De vereisten voor SCA (sterke cliëntauthenticatie) worden volledig gehandhaafd in alle Europese landen die daarvoor in aanmerking komen, wat een enorme verschuiving in het Europese betalingslandschap veroorzaakt.
De nieuwe SCA-regelgeving vereist een vorm van tweefactorauthenticatie voor elektronische betalingen en toegang tot betaalrekeningen. Zonder authenticatie worden veel betalingen mogelijk geweigerd door de bank van de klant. We hebben essentiële betaal-API's ontwikkeld om bedrijven te helpen deze wijziging door te voeren en eventuele SCA-vrijstellingen volledig te benutten. De authenticatie-engine van Stripe selecteert automatisch het optimale authenticatieproces voor elke transactie om de conversie te maximaliseren en fraude tot een minimum te beperken.
We raden je aan deze gids door te lezen om een goed inzicht te krijgen in de wijzigingen die in de verschillende typen betaalprocessen zijn aangebracht om aan de SCA-vereisten te voldoen. Houd deze gids ook bij de hand bij het aanpassen van je betaalprocessen.
BLIJF OP DE HOOGTE VAN SCA
We werken nauw samen met toezichthouders en organisaties in de betaalbranche. Als je meer wilt weten over de regulering en onze producten, bekijk je onze recente gids over PSD3 of neem je contact op.
Hoe online kaartbetalingen zijn veranderd
Traditionele kaartbetalingen bestaan meestal uit twee stappen: autorisatie en opname. Een betaling wordt geautoriseerd wanneer de bank van de klant of de kaartverstrekker een betaling goedkeurt. En de betaling wordt opgenomen wanneer het bedrag van de kaart wordt afgeschreven.
SCA voegt een verplichte stap toe voorafgaand aan de autorisatie en opname: authenticatie. Deze stap is gericht op het voorkomen van fraude, zodat klanten nog beter worden beschermd. Een klant kan een betaling authenticeren door te reageren op een verzoek van de eigen bank om aanvullende informatie in te voeren. Dit kan iets zijn wat de klant weet, zoals een wachtwoord, iets wat de klant gebruikt, zoals een telefoon, of iets wat deel uitmaakt van wie de klant is, zoals een vingerafdruk.
De meest gangbare manier om een online kaartbetaling te authenticeren is een methode die 3D Secure wordt genoemd, misschien beter bekend onder de merknaam 'Visa Secure' of 'Mastercard Identity Check'. Maar nu is er een nieuwe versie, 3D Secure 2 genaamd, die naar verwachting de standaardmethode voor het authenticeren van betalingen wordt. Meer informatie over de verschillen tussen deze twee methoden kun je vinden in onze 3D Secure 2-gids. Al onze SCA-compliant producten ondersteunen 3D Secure 2.
Welke methode je ook gebruikt, klanten moeten je website of app gebruiken om zich te authenticeren. Het toevoegen van deze stap is eenvoudiger voor bedrijven die direct bij de klant bedragen in rekening te brengen, en ingewikkelder voor bedrijven die pas bedragen in rekening brengen nadat de klant het afrekenproces heeft verlaten. (Dit wordt ook wel 'buiten de sessie' genoemd.)
De scenario's in deze gids bevatten voorbeelden van hoe deze drie stappen (authenticatie, autorisatie en opname) kunnen variëren, afhankelijk van hoe en wanneer je bedragen bij de klant in rekening brengt.
AUTHENTICATIE
Klanten authenticeren een online betaling door te reageren op een 3D Secure-verzoek van hun bank en aanvullende informatie te verstrekken. Bekijk 3D Secure vanuit het perspectief van de klant.
Multifactorauthenticatie is vereist wanneer een betaling niet in aanmerking komt voor een vrijstelling of wanneer de bank van de klant een verzoek om vrijstelling weigert. Onze nieuwe betaal-API's vragen automatisch in aanmerking komende vrijstellingen aan voordat de authenticatiestap wordt toegevoegd. Dit vereenvoudigt de afrekenprocessen en beschermt het conversiepercentage.
