Übersicht
Die sichere Zahlungsbestätigung (Secure Payment Confirmation, SPC) ist ein vorgeschlagener Webstandard, mit dem sich Kunden über einen Plattform-Authentifikator bei einem Kreditkartenaussteller, einer Bank oder einem anderen Zahlungsdienstleister authentifizieren können. Dieser Authentifikator wird in der Regel über die Funktion zum Entsperren des Displays eines Geräts wie z. B. einen Fingerabdrucksensor aktiviert. Das passiert in der Regel während eines Zahlungsauthentifizierungsprotokolls wie EMV 3-D Secure oder Open Banking. EMV 3-D Secure unterstützt beispielsweise SPC in der Version 2.3 der Spezifikation. Wir haben bereits angekündigt, dass SPC für Google Chrome unter macOS und Windows eingeführt wurde. Außerdem haben wir Entwicklerhandbücher für die Registrierung und die Authentifizierung veröffentlicht.
Ab M109 (derzeit im Beta-Kanal) ist SPC auch in Google Chrome für Android verfügbar. Nutzer können die Displaysperre ihres Geräts verwenden, um die Zahlungsbestätigung auf Händlerwebsites mit SPC abzuschließen.
Wenn Sie SPC ausprobieren möchten, können Sie es auf unserer Demowebsite testen oder Ihren Zahlungsdienstleister fragen, ob er die Funktion zur Authentifizierung von Nutzerzahlungen unterstützen wird.
Starke Authentifizierung für Zahlungen
Die Authentifizierung spielt eine wichtige Rolle bei der Betrugsprävention. Bei der Zahlungsauthentifizierung werden jedoch häufig unsichere (z. B. CVC-Code) oder umständliche (z. B. SMS-OTP) Bestätigungsmethoden verwendet. Diese Authentifizierungsmethoden können Nutzer entweder anfällig für Betrug machen oder aufgrund von Reibung dazu führen, dass der Einkaufswagen wieder verlassen wird.
SPC baut auf der Web-Authentifizierung (WebAuthn) auf, um Zahlungstransaktionen mithilfe von Plattform-Authenticatorn, die in den Geräten der Nutzer integriert sind, stark zu authentifizieren. Die authentifizierende Partei (in WebAuthn als vertrauende Partei bezeichnet), z. B. die ausstellende Bank oder ein Zahlungsdienstleister, registriert den Nutzer in einem einmaligen Vorgang entweder auf ihrer Website oder während einer traditionell authentifizierten Transaktion. Sie können die Registrierung dann verwenden, um den Nutzer in nachfolgenden Zahlungsabläufen zu authentifizieren.
Solange die vertrauende Partei dieselbe ist (z. B. dieselbe ausstellende Bank), sollte der Nutzer eine Registrierung für alle zukünftigen Zahlungen mit dieser vertrauenden Partei bei allen Händlern verwenden können, die SPC einbinden.
API-Änderungen
Entwickler können den vorhandenen Implementierungsleitfaden für die Desktopintegration lesen, um mehr über die Funktionsweise der API zu erfahren.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
Die Property payment gibt an, dass es sich um SPC-Anmeldedaten handelt. Weitere Informationen zur Verwendung finden Sie im vorherigen Registrierungsleitfaden.
Derzeit werden mit diesem Code nicht auffindbare Anmeldedaten erstellt, die für SPC funktionieren. Sobald von SPC für Google Chrome auf Android sichtbare Anmeldedaten unterstützt werden, wird dieser Code automatisch auf das Erstellen sichtbarer Anmeldedaten umgestellt.
Ressourcen
Informationen zum Implementieren der sicheren Zahlungsbestätigung