上次更新于 2024 年 10 月 29 日。

2024 年 3 月 15 日，一套概述在日本进行银行卡支付的企业的安全措施指南《信用卡安全指南》(Credit Card Security Guidelines)发布了修订版，即第 5.0 版。

该指南要求从事在线销售的商家（Stripe 用户）必须在 2025 年 3 月底之前启用 3DS 验证以打击欺诈行为。

3DS 验证为信用卡付款提供了额外一层身份验证机制，保护商家，避免承担欺诈性银行卡支付的责任。

Stripe 的 3DS 推出时间表

Stripe 将从 2025 年 3 月 31 日起要求对所有适用的付款启用 3DS 验证。在某些情况下，您可以决定是否使用 3DS。

2025 年 1 月，Stripe 将开始对少部分付款启用 3Ds，并逐步增加到 100％ 的付款（符合 3DS 验证豁免条件的不在此范围）。您需要在 2024 年底之前完成 Stripe 集成中的必要更改以避免付款失败。

如果您需要更多准备时间，想要延长至 2024 年 12 月之后，您可申请排除在 1 月的时间表之外，但从 2025 年 4 月 1 日起，Stripe 将对所有适用的付款强制要求 3DS。

对于不支持 3DS 的旧版 API（Charges API 和 Orders API）中的信用卡支付，自 2025 年 4 月起将开始要求 3DS 验证，因此将发生支付失败的情况。到 2025 年 6 月 30 日，这些 API 中的所有信用卡支付都将失败。

适用的付款

在某些情况下，您可以选择是否应用 3DS 验证。当通过 3DS 验证豁免完成支付时，对欺诈性付款的责任转移将不适用。请参考我们的文档了解 Stripe 如何实施 3DS 验证豁免条件。

检查您的集成

如果您已经在使用 Stripe，可能需要检查您的集成以确保支持 3DS。

建议使用 Stripe 的测试卡号来验证您的集成是否支持 3DS。您可以在我们的文档中了解更多测试信息。

使用 Charges API 或 Orders API

Charges API 和 Orders API 均不支持 3DS 2.0 验证。因此，如果您的账户使用这些旧版 API，信用卡支付将失败。强烈建议您尽快迁移到 Payment Intents API，以避免支付失败。

使用 Payment Intents API

您需要确保您的集成可以处理 requires_action 状态以提示客户验证其支付。您可能需要更新集成以处理银行卡验证。

此外，如果您在服务器上完成支付，还需采取额外步骤在客户端显示 3DS 验证流程。请参考此指南了解更多详细信息。

通过 2019-03-04 之前版本的 API 使用 Billing

您需要升级至 2019-03-14 或更新版本的 API，或按照本指南中的描述使用 payment_behavior 参数来确保客户订阅的首笔付款经过验证。

如果通过第三方集成或平台使用 Stripe，您需要直接与第三方确认他们的准备情况。

与客户沟通

准备好为客户解答有关 3DS 的问题。此外，如果有必要，请确保向客户提供的支持内容中包含关于 3DS 验证要求的说明。

使用 Radar 和 Radar 风控团队版

Stripe Radar 通过分析全球超过一百万商家的支付数据，帮助防止欺诈，检测并阻止欺诈性支付。Radar 使用机器学习，基于数百种信号（如银行卡类型、使用国家/地区、设备和行为）进行风险评估。Stripe 提供了三条默认的 Radar 规则，可动态请求 3DS 验证。通过在管理平台中设置这些规则，当发卡行要求 3DS 验证时，可以向客户请求额外验证。

Radar 风控团队版允许自定义规则设置，使商家能够定制其唯一的 3DS 验证风险管理设置。商家可以基于风险水平或特定的元数据请求 3DS，这有助于避免对合法付款的过度阻止，减少支付拒绝率，并最大化收入。

Radar 的使用可以在保持基于风险的防欺诈措施的同时，帮助减少转化损失。此外，Radar 还可以用来对客户发起的支付对照保存的银行卡信息进行必要的风险分析。

常见问题

线下信用卡交易是否不在要求范围之外？

是的，使用实物卡进行的线下交易不在此要求范围之内。

在日本，商家根据《分期付款销售法》被要求实施安全措施。如果商家未遵守这些要求，会有惩罚吗？

不会有罚款，但可以通过 Stripe 或收单行进行商家调查，如果商家没有采取适当的措施来防止欺诈使用和保护信用卡号码，收单行可以指示商家采取必要的安全措施。如果不遵守该指示，商家不采取安全措施，那么可能会关闭其商家账户。

