Überblick
Die sichere Zahlungsbestätigung (Secure Payment Bestätigung, SPC) ist ein vorgeschlagener Webstandard, mit dem sich Kunden bei einem Kreditkartenaussteller, einer Bank oder einem anderen Zahlungsdienstleister mithilfe einer Plattformauthentifizierungs-App authentifizieren können. Diese wird normalerweise mit der Bildschirmentsperrungsfunktion eines Geräts wie einem Fingerabdrucksensor aktiviert. Dies geschieht normalerweise während eines Zahlungsauthentifizierungsprotokolls wie EMV 3-D Secure oder Open Banking. EMV 3-D Secure unterstützt beispielsweise SPC im Versionsrelease v2.3 der Spezifikation. Wir haben bereits angekündigt, dass SPC für Google Chrome unter macOS und Windows eingeführt wird. Außerdem haben wir Entwicklerleitfäden für die Registrierung und die Authentifizierung bereitgestellt.
Ab M109 (derzeit in der Betaversion) wird SPC auch in Google Chrome unter Android verfügbar sein. Nutzer können die Displaysperre ihres Geräts verwenden, um die Zahlungsbestätigung auf Händlerwebsites durchzuführen, die SPC verwenden.
Wenn Sie mit SPC experimentieren möchten, können Sie es auf unserer Demowebsite ausprobieren oder sich an Ihren Zahlungsdienstleister wenden, ob er plant, SPC bei der Authentifizierung von Nutzerzahlungen zu unterstützen.
Starke Authentifizierung für Zahlungen
Die Authentifizierung spielt eine wichtige Rolle bei der Verhinderung von Zahlungsbetrug. Bei der Authentifizierung von Zahlungen werden heutzutage jedoch häufig schwache Bestätigungsmethoden (z. B. CVC-Code) oder Reibungspunkte (z. B. SMS-OTP) verwendet. Diese Authentifizierungsmethoden können Nutzer anfällig für Betrug machen oder dazu führen, dass der Einkaufswagen aufgrund von Problemen abgebrochen wird.
SPC baut auf der Webauthentifizierung (WebAuthn) auf, um Zahlungstransaktionen mithilfe von Plattformauthentifizierungen, die in die Geräte der Nutzer integriert sind, stark zu authentifizieren. Die authentifizierende Partei (in WebAuthn als vertrauende Partei bezeichnet), z. B. die ausstellende Bank oder ein Zahlungsdienstleister registriert den Nutzer in einem einmaligen Vorgang entweder auf ihrer Website oder während einer traditionell authentifizierten Transaktion. Der Entwickler kann die Registrierung dann verwenden, um den Nutzer bei nachfolgenden Zahlungsvorgängen zu authentifizieren.
Solange die vertrauende Partei dieselbe ist (z. B. dieselbe ausstellende Bank), sollte der Nutzer bei allen zukünftigen Zahlungen mit dieser vertrauenden Partei bei allen Händlern, die SPC integriert, eine einzige Registrierung verwenden können.
API-Änderungen
Entwickler können dem bestehenden Implementierungsleitfaden für die Desktopintegration folgen, um zu erfahren, wie die API funktioniert.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
Das Attribut payment gibt an, dass es sich um SPC-Anmeldedaten handelt. Wie du ihn verwendest, erfährst du im vorherigen Registrierungsleitfaden.
Derzeit erstellt dieser Code Anmeldedaten, die nicht auffindbar sind und für SPC funktionieren. Sobald die auffindbaren Anmeldedaten von SPC für Google Chrome unter Android unterstützt werden, werden mit diesem Code automatisch auffindbare Anmeldedaten erstellt.
Ressourcen
Informationen zum Implementieren der sicheren Zahlungsbestätigung