修订后的《支付服务指令》(PSD2) 是一项欧洲法规,旨在提高在线支付的安全性,同时支持金融服务领域的竞争。PSD2 于 2016 年生效,是对 2007\ 年设立的原始 PSD 的更新。PSD2 包含多项条款,其中要求银行向第三方支付服务商 (TPP) 开放自身支付服务与客户数据,以此推动创新金融产品与服务的研发落地。法规同时强制推行强客户认证。新版验证措施本应于 2019 年 9 月全面落地,部分国家/地区选择延后执行或分阶段推行,最终合规截止时间为 2020 年末。
PSD2 是一项重要的立法,正在重塑欧洲数字支付的运作方式。下面,我们将介绍该立法中包含的内容,它如何影响金融业,以及企业需要了解哪些内容来遵守 PSD2。
本文内容
- PSD2 的主要目标
- PSD2 的主要组件是什么?
- 如何保持合规:PSD2 检查清单
- PSD2 如何影响金融业
- PSD2 对客户和企业的好处
- 与 PSD2 相关的挑战和担忧
- Stripe Payments 如何提供帮助
PSD2 的主要目标
PSD2 专注于通过更强大的安全性和更具竞争力的产品/服务来改善零售支付市场。以下是此更新后的欧盟标准的主要目标:
市场竞争:通过开放对客户数据的访问,PSD2 鼓励新的参与者(如金融科技公司)进入市场并提供创新的金融服务。这有利于推动竞争,带来更好的产品和服务。
安全性:PSD2 引入了更严格的在线支付安全要求,例如强客户认证 (SCA)。这有助于减少欺诈行为,保护客户的财务数据。
消费者保护:PSD2 使客户能够更好地控制其财务数据,并加强处理投诉的程序,从而实现更快、更有效的解决方案。
综合支付市场:PSD2 通过标准化整个欧盟的支付法规,创造了一个更加一体化而高效的欧洲支付市场。这简化了企业和客户的跨境付款和收款流程。
PSD2 的主要组件是什么?
PSD2 影响多个关键领域,重塑欧洲支付服务的运作方式。以下是 PSD2 的主要组成部分:
SCA:SCA 要求对大多数在线交易进行多重身份验证,以最大限度减少数字支付中的欺诈行为。这可能涉及使用客户知道的东西(如密码)、他们拥有的东西(如手机)和他们本人的东西(如指纹)进行验证。
开放式银行:PSD2 要求银行允许 TPP 在征得客户同意的情况下访问客户的银行账户。账户访问 (XS2A) 服务支持开放式银行。通过开放式银行,客户可以使用金融科技公司的服务来管理他们的财务、支付账单,甚至进行投资,所有这些都直接从他们的银行账户进行。
TPP:客户有权使用支付发起服务提供者 (PISP) 和账户信息服务提供者 (AISP)。PISP 可以代表用户发起付款,而 AISP 可以为用户提供来自不同银行账户的综合信息。
透明度:PSD2 提高了费用的透明度。它对如何向用户传达收费提出了严格的要求,并确保用户不会因产生意外费用而受到影响,尤其是在跨境支付中。
责任和退款:PSD2 阐明了支付交易中涉及的所有各方的责任和义务。这包括更明确的规则,规定客户在出现问题时如何以及何时获得退款,例如在未经授权的交易的情况下。
附加费禁令:PSD2 禁止对银行卡支付收取附加费。这意味着欧盟的企业不能对使用信用卡或借记卡收取额外费用。
如何保持合规:PSD2 检查清单
遵守 PSD2 是一项持续的多方面挑战,需要深思熟虑的策略。欧洲经济区 (EEA) 30 个成员国,以及摩纳哥和英国,均需遵守该项合规要求。摩洛哥虽不属于欧盟及欧洲经济区成员国,但该国也参照 PSD2 制定了本土化的客户身份验证要求。下面介绍企业如何管理和保持合规性。
强客户认证 (SCA)
实施基于风险的身份验证:考虑实施基于风险的身份验证,该身份验证会根据每笔交易进行调整,并在任何内容被标记为异常时添加额外的安全检查。
添加行为生物识别:考虑将行为生物识别技术添加到您的强客户认证 (SCA) 工具包中。这会跟踪用户如何自然地与网站或应用互动(例如,他们如何输入、如何浏览您的网站),以便在用户未察觉的情况下验证身份。这样可以为客户提供更强大的安全保护,同时减少了麻烦。
API 和安全性
部署自适应 API 网关:使用可以实时调整安全措施的 API 网关。这些网关应该足够智能,可以根据正在访问的数据类型调整保护级别。
采用零信任模型:使用零信任模型,在这种模型中,即使是在您的网络内,也不会自动信任任何人。要求每个请求都经过身份验证和授权,并严格分段,以便用户只能访问他们需要的内容。
