SCA 和 3DS2 详解:PSD2 支付认证
无论您是否愿意,向欧洲客户在线销售商品都意味着您需要处理强客户认证 (SCA) 和 3D Secure 2。强客户认证是 PSD2 法规的强制性法律要求,而大多数商家实际采用的就是 3D Secure 2。本指南将详细介绍 SCA 和 3D Secure 2 在实践中的具体含义、特殊情况以及出错的代价。
什么是SCA?强客户认证的定义
强客户认证是 PSD2(欧盟支付服务指令 2)下的一项验证要求。当客户发起电子支付,且其发卡银行和商户收单银行均位于欧洲经济区时,则适用此要求。
规则本身与因素有关。安全认证必须使用以下三个因素中的至少两个,并且它们必须来自不同的类别:
- 知识——持卡人知道的信息:密码、PIN码或安全问题
- 持有物——持卡人拥有的物品:手机、硬件令牌或智能卡
- 固有特征——持卡人自身的属性:指纹识别、面部识别、语音识别
这些因素必须彼此独立——泄露其中一个不会影响其他因素。它们还必须与具体的交易金额和收款人动态关联。适用于所有交易的静态密码不符合要求。
适用范围:强客户认证 (SCA) 涵盖客户发起的在线信用卡消费。它不适用于商户发起的交易(初始授权后的定期扣款)、邮购或电话订购,也不适用于商户或持卡人银行位于欧洲经济区 (EEA) 以外的任何交易。最后一类交易被称为“单边境外交易”,适用于拥有全球混合客户群的商户。
3DS2是什么?它与SCA有什么关系?
3D Secure 2 的名称由来如下:3D 代表三个领域——发卡银行(即发行持卡人卡的银行)、收单银行(即处理商户付款的银行)以及连接两者的卡组织网络。版本 2 将其与 Visa 于 1999 年推出的原始协议(名为“Verified by Visa”)区分开来。EMVCo 由 Visa、Mastercard、Amex 和其他支付机构共同拥有,负责构建和维护 3D Secure 2 标准。
这与SCA有何关联?PSD2要求银行卡支付必须使用双因素认证。3D Secure 2是商家用于非面对面交易的认证机制。从技术上讲,开放银行流程和银行应用程序重定向也可以满足SCA要求,但实际上,绝大多数在线银行卡支付都是通过3D Secure 2完成的。
Visa 和 Mastercard 于 2022 年 10 月停止支持欧洲交易的 3DS1 验证。此后,通过 3DS1 进行卡支付不仅过时,而且不符合支付方案规范。曾经的可选方案变成了强制性方案,而支付处理商多年来一直推荐的 3D Secure 2 升级方案也成为了唯一的出路。
3D安全技术发展史:从3DS1到3DS2
3DS1于2000年代初推出。其认证机制是一个重定向弹窗,通常由发卡银行托管。持卡人会看到一个新的浏览器窗口,输入他们经常忘记的固定密码,然后要么成功通过,要么放弃。对于各行各业的商家来说,这一步骤的放弃率都是一个不容忽视的问题。
| 特征 | 3DS1 | 3DS2 |
|---|---|---|
| 身份验证用户界面 | 重定向弹出窗口/新窗口 | 嵌入式 iframe 或原生 SDK |
| 发送给发卡机构的数据 | 约15个数据点 | 100多个数据点(设备、行为、历史记录) |
| 移动支持 | 糟糕——没有原生 SDK | 完整的原生 iOS 和 Android SDK |
| 无摩擦流 | 无法使用 | 是的——大多数交易 |
| 挑战方法 | 静态密码 | 一次性密码、推送通知、生物识别 |
| 责任转移 | 是的 | 是的(扩大覆盖范围) |
| 欧盟地位 | 已于2022年10月弃用 | 强制的 |
