3D Secure ist ein international anerkannter Sicherheitsstandard für Kreditkartenzahlungen im Internet. Nicht zu verwechseln mit dem dreistelligen CVC Code auf der Rückseite der Karte. Unterstützt ein Zahlungsanbieter 3D Secure (die meisten Payment Service Provider unterstützen diese Funktion heute standardmässig), muss der Kunde zur Kreditkartenzahlung zusätzlich sein persönliches Passwort eingeben.

Dies erhöht, ähnlich wie der Pin oder die Unterschrift in den Geschäften, die Sicherheit bei Zahlungen im Internet.

Vorteile:

• Erhöhte Sicherheit und grösseres Vertrauen
• Beweislastumkehr für den Händler. Der Kunde muss beweisen, dass er nicht beim Händler gekauft hat und nicht umgekehrt.
• Einfache Anwendung
• Keine Änderung der rechtlichen Ausgangslage. Die Rücktrittbestimmungen sind im genau gleichen Umfang vorhanden

Funktionsweise:

3D-Secure ist ein XML basiertes Protokoll, welches auf einer zusätzlichen Ebene die Sicherheit der Kreditkartentransaktion erhöht. Ursprünglich wurde dieses Protokoll von Visa entwickelt, ist aber mittlerweile bei allen grossen Kartenunternehmen implementiert. Das Konzept des Protokolls beruht auf dem drei-Domain-Model (deshalb 3D-Secure):

• Domain des Händlers
• Domain der Bank
• Domain des Kreditkartenunternehmens

Das Protokoll kommuniziert anhand SSL verschlüsselter XML-Anfragen. Eine Transaktion mit einer Kreditkarte, bei welcher 3D-Secure aktiviert ist, initiiert einen Link auf die Seite der Bank.

Grundsätzlich ist jede erdenkliche Identifizierungsmöglichkeit auf der Seite der Bank möglich. Standardmässig geschieht dies heute mit einem persönlichen Passwort, welches bei der ersten Zahlung vom Karteninhaber selbst definiert wurde. Der zentrale Unterschied zwischen Visa und Mastercard liegt in der Verschlüsselung und Prüfung der Informationen. Visa verwendet CAVV (Cardholder Authentication Verification Value), wobei Mastercard auf UCAF (Universal Cardholder Authentication Field) setzt.

Kritik:

Der grösste Kritikpunkt des Systems liegt daran, dass ein Kunde den Unterschied zwischen einer Phishing Attacke und einer sicheren Zahlung nur schwer erkennen kann, da die Seite im Hintergrund geladen wird. Heute erkennen aber moderne Browser solche Attacken.

Die Bankinstitute empfehlen trotzdem die erste Registrierung nicht während des Einkaufs, sondern auf der Homepage der Bank selbst vorzunehmen. Die meisten Schweizer Banken haben diese Funktion bei Ihren Kreditkarten eingeführt.