什么是PSD2强客户验证?

支付是购物体验中至关重要的一部分,无论你在哪里销售什么,尤其是在网上,信任和安全性更是重中之重。

如果你在欧洲经济区(EEA)内经营,你可能听说过修订版支付服务指令(PSD2)。这是一个监管要求,包括强客户验证(SCA),旨在提高在线购买的防欺诈保护,并将对EEA内的企业产生一定影响。

接下来,了解如何应对这些销售复杂性,以便专注于经营和发展你的业务。本文将解答你可能对PSD2、SCA等的所有疑问。

什么是PSD2强客户验证?

PSD2强客户验证是一项旨在减少欺诈和增强支付安全的安全政策,适用于EEA。它是修订版支付服务指令的一部分。

SCA类似于许多人所称的双重身份验证:如果客户使用借记卡或信用卡在线购物,SCA可能要求他们使用两种身份验证方式。

例如,除了输入密码或PIN码外,SCA可能会要求客户输入发送到他们手机上的验证码作为第二步。这使得欺诈交易更难以通过。

SCA还确保一种身份验证方式的泄露不会影响另一种身份验证方式,从而进一步增强客户信息的整体安全性。

修订版支付服务指令是什么?

修订版支付服务指令规范了在欧盟内进行的电子支付。第一版支付服务指令于2007年生效,而PSD2于2019年底发布——尽管直到2020年底才全面实施。

此修订版带来的主要更新之一是对使用借记卡和信用卡在线购物的客户提供更强的保护。这也保护了你作为电子商务商家的利益。

为了遵守这些规定,你需要确保实施强客户认证,以帮助减少来自欧洲买家的非面对面支付欺诈。

SCA示例

强客户认证必须包括以下三种要素中的两种:知识、持有和固有性。

知识

知识是指只有你的客户才会知道的东西。一些例子包括:

  • 密码
  • 短语
  • 秘密信息
  • PIN码
  • 序列号
  • 基于知识的挑战问题

持有

持有是指客户实际拥有的物品。这包括:

  • 手机
  • 平板电脑
  • 可穿戴设备
  • 硬件令牌
  • 智能卡
  • 徽章

固有性

固有性是指客户固有的东西——个人和生理标识符,其他人无法使用。它是能识别客户的身份的东西。示例包括:

  • 指纹
  • 面部识别
  • 声音识别
  • 虹膜识别
  • 视网膜扫描
  • DNA签名

SCA如何运作?

过去,访问账户和支付授权可以通过简单的“客户所知的东西”来完成——例如PIN码。SCA要求更多,确保更好的安全性。

密码可能会被泄露或被黑客攻击。信用卡和借记卡可能会丢失或被盗。但如果要求某人输入来自特定设备的密码或提供指纹扫描,以及他们的信用卡PIN码,这使整个过程更加安全。

SCA通过一种称为3D Secure的协议来实现——这种技术得到了大多数欧洲卡的支持。该协议在结账时增加了一层额外的安全性,客户必须在此过程中进行身份验证。

你的客户将在订单中看到3D Secure指示器,并会提示他们通过多因素身份验证进一步确认身份。

这可能是:

  • 发送到客户智能手机的一次性代码
  • 通过银行应用进行的指纹认证
  • 通过智能手机进行的面部识别

许多智能设备与这些类型的固有身份验证兼容,使客户更容易进行安全购买。

一旦完成此SCA步骤,任何欺诈性退款将由银行负责,而不是你负责。

如何确保SCA合规

如果你的业务在EEA内运营,你需要遵守PSD2和SCA,否则银行可能会拒绝交易。然而,确保合规并不困难——你只需执行以下两项中的一项(或两项):

  • 在信用卡和借记卡支付中应用3D Secure
  • 使用自动优化为PSD2 SCA合规的支付门户——例如 Shopify Payments 或 Apple Pay

拥有Shopify商店使得合规变得简单。通过你可以添加的多种支付选项,你可以轻松确保在EEA内进行的购买自动应用3D Secure。

用户还可以在Shopify订单页面查看使用SCA进行支付处理的订单。通过3D Secure处理的借记卡或信用卡支付的订单将在订单时间线上标注3D Secure(3DS)。

这意味着买家的身份已由发卡银行确认,交易将默认被视为低风险。对于这些交易,商家在订单页面上无需采取任何行动。

何时适用SCA?

