Kraven avseende Stark kundautentisering (SCA) upprätthålls fullt ut i alla berättigade europeiska länder, vilket orsakar en massiv förändring i det europeiska betalningslandskapet.
För att möta de nya SCA-kraven krävs en typ av tvåstegsautentisering för elektroniska betalningar och tillgång till betalkonton. Utan autentiseringen kan många betalningar nekas av kundens bank. Vi har designat nya grundläggande API:er för betalningar i syfte att hjälpa kunderna att hantera denna förändring och till fullo utnyttja eventuella undantag från SCA. Stripes autentiseringsmotor väljer automatiskt optimalt autentiseringsflöde för varje transaktion för att maximera konverteringen samtidigt som bedrägerier minimeras.
Vi rekommenderar att du läser den här guiden för att förstå hur olika typer av betalningsflöden har förändrats på grund av SCA och att du refererar till den när du designar om dina betalningsflöden.
HÅLL DIG INFORMERAD OM SCA
Vi samarbetar med tillsynsmyndigheter och betalningsbranschen. Om du är intresserad av att veta mer om förordningen och våra produkter, kan du läsa vår nyaste guide på PSD3 eller kontakta oss.
Så har onlinekortbetalningar förändrats
Vanliga kortbetalningar brukar ske i två steg: auktorisering och dragning. En betalning auktoriseras när kundens bank eller kortutgivare beslutar att godkänna betalningen, och betalningen debiteras när beloppet dras från kortet.
I och med SCA tillkommer ett tredje och obligatoriskt steg innan auktorisering och dragning, nämligen autentisering. Detta steg syftar till att skydda kunder genom att förhindra bedrägerier. För att autentisera en betalning svarar kunden på en begäran från sin bank och ger ytterligare information. Detta steg kan göras med något som bara kunden vet, t.ex. ett lösenord, eller med något denne har, t.ex. en telefon. Det kan också vara något som kunden besitter, t.ex. ett fingeravtryck.
Det vanligaste sättet att autentisera en kortbetalning online är genom att använda en metod som kallas 3D Secure. Du kanske känner igen varumärket 3D Secure från "Visa Secure" eller "Mastercard Identity Check". Numera finns en ny version som heter 3D Secure 2 och som har blivit standardmetoden för autentisering. Du kan läsa mer om de olika metoderna i vår guide om 3D Secure 2. Alla våra SCA-förberedda produkter stöder 3D Secure 2.
Oavsett vilken metod du använder måste kunderna använda din webbplats eller app för att autentisera. Att lägga till ett autentiseringssteg kan vara enklare för företag som debiterar sina kunder direkt än för företag som debiterar kunder efter att de har lämnat kassan. (Detta kallas ibland för "utanför session".)
De olika scenarierna i den här guiden är exempel på hur dessa tre steg (autentisering, auktorisering och dragning) kan variera beroende på hur och när du tar betalt av dina kunder.
AUTHENTICATE
En kund autentiserar en onlinebetalning genom att svara på en 3D Secure-uppmaning från sin bank och ge ytterligare information. Se 3D Secure från din kunds perspektiv.
En multifaktorautentisering behövs när en betalning inte är föremål för ett undantag eller när kundens bank nekar en förfrågan om undantag. Våra nya API:er för betalningar frågar automatiskt om att utfärda undantag innan ett autentiseringssteg läggs till. Detta underlättar kassaflödet och skyddar konverteringsgraden.
Visste du? Autentiseringen måste ske medan kunden är under session, eller när kunden använder din webbplats eller app. Därför sker detta steg oftast när kunden genomför ett köp i kassan.
AUTHORIZE
Ditt företag ber kundens bank att godkänna betalningen: Kundens bank avgör om den ska godkänna eller neka en betalning. Om den godkänns kommer summan att hållas kvar i sju dagar. Om den nekas måste ditt företag få kunden tillbaka under session för att försöka autentisera och därefter auktorisera betalningen på nytt.
