--- url: 'https://www.corbado.com/de/blog/emv-3ds-acs-passkeys-fido-und-spc' title: 'EMV 3DS Access Control Server: Passkeys, FIDO und SPC' description: 'EMV 3DS ACS-Anbieterlandschaft: Erfahren Sie mehr über Passkeys & FIDO-Daten für reibungslose Abläufe & SPC-Bereitschaft für sichere Zahlungs-Challenges.' lang: 'de' author: 'Vincent Delitz' date: '2025-07-15T13:24:16.762Z' lastModified: '2026-03-27T07:03:04.649Z' keywords: 'EMV 3DS Access Control Server, 3DS ACS, FIDO, Passkeys, SPC' category: 'Passkeys Strategy' --- # EMV 3DS Access Control Server: Passkeys, FIDO und SPC ## 1. Einführung Die Welt der Online-[Zahlungsauthentifizierung](https://www.corbado.com/passkeys-for-payment) befindet sich in einem tiefgreifenden Wandel. Angetrieben wird dieser Wandel durch zwei zentrale Anforderungen: die [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) gegen raffinierte Betrugsmaschen zu erhöhen und gleichzeitig das Nutzererlebnis zu verbessern, um Reibungsverluste und Warenkorbabbrüche zu reduzieren. Das EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) (3DS)-Protokoll, insbesondere in seinen neueren Versionen (EMV 3DS 2.x), ist die grundlegende Technologie zur Authentifizierung von Card-Not-Present (CNP)-Transaktionen weltweit. Dieses von EMVCo verwaltete Protokoll ermöglicht den Datenaustausch zwischen Händlern, Kartenherausgebern (über deren Access Control Server – [ACS](https://www.corbado.com/glossary/acs)) und der Interoperabilitätsdomäne (Directory Server, die von [Zahlungsnetzwerken](https://www.corbado.com/passkeys-for-payment) betrieben werden), um die [Identität](https://www.corbado.com/de/blog/digital-credentials-api) des Karteninhabers zu überprüfen. In diesem Rahmen zeichnen sich zwei wichtige technologische Fortschritte ab, die mit den Standards der FIDO (Fast Identity Online) Alliance zusammenhängen: 1. Die Nutzung von FIDO-Authentifizierungsdaten, die bei früheren Nutzerinteraktionen (z. B. beim Login beim Händler) generiert wurden, um die Risikobewertung für den EMV 3DS [Frictionless Flow](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) zu verbessern. 2. Die Integration von [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC), einem W3C-Webstandard, der auf FIDO/WebAuthn aufbaut, als optimierte und [Phishing](https://www.corbado.com/glossary/phishing)-resistente „Challenge“-Methode innerhalb des EMV 3DS Flows. Dieser Artikel gibt einen Überblick über den globalen Markt für [EMV 3DS Access Control Server](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) (ACS)-Lösungen, die für kartenherausgebende Banken angeboten werden. Er identifiziert die wichtigsten Anbieter und versucht, deren aktuelle Unterstützung für FIDO-Datenstrukturen (ohne [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc)) und [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) für Challenge Flows zu bewerten. Darüber hinaus wird erläutert, wie Herausgeber ihre eigenen FIDO-Passkeys für die kryptografische Verifizierung innerhalb des 3DS Challenge Flows mittels [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) nutzen können, und die globale Anwendbarkeit dieses Standards wird diskutiert. ## 2. Überblick über EMV 3DS, FIDO & SPC ### 2.1 Frictionless vs. Challenge Flows in EMV 3DS EMV 3DS arbeitet hauptsächlich über zwei verschiedene Authentifizierungspfade: - **Frictionless Flow:** Dies ist der bevorzugte Weg, der auf ein nahtloses Nutzererlebnis abzielt. Der [ACS](https://www.corbado.com/glossary/acs) des Herausgebers führt eine Risikobewertung durch, die auf einem umfangreichen Datensatz basiert, der bei der Transaktionseinleitung ausgetauscht wird (über die Authentication Request, oder AReq-Nachricht). Diese Daten umfassen Transaktionsdetails, Händlerinformationen, Gerätemerkmale, Browserdaten (die potenziell über das 3DSMethod-JavaScript gesammelt werden) und möglicherweise frühere Authentifizierungsinformationen. Wenn das Risiko als gering eingestuft wird, wird die Transaktion authentifiziert, ohne dass eine direkte Interaktion oder „Challenge“ vom Karteninhaber erforderlich ist. Dieser Flow macht den Großteil der 3DS-Transaktionen aus, insbesondere dort, wo die Risiko-Engines [gut abgestimmt sind](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/). - **Challenge Flow:** Wenn der [ACS](https://www.corbado.com/glossary/acs) das Transaktionsrisiko als hoch einstuft, wenn es durch Vorschriften (wie die [PSD2](https://www.corbado.com/blog/psd2-passkeys) [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk) in Europa) oder die Richtlinien des Herausgebers vorgeschrieben ist, wird der Karteninhaber aktiv aufgefordert, seine [Identität](https://www.corbado.com/de/blog/digital-credentials-api) zu verifizieren. Traditionelle Challenge-Methoden umfassen Einmalpasswörter (OTP), die per SMS gesendet werden, wissensbasierte Fragen oder Out-of-Band (OOB)-Authentifizierung über eine [Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-App. Das Ziel neuerer 3DS-Versionen und verwandter Technologien wie [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) ist es, diesen Challenge Flow sicherer und weniger umständlich zu gestalten als [ältere Methoden](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf). ![three domains 3DS](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/domains_3_DS_1aac4ea7f0.png) ### 2.2 Die Rolle von FIDO-Daten (ohne SPC) zur Verbesserung des Frictionless Flows EMVCo und die [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) haben [gemeinsam einen standardisierten Weg definiert](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf), damit Händler Informationen über frühere FIDO-Authentifizierungen (bei denen der _Händler_ als [Relying Party](https://www.corbado.com/glossary/relying-party) fungierte, z. B. beim Nutzer-Login) an den ACS des Herausgebers innerhalb der Standard-3DS-AReq-[Nachricht](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) übermitteln können. Dieser Mechanismus, der erstmals in [EMV 3DS v2.1](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) unterstützt wurde, nutzt spezifische Felder innerhalb der AReq, hauptsächlich die `threeDSRequestorAuthenticationInfo`-Struktur, die Unterfelder wie [`threeDSRequestorAuthenticationData`](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) enthält. Das [FIDO Alliance Technical Note](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) und das zugehörige [EMVCo White Paper](https://www.emvco.com/wp-content/uploads/news/EMV-3DS-white-paper-PR_FINAL.pdf) spezifizieren eine JSON-Struktur für dieses `threeDSRequestorAuthenticationData`-Feld, wenn [Details](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) zu