数据治理
合规监管自动化:投资可自动监控您是否符合 PSD2 要求的软件。该系统可监视数据处理做法,并在潜在问题变得严重之前对其进行标记。它还简化了审计流程。
对客户数据进行匿名化与令牌化处理:匿名化和令牌化敏感的客户信息。通过将真实数据转换成对任何可能截获数据的人都毫无用处的东西,即使在共享数据时也能增加一道额外的保护。
使用技术
监管技术 (RegTech):研究旨在处理 PSD2 要求的 RegTech 解决方案。这些平台有助于管理多项任务,包括报告和风险管理。
合规即服务 (CaaS):如果扩大监管合规工作是一项挑战,请考虑与 CaaS 提供商合作。这些服务提供现成的解决方案,可以跟上法规的变化,让您无需在内部构建即可保持合规性。
适应性和敏捷性
建立敏捷合规框架:构建敏捷的合规框架,快速响应 PSD2 的变化或新的安全威胁。这可能涉及定期冲刺,您的团队会评估最近的更新,并对您的策略和技术堆栈进行必要的调整。
行业合作:参与行业团体和论坛,及时了解 PSD2 的最佳实践和变化。与同行合作,保持领先趋势,并分享以在不断变化的监管环境中保持合规的策略。
客户沟通
积极主动地教育客户:通过定制的沟通方式吸引客户。利用数据洞察来细分受众,并通过个性化的应用内消息、有针对性的网络研讨会或详细的常见问题解答来提供特定的教育工作。
将强客户认证集成到用户体验 (UX) 设计中:通过将 PSD2 要求集成到您的用户体验 (UX) 设计中来优化客户体验。测试不同的身份验证方法,在安全性和便利性之间找到适当的平衡,并使用分析来不断改进用户旅程。
风险管理
使用动态、实时风险评分:开发可实时适应的风险评分模型,并使用最新数据来预测和防范合规风险。集成机器学习,从被动方法转变为预测性方法,并在问题升级之前发现问题。
持续评估第三方提供商 (TPP):随着时间的推移,持续监控第三方提供商的合规性和安全实践。自动化工具可以帮助您掌握其风险状况的任何变化。
PSD2 如何影响金融业
PSD2 引入了额外的监管要求,增加了竞争,并通过赋予客户对其数据的更大控制权来增强客户的能力。以下是 PSD2 对欧洲金融业的影响:
竞争加剧:PSD2 降低了金融科技公司的准入门槛,使其能够提供原先仅由传统银行专营的服务。这一举措催生了大量贴合个性化客户需求的创新金融产品与服务。
转向开放式银行:PSD2 通过要求银行提供允许 TPP 访问客户账户的应用程序编程接口 (API),加速了开放式银行的采用。这使得客户能够使用单一界面跨多个银行和平台管理他们的资金。
增强的安全措施:PSD2 的 SCA 要求迫使金融业对在线交易采取更严格的安全措施。这使欧洲的多重身份验证采用率得到提升。
监管负担:PSD2 给金融机构带来了沉重的监管负担。银行和支付服务商必须采取措施,例如升级其 IT 基础设施和实施新的安全协议,以确保合规性。
客户赋能:PSD2 赋予客户对其财务数据和选择的更多控制权,从而增强了客户的自主权。在 PSD2 下,客户可以使用第三方服务来管理他们的财务,不再受制于一家银行来满足所有的财务需求。
战略调整:PSD2 迫使传统银行重新思考其战略。他们必须与金融科技公司合作才能在瞬息万变的金融领域保持相关性,要么将第三方服务集成到他们的产品中,要么开发自己的解决方案。
情境事务管理:尽管 PSD2 的合规要求适用于绝大多数交易场景,但仍存在多项豁免情形。例如,电话付款、纸质邮寄付款,在该指令中不属于电子支付范畴。其余 PSD2 要求豁免场景还包括:商户发起交易、匿名方式支付,以及单边境外交易—— 即付款方开户行或商户开户行其中一方,位于欧洲经济区或欧盟境外的交易。
PSD2 对客户和企业的好处
PSD2 为客户和企业提供了更多的财务选择并降低了交易成本。以下是 PSD2 为这两个群体带来的好处。
PSD2 对客户的好处
增强欺诈保护:PSD2 的 SCA 要求为在线交易中的客户信息提供了更强大的保护。
更智能的资金管理工具:PSD2 有利于开发更多的金融工具和服务,通过全面的概览和数据驱动的宝贵洞见,帮助客户更好地管理他们的资金。
减少隐藏费用: PSD2 保护客户免受隐藏费用影响,尤其针对国际支付,并禁止企业对借记卡、信用卡及 SEPA 直接借记业务额外收取附加费。
