Penjelasan SCA dan 3DS2: Otentikasi Pembayaran PSD2
Menjual secara online kepada pelanggan Eropa berarti berurusan dengan SCA dan 3DS2, mau atau tidak mau. Otentikasi Pelanggan Kuat (Strong Customer Authentication/SCA) adalah persyaratan hukum yang ketat berdasarkan PSD2, dan 3D Secure 2 adalah cara sebagian besar pedagang memenuhinya. Apa arti SCA dan 3DS2 dalam praktiknya, di mana kasus-kasus khusus berada, dan berapa biaya yang harus ditanggung jika salah — itulah yang dibahas dalam panduan ini.
Apa Itu SCA? Definisi Otentikasi Pelanggan Kuat
Otentikasi Pelanggan yang Kuat (Strong Customer Authentication/SCA) adalah persyaratan verifikasi berdasarkan PSD2 — Arahan Layanan Pembayaran 2 Uni Eropa. SCLA berlaku ketika pelanggan memulai pembayaran elektronik dan baik bank penerbit kartu maupun bank pengakuisisi pedagang berada di Wilayah Ekonomi Eropa.
Aturan itu sendiri berkaitan dengan faktor-faktor. Otentikasi yang aman harus menggunakan setidaknya dua dari tiga faktor, dan faktor-faktor tersebut harus berasal dari kategori yang berbeda:
- Pengetahuan — sesuatu yang diketahui oleh pemegang kartu: kata sandi, PIN, atau pertanyaan keamanan.
- Kepemilikan — sesuatu yang dimiliki pemegang kartu: telepon seluler, token perangkat keras, atau kartu pintar.
- Inherensi — sesuatu yang melekat pada pemegang kartu: sidik jari, pengenalan wajah, identifikasi suara.
Faktor-faktor tersebut harus saling independen — membobol salah satunya tidak akan membahayakan yang lain. Faktor-faktor tersebut juga harus terhubung secara dinamis dengan jumlah transaksi dan penerima pembayaran tertentu. Kata sandi statis yang berlaku untuk setiap pembelian tidak memenuhi syarat.
Cakupan: SCA mencakup pembelian kartu online yang dilakukan oleh pelanggan. SCA tidak berlaku untuk transaksi yang dilakukan oleh pedagang (penagihan berulang setelah otorisasi awal), pesanan melalui pos atau telepon, atau transaksi apa pun di mana pedagang atau bank pemegang kartu berada di luar EEA. Kategori terakhir disebut one-leg-out, dan relevan untuk pedagang dengan basis pelanggan global yang beragam.
Apa itu 3DS2 dan bagaimana hubungannya dengan SCA?
Nama tersebut dapat diuraikan sebagai berikut: 3D merupakan singkatan dari tiga domain — bank penerbit yang menerbitkan kartu pemegang kartu, bank pengakuisisi yang memproses pembayaran pedagang, dan jaringan kartu yang berada di antara keduanya. Versi 2 membedakannya dari protokol asli, yang diluncurkan Visa pada tahun 1999 dengan nama "Verified by Visa." EMVCo, yang dimiliki bersama oleh Visa, Mastercard, Amex, dan skema lainnya, membangun dan sekarang memelihara standar 3D Secure 2.
Apa hubungannya dengan SCA? PSD2 mensyaratkan pembayaran kartu harus diautentikasi dengan dua faktor. 3D Secure 2 adalah mekanisme yang digunakan pedagang untuk menjalankan autentikasi tersebut untuk transaksi tanpa kartu fisik. Secara teknis, alur perbankan terbuka dan pengalihan aplikasi bank juga dapat memenuhi SCA — tetapi dalam praktiknya, 3DS2 menangani sebagian besar pembayaran kartu online.
Visa dan Mastercard menghentikan dukungan untuk 3DS1 untuk transaksi di Eropa pada Oktober 2022. Setelah batas waktu tersebut, pengalihan pembayaran kartu melalui 3DS1 bukan hanya ketinggalan zaman — tetapi juga tidak sesuai dengan skema yang berlaku. Apa yang dulunya opsional menjadi wajib, dan peningkatan ke 3D Secure 2 yang telah direkomendasikan oleh para pemroses pembayaran selama bertahun-tahun menjadi satu-satunya jalan ke depan.
