SCA और 3DS2 की व्याख्या: PSD2 भुगतान प्रमाणीकरण

प्रकाशित किया गया Jun 21, 2026 लिखा गया Simon Chartan

यूरोपीय ग्राहकों को ऑनलाइन सामान बेचने का मतलब है कि आपको SCA और 3DS2 से निपटना ही होगा, चाहे आप चाहें या न चाहें। PSD2 के तहत मजबूत ग्राहक प्रमाणीकरण एक सख्त कानूनी आवश्यकता है, और अधिकांश व्यापारी इसे पूरा करने के लिए 3D Secure 2 का उपयोग करते हैं। व्यवहार में SCA 3DS2 का क्या अर्थ है, इसके अपवाद क्या हैं, और गलती करने पर क्या नुकसान हो सकता है - इस गाइड में इन सभी बातों का वर्णन किया गया है।

एससीए क्या है? मजबूत ग्राहक प्रमाणीकरण की परिभाषा

मजबूत ग्राहक प्रमाणीकरण, यूरोपीय संघ के भुगतान सेवा निर्देश 2 (PSD2) के तहत एक सत्यापन आवश्यकता है। यह तब लागू होता है जब कोई ग्राहक इलेक्ट्रॉनिक भुगतान शुरू करता है और उसके कार्ड का जारीकर्ता बैंक और व्यापारी का अधिग्रहणकर्ता बैंक दोनों यूरोपीय आर्थिक क्षेत्र में स्थित होते हैं।

यह नियम कारकों के बारे में ही है। सुरक्षित प्रमाणीकरण में कम से कम तीन में से दो का उपयोग होना चाहिए, और वे अलग-अलग श्रेणियों से आने चाहिए:

जानकारी — कार्डधारक को जो कुछ पता हो: पासवर्ड, पिन या सुरक्षा प्रश्न
स्वामित्व — कार्डधारक के पास मौजूद कोई वस्तु: मोबाइल फोन, हार्डवेयर टोकन या स्मार्ट कार्ड
अंतर्निहितता — कार्डधारक की पहचान: उंगलियों के निशान, चेहरे की पहचान, आवाज पहचान

ये कारक एक दूसरे से स्वतंत्र होने चाहिए — एक के प्रभावित होने से दूसरा प्रभावित नहीं होना चाहिए। साथ ही, ये कारक लेन-देन की राशि और भुगतानकर्ता से गतिशील रूप से जुड़े होने चाहिए। हर खरीदारी पर काम करने वाला स्थिर पासवर्ड मान्य नहीं है।

दायरा: एससीए ग्राहक द्वारा शुरू की गई ऑनलाइन कार्ड खरीदारी को कवर करता है। यह व्यापारी द्वारा शुरू किए गए लेनदेन (प्रारंभिक प्राधिकरण के बाद आवर्ती बिलिंग), मेल ऑर्डर या टेलीफोन ऑर्डर, या किसी भी ऐसे लेनदेन पर लागू नहीं होता है जहां व्यापारी या कार्डधारक का बैंक ईईए से बाहर स्थित हो। इस अंतिम श्रेणी को वन-लेग-आउट कहा जाता है, और यह मिश्रित वैश्विक ग्राहक आधार वाले व्यापारियों के लिए प्रासंगिक है।

3DS2 क्या है और इसका SCA से क्या संबंध है?

नाम का अर्थ इस प्रकार है: 3D तीन क्षेत्रों को दर्शाता है — कार्डधारक को कार्ड जारी करने वाला बैंक, व्यापारी के भुगतानों को संसाधित करने वाला अधिग्रहणकर्ता बैंक और इन दोनों के बीच स्थित कार्ड नेटवर्क। संस्करण 2 इसे मूल प्रोटोकॉल से अलग करता है, जिसे वीज़ा ने 1999 में "वेरिफाइड बाय वीज़ा" नाम से लॉन्च किया था। वीज़ा, मास्टरकार्ड, एमेक्स और अन्य कंपनियों के संयुक्त स्वामित्व वाली EMVCo ने 3D सिक्योर 2 मानक का निर्माण किया और अब इसका रखरखाव करती है।

