Adyen 3D Secure: Cara Kerja Otentikasi 3DS2

3D Secure adalah lapisan otentikasi yang berada di antara pembayaran kartu dan persetujuannya. Adyen 3DS adalah salah satu implementasi standar ini yang paling banyak digunakan, terintegrasi ke dalam platform pembayaran Adyen dan menangani miliaran transaksi setiap tahun di Eropa, Amerika Utara, dan Asia.

Cara Adyen menangani 3D Secure sangat penting bagi setiap pengembang yang mengintegrasikan pembayaran kartu, dan bagi setiap pedagang yang mencoba menyeimbangkan pencegahan penipuan dengan konversi pembayaran. Keduanya berada dalam ketegangan langsung: lebih banyak otentikasi berarti lebih sedikit penipuan, tetapi juga berarti lebih banyak hambatan, dan hambatan tersebut mengurangi penjualan. Data regional mengenai hal ini — khususnya dari AS dan Brasil — lebih parah daripada yang diperkirakan sebagian besar pedagang.

Apa itu Adyen 3D Secure?

Ketika seseorang membayar secara online menggunakan kartu Visa, Visa dapat meminta pembeli untuk membuktikan identitas mereka. Mekanisme untuk melakukan hal itu adalah 3D Secure — sebuah protokol otentikasi yang dikembangkan oleh jaringan kartu (Visa menyebutnya Verified by Visa, Mastercard menyebutnya SecureCode) khusus untuk transaksi tanpa kartu fisik. Adyen 3DS adalah cara Adyen mengimplementasikannya di seluruh platform pembayarannya.

Ada dua versi. Generasi pertama — 3DS1 — mengalihkan pembeli ke halaman otentikasi penerbit kartu, yang sepenuhnya merusak alur pembayaran. Konversi menurun. Para pedagang membencinya. Sebagian besar telah meninggalkan 3DS1 di mana pun mereka bisa.

3D Secure 2 menggantinya dengan pendekatan yang lebih cerdas. Alih-alih mengalihkan, ia secara diam-diam mengumpulkan data perangkat dan peramban di latar belakang — resolusi layar, zona waktu, alamat IP, riwayat sesi — dan mengirimkan semuanya ke bank penerbit. Mesin penilaian risiko bank mendapatkan lebih dari 150 titik data untuk dievaluasi. Dengan sinyal sebanyak itu, bank seringkali dapat menyetujui transaksi secara diam-diam, tanpa pembeli pernah mengetahui bahwa 3DS telah berjalan.

Para pedagang di Uni Eropa dan EEA tidak memiliki banyak pilihan di sini. Aturan Otentikasi Pelanggan Kuat PSD2 mewajibkan 3D Secure 2 untuk pembayaran kartu di atas €30. Metode pembayaran apa pun yang melibatkan transaksi kartu termasuk dalam cakupannya. Di luar Uni Eropa, 3DS2 sangat direkomendasikan karena perlindungan tanggung jawab penipuan yang diberikannya, tetapi tidak diwajibkan secara hukum.

Cara Kerja Otentikasi Adyen 3DS2

Alur 3DS2 berjalan melalui tiga fase: pengumpulan data, otentikasi, dan otorisasi. Proses ini selesai dalam hitungan detik jika semuanya berjalan lancar.

1. Pembeli memulai pembayaran — memasukkan detail kartu di halaman pembayaran pedagang.
2. Adyen mengumpulkan data perangkat — sebuah komponen JavaScript kecil (sidik jari 3DS2) berjalan di latar belakang, mengumpulkan sinyal peramban dan perangkat: resolusi layar, zona waktu, bahasa, jenis perangkat, alamat IP.
3. Adyen mengirimkan permintaan otentikasi — sidik jari perangkat dan data transaksi dikemas dan dikirim ke penerbit kartu melalui jaringan kartu.
4. Pihak penerbit mengevaluasi permintaan tersebut — mesin penilaian risiko pihak penerbit mengevaluasi lebih dari 150 poin data berdasarkan riwayat perilaku pemegang kartu dan sinyal penipuan.
5. Pihak penerbit memutuskan: tanpa hambatan atau dengan tantangan — jika risikonya rendah, penerbit melakukan autentikasi secara diam-diam (tanpa hambatan); jika terdapat sinyal risiko, penerbit meminta tantangan.
6. Alur tantangan berjalan jika dipicu — pembeli menyelesaikan verifikasi tambahan: kata sandi satu kali, biometrik, atau konfirmasi aplikasi bank.
7. Hasil autentikasi dikembalikan — Adyen menerima hasil autentikasi (terautentikasi, tidak terautentikasi, atau percobaan autentikasi)
8. Adyen mengirimkan otorisasi — dengan hasil autentikasi terlampir, pembayaran beralih ke otorisasi melalui jaringan kartu.
9. Prinsip pengalihan tanggung jawab berlaku — jika otentikasi berhasil, tanggung jawab atas penolakan pembayaran terkait penipuan beralih dari pedagang ke bank penerbit.

