Sicherheit von elektronischen
Zahlungen zu erhöhen.
• Hauptthemen in PSD 2 sind:
• XS2A
• Strong customer authentication (SCA)
11. BIG DATA und RBA
• Viel mehr Daten innerhalb des 3-D Secure 2.x Protokoll – mit BIG DATA werden aus
reinen Daten wertvolle Informationen!
• Bessere Risk-Applikationen (Mehr Automatisierung mittels Machine Learning (AI),
weniger rule-based)
• Zukunft der DeviceID ist ungewiss. Device-Erkennung ist für RBA aber ein grosses
Hilfsmittel.
14. Sind die Karteninhaber bereit mit der Technik mitzuhalten?
«Ich benutze meine Kreditkarte aus Sicherheitsgründen nicht im
Internet.»
«Ich verstehe nicht was ich falsch mache, manchmal klappt es mit
dem Bezahlen im Internet und manchmal nicht.»
«Ich benutze meine Kreditkarte nur wenn ich im Ausland bin.»
15. So bezahlen die Deutschen (2017)
Jeder dritte Deutsche besitzt eine Kreditkarte, doch eingesetzt wird sie nur bei
jeder 67. Zahlung in Deutschland (~1.5%).
* und andere Debitkarten, Quelle: Deutsche Bundesbank
18. Wie und wo holt man die Benutzer ab?
Digital customer journey
• Der Kunde soll auf eine digitale Reise mitgenommen werden ..
• .. auf der ihm ein Palette an digitalen Dienstleistungen angeboten
werden können. Mit dem Ziel für ein optimales..
Kundenerlebnis
• Neue Shopping-Channels wie Googles Shopping Action, Instagram
Shopping
• „Just walk out“-Technologie (Amazon Go) für physische Shops
19. Und speziell im Karten-Business?
• Die Akzeptanz des Zahlungsmittels und der damit zur Verfügung stehenden
Zahlungsmethoden durch den Karteninhaber ist entscheidend.
• Einfacher und sicherer Zugriff auf virtualisierte Karten über neue Systeme,
wie z.B. Secure Remote Commerce (SRC)
• Smartes User-Onboarding auf neue Karten-Services mittels «kluger» App-
Strategie (z.B. auch im Bereich 3-D Secure)
20. Das Ende der Reise in Sicht?
Internet of things
Die Online-Shopping-Reise geht weiter!
21. Vielen Dank für Ihre Aufmerksamkeit!
Besuchen Sie uns auf
www.netcetera.com
Hinweis der Redaktion
Sehr geehrte Damen und Herren. Ich freue mich hier an der diesjährigen Profitcard meinen Vortrag präsentieren zu dürfen.
Das Thema meines heutigen Vortrages lautet: Online Shopping 2019 – Technik auf der Überholspur?
Da ich es in 20 Minuten niemals schaffen würde sämtliche Neuerungen beim Online-Shopping zu durchleuchten, werde ich mich bei meinen Vortrag auf den Bereich 3-D Secure fokussieren..
Kurz zum Inhalt meiner Präsentation.
Klick.
Starten werde ich mit einer Übersicht über die aktuellen Tempomacher im Online-Shopping.
Klick.
Dann werfen wir einen Blick auf die User. Werden die neuen Möglicheiten des Online-Shopping auch wirklich benutzt?
Klick.
Das Aufholmanöver: Was sind die aktuellen Entwicklungen, mit denen man die Benutzer für neue Technologien und Services abholen möchte.
Klick.
Zuletzt noch ein kurzer Ausblick, wohin die Online-Shopping-Reise weitergehen könnte.
Starten wir mit den aktuellen Tempomachern im Online-Shopping.
Der sich zurzeit wohl am schnellst entwickelnde Bereich des Online Shopping ist das mobile Bezahlen.
Als technische Antreiber im Bereich Mobiles Bezahlen gelten u.a. die Technologien NFC (near field communication) und HCE (Host card emulation) für kontaktloses Bezahlen mit dem MobilePhone am POS.
Aber auch beim mobilen Bezahlen im Internet gibt es starke Treiber. Dabei zu erwähnen sind die diversen Mobile Payment Dienste, wie Google Pay, Apple Pay, PayPal, Samsung Pay, TWINT, .. und so weiter. Unterstützt werden diese Payment Dieste mit cloud-basierten Applikationen.
Ebenso sind heute diverse elektronische Wallets im Markt verfügbar, wie z.B. das Apple Wallet oder Masterpass.