Wist je dit? De klant moet de authenticatie uitvoeren tijdens de sessie of tijdens het gebruik van de website of app. Daarom wordt deze stap meestal uitgevoerd wanneer de klant het afrekenformulier invult.
AUTORISATIE
Je bedrijf vraagt de bank van de klant om de betaling goed te keuren: de bank van de klant beslist of een betaling wordt goedgekeurd of afgewezen. Als de betaling wordt goedgekeurd, wordt het geld gedurende zeven dagen aangehouden. Wordt een autorisatieverzoek geweigerd, dan moet je bedrijf een manier vinden om de klant weer in de sessie te brengen. De klant kan de betaling dan opnieuw authenticeren, waarna je opnieuw een autorisatieverzoek kunt indienen.
Wist je dit? Een verzoek om autorisatie kan nog steeds worden geweigerd door de bank van de klant nadat de klant de authenticatie heeft uitgevoerd. Dit kan bijvoorbeeld gebeuren als de klant onvoldoende saldo heeft of als de kaart is verlopen.
Tot 7 dagen
De standaardtijd tussen autorisatie en opname kan zeven dagen zijn, maar de meeste bedrijven nemen een betaling onmiddellijk na autorisatie op.
OPNAME
Het bedrijf schrijft het bedrag af van de kaart van de klant, waarmee de betaling is voltooid.
Wist je dit? De bank van een klant kan aangeven dat een betaling 'in behandeling is' als het bedrag is geautoriseerd maar niet is opgenomen.
Informatie over vrijstellingen
Bepaalde typen betalingen (zoals transacties met een laag risico, abonnementen met vaste bedragen, telefonische verkopen en door de handelaar geïnitieerde transacties) zijn mogelijk vrijgesteld van SCA. Door de handelaar geïnitieerde transacties zijn betalingen die worden gedaan met een opgeslagen kaart wanneer de klant buiten de sessie is. Gangbare voorbeelden zijn het lidmaatschap van een sportschool of de energierekening. Een bedrijf kan deze vrijstelling gebruiken als het een overeenkomst met de klant heeft en de klant de kaart heeft geauthenticeerd toen deze werd opgeslagen of toen de eerste betaling werd gedaan. Onze gids voor SCA bevat uitgebreide informatie over deze en andere vrijstellingen.
De SCA-compliant betaal-API's en producten van Stripe helpen bedrijven om deze mogelijkheden volledig te benutten door automatisch vrijstellingen aan te vragen. Wanneer een vrijstelling wordt geaccepteerd door de bank van de klant, hoeft de klant geen authenticatie uit te voeren, waardoor de gevolgen voor de conversie tot een minimum worden beperkt.
Bedrijven moeten hun betaalprocessen echter zo ontwerpen dat klanten kunnen worden geauthenticeerd als de vrijstelling wordt geweigerd. Dit is met name belangrijk omdat de regels voor vrijstellingen afhankelijk zijn van de bank van de klant. De bank beoordeelt elke betaling en bepaalt of een vrijstelling kan worden verleend. Met andere woorden, vrijstellingen worden niet door alle banken op dezelfde wijze toegepast.
Bedrijfsscenario's
Hieronder vind je een overzicht van de gevolgen en toepassing van SCA. Bekijk hoe een authenticatiestap kan worden ingevoegd in betaalflows van verschillende businessmodellen.
E-commercebedrijven
Eenmalige betaling. Kaart niet opgeslagen.
E-commercebedrijven brengen klanten meestal tijdens de sessie het verschuldigde bedrag in rekening, zonder kaartgegevens op te slaan voor toekomstige betalingen. Als je bedrijf een vergelijkbaar betaalproces heeft, is het toevoegen van authenticatie heel eenvoudig: de 3D Secure-authenticatie kan worden uitgevoerd direct nadat de klant zijn kaartgegevens heeft ingevoerd en de bestelling heeft geplaatst.