Visste du? En auktorisering kan fortfarande nekas av kundens bank efter att den har autentiserats. Detta kan hända om kunden t.ex. inte har tillräckligt med pengar på kontot eller om kortet har gått ut.
Upp till 7 dagar
Det kan ta upp till sju dagar mellan att beloppet auktoriseras och dras, men de flesta företag drar betalningen direkt efter auktoriseringen.
CAPTURE
Företaget debiterar kundens kort och betalningen genomförs.
Visste du? En bank kan ibland visa en betalning som "väntar" om den har auktoriserats men inte dragits ännu.
Förstå de olika undantagen
Det finns vissa typer av betalningar, t.ex. transaktioner med låg risk, abonnemang med fast belopp, telefonbetalningar och transaktioner initierade av handlaren, som kan undantas från SCA. Transaktioner initierade av handlaren är betalningar som görs med ett sparat kort när kunden är utanför session. Exempel på detta är gymmedlemskap eller hushållsräkningar. För att utnyttja detta undantag måste ditt företag ha ett avtal med kunden, och kunden måste autentisera sitt kort antingen i samband med att det sparas eller vid första betalningen. I vår guide om stark kundautentisering förklarar vi mer i detalj hur dessa och andra undantag fungerar.
Stripes SCA-redo betalnings-API:er och produkter hjälper företag att dra fördel av dessa möjligheter genom att automatiskt begära undantag. När undantagen accepteras av kundens bank behöver kunden inte autentisera, vilket minskar påverkan på konverteringen.
Företag måste dock utforma sina betalningsflöden för att autentisera kunder om undantaget avslås. Detta är särskilt viktigt eftersom reglerna kring undantag beror på kundens bank. Banken utvärderar varje betalning och beslutar om undantaget kan tillämpas eller ej, och enskilda banker kan tolka dessa undantag på olika sätt.
Företagsexempel
För att visa hur SCA kan påverka olika branscher har vi tagit fram några exempel på autentiseringssteg och hur det kan se ut i olika betalningsflöden för olika företagsmodeller.
E-handel
Engångsbetalning. Kortet sparas inte.
E-handelsföretag debiterar vanligtvis kunder medan de är under session, utan att spara kortuppgifter för framtida betalningar. Om ditt företag har ett liknande betalningsflöde bör det vara enkelt att lägga till autentisering. Du kan autentisera med 3D Secure direkt efter att kunden har fyllt i sina kortuppgifter och gjort sin beställning.
Stripe frågar automatiskt om berättigade undantag, så det är inte alls säkert att dina kunder kommer att behöva autentisera. Men eftersom enskilda banker tillämpar undantagen olika, måste ditt företag ändå utforma betalningsflöden där kunden kan autentisera vid behov.
Beställning gjord: Elisa fyller i sina kortuppgifter och sin leveransinformation. Totalt blir det 29 EUR inkl. moms.
AUTHENTICATE
29 EUR har autentiserats med 3D Secure: Elisa slutför 3D Secure-autentiseringen.
OBS! Stripe frågar automatiskt om undantag. Om Elisas bank accepterar undantaget behöver hon inte genomföra 3D Secure-autentiseringsfrågan.
AUTHORIZE
29 EUR har godkänts
CAPTURE
29 EUR har dragits
Beställningen har skickats
Rekommendationer
Välj ett alternativ:
STRIPE CHECKOUT
Få förbyggda, konverteringsoptimerade kassaflöden på webben med minsta möjliga kod.
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Samåkning
Betalningen dras inom sju dagar från auktorisering. Det slutliga betalningsbeloppet kan ändras.
