Última atualização em 29 de outubro de 2024.
Em 15 de março de 2024, um conjunto de diretrizes do setor que descrevem medidas de segurança para empresas que realizam pagamentos com cartão no Japão, as "Diretrizes de Segurança de Cartões de Crédito", foi revisado (Diretrizes de Segurança de Cartões de Crédito 5.0).
As Diretrizes de Segurança de Cartões de Crédito determinam que os comerciantes que realizam vendas online (usuários da Stripe) precisam habilitar o 3D Secure até o final de março de 2025 para fins de combate a fraudes.
O 3D Secure (3DS) é um mecanismo que fornece uma camada adicional de autenticação para pagamentos com cartão de crédito e protege as empresas contra responsabilidade por fraudes em pagamentos com cartão.
A Stripe exigirá o 3DS em todos os pagamentos aplicáveis a partir de 31 de março de 2025. Em alguns casos, você pode decidir se deseja ou não usar o 3DS.
Em janeiro de 2025, a Stripe começará a exigir o 3DS em uma pequena porcentagem de pagamentos e aumentará gradualmente essa porcentagem para 100% dos pagamentos até 31 de março de 2025, excluindo pagamentos isentos do requisito de 3DS. Para evitar falhas de pagamento, você precisa fazer todas as alterações necessárias na sua integração com a Stripe até o final de 2024.
Caso as preparações para o 3DS se estendam além de dezembro de 2024, você poderá solicitar a sua exclusão do prazo de janeiro. No entanto, a Stripe exigirá o 3DS em todos os pagamentos aplicáveis a partir de 1º de abril de 2025.
Os pagamentos com cartão de crédito que usam APIs mais antigas que não aceitam o 3DS (APIs Charges e Orders) começarão a exigir o 3DS e, portanto, falharão a partir de abril de 2025. A partir de 30 de junho de 2025, todos os pagamentos com cartão de crédito processados por essas APIs falharão.
Há casos em que você pode decidir se deseja ou não aplicar o 3DS. Para pagamentos realizados sem o 3DS devido a uma isenção, a transferência de responsabilidade por pagamentos fraudulentos não se aplica. Consulte a documentação para ver como a Stripe implementa isenções de 3DS.
Se você já usa a Stripe, talvez precise verificar sua integração para garantir a aceitação do 3DS.
Recomendamos usar os números de cartão de teste da Stripe para verificar se a integração funciona com o 3DS. Saiba mais sobre testes na documentação.
As APIs Charges e Orders não aceitam o 3D Secure 2. Portanto, se sua conta usa essas APIs obsoletas, os pagamentos com cartão de crédito falharão. Recomendamos que você migre para a API Payment Intents o mais rápido possível para evitar falhas.
Você precisa garantir que sua integração consiga processar o estado requires_action para solicitar que seus clientes autentiquem os pagamentos deles. Talvez você tenha que atualizar sua integração para gerenciar a autenticação de cartões.
Além disso, se você finaliza pagamentos no servidor, precisa tomar medidas adicionais para mostrar o fluxo de autenticação 3DS no cliente. Para obter mais informações, consulte este guia.
Você precisará atualizar para a versão 2019-03-14 ou mais recente da API, ou usar o parâmetro payment_behavior conforme descrito neste guia para garantir a autenticação dos pagamentos iniciais das assinaturas dos seus clientes.
Se você usa a Stripe com uma integração ou plataforma de terceiros, precisa falar diretamente com eles para verificar como está a preparação.
Prepare-se para as dúvidas dos clientes sobre o 3DS. Além disso, se for o caso, garanta que o conteúdo de suporte descreva da forma necessária os requisitos do 3DS.
O Stripe Radar ajuda a prevenir fraudes analisando os dados de pagamento de mais de um milhão de empresas em todo o mundo para detectar e bloquear pagamentos fraudulentos. O Radar usa machine learning para realizar avaliações de risco com base em centenas de sinais, incluindo tipo de cartão, país de uso, dispositivo e comportamento. A Stripe oferece três regras padrão do Radar que solicitam dinamicamente o 3DS. Com a configuração dessas regras no Dashboard, é possível solicitar autenticação adicional aos clientes quando a empresa emissora do cartão deles exigir o 3DS.
Com o Radar for Fraud Teams, que permite configurar regras personalizadas, as empresas podem adaptar suas próprias definições de gerenciamento de risco para o 3DS. As solicitações de 3DS podem ser feitas com base em níveis de risco ou metadados específicos, ajudando a evitar o bloqueio excessivo de pagamentos legítimos, reduzir a taxa de recusa de pagamentos e maximizar a receita.
O Radar pode ajudar a reduzir a perda de conversões quando medidas antifraude baseadas em risco são usadas. Além disso, o Radar pode ser usado para realizar as análises de risco necessárias para pagamentos iniciados pelo cliente usando cartões salvos.
Transações com o uso presencial de cartões físicos estão fora do escopo.
Não há multas, mas a Stripe ou o adquirente pode iniciar uma investigação do comerciante. Caso não tenha adotado as medidas de segurança necessárias, o comerciante pode ser instruído a fazê-lo para proteger os números de cartão de crédito e evitar seu uso fraudulento. Se o comerciante não adotar as medidas de segurança após essas instruções, poderá ser desativado como comerciante.
Na maioria dos casos, não há tarifas adicionais para o 3DS. No entanto, cada tentativa de 3DS pode incorrer em tarifas em contas com planos de preços personalizados.
Mesmo que você use a Stripe em uma integração ou plugin de terceiros, pode ser necessário fazer alterações para cumprir os novos requisitos de 3DS. As etapas exatas dependem da implementação do provedor externo. Recomendamos que você entre em contato com o provedor ou fornecedor do plugin externo o mais rápido possível para confirmar se ele está se preparando para essas regulamentações e para se informar sobre todas as atualizações que podem ser necessárias do seu lado.