SCA से इसका क्या संबंध है? PSD2 के अनुसार कार्ड से किए गए भुगतानों को दो कारकों द्वारा प्रमाणित किया जाना आवश्यक है। 3D Secure 2 वह तंत्र है जिसका उपयोग व्यापारी कार्ड-रहित लेनदेनों के लिए प्रमाणीकरण हेतु करते हैं। तकनीकी रूप से, ओपन बैंकिंग फ्लो और बैंक ऐप रीडायरेक्ट भी SCA की आवश्यकताओं को पूरा कर सकते हैं — लेकिन वास्तविक दुनिया में, अधिकांश ऑनलाइन कार्ड भुगतान 3DS2 द्वारा ही किए जाते हैं।

वीज़ा और मास्टरकार्ड ने अक्टूबर 2022 में यूरोपीय लेनदेन के लिए 3DS1 का समर्थन करना बंद कर दिया। इसके बाद, 3DS1 के माध्यम से कार्ड भुगतान करना न केवल अप्रचलित हो गया, बल्कि यह योजना के अनुपालन से भी बाहर हो गया। जो पहले वैकल्पिक था, वह अनिवार्य हो गया, और 3D सिक्योर 2 अपग्रेड, जिसकी प्रोसेसर कई वर्षों से अनुशंसा कर रहे थे, आगे बढ़ने का एकमात्र रास्ता बन गया।

3डी सिक्योर का इतिहास: 3DS1 से 3DS2 तक

3DS1 2000 के दशक की शुरुआत में लॉन्च हुआ था। प्रमाणीकरण तंत्र एक रीडायरेक्ट पॉपअप था, जिसे आमतौर पर कार्ड जारी करने वाले बैंक द्वारा होस्ट किया जाता था। कार्डधारकों को एक नई ब्राउज़र विंडो दिखाई देती थी, वे एक स्थिर पासवर्ड दर्ज करते थे जिसे वे अक्सर भूल जाते थे, और या तो वे लॉग इन कर लेते थे या लॉग आउट हो जाते थे। इस चरण में ग्राहकों का बीच में ही छोड़ देना हर श्रेणी के व्यापारियों के लिए एक बड़ी समस्या थी।

विशेषता	3DS1	3DS2
प्रमाणीकरण यूआई	रीडायरेक्ट पॉपअप / नई विंडो	एम्बेडेड आईफ्रेम या नेटिव एसडीके
जारीकर्ता को भेजा गया डेटा	लगभग 15 डेटा बिंदु	100 से अधिक डेटा बिंदु (डिवाइस, व्यवहार, इतिहास)
मोबाइल सहायता	खराब - कोई नेटिव SDK उपलब्ध नहीं है	पूर्ण नेटिव iOS और Android SDK
घर्षण रहित प्रवाह	उपलब्ध नहीं है	हां — अधिकांश लेनदेन
चुनौती विधि	स्थिर पासवर्ड	ओटीपी, पुश नोटिफिकेशन, बायोमेट्रिक
दायित्व स्थानांतरण	हाँ	हां (कवरेज का विस्तार किया गया)
यूरोपीय संघ की स्थिति	अक्टूबर 2022 में अप्रचलित कर दिया गया	अनिवार्य

3DS2 को 3DS1 द्वारा उत्पन्न रूपांतरण संबंधी समस्याओं को दूर करने के लिए डिज़ाइन किया गया था। प्रक्रिया की शुरुआत में जारीकर्ता को 100 से अधिक जोखिम संकेत भेजकर, यह प्रोटोकॉल बैंकों को ग्राहक से कुछ भी पूछे बिना अधिकांश लेनदेन को स्वीकृत करने के लिए पर्याप्त डेटा प्रदान करता है। जब कोई चुनौती उत्पन्न होती है, तो वह एक एसएमएस कोड या बायोमेट्रिक कोड होता है, न कि वह पासवर्ड जो कार्डधारक ने तीन साल पहले सेट किया था।

