توضیح SCA و 3DS2: احراز هویت پرداخت PSD2

فروش آنلاین به مشتریان اروپایی به معنای سروکار داشتن با SCA و 3DS2 است، چه بخواهید چه نخواهید. احراز هویت قوی مشتری یک الزام قانونی سختگیرانه تحت PSD2 است و 3D Secure 2 روشی است که اکثر بازرگانان در واقع آن را انجام می‌دهند. اینکه sca 3ds2 در عمل به چه معناست، موارد حاشیه‌ای کجا هستند و اشتباه کردن چه هزینه‌ای دارد - این راهنما به این موارد می‌پردازد.

SCA چیست؟ تعریف احراز هویت قوی مشتری

احراز هویت قوی مشتری یک الزام تأیید تحت PSD2 - دستورالعمل خدمات پرداخت شماره ۲ اتحادیه اروپا - است. این الزام زمانی اعمال می‌شود که مشتری پرداخت الکترونیکی را آغاز می‌کند و هم بانک صادرکننده کارت و هم بانک پذیرنده فروشنده در منطقه اقتصادی اروپا هستند.

خودِ این قانون در مورد عوامل است. احراز هویت امن باید حداقل از دو یا سه مورد استفاده کند و آنها باید از دسته‌های جداگانه‌ای باشند:

• دانش - چیزی که دارنده کارت می‌داند: رمز عبور، پین یا سوال امنیتی
• دارایی - چیزی که دارنده کارت دارد: تلفن همراه، توکن سخت‌افزاری یا کارت هوشمند
• ذات - چیزی که دارنده کارت دارد: اثر انگشت، تشخیص چهره، تشخیص صدا

این عوامل باید مستقل از یکدیگر باشند - به خطر انداختن یکی نمی‌تواند دیگری را افشا کند. همچنین باید به صورت پویا به مبلغ تراکنش و گیرنده خاص مرتبط باشند. یک رمز عبور ثابت که روی هر خرید کار می‌کند، واجد شرایط نیست.

محدوده: SCA خریدهای آنلاین با کارت که توسط مشتری انجام می‌شود را پوشش می‌دهد. این قانون شامل تراکنش‌های آغاز شده توسط فروشنده (صورتحساب‌های مکرر پس از تأیید اولیه)، سفارش‌های پستی یا تلفنی یا هر تراکنشی که در آن فروشنده یا بانک دارنده کارت خارج از منطقه اقتصادی اروپا (EEA) باشد، نمی‌شود. دسته آخر، یک طرفه (one-leg-out) نامیده می‌شود و برای فروشندگانی با پایگاه‌های مشتری جهانی مختلط مرتبط است.

3DS2 چیست و چه ارتباطی با SCA دارد؟

این نام به این صورت تجزیه می‌شود: 3D مخفف سه دامنه است - بانک صادرکننده که کارت دارنده کارت را صادر کرده است، بانک پذیرنده که پرداخت‌های فروشنده را پردازش می‌کند و شبکه کارتی که بین آنها قرار دارد. نسخه 2 آن را از پروتکل اصلی که ویزا در سال 1999 با نام "تأیید شده توسط ویزا" راه‌اندازی کرد، متمایز می‌کند. EMVCo، که به طور مشترک متعلق به ویزا، مسترکارت، امریکن اکسپرس و سایر طرح‌ها است، استاندارد 3D Secure 2 را ساخته و اکنون آن را حفظ می‌کند.

ارتباط آن با SCA چیست؟ PSD2 مستلزم آن است که پرداخت‌های کارتی با دو عامل تأیید شوند. 3D Secure 2 مکانیزمی است که بازرگانان برای اجرای واقعی آن تأیید هویت برای تراکنش‌های بدون کارت استفاده می‌کنند. از نظر فنی، جریان‌های بانکداری باز و تغییر مسیرهای برنامه بانکی نیز می‌توانند SCA را برآورده کنند - اما در دنیای واقعی، 3DS2 اکثریت قریب به اتفاق پرداخت‌های کارتی آنلاین را مدیریت می‌کند.

ویزا و مسترکارت در اکتبر ۲۰۲۲ پشتیبانی از ۳DS1 را برای تراکنش‌های اروپایی متوقف کردند. پس از آن قطع پشتیبانی، پرداخت‌های کارتی از طریق ۳DS1 نه تنها منسوخ شده بود، بلکه از انطباق با طرح خارج شده بود. چیزی که زمانی اختیاری بود، اجباری شد و ارتقاء ۳D Secure 2 که پردازنده‌ها سال‌ها توصیه می‌کردند، به تنها مسیر پیش رو تبدیل شد.