einer früheren FIDO-Authentifizierung übermittelt werden. Dieses JSON-Objekt enthält Details wie die Authentifizierungszeit (`authTime`), die FIDO [Relying Party](https://www.corbado.com/glossary/relying-party) ID (`rpId` oder `appId`) und Informationen über den/die verwendeten [Authenticator](https://www.corbado.com/glossary/authenticator)(s), einschließlich des öffentlichen Schlüssels, der [AAGUID](https://www.corbado.com/glossary/aaguid)/AAID und Indikatoren für die Nutzeranwesenheit (UP) und Nutzerverifizierung ([UV](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf)). Die Logik dahinter ist, dass, wenn ein Händler kürzlich eine starke FIDO-Authentifizierung (z. B. mit [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) oder einem Passkey) für die Nutzersitzung durchgeführt hat, die den Kauf initiiert, diese Information als wertvolles zusätzliches Risikosignal für den ACS des Herausgebers dienen kann. Durch den Empfang und die Verarbeitung dieser standardisierten FIDO-Daten kann der ACS potenziell mehr Vertrauen in die Legitimität der Transaktion gewinnen, was die Wahrscheinlichkeit einer reibungslosen Genehmigung erhöht und die Notwendigkeit einer separaten [Challenge](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) verringert. Es ist wichtig zu beachten, dass in diesem Szenario der Händler die FIDO RP ist und der Herausgeber diese Daten als Input für seine Risiko-Engine verwendet; der Herausgeber verifiziert die FIDO-[Assertion](https://www.corbado.com/glossary/assertion) in diesem reibungslosen [Flow](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) nicht kryptografisch. Der ACS behält sich die Möglichkeit vor, diese Daten zu ignorieren, wenn er nicht für deren Verarbeitung konfiguriert [ist](https://www.youtube.com/watch?v=a8iGYQXmDlM). ### 2.3 Die Rolle von Secure Payment Confirmation im Challenge Flow [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) stellt eine separate Integration von FIDO-Standards innerhalb des EMV 3DS _Challenge_ [Flows](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) dar. SPC ist ein W3C-Webstandard, der in Zusammenarbeit mit FIDO und EMVCo entwickelt wurde und auf WebAuthn aufbaut. Er wird formell innerhalb von EMV 3DS ab Version [2.3](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/) unterstützt. Wenn SPC als Challenge-Methode verwendet wird: 1. Der **Herausgeber** (oder eine vom Herausgeber explizit beauftragte Partei, wie z. B. ein [Zahlungsnetzwerk](https://www.corbado.com/passkeys-for-payment)) fungiert als **FIDO Relying Party ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))**. Dies unterscheidet sich grundlegend vom zuvor beschriebenen FIDO-Datenfluss ohne SPC, bei dem typischerweise der Händler als RP für seine eigenen Login-/Authentifizierungs[zwecke](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) agiert. 2. Während der 3DS-Challenge signalisiert der ACS die Notwendigkeit von SPC und stellt die erforderlichen FIDO-Credential-Identifikatoren und eine kryptografische Challenge dem Händler/3DS-Server zur Verfügung. 3. Das System des Händlers ruft die SPC-API des Browsers auf und präsentiert dem Nutzer die Transaktionsdetails (Betrag, Währung, Zahlungsempfänger, Instrument) in einem sicheren, vom Browser kontrollierten Dialog. 4. Der Nutzer authentifiziert sich mit seinem FIDO-[Authenticator](https://www.corbado.com/glossary/authenticator) (z. B. [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps), PIN, [Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025)), der die Transaktionsdetails und die Challenge mit dem privaten Schlüssel signiert, der mit dem vom Herausgeber registrierten Passkey verknüpft ist. 5. Die resultierende FIDO-[Assertion](https://www.corbado.com/glossary/assertion) (kryptografischer Nachweis der Authentifizierung und Zustimmung) wird über das 3DS-Protokoll (typischerweise über eine zweite AReq-Nachricht) an den ACS des Herausgebers zurückgesendet. 6. Der ACS, als RP, validiert die [Assertion](https://www.corbado.com/glossary/assertion) kryptografisch mit dem entsprechenden öffentlichen Schlüssel und bestätigt so die [Identität](https://www.corbado.com/de/blog/digital-credentials-api) des Karteninhabers und seine Zustimmung zu den spezifischen Transaktionsdetails. SPC zielt darauf ab, ein Challenge-Erlebnis zu bieten, das sowohl sicherer (Phishing-resistent, [dynamische Verknüpfung](https://www.corbado.com/de/blog/biometrie-payer-awareness) der Authentifizierung mit Transaktionsdaten) als auch potenziell reibungsloser (oft schneller als die Eingabe einer OTP) ist im Vergleich zu traditionellen Methoden. Die beiden Wege der FIDO-Integration – einer, der frühere Händler-Authentifizierungsdaten für die reibungslose Risikobewertung nutzt, und der andere, der vom Herausgeber verwaltete Credentials für eine direkte FIDO-basierte Challenge via SPC verwendet – bieten unterschiedliche Ansätze zur Verbesserung von [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) und Nutzererlebnis im EMV 3DS-Framework. Das Verständnis der Anbieterunterstützung für jeden dieser Wege ist für Herausgeber und PSPs, die ihre Authentifizierungsstrategien planen, von entscheidender Bedeutung. ![overview emv 3ds](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_emv_3ds_97db9721b6.png) ## 3. Analyse der wichtigsten EMV 3DS ACS-Anbieter Dieser Abschnitt analysiert die Fähigkeiten globaler Anbieter von EMV [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc)-Lösungen, mit einem Fokus auf ihre Marktpräsenz und Unterstützung für FIDO-Daten (ohne SPC) und Secure Payment Confirmation (SPC). Genaue Marktanteilszahlen sind proprietär und öffentlich schwer zu beschaffen; daher wird die Präsenz auf der Grundlage von Anbieterangaben, Zertifizierungen, Partnerschaften, geografischer Reichweite und Marktberichten bewertet. ### 3.1 Entersekt (einschließlich Modirum) 3DS ACS - **Marktpräsenz:** Entersekt positioniert sich, insbesondere nach der Übernahme des 3DS-Softwaregeschäfts von Modirum im Dezember 2023, als ein führender globaler Anbieter von EMV 3DS-Lösungen und strebt eine Top-Fünf-Markt[position](https://www.entersekt.com/solutions/3d-secure-acs) an. Modirum hatte über 20 Jahre Erfahrung im [3DS](https://www.entersekt.com/solutions/3d-secure-authentication)-Bereich. Entersekt hebt ein Rekordwachstum hervor, das durch neue Kunden, insbesondere in Nordamerika, und strategische Partnerschaften, einschließlich einer erweiterten Beziehung zu [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), angetrieben wird. Sie geben an, jährlich über 2,5 Milliarden Transaktionen zu sichern (Stand Geschäftsjahr 24) und werden von [Liminal](https://www.entersekt.com/company/newsroom_old/tpost/gmmthc53z1-entersekt-closes-record-year-of-growth-a) als Nummer 1 in der ATO-Prävention im [Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse) eingestuft. Ihr ACS ist gehostet (von Entersekt oder dem Kunden) oder [On-Premise](https://www.entersekt.com/solutions/3d-secure-acs) verfügbar. Sie bedienen Herausgeber und Prozessoren [weltweit](https://www.entersekt.com/solutions/3d-secure-acs). - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** Entersekt betont seine Context Aware™ Authentication, Geräte- und Verhaltensanalysen für Risikosignale sowie die Integration mit verschiedenen Risk-Scoring-[Diensten](https://www.entersekt.com/solutions/3d-secure-acs). Ihr ACS ist FIDO EMVCo 2.2 [zertifiziert](https://www.entersekt.com/solutions/3d-secure-acs). Obwohl sie die Nutzung von Risiko- und Verhaltensdaten für die [RBA](https://www.entersekt.com/solutions/3d-secure-acs) hervorheben, wird eine explizite Bestätigung der _Verarbeitung der standardisierten FIDO-Attestierungsdaten_ aus früheren Händler-Authentifizierungen im `threeDSRequestorAuthenticationInfo`-Feld zur Verbesserung des Frictionless Flows in den Online-[Materialien](https://www.entersekt.com/solutions/3d-secure-acs) nicht ausdrücklich erwähnt. Ihr Fokus auf fortschrittliche Authentifizierung und Risikosignale deutet jedoch auf diese Fähigkeit hin. - **SPC-Unterstützung (Challenge):** Es gibt starke Anzeichen dafür, dass Entersekt SPC unterstützt. Modirum, dessen 3DS-Geschäft Entersekt übernommen hat, lieferte Komponenten für den SPC-Piloten von [Visa](https://www.corbado.com/blog/visa-passkeys), der 3DS 2.2 mit [Erweiterungen](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) nutzte. Entersekt listet explizit die Unterstützung für SPC-Compliance als Teil seiner regulatorischen Compliance-[Fähigkeiten](https://www.entersekt.com/use-cases/regulatory-compliance) auf. Ihr ACS unterstützt biometrische Authentifizierung, ist für [EMV 3DS 2.2](https://www.entersekt.com/use-cases/regulatory-compliance) zertifiziert und integriert wahrscheinlich Fähigkeiten aus Modirums Pilotbeteiligung. Die Kombination aus der Modirum-Übernahme, der expliziten Erwähnung von SPC-Compliance und der FIDO-Zertifizierung deutet stark auf eine SPC-Unterstützung in ihrem aktuellen Angebot hin. ### 3.2 Broadcom (Arcot) 3DS ACS - **Marktpräsenz:** Broadcoms Arcot ist ein fundamentaler Akteur im 3DS-Markt, der das ursprüngliche Protokoll gemeinsam mit [Visa](https://www.corbado.com/blog/visa-passkeys) erfunden hat. Sie positionieren sich als anerkannter globaler Marktführer, der über 5.000 Finanzinstitute weltweit bedient und Transaktionen aus 229 [Ländern](https://arcot.broadcom.com/) verarbeitet. Ihr Arcot Network betont einen riesigen Konsortiumsdatenansatz (sie beanspruchen 600M+ Gerätesignaturen, 150 Billionen Datenpunkte), um ihre Betrugsbewertungs- und Risiko-[Engines](https://www.broadcom.com/info/cybersecurity/3d-secure) anzutreiben. Sie haben eine starke Präsenz in Europa, Australien und Nord[amerika](https://arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot-TRA3DS.pdf). - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** Broadcom legt großen Wert auf den Reichtum ihres Datennetzwerks und den Einsatz von KI/neuronalen Netzen zur Betrugserkennung und risikobasierten Bewertung, die über die Standard-EMV-3DS-Daten[elemente](https://www.broadcom.com/info/cybersecurity/3d-secure) hinausgehen. Sie geben explizit an, dass ihre Lösung Daten nutzt, die durch mehrere Herausgeber fließen, und digitale Daten wie Geräte- und [Geolokalisierungsinformationen](https://www.software.broadcom.com/hubfs/Broadcom%20PaySec/Resources/ArcotNetwork_Brief.pdf) einbezieht. Obwohl die Verarbeitung der _spezifischen_ FIDO-JSON-Struktur aus `threeDSRequestorAuthenticationData` nicht explizit erwähnt wird, deutet ihr Fokus auf die Aufnahme verschiedener Datenpunkte für die RBA stark darauf hin, dass sie solche Daten konsumieren _könnten_, wenn sie bereitgestellt werden, was mit der Absicht der EMVCo/FIDO-Leitlinien übereinstimmt. Ihre Plattform zielt darauf ab, reibungslose Genehmigungen durch eine überlegene Risiko[bewertung](https://www.broadcom.com/info/cybersecurity/3d-secure) zu maximieren. - **SPC-Unterstützung (Challenge):** Die Dokumentation von Broadcom bestätigt die Unterstützung für FIDO-Authenticators (Security Key, Biometric, Passkey) innerhalb ihrer breiteren VIP Authentication Hub / Identity Security [Suite](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/vip-authentication-hub/3-3/Using/Authentication-services/factor-services/Fido-Microservice.html). Ihr [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) unterstützt verschiedene Challenge-Methoden, einschließlich OTPs und Push-Benachrichtigungen, und sie erwähnen die Unterstützung für [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness). Sie bieten auch [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys)-[Fähigkeiten](https://www.arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot%20Delegated%20Authentication%20Brief.pdf) an und haben Funktionen zur Risikobewertung nach der Challenge [eingeführt](https://techdocs.broadcom.com/us/en/payment-security/arcot-network/arcot-for-issuers/AFI/manage-risk/managing-rules/understanding-the-building-blocks-of-rules/ChallengeRiskEval.html). Eine explizite Bestätigung, dass ihr _EMV 3DS ACS-Produkt_ derzeit _SPC_ als spezifische Challenge-Methode unterstützt (was EMV 3DS v2.3+-Fähigkeiten und den Zwei-AReq-Flow erfordert), fehlt jedoch in der bereitgestellten [Dokumentation](https://www.broadcom.com/info/cybersecurity/3d-secure). Obwohl sie ein wichtiger Akteur sind, der wahrscheinlich in der Lage ist, dies zu implementieren, konzentriert sich das aktuelle öffentlich zugängliche Material stärker auf ihre RBA-Engine und traditionelle/OOB-Challenge-[Methoden](https://www.broadcom.com/info/cybersecurity/3d-secure). ### 3.3 Netcetera 3DS ACS - **Marktpräsenz:** Netcetera positioniert sich als bedeutender internationaler Akteur im Zahlungsverkehr, besonders stark in Europa und im Nahen [Osten](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376). Sie geben an, dass ihr ACS von über 800 Banken/Herausgebern genutzt wird und mehr als 50 Millionen Karten [weltweit](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376) sichert. Sie betonen Zertifizierungen bei allen großen Kartennetzwerken (Visa, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), Amex, Discover, JCB, UnionPay, etc.) und [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys)-[Compliance](https://thepaymentsassociation.org/article/netcetera-3ds-acs-is-discover-global-network-certified/). Sie