Introduction
Last updated on September 14, 2019
Starting September 14, 2019 new payments regulation is being rolled out in Europe, which mandates Strong Customer Authentication (SCA) for many online payments in the European Economic Area (EEA). SCA is part of the second Payment Services Directive (PSD2).
To meet the new SCA requirements, a form of two-factor authentication is required for many online card payments in Europe. Without authentication, many payments may be declined by your customers’ banks. We designed new foundational payments APIs to help businesses handle this change and take full advantage of any SCA exemptions.
We recommend using this guide to understand how different types of payment flows have to change due to SCA, and to reference it as you redesign your payment flows.
How payments are changing
Traditional card payments usually involve two steps: authorization and capture. A payment is authorized when a customer’s bank or card issuer decides to approve a payment, and the payment is captured when the card is charged.
With SCA, there is an additional and mandatory step before authorization and capture: authentication. This step helps protect customers by preventing fraud. To authenticate a payment, a customer responds to a prompt from their bank and provides additional information. This may be something they know, like a password, something they use, like their phone, or something that’s part of who they are, like their fingerprint.
The most common way to authenticate a payment is a method called 3D Secure. You may recognize 3D Secure by its branded names, such as “Visa Secure” or “Mastercard Identity Check.” There’s a new version, called 3D Secure 2, that is expected to become the standard method to authenticate payments. You can learn about the differences between these methods in our 3D Secure 2 guide. Our new payments APIs, Stripe Billing, and the new version of Stripe Checkout, all support 3D Secure 2.
No matter what method you use, customers must be on-session to authenticate, which means they need to be using your website or app. Adding this step is be simpler for businesses that charge customers right away, and more complex for businesses that charge customers after they’ve left the checkout flow. (This is sometimes called off-session.)
The scenarios in this guide offer examples of how these three steps (authentication, authorization, and capture) can vary depending on how and when you charge your customers.
-
認証顧客がオンライン支払いの認証を行います。
顧客は、銀行からの 3D セキュアのプロンプトに応答して追加情報を提供し、支払いの認証を行います。顧客の視点から 3D セキュアを見てみましょう。
認証が必要になるのは、支払いが免除に適格ではない場合や、顧客の銀行が免除の申請を拒否する場合です。Payment Intents API では、認証のステップを追加する前に、適格な免除を自動的に申請します。そのため、チェックアウトフローが簡単になり、コンバージョン率が保護されます。
ポイント: 認証は、顧客がオンセッションであるか、Web サイトやアプリを使用しているときに行う必要があります。そのため、このステップは通常、顧客がチェックアウトフォームに入力するときに行われます。
-
最大 7 日間
オーソリからキャプチャまでの期間は最大で 7 日間ですが、大半の企業はオーソリの直後に支払いをキャプチャします。
ポイント: 顧客の銀行は、オーソリ後にキャプチャされていない支払いを “保留中” とすることがあります。
-
キャプチャ企業が顧客のカードに請求して、決済が完了します。
Understanding exemptions
There are certain types of payments—such as low-risk transactions, fixed-amount subscriptions, phone sales, and merchant-initiated transactions—that may be exempt from SCA. Merchant-initiated transactions are payments made with a saved card when the customer is off-session. Common examples include a gym membership payment or utility bill. To qualify for this exemption, your business must have an agreement with your customer and have them authenticate their card when it’s being saved or authenticate the first payment. Our Strong Customer Authentication guide goes into greater detail about these exemptions and others.
Stripe’s SCA-ready payment APIs and products help businesses take full advantage of these opportunities by automatically requesting exemptions. When exemptions are accepted by your customers’ banks, your customers won’t have to authenticate, minimizing the impact on conversion.
However, businesses can’t rely on exemptions and must design their payment flows to authenticate customers when necessary. This is because the rules around exemptions depend on your customers’ banks. The banks evaluate each payment and decide whether an exemption applies—and individual banks will apply exemptions differently.