Perbedaan utama antara 3DS1 dan 3D Secure 2 terletak pada langkah ke-2. Pada 3DS1, penerbit kartu hampir tidak memiliki data untuk diolah, sehingga sering terjadi tantangan. Pada 3D Secure 2, sidik jari perangkat yang lebih kaya berarti penerbit kartu dapat menyetujui lebih banyak transaksi secara diam-diam, terlepas dari metode pembayaran yang digunakan pembeli, selama itu adalah kartu.

Aliran Tanpa Gesekan vs. Aliran yang Menantang di Adyen

Hasil dari proses tanpa hambatan dan proses tantangan ditentukan oleh penerbit kartu, bukan oleh Adyen atau pedagang. Meskipun demikian, kualitas pengumpulan data Adyen secara langsung memengaruhi seberapa sering penerbit kartu dapat menyelesaikan proses tanpa hambatan — data sidik jari perangkat yang lebih baik berarti lebih sedikit penerbit kartu yang perlu meningkatkan proses ke tahap tantangan.

Jepang menunjukkan sisi positif dari transaksi tanpa hambatan: sekitar 60% transaksi 3DS selesai tanpa hambatan, dan konversi keseluruhan tetap di angka 93%. Brasil justru sebaliknya — alur tantangan yang meluas telah menghasilkan penurunan konversi sebesar 55%. AS berada pada dampak konversi rata-rata 43% dari alur tantangan, menurut riset Stripe tentang pola adopsi 3DS.

Perlindungan terhadap penipuan tetap konsisten terlepas dari alur mana yang selesai. Baik otentikasi tanpa hambatan maupun otentikasi berbasis tantangan memicu pengalihan tanggung jawab. Pengembalian dana terkait penipuan setelah otentikasi 3DS berhasil menjadi masalah keuangan penerbit, bukan pedagang.

Aturan Adyen Dynamic 3D Secure

Sebagian besar implementasi 3DS menerapkan otentikasi secara universal: setiap transaksi, setiap saat. Mesin aturan Dynamic 3D Secure dari Adyen memungkinkan pedagang untuk lebih selektif dalam penerapannya.

Dynamic 3DS memungkinkan pedagang untuk mengkonfigurasi perutean berbasis aturan yang menerapkan 3DS secara selektif, berdasarkan sinyal risiko, pengecualian, dan karakteristik transaksi. Tujuannya adalah untuk memaksimalkan otentikasi pada transaksi berisiko tinggi sambil menggunakan pengecualian untuk mengurangi hambatan pada transaksi berisiko rendah.

Jenis aturan utama yang tersedia dalam konfigurasi Dynamic 3DS Adyen:

• Aturan pengecualian — arahkan transaksi berisiko rendah melalui pengecualian SCA (analisis risiko transaksi, pengecualian nilai rendah di bawah €30, daftar pedagang tepercaya) untuk melewati 3DS sepenuhnya jika diizinkan secara hukum.
• Penanganan penolakan lunak — secara otomatis mengalihkan transaksi yang ditolak oleh penerbit tanpa 3DS, memicu autentikasi 3DS pada percobaan kedua.
• Aturan kecepatan — menerapkan 3DS berdasarkan frekuensi transaksi dari kartu atau perangkat tertentu dalam jangka waktu tertentu.
• Ambang batas jumlah — memicu 3DS di atas nilai transaksi tertentu sambil mengecualikan pembelian yang lebih kecil.
• Aturan berbasis negara — menerapkan logika otentikasi yang berbeda tergantung pada negara pembeli, dengan mempertimbangkan mandat SCA regional dan perilaku penerbit.
• Aturan jenis kartu — arahkan kartu korporat atau premium melalui 3DS sambil mengizinkan kartu debit konsumen standar melalui alur pengecualian.

Pedagang yang mengkonfigurasi Dynamic 3DS secara cerdas dapat mengurangi paparan alur tantangan secara signifikan dibandingkan dengan penerapan 3DS universal, sambil tetap mempertahankan perlindungan penipuan penuh pada segmen berisiko tinggi.

