SCA - Richtlinie
Immer mehr Reisende buchen ihr Hotelzimmer online. Das Zahlen mit Kreditkarte birgt jedoch oft Risiken. Es besteht die Gefahr des Missbrauchs oder einer unsicheren Zahlung, bei der sensible Daten abgegriffen werden. Damit Verbraucher auch online sicher zahlen können, erlässt die Europäische Union immer strengere Regelungen. So trat bereits letztes Jahr die Zahlungsrichtlinie PSD2 in Kraft, die vor allem für Banken und den Handel eine Rolle spielt. Aber die Verordnung spielt auch für Hotels eine Rolle, ganz besonders eine Teil-Richtlinie, die sogenannte Strong Customer Authentication, kurz SCA.
Was ist SCA?
Kurz gesagt soll die starke Kundenauthentifizierung den Veränderungen im modernen Zahlungsverkehr gerecht werden und die Sicherheitsstandards für elektronischen Zahlungsverkehr erhöhen. Das Ziel: Online-Betrug und wachsenden Bedrohungsszenarien entgegen zu wirken, indem sie unter anderem eine Zwei-Faktor-Authentifizierung (kurz 2FA) für alle Online-Zahlungen ab dem 14. September 2019 vorschreibt.
Diese Regelung verändert die Art und Weise, wie Hotels bisher Zahlungen abgewickelt haben. Kreditkarten dürfen künftig nicht mehr direkt belastet werden.
Neben der Kartennummer werden Zahlungen nur noch durch Eingabe einer zweiten Komponente (Faktor) möglich sein. Insgesamt müssen zwei von drei der folgenden Faktoren zur Verifizierung des Nutzers beziehungsweise des Gasts vorliegen:
- Er hat etwas in seinem Wissen: Er kennt zum Beispiel ein Passwort, eine Geheimfrage oder eine Zahlenabfolge wie PIN.
- Er hat etwas in seinem Besitz: Etwa ein Mobiltelefon, Smartcard, Token oder Wearables
- Er hat etwas in seinem Sein: Persönliche Merkmale wie Gesichtszüge, Fingerabdrücke oder Iriserkennung
Wo liegen Risiken, wo Chancen?
Zahlungen und damit auch Buchungen dauern also länger. Klar, dass Unternehmen und Hotels da fürchten müssen, dass Gäste bei der Buchung abspringen, weil sie zu kompliziert wird. Auch besteht die Gefahr, dass Buchungen häufiger abbrechen, wenn die Technik bei Hotels nicht richtig funktioniert. Doch richtig umgesetzt haben alle etwas davon. Denn auch Hotels können von einer sicheren Zahlung profitieren – etwa, indem sie besser vor Fake-Buchungen geschützt sind, bei denen Gäste falsche Daten eingeben, die gar nicht existieren. Auch können Gäste autorisierte Zahlungen nicht so einfach widerrufen. Ebenfalls wird das 2FA-Verfahren durch die Richtlinie bei den Nutzern schnell zur Normalität werden. Ein Tipp: Hotels sollten bereits bei der Buchung kommunizieren, dass das Verfahren der Datensicherheit dient.
Achtung: Keine nachträgliche Belastung der Kreditkarte
Eine neue Herausforderung, der sich Hotels stellen müssen, wird jedoch die Absicherung von Buchungen durch das Hinterlegen von Kreditkartendaten des Gastes sein. Im Falle von No-Shows oder kurzfristigen Stornierungen können Hotels Kreditkarten nicht mehr nachträglich belasten. Insbesondere das Eintippen ins POS-Terminal wird nicht mehr möglich sein. Die Daten alleine werden für den Zahlvorgang wertlos. Möglichkeiten, sich abzusichern, wären non-refundable oder garantierte Buchungen.
Wie lässt sich SCA umsetzen?
Hotels müssen sich also überlegen, wie sie sich in Zukunft absichern. Doch zunächst müssen sie sich auf die Richtlinie vorbereiten, denn sie einzuhalten, wird unerlässlich. Eine rechtzeitige Vorbereitung ist das A und O. Fehlgeschlagene Transaktionen und Reibungsverluste können sich negativ auf Conversion-Raten und damit den Umsatz auswirken. In dem Fall könnte SCA Hotels eine Menge Geld kosten.
Hoteliers sollten also möglichst bald die eigenen Lösungen für den elektronischen Zahlungsverkehr auf SCA-Konformität hin überprüfen:
- Welche Systeme sind für Online-Zahlungen im Einsatz?
- Wie sicher sind die Systeme – in Hinblick auf PCI-Compliance?
- Mit welchem Zahlungsdienstleister oder Systemanbieter arbeitet das Hotel in diesem Bereich zusammen?
Ist der Status Quo ermittelt, muss der Handlungsbedarf geprüft und die beteiligten Systemanbieter kontaktiert werden. Diese dürften in vielen Fällen spezialisierte Anbieter von Hospitality- oder Kreditkarten-Systemen sein, die die Anpassung ihrer Lösungen an die SCA-Richtlinie ohnehin auf ihrer Agenda haben. Mit ihnen sollte rechtzeitig vor dem 14. September ein Update der entsprechenden Systeme vereinbart werden, um SCA-Konformität herzustellen.
Den richtigen Partner wählen
Updates sind aber nicht immer die Lösung. Manchmal ist auch eine General-Überholung bestehender Zahlungssysteme (Payment Gateways) notwendig. Vor allem betagtere Lösungen können langfristig nicht mehr mit den neuen Regelungen und Anforderungen mithalten. Statt eine veraltete Lösung mit viel Aufwand und hohen Kosten mühsam auf den aktuellen Stand der Gesetzgebung anzupassen, ist es häufig deutlich günstiger, sich nach einem neuen Systemanbieter umzuschauen.
Es kann nicht schaden, sich eine dritte Meinung einzuholen. Der passende Partner kann Bedarfe erkennen, bei der Umsetzung aller Richtlinien unterstützen und die Abwicklung von Zahlungsprozessen verbessern. Wichtig ist jedoch, nicht nur eine PCI-konforme Software zu kaufen, sondern sein Geschäft als Gesamtes zu betrachten und selbst die Kontrolle zu behalten. Wie das geht? Frage uns!