Auf der technologischen Seite ermöglichen auch die tokenbasierten Secure Gateways, welche einen sicheren Kanal zu einem App aufbauen, neue Authentisierungslösungen für das sichere mobile Bezahlen (Stichwort out-of-band-Authentifizierung)
Im Bereich optimiertes Checkout sind aktuelle Entwicklungen im Gange, wie z.B. SRC, mit dem Ziel dem Benutzer überall und jederzeit seine tokensierten und virtualisierten Karten zum Einkauf zur Verfügung zu stellen.
sowie im Bereich 3-D Secure vor allem die Integration von tokenbasierten Authentisierungslösungen.
Neben den neuen Technologien unterstützen auch die Mobile Phone Gerätehersteller mobiles Bezahlen. Dies unter anderem mit vorinstallierten Wallet-Lösungen, aber auch durch die Unterstützung der biometrischen Benutzerauthentisierung wie Fingerprint und FaceID, welche in den Zahlungsprozess integriert werden können.
Ein weiterer Beschleuniger im Bereich Online Payments ist der neue Industrie-Standard EMV 3-D Secure 2.x, welcher von EMVCo definiert wurde und per April 2019 mandatiert ist.
Besseres Kundenerlebnis dank besserer Browser-Integration beim Zahlungsvorgang (geänderter Protokoll-Flow)
Viele zusätzliche Datenfelder für bessere Entscheidungen bei der risikobasierten Authentifizierung
Unterstützt app-basierte Käufe («in-app-purchases») auf mobilen und anderen Endgeräten (HTML und/oder native XML)
Erweitert die Funktionalität, die es Händlern ermöglicht, den Authentifizierungsprozess in ihre Checkout-Erfahrung zu integrieren, sowohl für app- als auch für browserbasierte Implementierungen.
Der EMV® 3-D Secure – Standard wird durch ein breites Komitee laufend weiterentwickelt (Version 2.2 ist finalisiert, Version 2.3 bereits in Diskussion)
Das nächste und ebenfalls ein sehr aktuelles Thema im Bereich von Internet-Payments ist PSD2.
Klick.
XS2A: Die Banken werden verpflichtet, Schnittstellen einzurichten, über die Drittdienstleister auf die Zahlungskonten der Bankkunden zugreifen können.
SCA: verlangt eine starke Authentisierung des Benutzers bei Online-Zahlungen. Dies bedeutet im Normalfall eine Authentisierung mit zwei Faktoren aus den folgenden drei Kategorien: Haben, Wissen und Sein.
Ein weiteres aktuell spannendes Entwicklungsfeld ist BIG DATA und Risk based authentication.
Viel mehr Daten innerhalb des 3-D Secure 2.x Protokoll – mit BIG DATA werden aus reinen Daten wertvolle Informationen!
Bessere Risk-Applikationen (Mehr Automatisierung mittels Machine Learning (AI), weniger rule-based)
Zukunft der DeviceID ist ungewiss. Device-Erkennung ist für RBA aber ein grosses Hilfsmittel.
2010 Start mit dem 3-D Secure 1.0 Protokoll, welches von Arcot (heute Broadcom) entwickelt wurde und von VISA unter dem Brand «verified by VISA» im Markt ausgerollt wurde.
Statisches Passwort:
User experience: Vom Prinzip her ein einfaches Verfahren, bei Gelegenheitsbenutzer aber das Problem, dass das Passwort vergessen wird. Auch wird der Registrierungprozess damals als mühsam und unseriös empfunden.
Security: Schwach, Phishing als riesiges Problem bei statischer Authentisierung
Dynamisches Passwort:
User experience: Einfaches Verfahren, One-Time-Passwort wird per SMS zugestellt. Für 1-Faktoren-Authentisierung super. Bei 2-Faktoren-Authentisierung gleiche Gefahr wie bei statischem PW, dass Secure Answer vergessen wird.
Security: Sicher viel besser als statisches PW. Mittlerweile wird aber auch SMS als nicht mehr 100% sicher gesehen, (Man-in-the-middle-Attacks)Optional können OTP’s heute auch in ein E-Banking-System oder in ein Email-Account weitergeleitet werden. Aber auch diese Prozesse sind anfällig auch Betrug.
Out-of-Band mit dedicated Auth App
User experience: Stark verbessert. Der User kann mit einem Klick die Transaktion in einer Authentisierungs-App bestätigen oder canceln.
Security: Stark verbessert. Die Kommunikation zwischen dem 3-D Secure System und dem App erfolgt über einen gesicherten Kanal mittels Tokens.Optional kann die Transaktion mit einem zweiten Faktor (Biometrie – Fingerprint, FaceID oder Statischer PIN) ergänzt werden.
