# Bereitschaft für die starke Kundenauthentifizierung Erfahren Sie, welche Auswirkungen die starke Kundenauthentifizierung auf Ihr Unternehmen hat und wie Sie Ihre Integration für die SCA-Unterstützung anpassen. - [Video über die starke Kundenauthentifizierung (SCA)](https://stripe.com/payments/strong-customer-authentication) - [Szenarien für starke Kundenauthentifizierung (SCA)](https://stripe.com/guides/sca-payment-flows) - [Webinar](https://go.stripe.global/sca-webinar.html) Die [starke Kundenauthentifizierung (SCA)](https://stripe.com/guides/strong-customer-authentication), eine Vorschrift, die seit dem 14. September 2019 als Teil der PSD2-Verordnung in Europa in Kraft ist, erfordert Änderungen an der Authentifizierung von Online-Zahlungen durch Ihre europäischen Kundinnen und Kunden. Bei Kartenzahlungen müssen Sie *3D Secure* (3D Secure (3DS) provides an additional layer of authentication for credit card transactions that protects businesses from liability for fraudulent card payments) verwenden, um die Anforderungen der starken Kundenauthentifizierung zu erfüllen. Die Banken Ihrer Kundinnen und Kunden können Transaktionen ablehnen, die den neuen Authentifizierungsrichtlinien nicht entsprechen. Zur Unterstützung der starken Kundenauthentifizierung (SCA): 1. Bestimmen Sie, ob die starke Kundenauthentifizierung (SCA) Auswirkungen auf Ihr Unternehmen hat. 1. Wählen Sie das für Ihr Unternehmen geeignete Produkt, das die starke Kundenauthentifizierung unterstützt, aus. 1. Nehmen Sie jetzt Änderungen vornehmen, um abgelehnte Zahlungen zu vermeiden. Wenn Sie ein Plugin, eine Plattform eines Drittanbieters oder einen [Erweiterungspartner](https://stripe.partners) verwenden, wenden Sie sich bitte an Ihren Stripe-Partner, um zu erfahren, ob Änderungen erforderlich sind, um die starke Kundenauthentifizierung (SCA) zu unterstützen. Bei Fragen [kontaktieren Sie den Support](https://support.stripe.com/contact). ## Betroffene Unternehmen und Zahlungen Aktualisieren Sie Ihre Stripe-Integration zur Unterstützung der starken Kundenauthentifizierung (SCA), wenn alle folgenden Punkte zutreffen: - Ihr Unternehmen ist im *Europäischen Wirtschaftsraum* (The European Economic Area is a regional single market with free movement of labor, goods, and capital. It encompasses the European Union member states and three additional states that are part of the European Free Trade Association) angesiedelt oder Sie [erstellen Zahlungen im Namen verbundener Konten, die im EWR niedergelassen sind](https://docs.stripe.com/strong-customer-authentication/connect-platforms.md). - Sie haben Kundinnen und Kunden im EWR. - Sie akzeptieren Karten (Kredit- oder Debitkarten). Zwar erfordern einige Transaktionen mit geringem Risiko (basierend auf der Höhe der Betrugsraten des Zahlungsdienstleisters oder der Bank) keine Authentifizierung, dennoch können Banken von der Kundin oder vom Kunden eine vollständige Authentifizierung verlangen. Auch wenn Sie hauptsächlich Transaktionen mit geringem Risiko abwickeln, sollten Sie Ihre Integration aktualisieren, damit Ihre Kundinnen und Kunden die Authentifizierung durchführen können, wenn die Bank dies verlangt. Informieren Sie sich über *SCA-Ausnahmen* (Some transactions that are deemed low risk, based on the volume of fraud rates associated with the payment provider or bank, may be exempt from Europe's Strong Customer Authentication requirements). ## SCA-fähige Produkte und APIs Unabhängig davon, ob Sie einmalige Zahlungen erhalten oder Karten zur späteren Wiederverwendung speichern, Stripe bietet vorgefertigte und anpassbare Produkte, mit denen Sie die SCA-Anforderungen erfüllen können. Bei Integrationen, die die starke Kundenauthentifizierung nicht unterstützen, zum Beispiel diejenigen, die die ältere [Charges API](https://docs.stripe.com/payments/charges-api.md) verwenden, kann es zu hohen Ablehnungsquoten von Banken kommen, die die starke Kundenauthentifizierung durchsetzen. ### Einmalige Zahlungen Akzeptieren Sie Kartenzahlungen