Stripe vraagt automatisch in aanmerking komende vrijstellingen aan, zodat je klanten misschien helemaal niet hoeven te authenticeren. Maar helaas worden vrijstellingen niet door alle banken op dezelfde manier toegepast. Dat betekent dat je bedrijf nog steeds betaalprocessen moet ontwikkelen om klanten te authenticeren wanneer dat nodig is.
Bestelling geplaatst: Elisa voert haar kaart- en verzendgegevens in. Het totaalbedrag is € 29 inclusief btw.
AUTHENTICATIE
€ 29 geauthenticeerd met 3D Secure: Elisa voltooit de 3D Secure-authenticatie.
Opmerking: Stripe vraagt automatisch vrijstellingen aan. Als de bank van Elisa de vrijstelling accepteert, hoeft ze geen 3D Secure-authenticatiecontrole uit te voeren.
AUTORISATIE
€ 29 geautoriseerd
OPNAME
€ 29 opgenomen
Bestelling verzonden
Aanbevelingen
Kies een optie:
STRIPE CHECKOUT
Werk met kant-en-klare afrekenflows met minimale code die zijn geoptimaliseerd voor conversie.
BETALINGEN-API
Ontwikkel dynamische betaalflows en maak optimaal gebruik van vrijstellingen.
Taxidiensten
De betaling wordt binnen zeven dagen na autorisatie opgenomen. Het definitieve bedrag van de betaling kan nog veranderen.
Taxidiensten en andere on-demandmarktplaatsen nemen betalingen meestal binnen zeven dagen na autorisatie op, en het definitieve bedrag kan hoger of lager zijn. Als je bedrijf een vergelijkbaar betaalproces heeft, kun je authenticeren met 3D Secure direct nadat de klant een rit aanvraagt, omdat de klant dan nog in de sessie is. Blijkt het definitieve bedrag hoger te zijn dan het oorspronkelijke geauthenticeerde bedrag, dan moet de klant opnieuw authenticeren voor het hogere bedrag, tenzij door de regionale beleidsregels een tolerantie wordt toegestaan waardoor het bedrag kan verschillen. Is het definitieve bedrag lager, dan hoeft de klant niet opnieuw te authenticeren.
Je kunt dit betaalproces ook op een andere manier gebruiken door een hoger bedrag te authenticeren en te autoriseren op het moment dat de klant de rit aanvraagt. Wil de klant later een fooi toevoegen en is het totaal lager dan het geauthenticeerde bedrag, dan hoeft de klant niet opnieuw te authenticeren. Het nadeel van deze manier is dat het vooraf authenticeren van een hoger bedrag prijsgevoelige klanten kan afschrikken.
Rit aangevraagd: Sami opent de app en vraagt een rit aan voor een bedrag van € 20.
AUTHENTICATIE
€ 20 geauthenticeerd met 3D Secure: Sami voltooit de 3D Secure-authenticatie.
Opmerking: Stripe vraagt automatisch vrijstellingen aan. Als de bank van Sami de vrijstelling accepteert, hoeft hij geen 3D Secure-authenticatiecontrole uit te voeren.
AUTORISATIE
€ 20 geautoriseerd
Passagier opgehaald en afgezet: Een chauffeur haalt Sami op en brengt hem naar zijn bestemming.
Fooi toegevoegd: Hij opent de app, beoordeelt de chauffeur en voegt een fooi van € 3 toe.
AUTHENTICATIE
€ 23 (€ 20 voor de rit plus € 3 fooi) geauthenticeerd met 3D Secure: Sami voltooit de 3D Secure-authenticatie.
Opmerking: Stripe vraagt automatisch vrijstellingen aan. Als de bank van Sami een vrijstelling accepteert, hoeft hij geen 3D Secure-authenticatiecontrole uit te voeren.
