อัปเดตล่าสุดเมื่อ 29 ตุลาคม 2024
เมื่อวันที่ 15 มีนาคม 2024 ได้มีการปรับปรุงแนวทางอุตสาหกรรมชุดหนึ่งที่ระบุถึงมาตรการรักษาความปลอดภัยสำหรับธุรกิจต่างๆ ที่ทำธุรกรรมผ่านบัตรในญี่ปุ่น ซึ่งคือ "แนวทางการรักษาความปลอดภัยบัตรเครดิต" (แนวทางการรักษาความปลอดภัยบัตรเครดิตฉบับ 5.0)
แนวทางการรักษาความปลอดภัยบัตรเครดิตระบุให้ผู้ค้าที่ขายสินค้าทางออนไลน์ (ผู้ใช้ Stripe) ต้องเปิดใช้การตรวจสอบสิทธิ์แบบ 3D Secure ภายในสิ้นเดือนมีนาคม 2025 เพื่อรับมือกับการฉ้อโกง
การตรวจสอบสิทธิ์แบบ 3D Secure (3DS) เป็นกลไกที่ช่วยเพิ่มมาตรการการตรวจสอบสิทธิ์อีกขั้นสำหรับธุรกรรมผ่านบัตรเครดิต และปกป้องธุรกิจจากการรับผิดชอบต่อการชำระเงินด้วยบัตรที่เป็นการฉ้อโกง
ลำดับเวลาการเปิดตัว 3DS ของ Stripe
Stripe จะกำหนดให้ใช้ 3DS กับการชำระเงินทุกรายการที่เกี่ยวข้องตั้งแต่วันที่ 31 มีนาคม 2025 ในบางกรณี คุณจะตัดสินใจได้เองว่าต้องใช้ 3DS หรือไม่
ในเดือนมกราคม 2025 Stripe เริ่มกำหนดให้ใช้ 3DS กับการชำระเงินเป็นสัดส่วนเล็กน้อยก่อน แล้วค่อยปรับเพิ่มขึ้นเรื่อยๆ จนกระทั่งครอบคลุมการชำระเงินทั้งหมดภายในวันที่ 31 มีนาคม 2025 ทั้งนี้ไม่รวมการชำระเงินที่ได้รับการยกเว้นจากข้อกำหนด 3DS คุณต้องปรับเปลี่ยนการเชื่อมต่อการทำงาน Stripe ที่จำเป็นภายในสิ้นปี 2024 เพื่อหลีกเลี่ยงการชำระเงินไม่สำเร็จ
ในกรณีที่ต้องใช้เวลาเตรียมตัวเกินกว่าเดือนธันวาคม 2024 คุณสามารถส่งคำขอยกเว้นจากกำหนดเวลาเดือนมกราคมได้ แต่ Stripe จะยังคงเริ่มกำหนดให้ใช้ 3DS กับการชำระเงินทุกรายการตั้งแต่วันที่ 1 เมษายน 2025 เป็นต้นไป
ตั้งแต่เดือนเมษายน 2025 เป็นต้นไป การชำระเงินด้วยบัตรเครดิตโดยใช้ API เก่าที่ไม่รองรับ 3DS (Charges API และ Orders API) จะเริ่มกำหนดให้ใช้ 3DS ดังนั้นการชำระเงินจะดำเนินการไม่สำเร็จ ภายในวันที่ 30 มิถุนายน 2025 การชำระเงินด้วยบัตรเครดิตที่ใช้ API เหล่านี้ทั้งหมดจะดำเนินการไม่สำเร็จ
การชำระเงินที่เกี่ยวข้อง
มีบางกรณีที่คุณสามารถตัดสินใจได้ว่าจะใช้ 3DS หรือไม่ เมื่อมีการชำระเงินแบบไม่ใช้ 3DS ภายใต้ข้อยกเว้น จะไม่สามารถโอนความรับผิดสำหรับการชำระเงินที่เป็นการฉ้อโกงได้ โปรดดูวิธีที่ Stripe ปรับใช้ข้อยกเว้น 3DS ในเอกสารประกอบของเรา
ตรวจสอบการเชื่อมต่อการทำงานของคุณ
หากคุณใช้งาน Stripe อยู่แล้ว คุณอาจต้องตรวจสอบการเชื่อมต่อการทำงานเพื่อให้แน่ใจว่ารองรับ 3DS
