Adyen 3D Secure: Cơ chế hoạt động của xác thực 3DS2
3D Secure là lớp xác thực nằm giữa quá trình thanh toán bằng thẻ và việc phê duyệt giao dịch. Adyen 3DS là một trong những triển khai được sử dụng rộng rãi nhất của tiêu chuẩn này, được tích hợp vào nền tảng thanh toán của Adyen và xử lý hàng tỷ giao dịch mỗi năm trên khắp châu Âu, Bắc Mỹ và châu Á.
Cách Adyen xử lý 3D Secure có ý nghĩa quan trọng đối với bất kỳ nhà phát triển nào tích hợp thanh toán bằng thẻ, và đối với bất kỳ người bán nào đang cố gắng cân bằng giữa việc ngăn ngừa gian lận và tỷ lệ chuyển đổi thanh toán. Hai yếu tố này mâu thuẫn trực tiếp: xác thực nhiều hơn đồng nghĩa với việc giảm thiểu gian lận, nhưng cũng đồng nghĩa với việc tăng thêm rào cản, và rào cản sẽ làm giảm doanh số bán hàng. Dữ liệu khu vực về vấn đề này — đặc biệt là từ Mỹ và Brazil — cho thấy tình hình nghiêm trọng hơn hầu hết các nhà bán lẻ dự đoán.
Adyen 3D Secure là gì?
Khi ai đó thanh toán trực tuyến bằng thẻ Visa, Visa có thể yêu cầu người mua chứng minh danh tính của họ. Cơ chế để thực hiện điều đó là 3D Secure — một giao thức xác thực được các mạng lưới thẻ (Visa gọi là Verified by Visa, Mastercard gọi là SecureCode) phát triển dành riêng cho các giao dịch không có thẻ vật lý. Adyen 3DS là cách Adyen triển khai giao thức này trên nền tảng thanh toán của mình.
Có hai phiên bản. Thế hệ đầu tiên — 3DS1 — chuyển hướng người mua hàng đến trang xác thực của nhà phát hành thẻ, làm gián đoạn hoàn toàn quy trình thanh toán. Tỷ lệ chuyển đổi giảm. Các nhà bán lẻ rất ghét điều này. Hầu hết đã từ bỏ 3DS1 bất cứ khi nào có thể.
3D Secure 2 đã thay thế phương pháp cũ bằng một cách tiếp cận thông minh hơn. Thay vì chuyển hướng, nó âm thầm thu thập dữ liệu thiết bị và trình duyệt trong nền — độ phân giải màn hình, múi giờ, địa chỉ IP, lịch sử phiên — và gửi tất cả dữ liệu đó đến ngân hàng phát hành. Hệ thống đánh giá rủi ro của ngân hàng nhận được hơn 150 điểm dữ liệu để xem xét. Với lượng tín hiệu lớn như vậy, ngân hàng thường có thể phê duyệt giao dịch một cách âm thầm, mà người mua hàng thậm chí không hề biết rằng 3D Secure đã được sử dụng.
Các nhà bán lẻ thuộc EU và EEA không có nhiều lựa chọn trong trường hợp này. Quy tắc Xác thực Khách hàng Mạnh mẽ của PSD2 yêu cầu sử dụng 3D Secure 2 cho các khoản thanh toán bằng thẻ trên 30 euro. Bất kỳ phương thức thanh toán nào liên quan đến giao dịch bằng thẻ đều thuộc phạm vi áp dụng. Bên ngoài EU, 3DS2 được khuyến nghị mạnh mẽ vì khả năng bảo vệ trách nhiệm pháp lý chống gian lận mà nó cung cấp, nhưng không phải là yêu cầu bắt buộc về mặt pháp lý.
Cách thức hoạt động của xác thực Adyen 3DS2
Quy trình 3DS2 diễn ra qua ba giai đoạn: thu thập dữ liệu, xác thực và ủy quyền. Quá trình này hoàn tất trong vài giây nếu mọi thứ diễn ra suôn sẻ.
- Người mua hàng bắt đầu thanh toán — nhập thông tin thẻ trên trang thanh toán của người bán.
- Adyen thu thập dữ liệu thiết bị — một thành phần JavaScript nhỏ (dấu vân tay 3DS2) chạy ngầm, thu thập các tín hiệu từ trình duyệt và thiết bị: độ phân giải màn hình, múi giờ, ngôn ngữ, loại thiết bị, địa chỉ IP.
- Adyen gửi yêu cầu xác thực — dấu vân tay thiết bị và dữ liệu giao dịch được đóng gói và gửi đến tổ chức phát hành thẻ thông qua mạng thẻ.