waren bemerkenswerterweise der erste ACS-Anbieter weltweit, der die EMV 3DS 2.3.1-[Zertifizierung](https://www.netcetera.com/stories/expertise/emv-3ds-new-opportunities.html) erreichte. - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** Die Dokumentation von Netcetera unterstreicht die Bedeutung der über die 3DSMethod gesammelten Daten für die ACS-Risikobewertung, um die reibungslose Authentifizierung zu erhöhen. Sie bieten die Integration mit Risiko-[Tools](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) an. Eine spezifische Bestätigung der Verarbeitung früherer Händler-FIDO-Authentifizierungsdaten (aus `threeDSRequestorAuthenticationInfo`) für die Risikobewertung wird in den geprüften [Materialien](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) jedoch nicht explizit erwähnt. - **SPC-Unterstützung (Challenge):** Netcetera zeigt eine starke Unterstützung für SPC. Sie waren der erste Anbieter weltweit, der für EMV 3DS 2.3.1 zertifiziert wurde, die Version, die SPC integriert. Sie nahmen am [Visa](https://www.corbado.com/blog/visa-passkeys) SPC-Piloten teil und stellten die v2.3.1-[Komponenten](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) zur Verfügung. Ihre Produktdokumentation definiert explizit SPC. Sie haben Webinare zur Diskussion der FIDO- und SPC-[Integration](https://www.netcetera.com/payments/knowledge-hub.html) durchgeführt und Artikel veröffentlicht, die die [Vorteile](https://www.netcetera.com/stories/expertise/Secure-Payment-Confirmation-meets-customer-demands.html) von SPC hervorheben. Diese Kombination aus Zertifizierung, Pilotenteilnahme und expliziter Dokumentation bestätigt ihre Unterstützung für SPC-Challenges. ### 3.4 Worldline 3DS ACS - **Marktpräsenz:** Worldline positioniert sich als europäischer Marktführer für Zahlungs- und Transaktionsdienstleistungen und als wichtiger globaler Akteur (beansprucht den Status des viertgrößten Zahlungsanbieters [weltweit)](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server). Sie verarbeiten jährlich Milliarden von Transaktionen und betonen garantierte Compliance, Betrugsbekämpfung mit KI/ML und [Skalierbarkeit](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server). Ihr ACS ist nach eigenen Angaben EMV 3DS-zertifiziert und konform mit den großen Schemata (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check)) und [PSD2](https://www.corbado.com/blog/psd2-passkeys). Sie berichten von der Verarbeitung von über 2,4 Milliarden 3DS-Transaktionen jährlich für über 100 Herausgeber. - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** Das ACS-Angebot von Worldline umfasst eine RBA-Regel-Engine, die es Herausgebern ermöglicht, reibungslose oder Challenge-Flows basierend auf dem [Risiko](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) zu konfigurieren. Ihre breitere „Trusted Authentication“-Lösung nutzt Geräteintelligenz und Verhaltens[analyse](https://business.worldline.com/l/130471/2025-02-04/33tlg4). Obwohl sie FIDO [allgemein](https://www.biometricupdate.com/202308/worldline-gets-fido-certified-vincss-makes-deal-to-boost-passwordless-authentication) unterstützen, wird eine explizite Bestätigung der Verarbeitung früherer Händler-FIDO-Daten (ohne SPC) innerhalb des ACS zur Risikobewertung in den bereitgestellten [Ausschnitten](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) nicht detailliert. - **SPC-Unterstützung (Challenge):** Worldline zeigt klare Anzeichen für die Unterstützung von SPC. Ihre Dokumentation erkennt die Entwicklung von EMV 3DS 2.3 an, um [SPC/FIDO](https://worldline.com/content/dam/worldline/global/documents/reports/Fraud%20Prevention%20Report%202022_Worldline.pdf) einzuschließen. Sie vermarkten explizit ihre „WL Trusted Authentication“-Lösung als unterstützend für FIDO-Authentifizierung und bieten einen „WL FIDO Server“ an, der für „3DS-Anwendungsfälle, mit emvCO2.3 und SPC“ geeignet ist. ### 3.5 GPayments 3DS ACS - **Marktpräsenz:** GPayments positioniert ActiveAccess als eine „robuste, marktführende Access Control Server (ACS)-Plattform“ mit über 20 Jahren Erfahrung im 3D-Secure-[Bereich](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Sie sind bei den großen Kartensystemen (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check), JCB J/Secure) sowohl für 3DS1 als auch für EMV [3DS](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) zertifiziert. Ihre Lösung kann [On-Premise oder in der Cloud gehostet](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) werden. Marktberichte identifizieren GPayments als einen namhaften Akteur, der ACS-[Lösungen](https://www.grandviewresearch.com/industry-analysis/3d-secure-payment-authentication-market-report) anbietet. - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** ActiveAccess unterstützt die Integration mit RBA-Lösungen von Drittanbietern und verwendet verschiedene Parameter für seine eigene Risiko[bewertung](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Die bereitgestellte Dokumentation erwähnt jedoch nicht explizit die Unterstützung für die Aufnahme oder Verwendung früherer Händler-FIDO-Authentifizierungsdaten (ohne SPC) für die reibungslose Risiko[bewertung](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). - **SPC-Unterstützung (Challenge):** Die geprüfte Dokumentation für ActiveAccess erwähnt nicht explizit die Unterstützung für Secure Payment Confirmation (SPC), WebAuthn-Challenges oder FIDO-Challenges als Teil ihrer Challenge-Flow-[Fähigkeiten](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Obwohl sie verschiedene Authentifizierungsmethoden unterstützen, einschließlich OOB (was [Biometrie](https://www.corbado.com/de/blog/biometrie-payer-awareness) umfassen kann), ist die spezifische SPC-Unterstützung aus den verfügbaren [Informationen](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) unklar. ### 3.6 Visa (Visa Secure) 3DS ACS - **Marktpräsenz:** Visa, als großes globales Zahlungsnetzwerk, definiert das Visa Secure-Programm basierend auf dem EMV 3DS-[Standard](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html). Sie waren Pioniere des ursprünglichen 3DS-[Protokolls](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html). Anstatt primär als direkter ACS-_Anbieter_ im gleichen Sinne wie Technologieunternehmen wie Entersekt oder Broadcom zu agieren, betreibt Visa das Programm und stützt sich auf eine Liste zugelassener 3DS-Anbieter (einschließlich ACS-Anbieter), deren Produkte als konform mit EMV 3DS und den Visa Secure-[Regeln](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) zertifiziert sind. Herausgeber beschaffen ACS-Lösungen typischerweise von