欧洲支付格局正在经历一场巨变。如今,所有符合条件的欧洲国家和地区都已全面实施强客户认证 (SCA) 要求,代表着 SCA 时代全面来袭。
为满足 SCA 要求,电子支付和账户访问都需要采用双重验证。没有这层额外的安全保障,许多支付可能会被银行拒之门外。为此,Stripe 设计了革新性的基础性支付 API,不仅帮助广大商家应对这一变化,还能巧妙利用一切可能的 SCA 豁免机会。Stripe 的智能身份验证引擎会为每笔交易自动选择最佳验证流程,在提高转化率的同时,有效遏制欺诈行为。
本指南将为您详细解析 SCA 如何影响各类支付流程,助您设计出既合规又高效的支付体验。
在线银行卡支付的新变化
传统的银行卡支付流程通常包含两个主要步骤:授权和捕获。客户的账户所属银行或发卡行决定批准一笔付款,视为授权;对银行卡执行扣款,则为捕获。
随着 SCA 的实施,这个流程新增了一个强制性步骤:验证。这一步骤旨在提高安全性,防范欺诈行为。在验证过程中,客户需回应其账户所属银行的信息请求,并提供额外的身份证明。这可能是客户已知的信息,例如密码;可能是他们使用的设备,例如电话;也可能是身份特征信息,例如指纹。
3DS 验证是最常见的在线银行卡身份验证方式,您或许听说过它的品牌名称,如 “Visa Secure” 或 “Mastercard Identity Check”。目前,更先进的 3DS 2.0 已成为主流验证方式。如需了解更多细节,请参阅我们的 3DS 2.0 验证指南。值得一提的是,Stripe 的所有 SCA 兼容产品都支持 3DS 2.0。
无论采用哪种验证方式,客户都需要在您的网站或应用中完成身份验证。对于直接收款的企业来说,添加这一步骤相对简单。但对于那些在客户离开结账流程后才收款的企业(有时称作“会话外”收款),这个过程可能会稍显复杂。
为帮助您更好地理解这三个步骤(验证、授权和捕获)如何随收款方式和时间而变化,本指南将列举几个典型场景,为您提供清晰的指引。
AUTHENTICATE
(验证)
客户响应银行的 3DS 验证提示并提供额外信息来对在线支付进行身份验证。从客户的角度了解 3DS 验证。
如果支付不符合豁免条件,或客户的银行拒绝了豁免请求,则需要进行多因素验证。我们的新支付 API 会在添加验证步骤前自动请求任何符合条件的豁免。这简化了结账流程,同时还保护了转化率。
须知:验证操作需在客户处于会话内时进行,或使用您的网站或应用,因此这一步通常在客户填写结账表单时进行。
AUTHORIZE
(授权)
商家要求客户的银行批准支付:客户的银行决定是批准还是拒绝支付。如果批准,则资金被扣留七天。如果授权请求被拒绝,则您的公司需通过某种方式让客户返回到会话来重新验证付款,然后再次尝试授权。
须知:验证后,客户的账户所属银行仍有可能拒绝授权请求。例如,客户余额不足或银行卡过期时就可能发生这种情况。
最多 7 天
授权与捕获之间的标准时间间隔可能会长达七天,但大多数商家会在授权后立即捕获付款。
CAPTURE
(捕获)
公司对客户的银行卡扣款,完成支付。
须知:若付款已获授权但尚未捕获,客户的银行账单可能会显示该笔交易为“待处理”状态。
了解豁免
部分特定类型的付款可免于进行强客户认证 (SCA),这包括低风险交易、固定金额订阅、电话销售以及商家发起的交易等。所谓“商家发起的交易”,是指客户在“会话外”的状态下使用预先保存的银行卡进行的付款。常见例子有健身房会员费和水电燃气账单等定期扣款。要使用这些豁免,商家必须事先获得客户的同意,并在客户首次保存银行卡信息或进行首笔支付时完成验证。如果您想深入了解这些豁免及其他相关细节,欢迎查阅我们的强客户认证指南,其中提供了更为全面的解释。
Stripe 的 SCA 兼容支付 API 和产品能够自动申请这些豁免,帮助商家充分把握每个商机。一旦客户的发卡银行批准豁免,客户就无需再进行额外验证,从而最大限度地降低对转化率的影响。
然而,商家仍需在设计支付流程时做好准备,以应对豁免申请被拒的情况,确保能够及时对客户进行身份验证。这一点尤为重要,因为豁免规则的具体执行取决于客户的发卡银行。每家银行都会独立评估每笔交易,并根据自身标准决定是否给予豁免——不同银行在应用豁免时可能采取不同的做法。
商业应用场景
为了说明 SCA 的影响和具体应用,我们针对不同的商业模式,对支付流程中的验证步骤进行了简要说明。
电商
一次性付款,不保存银行卡。
电商商家通常会在客户处于“会话内”时完成收款,不保存银行卡信息以供将来付款之用。如果贵司的支付流程与此类似,则添加验证的过程很简单:在客户输入了银行卡信息并下单之后随即进行 3DS 验证即可。
Stripe 会自动请求任何符合条件的豁免,这样您的客户可能不需要进行身份验证。但由于个别银行会以不同方式来应用豁免,因此贵公司仍然需要设计支付流程,在必要时验证客户。
