Última atualização em 29 de outubro de 2024.
Em 15 de março de 2024, um conjunto de diretrizes do setor que descrevem medidas de segurança para empresas que realizam pagamentos com cartão no Japão, as "Diretrizes de Segurança de Cartões de Crédito", foi revisado (Diretrizes de Segurança de Cartões de Crédito 5.0).
As Diretrizes de Segurança de Cartões de Crédito determinam que os comerciantes que realizam vendas online (usuários da Stripe) precisam habilitar a autenticação do 3D Secure até o final de março de 2025 para fins de combate a fraudes.
A autenticação do 3D Secure (3DS) é um mecanismo que fornece uma camada adicional de autenticação para pagamentos com cartão de crédito e protege as empresas contra responsabilidade por fraudes em pagamentos com cartão.
Cronograma de lançamento do 3DS da Stripe
A Stripe exigirá o 3DS em todos os pagamentos aplicáveis a partir de 31 de março de 2025. Em alguns casos, você pode decidir se deseja ou não usar o 3DS.
Em janeiro de 2025, a Stripe começou a exigir o 3DS em uma pequena porcentagem de pagamentos e aumentará gradualmente essa porcentagem até 100% dos pagamentos em 31 de março de 2025, excluindo pagamentos isentos do requisito de 3DS. Para evitar falhas de pagamento, você precisará fazer todas as alterações necessárias na sua integração com a Stripe até o final de 2024.
Caso as preparações para o 3DS se estendam além de dezembro de 2024, você poderá solicitar a sua exclusão do prazo de janeiro. No entanto, a Stripe exigirá o 3DS em todos os pagamentos aplicáveis a partir de 1º de abril de 2025.
Os pagamentos com cartão de crédito que usam APIs mais antigas que não aceitam o 3DS (APIs Charges e Orders) começarão a exigir o 3DS e, portanto, falharão a partir de abril de 2025. A partir de 30 de junho de 2025, todos os pagamentos com cartão de crédito processados por essas APIs falharão.
Pagamentos aplicáveis
Há casos em que você pode decidir se deseja ou não aplicar o 3DS. Para pagamentos realizados sem o 3DS devido a uma isenção, a transferência de responsabilidade por pagamentos fraudulentos não se aplica. Consulte a documentação para ver como a Stripe implementa isenções de 3DS.
Verifique sua integração
Se você já usa a Stripe, talvez precise verificar sua integração para garantir a aceitação do 3DS.
Recomendamos usar os números de cartão de teste da Stripe para verificar se a integração funciona com o 3DS. Saiba mais sobre testes na documentação.
Se você usa a API Charges ou Orders
As APIs Charges e Orders não aceitam o 3D Secure 2. Portanto, se sua conta usa essas APIs obsoletas, os pagamentos com cartão de crédito falharão. Recomendamos que você migre para a API Payment Intents o mais rápido possível para evitar falhas.
Se você usa a API Payment Intents
Você precisa garantir que sua integração consiga processar o estado requires_action para solicitar que seus clientes autentiquem os pagamentos deles. Talvez você tenha que atualizar sua integração para gerenciar a autenticação de cartões.
Além disso, se você finaliza pagamentos no servidor, precisa tomar medidas adicionais para mostrar o fluxo de autenticação 3DS no cliente. Para obter mais informações, consulte este guia.
Se você usa o Billing com uma versão de API anterior à versão 2019-03-04
Você precisará atualizar para a versão 2019-03-14 ou mais recente da API, ou usar o parâmetro payment_behavior conforme descrito neste guia para garantir a autenticação dos pagamentos iniciais das assinaturas dos seus clientes.
Se você usa a Stripe com uma integração ou plataforma de terceiros, precisa falar diretamente com eles para verificar como está a preparação.
Comunique-se com os clientes
Prepare-se para receber dúvidas dos clientes sobre o 3DS. Além disso, se for o caso, garanta que o conteúdo de suporte descreva os requisitos do 3DS.
Uso do Radar e Radar for Fraud Teams
O Stripe Radar ajuda a prevenir fraudes analisando os dados de pagamento de mais de um milhão de empresas em todo o mundo para detectar e bloquear pagamentos fraudulentos. O Radar usa machine learning para realizar avaliações de risco com base em centenas de sinais, incluindo tipo de cartão, país de uso, dispositivo e comportamento. A Stripe oferece três regras padrão do Radar que solicitam dinamicamente o 3DS. Com a configuração dessas regras no Dashboard, é possível solicitar autenticação adicional aos clientes quando a empresa emissora do cartão deles exige o 3DS.
Com o Radar for Fraud Teams, que permite configurar regras personalizadas, as empresas podem adaptar suas próprias definições de gerenciamento de risco para o 3DS. As solicitações de 3DS podem ser feitas com base em níveis de risco ou metadados específicos, ajudando a evitar o bloqueio excessivo de pagamentos legítimos, reduzir a taxa de recusa de pagamentos e maximizar a receita.
O Radar pode ajudar a reduzir a perda de conversões quando medidas antifraude baseadas em risco são usadas. Além disso, o Radar pode ser usado para realizar as análises de risco necessárias para pagamentos iniciados pelo cliente usando cartões salvos.
Perguntas frequentes
As transações presenciais com cartão de crédito estão fora do escopo?
Transações com o uso presencial de cartões físicos estão fora do escopo.
No Japão, a Lei de Vendas Parceladas obriga os comerciantes a adotar medidas de segurança. Há alguma penalidade para os comerciantes que não cumprem esses requisitos?