Samåkningsföretag och andra on demand-marknadsplatser debiterar vanligtvis betalningar inom sju dagar efter auktoriseringen, och det slutliga beloppet kan öka eller minska. Om ditt företag har ett liknande betalningsflöde kan du autentisera med 3D Secure direkt efter att kunden har begärt en resa, eftersom kunden fortfarande är under session då. Om slutbeloppet blir högre än vad som autentiserades från början, måste kunden autentisera igen för det högre beloppet, såvida inte en tolerans tillåts av de regionala policyerna som accepterar att beloppet varierar. Om slutbeloppet är mindre behövs ingen ny autentisering.
Ett annat sätt att hantera det här betalningsflödet skulle vara att autentisera och auktorisera ett högre belopp direkt när kunden skickar en förfrågan om resa. Om kunden vill lägga till dricks i ett senare skede och totalbeloppet är lägre än det autentiserade beloppet behöver kunden inte autentisera igen. Nackdelen med det här tillvägagångssättet är att autentisering för ett högre belopp kan avskräcka priskänsliga kunder.
Resan har begärts:Sami öppnar appen och fyller i att han vill åka en sträcka för 20 EUR.
AUTHENTICATE
20 EUR har autentiserats med 3D Secure: Sami slutför 3D Secure-autentiseringen.
OBS! Stripe frågar automatiskt om undantag. Om Samis bank accepterar undantaget behöver han inte genomföra 3D Secure-autentiseringsfrågan.
AUTHORIZE
20 EUR har godkänts
Passageraren har hämtats upp och lämnats av: En förare hämtar upp Sami och kör honom till destinationen.
Dricks har lagts till: Han öppnar appen, betygsätter föraren och lägger till 3 EUR i dricks.
AUTHENTICATE
23 EUR (20 EUR resa + 3 EUR dricks) har autentiserats med 3D Secure: Sami slutför 3D Secure-autentiseringen.
OBS! Stripe frågar automatiskt om undantag. Om Samis bank accepterar ett undantag behöver han inte genomföra 3D Secure-autentiseringsfrågan.
CAPTURE
23 EUR har dragits
OBS! Debiteringen på 23 EUR avbryter den förra auktoriseringen på 20 EUR.
Rekommendation
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Crowdfunding
Betalningen dras mer än sju dagar efter auktorisering.
Crowdfunding-plattformar drar vanligtvis betalningar mer än sju dagar efter en auktorisering. Varje kampanj varar olika länge och betalningar dras när en kampanj når sitt mål. Om ditt företag har ett liknande betalningsflöde kan du autentisera med 3D Secure när kunder åtar sig att stödja en kampanj, och sedan auktorisera och dra beloppet när kampanjen har nått sitt mål. Om auktoriseringen misslyckas måste ditt företag hjälpa kunden tillbaka i session för att autentisera igen.
Betalning genomförd
Kampanjen lanseras
Belopp fastställt:
Luka stödjer kampanjen med 40 EUR.
AUTHENTICATE
Kortet autentiseras med 3D Secure:
Luka slutför 3D Secure-autentiseringen efter att ha fyllt i sina kortuppgifter.
30 DAGAR SENARE
Kampanjen avslutas:
Lukas kort debiteras när kampanjen avslutas.
AUTHORIZE
Försöker auktorisera 40 EUR
AUTHENTICATE
40 EUR har autentiserats med 3D Secure:
Luka slutför 3D Secure-autentiseringen.
AUTHORIZE
40 EUR har godkänts
CAPTURE
40 EUR har dragits
Betalningen misslyckades
Kampanjen lanseras
Belopp fastställt:
Luka stödjer kampanjen med 40 EUR.
AUTHENTICATE
Kortet autentiseras med 3D Secure:
Luka slutför 3D Secure-autentiseringen efter att ha fyllt i sina kortuppgifter.
30 DAGAR SENARE
Kampanjen avslutas:
Lukas kort debiteras när kampanjen avslutas.
AUTHORIZE
Försöker auktorisera 40 EUR
DECLINE
Auktoriseringen misslyckades p.g.a. ett kort som gått ut. Ett nytt autentiseringsförsök krävs.
E-postmeddelandet skickades:
Luka öppnar ett e-postmeddelande från webbplatsen och klickar på en länk.
