การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม

สิ่งที่ธุรกิจบนอินเทอร์เน็ตต้องรู้เกี่ยวกับข้อบังคับใหม่ของยุโรป

อัปเดตล่าสุด 4 พฤษภาคม 2020

บทนำ

เมื่อวันที่ 14 กันยายน 2019 ได้มีการนำข้อกำหนดใหม่สำหรับการตรวจสอบสิทธิ์การชำระเงินออนไลน์มาใช้ในยุโรปอันเป็นส่วนหนึ่งของ Payment Services Directive ฉบับที่ 2 (PSD2) เราคาดว่าข้อกำหนดเหล่านี้จะมีผลบังคับใช้นับตั้งแต่ปี 2020 ไปจนถึง 2021

ในคู่มือนี้ เราจะมาดูข้อกำหนดใหม่เหล่านี้ซึ่งเรียกว่าการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม (SCA) และการชำระเงินประเภทต่างๆ ที่ได้รับผลกระทบจากข้อกำหนดเหล่านี้อย่างละเอียดมากขึ้น เรายังจะครอบคลุมถึงการยกเว้นที่อาจใช้ได้กับธุรกรรมที่มีความเสี่ยงต่ำเพื่อประสบการณ์การชำระเงินที่สะดวกสำหรับลูกค้าอีกด้วย

เราได้เผยแพร่หน้าเว็บอีกหน้าหนึ่งที่มีข้อมูลล่าสุดเกี่ยวกับลำดับเวลาการบังคับใช้ SCA รวมถึงคู่มือที่จะช่วยให้คุณทราบว่าต้องเพิ่มการตรวจสอบสิทธิ์ลงในกระบวนการชำระเงินของลูกค้าเมื่อใด โปรดไปที่เว็บไซต์ของเราเพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ของ Stripe ที่พร้อมรองรับ SCA

การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมคืออะไร

การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม (SCA) เป็นข้อกำหนดบังคับใหม่ในยุโรปเพื่อลดการฉ้อโกงและทำให้การชำระเงินออนไลน์มีความปลอดภัยมากขึ้น หากต้องการรับการชำระเงินและปฏิบัติตามข้อกำหนด SCA คุณจะต้องเพิ่มการตรวจสอบสิทธิ์เข้าไปในขั้นตอนการชำระเงิน โดย SCA กำหนดว่าการตรวจสอบสิทธิ์จะต้องใช้องค์ประกอบ 2 ใน 3 อย่างต่อไปนี้

สิ่งที่ลูกค้ารู้ (เช่น รหัสผ่านหรือ PIN)
สิ่งที่ลูกค้ามี (เช่น หมายเลขโทรศัพท์หรือโทเค็นฮาร์ดแวร์)
สิ่งที่ลูกค้าเป็น (เช่น ลายนิ้วมือหรือการจดจำใบหน้า)

(หากต้องการดูข้อกำหนด SCA ต้นฉบับ โปรดไปที่มาตรฐานทางเทคนิคตามข้อบังคับ หรือ RTS)

ธนาคารจะต้องเริ่มปฏิเสธการชำระเงินที่ต้องใช้ SCA แต่ไม่เป็นไปตามเกณฑ์เหล่านี้ แม้ว่าจะมีการนำข้อบังคับนี้มาใช้เมื่อวันที่ 14 กันยายน 2019 แต่เราคาดว่าหน่วยงานกำกับดูแลจะบังคับใช้ข้อกำหนดเหล่านี้ตลอดช่วงปี 2020 ถึง 2021

จะต้องมีการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมเมื่อใด

การตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมจะต้องใช้กับการชำระเงินออนไลน์ในยุโรปที่ "ลูกค้าริเริ่ม" ดังนั้นการชำระเงินผ่านบัตรส่วนใหญ่และการโอนเงินผ่านธนาคารทั้งหมดจะต้องใช้ SCA ในทางกลับกันการหักบัญชีโดยตรงแบบเกิดซ้ำจะถือว่า "ริเริ่มโดยผู้ค้า" และไม่ต้องใช้การตรวจสอบสิทธิ์แบบรัดกุม การชำระเงินผ่านบัตรที่จุดขายก็ไม่ได้รับผลกระทบจากข้อกำหนดใหม่นี้เช่นกัน ยกเว้นการชำระเงินแบบไม่สัมผัส