تاریخچه امنیت سه‌بعدی: از 3DS1 تا 3DS2

3DS1 در اوایل دهه 2000 راه‌اندازی شد. مکانیزم احراز هویت، یک پنجره بازشو تغییر مسیر بود که معمولاً توسط بانک صادرکننده کارت میزبانی می‌شد. دارندگان کارت یک پنجره مرورگر جدید را مشاهده می‌کردند، یک رمز عبور ثابت را که اغلب فراموش می‌کردند وارد می‌کردند و یا از آن عبور می‌کردند یا آن را رها می‌کردند. رها کردن کارت در آن مرحله، یک مشکل قابل اندازه‌گیری برای بازرگانان در هر دسته‌ای بود.

3DS2 برای رفع آسیب تبدیل ناشی از 3DS1 طراحی شده است. این پروتکل با ارسال بیش از ۱۰۰ سیگنال خطر به صادرکننده در ابتدای جریان، داده‌های کافی را در اختیار بانک‌ها قرار می‌دهد تا اکثر تراکنش‌ها را بدون درخواست هیچ کاری از مشتری تأیید کنند. وقتی چالشی فعال می‌شود، یک کد پیامکی یا بیومتریک است، نه رمز عبوری که دارنده کارت سه سال پیش تنظیم کرده است.

نحوه‌ی عملکرد احراز هویت 3DS2: گام به گام

هر تراکنش 3DS2 از طریق یکی از دو مسیر زیر انجام می‌شود. بانک صادرکننده بر اساس داده‌های ریسک دریافتی، یکی را انتخاب می‌کند. در بیشتر موارد، مشتریان هرگز متوجه احراز هویت نمی‌شوند.

جریان بدون اصطکاک (۷۰ تا ۹۰ درصد تراکنش‌ها):

1. مشتری هنگام پرداخت، جزئیات کارت را وارد می‌کند
2. درگاه پرداخت یا سرور 3DS فروشنده بیش از ۱۰۰ نقطه داده جمع‌آوری می‌کند: اثر انگشت دستگاه، موقعیت جغرافیایی IP، ویژگی‌های مرورگر، تاریخچه تراکنش‌ها، سیگنال‌های رفتاری
3. این موارد در قالب یک درخواست احراز هویت (AReq) به سرور دایرکتوری شبکه کارت ارسال می‌شوند، سپس به سرور کنترل دسترسی (ACS) بانک صادرکننده هدایت می‌شوند.
4. ACS ارزیابی ریسک خودکار را معمولاً در کمتر از یک ثانیه انجام می‌دهد.
5. اگر تراکنش کم‌ریسک ارزیابی شود، ACS تأیید بدون دردسری را بدون نیاز به اقدام مشتری صادر می‌کند.
6. تراکنش با انتقال مسئولیت به بانک صادرکننده تکمیل می‌شود.

جریان چالش (۱۰ تا ۳۰ درصد تراکنش‌ها):

1. مراحل ۱ تا ۳ یکسان هستند - جمع‌آوری داده‌ها و ارسال AReq
2. ACS تراکنش را به عنوان ریسک بالاتر علامت‌گذاری می‌کند: دستگاه جدید، مبلغ غیرمعمول، آدرس تحویل جدید یا نرخ کلاهبرداری بالا برای آن دسته از بازرگانان
3. از مشتری درخواست می‌شود که فاکتور دوم را وارد کند - کد عبور یکبار مصرف از طریق پیامک، اعلان از برنامه بانکی خود یا اطلاعات بیومتریک
4. مشتری چالش را کامل می‌کند
5. تراکنش با انتقال مسئولیت به صادرکننده تأیید می‌شود

مسیر بدون اصطکاک چیزی است که 3DS2 را از نسخه قبلی خود متمایز می‌کند. اکثر مشتریان یک تراکنش احراز هویت شده را بدون انجام هیچ کار اضافی انجام می‌دهند. وقتی چالشی ظاهر می‌شود، روشی آشنا است - همان اعلان فشاری که برای تأیید انتقال بانکی استفاده می‌کنند.

معافیت‌های SCA و زمان اعمال آنها

هر تراکنشی نیاز به احراز هویت دو مرحله‌ای (SCA) ندارد. PSD2 معافیت‌هایی را تعریف می‌کند که اجازه می‌دهد پرداخت‌ها بدون احراز هویت دو مرحله‌ای انجام شوند. درخواست معافیت به معنای دریافت آن نیست. بانک صادرکننده تصمیم می‌گیرد که آیا آن را بپذیرد یا خیر. رد درخواست به معنای کاهش ملایم است و فروشنده باید با فعال شدن SCA دوباره درخواست خود را ارسال کند.