Informationen uppdaterades:
Han går in på webbplatsen för crowdfunding-kampanjen igen och fyller i nya kortuppgifter.
AUTHENTICATE
40 EUR har autentiserats med 3D Secure:
Luka slutför 3D Secure-autentiseringen.
AUTHORIZE
40 EUR har godkänts
CAPTURE
40 EUR har dragits
Rekommendation
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Biluthyrning
Betalningen dras mer än sju dagar efter auktorisering. Det slutliga betalningsbeloppet kan ändras.
Biluthyrningsföretag debiterar vanligtvis betalningar mer än sju dagar efter auktoriseringen, och slutbeloppet ändras sannolikt på grund av rabatter, uppgraderingar eller tilläggstjänster vid hämtning eller lämning av bilen. Om ditt företag har ett liknande betalningsflöde kan du dela upp betalningen i separata delar – autentisera kortet med 3D Secure när det sparas, och auktorisera och debitera hyreskostnaden och eventuella oförutsedda utgifter senare.
Bilen bokas:Emma hyr en bil inför semestern.
AUTHENTICATE
Kortet autentiseras med 3D Secure: Emma slutför 3D Secure-autentiseringen efter att ha fyllt i sina kortuppgifter.
Bilen hämtas
Mer än 7 dagar senare
Bilen lämnas tillbaka: Hon lämnar tillbaka bilen utan att tanka vilket leder till en avgift på 50 EUR.
AUTHORIZE
350 EUR auktoriserat (bokning)
50 EUR auktoriserat (bränsleavgift)
CAPTURE
350 EUR draget (bokning)
50 EUR draget (bränsleavgift)
Rekommendation
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Gymmedlemskap
Återkommande betalningar. Fast belopp.
Gymmedlemskap är vanligtvis återkommande betalningar med ett fast belopp, och medlemskapet kan ibland börja med en gratis provperiod.
Transaktioner initierade av handlaren är betalningar som görs med ett sparat kort när kunden är utanför session. För att detta ska vara möjligt måste företaget ha ett avtal med kunden och kunden måste autentisera sitt kort antingen i samband med att det sparas eller vid första betalningen.
Det är viktigt att observera att undantag inte kan garanteras, och efterföljande betalningar kan behöva autentisering. Enskilda banker kan tillämpa undantag på olika sätt, så ditt företag måste utforma betalningsflöden som hjälper kunderna tillbaka under session för en autentisering.
Betalning genomförd
Medlemskapet påbörjas:
Imani fyller i sin e-postadress och sina kortuppgifter för att gå med i ett gym för 50 EUR i månaden.
AUTHENTICATE
50 EUR har autentiserats med 3D Secure:
Imani gör en 3D Secure-autentisering.
AUTHORIZE
50 EUR har godkänts
CAPTURE
50 EUR har dragits
30 DAGAR SENARE
Medlemskapet fortgår:
Imani går ofta på gymmet och tränar i pass.
AUTHORIZE
50 EUR har godkänts:
Betalningen behövde inte autentiseras eftersom Imanis bank accepterade den fasta månadskostnaden och godtog undantaget av typen transaktion initierad av handlaren.
CAPTURE
50 EUR har dragits
Betalningen misslyckades
Provperioden börjar:
Imani blir medlem på ett gym för 50 EUR i månaden. Hon fyller i sin e-postadress och sina kortuppgifter så att medlemskapet börjar omedelbart efter en provperiod på sju dagar.
AUTHENTICATE
50 EUR har autentiserats med 3D Secure:
Imani gör en 3D Secure-autentisering.
7 DAGAR SENARE
Provperioden tar slut och medlemskapet börjar:
Imanis kort debiteras automatiskt när provperioden är över.
AUTHORIZE
50 EUR har godkänts
CAPTURE
50 EUR har dragits
30 DAGAR SENARE
Medlemskapet fortgår:
Imani går ofta på gymmet och tränar i pass.