ビジネスシナリオ
SCA の影響と適用について説明するために、さまざまなビジネスモデルの決済フローで、認証のステップがどのように行われるか概要を示します。
E コマース事業では通常、顧客がオンセッションのときに請求して、それ以降の決済のために支払いの詳細情報を保存することはありません。このような決済フローでは、認証を追加するのは簡単です。顧客がカードによる支払いの詳細情報を入力して発注した直後に 3D セキュアで認証できます。
Stripe は、適格な免除を自動的に申請するため、顧客の認証は不要になることがあります。ただし、免除を適用する方法は銀行ごとに異なるため、企業は、必要に応じて顧客を認証するための決済フローを設計する必要があります。
-
発注
エリーサはカード情報と配送情報を入力します。総額は VAT 込みで €29 になります。
-
認証3D セキュアを使用した €29 の認証
エリーサは 3D セキュア認証を完了します。
-
キャプチャ€29 のキャプチャ
-
注文品の発送
推奨
オプションを選択してください
ライドシェアリング事業やその他のオンデマンドマーケットプレイスでは通常、オーソリ後 7 日以内に支払いをキャプチャし、最終的な金額は増減する可能性があります。このような決済フローでは、顧客が配車依頼をした直後に 3D セキュアによって認証できます。顧客がまだオンセッションであるためです。最終的な金額が最初に認証された金額よりも高くなった場合、顧客は増額に対して再び認証を行うことが必要になります。最終的な金額が最初に認証された金額より少ない場合は、再認証は必要ありません。
この決済フローでは、もう 1 つの方法として、顧客が最初に配車依頼をする時に、高い方の金額の認証とオーソリを行うこともできます。顧客が後でチップを加算して、合計金額が承認された金額を下回る場合は、顧客は再び認証する必要はありません。この方法のマイナス面は、高い金額の認証を事前に行うことで、価格に敏感な利用者を遠ざける可能性があることです。
Stripe は、適格な免除を自動的に申請するため、顧客の認証はまったく不要になることがあります。ただし、免除を適用する方法は銀行ごとに異なるため、企業は、顧客を認証し、オンセッションに戻して再認証するための決済フローを設計する必要があります。
-
配車依頼
サーミはアプリを開き、€20の配車依頼をします。
-
認証3D セキュアを使用した €20 の認証
サーミは 3D セキュア認証を完了します。
-
乗客の送迎
運転手がサーミを車で迎えに行き、目的地まで向かいます。
-
チップの加算
アプリを開き、運転手を評価し、€3 のチップを加算します。
-
認証3D セキュアを使用した €23 (€20 の乗車料金 + €3 のチップ) の認証
サーミは 3D セキュア認証を完了します。
-
キャプチャ€23 のキャプチャ
推奨
クラウドファンディングのプラットフォームは通常、オーソリ後 7 日以上経ってから支払いをキャプチャします。各キャンペーンは一定期間にわたって行われ、キャンペーンが成功した時点で支払いがキャプチャされます。このような決済フローでは、顧客がキャンペーンを支援するためプレッジする時に 3D セキュアで認証し、その後キャンペーンが成功し、終了した時点でオーソリとキャプチャを行います。オーソリが失敗すると、企業は、再認証を行うために顧客をオンセッションに戻す必要があります。
Stripe は、適格な免除を自動的に申請しますが、免除を適用する方法は銀行ごとに異なるため、企業は、顧客を認証し、オンセッションに戻して再認証するための決済フローを設計する必要があります。
-
キャンペーンの開始
-
プレッジ
ルカはキャンペーンを支援し、€40 をプレッジします。
-
認証Card authenticated using 3D Secure
Luka completes 3D Secure authentication after entering his card details.
-
30 日経過
-
キャンペーンの終了
キャンペーンが正常に終了するとルカのカードに対して請求が行われます。
-
キャプチャ€40 のキャプチャ
-
プレッジ
ルカはキャンペーンを支援し、€40 をプレッジします。
-
認証Card authenticated using 3D Secure
Luka completes 3D Secure authentication after entering his card details.
-
30 日経過
-
キャンペーンの終了
キャンペーンが正常に終了するとルカのカードに対して請求が行われます。
-
拒否カードの有効期限が切れていたためオーソリが失敗し、再認証が必要です
-
メールの送信
ルカは、クラウドファンディング Web サイトからのメールを開き、リンクをクリックします。
-
更新情報
ルカは、クラウドファンディング Web サイトに戻り、新しいカードの情報を入力します。
-
認証3D セキュアを使用した €40 の認証
Luka completes 3D Secure authentication.