SCA और 3DS2 की व्याख्या: PSD2 भुगतान प्रमाणीकरण

3DS2 प्रमाणीकरण कैसे काम करता है: चरण दर चरण

प्रत्येक 3DS2 लेनदेन दो मार्गों में से किसी एक से होकर गुजरता है। जारीकर्ता बैंक प्राप्त जोखिम डेटा के आधार पर मार्ग का चयन करता है। अधिकतर मामलों में, ग्राहकों को प्रमाणीकरण होने का पता भी नहीं चलता।

घर्षणरहित प्रवाह (70-90% लेनदेन):

ग्राहक चेकआउट के समय कार्ड का विवरण दर्ज करता है।
व्यापारी का पेमेंट गेटवे या 3DS सर्वर 100 से अधिक डेटा पॉइंट एकत्र करता है: डिवाइस फिंगरप्रिंट, आईपी जियोलोकेशन, ब्राउज़र की विशेषताएं, लेनदेन इतिहास, व्यवहार संबंधी संकेत।
इन्हें कार्ड नेटवर्क के डायरेक्टरी सर्वर को प्रमाणीकरण अनुरोध (AReq) के रूप में भेजा जाता है, फिर इसे जारीकर्ता बैंक के एक्सेस कंट्रोल सर्वर (ACS) को अग्रेषित किया जाता है।
एसीएस स्वचालित जोखिम मूल्यांकन करता है - आमतौर पर एक सेकंड से भी कम समय में।
यदि लेनदेन को कम जोखिम वाला माना जाता है, तो एसीएस बिना किसी ग्राहक कार्रवाई के सहज अनुमोदन जारी कर देता है।
यह लेनदेन जारीकर्ता बैंक को दायित्व हस्तांतरण के साथ पूरा होता है।

चुनौती प्रवाह (लेनदेन का 10-30%):

चरण 1-3 समान हैं — डेटा संग्रह और AReq सबमिशन
ACS इस लेन-देन को उच्च जोखिम वाला बताता है: नया उपकरण, असामान्य राशि, नया डिलीवरी पता, या उस व्यापारी श्रेणी के लिए उच्च धोखाधड़ी दर।
ग्राहक से दूसरे सुरक्षा कारक के लिए कहा जाता है — एसएमएस वन-टाइम पासकोड, उनके बैंकिंग ऐप से पुश नोटिफिकेशन, या बायोमेट्रिक।
ग्राहक ने चुनौती पूरी कर ली
लेनदेन को मंजूरी मिल गई है और दायित्व जारीकर्ता पर स्थानांतरित हो गया है।

3DS2 को इसके पूर्ववर्ती मॉडल से अलग करने वाली बात इसकी सुगम प्रक्रिया है। अधिकांश ग्राहक बिना कुछ अतिरिक्त किए ही प्रमाणित लेनदेन पूरा कर लेते हैं। यदि कोई समस्या आती भी है, तो वह जानी-पहचानी प्रक्रिया होती है - वही पुश नोटिफिकेशन जिसका उपयोग वे बैंक ट्रांसफर को मंज़ूरी देने के लिए करते हैं।

एससीए छूट और वे कब लागू होती हैं

हर लेन-देन के लिए SCA ज़रूरी नहीं है। PSD2 में कुछ छूटें दी गई हैं जिनके तहत दो-कारक प्रमाणीकरण के बिना भी भुगतान हो सकता है। छूट का अनुरोध करना और उसे प्राप्त करना एक ही बात नहीं है। जारीकर्ता बैंक ही तय करता है कि वह इसे स्वीकार करेगा या नहीं। अस्वीकृति का मतलब सॉफ्ट डिक्लाइन है, और व्यापारी को SCA सक्रिय करके दोबारा आवेदन करना होगा।