下单:Elisa 输入她的银行卡信息和配送信息。总额为 €29,包含税款。
AUTHENTICATE
通过 3DS 验证对 €29 进行验证:Elisa 完成 3DS 验证。
注意: Stripe 自动请求豁免。如果 Elisa 的银行准予豁免,那么她就不必完成 3DS 验证。
AUTHORIZE
授权 €29
CAPTURE
捕获 €29
发货
建议产品
请选择一个选项:
Stripe Checkout
用最少的代码获取预构建且会话得到优化的结账流程。
支付 API
构建动态支付流程并最大程度使用豁免。
网约车
付款在授权后的七天内捕获,最终金额可能会有所变动。
网约车公司和其他按需服务平台通常会在授权后的七天内完成付款,因此最终金额可能会有所浮动。如果贵司的支付流程与此类似,则可以在客户叫车时立即进行 3DS 验证,因为此时用户仍在“会话中”。如果最终金额超过最初验证的金额,则客户需要对上浮金额进行再次验证,除非当地政策允许一定幅度的差异。如果最终金额低于最初验证的金额,则无需再次验证。
处理这种支付流程的另一种方法是:在客户初次下单时验证并授权一个较高的金额。这样,如果用户后续想要添加小费,只要总金额不超过已验证的金额,就无需再次验证身份。不过,这种方法也有缺点:预先验证较高金额可能会让对价格敏感的用户望而却步。
请求拼车:Sami 打开应用并请求拼车,费用为 €20。
AUTHENTICATE
通过 3DS 验证对 €20 进行验证:Sami 完成 3DS 验证。
注意: Stripe 自动请求豁免。如果 Sami 的银行准予豁免,那么他就不必完成 3DS 验证。
AUTHORIZE
授权 €20
接上乘客并送达目的地:一个司机接上 Sami 并送到目的地。
添加小费:他打开应用,给司机打分,并添加 €3 的小费。
AUTHENTICATE
通过 3DS 验证对 €23(€20 拼车 + €3 小费)进行验证:Sami 完成 3DS 验证。
注意: Stripe 自动请求豁免。如果 Sami 的银行准予豁免,那么他就不必完成 3DS 验证。
CAPTURE
捕获 €23
注意:捕获 €23 的同时会取消掉先前授权的 €20。
建议
支付 API
构建动态支付流程并最大程度使用豁免。
众筹付款流程
付款在授权后的七天以后捕获。
众筹平台通常会在授权后的七天以后捕获付款。每次众筹都会有一定的持续时间,而捕获付款会在活动成功后执行。如果贵司的支付流程与此类似,则可以在客户承诺支持活动之时进行 3DS 验证,然后在活动成功结束时再授权并捕获。如果验证失败,则需要让客户返回会话并重新验证。
付款成功
发起活动
给予承诺:
Luka 对活动给予支持并承诺捐出 €40。
AUTHENTICATE
通过 3DS 验证对银行卡进行验证:
Luka 在输入银行卡信息后完成 3DS 验证。
30 天过去
活动完成:
活动成功结束时 Luka 的银行卡被扣款。
AUTHORIZE
尝试授权 €40
AUTHENTICATE
通过 3DS 验证对 €40 进行验证:
Luka 完成 3DS 验证。
AUTHORIZE
授权 €40
CAPTURE
捕获 €40
付款失败
发起活动
给予承诺:
Luka 对活动给予支持并承诺捐出 €40。
AUTHENTICATE
通过 3DS 验证对银行卡进行验证:
Luka 在输入银行卡信息后完成 3DS 验证。
30 天过去
活动完成:
活动成功结束时 Luka 的银行卡被扣款。
AUTHORIZE
尝试授权 €40
DECLINE
因银行卡过期授权失败,需重新验证。
发送邮件:
Luka 打开众筹网站发来的邮件并点击邮件中的链接。
更新信息:
他返回众筹平台并输入新的银行卡信息。
AUTHENTICATE
通过 3DS 验证对 €40 进行验证:
Luka 完成 3DS 验证。
AUTHORIZE
授权 €40
CAPTURE
捕获 €40
建议
支付 API
构建动态支付流程并最大程度使用豁免。
汽车租赁
付款在授权后的七天以后捕获,最终付款金额可能有所变化。
汽车租赁公司通常在授权后的七天以后捕获付款,且由于折扣、升级,或取还车时的附加服务,最终付款金额可能会上下浮动。如果贵司的支付流程与此类似,则可以将付款金额分成若干独立的收款——保存银行卡时对银行卡进行 3DS 验证,然后再授权和捕获租赁费用以及各项杂费。
订车:假期将至,Emma 去租车。
AUTHENTICATE
通过 3DS 验证对银行卡进行验证:Emma 在输入银行卡信息后完成 3DS 验证。
取车
超过 7 天过去了
还车:她还掉车,但未加油,产生 €50 的费用。
AUTHORIZE
授权 €350(预约)
授权 €50(燃油费)
CAPTURE
捕获 €350(预约)
捕获 €50(燃油费)
建议
