强客户认证

互联网企业必知的欧洲条规

  1. 导言
  2. 什么是强客户认证?
    1. 何时要求强客户认证?
    2. 如何验证一笔付款
    3. 强客户认证豁免条款
    4. 豁免失败时会怎样?
    5. Stripe 如何帮您满足强客户认证要求

本指南中,我们将具体聊一聊这个被称作“强客户认证” (SCA) 的欧洲要求,及其涉及的支付类型。我们还会涵盖低风险交易可用豁免的相关内容,以打造顺畅无阻的结账体验。

我们还发布了另一份指南,帮助您针对 SCA 设计支付流程,确定何时为客户增加验证程序。请访问我们的网站,了解 Stirpe SCA 相关产品的更多信息。

什么是强客户认证?

强客户认证 (SCA) 是欧洲一项法规要求,旨在减少欺诈,让线上和非接触式线下付款更加安全。要进行收款并满足 SCA 要求,您需要在结账流程中构建额外的验证程序。SCA 要求至少验证以下三要素中的两项。

如果您想要查看 SCA 要求的原文,请参见法规技术标准 (缩写为 RTS)。对于要求 SCA 但无法满足其标准的付款,银行必须拒付。

何时要求强客户认证?

强客户认证适用于欧洲范围内“由客户发起”的线上付款和非接触式线下付款,因此大多数银行卡付款及所有的银行转账都要进行强客户认证。相反,经常性直接借记扣款被视为“由商家发起”的交易,不要求进行强客户认证。

对于线上银行卡付款,这些要求适用于商家和持卡人银行都位于欧洲经济区 (EEA) 的交易。

如何验证一笔付款

目前,验证网上银行卡付款的最常用方法依赖的是 3DS 验证——这是大多数欧洲银行卡都支持的一种验证标准。应用 3DS 验证通常是在结算页面之后增加一个额外验证步骤,银行会弹窗提示持卡人提供额外的信息来完成付款,例如向其手机发送一次性验证码,或在他们的手机银行应用程序中进行指纹验证。

3DS 2.0 验证是验证线上银行卡付款且满足强客户认证要求的主要方式。此版本带来了更好的用户体验,有助最大程度降低验证过程给结账流程带来的阻力。

线下银行卡付款一般通过输入 PIN 码来满足验证要求。

Apple Pay 或 Google Pay 等其他基于银行卡的支付方式也已通过内置的验证层(生物特征识别或密码)支持了支付流程。这些付款方式有效帮助了商家在满足 SCA 要求的情况下,实现无阻结账体验。

我们还预计很多常见的欧洲支付方式,例如 iDEALBancontactMultibanco,也会在不明显改变用户体验的前提下实施强客户认证规则。

强客户认证豁免条款

在此法规管辖之下,特定类型的低风险付款可以免于进行强客户认证。处理付款的过程中,Stripe 等支付服务商能够申请此类豁免,持卡人的银行随之会收到此请求,评估交易的风险等级,最终决定是否批准豁免还是仍需验证。

在您的结账流程中构建验证程序会增加额外的步骤,平添付款阻力,从而导致客户流失率上升。使用低风险付款豁免可减少特定客户的验证次数,进而减少这种阻力。我们已设计出 SCA-ready 支付产品,可以让您充分利用这种豁免来保护您的转化率。

与互联网企业关系最密切的豁免条款包括:

低风险交易

支付服务商(比如 Stripe)可进行实时风险分析,以确定是否对某次交易进行强客户认证,但其前提是支付服务商或银行的总体银行卡付款欺诈率不超过以下阈值:

  • 0.13%,可获 100 欧元以下的交易豁免
  • 0.06%,可获 250 欧元以下的交易豁免
  • 0.01%,可获 500 欧元以下的交易豁免

这些阈值可适当转换为本地货币金额。

对于支付服务商的欺诈率低于阈值,而持卡人银行的欺诈率高于阈值的情况,我们预计银行会拒绝豁免,要求验证。

这是对于商家最有用且银行支持最广的一种豁免方式。Stripe Radar 具备综合实时的风险评估能力,可以为用户获得这一豁免提供支持。

30 欧元以下的付款

这是小额付款可以使用的另一种豁免形式。30 欧元以下的交易被视为“小额交易”,可免于进行强客户认证。但在持卡人被豁免超过 5 次,或之前的豁免总额超过 100 欧元后,银行会要求进行验证。持卡人的银行需跟踪此豁免的使用次数,决定是否需要进行验证。

由于小额交易豁免的严格限制,低风险交易豁免可能会适用于更多数的支付。然而,对于我们的用户,我们仍支持这一豁免规则。

固定金额订阅

当客户向同一商家以相同金额进行一系列经常性付款时,适用此豁免。客户的首笔付款需进行强客户认证,但后续扣款可豁免。

我们预计这种豁免对订阅商家会非常有用,并且欧洲银行会广泛支持。我们会让 Stripe 用户享受这种豁免。如果您是用 Stripe Billing 创建订阅的,那么我们会在适用时自动应用这种豁免,并且会在客户的银行拒绝豁免时帮助管理验证请求。