3DS2旨在修复3DS1造成的转换问题。该协议在交易流程开始时向发卡行发送超过100个风险信号,使银行能够获得足够的数据来批准大多数交易,而无需客户进行任何操作。即使需要进行验证,验证方式也是短信验证码或生物识别信息,而不是持卡人三年前设置的密码。
3DS2 认证工作原理:分步详解
每笔3DS2交易都会通过两条路径之一进行路由。发卡行会根据收到的风险数据选择路径。在大多数情况下,客户根本不会察觉到任何身份验证过程。
无摩擦流程(占交易量的 70%–90%):
- 顾客在结账时输入银行卡信息。
- 商家的支付网关或3DS服务器会收集100多个数据点:设备指纹、IP地理位置、浏览器特征、交易历史记录、行为信号
- 这些信息通过身份验证请求 (AReq) 发送到卡组织的目录服务器,然后转发到发卡银行的访问控制服务器 (ACS)。
- ACS 可自动进行风险评估——通常不到一秒即可完成。
- 如果交易风险评分较低,ACS 将自动批准该交易,无需客户采取任何行动。
- 交易完成时,责任转移至开证行。
挑战流程(占交易量的 10-30%):
- 步骤 1-3 相同——数据收集和 AReq 提交
- ACS 会将交易标记为高风险:新设备、异常金额、新的收货地址,或该商户类别中较高的欺诈率。
- 系统会提示客户输入第二重验证因素——短信一次性验证码、银行应用程序推送通知或生物识别信息。
- 客户完成了挑战
- 交易获批,责任转移至发行人。
3DS2 与其前代产品最大的区别在于其流畅便捷的交易体验。大多数用户无需任何额外操作即可完成认证交易。即使遇到验证问题,也采用用户熟悉的推送通知方式——与批准银行转账时使用的相同。
SCA豁免及其适用情况
并非所有交易都需要强客户认证 (SCA)。PSD2 定义了一些豁免情况,允许支付无需双因素认证即可完成。申请豁免并不等同于获得豁免。是否批准豁免由发卡行决定。如果申请被拒绝,则属于软拒绝,商户需要重新提交并启用 SCA。
| 豁免类型 | 健康)状况 | 限制 |
|---|---|---|
| 低价值交易 | 交易金额低于 30 欧元 | 自上次强客户认证以来,最多可连续进行 5 笔交易或累计金额不超过 100 欧元。 |
| 交易风险分析(TRA) | 收单机构或发卡机构欺诈率低于阈值 | 100 欧元,欺诈率≤0.13% / 250 欧元,欺诈率≤0.06% / 500 欧元,欺诈率≤0.01% |
| 定期交易(固定金额) | 初始强客户认证后,金额相同,收款人也相同。 | 无限制 |
| 商户发起的交易 | 订阅计费,分期付款 | 仅首次交易需要 SCA 认证 |
| 受托受益人 | 持卡人已将该商户列入其银行的白名单。 | 商户专属,持卡人控制 |
| 安全的企业支付 | 专用B2B支付系统 | 仅限监管机构批准的系统 |
责任取决于谁申请了豁免。如果收单机构申请了TRA豁免,且发卡机构接受了该豁免,那么一旦出现问题,收单机构(以及商户)将承担欺诈责任。如果发卡机构独立申请了豁免,则责任由发卡机构承担。对于使用TRA豁免进行交易量较大的商户,应追踪每笔交易的豁免路径。
SCA 和 3DS2 如何影响商家
正确实施 SCA 3DS2 的商业意义远不止于满足监管要求:
- 责任转移:完成 3DS2 认证后,欺诈拒付责任将从商户转移至发卡银行。未进行认证则意味着商户直接承担信用卡欺诈责任。在不强制要求 SCA 的地区,欧盟信用卡欺诈率高出 17 倍。
- 授权率:与未经认证的支付相比,3DS2 通常能提高授权率。发卡机构拥有 100 个数据点,而不是卡号和 CVV 码,因此在审批时更有信心。