- Bên phát hành đánh giá yêu cầu — hệ thống phân tích rủi ro của bên phát hành sẽ so sánh hơn 150 điểm dữ liệu với lịch sử hành vi của chủ thẻ và các dấu hiệu gian lận.
- Bên phát hành quyết định: xác thực không cần thủ tục phức tạp hay xác thực có yêu cầu – nếu rủi ro thấp, bên phát hành sẽ xác thực ngầm (không cần thủ tục phức tạp); nếu có dấu hiệu rủi ro, bên phát hành sẽ yêu cầu xác thực có yêu cầu.
- Quy trình xác thực sẽ được thực thi nếu được kích hoạt — người mua hàng hoàn tất quá trình xác minh bổ sung: mật khẩu một lần, xác thực sinh trắc học hoặc xác nhận qua ứng dụng ngân hàng.
- Kết quả xác thực đã được trả về — Adyen nhận được kết quả xác thực (đã xác thực, chưa xác thực hoặc đã thử xác thực).
- Adyen gửi yêu cầu ủy quyền — sau khi đính kèm kết quả xác thực, giao dịch thanh toán sẽ được chuyển đến bước ủy quyền thông qua mạng lưới thẻ.
- Nguyên tắc chuyển trách nhiệm được áp dụng — nếu xác thực thành công, trách nhiệm hoàn tiền liên quan đến gian lận sẽ chuyển từ người bán sang ngân hàng phát hành.
Điểm khác biệt chính giữa 3DS1 và 3D Secure 2 nằm ở bước 2. Trong 3DS1, tổ chức phát hành hầu như không có dữ liệu nào để xử lý, vì vậy việc gặp sự cố thường xuyên xảy ra. Trong 3D Secure 2, dấu vân tay thiết bị phong phú hơn cho phép các tổ chức phát hành phê duyệt nhiều giao dịch hơn một cách âm thầm, bất kể người mua sử dụng phương thức thanh toán nào, miễn là đó là thẻ.
So sánh giữa chế độ không ma sát và chế độ có thách thức trong Adyen
Kết quả giao dịch không gặp trở ngại và kết quả giao dịch có gặp trở ngại được quyết định bởi tổ chức phát hành, chứ không phải bởi Adyen hay người bán. Tuy nhiên, chất lượng thu thập dữ liệu của Adyen ảnh hưởng trực tiếp đến tần suất các tổ chức phát hành có thể thực hiện giao dịch không gặp trở ngại — dữ liệu nhận dạng thiết bị tốt hơn có nghĩa là ít tổ chức phát hành hơn cần phải chuyển sang giai đoạn giao dịch có trở ngại.
| Nhân tố | Dòng chảy không ma sát | Luồng thử thách |
|---|---|---|
| Trải nghiệm mua sắm | Vô hình — không cần thêm bước nào | Yêu cầu xác thực bằng mã OTP, sinh trắc học hoặc ứng dụng. |
| Tác động chuyển đổi | Tối giản — giống như không có 3DS | Giảm đáng kể (tùy thuộc vào thị trường) |
| Ai quyết định? | Công cụ quản lý rủi ro của ngân hàng phát hành | Công cụ quản lý rủi ro của ngân hàng phát hành |
| Cò súng | Mức độ rủi ro thấp, dữ liệu đầy đủ. | Các dấu hiệu rủi ro ở mức cao hoặc dữ liệu không đầy đủ |
| Chuyển đổi trách nhiệm | Đúng vậy — bên phát hành chịu rủi ro gian lận. | Đúng vậy — bên phát hành chịu rủi ro gian lận. |
| Cổ phần điển hình | 40%–93% giao dịch (tùy thuộc vào thị trường) | 7%–60% (tùy thuộc vào thị trường) |
Nhật Bản cho thấy lợi ích vượt trội của giao dịch 3DS: khoảng 60% giao dịch 3DS được hoàn tất mà không gặp trở ngại, và tỷ lệ chuyển đổi tổng thể vẫn ở mức 93%. Brazil thì ngược lại — các luồng xác thực (challenge flow) phổ biến đã gây ra tác động tiêu cực đến tỷ lệ chuyển đổi, giảm 55%. Tại Mỹ, tỷ lệ chuyển đổi bị ảnh hưởng trung bình bởi các luồng xác thực là 43%, theo nghiên cứu của Stripe về xu hướng áp dụng 3DS.
Việc bảo vệ chống gian lận được duy trì nhất quán bất kể quy trình nào hoàn tất. Cả xác thực không gặp trở ngại và xác thực thách thức đều kích hoạt việc chuyển đổi trách nhiệm. Khoản hoàn tiền liên quan đến gian lận sau khi xác thực 3DS thành công là vấn đề tài chính của tổ chức phát hành, chứ không phải của người bán.