Sejarah 3D Secure: Dari 3DS1 ke 3DS2
3DS1 diluncurkan pada awal tahun 2000-an. Mekanisme otentikasinya berupa pop-up pengalihan, biasanya dihosting oleh bank penerbit kartu. Pemegang kartu melihat jendela browser baru, memasukkan kata sandi statis yang sering mereka lupakan, dan kemudian berhasil masuk atau keluar. Pengabaian pada langkah tersebut merupakan masalah yang terukur bagi pedagang di setiap kategori.
| Fitur | 3DS1 | 3DS2 |
|---|---|---|
| Antarmuka Pengguna Otentikasi | Alihkan jendela pop-up/jendela baru | iframe tersemat atau SDK asli |
| Data dikirim ke penerbit | ~15 titik data | 100+ titik data (perangkat, perilaku, riwayat) |
| Dukungan seluler | Buruk — tidak ada SDK asli | SDK iOS dan Android asli lengkap |
| Aliran tanpa gesekan | Tidak tersedia | Ya — sebagian besar transaksi |
| Metode tantangan | Kata sandi statis | OTP, notifikasi push, biometrik |
| Pergeseran tanggung jawab | Ya | Ya (cakupan yang diperluas) |
| Status Uni Eropa | Tidak digunakan lagi sejak Oktober 2022. | Wajib |
3DS2 dirancang untuk memperbaiki kerusakan yang disebabkan oleh konversi 3DS1. Dengan mengirimkan lebih dari 100 sinyal risiko ke penerbit di awal alur, protokol ini memberi bank cukup data untuk menyetujui sebagian besar transaksi tanpa meminta pelanggan untuk melakukan apa pun. Ketika tantangan terjadi, itu berupa kode SMS atau biometrik, bukan kata sandi yang diatur pemegang kartu tiga tahun lalu.
Cara Kerja Otentikasi 3DS2: Langkah demi Langkah
Setiap transaksi 3DS2 melalui salah satu dari dua jalur. Bank penerbit memilih jalur mana yang akan digunakan berdasarkan data risiko yang diterimanya. Dalam kebanyakan kasus, pelanggan bahkan tidak menyadari bahwa otentikasi telah terjadi sama sekali.
Alur tanpa hambatan (70–90% transaksi):
- Pelanggan memasukkan detail kartu saat pembayaran.
- Gerbang pembayaran pedagang atau server 3DS mengumpulkan lebih dari 100 titik data: sidik jari perangkat, geolokasi IP, karakteristik peramban, riwayat transaksi, sinyal perilaku.
- Informasi ini dikirim dalam Permintaan Otentikasi (AReq) ke server direktori jaringan kartu, kemudian diteruskan ke Server Kontrol Akses (ACS) bank penerbit.
- ACS menjalankan penilaian risiko otomatis — biasanya dalam waktu kurang dari satu detik.
- Jika transaksi dinilai berisiko rendah, ACS akan mengeluarkan persetujuan tanpa hambatan tanpa tindakan apa pun dari pelanggan.
- Transaksi selesai dengan pengalihan kewajiban ke bank penerbit.
Alur tantangan (10–30% dari transaksi):
- Langkah 1–3 sama — pengumpulan data dan pengajuan AReq
- ACS menandai transaksi tersebut sebagai berisiko lebih tinggi: perangkat baru, jumlah yang tidak biasa, alamat pengiriman baru, atau tingkat penipuan yang tinggi untuk kategori pedagang tersebut.
- Pelanggan akan diminta untuk memasukkan faktor kedua — kode sandi satu kali melalui SMS, notifikasi push dari aplikasi perbankan mereka, atau biometrik.
- Pelanggan menyelesaikan tantangan
- Transaksi disetujui dengan pengalihan kewajiban kepada penerbit.
Proses yang mudah dan tanpa hambatan adalah yang membedakan 3DS2 dari pendahulunya. Sebagian besar pelanggan menyelesaikan transaksi terautentikasi tanpa melakukan hal tambahan apa pun. Jika muncul tantangan, metodenya sudah familiar — notifikasi push yang sama yang mereka gunakan untuk menyetujui transfer bank.
