Autentikasi Pelanggan yang Kuat

Yang perlu diketahui bisnis online tentang regulasi Eropa yang baru

  1. Pendahuluan
  2. Apa yang dimaksud dengan Autentikasi Pelanggan yang Kuat?
    1. Kapan Autentikasi Pelanggan yang Kuat diharuskan?
    2. Cara mengautentikasi pembayaran
    3. Pembebasan Autentikasi Pelanggan yang Kuat
    4. Bagaimana jika pembebasan gagal?
    5. Cara Stripe membantu Anda memenuhi persyaratan Autentikasi Pelanggan yang Kuat

Dalam panduan ini, kita akan melihat dari dekat persyaratan Autentikasi Pelanggan yang Kuat (SCA) Eropa dan jenis pembayaran yang terdampak. Kita juga akan membahas pembebasan yang dapat digunakan pada transaksi berisiko rendah untuk menawarkan pengalaman checkout bebas hambatan.

Kami juga telah memublikasikan panduan untuk membantu Anda mengidentifikasi kapan harus menambahkan autentikasi dalam perjalanan pelanggan. Kunjungi situs kami untuk informasi selengkapnya tentang produk siap SCA dari Stripe.

Apa yang dimaksud dengan Autentikasi Pelanggan yang Kuat?

Autentikasi Pelanggan yang Kuat (SCA) adalah persyaratan peraturan baru Eropa untuk mengurangi penipuan dan membuat pembayaran online dan offline nirkontak menjadi lebih aman. Untuk menyetujui pembayaran dan memenuhi persyaratan SCA, Anda perlu membangun autentikasi tambahan ke dalam alur checkout. SCA mengharuskan autentikasi minimal menggunakan dua dari tiga elemen berikut.

Jika Anda ingin membaca persyaratan SCA asli, penetapannya ada di Standar Teknis Peraturan atau RTS. Bank harus menolak pembayaran yang mewajibkan SCA dan tidak memenuhi kriteria ini.

Kapan Autentikasi Pelanggan yang Kuat diharuskan?

Autentikasi Pelanggan yang Kuat berlaku pada pembayaran online yang "diprakarsai-pelanggan" dan pembayaran nirkontak offline di Eropa. Akibatnya, sebagian besar pembayaran kartu dan semua transfer bank mengharuskan SCA. Di lain pihak, debit langsung rutin dianggap sebagai "diprakarsai-merchant" dan tidak memerlukan autentikasi yang kuat.

Untuk pembayaran kartu online, persyaratan ini berlaku untuk transaksi di mana bisnis dan bank pemegang kartu berlokasi di Wilayah Ekonomi Eropa (EEA).

Cara mengautentikasi pembayaran

Cara paling umum untuk mengautentikasi pembayaran kartu online mengandalkan 3D Secure—suatu standar autentikasi yang didukung sebagian besar kartu Eropa. Penerapan 3D Secure biasanya akan menambahkan satu langkah ekstra setelah checkout di mana pemegang kartu diminta oleh banknya untuk memberikan informasi tambahan guna menyelesaikan pembayaran (misalnya kode satu-kali yang dikirim ke ponsel mereka atau autentikasi sidik jari melalui aplikasi perbankan seluler mereka).

3D Secure 2 merupakan metode utama untuk mengautentikasi pembayaran kartu online dan memenuhi persyaratan SCA yang baru. Versi ini memperkenalkan pengalaman pengguna lebih baik yang akan membantu meminimalkan beberapa hambatan yang diakibatkan oleh autentikasi ke dalam alur checkout.

Transaksi kartu offline biasanya memenuhi persyaratan autentikasi dengan memasukkan PIN.

Metode pembayaran berbasis kartu seperti Apple Pay atau Google Pay sudah mendukung alur pembayaran dengan lapisan autentikasi terintegrasi (biometrik atau kata sandi). Ini merupakan cara terbaik bagi bisnis untuk menawarkan pengalaman checkout bebas kendala sekaligus memenuhi persyaratan.

Kami juga memperkirakan banyak metode pembayaran Eropa, seperti iDEAL, Bancontact, atau Multibanco, akan mengikuti aturan SCA baru tanpa perubahan besar-besaran pada pengalaman pengguna mereka.

Pembebasan Autentikasi Pelanggan yang Kuat

Berdasarkan peraturan baru ini, jenis pembayaran berisiko rendah tertentu mungkin dibebaskan dari Autentikasi Pelanggan yang Kuat. Penyedia pembayaran seperti Stripe dapat meminta pembebasan ini saat memproses pembayaran. Bank pemegang kartu selanjutnya akan menerima permintaan ini, menilai tingkat risiko transaksi, dan pada akhirnya memutuskan apakah akan menyetujui pembebasan ini atau apakah autentikasi masih perlu.

Membangun autentikasi ke dalam alur checkout Anda akan memasukkan satu langkah tambahan yang dapat menambah hambatan dan meningkatkan pembatalan oleh pelanggan. Penggunaan pembebasan untuk pembayaran berisiko rendah dapat mengurangi frekuensi autentikasi pelanggan dan mengurangi hambatan. Kami telah merancang produk pembayaran siap SCA untuk memungkinkan Anda memanfaatkan pembebasan ini jika memungkinkan guna membantu melindungi konversi.