Quy tắc bảo mật 3D động của Adyen
Hầu hết các triển khai 3D Secure đều áp dụng xác thực một cách phổ biến: cho mọi giao dịch, mọi lúc. Công cụ quy tắc 3D Secure động của Adyen cho phép các nhà bán lẻ thực hiện việc này một cách chính xác hơn.
Dynamic 3DS cho phép các nhà bán lẻ cấu hình định tuyến dựa trên quy tắc, áp dụng 3DS một cách chọn lọc, dựa trên các tín hiệu rủi ro, ngoại lệ và đặc điểm giao dịch. Mục tiêu là tối đa hóa xác thực đối với các giao dịch rủi ro cao, đồng thời sử dụng các ngoại lệ để giảm thiểu rào cản đối với các giao dịch rủi ro thấp.
Các loại quy tắc chính có sẵn trong cấu hình Dynamic 3DS của Adyen:
- Các quy tắc miễn trừ — định tuyến các giao dịch rủi ro thấp thông qua các trường hợp miễn trừ SCA (phân tích rủi ro giao dịch, miễn trừ giá trị thấp dưới 30€, danh sách người bán đáng tin cậy) để bỏ qua hoàn toàn quy trình 3DS khi được pháp luật cho phép.
- Xử lý từ chối mềm — tự động định tuyến lại các giao dịch mà nhà phát hành từ chối mà không có 3DS, kích hoạt xác thực 3DS ở lần thử thứ hai.
- Quy tắc vận tốc — áp dụng 3DS dựa trên tần suất giao dịch từ một thẻ hoặc thiết bị nhất định trong một khoảng thời gian nhất định.
- Ngưỡng giá trị giao dịch — kích hoạt tính năng 3DS khi giá trị giao dịch vượt quá một mức nhất định, đồng thời miễn trừ các giao dịch nhỏ hơn.
- Các quy tắc dựa trên quốc gia — áp dụng logic xác thực khác nhau tùy thuộc vào quốc gia của người mua hàng, có tính đến các quy định SCA khu vực và hành vi của nhà phát hành.
- Quy tắc loại thẻ — định tuyến thẻ doanh nghiệp hoặc thẻ cao cấp thông qua hệ thống 3DS trong khi vẫn cho phép thẻ ghi nợ tiêu dùng thông thường thông qua các quy trình miễn trừ.
Các nhà bán lẻ cấu hình Dynamic 3DS một cách thông minh có thể giảm đáng kể nguy cơ bị tấn công bằng quy trình xác thực so với ứng dụng 3DS thông thường, đồng thời vẫn duy trì khả năng bảo vệ chống gian lận toàn diện đối với các phân khúc rủi ro cao.
Phương pháp tích hợp Adyen 3DS
Cách các nhà bán lẻ tích hợp 3DS thông qua Adyen phụ thuộc vào phương thức tích hợp thanh toán của họ. Adyen hỗ trợ ba phương pháp chính:
- Sessions (khuyến nghị) — Tích hợp sẵn của Adyen xử lý 3DS một cách tự nhiên mà không cần cấu hình thêm. Luồng Sessions tự động thu thập dấu vân tay thiết bị và quản lý định tuyến liền mạch/thử thách một cách minh bạch. Đây là giải pháp đơn giản nhất cho hầu hết các nhà bán lẻ.
- Tích hợp nhanh — Thành phần giao diện người dùng được Adyen lưu trữ nhúng vào trang thanh toán của người bán và xử lý các quy trình 3DS, bao gồm cửa sổ bật lên xác thực và xử lý kết quả. Ít cấu hình hơn so với tích hợp API đầy đủ, nhiều tùy chỉnh hơn so với Sessions.
- Tích hợp API — kiểm soát hoàn toàn quy trình 3DS. Mã của người bán xử lý việc thu thập dấu vân tay, yêu cầu xác thực, phân tích kết quả và gửi ủy quyền. Cần thiết cho các quy trình thanh toán được tùy chỉnh cao hoặc các ứng dụng di động gốc cần sử dụng 3DS2 gốc trong giao diện ứng dụng.
Đối với hầu hết các nhà bán lẻ thương mại điện tử, Sessions hoặc Drop-in cung cấp sự cân bằng tốt nhất giữa nỗ lực tích hợp và tuân thủ 3DS. Tích hợp API gốc thường được sử dụng bởi các doanh nghiệp lớn có đội ngũ kỹ sư thanh toán chuyên trách.
Một chi tiết đặc thù của Adyen: việc sử dụng 3DS2 gốc trong các ứng dụng di động yêu cầu SDK iOS và Android của Adyen, bao gồm các thành phần nhận dạng vân tay và giao diện người dùng thử thách. Việc tích hợp web sử dụng Sessions hoặc Drop-in sẽ tự động xử lý điều này.
