SCAとは何か、WordPressで3Dセキュア2.0を有効にする方法

SCAとは何か、WordPressのeコマースウェブサイトで3Dセキュアを有効にする方法について疑問に思ったことはありませんか？

おそらく、決済サービス指令2（PSD2）、強力な顧客認証（SCA）、および3Dセキュア2.0について耳にしたことがあるでしょう。

この記事では、これらの用語の意味、eコマースビジネスにどのように影響するか（特にヨーロッパにお客様がいる場合）、そしてWordPressで3Dセキュア2.0を簡単に有効にする方法について説明します。

強力な顧客認証（SCA）とは？

強力な顧客認証（SCA）は、オンライン決済をより安全にし、詐欺のリスクを大幅に削減するために2007年に初めて導入された決済サービス指令2（PSD2）の下での欧州の要件です。SCAの2番目のイテレーションは2019年に義務化されました。

SCA要件を満たすために、現在、ヨーロッパでの多くのオンラインカード決済では、2要素認証の形式が必要です。この認証がないと、多くの場合、お客様の銀行によって支払いが拒否される可能性があります。

一般的に、パスワードで本人確認を行います。これは「あなたが知っているもの」と見なされます。秘密であるべき情報の一部です。

しかし、パスワードが秘密であることはめったにありません。誕生日やペットの名前など、簡単に収集できる情報からパスワードを作成します。私たちは常に他の人と共有しています。

最近のGoogleの調査によると、アメリカ人の3分の2は、すべてのオンラインアカウントで同じパスワードを使用しています。したがって、たとえば、ハッカーがApple.comアカウントのパスワードを取得した場合、おそらくGoogleアカウント（またはそれ以上に悪い、あなたの銀行口座）にもアクセスするためにそれを使用できるでしょう。

SCAの目標は、より多くの識別要素で決済を認証することにより、保護の層を追加することです。「あなたが所有しているもの」と「あなた自身であるもの」です。

• 顧客が知っているもの（パスワードなど）。
• 顧客が持っているもの（電話など）。
• 顧客自身であるもの（指紋など）。

これらのデータポイントを2つまたは3つ組み合わせると、悪意のある当事者があなたのアカウントにアクセスすることが著しく困難になります。

たとえば、本人確認のためにパスワードと携帯電話を指定した場合、悪意のある人物はアカウントにアクセスするためにパスワードと電話の両方を盗む必要があります。このシナリオは、控えめに言っても、非常に可能性が低いです。

過去には、ヨーロッパ人はオンライン取引を行うためにカードという1つの要素しか必要としませんでした。カードはあなたが持っているものです。

カード番号、有効期限、CVV/CVC番号という3つのデータポイントが必要でしたが、これら3つのデータポイントはすべて同じプラスチックカード上にあったため、カードは単一の要素としてカウントされます。これは現在、米国で行われている方法です。

SCAの目的は次のとおりです。

• 詐欺の可能性を減らす。泥棒は複数の識別要素を持たないため。
• トランザクション処理コストを削減する。詐欺が減れば、クレジットカード発行会社は消費者と企業の手数料を下げることができます。
• カード保有者の信頼を高め、オンラインでの安全な購入を促進します。
• 国際的な規制を遵守し、カードがどこでも安全に使用できるようにします。

2019年9月現在、銀行は認証されていない支払いを拒否しています。拒否された支払いは、SCAのために顧客に再提出する必要があります。

完全な規制技術基準はこちらでお読みいただけます。

3Dセキュア2.0とは？

オンライン取引中、3Dセキュア1.0と呼ばれるツールを使用してカード取引を検証します。以前にもこのフローを見たことがあるかもしれません。支払いを行うためにカードの詳細を入力すると、新しいページにリダイレクトされ、銀行が購入を承認するためのパスワード/コードを要求します。これは、顧客がコードを入力するために新しいページにリダイレクトされるときです。

3Dセキュア1.0の利点は当初から明らかでした。顧客は安全だと感じられるだけでなく（ページは通常、銀行やカードネットワーク、例えば「MasterCard SecureCode」や「Verified by Visa」のブランドが付いているため）、加盟店から発行銀行への責任も移行されます。

しかし、3Dセキュア1.0にはオンラインビジネスにとって2つの大きな欠点がありました。

1. チェックアウトフローの別のステップであり、顧客がチェックアウトプロセスを放棄する可能性があります。チェックアウトのステップが増えるごとに、特にモバイルではコンバージョンが低下します。
2. 購入者は、カード発行銀行の別のパスワードを覚えておく必要がありました。パスワードを忘れた場合、購入を断念する可能性があります。

幸いなことに、ユーザーエクスペリエンスを損なうことなくSCA要件を満たすことを容易にする新しいツール、3Dセキュア2.0があります。3Dセキュア2.0は、フルページのリダイレクトを必要とせずに、Webおよびモバイルチェックアウトフローに直接チャレンジフローを埋め込むように設計されています。 