เราขอแนะนำให้ใช้หมายเลขบัตรทดสอบของ Stripe เพื่อตรวจสอบว่าการเชื่อมต่อการทำงานของคุณทำงานร่วมกับ 3DS ได้ ดูข้อมูลเพิ่มเติมเกี่ยวกับการทดสอบได้ในเอกสารประกอบของเรา
หากคุณใช้ Charges API หรือ Orders API
ทั้ง Charges API และ Orders API ไม่รองรับ 3D Secure 2 ทำให้หากบัญชีของคุณใช้ API แบบเก่าเหล่านี้ การชำระเงินด้วยบัตรเครดิตจะดำเนินการไม่สำเร็จ เราขอแนะนำให้คุณเปลี่ยนไปใช้ Payment Intents API โดยเร็วที่สุด เพื่อหลีกเลี่ยงการชำระเงินไม่สำเร็จ
หากคุณใช้ Payment Intents API
คุณจะต้องตรวจสอบว่าการเชื่อมต่อการทำงานของคุณสามารถจัดการกับสถานะ requires_action เพื่อกระตุ้นให้ลูกค้าตรวจสอบสิทธิ์การชำระเงินของตนได้ คุณอาจต้องอัปเดตการเชื่อมต่อการทำงานเพื่อจัดการกับการตรวจสอบสิทธิ์บัตร
นอกจากนี้ หากคุณสรุปการชำระเงินบนเซิร์ฟเวอร์ คุณจะต้องดำเนินการขั้นตอนเพิ่มเติมเพื่อแสดงขั้นตอนการตรวจสอบสิทธิ์ 3DS ต่อลูกค้า โปรดดูรายละเอียดเพิ่มเติมในคู่มือนี้
หากคุณใช้ Billing กับ API เวอร์ชันก่อน 2019-03-04
คุณจะต้องอัปเกรดเป็น API เวอร์ชัน 2019-03-14 หรือใหม่กว่า หรือใช้พารามิเตอร์ payment_behavior ตามรายละเอียดในคู่มือนี้เพื่อให้แน่ใจว่าการชำระเงินตามรอบบิลของลูกค้าครั้งแรกจะได้รับการตรวจสอบสิทธิ์
หากคุณใช้ Stripe ผ่านการเชื่อมต่อการทำงานหรือแพลตฟอร์มของบริษัทอื่น คุณจะต้องตรวจสอบกับบริษัทเหล่านั้นโดยตรงเพื่อสอบถามความพร้อมใช้งาน
สื่อสารกับลูกค้า
เตรียมตัวตอบคำถามลูกค้าเกี่ยวกับ 3DS และหากจำเป็น ควรตรวจสอบให้แน่ใจว่าเนื้อหาสนับสนุนทั้งหมดที่จำเป็นได้อธิบายข้อกำหนดเกี่ยวกับ 3DS เอาไว้ด้วย
กรณีการใช้งาน Radar และ Radar for Fraud Teams
Stripe Radar ช่วยป้องกันการฉ้อโกง โดยจะวิเคราะห์ข้อมูลการชำระเงินจากบริษัทนับล้านแห่งทั่วโลก รวมทั้งตรวจจับและบล็อกการชำระเงินที่เป็นการฉ้อโกง Radar ใช้แมชชีนเลิร์นนิงเพื่อประเมินความเสี่ยงโดยอิงจากสัญญาณหลายร้อยอย่าง ได้แก่ ประเภทของบัตร ประเทศที่ใช้งาน อุปกรณ์ และพฤติกรรม Stripe ให้บริการกฎของ Radar ตามค่าเริ่มต้น 3 ข้อ ซึ่งจะขอให้ใช้ 3DS แบบไดนามิก เมื่อตั้งค่ากฎเหล่านี้ในแดชบอร์ด คุณสามารถขอให้ลูกค้าดำเนินการตรวจสอบสิทธิ์เพิ่มเติมเมื่อบริษัทผู้ออกบัตรของลูกค้าต้องใช้ 3DS