3DS 验证会产生额外费用吗？

在大多数情况下，3DS 不会产生额外费用。不过，如果您的账户使用的是定制定价计划，可能会因每次 3DS 验证而产生费用。

如果我通过第三方集成使用 Stripe，该怎么办？

如果您通过第三方集成或插件使用 Stripe，仍可能需要进行更改以符合新的 3DS 要求。具体步骤取决于第三方供应商的实施方式。建议尽快联系第三方或插件供应商，确认他们是否已做好应对该要求的准备，并了解您可能需要进行的更新。

如何测试 3DS 是否正常工作？

您可以使用测试 API 密钥和测试卡来创建测试交易。通过使用需要身份验证的测试卡，您可以验证 3DS 验证。

即使我接受日本以外客户的付款，这也是强制性的吗？

对于日本的账户，您需要遵守国内和国际卡的最新 3DS 要求。日本以外的账户不受此要求的限制。

如何手动触发 3DS？

即使 3DS 有例外，也可能需要因涉嫌欺诈而通过手动触发 3DS 来转移责任。为此，可以通过使用管理平台上的 Radar 规则或使用 API 来实现。

• Stripe 提供默认 Radar 规则，您可以使用 Radar 风控团队版来添加自定义 3DS 规则。
• 对于 API，在创建或确认 PaymentIntent 或 SetupIntent 时，或者在创建 Checkout 会话时，您可以根据您的优化目标将 payment_method_options[card][request_three_d_secure] 设置为 any 或 challenge，以手动触发 3DS 验证。

身份验证在质询流程还是在无阻流程中进行？

一般来说，这由发卡行的风险评估决定。

• 质询流程是在交易被视为高风险时进行的额外身份验证。通常，发卡行会给持卡人发送一次性密码，然后持卡人在支付界面输入密码。
• 如果发卡行的评估结果是交易为低风险，他们可以选择不要求额外的验证，这被称为无阻流程。

这两种情况都会导致责任转移。如果要在 Payment Intents API 中指定质询流程，请将‘request_three_d_secure’设置为质询。

如果想先收集客户的银行卡信息然后以后再计费，该怎么做？

如果您的业务涉及提前保存银行卡信息，则需要验证登入的客户确实是账户持有人。必须实施严格的账户管理和防止未授权登录的措施。

可以使用 Setup Intents API 来实现这一点，Stripe 将在以下条件下自动触发 3DS 验证，或者在卡注册期间利用 Checkout 中的设置模式默认触发 3DS 验证。

• 用法：off_session（默认）
• 用法： on_session & payment_method_options.card.request_three_d_secure: any

如果在银行卡注册期间已经完成 3DS 验证，则在后续交易中会被豁免。但是，对于每笔交易，您应该根据交易金额、商品/服务、属性和行为分析来评估欺诈风险，如果认为有必要，您需要再次执行 3DS 验证。在这种情况下，请再次使用 SetupIntent。

如果我的业务模式涉及客户的一次性付款，该怎么办？

首先，请使用 3DS 测试卡验证您现有的支付流程功能是否正常。

即使不需要额外的基础工作，也最好验证您的系统可以处理 3DS 验证。

如果我接受订阅，该做什么？

首先，请使用 3DS 测试卡验证您现有的支付流程功能是否正常。

• 如果您想在输入银行卡详情时触发 3DS 验证，请参考“如果想先收集客户的银行卡信息然后以后再计费，该怎么做？”
• 如果您在输入银行卡详情时没有触发 3DS 验证，并且希望在第一次付款时触发 3DS 验证，请将用法指定为 on_session。

对于经常性付款，如果在注册卡时或首次支付时已完成 3DS 验证，则后续付款时可以免于验证，您无需执行 3DS 验证。但是，如果有任何与合同变更或额外购买相关的客户交互，则需要再次执行 3DS 验证。