mit der *Payment Intents API* (The Payment Intents API tracks the lifecycle of a customer checkout flow and triggers additional authentication steps when required by regulatory mandates, custom Radar fraud rules, or redirect-based payment methods) und mit [Checkout](https://docs.stripe.com/payments/checkout.md), einem vorgefertigten, von Stripe gehosteten Bezahlvorgang, bei dem die Anforderungen der starken Kundenauthentifizierung automatisch berücksichtigt werden. Checkout lässt sich flexibel anpassen und bietet Ihnen die Möglichkeit, Zahlungen für einmalige Käufe und für *Abonnements* (A Subscription represents the product details associated with the plan that your customer subscribes to. Allows you to charge the customer on a recurring basis) auf Ihrer Website anzunehmen. - [Migration zur Payment Intents API](https://docs.stripe.com/payments/payment-intents/migration.md) - [Vorgefertigte Bezahlseite verwenden](https://docs.stripe.com/payments/accept-a-payment.md?integration=checkout) - [Nutzerdefinierten Zahlungsablauf erstellen](https://docs.stripe.com/payments/accept-a-payment.md?integration=elements) ### Karten wiederverwenden Speichern Sie eine Karte zur späteren Wiederverwendung mit der Payment Intents API und der *Setup Intents API* (The Setup Intents API lets you build dynamic flows for collecting payment method details for future payments. It tracks the lifecycle of a payment setup flow and can trigger additional authentication steps if required by law or by the payment method). Sie können auch Checkout verwenden, um die SCA-Anforderungen automatisch zu berücksichtigen oder Sie können [Billing](https://docs.stripe.com/billing.md)verwenden, um SCA für [Abonnements](https://docs.stripe.com/subscriptions.md) miteinzubeziehen. - [Vorgefertigte Bezahlseite verwenden](https://docs.stripe.com/payments/save-and-reuse.md?platform=checkout) - [Nutzerdefinierten Ablauf erstellen, um Kartenangaben zu speichern](https://docs.stripe.com/payments/save-and-reuse.md) ## SCA-Migration Möglicherweise müssen Sie Ihre Integration aktualisieren, um die starke Kundenauthentifizierung (SCA) zu unterstützen. Ausführliche Informationen zu den erforderlichen Änderungen, einschließlich spezifischer Produktempfehlungen basierend auf Use Cases, finden Sie in den folgenden Leitfäden: - [Migration zur Payment Intents API](https://docs.stripe.com/payments/payment-intents/migration.md) - [Zahlungsabläufe mit starker Kundenauthentifizierung (SCA)](https://stripe.com/guides/sca-payment-flows) ## Plugins und Entwicklerbibliotheken aktualisieren Möglicherweise müssen Sie Ihr Stripe-Plugin oder Ihre Entwicklerbibliothek aktualisieren, um SCA zu unterstützen. Wenn Sie nach einem die starke Kundenauthentifizierung unterstützenden Plugin suchen, besuchen Sie [Stripe Partners](https://stripe.com/partners/sca-ready). ### Plugin auf unserer Plattform identifizieren Fügen Sie bitte Identifizierungsinformationen in Ihre Plugins und Bibliotheken von Drittanbietern ein, damit wir Sie über zukünftige Änderungen oder wichtige Updates der API informieren können. Verwenden Sie die Funktion [setAppInfo function](https://docs.stripe.com/building-plugins.md#setappinfo), um diese Details in Ihrer Stripe-Integration anzugeben. Wir empfehlen Ihnen die Teilnahme am [Stripe-Partnerprogramm](https://stripe.com/partner-program?utm_campaign=partnerprogram&utm_source=sca-plugins-guide), für das Sie sich [kostenlos registrieren](https://stripe.com/partner-program?utm_campaign=partnerprogram&utm_source=sca-plugins-guide&utm_medium=join#stripe-partner-program) können und das Ihnen weitere Entwicklerressourcen zur Erstellung von Plugins bietet. Erfahren Sie mehr über [empfohlene Best Practices](https://docs.stripe.com/building-plugins.md). ### Integrationspfad bestimmen Das sollten Sie dabei berücksichtigen: - Verwenden Sie [Stripe Checkout](https://docs.stripe.com/payments/checkout.md), um Zahlungen über ein anpassbares Formular einzuziehen. Sie können das Zahlungsformular in Ihre