e-Commerce: Zwei-Faktor-Authentifizierung zwingend ab 14. September 2019
In der EU ist die sichere Authentifizierung ab dem 14. September im e-Commerce Vorschrift. Dann tritt nämlich die neue europäische Zahlungsdiensterichtlinie PSD2 in Kraft. Was bedeutet das für Schweizer Anbieter?
PSD2 hat gleiche Tragweite wie DSGVO
Am 14. September 2019 tritt die PSD2 (Payment Services Directive 2) in Kraft. Ihre Tragweite für den Online-Handel wird mit derjenigen der DSGVO verglichen. Grund dafür ist die Vorschrift der sicheren Kundenauthentifizierung.
Was heisst "sichere Kundenauthentifizierung"?
Sichere Kundenidentifizierung (oder Strong Customer Identification, SCA) bedeutet, dass bei der Authentifizierung jeweils zwei Faktoren aus zwei von drei Kategorien benötigt werden. Diese Kategorien sind:
- Etwas, das der Kunde weiss (z. B. Passwort, PIN oder Geheimfrage)
- Etwas, das der Kunde besitzt (z.B. Smartphone, Token oder Badge)
- Etwas, das der Kunde ist (z.B. Fingerabdruck, Irisscan oder Gesichtserkennung)
Was bedeutet das für die Schweiz?
Grundsätzlich muss die Schweiz PSD2 nicht umsetzen, da sie nicht Mitgleid der EU ist. E-Commerce-Unternehmen hingegen, die in die EU verkaufen, müssen (wie bei der DSGVO) die dortige Gesetzgebung einhalten. Ausserdem ist anzunehmen, dass (wiederum wie bei der DSGVO) die Schweiz im autonomen Nachvollzug ihre Gesetze denen der EU anpasst. Damit wird sich auch wer nicht in die EU verkauft früher oder später mit der Zwei-Faktor-Authentisierung befassen müssen. Die gute Nachricht ist, dass sich in der Regel die Zahlungsdiensteanbieter (z.B. Paypal oder Datatrans) um die Zwei-Faktor-Authentisierung kümmern müssen. Am e-Commerce-Anbieter bleibt es dann dafür zu sorgen, dass er einen Zahlungsanbieter auswählt, der die 2FA anbietet und dass er diese so einfach wie möglich in seinen Zahlungsablauf integriert.
aspectra bietet mit der Identity und Access Mangement Suite von Ergon (Airlock IAM) diverse Formen der Zwei-Faktor-Authentifizierung.
-
GDPR – Die neue Datenschutzverordnung der EU betrifft auch Schweizer Firmen
-
SCA FAQ: Your essential questions about new PSD2 rules answered (Siliconrepublic)
-
Diverse EU-Länder gewähren einen Aufschub: Zahlungsdienstrichtlinie PSD2: Übergangsfrist im E-Commerce gewährt (Heise)