Pembebasan paling relevan bagi bisnis online adalah:

Transaksi berisiko rendah

Penyedia pembayaran (seperti Stripe) diizinkan melakukan analisis risiko secara aktual untuk menentukan apakah akan menerapkan SCA pada transaksi. Hal ini hanya memungkinkan jika rasio penipuan secara keseluruhan untuk pembayaran kartu pada penyedia pembayaran atau bank tidak melebihi ambang batas berikut:

  • 0,13% untuk membebaskan transaksi di bawah €100
  • 0,06% untuk membebaskan transaksi di bawah €250
  • 0,01% untuk membebaskan transaksi di bawah €500

Ambang batas ini akan dikonversikan ke jumlah setempat yang setara bila relevan.

Jika rasio penipuan penyedia pembayaran di bawah ambang batas, namun rasio penipuan bank pemegang kartu di atas ambang batas, kami memperkirakan bank akan menolak pembebasan ini dan mengharuskan autentikasi.

Hal ini merupakan salah satu pembebasan paling bermanfaat bagi bisnis dan salah satu yang paling banyak didukung oleh bank. Penilaian risiko aktual secara komprehensif yang dimiliki Stripe Radar memungkinkan kami mendukung pembebasan ini bagi para pelanggan kami.

Pembayaran di bawah €30

Ini adalah pembebasan lain yang dapat digunakan untuk pembayaran dalam jumlah kecil. Transaksi di bawah €30 itu dianggap “bernilai rendah” dan dapat dibebaskan dari SCA. Namun, bank perlu meminta autentikasi jika pembebasan telah digunakan lima kali sejak autentikasi terakhir pemegang karu berhasil atau jika jumlah pembayaran yang sebelumnya dibebaskan melebihi €100. Bank pemegang kartu perlu melacak frekuensi penggunaan pembebasan dan memutuskan apakah autentikasi diperlukan.

Mengingat pembebasan ini dibatasi sangat ketat, pembebasan transaksi berisiko rendah mungkin menjadi lebih relevan bagi kebanyakan pembayaran. Walau demikian, kami mendukung sepenuhnya pembebasan ini bagi para pengguna kami.

Langganan dengan jumlah-tetap

Pembebasan ini dapat diberlakukan bila pelanggan membuat pembayaran rutin dengan jumlah yang sama, ke bisnis yang sama. SCA diharuskan untuk pembayaran pertama pelanggan—namun charge selanjutnya dapat dibebaskan dari SCA.

Pembebasan ini akan sangat berguna bagi bisnis langganan dan banyak didukung oleh bank-bank Eropa. Kami mengaktifkan pembebasan ini untuk pengguna Stripe. Jika Anda menggunakan Stripe Billing untuk membuat langganan, kami menerapkan pembebasan ini secara otomatis bila relevan dan dapat membantu mengelola permintaan autentikasi jika pembebasan ditolak oleh bank pelanggan.

Transaksi yang diprakarsai-merchant (termasuk langganan yang bervariasi)

Pembayaran yang dibuat dengan kartu yang disimpan bila pelanggan tidak ada dalam alur checkout (terkadang disebut “di luar sesi”) mungkin memenuhi syarat sebagai transaksi yang diprakarsai-merchant. Pembayaran ini secara teknis berada di luar lingkup SCA. Dalam praktiknya, menandai suatu pembayaran sebagai “transaksi yang diprakarsai-merchant” akan mirip dengan meminta pembebasan. Dan seperti pembebasan lainnya, terserah bank untuk memutuskan apakah autentikasi diharuskan untuk transaksi itu.

Untuk menggunakan transaksi yang diprakarsai- merchant, Anda perlu mengautentikasi kartu, baik telah tersimpan maupun pada pembayaran pertama. Terakhir, Anda perlu memperoleh persetujuan pelanggan (disebut juga “mandat”), untuk men-charge kartu mereka nanti.

Ini menjadi contoh penggunaan yang sangat penting bagi model bisnis yang mengandalkan pembayaran tertunda, men-charge langganan dengan jumlah berbeda-beda, atau menagih add-on. Hal ini didukung oleh sebagian besar bank di Eropa dan disetujui jika bank menganggap transaksi berisiko rendah

API Stripe memungkinkan Anda mengautentikasi kartu saat disimpan untuk digunakan belakangan dan menandai pembayaran selanjutnya sebagai "transaksi yang diprakarsai merchant".

Penerima manfaat tepercaya

Saat menyelesaikan autentikasi suatu pembayaran, pelanggan memiliki opsi untuk memasukkan bisnis yang tepercaya ke daftar izin agar tidak perlu mengautentikasi pembelian berikutnya. Bisnis ini selanjutnya dimasukkan dalam daftar “penerima manfaat tepercaya” yang dikelola oleh bank pelanggan atau penyedia layanan pembayaran.

