Bei der starken Kundenauthentifizierung müssen Karteninhaber für die überwiegende Mehrheit der elektronischen Zahlungen innerhalb des Europäischen Wirtschaftsraums eine Zwei-Faktor-Authentifizierung durchführen, wodurch Betrug reduziert wird, indem ein höheres Maß an Vertrauen geschaffen wird, dass die Person, die die Transaktion durchführt, der rechtmäßige Karteninhaber ist.
In der Reisebranche, in der eine hohe Anzahl von Buchungen über Reisebüros getätigt wird, erfordert die Durchführung der Zwei-Faktor-Authentifizierung Änderungen in der Art und Weise, wie Agenturen und Anbieter Zahlungen abwickeln.Wir haben uns das "Pass-Through"-Modell im ersten Blog angesehen unddas 'Merchant of Record'-Modell im zweiten Blog dieser Serie.
Es ist eine besondere Herausforderung, sicherzustellen, dass die Zahlungsprozesse den Anforderungen entsprechen, wenn ein Reisebüro die SCA im Auftrag vieler verschiedener Reiseanbieter in einer einzigen Buchung durchführt. Deshalb werden wir uns in diesem Blog damit befassen.
Stellen Sie sich vor, ein Reisender bucht einen Urlaub, der einen Flug, ein Hotel und einen Mietwagen umfasst, bei einem Online-Reisebüro (OTA).
Schritt 1
Sofort können wir auf das Konzept einer Merchant Initiated Transaction (MIT) stoßen. Es ist möglich, dass einer der drei Händler die Karte des Reisenden belasten möchte, ohne dass er anwesend ist, z. B. storniert der Reisende und es fällt eine Gebühr an, oder die Autovermietung erhebt eine Gebühr, wenn das Auto mit weniger als einem vollen Tank zurückgegeben wird.
Damit die Fluggesellschaft, das Hotel oder die Autovermietung diese Zahlungen später veranlassen kann, ist es wichtig, dass der Reisende zum Zeitpunkt der Buchung eine MIT-Vereinbarung abschließt. Daher Anforderungen die OTA, die Allgemeinen Geschäftsbedingungen jedes Händlers zum Zeitpunkt der Buchung deutlich zur Verfügung zu stellen und den Nachweis zu erbringen, dass der Reisende dieser Vereinbarung zugestimmt hat.
Schritt 2
Als Nächstes fordert das OTA den Reisenden auf, eine SCA-Prüfung mit einem Einmal-Passcode durchzuführen, der an sein Mobiltelefon gesendet wird. Wichtig ist, dass diese SCA-Prüfung für den gesamten Saldo aller Produkte in der Buchung gelten muss.
Schritt 3
Da an diesem Szenario mehrere Reiseanbieter (auch als Händler bezeichnet) im Hintergrund beteiligt sind, Anforderungen die SCA-Prüfung, die vom OTA zum Zeitpunkt der Buchung durchgeführt wird, von der Fluggesellschaft, dem Hotel und der Autovermietung verwendet werden können, sodass jede Einheit ihre eigene Zahlung verarbeiten kann.
Dies kann mithilfe des 3RI-Protokolls (auch bekannt als "3DS Requestor Initiated") erreicht werden, das eine "stille Authentifizierung" im Hintergrund ermöglicht, ohne dass der Reisende etwas tun Anforderungen muss. Bei der stillen Authentifizierung wird die ursprüngliche SCA-Prüfung, die der Reisende für das OTA durchführt, dynamisch mit nachfolgenden Zahlungen verknüpft, die von der Fluggesellschaft, dem Hotel und der Autovermietung veranlasst werden, wenn der Reisende nicht anwesend ist.
In diesem Szenario mit mehreren Händlern würde das OTA also die erste SCA-Prüfung in Schritt 2 und dann drei stille 3RI-Überprüfungen im Namen jedes Händlers (Fluggesellschaft, Hotel und Autovermietung) durchführen. Jeder Händler verfügt dann über die eindeutigen Authentifizierungsnachweisdaten, die er bei der Autorisierung seines Teils der Zahlung verwenden kann.
Damit dies erfolgreich ist, dürfen die separaten 3RI-Authentifizierungen den Gesamtwert der Authentifizierung, die der Reisende in Schritt 2 durchgeführt hat, nicht überschreiten, um das Risiko einer Überschreitung des Reisenden auszuschließen.
Wichtig ist, dass 3RI nur verfügbar ist, wenn die beteiligten OTAs und Reiseanbieter ihre Systeme auf das neueste Branchenstandard-Authentifizierungsprotokoll "3DS 2" aufgerüstet haben, das kürzlich von der technischen Einrichtung für Zahlungsverkehr EMVCo veröffentlicht wurde. Das ist einer der Gründe, warum Amadeus dafür plädiert, so schnell wie möglich auf den 3DS 2 umzusteigen.
Schritt 4
Das Reisebüro sendet die eindeutige SCA 3RI-Authentifizierung an jeden der Reiseanbieter, die dann jeweils ihre individuellen Zahlungen verarbeiten können. Auf der Karte des Reisenden werden drei separate Transaktionen angezeigt, die den ursprünglichen Betrag ausmachen, für den sich der Reisende in Schritt 2 authentifiziert hat.
Der 3RI-Prozess ist zwar der gewünschte Endzustand für die Authentifizierung von Karteninhabern bei Reisebuchungen mit mehreren Händlern, aber es wird anerkannt, dass diese Funktion noch nicht in großem Maßstab übernommen wurde. Daher wird erwartet, dass die ursprüngliche SCA-Prüfung, die vom Agenten durchgeführt wird, von jedem Lieferanten kurzfristig als Authentifizierungsnachweis verwendet werden kann. Dies wird jedoch nur eine Zwischenlösung sein und alle Travel Player sollten sich so schnell wie möglich auf 3RI auf Basis des 3DS 2-Protokolls vorbereiten.
Ratschläge für den Umgang mit "Multi-Merchant "-Szenarien:
- Reiseanbieter müssen Anforderungen sicherstellen, dass die Verträge mit Reisebüros aktualisiert wurden, damit der Reisende eine MIT-Vereinbarung abschließen kann
- Reise Reisebüromitarbeiter Anforderung, die Allgemeinen Geschäftsbedingungen des MIT zum Zeitpunkt der Buchung deutlich anzugeben
- Reise Reisebüromitarbeiter Anforderung eine SCA-Prüfung für den vollen Betrag der Pauschalreise durchführen
- Reise Reisebüros und Reiseanbieter Anforderung ein Upgrade auf den 3DS 2 durchführen müssen. Authentifizierungsstandard, sodass der Reisebüromitarbeiter separate 3RI-Authentifizierungen (im Hintergrund) für jeden an der Buchung beteiligten Anbieter durchführen kann
- Reise Lieferanten Anforderung ihre Zahlungsströme an sicherstellen API bewertet haben, und Technologiepartner können den erforderlichen Authentifizierungsnachweis durch die Vertriebskette leiten.
Wenn Sie SCA einführen, laden Sie doch unserenneuen Bericht herunter um den Bereitschaftsgrad in der gesamten Branche zu verstehen und einen prägnanten Aktionsplan zur Bekämpfung von SCA zu erstellen.
Dieser Artikel wurde vonThe Paypers veröffentlicht , der führenden unabhängigen Nachrichten- und Informationsquelle für Fachleute in der globalen Zahlungsbranche mit Sitz in den Niederlanden.
TO TOP