Giải thích về SCA và 3DS2: Xác thực thanh toán PSD2
Bán hàng trực tuyến cho khách hàng châu Âu đồng nghĩa với việc bạn phải đối phó với SCA và 3DS2 dù muốn hay không. Xác thực khách hàng mạnh mẽ (SCA) là yêu cầu pháp lý bắt buộc theo PSD2, và 3D Secure 2 là cách hầu hết các nhà bán lẻ thực hiện yêu cầu này. Hướng dẫn này sẽ đề cập đến ý nghĩa thực tiễn của SCA và 3DS2, các trường hợp ngoại lệ và chi phí khi mắc sai lầm.
SCA là gì? Định nghĩa về xác thực khách hàng mạnh mẽ (Strong Customer Authentication - SCA)
Xác thực khách hàng mạnh mẽ là một yêu cầu xác minh theo PSD2 — Chỉ thị Dịch vụ Thanh toán 2 của EU. Yêu cầu này áp dụng khi khách hàng thực hiện thanh toán điện tử và cả ngân hàng phát hành thẻ của khách hàng lẫn ngân hàng chấp nhận thanh toán của người bán đều nằm trong Khu vực Kinh tế Châu Âu.
Bản thân quy tắc này nói về các yếu tố. Xác thực an toàn phải sử dụng ít nhất hai trong ba yếu tố, và chúng phải đến từ các danh mục riêng biệt:
- Kiến thức — điều mà chủ thẻ biết: mật khẩu, mã PIN hoặc câu hỏi bảo mật.
- Quyền sở hữu — vật phẩm mà chủ thẻ có: điện thoại di động, thiết bị nhận dạng thẻ hoặc thẻ thông minh.
- Bản sắc cá nhân — điều mà chủ thẻ sở hữu: dấu vân tay, nhận diện khuôn mặt, nhận dạng giọng nói.
Các yếu tố này phải độc lập với nhau — việc xâm phạm một yếu tố không thể làm ảnh hưởng đến các yếu tố khác. Chúng cũng phải được liên kết động với số tiền giao dịch cụ thể và người nhận thanh toán. Mật khẩu tĩnh có thể sử dụng cho mọi giao dịch mua hàng không đáp ứng yêu cầu.
Phạm vi: SCA bao gồm các giao dịch mua hàng trực tuyến do khách hàng khởi xướng bằng thẻ. Nó không áp dụng cho các giao dịch do người bán khởi xướng (thanh toán định kỳ sau khi xác thực ban đầu), đặt hàng qua thư hoặc điện thoại, hoặc bất kỳ giao dịch nào mà người bán hoặc ngân hàng của chủ thẻ nằm ngoài Khu vực Kinh tế Châu Âu (EEA). Loại giao dịch cuối cùng này được gọi là giao dịch một chiều (one-leg-out), và nó liên quan đến các người bán có cơ sở khách hàng toàn cầu hỗn hợp.
3DS2 là gì và nó có liên quan gì đến SCA?
Tên gọi này được phân tích như sau: 3D đại diện cho ba lĩnh vực — ngân hàng phát hành thẻ cho chủ thẻ, ngân hàng chấp nhận thanh toán cho người bán và mạng lưới thẻ nằm giữa hai bên. Phiên bản 2 phân biệt nó với giao thức gốc, được Visa ra mắt năm 1999 với tên gọi "Verified by Visa". EMVCo, thuộc sở hữu chung của Visa, Mastercard, Amex và các tổ chức khác, đã xây dựng và hiện đang duy trì tiêu chuẩn 3D Secure 2.
Vậy mối liên hệ với SCA là gì? PSD2 yêu cầu các khoản thanh toán bằng thẻ phải được xác thực bằng hai yếu tố. 3D Secure 2 là cơ chế mà các nhà bán lẻ sử dụng để thực hiện xác thực đó cho các giao dịch không có thẻ vật lý. Về mặt kỹ thuật, các luồng ngân hàng mở và chuyển hướng ứng dụng ngân hàng cũng có thể đáp ứng SCA — nhưng trên thực tế, 3DS2 xử lý phần lớn các khoản thanh toán thẻ trực tuyến.