Pengecualian SCA dan Kapan Pengecualian Tersebut Berlaku
Tidak setiap transaksi memerlukan SCA. PSD2 mendefinisikan pengecualian yang memungkinkan pembayaran diproses tanpa otentikasi dua faktor. Meminta pengecualian tidak sama dengan mendapatkannya. Bank penerbit memutuskan apakah akan mengabulkannya. Penolakan berarti penolakan sementara, dan pedagang harus mengirim ulang dengan SCA yang diaktifkan.
| Jenis pengecualian | Kondisi | Membatasi |
|---|---|---|
| Transaksi bernilai rendah | Transaksi di bawah €30 | Maksimal 5 transaksi berturut-turut atau total kumulatif €100 sejak SCA terakhir. |
| Analisis Risiko Transaksi (TRA) | Tingkat penipuan pihak pengakuisisi atau penerbit di bawah ambang batas. | €100 dengan tingkat penipuan ≤0,13% / €250 dengan tingkat penipuan ≤0,06% / €500 dengan tingkat penipuan ≤0,01% |
| Transaksi berulang (jumlah tetap) | Jumlah yang sama, penerima pembayaran yang sama setelah SCA awal. | Tidak ada batasan |
| Transaksi yang diprakarsai oleh pedagang | Penagihan langganan, cicilan | SCA hanya diperlukan pada transaksi pertama. |
| Penerima manfaat tepercaya | Pemegang kartu telah menambahkan merchant tersebut ke daftar putih (whitelist) bank mereka. | Khusus untuk pedagang, dikendalikan oleh pemegang kartu. |
| Pembayaran korporat yang aman | Sistem pembayaran B2B khusus | Hanya sistem yang disetujui oleh regulator. |
Tanggung jawab mengikuti siapa yang mengklaim pengecualian tersebut. Jika pihak pengakuisisi meminta pengecualian TRA dan pihak penerbit menerimanya, pihak pengakuisisi (dan secara tidak langsung, pedagang) memikul tanggung jawab atas penipuan jika terjadi sesuatu yang tidak diinginkan. Jika pihak penerbit menerapkan pengecualian tersebut secara independen, tanggung jawab berada pada mereka. Pedagang yang menjalankan volume transaksi apa pun dengan pengecualian TRA harus melacak jalur mana yang mencakup setiap transaksi.
Bagaimana SCA dan 3DS2 Mempengaruhi Pedagang
Alasan bisnis untuk membuat SCA 3DS2 berfungsi dengan baik jauh melampaui sekadar kepatuhan terhadap peraturan:
- Pergeseran tanggung jawab : autentikasi 3DS2 yang telah selesai mengalihkan tanggung jawab pengembalian dana akibat penipuan dari pedagang ke bank penerbit. Tanpa autentikasi, pedagang menanggung langsung penipuan kartu. Penipuan kartu di Uni Eropa 17 kali lebih tinggi di wilayah yang tidak mewajibkan SCA.
- Tingkat otorisasi : 3DS2 sering kali meningkatkan tingkat otorisasi dibandingkan dengan pembayaran yang tidak terautentikasi. Penerbit kartu lebih yakin dalam menyetujui pembayaran ketika mereka memiliki 100 titik data dibandingkan hanya nomor kartu dan CVV.
- Konversi pembayaran : alur tantangan menambahkan satu langkah, tetapi 3DS2 yang tanpa hambatan hampir tidak menambahkan hambatan sama sekali. Implementasi 3DS2 yang baik biasanya menghasilkan dampak konversi yang stabil atau positif dibandingkan dengan 3DS1.
- Kualitas data : kualitas muatan AReq menentukan persentase transaksi yang berjalan lancar. Pedagang yang hanya mengirimkan kolom wajib mendapatkan tingkat penolakan yang lebih tinggi daripada mereka yang mengisi kolom opsional — sidik jari perangkat, jumlah transaksi historis, usia alamat pengiriman.
- Geografi : Aturan SCA berbeda di seluruh negara anggota EEA, Inggris (dengan jadwal SCA pasca-Brexit-nya sendiri), dan pasar lainnya. Sistem pembayaran global perlu mengelompokkan hal ini dengan benar pada tingkat permintaan.
Daftar Periksa Kepatuhan SCA untuk Pedagang Online
Menyiapkan SCA 3DS2 dengan benar membutuhkan lebih dari sekadar mengaktifkan 3DS2 di gateway. Pekerjaan yang berkelanjutan juga penting:
- Pastikan PSP atau gateway Anda mendukung 3DS2. Sebagian besar prosesor utama (Stripe, Adyen, Worldpay, Braintree) menanganinya secara otomatis. Prosesor regional atau yang lebih lama mungkin masih berjalan pada 3DS1 atau memiliki implementasi parsial.
- Periksa muatan data AReq Anda. Bekerja samalah dengan penyedia pembayaran Anda untuk memastikan Anda mengirimkan semua 100+ kolom data opsional, bukan hanya minimum yang wajib. Setiap kolom tambahan meningkatkan kepercayaan penerbit terhadap persetujuan tanpa hambatan.