OPNAME
€ 23 opgenomen
Opmerking: Het opnemen van € 23 annuleert de vorige machtiging voor € 20.
Aanbeveling
BETALINGEN-API
Ontwikkel dynamische betaalflows en maak optimaal gebruik van vrijstellingen.
Crowdfunding
De betaling wordt meer dan zeven na dagen na autorisatie opgenomen.
Crowdfundingplatforms nemen betalingen meestal meer dan zeven dagen na de autorisatie op. Een campagne duurt een bepaalde periode, en betalingen worden pas opgenomen wanneer het streefbedrag van de campagne is bereikt. Als je bedrijf een vergelijkbaar betaalproces heeft, kan de 3D Secure-authenticatie worden uitgevoerd wanneer de klant een bedrag aan de campagne toezegt.Vervolgens kun je het bedrag autoriseren en opnemen wanneer de campagne met succes is afgerond. Als de autorisatie mislukt, moet je bedrijf de sessie opnieuw activeren voor klant om de authenticatie opnieuw uit te voeren.
Geslaagde betaling
Campagne gestart
Toezegging gedaan:
Luka steunt de campagne en zegt € 40 toe.
AUTHENTICATIE
Betaalkaart geauthenticeerd met 3D Secure:
Luka voltooit de 3D Secure-authenticatie na het invoeren van zijn kaartgegevens.
30 DAGEN GAAN VOORBIJ
Campagne voltooid:
Het bedrag wordt van de kaart van Luka afgeschreven zodra de campagne met succes is afgerond.
AUTORISATIE
Autorisatiepoging voor een bedrag van € 40
AUTHENTICATIE
€ 40 geauthenticeerd met 3D Secure:
Luka voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 40 geautoriseerd
OPNAME
€ 40 opgenomen
Mislukte betaling
Campagne gestart
Toezegging gedaan:
Luka steunt de campagne en zegt € 40 toe.
AUTHENTICATIE
Betaalkaart geauthenticeerd met 3D Secure:
Luka voltooit de 3D Secure-authenticatie na het invoeren van zijn kaartgegevens.
30 DAGEN GAAN VOORBIJ
Campagne voltooid:
Het bedrag wordt van de kaart van Luka afgeschreven zodra de campagne met succes is afgerond.
AUTORISATIE
Autorisatiepoging voor een bedrag van € 40
WEIGERING
De autorisatie is mislukt vanwege een verlopen kaart, nieuwe authenticatie is vereist.
E-mail verzonden:
Luka opent een e-mail van de crowdfundingwebsite en klikt op een link.
Informatie bijgewerkt:
Hij gaat weer naar de crowdfundingwebsite en voert de gegevens van de nieuwe kaart in.
AUTHENTICATIE
€ 40 geauthenticeerd met 3D Secure:
Luka voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 40 geautoriseerd
OPNAME
€ 40 opgenomen
Aanbeveling
BETALINGEN-API
Ontwikkel dynamische betaalflows en maak optimaal gebruik van vrijstellingen.
Autoverhuur
De betaling wordt meer dan zeven na dagen na autorisatie opgenomen. Het definitieve bedrag van de betaling kan nog veranderen.
Autoverhuurbedrijven nemen betalingen meestal meer dan zeven dagen na de autorisatie op. Het definitieve bedrag wordt vaak hoger of lager vanwege kortingen, upgrades of diensten die worden toegevoegd bij het ophalen of terugbrengen van de auto. Als je bedrijf een vergelijkbaar betaalproces heeft, kun je de betaling in verschillende delen splitsen. De 3D Secure-authenticatie kan worden uitgevoerd wanneer de kaart wordt opgeslagen, en het huurbedrag en eventuele bijkomende kosten kunnen later worden geautoriseerd en opgenomen.
Auto gereserveerd: Emma huurt een auto voor de komende vakantie.
AUTHENTICATIE
Kaart geauthenticeerd met 3D Secure: Emma voltooit de 3D Secure-authenticatie nadat ze haar kaartgegevens heeft ingevoerd.