支付 API
构建动态支付流程并最大程度使用豁免。
健身房会员
固定金额,定期扣款。
健身房会员费通常是固定金额的定期扣款,且常常以免费试用期作为开端。
所谓“商家发起的交易”,是指客户在“会话外”的情况下用其保存的银行卡进行付款。要获得资格,您的公司必须要与客户达成协议,并在他们保存银行卡或验证首笔付款时让其验证他们的银行卡。
需要特别注意的是,这种豁免并非百分百保证,后续的付款可能仍需要验证。由于不同银行可能对豁免有不同的处理方式,建议您在设计支付流程时,考虑如何让客户能够方便地重新登录并完成验证。
付款成功
会员开始:
Imani 输入她的邮箱和银行卡信息,在当地健身房办了一张会员卡,每月费用 €50。
AUTHENTICATE
通过 3DS 验证对 €50 进行验证:
Imani 完成 3DS 验证。
AUTHORIZE
授权 €50
CAPTURE
捕获 €50
30 天过去
会员继续有效:
Imani 经常上健身课并去健身房。
AUTHORIZE
授权 €50:
该笔付款不需要验证,因为 Imani 的账户所属银行已同意豁免“固定金额订阅”和“商家发起的交易”。
CAPTURE
捕获 €50
付款失败
试用开始:
Imani 在当地健身房办了会员,每月费用为 €50。她输入邮箱和信用卡信息,会员将于 7 天试用后立即生效。
AUTHENTICATE
通过 3DS 验证对 €50 进行验证:
Imani 完成 3DS 验证。
7 天过去
试用结束,会员开始:
试用结束后自动对 Imani 的银行卡进行扣款。
AUTHORIZE
授权 €50
CAPTURE
捕获 €50
30 天过去
会员继续有效:
Imani 经常上健身课并去健身房。
AUTHORIZE
尝试授权 €50
DECLINE
授权失败,需重新验证
发送邮件:
Imani 打开邮件并点击链接。
更新信息:
她返回健身房的网站并输入新的银行卡信息。
AUTHENTICATE
通过 3DS 验证对 €50 进行验证:
Imani 完成 3DS 验证。
AUTHORIZE
授权 €50
CAPTURE
捕获 €50
建议产品
请选择一个选项:
Stripe Billing
管理您的订阅并充分利用自动化工具来满足 SCA-ready。
支付 API
构建动态支付流程并最大程度使用豁免。
公用事业账单
计量计费,定期付款。
公用事业账单属于定期付款,且由于是计量收费,每月金额可能不断变化。如果贵司的支付流程与此类似,则需要在客户保存其银行卡并设置自动付款时进行 3DS 验证。为此,客户需要在交易之外完成 3DS 验证。
必须注意,豁免并无保证,后续付款可能仍要求验证。个别银行可能以不同方式来应用豁免,因此您可能需要设计支付流程,在必要时让客户返回会话来重新验证。
有豁免时的付款流程
账户设置:
Salim 搬到一间新公寓,并且注册自动支付每月水电燃气账单。
保存银行卡:
Salim 向账户添加一张银行卡。
AUTHENTICATE
通过 3DS 验证自动确认账单:
Salim 完成 3DS 验证。
30 天过去
收到账单:
Salim 收到水电燃气公司的邮件,告知其需支付 €63 的定期款项。
AUTHORIZE
授权 €63:
水电燃气公司授权 €63 收款并请求豁免商家发起的交易。
Salim 的银行准予豁免并授权。
CAPTURE
捕获 €63
30 天过去
收到账单:
Salim 收到水电燃气公司的邮件,告知其需支付 €91 的定期款项。
AUTHORIZE
尝试授权 €91:
水电燃气公司尝试授权 €91 并请求豁免商家发起的交易。
DECLINE
授权失败,需重新验证
发送邮件:
Salim 收到水电燃气公司通过电子邮件发送的 €91 的账单,点击邮件中的链接。
AUTHENTICATE
通过 3DS 验证对 €91 进行验证:
Salim 完成 3DS 验证。
AUTHORIZE
授权 €91
CAPTURE
捕获 €91
无豁免时的付款流程
收到账单:
Salim 收到物业公司通过电子邮件发送的 €63 的账单,点击邮件中的链接。
AUTHENTICATE
通过 3DS 验证对 €63 进行验证:
Salim 完成 3DS 验证。
AUTHORIZE
授权 €63
CAPTURE
捕获 €63
30 天过去
收到账单:
Salim 收到物业公司通过电子邮件发送的 €91 的账单,点击邮件中的链接。
AUTHENTICATE
通过 3DS 验证对 €91 进行验证:
Salim 完成 3DS 验证。
AUTHORIZE
授权 €91
CAPTURE
捕获 €91
建议产品
请选择一个选项:
Stripe Billing
管理您的订阅并充分利用自动化工具来满足 SCA-ready。
支付 API
构建动态支付流程并最大程度使用豁免。