Não há multas, mas a Stripe ou o adquirente pode iniciar uma investigação do comerciante. Caso não tenha adotado as medidas de segurança necessárias, o comerciante pode ser instruído a fazê-lo para proteger os números de cartão de crédito e evitar seu uso fraudulento. Se o comerciante não adotar as medidas de segurança após essas instruções, poderá ser desativado como comerciante.
Há tarifas para o uso do 3DS?
Na maioria dos casos, não há tarifas adicionais para o 3DS. No entanto, cada tentativa de 3DS pode incorrer em tarifas em contas com planos de preços personalizados.
E se eu uso a Stripe com uma integração de terceiros?
Mesmo que você use a Stripe em uma integração ou plugin de terceiros, pode ser necessário fazer alterações para cumprir os novos requisitos de 3DS. As etapas exatas dependem da implementação do provedor externo. Recomendamos que você entre em contato com o provedor ou fornecedor do plugin externo o mais rápido possível para confirmar se ele está se preparando para essas regulamentações e para se informar sobre todas as atualizações que podem ser necessárias da sua parte.
Como faço para testar o 3DS?
Você pode usar uma chave de API de teste junto com cartões de teste para criar transações de teste. Ao usar cartões de teste que exijam autenticação, você pode validar a autenticação do 3DS.
Isso é obrigatório mesmo caso eu aceite pagamentos de clientes de fora do Japão?
Para contas no Japão, é preciso cumprir os requisitos do 3DS para cartões nacionais e internacionais. Contas de fora do Japão não estão sujeitas a essa exigência.
Como faço para ativar o 3DS manualmente?
Mesmo que existam exceções para o 3DS, pode ser desejável incluir uma transferência de responsabilidade ativando manualmente o 3DS em caso de suspeita de fraude. Para fazer isso, use as regras do Radar no Dashboard ou a API.
- A Stripe oferece regras padronizadas do Radar, e você pode adicionar regras do 3DS personalizadas usando o Radar for Teams.
- No caso da API, ao criar ou confirmar um PaymentIntent ou SetupIntent, ou ao criar uma sessão do Checkout, você pode configurar o payment_method_options[cartão][request_three_d_secure] para qualquer um ou desafiar dependendo da sua meta de otimização para ativar manualmente o 3DS.
A autenticação estará no fluxo de desafio ou no fluxo contínuo?
Isso é determinado pela análise de risco feita pelo emissor do cartão.
- O fluxo de desafio é a autenticação adicional que acontece quando a transação é considerada de alto risco. Normalmente, uma senha de uso único é enviada por e-mail pelo emissor do cartão para o titular, que a insere na tela de pagamento.
- Se o emissor analisar a transação como de baixo risco, poderá optar por não exigir autenticações extras, que é o que chamamos de fluxo contínuo.
Ambos os cenários resultam em uma transferência de responsabilidade. Se quiser especificar o fluxo contínuo na API Payment Intents, configure request_three_d_secure para o desafio.
O que devo fazer caso queira coletar os dados de cartão dos clientes com antecedência e cobrar depois?
Se, para o seu negócio, for importante salvar os dados do cartão com antecedência, será necessário verificar que o cliente que fez login seja realmente o titular da conta. É necessário implementar medidas rígidas de gerenciamento de conta contra logins não autorizados.
É possível implementar isso usando a API Setup Intents, pela qual a Stripe ativará automaticamente o 3DS com as seguintes condições, ou utilizar o modo de configuração no Checkout para ativar o 3DS por padrão durante cada registro de cartão.
- usage: off_session (default)
- usage: on_session & payment_method_options.card.request_three_d_secure: any
Se a autenticação do 3DS tiver sido concluída durante o registro do cartão, ela não será necessária nas transações posteriores. No entanto, para cada transação, você deve analisar o risco de fraude com base no valor da transação, nos bens e serviços, atributos e análise comportamental e, caso necessário, realizar novamente a autenticação do 3DS. Nesses casos, use de novo a SetupIntent.
O que poderei fazer se meu modelo de negócios envolver pagamentos avulsos?
Primeiro, confirme se o seu fluxo de pagamento atual funciona corretamente com cartões de teste para 3DS.
Checkout/Links de pagamento |
Não requer mudanças |
API Payment Intents |
Confira se é possível processar pagamentos no estado ‘requires_action’. |
Invoicing |
Não requer mudanças |
API Charges |
A migração para a API Payment Intents é obrigatória |
Dashboard |
É recomendado o Checkout sem código ou Invoicing |
Caso não seja necessário executar trabalho adicional, recomendamos verificar se seu sistema processa 3DS.
O que devo fazer se aceitar assinaturas?
Primeiro, confirme se o seu fluxo de pagamento atual funciona corretamente com cartões de teste para 3DS.
- Se quiser ativar o 3DS quando o cliente inserir os dados do cartão, consulte a seção "O que devo fazer caso queira coletar os dados de cartão dos clientes com antecedência e cobrar depois?".
- Se não quiser ativar o 3DS na hora em que o cliente inserir os dados do cartão durante o primeiro pagamento, especifique o uso como on_session.
Se você usa a API Subscriptions e não cria manualmente um objeto SetupIntent após informar os dados do cartão, criaremos esse objeto para você quando o 3DS for exigido. Você precisará lidar com isso no front-end para que o usuário conclua a autenticação do 3DS.
Para pagamentos recorrentes, se a autenticação do 3DS tiver sido concluída no momento do cadastro do cartão ou do primeiro pagamento, ela não será mais necessária em pagamentos subsequentes. No entanto, se houver alguma interação relacionada a alterações contratuais ou compras extras, você precisará realizar a autenticação novamente.