Visa và Mastercard đã ngừng hỗ trợ 3DS1 cho các giao dịch tại châu Âu vào tháng 10 năm 2022. Sau thời điểm đó, việc định tuyến thanh toán thẻ qua 3DS1 không chỉ lỗi thời mà còn không tuân thủ quy định. Điều từng là tùy chọn đã trở thành bắt buộc, và việc nâng cấp lên 3D Secure 2 mà các nhà cung cấp dịch vụ thanh toán đã khuyến nghị trong nhiều năm qua trở thành con đường duy nhất.
Lịch sử của 3D Secure: Từ 3DS1 đến 3DS2
Hệ thống 3DS1 ra mắt vào đầu những năm 2000. Cơ chế xác thực là một cửa sổ bật lên chuyển hướng, thường được ngân hàng phát hành thẻ lưu trữ. Chủ thẻ sẽ thấy một cửa sổ trình duyệt mới, nhập mật khẩu cố định mà họ thường quên, và sau đó hoặc là hoàn tất giao dịch hoặc là bỏ dở giữa chừng. Tỷ lệ bỏ ngang ở bước này là một vấn đề có thể đo lường được đối với các nhà bán lẻ thuộc mọi lĩnh vực.
| Tính năng | 3DS1 | 3DS2 |
|---|---|---|
| Giao diện người dùng xác thực | Chuyển hướng cửa sổ bật lên / cửa sổ mới | iframe nhúng hoặc SDK gốc |
| Dữ liệu đã được gửi đến bên phát hành. | ~15 điểm dữ liệu | Hơn 100 điểm dữ liệu (thiết bị, hành vi, lịch sử) |
| Hỗ trợ di động | Tệ — không có SDK gốc | Bộ SDK iOS và Android đầy đủ (phiên bản gốc) |
| Dòng chảy không ma sát | Không có sẵn | Đúng vậy — phần lớn các giao dịch |
| Phương pháp thử thách | Mật khẩu tĩnh | Mã OTP, thông báo đẩy, sinh trắc học |
| Chuyển đổi trách nhiệm | Đúng | Có (phạm vi phủ sóng mở rộng) |
| Trạng thái của EU | Đã ngừng hỗ trợ vào tháng 10 năm 2022. | Bắt buộc |
3DS2 được thiết kế để khắc phục những thiệt hại do 3DS1 gây ra trong quá trình chuyển đổi. Bằng cách gửi hơn 100 tín hiệu rủi ro đến tổ chức phát hành ngay từ đầu quy trình, giao thức này cung cấp cho các ngân hàng đủ dữ liệu để phê duyệt hầu hết các giao dịch mà không cần yêu cầu khách hàng thực hiện bất kỳ thao tác nào. Khi có yêu cầu xác thực, đó sẽ là mã SMS hoặc dữ liệu sinh trắc học, chứ không phải mật khẩu mà chủ thẻ đã thiết lập ba năm trước.
Cách thức xác thực 3DS2 hoạt động: Hướng dẫn từng bước
Mỗi giao dịch 3DS2 đều được định tuyến qua một trong hai con đường. Ngân hàng phát hành sẽ chọn con đường nào dựa trên dữ liệu rủi ro mà họ nhận được. Trong hầu hết các trường hợp, khách hàng thậm chí không hề nhận thấy quá trình xác thực đã diễn ra.
Luồng giao dịch không ma sát (70–90% giao dịch):
- Khách hàng nhập thông tin thẻ khi thanh toán.
- Cổng thanh toán của người bán hoặc máy chủ 3DS thu thập hơn 100 điểm dữ liệu: dấu vân tay thiết bị, vị trí địa lý IP, đặc điểm trình duyệt, lịch sử giao dịch, tín hiệu hành vi.
- Các thông tin này được gửi trong Yêu cầu Xác thực (AReq) đến máy chủ thư mục của mạng thẻ, sau đó được chuyển tiếp đến Máy chủ Kiểm soát Truy cập (ACS) của ngân hàng phát hành.
- Hệ thống ACS thực hiện đánh giá rủi ro tự động — thường chỉ trong vòng chưa đầy một giây.
