1. 什么是强客户身份验证(SCA)?
强客户身份验证是欧洲的一项要求,强身份认证的引入旨在提高在线支付的安全性,降低欺诈风险。所有在欧洲经济区(EEA)、摩纳哥和英国境内进行的在线支付都需遵守这项要求的规定。
简而言之,强客户身份验证意味着欧洲的购物者在使用在线支付时可能需要完成额外的身份认证。
强客户身份验证要求用户在认证时选择提供以下信息中的两种:他们知道的信息(Something they know)、他们拥有的信息(Something they have)、以及他们固有的信息(Something they are)。
您可以在下面的图片中找到这些分类中包含哪些类型的信息。
在强客户身份验证实行之前,发卡银行只能使用单个的静态密码验证客户身份。这些新的动态数据点可以更准确地验证用户身份。
2. 强客户身份验证的例子
强客户身份验证为您提供更多的验证购物者身份的方法,而不是仅仅使用传统的“他们知道的信息”(比如密码)。您现在可以组合其他的属于两个不同类别的数据点进行身份验证。
例如:
使用智能手机(他们拥有的设备)进行面部识别或指纹验证他们的身份。
这样,一个代码将发送到他们的智能手机(他们拥有的设备),搭配个人密码(他们知道的信息)使用。
尽管现在要求增加身份验证的步骤,但是顾客可选择更多的数据点帮助他们验证身份。这种方法使客户更容易验证支付,并最终减少付款失败的次数。
3. 强客户身份验证是如何实施的?
强客户身份验证的具体实施因支付方法而异。
对于信用卡和借记卡,通常使用3D Secure。电子钱包和其他本地支付方法通常提供它们自己的符合强客户身份验证要求的身份验证方法。
3D Secure
3D Secure提供了额外的身份验证方法来验证客户的身份。一旦客户完成强客户身份验证,发卡行(而不是企业)将承担所有欺诈性退单的责任。
3D Secure 2
3D Secure 2 (3DS2)为用户提供了比3D Secure 1 (3DS1)更友好的用户体验。3D Secure 2的每个版本都与强客户身份验证兼容,并且3D Secure 1将逐渐被替代(目前绝大多数大的借记卡和信用卡公司已经不再支持)。
本地支付方式与电子钱包
除了3D Secure 2之外,您还可以通过本地支付方式和数字钱包确保您的支付服务符合强客户身份验证要求。这种方法有一些额外优势,可以增加某些市场和用例中的转化率。
在整个欧洲经济区,我们可以发现当地支付方式的很好地适应了这种转变,例如:
- 比利时的Bancontact Mobile
- 荷兰的iDEAL
- 挪威、瑞典、丹麦和芬兰的MobilePay、Vipps和Swish
- 奥地利的EPS
- 波兰的Blik
- 葡萄牙MBWay
4. 强客户身份验证何时适用?
所有在欧洲进行的在线支付在线支付均需要进行强客户身份验证。欧洲的在线支付意味着无论是公司和持卡人的银行都在欧洲境内。我们还发现其他更多的地区,如印度,开始引入强客户身份验证作要求。
但是有一些交易不受强客户身份验证要求的约束,或者超出了PSD2 强客户身份验证的约束范围。下面,您可以找到强客户身份验证不适用的具体交易的列表。
5. 强客户身份验证:免除或超出范围的交易
强客户身份验证豁免旨在保持特定支付场景下的客户购物过程的顺畅。超出范围的交易不包括在PSD2命令中,也不需要用户进行强客户身份验证。
低风险交易-交易风险分析(TRA)
低风险交易指的是与欺诈程度低于一定阈值的收购方或发行人进行的交易。
某些收购方,如Adyen,会审查每笔“范围内”的交易可能涉及的风险,以遵守交易风险分析的要求。如果收购方认为交易风险较低,则可以请求“交易风险分析豁免”,尝试跳过强客户身份验证过程。
但是,这种情况只有在收购方或发行人的欺诈率低于以下阈值时才有可能发生:
- 交易金额在0欧元至100欧元之间时,风险值低于0.13%时
- 交易金额在100欧元至250欧元之间时,风险值低于0.06%时
- 金额在250欧元至500欧元之间时,风险值低于0.01%时
最后,由发行者决定是否接受此豁免请求,或仍需进行强客户身份验证。
低价值交易
低价值交易指的是金额低于30欧元,同一信用卡累计支付金额超过100欧元的交易。
低于30欧元的交易可免除强客户身份验证。但发卡银行将跟踪使用这一豁免权的付款次数。
如果在卡上尝试在线支付的总金额高于€100 欧元时,并且每进行5次交易就需进行强客户身份验证。
“白名单”——值得信赖的受益者
值得信赖的受益者指的是持卡人所选择的某些可信赖的商家。
客户可以将企业备注到“可信受益人”的白名单中。这份名单将由他们的发卡银行保管。被列在白名单上的商家,无论交易金额多少,都可以不受强客户身份验证的约束。
如果用户将这家企业加入白名单,这种授权可以使得普通客户跳过强客户身份验证。
重复性交易
反复出现的交易指的是第一次付款后的经常性固定金额交易。
对于那些经常性的固定金额交易,将从第二笔交易开始豁免强客户身份验证。用户只需在初始交易时需要进行强客户身份验证。但是,如果交易金额发生变化,则每次新金额的交易都需要进行强客户身份验证。
或者,您还可以将这些类型的支付标记为商家发起的交易(MIT),这就不包含在PSD2强客户身份验证要求的范围。以下是更多关于商家发起的交易的信息。
B2B交易
公司间的交易:公司间的付款可以免除强客户身份验证。但是,只有公司使用专门用于进行公司间交易的支付工具时,才有可能免除强客户身份认证。
6. 不属于强客户身份验证范围内的交易
邮购和电话订购的交易:通过电话或邮件支付的交易。
在所有情况下,邮购和电话订购(MOTO)的交易都不受强客户身份验证的约束。邮购和电话订购的交易不属于“电子”支付,因此不在本文讨论范围之内。
商家发起的交易(MITs):商家发起的交易指的是没有客户直接参与的交易。
商家发起的交易(MITs)是指不直接涉及客户的交易。在事先征得客户同意的情况下,可在约定的日期从已保存的卡中直接付款。
例如,一些产品有一个基于使用的可变成本,如能源合同。第一次付款或第一次保存信用卡时,用户需要进行身份验证。但如果标记为“商户发起的交易”,以下支付可以跳过强客户身份验证。
区域间交易:涉及非欧洲企业或客户的在线支付。
跨区域交易,也称为“单腿交易”,是指发卡人或购卡人不在欧洲经济区、摩纳哥或英国境内发起的在线支付。
这些类型的交易也超出了强客户身份验证的范围。这意味着欧洲企业可以接受来自非欧洲购物者的付款,而不需要PSD2 强客户身份验证要求。
7.如果不兼容强客户身份验证会发生什么?
PSD2 强客户身份验证法规是针对银行的,而不是针对商家的。如发证银行批准不合规交易,则违反了当地的法律,属于违法交易。
商家面临的风险是银行可能拒绝您的交易,这会导致较低的授权费率。
订阅我们的电子期刊
我确认我已阅读Adyen的隐私政策,同意按照该政策使用我的数据。