日本强制执行 3DS 验证

“信用卡安全指南”(信用卡安全指南 4.0 版,下称“信用卡安全指南”)是一套行业指南,针对进行银行卡交易的商家概述了相关安全措施,并于 2023 年 3 月 14 日进行了修订。随后,11 月 14 日发布了名称为“适用于商家的 EMV 3DS 验证部署路线图”(以下简称“路线图”)的文件,对信用卡安全指南进行补充。

3DS 验证是一种机制,可为信用卡交易提供额外一层身份验证,并保护商家避免承担欺诈性银行卡支付的责任。

信用卡安全指南和路线图规定,进行在线销售的日本商家(Stripe 用户)必须在 2025 年 3 月底之前启用 3DS 2.0 验证,以便打击欺诈行为。

EMV 3DS 2.0 验证的实施和部署

根据《分期付款销售法》(Installment Sales Act),商家有义务采取某些安全措施,并且必须在 2025 年 3 月底之前按照信用卡安全指南和路线图的要求采取相应措施。

根据信用卡安全指南和路线图,要求商家按照以下优先顺序启动 3DS 2.0 验证的实施。

等级

范围

预期结账用时

等级 1

连续 3 个月每月已确认欺诈交易金额超过 500,000 日元的商家(下称“面临欺诈风险的商家”)

立即开始实施 3DS 2.0 验证

等级 2

并非“面临欺诈风险的商家”,但在过去两年内发生的已确认欺诈交易数量不少于 5 笔或金额不低于 100,000 日元的商家

规划并快速实施 3DS 2.0 验证

等级 3

销售数字内容、电子产品、电子货币或储值、票务或住宿预订网站的商家

规划并快速实施 3DS 2.0 验证

等级 4

其他商家

规划并快速实施 3DS 2.0 验证

推荐操作

如果您已经使用 Stripe,您可能需要检查自己的集成应用,确保支持 3DS 2.0 验证。

如果您使用的是 Charges API

Charges API 不支持 3DS 2.0 验证。因此,如果您的账户使用的是 Charges API,则通过该 API 进行的任何需要发卡行进行验证的付款都将失败。为了避免您账户中被拒绝的付款增加,强烈建议您尽快迁移到 Payment Intents API

如果您使用的是 Payment Intents API

为了避免您账户中被拒绝的付款增加,您需要确保您的集成应用可以处理 `requires_action` 状态,以提示您的客户验证他们的付款。如果您之前集成了基本银行卡集成应用,则需要更新您的集成应用才能处理银行卡验证

建议测试您的集成应用,确认您已经实施 3DS 2.0 验证。如果您不确定如何测试您的集成应用,可以在我们的测试文档中找到更多指南。

使用 Radar 和 Radar 风控团队版

Stripe 提供了一种名为 Radar 的欺诈预防产品,该产品通过分析全球超过一百万家公司的支付数据来利用机器学习,并检测和阻止欺诈性交易。Radar 使用机器学习来根据数百个信号(包括银行卡类型、使用国家/地区、设备和行为)进行风险评估。Stripe 提供了动态请求 3DS 2.0 验证的三种默认 Radar 规则。通过在管理平台中设置这些规则,可以在客户的发卡公司需要 3DS 2.0 验证时请求进行额外验证。

借助允许自定义规则设置的 Radar 风控团队版,商家可以为 3DS 2.0 验证定制自己独特的风险管理设置。可以根据风险级别或特定元数据发出 3DS 2.0 验证请求,有助于防止过度阻止合法付款,降低交易拒付率,并实现收入最大化。

使用 Radar 可能有助于减少转化损失,同时允许采取基于风险的反欺诈措施。

Stripe 等“支付服务提供者”以及我们的合作收单行(SMCC、JCB、American Express 等)预计将在 2025 年 3 月之前支持用户实施 3DS 2.0 验证。此外,我们还需要与“面临欺诈风险的商家”合作,让他们及时启用 3DS 2.0 验证。

Stripe 将继续与我们的合作伙伴合作,为我们的用户提供相关信息和支持。如果用户需要更改他们的集成应用,我们将发出通知,并将根据需要跟进用户以支持实施 3DS 2.0 验证。

常见问题

哪些信用卡交易在范围内?

使用国际品牌信用卡的交易在范围内。实际上,商家应同等对待预付卡、借记卡、公司卡和外国发行的银行卡与日本发行的个人信用卡。对于发卡行无法处理 3DS 2.0 验证的银行卡,预计所请求的交易将在不发生 3DS 2.0 验证的情况下获得批准。

线下信用卡交易是否超出范围?

线下使用实物卡进行的交易超出范围。

根据《分期付款销售法》(Installment Sales Act),日本商家必须制定安全措施,但是如果商家不遵守这些要求,是否会受到处罚?

不会罚款,但是监管机构可以要求商家提供信息,并对商家进行现场检查。此外,发卡行可能会要求通过 Stripe 或收单行对商家进行调查。如果商家没有采取适当的措施来防止欺诈性使用并保护信用卡号码,收单行可以指示商家采取必要的安全措施。如果商家不顾这些指示,不采取安全措施,他们可能会被除名。

是否存在豁免和超出范围的交易类别?

考虑采用豁免和超出范围的类别。预计相关行业委员会在获得附加信息后公布这些信息。