Metode Integrasi Adyen 3DS

Cara pedagang mengintegrasikan 3DS melalui Adyen bergantung pada metode integrasi pembayaran mereka. Adyen mendukung tiga pendekatan utama:

• Sesi (direkomendasikan) — Integrasi bawaan Adyen menangani 3DS secara native tanpa konfigurasi tambahan. Alur Sesi mengumpulkan sidik jari perangkat secara otomatis dan mengelola perutean tanpa hambatan/dengan tantangan secara transparan. Jalur paling sederhana untuk sebagian besar pedagang.
• Drop-in — Komponen UI yang dihosting oleh Adyen tertanam di halaman pembayaran pedagang dan menangani alur 3DS, termasuk popup tantangan dan penanganan hasil. Konfigurasi lebih sedikit daripada integrasi API penuh, kustomisasi lebih banyak daripada Sesi.
• Integrasi API — kontrol penuh atas alur 3DS. Kode pedagang menangani pengumpulan sidik jari, permintaan otentikasi, penguraian hasil, dan pengiriman otorisasi. Diperlukan untuk proses pembayaran yang sangat disesuaikan atau aplikasi seluler asli yang membutuhkan 3DS2 asli di dalam antarmuka aplikasi.

Bagi sebagian besar pedagang e-commerce, Sessions atau Drop-in memberikan keseimbangan terbaik antara upaya integrasi dan kepatuhan 3DS. Integrasi API asli biasanya digunakan oleh pedagang perusahaan dengan tim rekayasa pembayaran khusus.

Satu detail khusus Adyen: 3DS2 native di aplikasi seluler memerlukan SDK iOS dan Android dari Adyen, yang mencakup komponen sidik jari dan UI tantangan. Integrasi web menggunakan Session atau Drop-in menangani hal ini secara otomatis.

Dampak Konversi 3D Secure: Data Regional

Judul berita "3DS merugikan konversi" sebagian benar, tetapi dampak sebenarnya hampir sepenuhnya bergantung pada faktor-faktor spesifik pasar — seberapa familiar pembeli dengan alur otentikasi bank, dan apakah UX perbankan seluler berjalan lancar.

Angka pengurangan penipuan lebih jelas: otentikasi 3DS mengurangi sengketa penipuan hingga 80%, dan Eropa memperkirakan hal itu mencegah kerugian penipuan tahunan sekitar €900 juta. Ini adalah penghematan dari sisi pedagang. Pengembalian dana (chargeback) mahal di luar nilai transaksi — hal itu menambah biaya operasional, penalti penilaian risiko, dan dalam beberapa kasus risiko hubungan dengan pemroses pembayaran.

Paradoks konversi terpecahkan ketika Anda memisahkan dua hal: apakah 3DS diterapkan, dan apakah tantangan tersebut berjalan lancar. Pasar dengan aplikasi perbankan seluler yang baik dan pembeli berpengalaman mampu mengatasi hambatan tantangan dengan baik. Pasar di mana pembeli menggunakan OTP melalui SMS atau aplikasi perbankan yang tidak konsisten akan kehilangan banyak transaksi.

3DS dan Pembayaran Kripto

3D Secure hanya berlaku untuk pembayaran kartu dan tidak untuk yang lain. Transaksi mata uang kripto tidak melalui jaringan kartu, jadi tidak ada alur 3DS yang perlu dipicu.

Hal ini memiliki dua sisi. Gerbang pembayaran kripto tidak dapat mengandalkan pengalihan tanggung jawab 3DS — tidak ada bank penerbit untuk mentransfer risiko penipuan. Keamanan bergantung pada mekanisme lain: pemantauan transaksi, penyaringan dompet, penilaian risiko waktu nyata di tingkat gerbang pembayaran.

Sisi lainnya: tanpa hambatan 3DS. Tidak ada pemindaian sidik jari perangkat yang berjalan di latar belakang, tidak ada tantangan penerbit, tidak ada OTP yang perlu ditunggu. Proses pembayaran semudah memindai alamat dompet atau mengkonfirmasi di aplikasi dompet. Bagi pedagang yang telah menyaksikan alur tantangan merusak konversi di AS atau Brasil, kesederhanaan itu sangat berharga.

Bagi para pedagang yang ingin menawarkan kripto sebagai opsi pembayaran di samping kartu tradisional, Plisio menyediakan gerbang pembayaran kripto yang menangani penerimaan kripto tanpa menambah kerumitan kepatuhan 3DS pada sistem pedagang.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.