ホリデー詐欺からWordPressのeコマースサイトを保護する方法については、こちらのガイドをご覧ください。

3Dセキュア2.0は、各取引で100以上のデータポイントをカード保有者の銀行に送信します。カード保有者はこの情報を使用して、取引のリスクを評価します。

銀行に送信されるデータポイントは何ですか？配送先住所から顧客のデバイスID、IPアドレス、さらには過去の取引履歴まで、すべてです。

データが銀行にとって取引が正当であると判断するのに十分な場合、銀行はその取引を「シームレス」フローとして認定できます。これは、ユーザーが取引を認証するために他に何もする必要がないことを意味します。カード保有者は、3Dセキュアが使用されていることにさえ気づきません。

データが不十分な場合、取引は「チャレンジ」フローに強制されます。これは3Dセキュア1.0と同様に、銀行がブランド化した追加ページで、さらなる情報を要求します。

3Dセキュア2.0の興味深い点は、データポイントを追加することで時間の経過とともに改善できることです。理論的には、顧客の身元を確認する新しいデータポイントが増えるほど、セキュリティは向上します。

SCAが必要な支払い

欧州連合法に基づき、SCAは欧州内でのほとんどの顧客主導型オンライン取引に適用されます。これには、ほとんどのクレジットカードおよびデビットカード決済、ならびにクレジット送金が含まれます。サブスクリプションの最初の取引は顧客主導型ですが、継続的な支払いは加盟店主導型であるため、SCAは必要ありません。

カード保有者と加盟店が両方とも欧州経済領域に所在する場合、その支払いは法律の範囲内とみなされます。一部のカード発行会社は、加盟店の所在地に関わらず、すべての取引でSCAを要求します。

StripeはPaymentIntentsと呼ばれるSCA対応APIをリリースしました。このツールを使用すると、必要に応じて、または特定の取引で不正行為のリスクが高い場合に3Dセキュア2.0を適用できます。

決済処理業者は2019年にこれをすべての人にリリースしました。

したがって、WordPress向けのStripe決済プラグインでNo.1のWP Simple Payを使用してサイトで決済を受け付けている場合、すでに欧州の指令に準拠しています。

強力な顧客認証（SCA）の例外

一部の種類の取引はSCAの対象外です。お客様の決済プロバイダー（Stripe、Square、PayPalなど）は、決済処理中に代理で例外を要求できます。カード保有者の銀行が例外を付与または拒否するかどうかを決定します。

最も一般的な例外の種類は次のとおりです。

1. 低額取引。 30ユーロ未満の取引は免除されます。ただし、カードまたは決済方法で1日に5件を超える免除取引があった場合、または免除された取引の合計が100ユーロを超えた場合は、SCAが必要です。
2. 低リスク取引。 決済プロセッサはリアルタイムのリスク分析を実行して、SCAを適用するかどうかを判断できます。プロセッサは、不正率が低い場合にのみこれを行うことができます。
3. サブスクリプション。 初回の支払いはSCAが必要ですが、同じビジネスに対する同じ金額の継続的な支払いには必要ありません。変動額（または従量課金制）の場合は、毎回SCAが必要です。
4. ホワイトリスト登録された信頼できる受取人。 顧客は信頼できるビジネスをホワイトリストに登録できます。これらのビジネスは、顧客の銀行が管理する「信頼できる受取人」リストに掲載されます。ホワイトリストに登録されたビジネスへの最初の支払いにはSCAが必要ですが、その後の支払いには必要ありません。
5. MOTO取引。 メールオーダーおよび電話オーダー（MOTO）取引は「電子」決済とはみなされません。SCAの規制対象ではありません。

米国企業にとっての意味

現時点では、PCIコンプライアンスがオンライン取引を規制する主なフレームワークです。しかし、問題は、PCIコンプライアンスは法律ではないことです。これは単に主要なクレジットカード会社間のイニシアチブにすぎません。これらの会社と提携するには遵守する必要がありますが、違反に対する罰金やペナルティはありません。

以上のことを踏まえると、ヨーロッパの顧客に販売する予定がある場合は、PSD2法およびSCAを遵守する必要があります。これは、クレジットカード詐欺の量が減るため、実際にはあなたにとって良いことです。

幸いなことに、WP Simple Pay を使用していれば、それほど多くの作業を行う必要はありませんでした。Stripe はすべての取引をマーチャントのアカウントを通じて処理するため、EU 指令への準拠は Stripe の責任となります。

WordPress で 3D セキュア 2.0 を有効にする方法

WP Simple Pay を使用することが、3D セキュア 2.0 をサポートする支払いフォームを作成する最も簡単な方法です。

WP Simple Pay には Stripe がサポートするセキュリティ機能が組み込まれているため、ユーザーは PCI 準拠で 3D セキュア 2.0 対応の支払いフォームを自動的に作成できます。

このプラグインを使用すると、ショッピングカートを設定せずに直接サイトで支払いを受け付けたり、安全な Stripe ホストのチェックアウトページである Stripe Checkout を介して支払いを受け付けたりできます。

