Sicherheit ist nach Ansicht der Händler nach wie vor der wichtigste Faktor für den Erfolg eines Zahlungssystems, das geht aus der EHI-Studie „Kartengestützte Zahlungssysteme im Einzelhandel 2014“ klar hervor. Auf der anderen Seite mag der Kunde es schnell und unkompliziert, Express-Checkout-Verfahren liegen beim Bezahlen des Onlinekaufs ganz vorne. Laut „EHI Online-Payment-Studie 2014“ zahlen Kunden in Deutschland am liebsten mit Rechnung (25,4 %), PayPal (19,9 %) und Lastschrift (19,3 %), weil diese Methoden schnell und ohne große Dateneingabe funktionieren. Auch in dieser Studie wird deutlich, wie relevant die Sicherheit ist – 77,1 Prozent der befragten Online-Händler glauben, dass Sicherheit für die Kunden das wichtigste Kriterium eines Zahlungsverfahrens ist. Allerdings meinen auch 94,3 Prozent, dass die Usability, also die einfache Bedienung eines Verfahrens, für den Kunden entscheidend ist.
Die Empfehlungen von SecuRe Pay beinhalten die Forderung, dass Kunden ihre Authentizität durch mindestens zwei der drei folgenden Kriterien belegen:
- etwas, das nur der Kunde weiß (z.B. Passwort)
- etwas, das nur im Besitz des Kunden ist (z.B. Smartphone)
- etwas, das elementar zum Kunden gehört (z.B. Fingerabdruck)
Fast alle Händler äußerten in der Online-Payment-Befragung, dass sie Software-basierte Authentifizierungsmöglichkeiten für praxistauglich halten. Zwei Drittel sehen dies auch bei Handy-basierten Möglichkeiten. Hardware- und Biometrie-basierte Verfahren beurteilen sie in der Mehrzahl allerdings nicht als praxistauglich.
Die SecuRe-Pay-Empfehlungen sind nach dem „Comply or Explain“-Prinzip entworfen. Man kann als betroffenes Unternehmen die Anforderungen annehmen bzw. erfüllen oder erläutern, warum man die geforderten Ziele auch ohne die Erfüllung der Anforderungen erreicht. Letzteres hat beispielsweise PayPal in seiner Stellungnahme benutzt. Das System sei durch Backend-Prozesse (Risikoeinschätzung und Authentifizierung) durchaus in der Lage, den Anspruch an starke Kunden-Authentifikation auch ohne die geforderten zwei von drei Kriterien zu erfüllen.
„Dies zeigt, dass eine alternative ganzheitliche Betrachtung des Themas mit Backend und Frontend nötig ist, “ so Tim Kiesewetter. „Wir als EHI favorisieren Software-basierte Lösungen und einen gesunden Trade-off zwischen Sicherheit, Kundennutzung und Kosten.“