Radar for Fraud Teams ช่วยให้ใช้การตั้งค่ากฎแบบปรับแต่งได้ ธุรกิจจึงสามารถปรับแต่งการตั้งค่าการจัดการความเสี่ยงแบบเฉพาะของตนเองสำหรับ 3DS ได้ คำขอ 3DS สามารถสร้างได้โดยอิงจากระดับความเสี่ยงหรือข้อมูลเมตาที่เฉพาะเจาะจง จึงช่วยป้องกันไม่ให้บล็อกการชำระเงินที่ดำเนินการอย่างถูกต้องมากเกินไป ลดอัตราการปฏิเสธการชำระเงินของธุรกรรม และเพิ่มรายได้ให้สูงสุด
การใช้งาน Radar อาจช่วยลดการเสียอัตราการเปลี่ยนเป็นผู้ใช้แบบชำระเงิน พร้อมทั้งใช้มาตรการลดการฉ้อโกงโดยอิงจากความเสี่ยง นอกจากนี้คุณยังสามารถใช้ Radar ประเมินความเสี่ยงที่จำเป็นสำหรับการชำระเงินที่ริเริ่มโดยลูกค้าโดยเทียบกับข้อมูลบัตรที่บันทึกไว้ในระบบ
คำถามที่พบบ่อย
ธุรกรรมผ่านบัตรเครดิตที่จุดขายไม่อยู่ในขอบข่ายใช่หรือไม่
ธุรกรรมที่ใช้บัตรใบจริงที่จุดขายไม่อยู่ในขอบข่าย
กฎหมายว่าด้วยการขายแบบผ่อนชำระกำหนดให้ผู้ค้าในญี่ปุ่นต้องใช้มาตรการรักษาความปลอดภัย แต่หากผู้ค้าไม่ปฏิบัติตามข้อกำหนดเหล่านี้จะมีบทลงโทษหรือไม่
ไม่มีค่าปรับ แต่หน่วยงานที่เกี่ยวข้องอาจจะดำเนินการตรวจสอบผู้ค้าผ่าน Stripe หรือสถาบันผู้รับบัตร ซึ่งสามารถสั่งให้ผู้ค้าใช้มาตรการรักษาความปลอดภัยที่จำเป็น หากผู้ค้ายังไม่ได้ดำเนินการอย่างเหมาะสมเพื่อป้องกันการใช้งานที่เป็นการฉ้อโกงและปกป้องข้อมูลเลขบัตรเครดิต ในกรณีที่ผู้ค้าไม่ได้ใช้มาตรการรักษาความปลอดภัย (ไม่ว่าจะมีคำสั่งดังกล่าวหรือไม่ก็ตาม) ผู้ค้าอาจจะถูกนำออกจากระบบ
มีค่าธรรมเนียมที่เกี่ยวข้องกับ 3DS หรือไม่
ส่วนใหญ่แล้ว การใช้ 3DS จะไม่มีค่าธรรมเนียมเพิ่มเติม อย่างไรก็ตาม หากบัญชีของคุณใช้แพ็กเกจค่าบริการที่ออกแบบเอง คุณอาจจะมีค่าธรรมเนียมสำหรับการตรวจสอบสิทธิ์ด้วย 3DS แต่ละครั้ง
ต้องทำอย่างไร หากฉันใช้ Stripe ผ่านการเชื่อมต่อการทำงานของบริษัทอื่น
หากคุณใช้ Stripe ผ่านการเชื่อมต่อการทำงานหรือปลั๊กอินจากภายนอด คุณอาจจะต้องปรับเปลี่ยนบางอย่างเพื่อปฏิบัติตามข้อกำหนดใหม่สำหรับ 3DS ขั้นตอนที่ต้องดำเนินการขึ้นอยู่กับการติดตั้งใช้งานของผู้ให้บริการจากภายนอก เราแนะนำให้ติดต่อผู้ให้บริการจากภายนอกหรือผู้ให้บริการปลั๊กอินโดยเร็วที่สุดเพื่อยืนยันว่าพวกเขาเตรียมพร้อมสำหรับข้อบังคับเหล่านี้แล้ว และสอบถามว่าคุณอาจจะต้องอัปเดตสิ่งใดบ้าง
ฉันจะทดสอบได้อย่างไรว่า 3DS ทำงานได้อย่างถูกต้อง
คุณสามารถใช้คีย์ API ทดสอบร่วมกับบัตรทดสอบเพื่อสร้างธุรกรรมทดสอบขึ้นมา การใช้บัตรทดสอบที่จำเป็นต้องมีการตรวจสอบสิทธิ์จะช่วยให้คุณตรวจสอบความถูกต้องของการตรวจสอบสิทธิ์แบบ 3DS ได้
ฉันรับชำระเงินจากลูกค้านอกญี่ปุ่น ข้อกำหนดนี้ยังบังคับใช้กับฉันอยู่หรือไม่