-
キャプチャ€40 のキャプチャ
推奨
レンタカー会社は通常、オーソリ後 7 日以上経ってから支払いをキャプチャします。また、割引、アップグレード、配車と乗り捨ての追加サービスのために最終的な決済金額が増減する可能性があります。このような決済フローでは、支払いを複数の請求に分割して、最初にレンタカーの見積もり料金に対して 3D セキュアで認証し、後で雑費を処理することができます。
Stripe は、適格な免除を自動的に申請するため、顧客の認証または再認証が不要になることがあります。ただし、免除を適用する方法は銀行ごとに異なるため、企業は、顧客を認証し、オンセッションに戻して再認証するための決済フローを設計する必要があります。
-
レンタカーの予約
エマは今度の休暇のためにレンタカーを借ります。
-
認証3D セキュアを使用した €350 の認証
エマは、3D セキュア認証を完了します。
-
レンタカーの受け取り
-
7 日を超える日数が経過
-
レンタカーの返却
ガソリンを満タンにせずにレンタカーを返却したため、€50 の料金が発生します。
-
キャプチャ€350 のキャプチャ (予約)€50 のキャプチャ (ガソリン代金)
推奨
ジムの会費は通常は定額の継続支払いで、無料体験期間から入会期間が開始することがあります。こうした決済フローでは、定期支払いの開始時に 3D セキュアによる認証が必要になります。Stripe は、後続の支払いについて免除を自動的に申請します。このシナリオでは、支払いが、定額の定期支払いおよび加盟店により開始された取引として免除に適格となる可能性があります。顧客の銀行が免除を受け入れる場合、顧客は、支払いの認証を毎月行う必要はありません。
加盟店により開始される取引とは、顧客がオフセッションの時に登録済みカードを使用して行われる支払いです。これに適格となるには、企業は顧客と契約して、登録時または初回支払い時のいずれかにカードの認証を求める必要があります。
重要な点として、免除は保証されるものではなく、後続の支払い時に認証が必要になる可能性があることに注意してください。免除を適用する方法は銀行ごとに異なるため、企業は、顧客をオンセッションに戻して再認証するための決済フローを設計する必要があります。
見込み客を無料体験の直後に入会させたい場合、顧客は無料体験の登録時に、毎月の定期支払いの金額に対して 3D セキュア認証を完了する必要があります。9 月 14 日より前に開始される継続支払いは SCA から免除されることに注意してください。
-
入会
イマーニは、地元のジムに毎月 €50 で入会するために、メールアドレスとカードの詳細情報を入力します。
-
認証3D セキュアを使用した €50 の認証
イマーニは 3D セキュア認証を完了します。
-
キャプチャ€50 のキャプチャ
-
30 日経過
-
会員継続
イマーニは、トレーニングのクラスに参加して、頻繁にジムに通います。
-
キャプチャ€50 のキャプチャ
-
体験期間の開始
イマーニは、月額 €50 で地元のジムに入会します。 7 日間の体験期間が終了した直後に入会できるように、メールアドレスとクレジットカードの情報を入力します。
-
認証3D セキュアを使用した €50 の認証
イマーニは 3D セキュア認証を完了します。
-
7 日経過
-
体験期間が終了して入会
体験期間が終了すると、イマーニのカードには自動的に請求が行われます。
-
キャプチャ€50 のキャプチャ
-
30 日経過
-
会員継続
イマーニは、トレーニングのクラスに参加して、頻繁にジムに通います。
-
拒否オーソリは失敗したため、再認証が必要です
-
メールの送信
イマーニはメールを開いてリンクをクリックします。
-
情報の更新
ジムの Web サイトに戻り、新しいカードの情報を入力します。
-
認証3D セキュアを使用した €50 の認証
イマーニは 3D セキュア認証を完了します。
-
キャプチャ€50 のキャプチャ
推奨
オプションを選択してください
公共料金は、従量課金であるため、月ごとに金額が変動する可能性がある継続支払いです。このような決済フローでは、顧客が自動支払いを設定するためにカードを登録するときに、3D セキュア認証を行う必要があります。そのために、顧客は、取引外で 3D セキュア認証を完了します。
Stripe は、後続の支払いに対する免除を自動的に申請します。このシナリオでは、支払いが、加盟店により開始された取引として免除に適格となる可能性があります。顧客の銀行が免除を受け入れる場合、顧客は、支払いの認証を毎月行う必要はありません。
重要な点として、免除は保証されるものではなく、後続の支払い時に認証が必要になる可能性があることに注意してください。免除を適用する方法は銀行ごとに異なるため、企業は、必要に応じて顧客をオンセッションに戻して再認証するための決済フローを設計する必要があります。
-
アカウントの設定
サリームは転居して、毎月の公共料金の自動引き落としを申し込みます。
-
カードの登録
サリームはアカウントにカードを追加します。
-
認証3D セキュアを使用した自動的な請求の確認
サリームは 3D セキュア認証を完了します。
-
30 日経過
-
請求書の受領
サリームは、公益事業会社から €63 の支払い予定を通知するメールを受け取ります。
-
キャプチャ€63 のキャプチャ
-
30 日経過
-
請求書の受領
サリームは、公益事業会社から €91 の支払い予定を通知するメールを受け取ります。
-
拒否オーソリは失敗したため、再認証が必要です
-
メールの送信
サリームは公益事業会社から €91 の請求書をメールで受け取り、リンクをクリックします。
-
認証3D セキュアを使用した €91 の認証
サリームは 3D セキュア認証を完了します。
-
キャプチャ€91 のキャプチャ
-
請求書の受領
サリームは公益事業会社から €63 の請求書をメールで受け取り、リンクをクリックします。
-
認証3D セキュアを使用した €63 の認証
サリームは 3D セキュア認証を完了します。
-
キャプチャ€63 のキャプチャ
-
30 日経過
-
請求書の受領
サリームは公益事業会社から €91 の請求のメールを受け取り、リンクをクリックします。
-
認証3D セキュアを使用した €91 の認証
サリームは 3D セキュア認証を完了します。
-
キャプチャ€91 のキャプチャ
推奨
オプションを選択してください