What is SCA and How to Enable 3D Secure 2.0 in WordPress

Facebook 推文 LinkedIn

您是否想知道什么是SCA以及如何在您的WordPress电子商务网站上启用3D安全？

您可能已经听说过支付服务指令2（PSD2）、强客户认证（SCA）和3D安全2.0。

在本文中，我们将介绍这些术语的含义，它们如何影响您的电子商务业务（特别是如果您有欧洲客户），以及如何在WordPress中轻松启用3D安全2.0。

什么是强客户认证？

强客户认证（SCA）是支付服务指令2（PSD2）下的一项欧洲要求，该指令最初于2007年推出，旨在使在线支付更安全并大大降低欺诈风险。SCA的第二次迭代已于2019年强制执行。

为了满足SCA的要求，现在欧洲许多在线银行卡支付都需要一种双因素身份验证形式。没有这种身份验证，许多支付可能会被客户的银行机构拒绝。

通常，我们通过密码来验证身份。这被认为是“您知道的东西”。这是您知道的、本应保密的信息。

但是，密码很少是保密的。我们根据容易收集到的信息（如出生日期和宠物名字）创建密码。我们经常与他人共享它们。

根据最近的一项谷歌民意调查，三分之二的美国人使用完全相同的密码登录所有在线账户。因此，举例来说，假设一个黑客获得了您的Apple.com账户密码，他们很可能也能用它登录您的Google账户（甚至更糟，您的银行账户）。

SCA的目标是通过更多识别因素来验证支付，从而增加额外的保护层：“您拥有的东西”和“您是什么”。

客户知道的东西（如密码）。
客户拥有的东西（如他们的手机）。
客户是什么（如他们的指纹）。

当您组合两个或三个这些数据点时，恶意方访问您的账户的难度将大大增加。

例如，如果您指定了一个密码和您的手机来验证您的身份，那么恶意人员将不得不窃取您的密码和您的手机才能进入您的账户。至少可以说，这种情况极不可能发生。

过去，欧洲人只需一个因素即可进行在线交易——他们的银行卡。银行卡是您拥有的东西。

虽然他们仍然需要三个数据点：卡号、有效期和CVV/CVC号，但这三个数据点都在同一张塑料卡上，所以卡算作一个因素。这目前是我们在美国的做法。

SCA的目的是：

降低欺诈的可能性，因为窃贼将没有多个身份验证因素。
降低交易处理成本。欺诈减少意味着信用卡发行机构可以降低对消费者和商家的费用。
提高持卡人信心，让人们安心在线购物。
遵守国际法规，让卡片可在任何地方安全使用。

截至 2019 年 9 月，银行已拒绝未经身份验证的付款。被拒绝的付款必须重新提交给客户进行 SCA。

您可以在此处阅读完整的监管技术标准。

什么是 3D Secure 2.0？

在线交易期间，会使用一种名为 3D Secure 1.0 的工具来验证卡交易。您可能以前见过这种流程：您输入卡详细信息进行付款，然后被重定向到一个新页面，您的银行会要求输入密码/代码来批准购买。这时客户会被重定向到一个新页面来输入代码。

3D Secure 1.0 的好处从一开始就很明显。客户不仅感到安全（因为页面通常由银行或卡网络品牌化，例如“MasterCard SecureCode”或“Verified by Visa”），而且还将责任从商家转移到发卡行。

但是，3D Secure 1.0 对在线业务有两个主要缺点：

这是结账流程中的另一个步骤，可能导致客户放弃结账流程。每个额外的结账步骤都会降低您的转化率，尤其是在移动设备上。
买家必须记住来自发卡行的另一个密码。如果他们忘记了密码，可能会放弃购买。

值得庆幸的是，有一个名为 3D Secure 2.0 的新工具，可以更轻松地满足 SCA 要求，而不会中断用户体验。3D Secure 2.0 旨在将挑战流程直接嵌入到 Web 和移动结账流程中，而无需进行整页重定向。

请参阅我们关于如何保护您的 WordPress 电子商务网站免受假日欺诈的指南。

3D Secure 2.0 在每次交易中向持卡人的银行发送 100 多个数据点。持卡人使用这些信息来评估交易风险。

发送给银行的数据点有哪些？从送货地址到客户的设备 ID、IP 地址，甚至他们之前的交易历史。

如果数据足以让银行认为交易是合法的，银行就可以将交易归类为“无缝”流程。这意味着用户无需执行任何其他操作即可验证交易。持卡人甚至不知道使用了 3D Secure。