- Petakan jenis transaksi Anda. Identifikasi pembayaran mana yang dimulai oleh pedagang (langganan setelah pengaturan), pesanan melalui pos/telepon, atau satu jalur keluar. Tandai ini dengan benar — pembayaran ini tidak melalui 3DS2 dan tidak boleh dialihkan ke sana.
- Uji alur tantangan UX. Saat tantangan bertahap muncul, pengalaman pengguna harus jelas dan ramah seluler. Layar OTP yang membingungkan akan mengurangi konversi. Uji di berbagai perangkat dan browser sebelum diluncurkan.
- Pantau tingkat transaksi tanpa hambatan (frictionless) versus tingkat transaksi yang bermasalah (challenge rate). Penurunan tingkat transaksi tanpa hambatan menandakan adanya masalah — kualitas data yang menurun, perubahan model risiko oleh penerbit, atau tingkat penipuan kategori pedagang yang melampaui ambang batas TRA.
- Lacak hasil pengecualian. Ketahui pengecualian mana yang Anda ajukan, mana yang diterima, dan mana yang ditolak secara tidak langsung. Penolakan tidak langsung pada pengecualian bernilai rendah sering kali berarti batas kumulatif €100 telah tercapai tanpa pengaturan ulang.
- Perhatikan garis waktu PSD3. Proposal PSD3 dari Komisi Eropa sedang dalam proses legislatif; implementasi di negara-negara anggota diharapkan pada tahun 2026–2027. PSD3 memperluas SCA (Standard Authentication Agreement) alih-alih menggantikannya — persyaratan otentikasi menjadi lebih rinci, bukan lebih ringan.
Satu hal yang banyak pedagang tidak sadari tentang SCA 3DS2: seluruh kerangka kerjanya terbatas pada transaksi pembayaran elektronik yang diatur berdasarkan PSD2, yang berarti mata uang fiat yang bergerak melalui bank dan jaringan kartu. Pembayaran mata uang kripto sepenuhnya berada di luar cakupan tersebut.
Ketika pelanggan membayar dengan Bitcoin, Ethereum, atau stablecoin, transaksi tersebut tidak melibatkan jaringan kartu atau bank. Tidak ada penerbit yang menjalankan ACS. Tidak ada AReq, tidak ada server direktori, tidak ada alur tantangan yang perlu dikelola. Aturan SCA tidak berlaku karena jenis pembayaran berada di luar lingkup peraturan.
Bagi para pedagang, hal ini terwujud secara konkret. Proses pembayaran kripto tidak memiliki langkah otentikasi 3DS2, tidak ada permintaan OTP, dan tidak ada alur tantangan. Pelanggan membayar dari dompet mereka; dana pun tiba. Pengembalian dana juga tidak ada — transaksi kripto tidak dapat dibatalkan, yang sepenuhnya menghilangkan mekanisme tanggung jawab atas penipuan.
Bagi para pedagang yang ingin menambahkan opsi pembayaran yang sepenuhnya di luar kerangka otentikasi kartu, Plisio mendukung lebih dari 20 mata uang kripto tanpa biaya tambahan SCA, tanpa risiko penolakan pembayaran, dan tanpa ketergantungan pada model risiko bank penerbit.
Apa Arti SCA dan 3DS2 bagi Struktur Pembayaran Anda?
SCA tidak akan menjadi lebih sederhana. PSD3 akan memperluas persyaratan otentikasi lebih lanjut, dan Inggris menjalankan jalur penegakan SCA sendiri pasca-Brexit. Pertanyaan praktis bagi para pedagang adalah seberapa baik implementasi SCA 3DS2 sebenarnya berjalan, bukan apakah harus mengimplementasikannya.
Jika dilakukan dengan baik, kerangka kerja ini bermanfaat bagi semua pihak yang terlibat. Pedagang mendapatkan perlindungan tanggung jawab atas penipuan dan pengembalian dana. Penerbit mendapatkan sinyal yang lebih kaya melalui muatan data 3D Secure 2 yang diperluas dan menyetujui lebih banyak transaksi dengan percaya diri. Pelanggan mendapatkan otentikasi yang aman yang biasanya tidak mengganggu proses pembayaran mereka sama sekali. Pedagang yang mengalami masalah adalah mereka yang mengaktifkan 3DS2 pada pengaturan minimum gateway dan tidak pernah lagi melihat tingkat kelancaran transaksi, kualitas muatan AReq, atau tingkat keberhasilan pengecualian.
