自2022年3月14日英国宣布执行SCA以来,欧洲经济区已全面执行SCA(Strong Customer Authentication)新规 。目前进行SCA强客户身份认证最常用的方法是3D-Secure(简称3DS)。自从这项技术的最初版本诞生以来,一直在不断改进,并开始将安全问题与消除消费者摩擦相结合。
随着 EMV 3DS 2.2 推出,该技术也持续进步,现已支持更加无缝的结账体验,以及更加智能的基于风险的决策及验证豁免流程处理。对出海商户而言,适应政策要求,全面执行SCA是确保业务顺利在欧洲稳定发展的必要举措。本文光子易PhotonPay将向您介绍 SCA 背景,以及增强版 3DS 2.2如何帮助商户成功完成销售环节,减少退单及有争议的付款。
什么是对用户身份进行强校验
(Strong Customer Authentication) 身份验证即是验证某人是否符合身份信息的过程。对于远程购物或银行交易来说,可通过不同方式进行身份验证。
❖通常情况下,身份验证需要以下信息:
• 消费者知道的信息(例如:PIN 码或密码)
• 消费者拥有的工具(例如:令牌或设备)
• 消费者的生物特征(例如:指纹)
进行SCA最常用的方法是 3D Secure (3DS),是大多数欧洲银行卡都支持的一种验证标准。
需要注意的是:2022年10月起,各大卡组织陆续停止支持 3DS 1.0。2022 年 10 月之际,国际主流卡组已对外公布,发卡机构和收单机构将必须遵守加强的欧洲在线支付安全标准 (EMV 3DS 2.2)。
什么是 EMV 3DS?
EMVCo(国际芯片卡及支付技术标准组织)是制定与维护国际支付标准规范的专业支付组织。目前由 Mastercard、VISA、美国运通、 中国银联、JCB、Discovery共同负责,主要职责系发展制定与主管维护EMV支付芯片卡的规格、标准与认证,监督并确保该标准于全球的安全互通性与其支付可用性。
EMV 3DS是由EMVCo统一发布的针对CNP电子商务交易的持卡人身份验证协议标准,帮助预防未授权的CNP交易,避免电商商户受到盗卡和欺诈损害。
随着技术的发展,以及人们生活方式、购物习惯的变化,人们不断地趋向远程购物。因此,最初上世纪九十年代末发布的3DS 标准也在不断发展以顺应时代潮流。3DS 2.1 扩展到移动支付和替代身份验证方法,并可收集相当于过去十倍的数据,来进行准确度更高的风险分析。
随着 EMV 3DS 2.2 推出,该技术也持续进步,现已支持更加无缝的结账体验,以及更加智能的基于风险的决策及验证豁免流程处理。
最新 3DS 2.2与以往版本的区别?
目前EMV 3DS最新版本为2.2,相比于2.1,3DS 2.2拥有其所有的功能,并在此基础上进一步优化了消费者的购物体验,支持更多的支付方式与更多的豁免环境。这些都将有效提升支付成功率,并降低消费者放弃订单的可能性。
- 3DS 2.2版本允许支付服务商或商家应用交易风险分析系统(TRA:Transaction Risk Analysis),向发卡行请求低风险豁免。
TRA豁免其实在3DS 2.1中就有应用,它允许商户或支付服务商在欺诈率低于特定阈值的情况下直接让交易避开SCA校验,但部分发卡行的3DS 2.1版本并不支持该项功能,而3DS 2.2版本则要求发卡行必须支持TRA豁免。需要注意的是,不同的交易金额在申请TRA豁免时所需的阈值也有所不同。
- 3DS 2.2支持商户发起付款(3RI:3DS Requestor Initiated),这意味着消费者不再需要参加每一个交易步骤。
3RI功能是3DS 2.2与2.1版本的主要区别之一,该功能允许商户在一次交易的身份认证中获得额外的密钥,该密钥可以被商户用来请求一系列有关这笔交易的授权。
例如,在消费者进行付费电视频道的订阅,或是购买旅行社的打包产品(包含机票、酒店、及其他涉及多个商家的产品)时。3RI将允许商户仅做一次身份认证就可以使用该授权完成后续的交易,而消费者则无需参与其中。
- 3DS 2.2版本支持委托认证(Delegated Authentication)功能,该功能允许第三方机构代替发卡行进行身份验证。
委托认证允许商户、支付服务商或是收单行在某些情况下代表发卡行对消费者进行认证,并在数据流的传输中向发卡行告知该笔交易已通过身份验证。
这么做的好处显而易见,发卡行可以根据第三方机构的身份认证信息,来免除这笔交易可能会触发的3DS身份认证步骤,从而进一步优化支付流程,降低弃单率。
- 3DS 2.2版本支持解耦认证(Decoupled Authentication)功能,该功能可以将支付与认证两个步骤分开,适用于消费者无法立即完成身份认证的情况。
解耦认证的出现成功将绑定在一起的支付与认证两个步骤拆分开来,该功能也可应用于上文中提到的3RI,但最重要的是它允许消费者在身份认证时拥有更多选择。
例如,消费者在PC浏览器上购买一件商品,但却可以在移动手机上完成SCA认证。除此之外,商家还可以自定义解耦认证的持续时间,以保证消费者有充足的时间来完成身份验证。
综上所述,成熟的SCA应对方案可以降低消费者在商户网站上的支付阻力,是打造丝滑交易体验的关键之一。