如果数据不足，交易将被强制进入“挑战”流程。这就像 3D Secure 1.0 一样——一个由银行品牌化的附加页面，要求提供更多信息。

3D Secure 2.0 有趣之处在于，通过添加数据点，它可以随着时间的推移而变得更好。理论上，每一个验证客户身份的新数据点都意味着更高的安全性。

需要 SCA 的付款

根据欧盟法律，SCA适用于欧洲境内大多数客户发起的在线交易。这包括大多数信用卡和借记卡支付以及信用卡转账。订阅的首次付款由客户发起，但后续付款由商家发起，因此不需要SCA。

如果持卡人和商家都位于欧洲经济区内，则认为该付款属于法律范围。一些发卡机构将要求对所有交易进行SCA，无论商家位于何处。

Stripe发布了一个名为PaymentIntents的就绪API。此工具允许您在需要时或当特定交易存在高欺诈风险时应用3D Secure 2.0。

支付处理商于2019年向所有人发布了它。

因此，如果您已经在使用WP Simple Pay（WordPress排名第一的Stripe支付插件）在您的网站上接受付款，那么您已经符合欧洲指令的要求。

强客户身份验证的豁免

某些类型的交易可豁免SCA。您的支付提供商（如Stripe、Square或PayPal）可以在支付处理过程中代表您申请豁免。持卡人银行将决定是否批准或拒绝豁免。

以下是最常见的豁免类型：

低价值交易。低于30欧元的交易可豁免。但是，如果卡或支付方式在一天内已处理超过五笔豁免交易或豁免交易总额超过100欧元，则需要SCA。
低风险交易。支付处理商可以进行实时风险分析，以判断是否应用SCA。只有当其欺诈率保持较低水平时，处理商才能这样做。
订阅。首次付款需要SCA，但后续付款如果金额相同且支付给同一商家则不需要。可变金额（或按计量计费）每次都需要SCA。
白名单受信任受益人。客户可以将其信任的企业列入白名单。这些企业将被列入客户银行维护的“受信任受益人”列表中。首次向白名单企业付款需要SCA，但后续付款不需要。
MOTO交易。邮购和电话订单（MOTO）交易不被视为“电子”支付。它们不受SCA的监管。

这对美国企业意味着什么

目前，PCI合规性是监管在线交易的主要框架。然而，问题在于PCI合规性并非法律。它只是各大信用卡公司之间的一项倡议。您必须遵守它才能与这些公司合作，但违反它没有任何罚款或处罚。

总而言之，如果您打算向欧洲客户销售产品，您将需要遵守PSD2法规和SCA。这对您来说实际上是一件好事，因为这将减少您需要处理的信用卡欺诈量。

幸运的是，如果您使用 WP Simple Pay，您无需做太多工作。由于 Stripe 会将所有交易通过商户账户进行处理，因此他们负责遵守欧盟指令。

如何在 WordPress 中启用 3D 安全 2.0

使用 WP Simple Pay 是创建支持 3D 安全 2.0 的付款表单最简单的方法。

由于 WP Simple Pay 已内置 Stripe 支持的安全功能，因此其用户可以自动创建符合 PCI 标准且支持 3D 安全 2.0 的付款表单。

该插件允许您直接在网站上接受付款，而无需设置购物车，或者通过 Stripe Checkout（一个由 Stripe 托管的安全结账页面）进行接受。

WP Simple Pay 的其他功能和优势包括：

付款表单模板：在几分钟内为产品、活动、注册、捐赠等创建完美的付款表单。
多种付款方式：提供 10 多种付款方式选项，以扩大您的覆盖范围并促进销售，包括传统的信用卡和借记卡、ACH 直接借记、Apple Pay / Google Pay / Microsoft Pay、Cash App Pay、先买后付服务等。
第三方集成：将您的付款表单与流行的 WordPress 插件（如AffiliateWP 和 Uncanny Automator）集成，以自动化与购买相关的任务。
高级拖放表单生成器：无需代码即可轻松创建付款表单。
费用回收：免除额外的 3% Stripe 处理费，确保您收取全额付款。
专用着陆页：直接从表单生成器创建无干扰的着陆页，用于您的付款表单，无需聘请开发人员。
等等…