万字干货整理:3DS2的前世今生|全球支付线上分享会文字整理稿
Hongli: Associate Account Manager
很高兴又和大家在Adyen支付学院见面。
首先和大家分享一个客户案例。我有一位电商客户,主要往欧洲国家做产品出口,因为欧洲PSD2 政策法规的要求,上线初期就对接了3DS 1.0 方案,即每一笔交易都需要做顾客识别验证;但也因为多出身份验证这一步骤,给他们带来了不少订单丢失,比如顾客验证失败率很高,跳转页面链接超时导致成功率下降;这位商户希望提高转化率成功率,减少验证带来的订单丢失;商户听说了 3DS 2.0 解决方案可以解决这个痛点。
基于我的这位商户的需求,和他们沟通中,收集整理了他们的一些问题,我邀请到了两位外援,第一位是我们团队公认的3DS 专家Danny,他对欧洲 PDS2, SCA 这块有非常丰富的经验。另外一位是我们的技术负责人朱老师,也是大家的老朋友了。
Danny: Account Manager
我们进入今天的主题,首先,许多出海企业经常咨询关于欧洲交易的名词和术语,有特别多的缩写。
先解释一下SCA,全名Strong Customer Authentication (顾客强验证)SCA其实是PSD2法案下的一个要求,要求商户在碰到欧洲线上交易时,必须使用这个多因子验证,这里我们敲一下重点。不管3DS1.0方案还是3DS2.0方案,其实它都是符合SCA的要求的。重要的话说三遍,它们都符合SCA的要求。
PSD2 的目的是为了确保在线交易的安全性,放开银行接口,打造更丰富的支付生态。所以其实本质上对我们商户还是有积极的促进作用的。说到EMVCO,其实是一个制定标准的全球组织,3DS验证就是遵从EMVCO的标准,如果商户需要自己开发验证套件的话也需要经过emvco的认证。
最后我们来说一下3DS,也是大家很关心的一个点,3DS全称叫Three-Domain Secure。这个Three-Domain 其实就是指发卡行(issuer)、卡组(scheme)以及收单行(acquirer),听上去好像没有咱们出海商户什么事,但其实卡组已经在规划未来让商户逐渐加入到整个验证的过程中来,为咱们出海商户,也为持卡人(即海外消费者)带来更好的在线交易体验。
Hongli:
你刚刚提到的3DS是不是其实又分为两个版本的1.0和2.0?这个2.0版本真的可以提高转化率成功率吗?
Danny:
口说无凭,咱们可以直观来看一下,左右是3DS1.0和2.0的对比。
3DS1.0看上去很有年代感,同时需要跳转,用户的落差感也比较强,3DS2.0看上去就更加时尚了,它的体验更延伸。其实我们很多商户花了非常大精力在前端页面设计,包括用户交互体验的流程的优化上,但如果用户在支付结账缓解突然被跳到了这样的一个页面,丑丑的,我们的美工小姐姐可能都欲哭无泪了。
其实3DS1.0它本身是一个1999年提出的标准,所以它的UI水平现在来看就非常“普通”了。3DS验证的页面都是发卡行自己去设计的,没有什么定制化的空间。
我们再看一下3DS2.0,它的整个验证不需要做任何跳转,这是对我们卖家朋友的一个重大利好,要知道一次跳转,你可能就意味着3~4秒的等待时间,或者是5%~10%的这样一个转化流失。另外其实在3DS2.0里面,卡组也贴心为大家带来了像生物识别,包括像设备指纹,可以让整个验证流程更加顺滑,为用户呈现更完美的体验。在3DS兼容性比较好的国家,比如说像英国,这种无跳转验证比例接近80%,整个授权通过率得到了非常大的提高。
相信大家听说过3DS 2.0其实还分为两个版本,分别是3DS2.1和2.2,其实对于大部分商户来讲没有太大区别,最主要的区别在于OOB,OOB其实代表验证会跳出商户APP,跨APP去追踪,主要应用在生物识别上。其他大部分的功能,比如本地化部署,无感验证等,3DS2.1和2.2都是一样的。那么其他比如用户白名单,在authentication中加入豁免请求等,与目前我们商户整体关系不大,如果需要我们后面有时间可以单独解释。
Hongli:
按照我们国内日常使用支付宝/微信支付的习惯,信用卡使用较少,可能大家还是不太能理解3DS验证的整个流程? 下面用一个动图来具体展示。
所以我们先看一下传统的Web版的1.0的流程,首先我们先选择卡支付,然后输入卡号,有效期以及CVV,同时输入持卡人姓名,点击支付。页面会跳出购物网站,跳转到3DS1.0的页面,要求消费者再去输入用户名及密码,然后点击支付,完成3DS验证,全程耗时43秒。
我们再看一下3DS2.0的表现,也是同样在Web端,我们再次输入卡号、有效期、CVV和持卡人姓名,然后点击支付,收集设备指纹,上送给到发卡行,出现挑战页面。输入密码完成验证,没有跳出商户网站,一气呵成,整个验证流程耗时23秒。
接下来我们看一下移动端,第一个为大家展示的是面容识别,因为需要切换到发卡行APP执行FaceID的识别,所以这个只有在3DS2.2以上的版本才能支持。
接下来我们看一下验证码的验证流程,首先先选择验证设备,选择手机,输入一次性动态口令,完成验证。
最后我们看一下无感验证流程,上送设备指纹完成付款非常快,快到客户一点犹豫的时间没有,等他回过神来付款就已经完成了。
Hongli:
确实是,这样3DS2带给顾客体验,不管是从APP端还是网页端,都更加流畅。除了让用户支付旅程更加流畅之外,它还可以带来什么好处呢?
