Kraven avseende Stark kundautentisering (SCA) upprätthålls fullt ut i nästan alla berättigade europeiska länder, vilket signalerar en massiv förändring i det europeiska betalningslandskapet.
För att möta de nya SCA-kraven krävs en typ av tvåstegsautentisering för många digitala kortbetalningar i Europa. Utan autentiseringen kan många betalningar nekas av kundens bank. Vi har designat nya grundläggande API:er för betalningar i syfte att hjälpa kunderna att hantera denna förändring och dra fördel av eventuella undantag från SCA.
Vi rekommenderar att du läser den här guiden för att förstå hur olika typer av betalningsflöden måste ändras på grund av SCA, och använder den när du designar om dina betalningsflöden.
HÅLL DIG INFORMERAD OM SCA
Vi samarbetar med tillsynsmyndigheter och betalningsbranschen. om du vill få information och uppdateringar om lagstiftning gällande SCA, och om våra produkter kontakta oss.
Hur onlinebetalningar ändras
Vanliga kortbetalningar brukar ske i två steg: auktorisering och dragning. En betalning auktoriseras när kundens bank eller kortutgivare beslutar att godkänna betalningen, och betalningen debiteras när beloppet dras från kortet.
I och med SCA tillkommer ett tredje och obligatoriskt steg innan auktorisering och dragning, nämligen autentisering. Det här steget skyddar kunder genom att förhindra bedrägeri. För att autentisera en betalning svarar kunden på en begäran från sin bank och ger ytterligare information. Detta steg kan göras med något som bara kunden vet, t.ex. ett lösenord, eller med något denne har, t.ex. en telefon. Det kan också vara något som kunden besitter, t.ex. ett fingeravtryck.
Det vanligaste sättet att autentisera en betalning är genom att använda en metod som kallas 3D Secure. Du kanske känner igen varumärket 3D Secure från "Visa Secure" eller "Mastercard Identity Check". Numera finns en ny version som heter 3D Secure 2 och som har blivit standardmetoden för autentisering. Du kan läsa mer om de olika metoderna i vår guide om 3D Secure 2. Våra betalnings-API:er, Stripe Billing och Stripe Checkout har alla stöd för 3D Secure 2.
Oavsett vilken metod du använder måste kunderna vara under session för att autentisera, vilket betyder att de måste besöka din webbplats eller app. Att lägga till ett autentiseringssteg kan vara enklare för företag som debiterar sina kunder direkt än för företag som debiterar kunder efter att de har lämnat kassan (detta kallas ibland för "utanför session").
De olika scenarierna i den här guiden är exempel på hur dessa tre steg (autentisering, auktorisering och dragning) kan variera beroende på hur och när du tar betalt av dina kunder.
AUTHENTICATE
En kund autentiserar en onlinebetalning: En kund svarar på en 3D Secure-uppmaning från sin bank och ger ytterligare information för att autentisera betalningen. Se 3D Secure från kundens perspektiv.
En autentisering behövs när en betalning inte är föremål för ett undantag eller när kundens bank nekar en förfrågan om undantag. Våra nya API:er för betalningar frågar automatiskt om att utfärda undantag innan ett autentiseringssteg läggs till. Detta underlättar kassaflödet och skyddar konverteringsgraden.
Visste du? Autentiseringen måste ske medan kunden är under session, eller när kunden använder din webbplats eller app. Därför sker detta steg oftast när kunden genomför ett köp i kassan.
AUTHORIZE
Ditt företag frågar kundens bank att auktorisera betalningen: Kundens bank avgör om betalningen ska godtas eller nekas. Om den godtas kommer summan att hållas kvar och garanteras i sju dagar. Om den nekas måste ditt företag få kunden tillbaka under session för att försöka autentisera och därefter auktorisera betalningen på nytt.
Visste du? En auktorisering kan fortfarande nekas av kundens bank efter att den har autentiserats. Detta kan hända om kunden t.ex. inte har tillräckligt med pengar på kontot eller om kortet har gått ut.
Upp till 7 dagar
Det kan ta upp till sju dagar mellan att beloppet auktoriseras och dras, men de flesta företag drar betalningen direkt efter auktoriseringen.