สำหรับการชำระเงินออนไลน์ผ่านบัตร ข้อกำหนดเหล่านี้มีผลบังคับใช้กับธุรกรรมที่ทั้งธุรกิจและธนาคารของเจ้าของบัตรอยู่ในเขตเศรษฐกิจยุโรป (EEA) (เราคาดว่าจะมีการบังคับใช้กฎ SCA ในสหราชอาณาจักรด้วยไม่ว่าผลโหวต Brexit จะออกมาเป็นอย่างไรก็ตาม)

วิธีตรวจสอบสิทธิ์การชำระเงิน

ปัจจุบันวิธีตรวจสอบสิทธิ์การชำระเงินออนไลน์ผ่านบัตรที่ใช้กันมากที่สุดคือ 3D Secure ซึ่งเป็นมาตรฐานการยืนยันตัวตนที่บัตรในยุโรปส่วนใหญ่รองรับ โดยทั่วไปการใช้ 3D Secure จะเป็นการเพิ่มขั้นตอนพิเศษหลังจากชำระเงิน โดยเจ้าของบัตรจะได้รับแจ้งจากธนาคารให้ระบุข้อมูลเพิ่มเติมเพื่อทำการชำระเงินให้เสร็จสมบูรณ์ (เช่น รหัสแบบใช้ครั้งเดียวที่ส่งไปที่โทรศัพท์ หรือการยืนยันตัวตนด้วยลายนิ้วมือผ่านแอปธนาคารบนมือถือ)

3D Secure 2 ซึ่งเป็นโปรโตคอลยืนยันตัวตนเวอร์ชันใหม่ที่จะเริ่มใช้ในปี 2019 จะเป็นวิธีหลักในการตรวจสอบสิทธิ์การชำระเงินออนไลน์ผ่านบัตรที่สอดคล้องกับข้อกำหนด SCA ใหม่นี้ เวอร์ชันใหม่นี้จะมอบประสบการณ์ผู้ใช้ที่ดีขึ้นซึ่งจะช่วยลดความยุ่งยากที่เกิดจากการเพิ่มการตรวจสอบสิทธิ์เข้าไปในขั้นตอนการชำระเงิน

วิธีการชำระเงินผ่านบัตรแบบอื่นๆ เช่น Apple Pay หรือ Google Pay ต่างก็รองรับขั้นตอนการชำระเงินที่มีชั้นตรวจสอบสิทธิ์ในตัว (ไบโอเมตริกหรือรหัสผ่าน) อยู่แล้ว ซึ่งจะเป็นวิธีที่ดีสำหรับธุรกิจที่จะมอบประสบการณ์การชำระเงินที่ราบรื่นและในขณะเดียวกันก็ปฏิบัติตามข้อกำหนดใหม่ด้วย

นอกจากนี้เราคาดว่าวิธีการชำระเงินที่ได้รับความนิยมในยุโรปอีกหลายแบบ เช่น iDEAL, Bancontact หรือ Multibanco ก็จะปฏิบัติตามกฎ SCA ใหม่โดยไม่มีการเปลี่ยนแปลงประสบการณ์ผู้ใช้มากนัก

การยกเว้นการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม

ภายใต้ข้อกำหนดใหม่ การชำระเงินที่มีความเสี่ยงต่ำบางประเภทอาจได้รับการยกเว้นจากการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม ผู้ให้บริการการชำระเงินอย่าง Stripe อาจขอการยกเว้นเหล่านี้ได้ขณะประมวลผลการชำระเงิน จากนั้นธนาคารของเจ้าของบัตรจะได้รับคำขอ ประเมินระดับความเสี่ยงของธุรกรรม และสุดท้ายจึงตัดสินใจว่าจะอนุมัติการยกเว้นหรือว่ายังจำเป็นต้องมีการตรวจสอบสิทธิ์