مسئولیت به عهده‌ی کسی است که معافیت را درخواست کرده است. اگر خریدار درخواست معافیت TRA را بدهد و صادرکننده آن را بپذیرد، خریدار (و به طور کلی، تاجر) در صورت بروز هرگونه مشکل، مسئولیت کلاهبرداری را بر عهده دارد. اگر صادرکننده معافیت را به طور مستقل اعمال کرده باشد، مسئولیت بر عهده‌ی اوست. تاجرانی که هر حجمی را با معافیت‌های TRA اجرا می‌کنند، باید پیگیری کنند که کدام مسیر هر تراکنش را پوشش داده است.

چگونه SCA و 3DS2 بر فروشندگان تأثیر می‌گذارند

توجیه تجاری برای اجرای صحیح sca 3ds2 فراتر از الزامات قانونی است:

• تغییر مسئولیت : احراز هویت کامل 3DS2، مسئولیت بازپرداخت کلاهبرداری را از فروشنده به بانک صادرکننده منتقل می‌کند. عدم احراز هویت به این معنی است که فروشنده مستقیماً کلاهبرداری کارت را جذب می‌کند. کلاهبرداری کارت اتحادیه اروپا در مناطقی که SCA الزامی نیست، ۱۷ برابر بیشتر است.
• نرخ مجوزدهی : 3DS2 اغلب نرخ مجوزدهی را در مقایسه با پرداخت‌های احراز هویت نشده بهبود می‌بخشد. صادرکنندگان وقتی به جای شماره کارت و CVV، ۱۰۰ نقطه داده داشته باشند، با اطمینان بیشتری تأیید می‌کنند.
• تبدیل پرداخت : جریان چالش یک مرحله اضافه می‌کند، اما 3DS2 بدون اصطکاک تقریباً هیچ اصطکاکی ایجاد نمی‌کند. 3DS2 که به خوبی پیاده‌سازی شده باشد، معمولاً در مقایسه با 3DS1 تأثیر تبدیل مسطح یا مثبتی ایجاد می‌کند.
• کیفیت داده‌ها : کیفیت بار داده AReq تعیین می‌کند که چه درصد از تراکنش‌ها بدون مشکل انجام می‌شوند. فروشندگانی که فقط فیلدهای اجباری ارسال می‌کنند، نسبت به فروشندگانی که فیلدهای اختیاری - اثر انگشت دستگاه، تعداد تراکنش‌های تاریخی، سن آدرس ارسال - را پر می‌کنند، نرخ چالش بالاتری دارند.
• جغرافیا : قوانین SCA در کشورهای عضو EEA، بریتانیا (جدول زمانی SCA پس از برگزیت) و سایر بازارها متفاوت است. یک صندوق پرداخت جهانی باید این موارد را به درستی در سطح درخواست تقسیم‌بندی کند.

چک لیست انطباق با SCA برای فروشندگان آنلاین

راه‌اندازی صحیح sca 3ds2 به چیزی بیش از فعال کردن 3DS2 در درگاه نیاز دارد. کارهای در حال انجام نیز مهم هستند:

1. بررسی کنید که PSP یا درگاه شما از 3DS2 پشتیبانی می‌کند. اکثر پردازنده‌های اصلی (Stripe، Adyen، Worldpay، Braintree) این کار را به طور خودکار انجام می‌دهند. پردازنده‌های منطقه‌ای یا قدیمی‌تر ممکن است هنوز روی 3DS1 اجرا شوند یا پیاده‌سازی‌های جزئی داشته باشند.
2. بار داده AReq خود را بررسی کنید. با ارائه‌دهنده خدمات پرداخت خود مشورت کنید تا مطمئن شوید که همه بیش از ۱۰۰ فیلد داده اختیاری را ارسال می‌کنید، نه فقط حداقل فیلد اجباری را. هر فیلد اضافی، اطمینان تأیید بدون مشکل صادرکننده را بهبود می‌بخشد.
3. انواع تراکنش‌های خود را مشخص کنید. مشخص کنید کدام پرداخت‌ها از طریق فروشنده (اشتراک پس از راه‌اندازی)، سفارش پستی/تلفنی یا یک مرحله‌ای انجام می‌شوند. این موارد را به درستی علامت‌گذاری کنید - آنها از طریق 3DS2 عبور نمی‌کنند و نباید به آنجا هدایت شوند.
4. تجربه کاربری جریان چالش را آزمایش کنید. وقتی یک چالش پیشرفته اجرا می‌شود، تجربه باید واضح و سازگار با موبایل باشد. یک صفحه OTP گیج‌کننده، نرخ تبدیل را کاهش می‌دهد. قبل از شروع، آن را در دستگاه‌ها و مرورگرهای مختلف آزمایش کنید.
5. نرخ‌های بدون اصطکاک را در مقابل نرخ‌های چالش‌برانگیز رصد کنید. کاهش نرخ بدون اصطکاک نشان‌دهنده‌ی یک مشکل است - حجم داده‌ی تخریب‌شده، تغییر مدل ریسک توسط صادرکننده، یا عبور نرخ کلاهبرداری در یک دسته‌ی تجاری از آستانه‌ی TRA.
6. نتایج معافیت‌ها را پیگیری کنید. بدانید کدام معافیت‌ها را درخواست می‌کنید، کدام‌ها پذیرفته می‌شوند و کدام‌ها به صورت کاهش ملایم برمی‌گردند. کاهش ملایم در معافیت‌های کم‌ارزش اغلب به این معنی است که سقف تجمعی ۱۰۰ یورو بدون تنظیم مجدد اعمال شده است.
7. به جدول زمانی PSD3 توجه کنید. پیشنهاد PSD3 کمیسیون اروپا در حال طی مراحل قانونی است؛ اجرای آن توسط کشورهای عضو در سال‌های 2026-2027 پیش‌بینی می‌شود. این طرح به جای جایگزینی SCA، آن را گسترش می‌دهد - الزامات احراز هویت جزئی‌تر می‌شوند، نه سبک‌تر.