- Nếu giao dịch được đánh giá là rủi ro thấp, ACS sẽ phê duyệt mà không cần khách hàng thực hiện bất kỳ thao tác nào.
- Giao dịch hoàn tất với việc chuyển giao trách nhiệm sang ngân hàng phát hành.
Luồng xử lý yêu cầu (10–30% giao dịch):
- Các bước 1–3 đều giống nhau — thu thập dữ liệu và nộp AReq.
- Hệ thống ACS đánh dấu giao dịch này là có rủi ro cao hơn: thiết bị mới, số tiền bất thường, địa chỉ giao hàng mới hoặc tỷ lệ gian lận cao đối với loại hình người bán đó.
- Khách hàng sẽ được yêu cầu xác thực bằng yếu tố thứ hai — mã xác nhận một lần qua SMS, thông báo đẩy từ ứng dụng ngân hàng hoặc xác thực sinh trắc học.
- Khách hàng hoàn thành thử thách
- Giao dịch được chấp thuận với việc chuyển trách nhiệm sang bên phát hành.
Điều làm nên sự khác biệt giữa 3DS2 và người tiền nhiệm chính là quy trình giao dịch liền mạch. Hầu hết khách hàng hoàn tất giao dịch đã được xác thực mà không cần thực hiện thêm bất kỳ thao tác nào. Khi có yêu cầu xác thực xuất hiện, đó vẫn là phương thức quen thuộc — thông báo đẩy tương tự như khi họ phê duyệt chuyển khoản ngân hàng.
Các trường hợp miễn trừ SCA và thời điểm áp dụng
Không phải mọi giao dịch đều yêu cầu xác thực hai yếu tố (SCA). PSD2 định nghĩa các trường hợp ngoại lệ cho phép thanh toán được thực hiện mà không cần xác thực hai yếu tố. Yêu cầu miễn trừ không giống như được chấp thuận. Ngân hàng phát hành sẽ quyết định có chấp thuận hay không. Bị từ chối có nghĩa là từ chối nhẹ, và người bán phải gửi lại yêu cầu với SCA được kích hoạt.
| Loại miễn trừ | Tình trạng | Giới hạn |
|---|---|---|
| Giao dịch giá trị thấp | Giao dịch dưới 30 euro | Tối đa 5 giao dịch liên tiếp hoặc tổng cộng €100 kể từ lần SCA gần nhất. |
| Phân tích rủi ro giao dịch (TRA) | Tỷ lệ gian lận của bên mua lại hoặc bên phát hành dưới ngưỡng quy định. | 100€ với tỷ lệ gian lận ≤0,13% / 250€ với tỷ lệ ≤0,06% / 500€ với tỷ lệ ≤0,01% |
| Giao dịch định kỳ (số tiền cố định) | Cùng số tiền, cùng người nhận sau khi thực hiện SCA ban đầu. | Không giới hạn |
| Giao dịch do người bán khởi xướng | Thanh toán theo gói đăng ký, trả góp | SCA chỉ bắt buộc đối với giao dịch đầu tiên. |
| Người thụ hưởng đáng tin cậy | Chủ thẻ đã thêm người bán vào danh sách trắng của ngân hàng. | Dành riêng cho người bán, do chủ thẻ kiểm soát |
| Thanh toán doanh nghiệp an toàn | Hệ thống thanh toán B2B chuyên dụng | Chỉ các hệ thống được cơ quan quản lý phê duyệt. |
Trách nhiệm pháp lý thuộc về bên yêu cầu miễn trừ. Nếu bên nhận thanh toán yêu cầu miễn trừ TRA và bên phát hành chấp nhận, thì bên nhận thanh toán (và do đó, người bán) phải chịu trách nhiệm về gian lận nếu có sự cố xảy ra. Nếu bên phát hành áp dụng miễn trừ một cách độc lập, trách nhiệm sẽ thuộc về họ. Những người bán thực hiện giao dịch với số lượng lớn dựa trên miễn trừ TRA nên theo dõi xem mỗi giao dịch được thực hiện theo quy trình nào.
SCA và 3DS2 ảnh hưởng đến các nhà bán lẻ như thế nào?