สำหรับบัญชีในญี่ปุ่น คุณต้องปฏิบัติตามข้อกำหนดใหม่เกี่ยวกับ 3DS นี้ ทั้งสำหรับบัตรในประเทศและต่างประเทศ ส่วนบัญชีนอกญี่ปุ่นไม่เข้าข่ายตามข้อกำหนดนี้
ฉันจะเรียกใช้ 3DS ด้วยตัวเองได้อย่างไร
แม้ว่าจะมีข้อยกเว้นสำหรับ 3DS แต่ในบางกรณีคุณอาจต้องการโอนความรับผิดโดยการเรียกใช้ 3DS ด้วยตัวเองเนื่องจากสงสัยว่ามีการฉ้อโกงเกิดขึ้น คุณสามารถดำเนินการดังกล่าวได้โดยการใช้กฎ Radar ในแดชบอร์ดหรือใช้ API
- Stripe มีกฎของ Radar ตามค่าเริ่มต้น นอกจากนี้ คุณยังสามารถเพิ่มกฎ 3DS ที่กำหนดเองได้โดยใช้ Radar for Teams
- สำหรับ API เมื่อสร้างหรือยืนยัน PaymentIntent หรือ SetupIntent หรือเมื่อสร้างเซสชันการชำระเงิน คุณสามารถตั้งค่า payment_method_options[card][request_three_d_secure] เป็น any หรือ challenge ขึ้นอยู่กับเป้าหมายในการเพิ่มประสิทธิภาพของคุณ เพื่อเรียกใช้ 3DS ด้วยตัวเอง
ระบบจะกำหนดให้การตรวจสอบสิทธิ์อยู่ในขั้นตอนแบบซับซ้อนหรือขั้นตอนแบบราบรื่น
โดยพื้นฐานแล้ว การตัดสินใจจะขึ้นอยู่กับผลการประเมินความเสี่ยงของบริษัทผู้ออกบัตร
- ขั้นตอนแบบซับซ้อนเป็นการตรวจสอบสิทธิ์เพิ่มเติมที่จะเกิดขึ้นเมื่อระบบมองว่าธุรกรรมรายการนั้นมีความเสี่ยงสูง ปกติแล้ว ระบบจะส่งรหัสผ่านแบบใช้ครั้งเดียวผ่านทางอีเมลจากบริษัทผู้ออกบัตรไปให้เจ้าของบัตร เพื่อให้เจ้าของบัตรกรอกรหัสดังกล่าวบนหน้าจอการชำระเงิน
- หากบริษัทผู้ออกบัตรประเมินว่าธุรกรรมนั้นมีความเสี่ยงต่ำ บริษัทผู้ออกบัตรก็จะเลือกไม่ใช้การตรวจสอบสิทธิ์เพิ่มเติม ซึ่งเรียกว่าขั้นตอนแบบราบรื่น
สถานการณ์ทั้ง 2 แบบนี้ส่งผลให้เกิดการโอนความรับผิด หากคุณต้องการระบุขั้นตอนแบบซับซ้อนไว้ใน Payment Intents API ให้ตั้งค่า ‘request_three_d_secure’ เป็น challenge
ฉันควรทำอย่างไรหากต้องการรวบรวมข้อมูลบัตรจากลูกค้าล่วงหน้าและเรียกเก็บเงินลูกค้าในภายหลัง
หากธุรกิจของคุณจำเป็นต้องบันทึกข้อมูลบัตรไว้ล่วงหน้า คุณต้องยืนยันว่าลูกค้าที่เข้าสู่ระบบนั้นเป็นเจ้าของบัญชีตัวจริง คุณต้องจัดการบัญชีและใช้มาตรฐานที่เข้มงวดมารับมือกับการเข้าสู่ระบบที่ไม่ได้รับอนุญาต
คุณสามารถดำเนินการดังกล่าวได้โดยใช้ Setup Intents API ซึ่ง Stripe จะเรียกใช้ 3DS โดยอัตโนมัติภายใต้เงื่อนไขต่อไปนี้ หรือใช้โหมดการจัดเตรียมใน Checkout เพื่อเรียกใช้ 3DS ตามค่าเริ่มต้นระหว่างการลงทะเบียนบัตร
- usage: off_session (default)