Meski membuat daftar izin berpotensi menghasilkan pembelian rutin atau membuat langganan menjadi lebih praktis bagi pelanggan, penggunaan fitur ini di kalangan bank masih lambat. Kami mendukung pembebasan ini untuk pengguna kami bila tersedia.

Penjualan lewat telepon

Detail kartu yang dikumpulkan lewat telepon berada di luar lingkup SCA dan tidak memerlukan autentikasi. Tipe pembayaran ini kadang-kadang disebut “Pesanan Lewat Surat dan Pesanan Lewat Telepon” (MOTO). Serupa dengan pembayaran yang dibebaskan, transaksi MOTO perlu ditandai demikian—di mana bank pemegang kartu membuat keputusan akhir untuk menyetujui atau menolak transaksi.

Ini merupakan contoh penggunaan penting untuk bisnis yang menerima pembayaran lewat telepon dan banyak didukung oleh bank. Pembayaran yang dibuat melalui Dashboard Stripe secara otomatis ditandai sebagai pembayaran MOTO.

Jika bisnis Anda telah mematuhi PCI dan Anda telah membangun sistem sendiri untuk menyetujui pesanan lewat telepon, API pembayaran kami yang baru memungkinkan Anda menandai pembayaran sebagai MOTO. Hubungi kami untuk mengaktifkan fitur ini pada akun Stripe Anda dan mengakses dokumentasi teknis.

Pembayaran korporat

Pembebasan ini mencakup pembayaran yang dibuat dengan kartu yang “diajukan” (misalnya bila kartu korporat yang digunakan untuk mengelola pengeluaran perjalanan karyawan dipegang langsung oleh agen perjalanan online), serta pembayaran korporat yang dibuat menggunakan nomor kartu virtual (yang juga digunakan dalam sektor perjalanan).

Kami memperkirakan pembebasan ini akan sedikit digunakan di luar industri perjalanan mengingat lingkupnya yang sangat sempit. Pembebasan ini sendiri hanya dapat diminta oleh bank pemegang kartu, karena baik bisnis maupun penyedia pembayaran (seperti Stripe) dapat mendeteksi apakah kartu tersebut termasuk dalam kategori ini.

Bagaimana jika pembebasan gagal?

Meskipun pembebasan bisa jadi sangat bermanfaat, perlu diingat bahwa pada akhirnya bank pemegang kartulah yang memutuskan apakah akan menyetujui atau menolak pembebasan. Bank dapat mengembalikan kode penolakan baru untuk pembayaran yang gagal karena tidak ada autentikasi. Pembayaran ini selanjutnya harus diserahkan kembali kepada pelanggan bersama permintaan Autentikasi Pelanggan yang Kuat. Produk siap SCA dari Stripe secara otomatis memicu autentikasi tambahan ini jika diharuskan oleh bank.

Jika bisnis Anda terdampak oleh SCA, kami merekomendasikan untuk mempersiapkan rencana cadangan seandainya pembebasan ditolak dan pelanggan Anda harus mengautentikasi. Ini terutama penting jika Anda men-charge pelanggan ketika mereka tidak aktif di alur checkout (yaitu saat mereka berada di luar sesi) dan pelanggan Anda perlu kembali ke situs web atau aplikasi) dan pelanggan Anda perlu kembali ke situs web Anda atau aplikasi untuk mengautentikasi. Bacalah panduan merancang alur pembayaran untuk SCA dari kami untuk informasi selengkapnya.

Cara Stripe membantu Anda memenuhi persyaratan Autentikasi Pelanggan yang Kuat

Perubahan yang diperkenalkan oleh peraturan baru ini diatur agar memengaruhi secara mendalam perdagangan lewat internet di Eropa. Bisnis terdampak yang tidak siap untuk persyaratan baru ini dapat mengalami penurunan nilai konversi secara signifikan karena pemberlakuan SCA di seluruh bank Eropa.

Selain mendukung metode autentikasi baru seperti 3D Secure 2, kami meyakini bahwa keberhasilan penanganan pembebasan merupakan komponen penting untuk membangun pengalaman pembayaran terbaik yang meminimalkan hambatan. Produk pembayaran baru kami dioptimalkan untuk berbagai peraturan, bank, dan aturan jaringan kartu serta menerapkan pembebasan yang relevan untuk pembayaran berisiko rendah, sehingga hanya memicu 3D Secure bila diperlukan. Dan saat aturan ini berubah, kami akan dapat memelihara dan memperbarui SCA ini secara real time—dengan mempertimbangkan jadwal pemberlakuan setiap negara.

Kami telah merilis payments API mendasar yang menggunakan logika SCA Stripe untuk menerapkan pembebasan yang tepat dan memicu 3D Secure jika perlu. Stripe Checkout dan Stripe Billing dibangun di atas API ini dan dapat menerapkan 3D Secure secara dinamis jika diperlukan.

Pelajari selengkapnya produk siap SCA dari Stripe. Jika Anda memiliki pertanyaan atau masukan, beri tahu kami.

Siap memulai? Hubungi kami atau buat akun.

Buat akun dan mulai terima pembayaran—tidak perlu kontrak atau detail perbankan. Anda juga dapat menghubungi kami untuk merancang paket kustom bagi bisnis Anda.