Danny:
3DS2另外一个势在必行的原因是,目前卡组还是3DS2 最大的推进者,从卡组的角度来说,3DS2 可以帮助提升持卡人的用卡体验,降低用卡风险,还可以通过3DS2 传递更多信息,比如设备指纹信息甚至豁免请求来帮助发卡行进行更全面的交易审查。你说你要是卡组,你推不推。
但问题是,3DS1.0已经有20多年的历史了,他再丑,体验再差,用户和商户也都习惯了,发卡行就更不用说了。为了推行3DS2, 卡组接下来会准备逐步停止对3DS1的支持,来让发卡行逐步全部迭代到3DS2。
Hongli:
你的意思是3DS1.0已经要有截止日期了吗?如果商户还没开始对接,来得及吗?
Danny:
时间上不必太慌,大家可能听说卡组会在今年10月停止对3DS 1.0的责任转移的支持。但实际上10月份Visa和万事达只是在发卡行不支持3DS1的情况下停止给予责任转移的动作。直到明年才会正式停止3DS 1.0 的支持。
Hongli:
关于3DS的责任转移可以再详细给我们解释一下吗?
Danny:
卡组作为一个3DS规则的制定者,当年为了推广3DS1.0,规定如果商户发起3DS验证,但是发卡行如果没有加入3DS或者验证的时候掉链子,那么卡组这个时候就会挺身而出,去保障我们商户的权益,给发卡行迎头痛击一个叫liability shift的责任转移,如果消费者事后拒付,拒付的责任就会转移去发卡行。这样即使未来这笔交易会出现了欺诈类的支付,损失也会由发卡行来兜底。
但是为了推广3DS2.0,在今年10月份之后, Visa和万事达就会在3DS1.0上停止这种见义勇为的行为,但是在3DS2上还保留了这个政策,来鼓励3DS2 的推行。
分两种情况来看:
第一种情况,如果是欧洲主体的卖家,多数是为了迎合欧洲SCA法规的要求去发3DS验证。这种情况下有没有责任转移,其实区别不会特别大,
但是另一种情况,有很多卖家其实是为了责任转移去发3DS验证,这个时候咱们就要留意了,毕竟这种情况下发3DS验证的可能都是高风险交易,那就需要抓紧时间去安排上3DS2.0的对接。
Hongli:
无论是visa还是万事达,都给到商户和发卡行足够的时间来推广3DS2.0的对接。我们总部团队专门监测今年PSD2实施以来各个国家的实施进展情况,今天是否也可以从实际市场表现,来说下近期宏观3DS2.0的情况呢?
Danny:
我们刚刚有介绍到,3DS 2.0 相比于3DS 1.0 ,通过给发卡行提供更多的交易信息和数据交互,给用户带来验证体验上的升级,如无摩擦验证,从而优化用户体验,并拿到责任转移。我们这边也为大家准备了一些粗略的数据供大家参考,图表左边是海外国家3DS2.0无感验证的比例,右边是各个国家无感验证授权成功率的数据。因为涉及到平台数据隐私,不方便透露详细的数值。如果大家想要了解更多3DS表现,欢迎大家会后咨询我们。
Hongli:
这些图标数据可以看出3DS2验证的支付成功率在部分国家确实非常好。
Danny:
确实3DS2.0可以为出海企业和海外消费者带来更好的验证和服务体验,而且受到卡组的政策倾斜,其实我们也是推荐商户这边去做对接3DS2.0的。但是我们可能还要先看一下3DS2.0与3DS1.0相比表现究竟如何。
一笔支付交易通常分为两个阶段,第一个阶段叫做authentication,也就是验证,第二个阶段叫做authorization,也就是授权。
在第一个验证阶段:
完成3D验证的交易笔数 ÷ 所有验证的交易笔数 = 验证通过率
在第二个授权阶段:
所有授权成功的交易 ÷ 所以授权请求笔数 = 授权通过率 (auth rate)[2]
因为Adyen在这边既是验证方案的提供商,同时也是收单行。所以我们其实就可以结合前面两个阶段,验证通过率以及授权成功率,去计算出全流程的转化率(full funnel conversion rate)。这个就是我们用来评估不同海外国家、发卡行以及卡BIN在3DS1.0和3DS2.0的表现数据。
另外,3DS2.0 需要发卡行支持更多的信息的传输,才能做出更好的判断。所以发卡行的准备程度对于3DS2的整体表现至关重要。
线上互动Q&A
问题:使用3DS 2.0的过程中,发现有部分交易在authentication阶段返回了YA/YY,但在authorization时依然被发卡行softdecline,请问是什么原因,是否意味着3DS2在欧洲并不能被所有银行所正确处理?