WP Simple Pay の追加機能と利点は次のとおりです。

• 支払いフォームテンプレート: 製品、イベント、登録、寄付などのための完璧な支払いフォームを数分で作成できます。
• 複数の支払い方法: 従来のクレジットカードやデビットカード、ACH ダイレクトデビット、Apple Pay / Google Pay / Microsoft Pay、Cash App Pay、Buy Now, Pay Later サービスなど、10 以上の支払い方法オプションを提供してリーチを拡大し、売上を伸ばしましょう。
• サードパーティ連携: AffiliateWP や Uncanny Automator などの人気の WordPress プラグインと支払いフォームを連携させて、購入関連タスクを自動化します。
• 高度なドラッグ＆ドロップフォームビルダー: コードなしで簡単に支払いフォームを作成できます。
• 手数料回収: 追加の 3% の Stripe 処理手数料を削除して、全額を受け取れるようにします。
• 専用ランディングページ: 開発者を雇う必要なく、フォームビルダーから直接、支払いフォーム用の邪魔にならないランディングページを作成できます。
• その他多数…

このチュートリアルでは、WP Simple Pay を使用したオンサイト支払いフォームで、WordPress で 3D セキュア 2.0 が有効になっていることを簡単に確認する方法を示します。

良いニュースは、WP Simple Pay を使用して作成された支払いフォームは、すでに 3D セキュア 2.0 を使用してカードの追加認証を収集していることです。

ステップ 1. WordPress で WP Simple Pay をインストールして有効化する

3D セキュア 2.0 対応の支払いフォームを作成するには、まず WordPress サイトに WP Simple Pay をインストールして有効化する必要があります。

単に料金ページにアクセスして、ニーズに最適なプランを選択してください。

次に、WP Simple Pay アカウントまたは支払い確認メールからプラグインをダウンロードします。その後、WordPress にインストールします。

詳細については、WP Simple Pay のインストール方法に関するステップバイステップガイドをご覧ください。

プラグインの有効化が完了すると、セットアップウィザードにリダイレクトされます。セットアップウィザードを使用すると、まだ持っていない場合はStripeアカウントを設定し、APIキーを手動で入力することなくサイトに接続できます。

2: WordPressとStripeを接続 

WordPressサイトをStripeに接続するには、Stripeで接続をクリックします。

次に、Stripeアカウントで使用しているメールアドレスを入力し、サイトに接続します。Stripeアカウントをお持ちでない場合は、メールアドレスを入力して登録を完了することで簡単に作成できます。

このプロセスが完了すると、“セットアップ完了”という成功ページが表示されます。次に、支払いフォームを作成をクリックします。

ステップ 3: オンサイト支払いフォームを作成する

サイトに WP Simple Pay をインストールして有効化したので、3D セキュア 2.0 対応の支払いフォームを作成する必要があります。

支払いフォームテンプレートライブラリページに移動し、さまざまなテンプレートから選択します。

基本的な支払いフォームテンプレートを選択してください。

次に、一般タブで、フォームのタイプとしてオンサイト支払いフォームを選択してください。

オフサイトのStripe Checkout支払いページとオンサイト支払いフォームの両方で3Dセキュア2.0が使用されますが、チェックアウトの放棄を減らすために、支払いプロセス全体で訪問者をサイトに留めておくことをお勧めします。

タイトルと説明を入力したら、支払いタブをクリックします。

ここで、価格を入力し、一回払いかサブスクリプション払いかを選択し、支払い方法オプションを選択する必要があります。

このチュートリアルのため、カード、ACHダイレクトデビット、Cash Appのチェックボックスをオンにしてください。

次に、フォームフィールドタブで、ドロップダウンメニューから名前と住所を追加します。

完了したら、下書き保存ボタンをクリックしてください。これでフォームをプレビューできます。以下のようなものになるはずです。

ステップ4：サイトに支払いフォームを公開する

支払いフォームに満足したら、サイトのページまたは投稿に公開する時間です。

ページまたは投稿に移動し、左上隅の+アイコンをクリックして、WP Simple Payブロックを表示します。

次に、作成した支払いフォームをドロップダウンメニューから選択し、公開ボタンをクリックします。

ステップ5：3Dセキュア2.0認証をテストする

支払いフォームを作成し、サイトに追加したので、最後のステップは3Dセキュア2.0認証をテストすることです。

支払いフォームページに移動し、Stripeが提供するテストカード番号を使用してテスト支払いを行うだけです。

支払いフォームがテストモードになっていることを確認してください。WordPressでStripeテストモードを有効にする方法については、ステップバイステップガイドを参照してください。

支払いフォームフィールドに必要な情報を入力すると、3Dセキュアテスト支払いページポップアップメッセージが表示されます。

これで完了です！この記事が、SCAとは何か、そしてWordPressで3Dセキュア2.0を有効にする方法について、より深く理解するのに役立ったことを願っています。

この記事が気に入った場合は、以下のガイドもチェックしてみてください。

• WordPressサイトをカードテストから保護する方法
• Stripe Radarとは何か、そしてそれを正しく使用する方法
• 支払いフォームに関する顧客からの苦情トップ

何を待っていますか？ 今すぐ WP Simple Pay を始めましょう！

このような記事をもっと読むには、 X でフォローしてください。