छूट का प्रकार	स्थिति	आप LIMIT
कम मूल्य का लेन-देन	€30 से कम का लेन-देन	पिछले एससीए के बाद से अधिकतम 5 लगातार लेनदेन या कुल मिलाकर €100।
लेनदेन जोखिम विश्लेषण (टीआरए)	अधिग्रहणकर्ता या जारीकर्ता की धोखाधड़ी दर निर्धारित सीमा से नीचे है।	€100 पर धोखाधड़ी दर ≤0.13% / €250 पर ≤0.06% / €500 पर ≤0.01%
आवर्ती लेन-देन (निश्चित राशि)	प्रारंभिक एससीए के बाद समान राशि, समान भुगतानकर्ता	कोई सीमा नहीं
व्यापारी द्वारा शुरू किया गया लेनदेन	सदस्यता बिलिंग, किश्तें	एससीए की आवश्यकता केवल पहले लेनदेन पर होती है।
विश्वसनीय लाभार्थी	कार्डधारक ने अपने बैंक के साथ व्यापारी को श्वेतसूची में डाल दिया है।	व्यापारी-विशिष्ट, कार्डधारक-नियंत्रित
सुरक्षित कॉर्पोरेट भुगतान	समर्पित बी2बी भुगतान प्रणाली	केवल नियामक द्वारा अनुमोदित प्रणालियाँ

दायित्व उस व्यक्ति पर निर्भर करता है जिसने छूट का दावा किया है। यदि अधिग्रहणकर्ता TRA छूट का अनुरोध करता है और जारीकर्ता इसे स्वीकार करता है, तो किसी भी गड़बड़ी की स्थिति में अधिग्रहणकर्ता (और परिणामस्वरूप, व्यापारी) धोखाधड़ी के लिए उत्तरदायी होता है। यदि जारीकर्ता ने स्वतंत्र रूप से छूट लागू की है, तो दायित्व उसी पर होता है। TRA छूट का उपयोग करने वाले व्यापारियों को यह ट्रैक करना चाहिए कि प्रत्येक लेनदेन किस मार्ग से हुआ।

SCA और 3DS2 व्यापारियों को कैसे प्रभावित करते हैं

एससीए 3डीएस2 को सही तरीके से बनाने का व्यावसायिक तर्क नियामक अनुपालन से कहीं आगे जाता है:

दायित्व का स्थानांतरण : 3DS2 प्रमाणीकरण पूरा होने पर धोखाधड़ी के कारण हुए नुकसान की भरपाई का दायित्व व्यापारी से जारीकर्ता बैंक पर स्थानांतरित हो जाता है। प्रमाणीकरण न होने पर व्यापारी को कार्ड धोखाधड़ी का सीधा दायित्व वहन करना पड़ता है। यूरोपीय संघ में उन क्षेत्रों में कार्ड धोखाधड़ी 17 गुना अधिक है जहां SCA अनिवार्य नहीं है।
प्राधिकरण दरें : 3DS2 अक्सर अप्रमाणित भुगतानों की तुलना में प्राधिकरण दरों में सुधार करता है। कार्ड नंबर और सीवीवी के बजाय 100 डेटा पॉइंट होने पर जारीकर्ता अधिक आत्मविश्वास से अनुमोदन करते हैं।
चेकआउट रूपांतरण : चैलेंज फ्लो में एक चरण जुड़ जाता है, लेकिन फ्रिक्शनलेस 3DS2 लगभग कोई फ्रिक्शन नहीं डालता। अच्छी तरह से कार्यान्वित 3DS2 आमतौर पर 3DS1 की तुलना में सपाट या सकारात्मक रूपांतरण प्रभाव उत्पन्न करता है।
डेटा गुणवत्ता : AReq पेलोड की गुणवत्ता यह निर्धारित करती है कि कितने प्रतिशत लेनदेन बिना किसी बाधा के संपन्न होते हैं। जो व्यापारी केवल अनिवार्य फ़ील्ड भेजते हैं, उन्हें वैकल्पिक फ़ील्ड (जैसे डिवाइस फ़िंगरप्रिंट, ऐतिहासिक लेनदेन संख्या, शिपिंग पते की आयु) भरने वालों की तुलना में उच्च चुनौती दर का सामना करना पड़ता है।
भौगोलिक स्थिति : SCA के नियम EEA सदस्य देशों, ब्रिटेन (जिसकी ब्रेक्जिट के बाद की SCA समय-सीमा अलग है) और अन्य बाजारों में भिन्न-भिन्न हैं। वैश्विक चेकआउट को अनुरोध स्तर पर इन्हें सही ढंग से विभाजित करना आवश्यक है।

