本指南中,我们将具体看一看这个被称作“强客户认证” (SCA) 的欧洲要求以及它们影响的付款类型。我们还将讲解低风险交易可使用的豁免,以实现无阻的结账体验。
我们还发布了一份指南,帮助您确定何时为客户增加验证程序。请访问我们的网站,了解 Stirpe 的 SCA-ready 产品的更多信息。
什么是强客户认证?
强客户认证 (SCA) 是欧洲的新法规要求,旨在减少欺诈,让线上和非接触式线下付款更加安全。要进行收款并满足 SCA 要求,您需要在结账流程中构建额外的验证程序。SCA 要求在验证时至少使用以下三个要素中的两种。
如果您想要查看 SCA 要求原文,请参见法规技术标准 或 RTS。银行需要拒绝要求强客户认证但不满足这些标准的付款。
何时要求强客户认证?
强客户认证适用于欧洲范围内“由客户发起”的在线付款和非接触式线下付款。因此,大多数银行卡付款及所有的银行转账都要进行强客户认证。而定期直接扣款被视为“商家发起的”交易,不要求进行强客户认证。
对于线上银行卡付款,这些要求适用于商家和持卡人银行都位于欧洲经济区 (EEA)的交易。
如何验证一笔付款
目前,验证线上银行卡付款的最常用方法依赖的是 3DS 验证——这是大多数欧洲银行卡都支持的一种验证标准。应用 3DS 验证通常会在银行给持卡人弹出结算页面之后增加一个额外的步骤,要求提供额外的信息来完成付款(例如,向其手机发送一次性验证码或通过他们的手机银行应用进行指纹验证)。
3DS 2.0 验证是验证线上银行卡付款且满足强客户认证要求的主要方式。此版本带来了更好的用户体验,有助于将验证过程给结账流程带来的阻力降到最低。
输入 PIN 后,线下付款通常就满足了验证要求。
Apple Pay 或 Google Pay 等其他基于银行卡的支付方式也已通过内置的验证层(生物特征识别或密码方式)支持支付流程。这些都为商家在满足新要求的情况下实现无阻结账体验提供了极好的方式。
我们还预计很多常见的欧洲支付方式,例如,iDEAL、Bancontact 或 Multibanco,也会在不明显改变他们的用户体验的前提下遵守强客户认证规则。
强客户认证豁免条款
新规推出后,特定类型的低风险的付款可以免于进行强客户认证。处理付款的过程中,Stripe 等支付服务商能够申请此类豁免。然后持卡人的银行会收到此请求,评估交易的风险等级,最终决定是批准豁免还是仍需验证。
在您的结账流程中构建验证程序会增加额外的步骤,增加阻力,从而增加客户流失率。使用低风险付款豁免可降低需验证某个客户的次数,进而减少这种阻力。我们已设计出 SCA-ready 支付产品,可以让您充分利用这种豁免来保护您的转化率。
与互联网企业关系最密切的豁免是:
低风险交易
支付服务商(比如 Stripe)可进行实时风险分析,以确定是否对某次交易进行强客户认证。但其前提是支付服务商或银行的总体银行卡付款欺诈率不超过以下阈限:
- 0.13%,100 欧元以下的交易豁免
- 0.06%,250 欧元以下的交易豁免
- 0.01%,500 欧元以下的交易豁免
这些阈限可适当转换为本地货币金额。
在支付服务商的欺诈率低于阈限而持卡人银行的欺诈率高于阈限的情况下,我们希望银行拒绝豁免,要求验证。
这是对于商家最有用且银行支持最广的一种豁免方式。Stripe Radar 的全面性、实时风险评估,可以让我们为用户获得这一豁免提供支持。
30 欧元以下的付款
这是小额付款可以使用的另一种豁免形式。30 欧元以下的交易被视为“小额交易”,可免于进行强客户认证。但在持卡人被豁免超过 5 次或之前的豁免总额超过 100 欧元后银行会要求进行验证。持卡人的银行需跟踪此豁免的使用次数,决定是否需要进行验证。
由于这一豁免的严格限制,低风险交易豁免会更适用于大多数支付。但是,对于我们的用户,我们定会支持这一豁免。
固定金额订阅
当客户向同一商家以同一金额进行一系列定期付款时,适用此豁免。但需对客户的首笔付款进行强客户认证——后续收款可免于进行。