- 结账转化率:传统的3DS2流程增加了一个步骤,但流畅的3DS2流程几乎不会增加任何阻力。与3DS1流程相比,精心设计的3DS2流程通常能带来持平或更高的转化率。
- 数据质量:AReq有效载荷的质量决定了无摩擦交易的比例。仅发送必填字段的商户比填写可选字段(例如设备指纹、历史交易次数、收货地址的有效期)的商户面临更高的挑战率。
- 地域差异:SCA 规则在欧洲经济区成员国、英国(其脱欧后的 SCA 时间表各不相同)和其他市场之间存在差异。全球结账流程需要在请求级别正确区分这些差异。
在线商家SCA合规性检查清单
正确设置 SCA 3DS2 不仅仅是在网关上启用 3DS2 功能。后续工作也至关重要:
- 请确认您的PSP或支付网关支持3DS2。大多数主流支付处理商(Stripe、Adyen、Worldpay、Braintree)都能自动处理。部分地区或较旧的支付处理商可能仍然支持3DS1,或者仅部分支持。
- 审核您的 AReq 数据有效负载。与您的支付服务提供商合作,确保您发送了所有 100 多个可选数据字段,而不仅仅是必填的最低字段。每个额外的字段都能提高发卡机构对无摩擦审批的信心。
- 绘制交易类型图。识别哪些付款是由商家发起的(例如设置后的订阅)、邮购/电话订购或单笔付款。正确标记这些交易——它们不经过 3DS2,也不应路由到那里。
- 测试挑战流程的用户体验。当触发升级挑战时,体验应该清晰明了且适合移动设备。令人困惑的验证码页面会降低转化率。上线前,务必在各种设备和浏览器上进行测试。
- 监控无摩擦交易率与挑战交易率。无摩擦交易率下降表明存在问题——数据有效载荷降低、发卡机构更改了风险模型,或者某个商户类别的欺诈率超过了交易风险阈值。
- 追踪豁免申请结果。了解您申请了哪些豁免、哪些申请被批准以及哪些申请被软性拒绝。低额豁免申请被软性拒绝通常意味着累计100欧元的限额已达到,但未重置。
- 关注PSD3时间表。欧盟委员会的PSD3提案正在立法程序中;预计成员国将于2026-2027年实施。它扩展而非取代了强认证(SCA)——认证要求更加细化,而非简化。
许多商家对SCA 3DS2缺乏了解:整个框架的范围仅限于受PSD2监管的电子支付交易,这意味着法定货币通过银行和卡组织进行交易。加密货币支付完全不在其范围内。
当客户使用比特币、以太坊或稳定币付款时,交易无需经过卡组织或银行。发卡机构无需运行账户验证系统 (ACS)。无需管理身份验证请求 (AReq)、目录服务器或质询流程。由于此类支付方式不在监管范围内,因此强客户认证 (SCA) 规则不适用。
对商家而言,这体现在方方面面。加密货币支付无需3DS2认证步骤、无需一次性密码请求,也无需质询流程。顾客直接从钱包付款,款项立即到账。此外,也不存在拒付——加密货币交易不可逆,彻底消除了欺诈责任机制。
对于希望在卡片认证框架之外添加支付选项的商家而言, Plisio支持 20 多种加密货币,无需 SCA 开销,没有拒付风险,也不依赖于发卡银行的风险模型。
SCA 和 3DS2 对您的支付堆栈意味着什么
SCA(强客户认证)并没有变得更简单。PSD3(支付服务指令3)将进一步扩展认证要求,而且英国在脱欧后将运行自己的SCA执行机制。对商家而言,实际问题在于SCA 3DS2的实施效果如何,而不是是否要实施它。
如果运用得当,这套框架对所有参与者都有益。商户可以获得欺诈拒付的责任保护。发卡机构可以通过 3D Secure 2 扩展的数据负载获得更丰富的信号,从而更有信心地批准更多交易。客户可以获得安全的身份验证,而且通常不会中断他们的结账流程。那些遇到问题的商户往往只是在网关上启用了 3DS2 的最低配置,之后就再也没有关注过他们的无摩擦率、AReq 负载质量或豁免命中率。