Visste du? En bank kan ibland visa en betalning som "väntar" om den har auktoriserats men inte dragits ännu.
CAPTURE
Företaget debiterar kundens kort och betalningen genomförs.
Förstå de olika undantagen
Det finns vissa typer av betalningar, t.ex. transaktioner med låg risk, abonnemang med fast belopp, telefonbetalningar och transaktioner initierade av handlaren, som kan undantas från SCA. Transaktioner initierade av handlaren är betalningar som görs med ett sparat kort när kunden är utanför session. Exempel på detta är gymmedlemskap och hushållsräkningar. För att kunna utnyttja detta undantag måste ditt företag ha ett avtal med kunden, och kunden måste autentisera sitt kort antingen i samband med att det sparas eller vid första betalningen. I vår guide om stark kundautentisering förklarar vi mer i detalj hur dessa och andra undantag fungerar.
Stripes SCA-redoy betalnings-API:er och produkter hjälper företag att dra fördel av dessa möjligheter genom att automatiskt begära undantag. När undantagen accepteras av kundens bank behöver kunden inte autentisera, vilket minskar påverkan på konverteringen.
Företag kan däremot inte förlita sig enbart på undantag utan måste utforma betalningsflöden som hjälper kunden att autentisera när det behövs. Detta är för att reglerna kring undantag beror på kundens bank. Banken utvärderar varje betalning och beslutar om undantaget kan tillämpas eller ej, och enskilda banker kan tolka dessa undantag på olika sätt.
Företagsexempel
För att visa hur SCA kan påverka olika branscher har vi tagit fram några exempel på autentiseringssteg och hur det kan se ut i olika betalningsflöden för olika företagsmodeller.
E-handel
Engångsbetalning. Kortet sparas inte.
E-handelsföretag debiterar vanligtvis kunder medan de är under session, utan att spara kortuppgifter för framtida betalningar. Om ditt företag har ett liknande betalningsflöde bör det vara enkelt att lägga till autentisering. Du kan autentisera med 3D Secure direkt efter att kunden har fyllt i sina kortuppgifter och gjort sin beställning.
Stripe frågar automatiskt om berättigade undantag, så det är inte alls säkert att dina kunder kommer att behöva autentisera. Men eftersom enskilda banker tillämpar undantagen olika, måste ditt företag ändå utforma betalningsflöden där kunden kan autentisera vid behov.
Beställningen mottagen: Elisa fyller i sina kortuppgifter och sin leveransinformation. Totalt blir det 29 USD inkl. moms.
AUTHENTICATE
29 USD autentiserat med 3D Secure: Elisa gör en 3D Secure-autentisering.
OBS! Stripe frågar automatiskt om undantag. Om Elisas bank accepterar ett undantag behöver hon inte genomföra en 3D Secure-autentisering.
AUTHORIZE
29 USD auktoriserat
CAPTURE
29 USD draget
Beställningen har skickats
Rekommendationer
Välj ett alternativ:
STRIPE CHECKOUT
Få förbyggda, konverteringsoptimerade kassaflöden på webben med minsta möjliga kod.
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Samåkning
Betalningen dras inom sju dagar från auktorisering. Det slutliga betalningsbeloppet kan ändras.
Samåkningsföretag och andra on demand-marknadsplatser debiterar vanligtvis betalningar inom sju dagar efter auktoriseringen, och det slutliga beloppet kan öka eller minska. Om ditt företag har ett liknande betalningsflöde kan du autentisera med 3D Secure direkt efter att kunden har begärt en resa, eftersom kunden fortfarande är under session då. Om slutbeloppet blir högre än vad som autentiserades från början, måste kunden autentisera igen för det högre beloppet. Om slutbeloppet är mindre behövs ingen ny autentisering.
Ett annat sätt att hantera det här betalningsflödet skulle vara att autentisera och auktorisera ett högre belopp direkt när kunden skickar en förfrågan om resa. Om kunden vill lägga till dricks i ett senare skede och totalbeloppet är lägre än det autentiserade beloppet behöver kunden inte autentisera igen. Nackdelen med det här tillvägagångssättet är att autentisering för ett högre belopp kan avskräcka priskänsliga kunder.