Auto opgehaald
Er gaan meer dan 7 dagen voorbij
Auto teruggebracht: Ze brengt de auto terug zonder de tank vol te gooien, waardoor ze € 50 moet betalen.
AUTORISATIE
€ 350 geautoriseerd (reservering)
€ 50 geautoriseerd (brandstofkosten)
OPNAME
€ 350 opgenomen (reservering)
€ 50 opgenomen (brandstofkosten)
Aanbeveling
BETALINGEN-API
Ontwikkel dynamische betaalflows en maak optimaal gebruik van vrijstellingen.
Lidmaatschap van sportschool
Terugkerende betalingen. Vast bedrag.
Lidmaatschappen van sportscholen zijn meestal terugkerende betalingen van een vast bedrag, en het lidmaatschap begint vaak met een gratis proefperiode.
Door de handelaar geïnitieerde transacties zijn betalingen die worden gedaan met een opgeslagen kaart wanneer de klant buiten de sessie is. Een bedrijf kan hiervoor in aanmerking komen als het een overeenkomst met de klant heeft en de klant de kaart heeft geauthenticeerd. De klant kan de authenticatie uitvoeren wanneer de kaart wordt opgeslagen of bij de eerste betaling.
Houd er rekening mee dat vrijstellingen niet zijn gegarandeerd en dat voor daaropvolgende betalingen toch weer authenticatie nodig kan zijn. Helaas worden vrijstellingen niet door alle banken op dezelfde manier toegepast. Dat betekent dat je bedrijf betaalprocessen moet ontwikkelen om klanten weer in de sessie te brengen als de authenticatie opnieuw moet worden uitgevoerd.
Geslaagde betaling
Start lidmaatschap:
Imani voert haar e-mailadres en kaartgegevens in om lid te worden van haar plaatselijke sportschool voor € 50 per maand.
AUTHENTICATIE
€ 50 geauthenticeerd met 3D Secure:
Imani voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 50 geautoriseerd
OPNAME
€ 50 opgenomen
30 DAGEN GAAN VOORBIJ
Lidmaatschap loopt door:
Imani doet allerlei work-outs en gaat vaak naar de sportschool.
AUTORISATIE
€ 50 geautoriseerd:
Deze betaling hoeft niet te worden geauthenticeerd omdat de bank van Imani de vrijstelling voor een abonnement met een vast bedrag en de vrijstelling voor een door de handelaar geïnitieerde transactie accepteert.
OPNAME
€ 50 opgenomen
Mislukte betaling
Start proefperiode:
Imani wordt lid van haar plaatselijke sportschool voor € 50 per maand. Ze voert haar e-mailadres en creditcardgegevens in, zodat haar lidmaatschap meteen na de proefperiode van zeven dagen begint.
AUTHENTICATIE
€ 50 geauthenticeerd met 3D Secure:
Imani voltooit de 3D Secure-authenticatie.
7 DAGEN GAAN VOORBIJ
De proefperiode eindigt en het lidmaatschap begint:
Na afloop van de proefperiode wordt het bedrag automatisch afgeschreven van de betaalkaart van Imani.
AUTORISATIE
€ 50 geautoriseerd
OPNAME
€ 50 opgenomen
30 DAGEN GAAN VOORBIJ
Lidmaatschap loopt door:
Imani doet allerlei work-outs en gaat vaak naar de sportschool.
AUTORISATIE
Autorisatiepoging voor een bedrag van € 50
WEIGERING
Autorisatie mislukt, nieuwe authenticatie vereist
E-mail verzonden:
Imani opent een e-mail en klikt op een link.
Informatie bijgewerkt:
Ze keert terug naar de website van de sportschool en voert nieuwe kaartgegevens in.