我们预计这种豁免对订阅商家会非常有用,并且欧洲银行会广泛支持。我们会让 Stripe 用户享受这种豁免。如果您是用 Stripe Billing 创建订阅的,那么我们会在适用时自动应用这种豁免,并且会在客户的银行拒绝豁免时帮助管理验证请求。
商家发起的交易(包括变量订阅)
用保存的卡付款时,客户不参与到结账流程(有时称为“在会话外”),这种付款可能就属于商家发起的交易。这种付款在技术上不属于强客户认证的要求范围。在实践中,将某笔付款标记为“商家发起的付款”类似于请求豁免。与其他形式的豁免一样,仍然由银行决定是否需要对交易进行验证。
要使用商家发起的交易,您需要在保存银行卡或进行首次付款时对银行卡进行验证。最后,您需要获得客户的同意(也称为“授权”),以便之后向其银行卡扣款。
这对于依赖于延迟付款、收费金额变化的订阅或附加费用账单的商业模式是一种非常重要的使用案例。大多数欧洲银行都支持这一方式,一旦银行判定交易的风险较低即给予接受。
Stripe 的 API 可让您在保存银行卡以供将来使用时即完成银行卡的认证,并将后续付款标记为“商家发起的交易”。
可靠受益人
完成一笔付款的认证时,客户可以选择将其信任的商家加入允许列表,避免其在未来购买时必须进行验证。然后这些商家会被列入“可靠受益人”列表,由客户的银行或支付服务提供商维护。
虽然允许列表有可能会使重复购物或订阅对于客户更加方便,但银行采用这一功能的进度已放缓。在可以对用户应用这种豁免时,我们会予以支持。
电话销售
通过电话收集的银行卡信息不属于强客户认证的范畴,不需要进行认证。这类付款有时被称为“邮购和电话订购” (MOTO)。与豁免的付款类似,需要对 MOTO 交易进行这种标记——由持卡人的银行最终决定是接受还是拒绝交易。
这个使用案例对于接受电话支付的企业来说很重要,而且得到了银行的广泛支持。通过 Stripe 管理平台创建的付款会被自动标记为 MOTO 付款。
如果您的公司符合 PCI 规范且您已自行构建了自己的电话订购系统,则可以利用我们的支付 API,将付款标记为 MOTO。请联系我们,为您的 Stripe 账户启用此功能并访问技术文档。
企业付款
这种豁免适用范围包括用“住宿”卡(用于管理员工差旅费用的一种企业卡,直接由在线旅行社持有)进行的付款以及用虚拟卡号(也用于旅游行业)进行的企业付款。
由于其范围较窄,我们预计这一豁免在旅游行业之外实际用处并不大。豁免本身只能由持卡人的银行申请,因为无论是商家还是支付服务商(例如 Stripe)都不能检测某张银行卡是否属于这些类别。
豁免失败时会怎样?
虽然豁免会非常有用,但必须记住,最终仍然要由持卡人的银行决定是否准予豁免。对于因缺少验证而失败的付款,银行会返回新的拒付码。然后,必须向客户重新提交此类付款,并且要求进行强客户验证。在银行要求时,Stripe 的 SCA-ready 产品会自动触发这一额外的验证程序。
如果贵公司受到了强客户认证的影响,建议您准备一套应急策略,以便应对豁免被拒绝并且客户需要验证的情况。如果您在客户未主动出现在您的结账流程中时(即,当他们未参与结账会话时)向其收款并且客户需要返回您的网站或应用进行验证,这一措施便显得尤为重要。阅读我们的强客户认证支付流程设计指南,了解更多信息。
Stripe 如何帮您满足强客户认证要求
新法规对欧洲的电子商务有着深远的影响。随着 SCA 在欧洲银行的实施力度逐渐增大,受影响的企业如果不为这些新的要求做好准备,会发现他们的转化率大大降低。
除了对 3DS 2.0 验证等验证方式提供支持外,我们相信成功处理豁免会成为构建能够最小化阻力的一流支付体验的关键要素。
我们新的支付产品能够针对不同的监管机构、银行以及卡组织的规则进行优化并对低风险付款应用相应的豁免,只在必要时触发 3D 安全验证。并且,随着这些规则的变化,我们将能够维护并实时更新强客户认证逻辑——考虑每个国家的实施时间表。
我们已发布基础性 Payments API,它利用 Stripe 的强客户认证逻辑应用了适当的豁免,只在必要时触发 3DS 验证。Stripe Checkout 以及 Stripe Billing 都基于这一 API 构建,可以在必要时动态应用 3DS 验证。