Stripe frågar automatiskt om berättigade undantag, så det är inte alls säkert att dina kunder kommer att behöva autentisera. Men eftersom enskilda banker tillämpar undantagen olika, måste ditt företag ändå utforma betalningsflöden där kunden kan autentisera vid behov.
Resan har begärts: Sami öppnar appen och fyller i att han vill åka en sträcka för 20 USD.
AUTHENTICATE
20 USD har autentiserats med 3D Secure: Sami gör en 3D Secure-autentisering.
OBS! Stripe frågar automatiskt om undantag. Om Samis bank accepterar ett undantag behöver han inte genomföra en 3D Secure-autentisering.
AUTHORIZE
20 USD auktoriserat
Passageraren har hämtats upp och lämnats av: En förare hämtar upp Sami och kör honom till destinationen.
Dricks har lagts till: Han öppnar appen, betygsätter föraren och lägger till 3 USD i dricks.
Autentisera
23 USD (20 USD resa + 3 USD dricks) har autentiserats med 3D Secure: Sami gör en 3D Secure-autentisering.
OBS! Stripe frågar automatiskt om undantag. Om Samis bank accepterar ett undantag behöver han inte genomföra en 3D Secure-autentisering.
CAPTURE
23 USD draget
OBS! Debiteringen på 23 USD avbryter den förra auktoriseringen på 20 USD.
Rekommendation
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Crowdfunding
Betalningen dras mer än sju dagar efter auktorisering.
Crowdfunding-plattformar drar vanligtvis betalningar mer än sju dagar efter en auktorisering. Varje kampanj varar olika länge och betalningar dras när en kampanj når sitt mål. Om ditt företag har ett liknande betalningsflöde kan du autentisera med 3D Secure när kunder åtar sig att stödja en kampanj, och sedan auktorisera och dra beloppet när kampanjen har nått sitt mål. Om auktoriseringen misslyckas, måste ditt företag hjälpa kunden tillbaka i session för att autentisera igen.
Stripe frågar automatiskt om berättigade undantag, så det är inte alls säkert att dina kunder kommer att behöva autentisera. Men eftersom enskilda banker tillämpar undantagen olika, måste ditt företag ändå utforma betalningsflöden där kunden kan autentisera vid behov.
Betalning genomförd
Kampanjen lanseras
Belopp fastställt:
Luka stödjer kampanjen med 40 USD.
AUTHENTICATE
Kortet autentiseras med 3D Secure:
Luka slutför 3D Secure-autentiseringen efter att ha fyllt i sina kortuppgifter.
30 DAGAR SENARE
Kampanjen avslutas:
Lukas kort debiteras när kampanjen avslutas.
AUTHORIZE
Försöker auktorisera 40 USD
AUTHENTICATE
40 USD har autentiserats med 3D Secure:
Luka slutför 3D Secure-autentiseringen.
AUTHORIZE
40 USD auktoriserat
CAPTURE
40 USD draget
Betalningen misslyckades
Kampanjen lanseras
Belopp fastställt:
Luka stödjer kampanjen med 40 USD.
AUTHENTICATE
Kortet autentiseras med 3D Secure:
Luka slutför 3D Secure-autentiseringen efter att ha fyllt i sina kortuppgifter.
30 DAGAR SENARE
Kampanjen avslutas:
Lukas kort debiteras när kampanjen avslutas.
AUTHORIZE
Försöker auktorisera 40 USD
DECLINE
Auktoriseringen misslyckades p.g.a. ett kort som gått ut. Ett nytt autentiseringsförsök krävs.
E-postmeddelandet skickades:
Luka öppnar ett e-postmeddelande från webbplatsen och klickar på en länk.
Informationen uppdaterades:
Han går in på webbplatsen för crowdfunding-kampanjen igen och fyller i nya kortuppgifter.
AUTHENTICATE
40 USD har autentiserats med 3D Secure:
Luka slutför 3D Secure-autentiseringen.