Lý do kinh doanh để phát triển phần mềm SCA 3DS2 đúng cách không chỉ dừng lại ở việc tuân thủ quy định:
- Chuyển trách nhiệm : Việc hoàn tất xác thực 3DS2 chuyển trách nhiệm hoàn tiền do gian lận thẻ từ người bán sang ngân hàng phát hành. Không có xác thực đồng nghĩa với việc người bán phải gánh chịu trực tiếp thiệt hại do gian lận thẻ. Tỷ lệ gian lận thẻ tại EU cao gấp 17 lần ở những khu vực không yêu cầu xác thực một lần (SCA).
- Tỷ lệ xác thực : 3DS2 thường cải thiện tỷ lệ xác thực so với các giao dịch thanh toán không được xác thực. Các tổ chức phát hành thẻ sẽ tự tin hơn khi có 100 điểm dữ liệu thay vì chỉ số thẻ và mã CVV.
- Tỷ lệ chuyển đổi khi thanh toán : quy trình thử thách thêm một bước, nhưng 3DS2 không gây trở ngại hầu như không gây trở ngại nào. Một quy trình 3DS2 được triển khai tốt thường tạo ra tác động chuyển đổi ổn định hoặc tích cực so với 3DS1.
- Chất lượng dữ liệu : chất lượng của dữ liệu AReq quyết định tỷ lệ giao dịch diễn ra suôn sẻ. Các nhà bán lẻ chỉ gửi các trường bắt buộc sẽ có tỷ lệ xác thực cao hơn so với những người điền cả các trường tùy chọn — dấu vân tay thiết bị, số lượng giao dịch trong quá khứ, thời gian cập nhật địa chỉ giao hàng.
- Địa lý : Các quy tắc SCA khác nhau giữa các quốc gia thành viên EEA, Vương quốc Anh (lịch trình SCA riêng sau Brexit) và các thị trường khác. Hệ thống thanh toán toàn cầu cần phân chia các khu vực này một cách chính xác ở cấp độ yêu cầu.
Danh sách kiểm tra tuân thủ SCA dành cho người bán hàng trực tuyến
Việc thiết lập SCA 3DS2 đúng cách đòi hỏi nhiều hơn là chỉ kích hoạt 3DS2 tại cổng kết nối. Công việc liên tục cũng rất quan trọng:
- Hãy kiểm tra xem PSP hoặc cổng thanh toán của bạn có hỗ trợ 3DS2 hay không. Hầu hết các nhà cung cấp dịch vụ thanh toán lớn (Stripe, Adyen, Worldpay, Braintree) đều tự động xử lý việc này. Các nhà cung cấp dịch vụ thanh toán khu vực hoặc cũ hơn có thể vẫn chạy trên 3DS1 hoặc chỉ hỗ trợ một phần.
- Kiểm tra lại dữ liệu AReq của bạn. Hãy làm việc với nhà cung cấp dịch vụ thanh toán để xác nhận bạn đang gửi tất cả hơn 100 trường dữ liệu tùy chọn, chứ không chỉ số lượng tối thiểu bắt buộc. Mỗi trường bổ sung sẽ giúp tăng thêm sự tự tin cho nhà phát hành về quá trình phê duyệt liền mạch.
- Phân loại các loại giao dịch của bạn. Xác định những khoản thanh toán nào do người bán khởi tạo (đăng ký sau khi thiết lập), đặt hàng qua thư/điện thoại hoặc giao dịch một chiều. Đánh dấu chính xác các giao dịch này — chúng không đi qua 3DS2 và không nên được định tuyến đến đó.
- Kiểm tra trải nghiệm người dùng (UX) của quy trình thử thách. Khi một thử thách nâng cao được kích hoạt, trải nghiệm phải rõ ràng và thân thiện với thiết bị di động. Màn hình nhập mã OTP gây khó hiểu sẽ làm giảm tỷ lệ chuyển đổi. Kiểm tra trên nhiều thiết bị và trình duyệt trước khi chính thức ra mắt.