由商家发起的交易(包括变量订阅)

使用保存的银行卡付款,但客户不参与到结账流程(有时称为“在会话外”),这种付款可能就属于“由商家发起”的交易。这种付款在技术上不属于强客户认证的要求范围。在实际操作中,将某笔付款标记为“商家发起的付款”类似于请求豁免。与其他形式的豁免一样,仍然由银行决定是否需要对交易进行验证。

要使用商家发起的交易,您需要在保存银行卡或进行首次付款时对银行卡进行验证。最后,您需要获得客户的同意(也称为“授权”),以便之后向其银行卡扣款。

这对于依赖于延迟付款、收费金额变化的订阅或附加费用账单的商业模式是一种非常重要的使用案例。大多数欧洲银行都支持这一方式,一旦银行判定交易的风险较低即给予接受。

Stripe 的 API 可让您在保存银行卡以供将来使用时即完成银行卡的认证,并将后续付款标记为“商家发起的交易”。

可靠受益人

完成一笔付款的认证时,客户可以选择将其信任的商家加入允许列表,避免其在未来购买时必须进行验证。然后这些商家会被列入“可靠受益人”列表,由客户的银行或支付服务商维护。

虽然允许列表可以令顾客的重复购物或订阅体验更加便捷,但银行采用这一功能的进度一直较缓慢。在可用的情况下,我们会向用户提供这种豁免支持。

电话销售

通过电话收集的银行卡信息不属于强客户认证的范畴,不需要进行认证。这类付款有时被称为“邮购和电话订购” (MOTO)。与豁免的付款类似,需要对 MOTO 交易进行这种标记——由持卡人的银行最终决定是接受还是拒绝交易。

这个使用案例对于接受电话支付的企业来说很重要,而且得到了银行的广泛支持。通过 Stripe 管理平台创建的付款会被自动标记为 MOTO 付款。

如果您的公司符合 PCI 规范且您已自行构建了自己的电话订购系统,则可以利用我们的支付 API,将付款标记为 MOTO。请联系我们,为您的 Stripe 账户启用此功能并访问技术文档。

企业付款

这种豁免适用范围包括用“住宿”卡(用于管理员工差旅费用的一种企业卡,直接由在线旅行社持有)进行的付款,以及用虚拟卡号(也用于旅游行业)进行的企业付款。

由于其范围较窄,我们预计这一豁免在旅游行业之外实际用处并不大。豁免本身只能由持卡人的银行申请,因为无论是商家还是支付服务商(例如 Stripe)都不能检测某张银行卡是否属于这些类别。

豁免失败时会怎样?

虽然豁免会非常有用,但必须记住,最终仍然要由持卡人的银行决定是否准予豁免。对于因缺少验证而失败的付款,银行可能会返回新的拒付码。然后,必须向客户重新提交此类付款,并且请求进行强客户验证。在银行发出请求时,Stripe 的 SCA-ready 产品会自动触发这一额外的验证程序。

如果贵公司受到了强客户认证的影响,建议您准备一套备用方案,以便应对豁免被拒、客户需要验证的情况。如果您在向客户收款时客户未主动参与结账流程(即他们“在会话外”),客户本人需要返回您的网站或应用进行验证,这套备用方案便显得尤为重要。请阅读我们的强客户认证支付流程设计指南,了解更多信息。

Stripe 如何帮您满足强客户认证要求

新法规对欧洲的互联网商务企业有着深远的影响。随着 SCA 在欧洲银行的实施力度逐渐增大,受影响的企业如果不为这些新的要求做好准备,会发现他们的转化率大大降低。

除了对 3DS 2.0 验证等验证方式提供支持外,我们相信,成功处理豁免是构建一流无阻力支付体验的关键要素。我们的支付产品能够针对不同的监管机构、银行以及卡组织的规则进行优化,并对低风险付款应用相应的豁免,只在必要时触发 3DS 安全验证。并且,随着这些规则的变化,我们将持续维护并实时更新强客户认证逻辑,充分考虑到每个国家的 SCA 实施时间表。

我们已发布基础性支付 API,它利用 Stripe 的强客户认证逻辑应用了适当的豁免,只在必要时触发 3DS 验证。Stripe Checkout 以及 Stripe Billing 都基于这一 API 构建,可以在必要时动态应用 3DS 验证。

了解更多有关 Stirpe 的 SCA-ready 产品信息。如有任何疑问或反馈,请联系我们

准备好开始了?联系我们或创建账户。

马上创建账户,就能开始收款——不需要签合同,也不需要填写银行信息。您也可以联系我们,为您的业务量身定制最合适的套餐。