Sammanfattning
3D Secure-standarden syns ofta ihop med varumärken som t.ex. Visa Secure, Mastercard Identity Check och American Express SafeKey. Dess syfte är att minska risken för bedrägeri och göra digitala betalningar ännu säkrare.
Med 3D Secure 2 (3DS2) introduceras en ”friktionsfri autentisering” och en förbättrad köpupplevelse jämfört med 3D Secure 1. Det är den huvudsakliga kortautentiseringsmetoden som används för att möta kraven för stark kundautentisering (SCA) i Europa och är en viktig komponent för företag när de begär undantag från SCA.
Stripe stöder 3D Secure 2 på våra payments APIs, mobile SDKs och Stripe Checkout.
Kortfattat om 3D Secure 1
Trots att ytterligare säkerhetsåtgärder som adressverifieringssystem (AVS) eller CVC-verifiering används på vissa marknader kan kredit- och bankkortsbetalningar fortfarande ha en hög risk för att drabbas av bedrägerier. (Det är på grund av denna risk som kunderna har möjlighet att bestrida bedrägliga betalningar som gjorts med deras kort.)
I syfte att lösa det här problemet införde kortbetalningsnätverken den första versionen av 3D Secure år 2001. Om du regelbundet köper varor online känner du kanske till 3D Secure-flödet: Du anger dina kortuppgifter för att bekräfta en betalning och dirigeras sedan om till en annan sida där din bank ber om en kod eller ett lösenord för att godkänna köpet. Eftersom autentiseringssidan har en gemensam varumärkesprofil med kortbetalningsnätverket är de flesta kunder ofta mer bekanta med namn för 3D Secure, t.ex. Visa Secure, Mastercard Identity Check eller American Express SafeKey.
Fördelen med 3D Secure är tydlig för företag: Att begära ytterligare information gör att du kan bygga in ett extra lager av bedrägeriskydd och säkerställa att du endast tar emot kortbetalningar från legitima kunder. Ytterligare ett incitament är att autentisering av en betalning med 3D Secure flyttar ansvaret för återkrediteringar på grund av bedrägerier från ditt företag till kundens bank. Detta extra skydd är ett skäl till att 3D Secure ofta tillämpas på stora köp som flygbiljetter.
Tyvärr finns det även några nackdelar med att använda 3D Secure 1: Det extra steg som krävs för att slutföra betalningen ger ökad friktion i kassaflödet och kan medföra att kunderna inte avslutar köpet. Dessutom tvingar fortfarande ett antal banker sina kortinnehavare att skapa och komma ihåg sina egna statiska lösenord för att slutföra 3D Secure-verifiering. Det är lätt att glömma dessa lösenord, vilket kan leda till att fler överger sin kundvagn.
Detta är nytt med 3D Secure 2
EMVCo, en organisation som består av sex stora kortbetalningsnätverk, släppte nyligen en ny version av 3D Secure. Syftet med 3D Secure 2 (även kallat EMV 3-D Secure, 3D Secure 2.0 eller 3DS2) är att åtgärda många av bristerna i 3D Secure 1 genom att införa en smidigare autentisering och en bättre användarupplevelse.
Friktionsfri autentisering
Med 3D Secure 2 kan företag och deras betalleverantör skicka fler dataelement för varje transaktion till kortinnehavarens bank. Detta inbegriper betalningsspecifika uppgifter som leveransadress, och även kontextuella uppgifter som till exempel kundens enhets-id eller tidigare transaktionshistorik.
Kortinnehavarens bank kan använda denna information för att bedöma transaktionens risknivå och välja ett lämpligt tillvägagångssätt:
Om uppgifterna räcker för att banken ska veta att den riktiga kortinnehavaren gör köpet, går transaktionen igenom det ”friktionsfria” flödet och autentiseringen slutförs utan ytterligare uppgifter från kortinnehavaren.
Om banken beslutar att mer bevis krävs skickas transaktionen genom ”autentiseringsflödet” och kunden uppmanas att autentisera betalningen med ytterligare uppgifter.
Även om en begränsad form av riskbaserad autentisering redan stöds med 3D Secure 1 syftar möjligheten att dela mer data med 3D Secure 2 till att öka antalet transaktioner som kan autentiseras utan att kunden behöver ange ytterligare uppgifter.
Även om en transaktion följer det friktionslösa flödet kommer ditt företag att dra nytta av samma ansvarsskifte som vid transaktioner som görs via autentiseringsflödet.
Bättre användarupplevelse
Till skillnad från 3D Secure 1 designades 3D Secure 2 för att passa smartphones, och gör det därför enklare för bankerna att erbjuda innovativa autentiseringsupplevelser via appar (kallas ibland för ”out-of-band authentication” på engelska). I stället för att ange ett lösenord eller få ett textmeddelande kan kortinnehavaren enkelt autentisera en betalning via bankappen med sitt fingeravtryck eller med hjälp av ansiktsigenkänning. Vi förväntar oss att många banker kommer att stödja sådana smidiga autentiseringsupplevelser med 3D Secure 2.
Den andra förbättringen är att 3D Secure 2 är utformat för att bädda in autentiseringsflödet direkt i kassaflöden i webbläsare och mobiler, utan att behöva omdirigera hela sidan. Om en kund autentiserar på din webbplats visas 3D Secure nu som standard i en modal på kassasidan (webbläsarflöde).
Om du bygger en app gör mobila SDK:er byggda för 3D Secure 2 det möjligt för dig att bygga ett autentiseringsflöde ”i appen” och helt undvika omdirigering till webbläsare.
3D Secure 2 och stark kundautentisering
Införandet av stark kundautentisering (SCA) gör 3D Secure 2 ännu viktigare om du bedriver verksamhet i Europa. Då den här förordningen ställer krav på att du tillämpar en högre grad av autentisering på europeiska betalningar kan den förbättrade användarupplevelsen med 3D Secure 2 bidra till att minska de negativa effekterna på konverteringsgraden.
3D Secure 2-protokollet i sig gör det också möjligt för betalleverantörer som Stripe att begära undantag från SCA och helt slippa autentisering vid lågriskbetalningar. Betalningar som kräver SCA måste gå igenom ”autentiseringsflödet”, medan transaktioner som kan undantas från SCA kan skickas genom det ”friktionslösa” flödet. Det är dock värt att notera att om betalleverantören begär ett undantag för betalningar som kräver SCA och transaktionen går igenom det ”friktionslösa” flödet gynnas den inte av ansvarsförskjutningen.
Hur stödjer Stripe 3D Secure 2?
Stripe stödjer 3D Secure 2-webbläsarflödet på våra payments APIs och Checkout, vilket gör att du dynamiskt kan tillämpa 3D Secure på betalningar med hög risk för att skydda ditt företag mot bedrägerier. Vi kommer att tillämpa 3D Secure 2 när det stöds av kortinnehavarens bank och förlitar oss på 3D Secure 1 när det ännu inte finns stöd för den nya versionen.
Om du bygger en mobilapplikation gör våra iOS och Android SDKs att du kan bygga ett autentiseringsflöde i appen för att erbjuda en ”ursprunglig” autentiseringsupplevelse och undvika att omdirigera dina kunder till platser utanför din app. Även om kortinnehavarens bank ännu inte stödjer 3D Secure 2 kommer våra mobila SDK:er istället att dynamiskt visa 3D Secure 1 i en inbäddad webbvy i din app.
Läs mer om våra nya payments APIs, mobile SDKs, eller Stripe Checkout för att börja använda 3D Secure 2.