AUTHORIZE
Försöker auktorisera 50 EUR
DECLINE
Auktorisering misslyckades och ett nytt autentiseringsförsök krävs
E-postmeddelandet skickades:
Imani öppnar ett e-postmeddelande och klickar på en länk.
Informationen uppdaterades:
Hon går in på gymmets webbplats igen och fyller i nya kortuppgifter.
AUTHENTICATE
50 EUR har autentiserats med 3D Secure:
Imani gör en 3D Secure-autentisering.
AUTHORIZE
50 EUR har godkänts
CAPTURE
50 EUR har dragits
Rekommendationer
Välj ett alternativ:
STRIPE BILLING
Hantera dina abonnemang och utnyttja automatiserade verktyg för att vara SCA-redo.
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.
Elräkning
Användningsbaserad fakturering. Återkommande betalningar.
Elräkningar är återkommande betalningar med belopp som sannolikt kommer att variera från månad till månad på grund av användningsbaserad fakturering. Om ditt företag har ett liknande betalningsflöde krävs 3D Secure-autentisering när en kund sparar sitt kort för att ställa in automatiska betalningar. För att göra detta slutför kunden 3D Secure-autentisering utanför en transaktion.
Det är viktigt att observera att undantag inte kan garanteras, och efterföljande betalningar kan behöva autentisering. Enskilda banker kan tillämpa undantag på olika sätt, så ditt företag måste utforma betalningsflöden för att få kunderna tillbaka på sessionen för att autentisera sig igen när det behövs.
Betalning med undantag
Kontokonfigurering:
Salim flyttar till en ny lägenhet och skriver under att elräkningen ska betalas automatiskt varje månad.
Kort sparas:
Salim lägger till ett kort till kontot.
AUTHENTICATE
Automatisk fakturering bekräftad med 3D Secure:
Salim gör en 3D Secure-autentisering.
30 DAGAR SENARE
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget där han informeras om en schemalagd betalning på 63 EUR.
AUTHORIZE
63 EUR har godkänts:
Elbolaget auktoriserar 63 EUR och begär undantag av typen transaktion initierad av handlaren.
Salims bank godtar undantaget och auktoriseringen.
CAPTURE
63 EUR har dragits
30 DAGAR SENARE
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget där han informeras om en schemalagd betalning på 91 EUR.
AUTHORIZE
Försöker auktorisera 91 EUR:
Elbolaget försöker auktorisera 91 EUR och begär undantag av typen transaktion initierad av handlaren.
DECLINE
Auktorisering misslyckades och ett nytt autentiseringsförsök krävs
E-postmeddelandet skickades:
Salim får ett e-postmeddelande från elbolaget med en räkning på 91 EUR och klickar på länken.
AUTHENTICATE
91 EUR har autentiserats med 3D Secure:
Salim gör en 3D Secure-autentisering.
AUTHORIZE
91 EUR har godkänts
CAPTURE
91 EUR har dragits
Betalning utan undantag
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget med en räkning på 63 EUR och klickar på länken.
AUTHENTICATE
63 EUR har autentiserats med 3D Secure:
Salim gör en 3D Secure-autentisering.
AUTHORIZE
63 EUR har godkänts
CAPTURE
63 EUR har dragits
30 DAGAR SENARE
Räkning mottagen:
Salim får ett e-postmeddelande från elbolaget med en räkning på 91 EUR och klickar på länken.
AUTHENTICATE
91 EUR har autentiserats med 3D Secure:
Salim gör en 3D Secure-autentisering.
AUTHORIZE
91 EUR har godkänts
CAPTURE
91 EUR har dragits
Rekommendationer
Välj ett alternativ:
STRIPE BILLING
Hantera dina abonnemang och utnyttja automatiserade verktyg för att vara SCA-redo.
PAYMENTS API
Skapa dynamiska betalningsflöden och maximera undantagen.