Übersicht
Die sichere Zahlungsbestätigung (Secure Payment Confirmation, SPC) ist ein vorgeschlagener Webstandard, mit dem sich Kunden über einen Plattform-Authentifikator bei einem Kreditkartenaussteller, einer Bank oder einem anderen Zahlungsdienstleister authentifizieren können. Dieser Authentifikator wird in der Regel über die Funktion zum Entsperren des Displays eines Geräts wie einen Fingerabdrucksensor aktiviert. Das passiert in der Regel während eines Zahlungsauthentifizierungsprotokolls wie EMV 3-D Secure oder Open Banking. EMV 3-D Secure unterstützt beispielsweise SPC in seinem Release 2.3. Wir haben bereits angekündigt, dass SPC für Google Chrome unter macOS und Windows eingeführt wird. Außerdem haben wir Entwicklerleitfäden für die Registrierung und Authentifizierung bereitgestellt.
Ab M109 (derzeit im Beta-Kanal) ist SPC auch in Google Chrome für Android verfügbar. Nutzer können die Displaysperre ihres Geräts verwenden, um die Zahlungsbestätigung auf Händlerwebsites mit SPC abzuschließen.
Wenn Sie mit SPC experimentieren möchten, können Sie dies auf unserer Demowebsite ausprobieren oder Ihren Zahlungsdienstleister fragen, ob er diesen bei der Authentifizierung von Nutzerzahlungen unterstützen möchte.
Starke Authentifizierung für Zahlungen
Die Authentifizierung spielt eine wichtige Rolle bei der Betrugsprävention. Heutzutage werden bei der Zahlungsauthentifizierung jedoch oft schwache Bestätigungsmethoden (z. B. CVC-Code) oder aufwendige Bestätigungsmethoden (z. B. SMS-OTP) verwendet. Diese Authentifizierungsmethoden können Nutzer entweder anfällig für Betrug machen oder aufgrund von Reibung dazu führen, dass der Einkaufswagen wieder verlassen wird.
SPC baut auf der Web-Authentifizierung (WebAuthn) auf, um Zahlungstransaktionen mithilfe von Plattform-Authenticatorn zu authentifizieren, die in den Geräten der Nutzer integriert sind. Die authentifizierende Partei (in WebAuthn als vertrauende Partei bezeichnet), z. B. die ausstellende Bank oder ein Zahlungsdienstleister, registriert den Nutzer in einem einmaligen Vorgang entweder auf ihrer Website oder während einer traditionell authentifizierten Transaktion. Sie können die Registrierung dann verwenden, um den Nutzer in nachfolgenden Zahlungsabläufen zu authentifizieren.
Solange die vertrauende Partei dieselbe ist (z. B. dieselbe ausstellende Bank), sollte der Nutzer eine Registrierung für alle zukünftigen Zahlungen mit dieser vertrauenden Partei bei allen Händlern verwenden können, die SPC einbinden.
API-Änderungen
Entwickler können dem vorhandenen Implementierungsleitfaden folgen, der für die Desktop-Integration geschrieben wurde, um zu erfahren, wie die API funktioniert.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
Die Property payment gibt an, dass es sich um SPC-Anmeldedaten handelt. Weitere Informationen zur Verwendung finden Sie im vorherigen Registrierungsleitfaden.
Derzeit werden mit diesem Code nicht auffindbare Anmeldedaten erstellt, die für SPC geeignet sind. Sobald von SPC für Google Chrome auf Android sichtbare Anmeldedaten unterstützt werden, wird dieser Code automatisch auf das Erstellen sichtbarer Anmeldedaten umgestellt.
Ressourcen
Informationen zum Implementieren der sicheren Zahlungsbestätigung