SCA适用于在欧盟内进行的所有在线支付。这意味着客户居住在欧盟内,并从在欧盟内运营的企业处进行购买。

然而,越来越多的国家正在朝着类似的要求迈进,以防止欺诈支付并保护商家和支付提供商。

SCA豁免

并非所有的电子支付或电子商务交易都需要遵循SCA。以下是一些不需要SCA的情况示例。

低风险交易

低风险交易通过交易风险分析(TRA)进行识别。支付提供商能够实时进行风险分析,以决定是否需要应用SCA。

此风险由支付提供商的欺诈率决定。如果其欺诈率低于以下阈值,则可能被豁免:

  • 0.13%(交易金额不超过100欧元(约772元人民币))
  • 0.06%(交易金额不超过250欧元(约1931元人民币))
  • 0.01%(交易金额不超过500欧元(约3863元人民币))

支付提供商可以请求“TRA豁免”,以绕过SCA的要求。

低价值交易

低价值交易,或成本不高的交易,也可能被豁免于SCA。法规规定,任何金额不超过30欧元(约231元人民币)的交易可视为低价值交易。

然而,发行银行或卡提供商会跟踪此豁免的使用次数。每五次低价值交易后,必须进行SCA,以确保支付安全且有意,防止欺诈者规避PSD2规定。

定期交易

定期交易或固定金额的订阅是另一种豁免情况。SCA将要求首次支付,但后续的自动支付将不再需要这些安全要求。

商家发起的交易

商家发起的交易(MITs)被视为“超出范围”,而不是豁免。然而,将交易标记为MIT的过程通常与请求豁免类似。

这种类型的支付使用的是已经存档的卡。与定期交易一样,首次支付必须通过强客户认证。然而,后续支付通常不需要,因为客户已经通过合同或其他政策同意了交易的验证。

MOTO交易

MOTO交易,即邮购和电话订单交易,也被视为超出范围。由于这些支付不被视为电子或在线支付,因此不受SCA要求的约束。

企业交易

企业或B2B交易是指在两家公司之间进行的交易。当使用专门用于企业交易的卡进行支付时,这些支付也豁免于SCA要求。

跨区域交易

跨区域交易是指由不在PSD2规定的区域或参数内居住的消费者进行的交易,因此不受SCA要求的约束。

例如,即使你的企业位于欧盟,如果来自美国的客户进行购买,该交易也不在SCA的范围内。

受信任的受益人

最后,客户可以基本上将他们经常合作或信任的公司列入白名单,以便他们的支付不再需要进行身份验证。消费者的银行将跟踪这一“受信任的受益人”列表,以便消费者可以跳过SCA流程。

PSD2对Shopify商家的意义

如果你在德国、丹麦、爱尔兰、荷兰、奥地利、比利时、瑞典、西班牙或英国使用Shopify Payments处理信用卡或借记卡,你无需采取任何措施,因为你已自动合规。

Shopify Payments经过优化,以最小化3D Secure的使用。只有在发卡银行绝对需要时,才会使用3D Secure以授权交易。

如果你使用Stripe处理信用卡或借记卡,你也完全符合PSD2要求,并且能够提供SCA

本地支付方式如iDeal和Klarna,以及Google Pay、Apple Pay和PayPal Express等钱包,已经符合该法规,无需采取任何行动。

对于使用第三方网关的商家,你并不会自动符合PSD2要求。

为了合规,我们建议你使用Shopify认可的SCA网关,并与Cardinal Commerce建立连接。你将在Shopify管理后台的设置 > 支付中看到Cardinal Commerce可用的提示。

如果你在EEA或欧盟的国家运营,确保合规并提供3D Secure选项,或者确保你的支付方式不受SCA限制,对你和你的客户都是最有利的。

PSD2强客户验证——常见问题

何时需要强客户认证?

强客户认证(SCA)在消费者居住在欧洲经济区(EEA)内时进行支付时是必需的。虽然有豁免,但在EEA内运营的企业应确保合规。

如果不符合SCA要求,会发生什么?

这些法律是针对银行的。这意味着银行不能(也不应该)批准未经过SCA安全验证的交易,否则将违反欧洲法律。然而,这也意味着,如果你不符合SCA要求,银行很可能会拒绝交易,这意味着居住在EEA内的消费者无法在你的商店购物。这可能会影响销售,因此确保合规对你来说至关重要。

谁负责强客户认证?

欧洲银行管理局(EBA)负责在欧盟内执行SCA。在英国,PSD2 SCA法规由金融行为监管局(FCA)执行。

什么是PSD2许可证,我该如何获得?

PSD2许可证是欧盟内支付机构所需的。这些包括Stripe、PayPal、Square、Apple Pay、Google Pay等。这些类型的公司将拥有许可证,以便提供符合PSD2指导方针的支付服务。