AUTHENTICATIE
€ 50 geauthenticeerd met 3D Secure:
Imani voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 50 geautoriseerd
OPNAME
€ 50 opgenomen
Aanbevelingen
Kies een optie:
STRIPE BILLING
Beheer je abonnementen en maak gebruik van automatische tools zodat je SCA-compliant bent.
BETALINGEN-API
Ontwikkel dynamische betaalflows en maak optimaal gebruik van vrijstellingen.
Energierekening
Facturatie naar gebruik. Terugkerende betalingen.
Energierekeningen zijn terugkerende betalingen met bedragen die per maand verschillend kunnen zijn (bij facturatie naar gebruik). Als je bedrijf een vergelijkbaar betaalproces heeft, is 3D Secure-authenticatie vereist wanneer een klant zijn kaart opslaat om automatische betalingen in te stellen. De klant voert hiervoor de 3D-authenticatie buiten een transactie uit.
Houd er rekening mee dat vrijstellingen niet zijn gegarandeerd en dat voor daaropvolgende betalingen toch weer authenticatie nodig kan zijn. Helaas worden vrijstellingen niet door alle banken op dezelfde manier toegepast. Dat betekent dat je bedrijf betaalprocessen moet ontwikkelen om klanten weer in de sessie te brengen als de authenticatie opnieuw moet worden uitgevoerd.
Betaling met een vrijstelling
Account ingesteld:
Salim verhuist naar een nieuw appartement en meldt zich aan om zijn maandelijkse energierekening automatisch te betalen.
Kaart opgeslagen:
Salim voegt een kaart toe aan zijn account.
AUTHENTICATIE
Automatisch factureren bevestigd met 3D Secure:
Salim voltooit de 3D Secure-authenticatie.
30 DAGEN GAAN VOORBIJ
Factuur ontvangen:
Salim krijgt een e-mail van het energiebedrijf met de mededeling dat hij een geplande betaling van € 63 moet doen.
AUTORISATIE
€ 63 geautoriseerd:
Het energiebedrijf geeft toestemming voor € 63 en vraagt een vrijstelling voor een door de verkoper geïnitieerde transactie.
De bank van Salim accepteert de vrijstelling en de machtiging.
OPNAME
€ 63 opgenomen
30 DAGEN GAAN VOORBIJ
Factuur ontvangen:
Salim krijgt een e-mail van het energiebedrijf met de mededeling dat hij een geplande betaling van € 91 moet doen.
AUTORISATIE
Autorisatiepoging voor een bedrag van € 91:
Het energiebedrijf probeert € 91 te autoriseren en vraagt om een vrijstelling van een door de verkoper geïnitieerde transactie.
WEIGERING
Autorisatie mislukt, nieuwe authenticatie vereist
E-mail verzonden:
Salim krijgt een e-mail van het energiebedrijf met een rekening voor € 91 en klikt op de link.
AUTHENTICATIE
€ 91 geauthenticeerd met 3D Secure:
Salim voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 91 geautoriseerd
OPNAME
€ 91 opgenomen
Betaling zonder een vrijstelling
Factuur ontvangen:
Salim krijgt een e-mail van het energiebedrijf met een rekening voor € 63 en klikt op de link.
AUTHENTICATIE
€ 63 geauthenticeerd met 3D Secure:
Salim voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 63 geautoriseerd
OPNAME
€ 63 opgenomen
30 DAGEN GAAN VOORBIJ
Factuur ontvangen:
Salim krijgt een e-mail van het energiebedrijf met een rekening voor € 91 en klikt op de link.
AUTHENTICATIE
€ 91 geauthenticeerd met 3D Secure:
Salim voltooit de 3D Secure-authenticatie.
AUTORISATIE
€ 91 geautoriseerd
OPNAME
€ 91 opgenomen
Aanbevelingen
Kies een optie:
STRIPE BILLING
Beheer je abonnementen en maak gebruik van automatische tools zodat je SCA-compliant bent.
BETALINGEN-API
Ontwikkel dynamische betaalflows en maak optimaal gebruik van vrijstellingen.