加强对个人数据的控制:客户有权控制谁可以使用和访问他们的财务数据,并可以选择随时撤销访问权限。
PSD2 对企业的好处
加速创新,开拓新增收益渠道:PSD2 允许企业利用新功能和服务,从而优化内部流程、改善客户体验并创造新的收入来源。
更灵活、高性价比的支付方案:PSD2 增加了可用支付方式的数量,使企业能够为客户提供更大的灵活性,并使交易更快捷、更经济、更安全。
更强的客户忠诚度:企业可以开发现代支付解决方案,并使用新技术来建立更牢固的客户关系和忠诚度。
更智能的数据驱动型决策:企业可以通过 AISP 获得更详细的财务数据,使用这些数据为客户打造更加个性化的服务。
降低数据处理成本:PSD2 可以通过消除传统支付网络的银行卡附加费和交易费用来帮助企业节省资金。
与 PSD2 相关的挑战和担忧
虽然 PSD2 提供了许多好处,但也带来了挑战。以下是客户和企业在 PSD2 下遇到的一些常见障碍。
客户面临的挑战
铺天盖地的选择:在充满各种新服务和应用的市场中,用户可能很难找到可靠的 TPP。
数据隐私问题:更多的提供商可以访问 PSD2 下的用户数据。这可能会引起对数据安全的担忧。
用户体验问题:SCA 要求可能会让用户感到沮丧,因为它会引入额外的步骤,例如输入代码和使用指纹。
企业面临的挑战
监管合规成本:为满足 PSD2 标准,企业在升级系统和保护数据安全方面可能面临高昂成本。这可能是一个沉重的负担,特别是对于资源有限的企业。
竞争加剧:传统银行和老牌金融机构必须迅速适应,否则就有可能将客户拱手让给更新、更灵活的金融科技公司。这使得企业处在艰难的环境中,只有适应性最强的企业才能蓬勃发展。
集成挑战:企业必须具备技术专长,才能在不中断运营的情况下将第三方服务集成到现有系统中。
安全风险:企业必须在保护客户数据方面保持警惕,并确保与之共享金融数据的 TPP 同样致力于数据安全。
客户教育:企业必须帮助客户了解与 PSD2 相关的变化,例如为什么他们在付款过程中被要求执行额外步骤,以及为什么新应用现已成为金融生态系统的一部分。这需要清晰的沟通和有效的客户支持。
不合规的风险是什么?
交易拒绝:欧洲经济区的发卡行有义务拒付不符合 PSD2 安全要求的交易。这可能导致任何不符合强客户认证 (SCA) 指南的交易被“硬拒绝”。
监管罚款:欧洲经济区的监管机构可对 PSD2 不合规处以重罚。虽然罚款和罚金因管辖区而异,但部分组织或将面临最高达年度营收 4% 的罚金。
法律与欺诈风险:若未合规落实强客户认证 (SCA) 要求,企业将面临额外责任与法律风险,包括欺诈拒付相关调查,或是因违反附加费禁令,直接触发消费者维权处罚。
营收损失风险:除监管与法律风险外,不合规还会损害企业收入。交易遭拒、结账流程繁琐,会直接导致转化率下降、购物车弃单率升高等负面影响。
声誉损害:不合规行为会损害企业在注重安全的客户心中的信誉。此外,提交不合规或欺诈性交易,会导致卡组织将企业划入高风险监控计划名单,进而引发交易手续费上调,甚至面临封禁处罚。
Stripe Payments 如何提供帮助
Stripe Payments 提供一体化的全球支付解决方案,能够助力各类企业——从成长型初创公司到全球性企业——在全球范围内接受线上、线下付款。
Stripe Payments 可帮您:
- 优化您的结账体验:通过预构建的支付用户界面、超过 125 种支付方式以及 Stripe 构建的数字钱包 Link,营造顺畅的客户体验,并节省数千工程小时。
- 更快拓展新市场:覆盖全球客户,并通过跨境支付选项降低多币种管理的复杂性和成本,服务覆盖 195 个国家/地区、支持 135 种以上货币。
- 统一线下与线上付款:整合线上与线下渠道,打造一体化商务体验,实现个性化互动、回馈忠实客户并增加收入。
- 优化支付性能:通过一系列可定制、易于配置的支付工具提升收入,包括无代码的欺诈保护功能与提高授权率的高级功能。
- 依托灵活可靠的平台加速业务增长:采用专为随业务扩展而设计的平台架构,提供 99.999% 正常运行时间与业界领先的可靠性保障。
了解更多关于 Stripe Payments 如何为您的线上与线下付款提供支持的信息,或立即开始使用。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。