diesen zertifizierten Anbietern. Visa selbst konzentriert sich auf das Netzwerk (Directory Server), die Definition von Programmregeln, die Förderung der Akzeptanz und die Förderung von Innovationen wie SPC-[Piloten](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** [Visa Secure](https://www.corbado.com/blog/visa-secure), basierend auf EMV 3DS, unterstützt von Natur aus den Austausch umfangreicher Daten zur Risikobewertung, um einen reibungslosen [Flow](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) zu ermöglichen. Das [EMVCo/FIDO-Framework](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) zur Übermittlung früherer FIDO-Daten funktioniert innerhalb des [Visa Secure](https://www.corbado.com/blog/visa-secure)-Ökosystems, wenn der gewählte ACS-Anbieter die Verarbeitung [unterstützt](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html). - **SPC-Unterstützung (Challenge):** Visa ist aktiv an der Pilotierung und Förderung von SPC beteiligt. Sie arbeiten mit Partnern (wie Netcetera und Modirum/Entersekt in Piloten) zusammen, um den SPC-Flow innerhalb des 3DS-[Protokolls](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) zu testen und zu verfeinern. Dieses starke Engagement deutet auf eine strategische Unterstützung für SPC als Challenge-Methode innerhalb des [Visa Secure](https://www.corbado.com/blog/visa-secure)-Programms hin, abhängig von der Bereitschaft des Ökosystems (ACS-, Händler-, Browser-[Unterstützung)](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). ### 3.7 Mastercard (Identity Check) 3DS ACS - **Marktpräsenz:** Ähnlich wie Visa betreibt [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) das Mastercard Identity Check-Programm, das auf EMV [3DS](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) basiert. Sie bieten Optionen für Herausgeber und Händler, einschließlich Stand-in-Verarbeitung und potenziell die Nutzung von Partnern oder Tochtergesellschaften wie [NuData](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf). Mastercard erwarb 2017 NuData Security, ein Unternehmen für Verhaltensbiometrie, und erweiterte damit seine [Fähigkeiten](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) zur Risikobewertung. Sie betonen auch die kontinuierliche Innovation in den Bereichen Biometrie, RBA und [KI](https://developer.mastercard.com/product/identity-check/). Wie Visa verlassen sie sich auf zertifizierte Anbieter für Kern-ACS-Komponenten, können aber gebündelte Dienstleistungen anbieten oder erworbene [Technologie](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf) nutzen. - **Unterstützung für FIDO-Daten ohne SPC (Frictionless):** [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) nutzt den reichhaltigen Datenaustausch von EMV 3DS 2.x für verbesserte Risikoentscheidungen und einen reibungslosen [Flow](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html). Ihre Übernahme von NuData deutet auf einen starken Fokus auf Verhaltensanalysen als Teil dieser Risiko[bewertung](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) hin. Die Unterstützung für die Verarbeitung früherer Händler-FIDO-Daten würde von der spezifischen ACS-Implementierung abhängen, die der Herausgeber im Rahmen des Identity Check-[Programms](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) verwendet. - **SPC-Unterstützung (Challenge):** Mastercard ist ein Schlüsselmitglied von EMVCo und an der Entwicklung von EMV 3DS-Standards beteiligt, einschließlich v2.3, das SPC unterstützt. Sie fördern auch die Einführung von Passkeys im [Allgemeinen](https://fidoalliance.org/goodbye-to-manual-card-entry-mastercard-reveals-when-the-new-era-of-one-click-online-payments-begins/). Weitere Details finden Sie [hier](https://developer.mastercard.com/product/identity-check/). Sie sind ein starker Befürworter von SPC und treiben moderne Authentifizierungsmethoden voran. ### 3.8 Andere 3DS ACS-Anbieter Der Markt für EMV [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) umfasst zahlreiche Anbieter über die oben genannten hinaus. Anbieter wie /n software, RSA, 2C2P, 3dsecure.[io](https://www.corbado.com/blog/webauthn-errors), Adyen, ACI Worldwide, Computop und andere bieten ebenfalls zertifizierte Lösungen an oder spielen eine wichtige Rolle in bestimmten Regionen oder Segmenten. Diese Analyse zielt darauf ab, prominente globale Akteure abzudecken, ist aber aufgrund der dynamischen Natur des Marktes nicht erschöpfend. Die Fähigkeiten der Anbieter, insbesondere in Bezug auf aufkommende Standards wie SPC, entwickeln sich schnell. Wenn Sie Ungenauigkeiten feststellen oder aktualisierte Informationen zur Unterstützung von FIDO-Daten oder Secure [Payment](https://www.corbado.com/passkeys-for-payment) Confirmation durch Anbieter haben, kontaktieren Sie uns bitte, damit wir sicherstellen können, dass dieser Überblick aktuell und korrekt bleibt. ## 4. Issuer-Passkey-Authentifizierung über Secure Payment Confirmation ### 4.1 Funktionsweise erklärt: Der Herausgeber als Relying Party Ein Kernprinzip der Verwendung von Secure Payment Confirmation (SPC) im EMV 3DS Challenge Flow ist, dass der **Kartenherausgeber** (oder eine vom Herausgeber explizit beauftragte Partei, wie z. B. ein Zahlungsnetzwerk) als **FIDO Relying Party ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))** fungiert. Dies unterscheidet sich grundlegend vom zuvor beschriebenen FIDO-Datenfluss ohne SPC, bei dem typischerweise der Händler als RP für seine eigenen Login-/Authentifizierungs[zwecke](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) agiert. Damit SPC in einer 3DS-Challenge funktioniert, sind die folgenden Schritte erforderlich: 1. **Registrierung:** Der Karteninhaber muss zuerst einen FIDO-[Authenticator](https://www.corbado.com/glossary/authenticator) (z. B. [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps) wie Fingerabdruck-/Gesichtserkennung, Geräte-PIN oder einen Roaming-[Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025)) bei seiner ausgebenden Bank registrieren. Dieser Prozess erstellt einen Passkey, bei dem der öffentliche Schlüssel und eine eindeutige Credential-ID vom Herausgeber gespeichert und mit dem Konto des Karteninhabers oder einer bestimmten Zahlungs[karte](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) verknüpft werden. Die Registrierung kann in der mobilen App der Bank, im Online-[Banking](https://www.corbado.com/de/blog/revolut-passkeys-analyse)-Portal oder möglicherweise nach einer erfolgreichen traditionellen 3DS-[Challenge](https://fidoalliance.org/white-paper-secure-payment-confirmation/) angeboten werden. Entscheidend ist, dass für den Aufruf von SPC durch eine Drittpartei wie eine Händler-Website das Credential typischerweise mit ausdrücklicher Zustimmung des Nutzers erstellt werden muss, die seine Verwendung in solchen Kontexten erlaubt, was oft spezifische WebAuthn-Erweiterungen während der [Registrierung](https://www.w3.org/TR/secure-payment-confirmation/) erfordert. 