การสร้างการตรวจสอบสิทธิ์เข้าไปในขั้นตอนการชำระเงินจะเป็นการเพิ่มขั้นตอนที่ทำให้เกิดความติดขัดและอาจทำให้ลูกค้ายุติกการชำระเงินมากขึ้น การใช้การยกเว้นสำหรับการชำระเงินที่มีความเสี่ยงต่ำอาจช่วยลดความถี่ที่คุณต้องตรวจสอบสิทธิ์ลูกค้าซึ่งจะลดความติดขัด เราจึงได้ออกแบบผลิตภัณฑ์การชำระเงินใหม่ที่รองรับ SCA เพื่อให้คุณได้ใช้ประโยชน์จากการยกเว้นเมื่อทำได้ เพื่อช่วยปกป้องคอนเวอร์ชัน

การยกเว้นที่เหมาะสมกับธุรกิจบนอินเทอร์เน็ตมากที่สุดได้แก่

ธุรกรรมที่มีความเสี่ยงต่ำ

ผู้ให้บริการการชำระเงิน (อย่าง Stripe) สามารถทำการวิเคราะห์ความเสี่ยงแบบเรียลไทม์เพื่อพิจารณาว่าจะใช้ SCA กับธุรกรรมหรือไม่ ซึ่งจะทำได้เฉพาะต่อเมื่ออัตราการฉ้อโกงโดยรวมสำหรับการชำระเงินผ่านบัตรของผู้ให้บริการการชำระเงินหรือธนาคารไม่เกินเกณฑ์ต่อไปนี้

  • 0.13% สำหรับการยกเว้นธุรกรรมมูลค่าต่ำกว่า €100
  • 0.06% สำหรับการยกเว้นธุรกรรมมูลค่าต่ำกว่า €250
  • 0.01% สำหรับการยกเว้นธุรกรรมมูลค่าต่ำกว่า €500

เกณฑ์เหล่านี้จะแปลงเป็นจำนวนเงินที่เทียบเท่าในท้องถิ่นตามความเหมาะสม

ในกรณีที่เฉพาะอัตราการฉ้อโกงของผู้ให้บริการการชำระเงินเท่านั้นที่ต่ำกว่าเกณฑ์ แต่อัตราของธนาคารเจ้าของบัตรสูงกว่าเกณฑ์ เราคาดว่าธนาคารจะปฏิเสธการยกเว้นและกำหนดให้ต้องมีการตรวจสอบสิทธิ์

การชำระเงินต่ำกว่า €30

นี่เป็นการยกเว้นอีกแบบหนึ่งที่ใช้กับการชำระเงินจำนวนต่ำ ธุรกรรมที่มีมูลค่าต่ำกว่า €30 จะถือว่ามี “มูลค่าต่ำ” และอาจได้รับการยกเว้นจาก SCA อย่างไรก็ตามธนาคารจะต้องขอให้ตรวจสอบสิทธิ์หากมีการใช้การยกเว้นนี้ครบ 5 ครั้งนับตั้งแต่ที่เจ้าของบัตรตรวจสอบสิทธิ์สำเร็จครั้งล่าสุด หรือหากการชำระเงินที่ได้รับการยกเว้นที่ผ่านมามีมูลค่ารวมกันเกิน €100 ธนาคารของเจ้าของบัตรจะต้องคอยนับจำนวนครั้งที่ใช้การยกเว้นนี้และตัดสินใจว่าจำเป็นต้องตรวจสอบสิทธิ์หรือไม่

การชำระเงินตามรอบบิลด้วยจำนวนคงที่

การยกเว้นนี้อาจใช้ได้เมื่อลูกค้าทำการชำระเงินซ้ำหลายครั้งให้ธุรกิจเดียวกันด้วยจำนวนเงินเท่ากัน การชำระเงินครั้งแรกของลูกค้าจะต้องมี SCA แต่การเรียกเก็บเงินครั้งต่อๆ มาอาจได้รับการยกเว้นจาก SCA

ธุรกรรมที่ริเริ่มโดยผู้ค้า (รวมถึงการชำระเงินตามรอบบิลด้วยจำนวนเงินแปรผัน)