ऑनलाइन व्यापारियों के लिए SCA अनुपालन चेकलिस्ट

sca 3ds2 सेटअप को सही ढंग से करने के लिए गेटवे पर 3DS2 को सक्षम करने से कहीं अधिक की आवश्यकता होती है। चल रहा काम भी महत्वपूर्ण है:

जांच लें कि आपका PSP या गेटवे 3DS2 को सपोर्ट करता है या नहीं। अधिकांश प्रमुख प्रोसेसर (स्ट्राइप, एडियन, वर्ल्डपे, ब्रेनट्री) इसे स्वचालित रूप से संभाल लेते हैं। क्षेत्रीय या पुराने प्रोसेसर अभी भी 3DS1 पर चल सकते हैं या उनमें आंशिक कार्यान्वयन हो सकता है।
अपने AReq डेटा पेलोड का ऑडिट करें। अपने भुगतान प्रदाता के साथ मिलकर यह सुनिश्चित करें कि आप सभी 100 से अधिक वैकल्पिक डेटा फ़ील्ड भेज रहे हैं, न कि केवल अनिवार्य न्यूनतम फ़ील्ड। प्रत्येक अतिरिक्त फ़ील्ड जारीकर्ता के निर्बाध अनुमोदन के भरोसे को बढ़ाता है।
अपने लेन-देन के प्रकारों को मैप करें। पहचानें कि कौन से भुगतान व्यापारी द्वारा शुरू किए गए हैं (सेटअप के बाद सदस्यता), मेल ऑर्डर/टेलीफोन ऑर्डर, या वन-लेग-आउट भुगतान हैं। इन्हें सही ढंग से चिह्नित करें — ये 3DS2 के माध्यम से नहीं जाते हैं और इन्हें वहां नहीं भेजा जाना चाहिए।
चैलेंज फ्लो यूजर एक्सपीरियंस का परीक्षण करें। जब कोई स्टेप-अप चैलेंज शुरू होता है, तो अनुभव स्पष्ट और मोबाइल-फ्रेंडली होना चाहिए। एक भ्रामक OTP स्क्रीन कन्वर्जन को प्रभावित करती है। लाइव होने से पहले सभी डिवाइस और ब्राउज़र पर परीक्षण करें।
घर्षणरहित और चुनौती दरों की निगरानी करें। घर्षणरहित दर में गिरावट किसी समस्या का संकेत देती है — जैसे कि डेटा पेलोड की गुणवत्ता में गिरावट, जारीकर्ता द्वारा अपने जोखिम मॉडल में बदलाव, या व्यापारी श्रेणी में धोखाधड़ी की दर का TRA सीमा से अधिक हो जाना।
छूट के परिणामों पर नज़र रखें। जानें कि आप किन छूटों के लिए आवेदन कर रहे हैं, कौन सी स्वीकार की गई हैं और कौन सी अस्वीकृत हो गई हैं। कम मूल्य वाली छूटों की अस्वीकृति का अक्सर मतलब होता है कि संचयी €100 की सीमा बिना रीसेट किए ही पूरी हो गई है।
PSD3 की समयरेखा पर नज़र रखें। यूरोपीय आयोग का PSD3 प्रस्ताव विधायी प्रक्रिया में है; सदस्य देशों द्वारा इसका कार्यान्वयन 2026-2027 में होने की उम्मीद है। यह SCA को प्रतिस्थापित करने के बजाय उसका विस्तार करता है — प्रमाणीकरण आवश्यकताएं हल्की नहीं बल्कि अधिक विस्तृत हो जाती हैं।