2. **Authentifizierung (während der 3DS-Challenge):** - Wenn eine 3DS-Transaktion eine Challenge auslöst und der Herausgeber/ACS SPC unterstützt und auswählt, identifiziert der ACS die relevante(n) FIDO-Credential-ID(s), die mit dem Karteninhaber und dem [Gerät](https://fidoalliance.org/white-paper-secure-payment-confirmation/) verknüpft sind. - Der ACS fügt diese Credential-ID(s) zusammen mit einer einzigartigen kryptografischen Challenge und Transaktionsdetails (Betrag, Währung, Name/Herkunft des Zahlungsempfängers, Instrumenten-Icon/Anzeigename) in die Authentication Response (ARes) ein, die an den 3DS-Server/[Requestor](https://www.nsoftware.com/kb/entries/04252301) zurückgesendet wird. - Die 3DS-Requestor-Komponente des Händlers verwendet diese Informationen aus der ARes, um die SPC-API des Browsers aufzurufen. - Der Browser zeigt einen standardisierten, sicheren Dialog an, der die vom ACS bereitgestellten Transaktionsdetails anzeigt. - Der Nutzer bestätigt die Transaktion und authentifiziert sich mit seinem registrierten FIDO-Authenticator (z. B. durch Berühren eines Fingerabdrucksensors, Gesichtserkennung, Eingabe der Geräte-PIN, Tippen auf einen [Sicherheitsschlüssel](https://www.corbado.com/de/blog/die-besten-fido2-hardware-sicherheitsschluessel-2025)). Diese Aktion entsperrt den privaten Schlüssel, der sicher auf dem Gerät/Authenticator gespeichert ist. - Der Authenticator signiert die präsentierten Transaktionsdetails und die vom ACS erhaltene kryptografische Challenge. - Der Browser gibt die resultierende FIDO-Assertion (die signierte Datennutzlast) an den 3DS-Requestor des Händlers zurück. - Der 3DS-Requestor übermittelt diese Assertion zurück an den [Issuer](https://www.corbado.com/glossary/issuer)-ACS, typischerweise gekapselt in einer zweiten AReq-Nachricht. - Der [Issuer](https://www.corbado.com/glossary/issuer)/ACS, der als autoritative [Relying Party](https://www.corbado.com/glossary/relying-party) agiert, verwendet den zuvor gespeicherten öffentlichen Schlüssel des Karteninhabers, um die Signatur auf der Assertion kryptografisch zu überprüfen. Eine erfolgreiche Überprüfung bestätigt, dass der legitime Karteninhaber mit seinem registrierten Authenticator die spezifischen präsentierten Transaktionsdetails genehmigt hat. ### 4.2 EMV 3DS-Protokollfluss mit SPC-Challenge Die Integration von SPC in den EMV 3DS Challenge Flow erfordert Änderungen an der Standard-Nachrichtensequenz, die typischerweise zwei AReq/ARes-Austausche umfassen: 1. **Erste Authentifizierungsanfrage (AReq #1):** Der Händler/3DS-Server initiiert den 3DS-Prozess, indem er eine AReq mit Transaktions- und Gerätedaten sendet. Um die Fähigkeit für SPC zu signalisieren, kann die Anfrage einen Indikator wie `threeDSRequestorSpcSupport` auf 'Y' gesetzt enthalten (oder ähnlich, je nach Implementierung des ACS-Anbieters). 2. **Erste Authentifizierungsantwort (ARes #1):** Wenn der ACS feststellt, dass eine Challenge erforderlich ist und sich für SPC entscheidet, antwortet er mit einer ARes, die dies anzeigt. Der `transStatus` könnte auf 'S' (was auf eine erforderliche SPC hinweist) oder einen anderen spezifischen Wert gesetzt sein. Diese ARes enthält die notwendige Datennutzlast für den SPC-API-Aufruf. 3. **SPC-API-Aufruf & FIDO-Authentifizierung:** Die 3DS-Requestor-Komponente des Händlers empfängt ARes #1 und verwendet die Nutzlast, um die SPC-API des Browsers aufzurufen. Der Nutzer interagiert mit seinem Authenticator über die sichere Benutzeroberfläche des Browsers. 4. **Rückgabe der FIDO-Assertion:** Nach erfolgreicher Nutzerauthentifizierung gibt der Browser die FIDO-Assertionsdaten an den 3DS-Requestor zurück. 5. **Zweite Authentifizierungsanfrage (AReq #2):** Der 3DS-Requestor erstellt und sendet eine _zweite_ AReq-Nachricht an den ACS. Der Hauptzweck dieser Nachricht ist der Transport der FIDO-Assertionsdaten. Sie enthält typischerweise: - `ReqAuthData`: Enthält die FIDO-Assertion. - `ReqAuthMethod`: Auf '09' gesetzt (oder der designierte Wert für SPC/FIDO-Assertion). - Potenziell den `AuthenticationInformation`-Wert aus ARes #1, um die Anfragen zu verknüpfen. - Optional einen `SPCIncompletionIndicator`, falls der SPC-API-Aufruf fehlgeschlagen ist oder eine Zeitüberschreitung hatte. 6. **Finale Authentifizierungsantwort (ARes #2):** Der ACS empfängt AReq #2, validiert die FIDO-Assertion mit dem öffentlichen Schlüssel des Karteninhabers und bestimmt das endgültige Authentifizierungsergebnis. Er sendet ARes #2 zurück, die den endgültigen Transaktionsstatus enthält (z. B. `transStatus` = 'Y' für erfolgreiche Authentifizierung, 'N' für fehlgeschlagen). Dieser Zwei-AReq-Flow stellt eine Abweichung von traditionellen 3DS-Challenge-Methoden dar (wie OTP oder OOB, die über CReq/CRes- oder RReq/RRes-Nachrichten abgewickelt werden), die typischerweise innerhalb des anfänglichen AReq/ARes-Zyklus abgeschlossen werden, nachdem ein `transStatus` = 'C' empfangen wurde. Während der Nutzerinteraktionsteil von SPC (biometrischer Scan, PIN-Eingabe) oft deutlich schneller ist als das Eintippen einer [OTP](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf), fügt die Einführung einer zweiten vollständigen AReq/ARes-Runde Netzwerklatenz zwischen dem 3DS-Server, dem Directory Server und dem ACS hinzu. Implementierer und Anbieter müssen diesen Flow sorgfältig optimieren und potenzielle Zeitüberschreitungen behandeln, um sicherzustellen, dass die gesamte End-to-End-Transaktionszeit wettbewerbsfähig bleibt und die Erwartungen der Nutzer erfüllt. ## 5. Überlegungen zum Ökosystem für SPC ### 5.1 SPC als globaler Standard (W3C/EMVCo) Secure Payment Confirmation ist für eine globale Einführung positioniert, da es doppelt standardisiert ist. Es ist formell als Webstandard vom World Wide Web Consortium (W3C) definiert und hat Mitte 2023 den Status einer Candidate Recommendation erreicht, wobei die Arbeit an einer vollständigen [Recommendation](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) fortgesetzt wird. Gleichzeitig wurde SPC in die EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure)-Spezifikationen ab Version 2.3 integriert, die von EMVCo, dem globalen technischen Gremium für Zahlungs[standards](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf), verwaltet werden. Diese Integration stellt sicher, dass SPC innerhalb des etablierten globalen Rahmens für die Authentifizierung