Website einbetten oder es auf Stripe hosten. - Um mehr Kontrolle über Ihren Bezahlvorgang zu erhalten, nutzen Sie die Payment Intents API und die Setup Intents API mit [Elements](https://docs.stripe.com/payments/elements.md), *PaymentMethods* (PaymentMethods represent your customer's payment instruments, used with the Payment Intents or Setup Intents APIs), *Kunden/Kundinnen* (Customer objects represent customers of your business. They let you reuse payment methods and give you the ability to track multiple payments) und *Connect* (Connect is Stripe's solution for multi-party businesses, such as marketplace or software platforms, to route payments between sellers, customers, and other recipients). Diese APIs zeigen Authentifizierungsabläufe wie 3DS 2 an, speichern Karten für die spätere Verwendung und unterstützen die starke Kundenauthentifizierung (SCA). - Für wiederkehrende Zahlungen nutzen Sie Stripe Billing, um [Abonnements](https://docs.stripe.com/subscriptions.md) und [Rechnungsstellung](https://docs.stripe.com/invoicing.md) zu verwalten. - [Registrieren Sie einen Webhook-Endpoint](https://docs.stripe.com/webhooks.md#register-webhook) für Ihr Konto oder verbundene Konten und verwalten Sie diese mit der Webhooks-API. Wenn keine dieser Optionen für Ihre Integration funktioniert, [kontaktieren Sie uns](mailto:plugins+sca@stripe.com). ### Dynamische Authentifizierung testen Nachdem Sie Ihren Integrationspfad implementiert haben, konfigurieren Sie Ihre [Dynamic 3D Secure Radar-Regeln](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#three-ds-radar), um Ihre Integration mit [3D Secure-Testkarten](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#three-ds-cards) zu überprüfen. Stellen Sie sicher, dass Sie sowohl erfolgreiche als auch erfolglose Authentifizierungsfälle testen. ### Ihre Kunden/Kundinnen und Stripe benachrichtigen Sobald Sie die Aktualisierung abgeschlossen haben, stellen Sie Ihren Kunden/Kundinnen eine die starke Kundenauthentifizierung unterstützende Aktualisierung zur Verfügung. Sie können den [Leitfaden zur starken Kundenauthentifizierung](https://stripe.com/guides/strong-customer-authentication) an Ihre Kundinnen und Kunden weitergeben, um ihnen zu helfen, diese regulatorischen Änderungen zu verstehen. Wenn Sie eine die starke Kundenauthentifizierung (SCA) unterstützende Aktualisierung veröffentlichen, informieren Sie bitte [auch Stripe](mailto:plugins+sca@stripe.com). Auf der Seite [Stripe Partners](https://stripe.com/partners/sca-ready) verweisen wir Nutzer/innen auf Lösungen, die eine starke Kundenauthentifizierung (SCA) unterstützen. ## Frühere Autorisierungsvereinbarungen verwenden Wenn Sie Zahlungen einziehen, während Ihre Kundin oder Ihr Kunde Ihre Anwendung nicht aktiv nutzt, kann es sein, dass Ihre Kundin oder Ihr Kunde sich gemäß der starken Kundenauthentifizierung erneut authentifizieren muss, auch wenn er sich bereits in der Vergangenheit authentifiziert hat. Für diese *Off-Session* (A payment is described as off-session if it occurs without the direct involvement of the customer, using previously-collected payment information)-Zahlungen können Sie die Stripe-APIs verwenden, um Ihre Kundin oder Ihren Kunden einmalig während *On-Session* (A payment is described as on-session if it occurs while the customer is actively in your checkout flow and able to authenticate the payment method) zu authentifizieren und die Karte dann wiederholt Off-Session wiederzuverwenden. Alternativ können Sie frühere Autorisierungsvereinbarungen (mitunter auch als „Grandfathering“ bezeichnet) für Zahlungen außerhalb der Sitzung verwenden, welche die folgenden Anspruchsvoraussetzungen erfüllen, unabhängig von Zahlungsbetrag und -häufigkeit: - Es sind Karten von EU-Kund/innen, die vor dem 31. Dezember 2020 gespeichert wurden. - Es sind Karten von britischen Kund/innen, die vor dem 14. September 2021 gespeichert wurden. Stripe sucht automatisch nach Transaktionen, die vor den oben genannten Daten mit Karten getätigt