AUTHORIZE
40 USD auktoriserat
CAPTURE
40 USD draget
Rekommendation
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Bilhyra
Betalningen dras mer än sju dagar efter auktorisering. Det slutliga betalningsbeloppet kan ändras.
Biluthyrningsföretag debiterar vanligtvis betalningar mer än sju dagar efter auktoriseringen, och slutbeloppet ändras sannolikt på grund av rabatter, uppgraderingar eller tilläggstjänster vid hämtning eller lämning av bilen. Om ditt företag har ett liknande betalningsflöde kan du dela upp betalningen i separata delar – autentisera kortet med 3D Secure när det sparas, och auktorisera och debitera hyreskostnaden och eventuella oförutsedda utgifter senare.
Stripe frågar automatiskt om berättigade undantag, så det är inte alls säkert att dina kunder kommer att behöva autentisera. Men eftersom enskilda banker tillämpar undantagen olika, måste ditt företag ändå utforma betalningsflöden där kunden kan autentisera vid behov.
Bilen bokas: Emma hyr en bil inför semestern.
AUTHENTICATE
Kortet autentiseras med 3D Secure: Emma slutför 3D Secure-autentiseringen efter att ha fyllt i sina kortuppgifter.
Bilen hämtas
Mer än 7 dagar senare
Bilen lämnas tillbaka: Hon lämnar tillbaka bilen utan att tanka vilket leder till en avgift på 50 USD.
AUTHORIZE
350 USD auktoriserat (bokning)
50 USD auktoriserat (bränsleavgift)
CAPTURE
350 USD draget (bokning)
50 USD draget (bränsleavgift)
Rekommendation
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Gymmedlemskap
Återkommande betalningar. Fast belopp.
Gymmedlemskap är vanligtvis återkommande betalningar med ett fast belopp, och medlemskapet kan ibland börja med en gratis provperiod. Om ditt företag har ett liknande betalningsflöde krävs 3D Secure-autentisering för betalningen som startar abonnemanget, och Stripe begär automatiskt undantag för efterföljande betalningar. merchant-initiated transaction. Om kundens bank accepterar undantaget behöver kunden inte autentisera betalningen varje månad.
Transaktioner initierade av handlaren är betalningar som görs med ett sparat kort medan kunden är utanför session. För att detta ska vara möjligt måste företaget ha ett avtal med kunden och kunden måste autentisera sitt kort antingen i samband med att det sparas eller vid första betalningen.
Det är viktigt att observera att undantag inte kan garanteras, och efterföljande betalningar kan behöva autentisering. Enskilda banker kan tillämpa undantag på olika sätt, så ditt företag måste utforma betalningsflöden som hjälper kunderna tillbaka under session för en autentisering.
Betalning genomförd
Medlemskapet påbörjas:
Imani fyller i sin e-postadress och sina kortuppgifter för att bli medlem på sitt lokala gym för 50 USD per månad.
AUTHENTICATE
50 USD autentiserat med hjälp av 3D Secure:
Imani gör en 3D Secure-autentisering.
AUTHORIZE
50 USD auktoriserat
CAPTURE
50 USD draget
30 DAGAR SENARE
Medlemskap fortsätter:
Imani går på träningspass och går till gymmet ofta.
AUTHORIZE
50 USD auktoriserat
Betalningen behövde inte autentiseras eftersom Imanis bank accepterade den fasta månadskostnaden och godtog undantaget av typen transaktion initierad av handlaren.
CAPTURE
50 USD draget
Betalningen misslyckades
Medlemskapet påbörjas:
Imani blir medlem på ett gym för 50 USD i månaden. Hon fyller i sin e-postadress och sina kortuppgifter så att medlemskapet börjar omedelbart efter en provperiod på sju dagar.
AUTHENTICATE
50 USD autentiserat med hjälp av 3D Secure:
Imani gör en 3D Secure-autentisering.
7 DAGAR SENARE
Provperioden slutar och medlemskapet börjar:
Imanis kort debiteras automatiskt när provperioden avslutas.