von [CNP](https://www.corbado.com/glossary/cnp)-Transaktionen funktioniert. Die Zusammenarbeit zwischen W3C, der [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) und EMVCo unterstreicht die branchenweite Anstrengung, interoperable Standards für sichere und [benutzerfreundliche Online-Zahlungen](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf) zu schaffen. ### 5.2 Anwendbarkeit über regulatorische Mandate hinaus (z. B. USA, Kanada) Obwohl das Design von SPC, insbesondere seine Fähigkeit, die Nutzerauthentifizierung kryptografisch mit spezifischen Transaktionsdetails zu verknüpfen („dynamische Verknüpfung“), dazu beiträgt, die Anforderungen der [Starken Kundenauthentifizierung](https://www.corbado.com/blog/psd2-sca-requirements) (SCA) gemäß Vorschriften wie der europäischen Zahlungsdiensterichtlinie (PSD2) zu erfüllen, ist sein Nutzen nicht auf diese vorgeschriebenen Regionen beschränkt. SPC ist ein globaler technischer Standard, der in jedem Markt anwendbar ist, einschließlich der Vereinigten Staaten und Kanada, vorausgesetzt, die notwendigen Ökosystemkomponenten sind [vorhanden](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). In Märkten ohne explizite [SCA](https://www.corbado.com/de/blog/passkeys-fuer-zahlungsanbieter-drittanbieter-sdk)-Vorgaben für jede Transaktion sind die Haupttreiber für die Einführung von SPC: - **Verbessertes Nutzererlebnis:** Bietet eine potenziell schnellere und bequemere Challenge-Methode (z. B. durch die Verwendung von [Gerätebiometrie](https://www.corbado.com/de/blog/passkeys-lokale-biometrie-native-apps)) im Vergleich zu traditionellen OTPs oder wissensbasierten Fragen, was potenziell zu weniger Warenkorbabbrüchen führt. Pilotprojekte haben signifikante Reduzierungen der Authentifizierungszeit im Vergleich zu traditionellen [Challenges](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/) gezeigt. - **Erhöhte Sicherheit:** Die FIDO-basierte Authentifizierung, die SPC innewohnt, ist resistent gegen [Phishing](https://www.corbado.com/glossary/phishing)-Angriffe, [Credential Stuffing](https://www.corbado.com/glossary/credential-stuffing) und andere gängige Bedrohungen, die auf Passwörter und OTPs abzielen. Daher können Herausgeber und Händler in Regionen wie Nordamerika SPC strategisch implementieren, um die [Sicherheit](https://www.corbado.com/de/blog/vollstaendig-passwortlos-werden) zu erhöhen und ein besseres Kundenerlebnis zu bieten, auch ohne eine regulatorische Anforderung für alle Transaktionen. ### 5.3 Abhängigkeiten und Bereitschaft des Ökosystems für SPC & FIDO/Passkeys Die erfolgreiche Einführung und breite Akzeptanz von Secure Payment Confirmation (SPC) hängt stark von der koordinierten Bereitschaft über mehrere Komponenten des Zahlungsökosystems hinweg ab. Während die zugrunde liegenden FIDO-Standards und die Passkey-Technologie schnell reifen, bleiben die spezifische Browser-Unterstützung für die SPC-API und die vollständige Integration in der gesamten Zahlungskette entscheidende Hürden. Andere Akteure im Ökosystem machen im Allgemeinen gute Fortschritte. **Zusammenfassung der Ökosystem-Bereitschaft (Stand Mai 2025)** | Akteur im Ökosystem | SPC-Bereitschaft | FIDO/Passkey-Bereitschaft (Allgemein) | Wichtige Anmerkungen (Mai 2025) | | :-------------------------------- | :--------------------- | :------------------------------------ | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Nutzergeräte & Authenticators** | ❌ Nicht verwendet | ✅ Bereit | Praktisch jeder moderne Laptop, jedes Telefon und jeder Sicherheitsschlüssel wird mit FIDO2/WebAuthn-Authenticatoren ausgeliefert. Milliarden sind bereits für Verbraucher verfügbar. Die Hardware ist nicht der Engpass. | | **Webbrowser (Software)** | ❌ Engpass | ✅ Bereit | **SPC:** Chromium (Chrome/Edge ≥ 95) unterstützt grundlegendes SPC v1, aber erweiterte Funktionen sind experimentell. **Safari (macOS & iOS) und Firefox bieten KEINE SPC-Unterstützung.** **Allgemeines FIDO/Passkey:** Volle WebAuthn-Unterstützung in den wichtigsten Browsern für Login usw. | | **Herausgeber & ACS-Anbieter** | ⚠️ Fortschreitend | ✅ Fortschreitend | **SPC:** Marktführer, die für EMV 3DS 2.3.1 zertifiziert sind, können SPC ausführen; andere wechseln vom Pilot- zum Produktionsbetrieb. **Allgemeines FIDO:** Viele unterstützen FIDO für App-Authentifizierung/OOB; die Fähigkeit zur Aufnahme von RBA-Daten existiert, aber die Akzeptanz variiert. Erfordert FIDO-Server/RP-Infrastruktur. | | **Händler** | ❌ Keine Unterstützung | ✅ Fortschreitend | **SPC:** Erfordert EMV 3DS v2.3+ Stack & Browser-Logik. Frühe Anwender berichten von Vorteilen. **Allgemeines FIDO:** Zunehmende Nutzung für den Login durch die Einführung von Passkeys; kann Daten über `threeDSRequestorAuthenticationInfo` übergeben. Integrationsaufwand erforderlich. | | **PSPs / 3DS-Server** | ⚠️ Wird ausgerollt | ✅ Fortschreitend | **SPC:** Erfordert EMV 3DS v2.3+ Stack & Browser-Logik. Frühe Anwender berichten von Vorteilen. **Allgemeines FIDO:** Zunehmende Nutzung für den Login; kann Daten über `threeDSRequestorAuthenticationInfo` übergeben. Integrationsaufwand erforderlich. | | **Scheme Directory Server** | ✅ Bereit | ✅ Bereit | Die Infrastruktur (Visa, Mastercard usw.) wurde seit 2021 für EMV 3DS 2.3/2.3.1-Nachrichten (einschließlich SPC- und FIDO-Datenfeldern) aktualisiert, lange bevor Passkeys zum Mainstream wurden. | **Was das in der Praxis bedeutet (Mai 2025)** Der primäre limitierende Faktor für die **SPC-Einführung** ist die [User-Agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox) (Browser)-Schicht: - **Safari (macOS & iOS):** ❌ WebKit fehlt immer noch die `secure-payment-confirmation` [Payment](https://www.corbado.com/passkeys-for-payment) Request-Methode. Jede in [Safari](https://www.corbado.com/de/blog/digital-credentials-api) besuchte Website muss auf andere Authentifizierungsmethoden zurückgreifen (OTP, OOB, potenziell Nicht-SPC-WebAuthn-Erlebnisse). Apple hat kein Interesse bekundet, die Erweiterung zu implementieren. - **Chrome / Edge (Chromium):** ⚠️ Grundlegendes SPC (Credential-Erstellung + Authentifizierung) ist stabil, aber Schlüssel werden noch nicht in Hardware-Authenticatoren gespeichert und wurden nur in Pilotprojekten verwendet. Implementierer sollten potenzielle Breaking Changes erwarten und bereit sein, die Funktionalität basierend auf API-Verfügbarkeitsprüfungen (z. B. `canMakePayment()`) oder Feature-Flags zu steuern. - **Firefox:** ❌ Das Team hat Interesse signalisiert, hat aber keinen verbindlichen Implementierungszeitplan; Händler müssen für geordnete Fallback-Pfade planen. Da die [Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) der Herausgeber (ACS, FIDO-Server) und die Scheme Directory Server weitgehend bereit sind oder sich schnell weiterentwickeln und die Tools für Händler/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) verfügbar werden, **ist die Hauptbarriere für eine weit verbreitete SPC-Nutzung die Browser-Unterstützung.