SCA और 3DS2 की व्याख्या: PSD2 भुगतान प्रमाणीकरण

कई व्यापारियों को sca 3ds2 के बारे में एक बात का एहसास नहीं होता: इसका पूरा ढांचा PSD2 के तहत विनियमित इलेक्ट्रॉनिक भुगतान लेनदेन तक ही सीमित है, जिसका अर्थ है बैंकों और कार्ड नेटवर्क के माध्यम से फिएट मुद्रा का लेन-देन। क्रिप्टोकरेंसी भुगतान इस दायरे से पूरी तरह बाहर हैं।

जब कोई ग्राहक बिटकॉइन, एथेरियम या स्टेबलकॉइन से भुगतान करता है, तो लेनदेन किसी कार्ड नेटवर्क या बैंक से नहीं जुड़ता। कोई भी जारीकर्ता ACS नहीं चलाता। इसमें कोई AReq, कोई डायरेक्टरी सर्वर या कोई चैलेंज फ्लो नहीं होता। SCA नियम लागू नहीं होते क्योंकि भुगतान का यह प्रकार नियामक दायरे से बाहर है।

व्यापारियों के लिए, यह बात स्पष्ट रूप से सामने आती है। क्रिप्टो चेकआउट में 3DS2 प्रमाणीकरण चरण, OTP अनुरोध या चुनौती प्रक्रिया जैसी कोई प्रक्रिया नहीं होती। ग्राहक अपने वॉलेट से भुगतान करता है; धनराशि प्राप्त हो जाती है। चार्जबैक की भी कोई संभावना नहीं होती — क्रिप्टो लेनदेन अपरिवर्तनीय होते हैं, जिससे धोखाधड़ी से संबंधित जवाबदेही पूरी तरह समाप्त हो जाती है।

जो व्यापारी कार्ड प्रमाणीकरण ढांचे से पूरी तरह से बाहर एक भुगतान विकल्प जोड़ना चाहते हैं, उनके लिए प्लिसियो 20 से अधिक क्रिप्टोकरेंसी का समर्थन करता है, जिसमें SCA का कोई अतिरिक्त बोझ नहीं होता, चार्जबैक का कोई जोखिम नहीं होता और जारीकर्ता बैंक के जोखिम मॉडल पर कोई निर्भरता नहीं होती।

SCA और 3DS2 का आपके पेमेंट स्टैक पर क्या प्रभाव पड़ता है?

SCA सरल नहीं हो रहा है। PSD3 प्रमाणीकरण आवश्यकताओं को और भी बढ़ाएगा, और ब्रिटेन ब्रेक्सिट के बाद SCA प्रवर्तन के लिए अपना अलग तंत्र चला रहा है। व्यापारियों के लिए व्यावहारिक प्रश्न यह है कि SCA 3DS2 का कार्यान्वयन वास्तव में कितना कारगर है, न कि इसे लागू करना है या नहीं।

सही तरीके से लागू करने पर, यह फ्रेमवर्क सभी के लिए फायदेमंद साबित होता है। व्यापारियों को धोखाधड़ी के मामलों में देयता सुरक्षा मिलती है। 3D Secure 2 के विस्तारित डेटा पेलोड के माध्यम से जारीकर्ताओं को बेहतर सिग्नल मिलते हैं और वे अधिक लेन-देन को आत्मविश्वास से स्वीकृत कर पाते हैं। ग्राहकों को सुरक्षित प्रमाणीकरण मिलता है जो आमतौर पर उनकी चेकआउट प्रक्रिया को बाधित नहीं करता है। जिन व्यापारियों को परेशानी होती है, वे वे होते हैं जिन्होंने गेटवे न्यूनतम स्तर पर 3DS2 को सक्षम किया और फिर कभी अपनी सहज दरों, AReq पेलोड गुणवत्ता या छूट हिट दरों पर ध्यान नहीं दिया।

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.