Tác động của việc chuyển đổi sang 3D Secure: Dữ liệu khu vực
Tiêu đề "3DS gây ảnh hưởng tiêu cực đến tỷ lệ chuyển đổi" đúng một phần, nhưng tác động thực tế phụ thuộc gần như hoàn toàn vào các yếu tố đặc thù của thị trường — mức độ quen thuộc của người mua sắm với quy trình xác thực ngân hàng và liệu trải nghiệm người dùng ngân hàng di động có mượt mà hay không.
| Chợ | Tỷ lệ thử thách | Tác động chuyển đổi | Ghi chú |
|---|---|---|---|
| Nhật Bản | Thử thách ~40% | Giảm thiểu tối đa | Xác thực ứng dụng ngân hàng quen thuộc; tỷ lệ giao dịch mượt mà cao. |
| Vương quốc Anh | Thử thách ~25% | Thấp-vừa phải | Ứng dụng ngân hàng (sinh trắc học) là ứng dụng tiêu chuẩn, mang lại trải nghiệm nhanh chóng. |
| Pháp | Thử thách ~50% | Vừa phải | Tỷ lệ xác thực tăng gấp đôi nhưng người dùng vẫn quen thuộc với OTP. |
| CHÚNG TA | Thử thách ~45% | -43% đối với các giao dịch bị khiếu nại | 3DS vẫn còn mới lạ; người dùng chưa quen với quy trình nhập mã OTP của ngân hàng. |
| Brazil | Thử thách ~60%+ | -55% | Tỷ lệ thử thách cao; quy trình xác thực ngân hàng không nhất quán |
| Trung bình toàn cầu | — | Thị trường trị giá 1,72 tỷ USD (năm 2026) | Dự kiến sẽ đạt 4,66 tỷ USD vào năm 2034. |
Các con số giảm thiểu gian lận rất rõ ràng: xác thực 3DS giảm tranh chấp gian lận lên đến 80%, và châu Âu ước tính nó giúp ngăn chặn khoảng 900 triệu euro thiệt hại do gian lận mỗi năm. Đây là khoản tiết kiệm cho phía người bán. Việc hoàn tiền (chargeback) tốn kém hơn nhiều so với giá trị giao dịch — chúng làm tăng chi phí vận hành, phí phạt xếp hạng rủi ro, và trong một số trường hợp là rủi ro đối với mối quan hệ với nhà cung cấp dịch vụ xử lý thanh toán.
Nghịch lý chuyển đổi được giải quyết khi bạn tách biệt hai điều: liệu xác thực 3D có được áp dụng hay không, và liệu quá trình xác thực có diễn ra suôn sẻ hay không. Các thị trường có ứng dụng ngân hàng di động tốt và người mua sắm có kinh nghiệm sẽ dễ dàng vượt qua khó khăn khi xác thực. Ngược lại, các thị trường nơi người mua sắm phải xác thực bằng OTP qua SMS hoặc sử dụng ứng dụng ngân hàng không ổn định sẽ mất đi rất nhiều giao dịch.
3DS và Thanh toán bằng tiền điện tử
3D Secure chỉ áp dụng cho thanh toán bằng thẻ và không có gì khác. Giao dịch tiền điện tử không đi qua mạng lưới thẻ, vì vậy không có quy trình 3D Secure nào được kích hoạt.
Điều này có hai mặt. Các cổng thanh toán tiền điện tử không thể dựa vào việc chuyển trách nhiệm theo mô hình 3DS — không có ngân hàng phát hành nào để chuyển rủi ro gian lận sang. Bảo mật phụ thuộc vào các cơ chế khác: giám sát giao dịch, sàng lọc ví, chấm điểm rủi ro theo thời gian thực ở cấp độ cổng thanh toán.
Mặt khác: không có sự phức tạp của 3DS. Không cần quét dấu vân tay thiết bị chạy ngầm, không cần xác thực người phát hành, không cần chờ mã OTP. Quá trình thanh toán đơn giản như quét địa chỉ ví hoặc xác nhận trong ứng dụng ví. Đối với các nhà bán lẻ đã chứng kiến thử thách xác thực làm giảm tỷ lệ chuyển đổi ở Mỹ hoặc Brazil, sự đơn giản đó đáng giá bằng tiền thật.
Đối với các nhà bán lẻ muốn cung cấp tiền điện tử như một tùy chọn thanh toán bên cạnh các thẻ truyền thống, Plisio cung cấp cổng thanh toán tiền điện tử xử lý việc chấp nhận tiền điện tử mà không làm tăng thêm sự phức tạp về tuân thủ quy định 3DS cho hệ thống của nhà bán lẻ.