** Sobald sich die Browser-Abdeckung verbessert, bestehen die verbleibenden Aufgaben hauptsächlich in der Integration durch Händler/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) (Upgrade auf EMV 3DS v2.3+, Hinzufügen der SPC-Aufruflogik, Handhabung des Zwei-AReq-Flows) und der Skalierung der Registrierung von Passkeys durch die Herausgeber speziell für Zahlungskontexte. **Erwarten Sie vorerst, dass SPC nur für einen begrenzten Teil der Transaktionen erscheint. Bis Safari (und damit das gesamte iOS-Ökosystem) Unterstützung liefert, kann SPC keine Marktunterstützung erreichen.** ![overview secure payment confirmation](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_secure_payment_confirmation_e92645aa7f.png) ## 6. Fazit und strategische Empfehlungen ### 6.1 Zusammenfassung: Fokus jetzt auf Frictionless, Vorbereitung auf SPC für später Die Analyse zeigt eine klare Divergenz in der Bereitschaft der beiden primären FIDO-Integrationen innerhalb von EMV 3DS (Stand Mai 2025). Während die grundlegenden Elemente für **Secure Payment Confirmation (SPC)** als Challenge-Methode voranschreiten – insbesondere die Fähigkeiten von Herausgebern/ACS und die Bereitschaft der Schemes – wird ihre weit verbreitete Einführung erheblich durch den **kritischen Engpass der Browser-Unterstützung** behindert, vor allem durch die fehlende Implementierung in Apples [Safari](https://www.corbado.com/de/blog/digital-credentials-api) (was alle [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)/iPadOS-Geräte blockiert) und [Firefox](https://www.corbado.com/de/blog/digital-credentials-api), sowie durch Einschränkungen in den aktuellen Chromium-Implementierungen. SPC bleibt ein vielversprechender zukünftiger Zustand, ist aber heute keine praktische, allgegenwärtige Lösung. ### 6.2 Empfehlungen für die wichtigsten Teilnehmer Basierend auf dem aktuellen Zustand des Ökosystems gelten folgende Empfehlungen: - **Händler:** - **Passkey-Einführung priorisieren:** Implementieren Sie Passkeys für den Nutzer-Login und die Authentifizierung. Dies verbessert nicht nur Ihre eigene Sicherheit und das Nutzererlebnis (Faktoren, die hier nicht detailliert werden), sondern schafft auch die Daten, die für reibungslose 3DS-Flows benötigt werden. - **FIDO-Daten übermitteln:** Stellen Sie sicher, dass Ihre 3DS-Integration das Feld `threeDSRequestorAuthenticationInfo` korrekt mit den Details erfolgreicher früherer Passkey-Authentifizierungen während der Checkout-Sitzung füllt. Arbeiten Sie mit Ihrem [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk)/3DS-Server-Anbieter zusammen, um dies zu ermöglichen. - **Herausgeber:** - **Nutzer-Passkeys registrieren:** Beginnen Sie damit, Karteninhabern die Registrierung von Passkeys direkt bei Ihnen anzubieten und zu fördern (für den Zugang zur Banking-App, zukünftiges SPC usw.). Bauen Sie die notwendige FIDO Relying Party-[Infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) auf. - **Händler-Passkey-Daten jetzt nutzen:** Weisen Sie Ihren ACS-Anbieter an, die von Händlern übermittelten FIDO-Daten (`threeDSRequestorAuthenticationInfo`) als starkes positives Signal in Ihrer RBA-Engine zu verwenden und zu nutzen. Führen Sie Aufzeichnungen über vertrauenswürdige Händler-Passkeys, die mit Nutzern verknüpft sind, wo immer möglich. Ziel ist es, die reibungslosen Genehmigungen für Transaktionen, denen eine starke Händler-[Passkey-Authentifizierung](https://www.corbado.com/de/blog/passkey-anbieter) vorausgeht, deutlich zu erhöhen. - **Auf SPC vorbereiten, aktiv beobachten:** Stellen Sie sicher, dass Ihre ACS-Roadmap die volle Unterstützung für EMV 3DS v2.3.1+ SPC enthält, behandeln Sie es aber als eine zukünftige Verbesserung. Beobachten Sie kontinuierlich die Entwicklungen bei den Browsern (insbesondere [Safari](https://www.corbado.com/de/blog/digital-credentials-api)), um abzuschätzen, wann SPC in großem Maßstab realisierbar werden könnte. - **ACS-Anbieter:** - **RBA mit Passkey-Intelligenz verbessern:** Investieren Sie stark in die Fähigkeit Ihrer RBA-Engine, von Händlern bereitgestellte FIDO/Passkey-Daten zu verarbeiten und ihnen zu vertrauen. Entwickeln Sie eine Logik, um die Passkey-Nutzung über Händlerkäufe für einen bestimmten Nutzer/ein bestimmtes Gerät hinweg zu verfolgen. Speichern Sie öffentliche Schlüssel (aus der direkten Registrierung beim Herausgeber), um die kryptografische Integrität der Authentifizierungsdaten des Händlers zu überprüfen, falls diese bereitgestellt werden. Verknüpfen Sie eine erfolgreiche Passkey-Nutzung direkt mit höheren Raten reibungsloser Genehmigungen. - **Robuste SPC-Fähigkeiten aufbauen:** Entwickeln und zertifizieren Sie weiterhin die volle Unterstützung für den SPC-Challenge-Flow (EMV 3DS v2.3.1+), um für die zukünftige Marktakzeptanz bereit zu sein. - **Zahlungs-Schemes/Netzwerke:** - **Frictionless FIDO-Daten fördern:** Fördern und potenziell incentivieren Sie aktiv die Übermittlung und Nutzung von Händler-FIDO-Authentifizierungsdaten (`threeDSRequestorAuthenticationInfo`) innerhalb des 3DS-Flows. Bieten Sie klare Anleitungen und Unterstützung für Herausgeber und ACS-Anbieter, wie diese Daten effektiv für die RBA genutzt werden können. - **SPC-Befürwortung & Browser-Engagement fortsetzen:** Setzen Sie die Bemühungen zur Standardisierung und Förderung von SPC fort und treten Sie kritisch mit den Browser-Anbietern (Apple, Mozilla, Google) in Kontakt, um eine vollständige, interoperable Implementierung des SPC-API-Standards zu fördern. ### 6.3 Allgemeine strategische Ausrichtung Die unmittelbare, greifbare Chance liegt in der Verbesserung des **Frictionless Flows** durch die Nutzung der wachsenden Akzeptanz von Passkeys auf Händlerebene. Alle Teilnehmer des Ökosystems sollten die Erstellung, Übertragung und intelligente Nutzung dieser früheren Authentifizierungsdaten innerhalb des bestehenden EMV 3DS-Frameworks priorisieren. Dieser Weg bietet kurzfristige Vorteile bei der Reduzierung von Reibungsverlusten und potenziell von Betrug, ohne auf eine universelle SPC-Browser-Unterstützung warten zu müssen. Gleichzeitig stellt die Vorbereitung der Grundlagen für SPC – insbesondere die Registrierung von Passkeys bei den Herausgebern und die Bereitschaft der ACS – sicher, dass das Ökosystem positioniert ist, um diese überlegene Challenge-Methode zu übernehmen, sobald der Browser-Engpass behoben ist.