强客户认证

互联网企业需要了解欧洲新规的哪些内容

Last updated on 4 May 2020

简介

2019 年 9 月 14 日,作为[欧盟支付服务修订法案第二版 (PSD2)](https://en.wikipedia.org/wiki/Payment_Services_Directive#Revised_Directive_on_Payment_Services_(PSD2)的一部分,欧洲已引入了新的线上支付验证要求。我们预计这些要求要等到 2020 年 至 2021 年之间才会予以实施。

本指南中,我们将具体看一看这个被称作“强客户认证” (SCA) 的新要求以及它们影响的支付类型。我们还将讲解低风险交易可适用的豁免,以提供无阻的结账体验。

我们发布了一个列有 SCA 实施时间表的最新信息的单独页面和一份指南,帮助您确定何时为客户增加验证程序。访问我们的网站,了解 Stirpe 的 SCA-ready 产品的更多信息。

什么是强客户认证?

强客户认证 (SCA) 是欧洲的新法规要求,旨在降低欺诈,打造更加安全地线上支付环境。要进行收款并满足 SCA 要求,您需要在您的支付流程中构建额外的验证程序。SCA 要求在认证时至少使用以下三个要素中的两种。

客户知道什么 (例如密码或 PIN)
客户有什么 (例如电话或硬件令牌)
客户是什么 (例如指纹或人脸识别)

(如果您想要查看 SCA 要求原文,请参见法规技术标准 或 RTS。)

银行需要拒绝要求强客户认证但不满足这些标准的付款。虽然该法规已于 2019 年 9 月 14 日引入,但我们预计要到 2020 年至 2021 年之间监管机构才会予以实施。

何时要求强客户认证?

强客户认证适用于欧洲范围内“由客户发起”的在线付款。因此,多数银行卡支付及所有的银行转账都要进行强客户认证。而定期直接扣款被视为“商家发起”,不要求进行强客户认证。除非接触性支付外,面对面银行卡支付也不受新法规的影响。

对于线上银行卡付款,这些要求适用于企业和持卡人银行都位于欧洲经济区 (EEA)的交易。(我们预计,无论脱欧结果如何,强客户认证都会在英国推行)。

如何验证一笔付款

目前,验证线上银行卡付款的最常用方法依赖的是 3D 安全验证——这是多数欧洲银行卡都支持的一种验证标准。应用 3D 安全验证通常会在银行给持卡人弹出结算页面之后增加一个额外的步骤,要求提供额外的信息来完成支付(例如,向其手机发送一次性代码或通过他们的手机银行进行指纹验证)。

3DS 2.0 验证——2019 年推行的新版认证协议——将成为验证线上银行卡支付且满足全新强客户认证要求的主要方式。新版带来了更好的用户体验,有助于将验证过程给结账流程带来的阻力降到最低。

Apple PayGoogle Pay 等其他基于银行卡的支付方式也已通过内置的验证层(生物特征识别或密码方式)支持支付流程。这些都为各公司在满足新要求的情况下提供无阻结账体验提供了极好的方式。

我们还预计很多常见的欧洲支付方式,例如,iDEALBancontactMultibanco,也会在不明显改变他们的用户体验的前提下满足全新的强客户认证规则。

强客户认证豁免条款

新规推出后,特定类型的低风险的付款可以免于进行强客户认证。处理支付的过程中,Stripe 等支付服务提供商能够申请此类豁免。然后持卡人的银行会收到此请求,评估交易的风险等级,最终决定是批准豁免还是仍需验证。

在您的结账流程中构建验证程序会增加额外的步骤,会增加阻力,从而增加客户流失率。使用低风险支付豁免可降低需验证某个客户的次数,进而减少这种阻力。我们已设计出我们全新的 SCA-ready 支付产品,可以让您充分利用这种豁免来保护您的转化率。

与互联网企业关系最密切的豁免是:

低风险交易

支付服务提供商(比如 Stripe)可进行实时风险分析,以确定是否对某次交易进行强客户认证。但其前提是支付提供商或银行的总体银行卡支付欺诈率不超过以下阈限:

