“信用卡安全指南”(信用卡安全指南 4.0 版,下称“信用卡安全指南”)是一套行业指南,针对进行银行卡交易的商家概述了相关安全措施,并于 2023 年 3 月 14 日进行了修订。随后,11 月 14 日发布了名称为“适用于商家的 EMV 3DS 验证部署路线图”(以下简称“路线图”)的文件,对信用卡安全指南进行补充。
3DS 验证是一种机制,可为信用卡交易提供额外一层身份验证,并保护商家避免承担欺诈性银行卡支付的责任。
信用卡安全指南和路线图规定,进行在线销售的日本商家(Stripe 用户)必须在 2025 年 3 月底之前启用 3DS 2.0 验证,以便打击欺诈行为。
根据《分期付款销售法》(Installment Sales Act),商家有义务采取某些安全措施,并且必须在 2025 年 3 月底之前按照信用卡安全指南和路线图的要求采取相应措施。
根据信用卡安全指南和路线图,要求商家按照以下优先顺序启动 3DS 2.0 验证的实施。
等级 |
范围 |
预期结账用时 |
等级 1 |
连续 3 个月每月已确认欺诈交易金额超过 500,000 日元的商家(下称“面临欺诈风险的商家”) |
立即开始实施 3DS 2.0 验证 |
等级 2 |
并非“面临欺诈风险的商家”,但在过去两年内发生的已确认欺诈交易数量不少于 5 笔或金额不低于 100,000 日元的商家 |
规划并快速实施 3DS 2.0 验证 |
等级 3 |
销售数字内容、电子产品、电子货币或储值、票务或住宿预订网站的商家 |
规划并快速实施 3DS 2.0 验证 |
等级 4 |
其他商家 |
规划并快速实施 3DS 2.0 验证 |
如果您已经使用 Stripe,您可能需要检查自己的集成应用,确保支持 3DS 2.0 验证。
如果您使用的是 Charges API
Charges API 不支持 3DS 2.0 验证。因此,如果您的账户使用的是 Charges API,则通过该 API 进行的任何需要发卡行进行验证的付款都将失败。为了避免您账户中被拒绝的付款增加,强烈建议您尽快迁移到 Payment Intents API。
如果您使用的是 Payment Intents API
为了避免您账户中被拒绝的付款增加,您需要确保您的集成应用可以处理 `requires_action` 状态,以提示您的客户验证他们的付款。如果您之前集成了基本银行卡集成应用,则需要更新您的集成应用才能处理银行卡验证。
建议测试您的集成应用,确认您已经实施 3DS 2.0 验证。如果您不确定如何测试您的集成应用,可以在我们的测试文档中找到更多指南。
Stripe 提供了一种名为 Radar 的欺诈预防产品,该产品通过分析全球超过一百万家公司的支付数据来利用机器学习,并检测和阻止欺诈性交易。Radar 使用机器学习来根据数百个信号(包括银行卡类型、使用国家/地区、设备和行为)进行风险评估。Stripe 提供了动态请求 3DS 2.0 验证的三种默认 Radar 规则。通过在管理平台中设置这些规则,可以在客户的发卡公司需要 3DS 2.0 验证时请求进行额外验证。
借助允许自定义规则设置的 Radar 风控团队版,商家可以为 3DS 2.0 验证定制自己独特的风险管理设置。可以根据风险级别或特定元数据发出 3DS 2.0 验证请求,有助于防止过度阻止合法付款,降低交易拒付率,并实现收入最大化。
使用 Radar 可能有助于减少转化损失,同时允许采取基于风险的反欺诈措施。
Stripe 等“支付服务提供者”以及我们的合作收单行(SMCC、JCB、American Express 等)预计将在 2025 年 3 月之前支持用户实施 3DS 2.0 验证。此外,我们还需要与“面临欺诈风险的商家”合作,让他们及时启用 3DS 2.0 验证。
Stripe 将继续与我们的合作伙伴合作,为我们的用户提供相关信息和支持。如果用户需要更改他们的集成应用,我们将发出通知,并将根据需要跟进用户以支持实施 3DS 2.0 验证。
使用国际品牌信用卡的交易在范围内。实际上,商家应同等对待预付卡、借记卡、公司卡和外国发行的银行卡与日本发行的个人信用卡。对于发卡行无法处理 3DS 2.0 验证的银行卡,预计所请求的交易将在不发生 3DS 2.0 验证的情况下获得批准。
线下使用实物卡进行的交易超出范围。
不会罚款,但是监管机构可以要求商家提供信息,并对商家进行现场检查。此外,发卡行可能会要求通过 Stripe 或收单行对商家进行调查。如果商家没有采取适当的措施来防止欺诈性使用并保护信用卡号码,收单行可以指示商家采取必要的安全措施。如果商家不顾这些指示,不采取安全措施,他们可能会被除名。
考虑采用豁免和超出范围的类别。预计相关行业委员会在获得附加信息后公布这些信息。