AUTHORIZE
50 USD auktoriserat
CAPTURE
50 USD draget
30 DAGAR SENARE
Medlemskap fortsätter:
Imani går på träningspass och går till gymmet ofta.
AUTHORIZE
Försöker auktorisera 50 USD
DECLINE
Auktorisering misslyckades och ny autentisering krävs
E-postmeddelande skickat:
Imani öppnar ett e-postmeddelande och klickar på en länk.
Uppdaterad information:
Hon återvänder till gymmets hemsida och anger nya kortuppgifter.
AUTHENTICATE
50 USD autentiserat med hjälp av 3D Secure:
Imani gör en 3D Secure-autentisering.
AUTHORIZE
50 USD auktoriserat
CAPTURE
50 USD draget
Rekommendationer
Välj ett alternativ:
STRIPE BILLING
Hantera dina abonnemang och utnyttja automatiserade verktyg för att uppfylla kraven på stark kundautentisering.
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Elräkning
Användningsbaserad fakturering. Återkommande betalningar.
Elräkningar är återkommande betalningar med belopp som sannolikt kommer att variera från månad till månad på grund av uppmätt fakturering. Om ditt företag har ett liknande betalningsflöde krävs 3D Secure-autentisering när en kund sparar sitt kort för att ställa in automatiska betalningar. För att göra detta slutför kunden 3D Secure-autentisering utanför en transaktion.
Stripe kommer automatiskt att begära undantag för efterföljande betalningar. I det här scenariot kan betalningen vara berättigad till ett undantag för säljarinitierad transaktion. Om kundens bank accepterar undantaget behöver din kund inte autentisera varje månadsbetalning.
Det är viktigt att notera att undantag inte är garanterade, och efterföljande betalningar kan kräva autentisering. Enskilda banker kan tillämpa undantag på olika sätt, så ditt företag måste utforma betalningsflöden för att få kunderna tillbaka på sessionen för att autentisera sig igen när det behövs.
Betalning med undantag
Kontot skapas:
Salim flyttar till en ny lägenhet och skriver under att elräkningen ska betalas automatiskt varje månad.
Kort sparas:
Salim lägger till ett kort till kontot.
AUTHENTICATE
Automatisk fakturering bekräftad med 3D Secure:
Salim gör en 3D Secure-autentisering.
30 DAGAR SENARE
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget där han informeras om en schemalagd betalning på USD 91.
AUTHORIZE
63 USD auktoriserat:
Elbolaget auktoriserar 63 USD och begär undantag av typen transaktion initierad av handlaren.
Salims bank godtar undantaget och auktoriseringen.
CAPTURE
63 USD har dragits
30 DAGAR SENARE
Räkning mottagen
Salim får ett e-postmeddelande från elbolaget där han informeras om en schemalagd betalning på USD 91.
AUTHORIZE
Försöker auktorisera USD 91
Elbolaget försöker auktorisera USD 91 och begär undantag av typen transaktion initierad av handlaren.
DECLINE
Auktorisering misslyckades och återautentisering krävs:
E-postmeddelande skickat:
Salim får ett e-postmeddelande från elbolaget med en räkning på 91 USD och klickar på länken.
AUTHENTICATE
91 USD autenticerat med hjälp av::
Salim gör en 3D Secure-autentisering.
AUTHORIZE
91 USD auktoriserat
CAPTURE
USD 91 har dragits
Betalning utan undantag
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget med en räkning på 63 USD och klickar på länken.
AUTHENTICATE
63 USD autentiserat med hjälp av 3D Secure:
Salim gör en 3D Secure-autentisering.
AUTHORIZE
63 USD auktoriserat
CAPTURE
63 USD har dragits
30 DAGAR SENARE
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget med en räkning på 91 USD och klickar på länken.
AUTHENTICATE
91 USD autentiserat med hjälp av 3D Secure:
Salim gör en 3D Secure-autentisering.
AUTHORIZE
91 USD auktoriserat
CAPTURE
91 USD har dragits
Rekommendationer
Välj ett alternativ:
STRIPE BILLING
Hantera dina abonnemang och utnyttja automatiserade verktyg för att uppfylla kraven på stark kundautentisering.
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.