wurden. Wenn solche Transaktionen gefunden werden, verwendet Stripe die vorherige Autorisierungsvereinbarung für die aktuelle Transaktion. Wenn die Bank die vorherige Autorisierungsvereinbarung akzeptiert, wird die Transaktion als außerhalb des Geltungsbereichs der starken Kundenauthentifizierung (SCA) eingestuft und kann ohne zusätzliche Authentifizierung fortgesetzt werden. Sollte die Bank die vorherige Autorisierungsvereinbarung ablehnen, ändert sich der Status von PaymentIntent in *requires\_payment\_method* (This status appears as "requires_source" in API versions before 2019-02-11) und Sie müssen Ihren Kundinnen und Kunden darüber informieren, dass die [Zahlung abgeschlossen werden muss](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method). ### Karten nach Ablauf der Umsetzungsfrist speichern Nach Inkrafttreten der starken Kundenauthentifizierung (SCA) können Sie die Payment Intents API zum [Speichern und Wiederverwenden von Karten](https://docs.stripe.com/payments/save-and-reuse.md) sowie die Setup Intents API zur Qualifizierung für Off-Session-Ausnahmen verwenden. Sie können Karten auch mit [Stripe Checkout](https://docs.stripe.com/payments/save-and-reuse.md?platform=checkout) speichern. ### Ihre gespeicherten Karten für die starke Kundenauthentifizierung (SCA) vorbereiten Damit Stripe frühere Autorisierungsvereinbarungen wiederverwenden kann, müssen Sie die Payment Intents API verwenden und Stripe mitteilen, dass es sich um eine Off-Session-Zahlung handelt. | Vor der Umsetzungsfrist | Nach Ablauf der Umsetzungsfrist | | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | Sie haben die Karte gespeichert, indem Sie ein Token, eine [Quelle](https://docs.stripe.com/sources.md) oder eine [Zahlungsmethode](https://docs.stripe.com/payments/save-during-payment.md) das `Customer`-Objekt übergeben haben. | Erstellen Sie einen PaymentIntent mit einem [Off-Session-Flag](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method). | | Sie haben die Karte gespeichert, indem Sie einen [SetupIntent](https://docs.stripe.com/payments/save-and-reuse.md) erstellt oder [setup_future_usage](https://docs.stripe.com/api/payment_intents/create.md#create_payment_intent-setup_future_usage) in einem PaymentIntent verwendet haben. | Erstellen Sie einen PaymentIntent mit einem [Off-Session-Flag](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method). | ## Umsetzung der starken Kundenauthentifizierung (SCA) Bereiten Sie Ihre Zahlungsabläufe so bald wie möglich auf die Unterstützung der starken Kundenauthentifizierung (SCA) vor, falls die SCA-Vorgaben für Sie relevant sind. Dies kann dazu beitragen, eine Zunahme von Ablehnungen durch europäische Karten zu verhindern und Sie auf eine frühzeitige Durchsetzung durch Banken vorzubereiten. Informieren Sie sich darüber, wie sich die [Durchsetzung von Land zu Land unterscheidet](https://support.stripe.com/questions/strong-customer-authentication-sca-enforcement-date). ### Stellen Sie sicher, dass Ihre Integration die starke Kundenauthentifizierung unterstützt Ihre Integration unterstützt die starke Kundenauthentifizierung, wenn Sie alle Ihre Zahlungen mit die starke Kundenauthentifizierung unterstützenden Produkten wie Checkout, Billing, der Payment Intents API oder einer die starke Kundenauthentifizierung unterstützenden Partnerlösung abwickeln. Führen Sie zusätzlich folgende Schritte aus: - Testen Sie die 3DS-Authentifizierung mit unseren [regulären Testkarten](https://docs.stripe.com/testing.md#regulatory-cards), um sicherzustellen, dass Ihre Integration 3DS verarbeiten kann. - Für Off-Session-Zahlungen richten Sie die Karte beim Speichern der Zahlungsmethode ein und authentifizieren Sie diese. Verwenden Sie anschließend die API, um [Off-Session-Zahlungen zu kennzeichnen](https://docs.stripe.com/payments/save-and-reuse.md?platform=web&ui=elements#charge-saved-payment-method). - Wenn Sie die Billing-API für Abonnements oder Rechnungen verwenden, stellen Sie bitte sicher, dass Ihre Integration mit [unvollständigen Status](https://docs.stripe.com/billing/subscriptions/overview.md#payment-behavior) umgehen kann. ### Unvollständige, abgelehnte oder fehlgeschlagene Zahlungen verstehen Zahlungen können aus verschiedenen Gründen fehlschlagen, beispielsweise aufgrund unvollständiger, abgelehnter oder fehlgeschlagener Zahlungen. Bei Zahlungen, die sich im (API)-Status `incomplete` (Dashboard) oder `requires_action` hängen bleiben, gehen Sie bitte wie folgt vor: - Stellen Sie sicher, dass Ihre Kundin oder Ihr Kunde nicht gerade eine On-Session-Zahlung authentifiziert. Möglicherweise hat sie bzw. er auch den Bezahlvorgang abgebrochen. - Stellen Sie sicher dass Sie [die nächsten Schritte durchführen](https://docs.stripe.com/payments/payment-intents/verifying-status.md#next-actions), wie beispielsweise die Authentifizierung. - Setzen Sie [off_session](https://docs.stripe.com/api/payment_intents/create.md#create_payment_intent-off_session) auf `true` wenn Sie eine Off-Session-Zahlung erstellen. Banken können Zahlungen ablehnen, die eine 3DS-Authentifizierung erfordern, jedoch nicht 3DS-fähig sind. Sollte eine Off-Session-Zahlung fehlschlagen, Sie jedoch der Ansicht sind, dass diese von den SCA-Anforderungen ausgenommen ist, gehen Sie bitte wie folgt vor: - Stellen Sie bitte sicher, dass Sie die Karte beim Speichern der Angaben zur Zahlungsmethode authentifizieren, entweder während einer Zahlung oder ohne Zahlung. - Wenn Sie Karten während einer Zahlung speichern, setzen Sie `setup_future_usage` auf `off_session`. - Wenn Sie Karten ohne Zahlung speichern möchten, verwenden Sie bitte die Setup Intents API und setzen Sie `usage` auf `off_session`. Ausnahmen können nicht garantiert werden und Off-Session-Zahlungen erfordern möglicherweise weiterhin eine Authentifizierung durch die Bank. #### Abgelehnte Zahlungen anzeigen 1. Gehen Sie im Dashboard auf **Transaktionen** > [Payments](https://dashboard.stripe.com/payments). 1. Führen Sie in der Dropdown-Liste **Filtern nach: Status** eine der folgenden Aktionen durch: - Wählen Sie **Fehlgeschlagen**, um abgelehnte On-Session-Zahlungen anzuzeigen. - Wählen Sie **Unvollständig**, um abgelehnte On-Session-Zahlungen anzuzeigen. 1. Klicken Sie auf **Anwenden**. 1. Bewegen Sie den Mauszeiger über das Status-Badge, um den Grund anzuzeigen. ### Angefochtene Zahlungen überwachen Beachten Sie bei der Überwachung von Zahlungsanfechtungen, dass über 3DS authentifizierte Zahlungen der *Haftungsverlagerungsregel* unterliegen. Wenn Karteninhaber/innen [3DS Secure-Zahlungen als betrügerisch anfechten](https://docs.stripe.com/payments/3d-secure/authentication-flow.md#disputed-payments), wird die Haftung in der Regel von Ihnen auf den Kartenaussteller verlagert. Wendet der Kartenaussteller Ausnahmen an, wird die Zahlung nicht über 3D Secure authentifiziert. In diesem Fall greift die Haftungsverlagerung nicht. ### Erlaubnis zur Wiederverwendung von Kartendaten erwirken Wenn Sie Ihren Zahlungsablauf so einrichten, dass eine Karte mithilfe der Payment Intents API oder der Setup Intents API gespeichert wird, kennzeichnet Stripe nachfolgende Zahlungen außerhalb der Sitzung als *vom Händler initiierte Transaktion* (A payment made off-session with a properly authenticated saved card, can qualify as merchant-initiated transaction and be exempt from SCA) (MIT). Diese Transaktionen erfordern eine Vereinbarung (auch als *Mandat* bezeichnet) zwischen Ihnen und Ihren Kundinnen und Kunden. Stellen Sie auf Ihrer Website oder in Ihrer Anwendung mindestens folgende Informationen bereit: - Die Zustimmung der/s Kund/in zur Einleitung einer Zahlung in ihrem/seinem Namen - Die erwartete Häufigkeit von Zahlungen (einmalig oder wiederkehrend) - Wie Sie den Zahlbetrag ermitteln Verweisen Sie in Ihrem Bezahlvorgang auf die Zahlungsbedingungen: Ich autorisiere , Anweisungen an das Finanzinstitut zu senden, das meine Karte ausgestellt hat, um Zahlungen von meinem Kartenkonto gemäß den Bedingungen meiner Vereinbarung mit Ihnen einzuziehen.