- usage: on_session & payment_method_options.card.request_three_d_secure: any
หากการตรวจสอบสิทธิ์แบบ 3DS เสร็จสมบูรณ์แล้วระหว่างการลงทะเบียนบัตร ระบบจะยกเว้นให้ในการทำธุรกรรมครั้งต่อๆ ไป อย่างไรก็ตาม คุณควรประเมินความเสี่ยงต่อการฉ้อโกงของธุรกรรมแต่ละรายการ โดยพิจารณาจากยอดเงินของธุรกรรม สินค้า/บริการ แอตทริบิวต์ และการวิเคราะห์เชิงพฤติกรรม และหากเห็นว่าจำเป็น คุณจะต้องทำการตรวจสอบสิทธิ์แบบ 3DS อีกครั้งหนึ่ง ในกรณีดังกล่าว ให้ใช้ SetupIntent อีกครั้ง
ฉันควรทำอย่างไร หากโมเดลธุรกิจของฉันต้องรับชำระเงินแบบครั้งเดียวจากลูกค้า
อันดับแรก โปรดตรวจสอบยืนยันว่าขั้นตอนการชำระเงินของคุณทำงานได้อย่างถูกต้องโดยใช้บัตรทดสอบ 3DS
Checkout / Payment Links |
ไม่จำเป็นต้องเปลี่ยนแปลงใดๆ |
Payment Intents API |
ตรวจสอบให้แน่ใจว่าคุณสามารถประมวลผลในการชำระเงินในสถานะ ‘requires_action’ ได้ |
Invoicing |
ไม่จำเป็นต้องเปลี่ยนแปลงใดๆ |
Charges API |
|
แดชบอร์ด |
แนะนำให้ใช้ Checkout หรือ Invoicing ที่ไม่ต้องเขียนโค้ด |
ไม่จำเป็นต้องดำเนินการเบื้องต้นเพิ่มเติม แต่แนะนำให้ตรวจสอบยืนยันว่าระบบของคุณสามารถประมวลผล 3DS
ฉันควรทำอย่างไรหากฉันรับชำระเงินตามรอบบิล
อันดับแรก โปรดตรวจสอบยืนยันว่าขั้นตอนการชำระเงินของคุณทำงานได้อย่างถูกต้องโดยใช้บัตรทดสอบ 3DS
- หากคุณต้องการเรียกใช้ 3DS เมื่อมีการป้อนรายละเอียดบัตร โปรดดูส่วน "ฉันควรทำอย่างไรหากต้องการรวบรวมข้อมูลบัตรจากลูกค้าล่วงหน้าและเรียกเก็บเงินลูกค้าในภายหลัง"
- หากคุณไม่ต้องการเรียกใช้ 3DS เมื่อมีการป้อนรายละเอียดบัตรและต้องการเรียกใช้ฟังก์ชันนี้ระหว่างการชำระเงินครั้งแรก ให้ระบุการใช้งานเป็น on_session
หากคุณใช้ Subscriptions API และไม่ได้สร้างออบเจ็กต์ SetupIntent ด้วยตนเองหลังจากป้อนข้อมูลบัตร ระบบจะสร้างออบเจ็กต์ให้คุณหากจำเป็นต้องใช้ 3DS คุณจะต้องจัดการขั้นตอนนี้ในระบบส่วนหน้าของคุณเองเพื่อให้ผู้ใช้ดำเนินการการยืนยันตัวตนแบบ 3DS ให้เสร็จสิ้น
สำหรับการชำระเงินตามแบบแผนล่วงหน้า หากดำเนินการตรวจสอบสิทธิ์ 3DS จนเสร็จสมบูรณ์ในระหว่างการลงทะเบียนบัตรหรือในการชำระเงินครั้งแรก คุณจะได้รับการยกเว้นและไม่ต้องทำการตรวจสอบสิทธิ์ 3DS อีกในการชำระเงินครั้งต่อๆ ไป อย่างไรก็ตาม หากลูกค้าดำเนินการใดๆ ที่เป็นการเปลี่ยนแปลงสัญญาหรือซื้อสินค้าหรือบริการเพิ่มเติม คุณต้องดำเนินการตรวจสอบสิทธิ์ 3DS อีกครั้ง