การชำระเงินด้วยบัตรที่บันทึกไว้ขณะที่ลูกค้าไม่ได้อยู่ในขั้นตอนการชำระเงิน (หรือเรียกว่า “นอกเซสชัน”) อาจถือเป็นธุรกรรมที่ริเริ่มโดยผู้ค้าได้ ในทางเทคนิค การชำระเงินเหล่านี้ไม่อยู่ในขอบเขตของ SCA และการทำเครื่องหมายการชำระเงินเป็น “ธุรกรรมที่ริเริ่มโดยผู้ค้า” จะคล้ายกับการขอยกเว้น และเช่นเดียวกับการยกเว้นอื่นๆ กรณีนี้ต้องขึ้นอยู่กับธนาคารที่จะตัดสินใจว่าธุรกรรมจำเป็นต้องมีการตรวจสอบสิทธิ์หรือไม่

ในการใช้ธุรกรรมที่ริเริ่มโดยผู้ค้า คุณจะต้องตรวจสอบสิทธิ์บัตรขณะที่ทำการบันทึกบัตรหรือในการชำระเงินครั้งแรก สุดท้ายคุณจะต้องมีข้อตกลงกับลูกค้า (หรือที่เรียกว่า “หนังสือมอบอำนาจ”) เพื่อที่จะเรียกเก็บเงินจากบัตรของลูกค้าในภายหลัง

ผู้รับผลประโยชน์ที่เชื่อถือ

ขณะทำการตรวจสอบสิทธิ์สำหรับการชำระเงิน ลูกค้าจะมีตัวเลือกที่จะใส่ธุรกิจที่ตนเชื่อถือลงในรายการอนุญาตเพื่อจะได้ไม่ต้องตรวจสอบสิทธิ์การซื้อในอนาคต จากนั้นธุรกิจเหล่านี้จะมีชื่อยู่ในรายการ “ผู้รับผลประโยชน์ที่เชื่อถือ” ซึ่งธนาคารของลูกค้าหรือผู้ให้บริการการชำระเงินจะเก็บไว้

การขายทางโทรศัพท์

รายละเอียดบัตรที่เก็บรวบรวมทางโทรศัพท์ไม่อยู่ในขอบเขตของ SCA และไม่จำเป็นต้องมีการตรวจสอบสิทธิ์ บางครั้งการชำระเงินประเภทนี้อาจเรียกว่า “การสั่งซื้อทางไปรษณีย์และการสั่งซื้อทางโทรศัพท์” (MOTO) และเช่นเดียวกับการชำระเงินที่ได้รับการยกเว้น ธุรกรรม MOTO ก็ต้องมีการทำเครื่องหมายดังกล่าวด้วยเช่นกัน จากนั้นธนาคารของเจ้าของบัตรจะทำการตัดสินใจขั้นสุดท้ายว่าจะยอมรับหรือปฏิเสธธุรกรรม

การชำระเงินของบริษัท

การยกเว้นนี้อาจครอบคลุมการชำระเงินด้วยบัตร “สำหรับการเดินทาง” (เช่น บัตรของบริษัทที่ใช้สำหรับจัดการค่าใช้จ่ายในการเดินทางของพนักงานและผูกกับตัวแทนการเดินทางออนไลน์โดยตรง) รวมถึงการชำระเงินของบริษัทโดยใช้หมายเลขบัตรดิจิทัล (ซึ่งใช้ในการกลุ่มธุรกิจการเดินทางด้วยเช่นกัน)

จะเกิดอะไรขึ้นหากยกเว้นไม่สำเร็จ

แม้ว่าการยกเว้นอาจมีประโยชน์มาก แต่อย่าลืมว่าสุดท้ายแล้วจะขึ้นอยู่กับธนาคารของเจ้าของบัตรที่เป็นผู้ตัดสินใจว่าจะยอมรับการยกเว้นหรือไม่ ธนาคารอาจส่งคืนรหัสการปฏิเสธใหม่สำหรับการชำระเงินที่ดำเนินการไม่สำเร็จเนื่องจากไม่มีการตรวจสอบสิทธิ์ ซึ่งคุณจะต้องส่งการชำระเงินให้ลูกค้าอีกครั้งพร้อมกับคำขอตรวจสอบสิทธิ์ลูกค้าแบบรัดกุม ผลิตภัณฑ์ที่รองรับ SCA ของ Stripe จะเรียกใช้การตรวจสอบสิทธิ์เพิ่มเติมนี้โดยอัตโนมัติเมื่อธนาคารกำหนด