  • 0.13%,100 欧元以下的交易豁免
  • 0.06%,250 欧元以下的交易豁免
  • 0.01%,500 欧元以下的交易豁免

这些阈限可适当转换为本地货币金额。

在支付提供商的欺诈率低于阈限而持卡人银行的欺诈率高于阈限的情况下,我们希望银行拒绝豁免,要求验证。

30 欧元以下的付款

这是小额付款可以使用的另一种豁免形式。30 欧元以下的交易被视为“小额交易”,可免于进行强客户认证。但在持卡人被豁免超过 5 次或之前的豁免总额超过 100 欧元后银行会要求进行验证。持卡人的银行需跟踪此豁免的使用次数,决定是否需要进行验证。

固定金额订阅

当客户向同一商家以同一金额进行一系列定期付款时,适用此豁免。但需对客户的首笔支付进行强客户认证——后续收款可免于进行。

商家发起的交易(包括变量订阅)

结账流程中不体现客户的信息时(有时称为“会话外”),用保存的卡付款可能就属于商家发起的交易。这些付款在技术上不属于强客户认证的要求范围。在实践中,将某笔支付标记为“商家发起的付款”类似于请求豁免。与其他形式的豁免一样,仍然由银行决定是否需要对交易进行验证。

要使用商家发起的交易,您需要在保存卡或进行首次支付时对银行卡进行验证。最后,您需要获得客户的同意(也称为“授权”),以便之后向其银行卡扣款。

可靠受益人

完成一笔支付的认证时,客户可以选择将其信任的商家加入白名单,避免其在未来购买时必须进行验证。然后这些商家会被列入“可靠受益人”列表,由客户的银行或支付服务提供商维护。

电话销售

通过电话收集的银行卡信息不属于强客户认证的范畴,不需要进行认证。这类支付有时被称为“邮寄订单和电话订单” (MOTO)。与豁免的付款类似,需要对 MOTO 交易进行这种标记——由持卡人的银行最终决定是接受还是拒绝交易。

企业支付

这种豁免适用范围包括用“住宿”卡(用于管理员工差旅费用的一种企业卡,直接由在线旅行社持有)进行的支付以及用虚拟卡号(也用于旅游行业)进行的企业支付。

豁免失败时会怎样?

虽然豁免会非常有用,但必须记住,最终仍然要由持卡人的银行决定是否准予豁免。对于因缺少验证而失败的付款,银行会返回新的拒付码。然后,此类支付会被重新提交给申请进行强客户认证的客户。在银行要求时,Stripe 的 SCA-ready 产品 会自动触发这一额外的验证程序。

如果贵公司受到了强客户认证的影响,建议您准备一套回退策略,以便应对豁免被拒绝及客户需要验证的情况。如果您在客户未主动出现在您的结账流程时(即,当他们未参与结账会话时)向其扣款并且客户需要返回您的网站或应用进行授权时,这一措施便显得尤为重要。阅读我们的强客户认证支付流程设计指南,了解更多信息。

Stripe 如何帮您满足强客户认证要求

新法规对欧洲的电子商务有着深远的影响。虽然我们预计这些要求还要等到 2020 年至 2021 年之间才会予以实施,但随着 SCA 在欧洲银行的实施力度逐渐增大,受影响的企业如果不为这些新的要求做好准备,会发现他们的转化率大大降低。

除了对 3DS 2.0 验证等新验证方式提供新的支持外,我们相信成功处理豁免会成为构建能够最小化阻力的一流支付体验的关键要素。 我们新的支付产品能够优化不同的监管机构、银行以及卡组织的规则并对低风险支付应用相应的豁免,只在必要时触发 3D 安全验证。并且,随着这些规则的变化,我们将能够维护并实时更新强客户认证逻辑——考虑每个国家的实施时间表。

我们已发布了新的基础性 Payments API,它利用 Stripe 的强客户认证逻辑应用了适当的豁免,只在必要时触发 3D 安全验证。我们的新 Checkout 以及 Stripe Billing 都基于这一 API 构建,可以在必要时动态应用 3D 安全验证。

了解更多 关于 Stripe 的 SCA-ready 产品的信息。如有任何问题或反馈,请联系我们

返回指南
You’re viewing our website for India, but it looks like you’re in the United States.