Out-of-Band mit Banking App
User experience: Noch besser. Der User hat die volle Übersicht über seine Konten und Karten und kann innerhalb der Banking App Transaktionen mit einem Klick bestätigen oder canceln.
Security: Sehr hoch. Die Kommunikation zwischen dem 3-D Secure System und dem App erfolgt über einen gesicherten Kanal mittels Tokens. Da die starke Benutzerauthentisierung bereits im Rahmen des Banking App-Login etabliert ist, muss nicht zwingend ein zweiter Faktor für die Transaktions-Freigabe eingegeben werden.
Risk based authentication (RBA)
User experience: Schlagwort «Frictionless Transactions»!! Grundsätzlich sehr benutzerfreundlich, da kein Challenger. Da aber heute nur ein geringer Teil der 3-D Secure Transaktionen mittels RBA frictionless laufen, erfährt der Benutzer ein nicht konsistentes Bezahlerlebnis, sprich bei gewissen Transaktionen wird der gechallenged und bei anderen aufgrund einer besseren Risikoeinschätzung nicht.
Security: Mit zunehmender Datenhistorie steigt die Aussage-Qualität einer Risikobewertung. Leider wissen die Betrüger auch, dass v.a. «low-value-Transaktionen oftmals Frictionless laufen und nutzen dies dementsprechend aus.
Nun stellt sich die Frage ob die Benutzer auch bereit sind die neuen Technologien im Bereich Mobile Payment zu nutzen?
Wo befindet sich der Karteninhaber im Zeitalter der Digitalisierung, wenn es um Online-Shopping geht? Kennt er die neuen Technologien und Zahlungslösungen? Kann der Karteninhaber der schnellen technologischen Entwicklung folgen oder befindet sich die Technik auf der Überholspur?
«Ich benutze meine Kreditkarte aus Sicherheitsgründen nicht im Internet.»
«Ich verstehe nicht was ich falsch mache, manchmal klappt es mit dem Bezahlen im Internet und manchmal nicht.»
«Ich benutze meine Kreditkarte nur wenn ich im Ausland bin.»
Jeder dritte Deutsche besitzt eine Kreditkarte, doch eingesetzt wird sie nur bei jeder 67. Zahlung in Deutschland (~1.5%).
Das Fazit aus diesen Umfrage-Ergebnissen scheint klar: Es braucht ein Aufholmanöver.
Darum stellt sich die Frage, wie und wo man die Benutzer für die neuen Techniken abholen kann?Ein wohl zentraler Aspekt beim Umgang mit der Technik ist der Generationenwechsel. Die kommenden Generationen haben viel weniger Berührungsängste mit den neuen Technologien, was auch die aktuelle Umfrage der EHI-Mobile-Payment-Initiative 2019 belegt. Die deutsche Bevölkerung sind mittlerweile durchschnittlich viel offener gegenüber mobilem Bezahlen, sowie auch gegenüber dem Benutzen von biometrischer Funktionen, wir z.B. Iris-Scanner geworden.
Digital customer journey
Der Kunde soll auf eine digitale Reise mitgenommen werden ..
.. auf der ihm ein Palette an digitalen Dienstleistungen angeboten werden können. Mit dem Ziel für ein optimales..
Kundenerlebnis
Neue Shopping-Channels wie Googles Shopping Action, Instagram Shopping
„Just walk out“-Technologie (Amazon Go) für physische Shops
Die Akzeptanz des Zahlungsmittels und der damit zur Verfügung stehenden Zahlungsmethoden durch den Karteninhaber ist entscheidend.
Einfacher und sicherer Zugriff auf virtualisierte Karten über neue Systeme, wie z.B. Secure Remote Commerce (SRC)
Smartes User-Onboarding auf neue Karten-Services mittels «kluger» App-Strategie (z.B. auch im Bereich 3-D Secure)
Nun wie sieht die Zukunft des Online-Shopping aus? Ist das Ende der Reise in Sicht?
Ich denke noch lange nicht. Bereits gross angekündigt sind neue Produkte im Bereich
Virtuelle Assistenten, wie Alexa, Siri und Co., welche das Shopping-Verhalten nochmals
stark beeinflussen werden. Gleichzeitig ist auch auf technologischer Ebene viel am Laufen.
Beispielsweise könnte die BlockChain Technologie zukünftig auch eine Rolle bei der sicherenAbwicklung von Online-Zahlungen spielen. Und nicht zuletzt ist IOT ein grosses Thema, welches
unsere digitale Zukunft prägen wird. Darum kann ich als Fazit klar behaupten:
DIE ONLINE-SHOPPING-REISE GEHT WEITER!!!