- Theo dõi tỷ lệ giao dịch không gặp trở ngại so với tỷ lệ giao dịch có gặp trở ngại. Sự sụt giảm tỷ lệ giao dịch không gặp trở ngại báo hiệu một vấn đề — dữ liệu được truyền tải bị suy giảm, tổ chức phát hành thay đổi mô hình rủi ro của họ, hoặc tỷ lệ gian lận trong một danh mục người bán vượt quá ngưỡng TRA.
- Theo dõi kết quả miễn trừ. Biết rõ bạn đang yêu cầu miễn trừ loại nào, loại nào được chấp nhận và loại nào bị từ chối nhẹ. Việc từ chối nhẹ đối với các khoản miễn trừ giá trị thấp thường có nghĩa là tổng số tiền tích lũy tối đa 100€ đã đạt đến giới hạn mà không được thiết lập lại.
- Hãy theo dõi tiến trình PSD3. Đề xuất PSD3 của Ủy ban Châu Âu đang trong quá trình lập pháp; việc thực hiện tại các quốc gia thành viên dự kiến vào năm 2026–2027. Nó mở rộng SCA chứ không phải thay thế nó — các yêu cầu xác thực trở nên chi tiết hơn, chứ không phải đơn giản hơn.
Một điều mà nhiều người bán hàng không nhận ra về SCA 3DS2: toàn bộ khung pháp lý này chỉ áp dụng cho các giao dịch thanh toán điện tử được quy định theo PSD2, nghĩa là tiền tệ pháp định được chuyển qua các ngân hàng và mạng lưới thẻ. Thanh toán bằng tiền điện tử nằm hoàn toàn ngoài phạm vi đó.
Khi khách hàng thanh toán bằng Bitcoin, Ethereum hoặc stablecoin, giao dịch không thông qua mạng lưới thẻ hoặc ngân hàng. Không có tổ chức phát hành nào chạy ACS. Không có AReq, không có máy chủ thư mục, không có quy trình thử thách nào cần quản lý. Các quy tắc SCA không áp dụng vì loại hình thanh toán này nằm ngoài phạm vi quy định.
Đối với người bán, điều này thể hiện rõ ràng. Thanh toán bằng tiền điện tử không có bước xác thực 3DS2, không yêu cầu mã OTP và không có quy trình xác thực phức tạp. Khách hàng thanh toán từ ví của họ; tiền được chuyển đến. Việc hoàn tiền cũng không tồn tại — giao dịch tiền điện tử là không thể đảo ngược, loại bỏ hoàn toàn cơ chế trách nhiệm pháp lý đối với gian lận.
Đối với các nhà bán lẻ muốn thêm tùy chọn thanh toán hoàn toàn nằm ngoài khuôn khổ xác thực thẻ, Plisio hỗ trợ hơn 20 loại tiền điện tử mà không cần phí xác thực SCA, không có rủi ro hoàn tiền và không phụ thuộc vào mô hình rủi ro của ngân hàng phát hành.
SCA và 3DS2 có ý nghĩa gì đối với hệ thống thanh toán của bạn?
SCA không hề trở nên đơn giản hơn. PSD3 sẽ mở rộng thêm các yêu cầu xác thực, và Vương quốc Anh đang vận hành lộ trình thực thi SCA riêng của mình sau Brexit. Câu hỏi thực tế đối với các nhà bán lẻ là việc triển khai SCA 3DS2 đang hoạt động tốt đến mức nào, chứ không phải là có nên triển khai nó hay không.
Nếu được thực hiện tốt, khung pháp lý này sẽ mang lại lợi ích cho tất cả các bên liên quan. Người bán được bảo vệ khỏi trách nhiệm pháp lý đối với các khoản hoàn tiền gian lận. Các tổ chức phát hành thẻ nhận được tín hiệu phong phú hơn thông qua tải trọng dữ liệu mở rộng của 3D Secure 2 và phê duyệt nhiều giao dịch hơn một cách tự tin. Khách hàng được xác thực an toàn mà thường không làm gián đoạn quá trình thanh toán của họ. Những người bán gặp khó khăn là những người chỉ bật 3DS2 ở mức tối thiểu của cổng thanh toán và không bao giờ xem xét lại tỷ lệ giao dịch không gặp trở ngại, chất lượng tải trọng AReq hoặc tỷ lệ xử lý ngoại lệ.