نکته‌ای که بسیاری از بازرگانان در مورد sca 3ds2 متوجه آن نیستند: کل چارچوب به تراکنش‌های پرداخت الکترونیکی تنظیم‌شده تحت PSD2 محدود می‌شود، به این معنی که ارز فیات از طریق بانک‌ها و شبکه‌های کارتی جابجا می‌شود. پرداخت‌های ارز دیجیتال کاملاً خارج از این محدوده قرار می‌گیرند.

وقتی مشتری با بیت‌کوین، اتریوم یا یک استیبل‌کوین پرداخت می‌کند، تراکنش به شبکه کارت یا بانک مربوط نمی‌شود. هیچ صادرکننده‌ای ACS را اجرا نمی‌کند. هیچ AReq، هیچ سرور دایرکتوری و هیچ جریان چالشی برای مدیریت وجود ندارد. قوانین SCA اعمال نمی‌شوند زیرا نوع پرداخت خارج از محدوده نظارتی است.

برای بازرگانان، این موضوع به طور مشخص صدق می‌کند. یک پرداخت با ارز دیجیتال هیچ مرحله احراز هویت 3DS2، درخواست OTP و جریان چالش ندارد. مشتری از کیف پول خود پرداخت می‌کند؛ وجوه دریافت می‌شود. بازپرداخت وجه نیز وجود ندارد - تراکنش‌های ارز دیجیتال برگشت‌ناپذیر هستند، که این امر مکانیسم مسئولیت کلاهبرداری را به طور کامل از بین می‌برد.

برای بازرگانانی که به دنبال اضافه کردن یک گزینه پرداخت کاملاً خارج از چارچوب احراز هویت کارت هستند، Plisio از بیش از ۲۰ ارز دیجیتال پشتیبانی می‌کند، بدون سربار SCA، بدون ریسک برگشت وجه و بدون وابستگی به مدل ریسک بانک صادرکننده.

معنای SCA و 3DS2 برای مجموعه پرداخت شما چیست؟

SCA ساده‌تر نمی‌شود. PSD3 الزامات احراز هویت را بیشتر گسترش خواهد داد و بریتانیا پس از برگزیت، مسیر اجرای SCA خود را اجرا خواهد کرد. سوال عملی برای بازرگانان این است که پیاده‌سازی sca 3ds2 در واقع چقدر خوب اجرا می‌شود، نه اینکه آیا باید آن را اجرا کرد یا خیر.

اگر این چارچوب به خوبی اجرا شود، برای همه افراد درگیر مفید خواهد بود. پذیرندگان در برابر کلاهبرداری‌های برگشتی، از مصونیت در قبال مسئولیت برخوردار می‌شوند. صادرکنندگان از طریق حجم داده گسترده 3D Secure 2، سیگنال‌های غنی‌تری دریافت می‌کنند و تراکنش‌های بیشتری را با اطمینان تأیید می‌کنند. مشتریان احراز هویت امنی دریافت می‌کنند که معمولاً به هیچ وجه در پرداخت آنها وقفه ایجاد نمی‌کند. پذیرندگانی که گیر می‌کنند، کسانی هستند که 3DS2 را در حداقل درگاه فعال کرده‌اند و دیگر هرگز به نرخ‌های بدون اصطکاک، کیفیت بار AReq یا نرخ‌های ضربه معافیت خود نگاه نکرده‌اند.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.