หากธุรกิจของคุณได้รับผลกระทบจาก SCA เราขอแนะนำให้คุณเตรียมการดำเนินการสำรองเผื่อในกรณีที่การยกเว้นถูกปฏิเสธและลูกค้าต้องทำการตรวจสอบสิทธิ์ โดยเฉพาะอย่างยิ่งในกรณีที่คุณเรียกเก็บเงินลูกค้าขณะที่ไม่ได้อยู่ในขั้นตอนการชำระเงินของคุณ (ลูกค้าอยู่นอกเซสชัน) และลูกค้าจะต้องกลับมาที่เว็บไซต์หรือแอปเพื่อตรวจสอบสิทธิ์ อ่านข้อมูลเพิ่มเติมได้ในคู่มือการออกแบบขั้นตอนการชำระเงินสำหรับ SCA

Stripe ช่วยให้คุณปฏิบัติตามข้อกำหนดการตรวจสอบสิทธิ์ลูกค้าแบบรัดกุมได้อย่างไร

การเปลี่ยนแปลงที่เกิดขึ้นจากกฎระเบียบใหม่นี้น่าจะส่งผลกระทบต่อการค้าออนไลน์ในยุโรปอย่างลึกซึ้ง และแม้เราจะคาดว่าข้อกำหนดใหม่จะเริ่มมีผลบังคับใช้ในช่วง 2020 ถึง 2021 แต่ธุรกิจที่ได้รับผลกระทบซึ่งไม่ได้เตรียมพร้อมสำหรับข้อกำหนดใหม่เหล่านี้อาจมีอัตราการเปลี่ยนเป็นผู้ใช้แบบชำระเงินต่ำลงอย่างเห็นได้ชัดเมื่อ SCA ขยายความครอบคลุมไปยังธนาคารทั่วยุโรป

นอกจากการรองรับวิธีการยืนยันตัวตนแบบใหม่อย่าง 3D Secure 2 แล้ว เรายังเชื่อว่าการจัดการการยกเว้นให้สำเร็จก็จะเป็นองค์ประกอบสำคัญที่ช่วยให้ประสบการณ์การชำระเงินราบรื่นและสะดวกรวดเร็ว ผลิตภัณฑ์การชำระเงินใหม่ของเรามีการปรับให้เหมาะกับกฎระเบียบข้อบังคับ กฎของธนาคาร และกฎของเครือข่ายบัตร และจะใช้การยกเว้นที่เหมาะสมสำหรับการชำระเงินที่มีความเสี่ยงต่ำเพื่อจะได้เรียกใช้ 3D Secure เฉพาะเมื่อจำเป็นเท่านั้น และเมื่อกฎเหล่านี้เปลี่ยนไป เราก็จะยังคงดูแลรักษาและอัปเดตตรรกะ SCA นี้ได้แบบเรียลไทม์โดยคำนึงถึงลำดับเวลาการบังคับใช้ของแต่ละประเทศ

เราได้เปิดตัว API การชำระเงินพื้นฐานใหม่ที่ใช้ตรรกะ SCA ของ Stripe เพื่อเรียกใช้การยกเว้นที่เหมาะสมและทริกเกอร์ 3D Secure เมื่อจำเป็น ทั้ง Checkout ใหม่ของเราและ Stripe Billing ต่างก็สร้างต่อยอดจาก API นี้ และสามารถใช้ 3D Secure ได้แบบไดนามิกเมื่อจำเป็น

ดูข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ที่รองรับ SCA ของ Stripe และหากคุณมีข้อสงสัยหรือคำติชม โปรดแจ้งให้เราทราบ

กลับไปที่คู่มือ