Danny:YA代表虽然商户这边已经准备好3DS2.0,但是发卡行那边可能还没有准备好。对于这样的交易,卡组会告诉发卡行这笔交易需要给商户责任转移,发卡行不愿意接受,所以这个时候大概率会返回一个soft decline。至于为什么YY的时候,他也会给到一个soft decline,我们可能就要具体的看一下这笔交易到底是什么情况。因为其实我们在欧洲PSD2早期刚刚上线的时候,确实有发现说有一些发卡行,它的准备程度不是很高,出现了一些误报,我们也要排查一下是不是在这个范围里面。通常来讲的话,YY代表了说交易已经通过验证,并且也拿到了责任转移,这种情况通常来说的话是可以通过的。
问题:做了3DS是否就不会有chargeback情况,只可以对信用卡做吗?
朱老师:做了3DS后在少数情况下也有一定可能性会收到chargeback。对于做了3DS发生责任转移的交易,如果商户因为欺诈的原因产生chargeback,我们系统会做auto-defense进行抗辩,但如果是服务类的chargeback的话,是不在3DS范围之内的。
问题:payments接口如果不上送3D参数,是否意味着可以绕过3D,不会触发风控,支付结果以发卡行结果为准?
朱老师:如果不上送3DS的参数,在系统里就会认为说你没有对接过3DS2.0,我们会帮你去做一个处理。对于那些发卡行要求做验证的,我们依然会给你3D1.0的返回。这个前提是说你已经做过3D1.0的对接。因为如果我们直接抛给发卡行的话,这笔交易是肯定会失败的,因为发卡会直接拒绝的。所以我们系统其实实际上是帮你做了一个智能的兜底。
Danny:从另外一个角度来回答一下这个问题,其实SCA它并不是说强制你所有交易都一定要去送3DS验证。我们现在观察到大部分欧洲国家,你如果是一些小金额的交易,你不去做3D的话,它还是会有一定概率可以让你通过的,更多的还是说看发卡行目前对于这一个3DS,包括SCA这块的一个准备程度。
问题:3DS2.0用户无感知情况下的校检,主要是收集哪些信息进行校检?
朱老师: 主要是指设备指纹具体包括的信息。其实这个信息在其实是公开的。其实它包含的信息有很多,包括Phone number、Mac ID等等。具体哪些信息在网上都可以查得,有一个具体的明细列表,需要的朋友可以之后问Adyen索取链接。
问题:在3DS2.0集成选项部分,只有集成所有SDK才支持无感3DS验证吗?
朱老师: 针对frictionless无感验证,其实是根据你上送的校验信息来决定的,并不是根据不同平台的SDK来决定。所以说无感支付跟不同的SDK是没有关系的。无感支付最明显体现在验证交互过程当中,它以什么样的方式来呈现。
问题:会在哪些情况下会触发3DS校验
朱老师:这个问题可能是很多人关心的。其实对我们来说,要推出3DS 2.0这个方案呢是为了帮助商户更好的做3DS校验?对于商户来说,只需要发了我们3DS 2.0的一个参数,Adyen的authentication engine (智能验证引擎)会自动帮你去判断,这笔交易到底优选3DS1.0还是2.0,这样商户就不需要再去做额外的判断。
Danny:对,这里补充一下,3DS其实分成两种。
第一种场景:商户想主动去发3DS验证,通常是商户觉得这笔交易可能有一定欺诈风险,想通过3DS验证来确定消费者到底是不是真正的持卡人,这种情况下如果3DS验证成功了,就可以拿到发卡行的责任转移。
另外一种场景:在海外某些国家或者区域有验证的政策要求,要求交易必须要走线上验证,这个时候就会有刚刚咱们朱老师提到的,我们的智能验证引擎,可以通过发卡国家的维度、收单区域的维度等,判断这笔交易到底要不要做3D验证,同时去触发3DS。
问题:3DS authentication成功是表明商户一定拿到了liability shift (责任转移)吗?
朱老师: 这个就不一定了。我们可以通过后台接口的实时反馈,去看这笔交易到底有没有拿到liability shift。绝大多数情况下3DS验证完之后会拿到liability shift,但是并不能一定保证,因为真正的决定权是在发卡行。
Danny:这里也有一个小小的提醒,在我们自己的风控系统当中,其实咱们商户如果需要,可以去增加一个规则,如果交易发了3D之后,他没有拿到这个有责任转移,我们也是可以帮助商户自动去取消这笔交易的。
问题:3DS是一个全球支付未来的必须能力吗?还是只是会在部分国家进行。如果未来各个国家都要发展3DS的话各个国家的差异化会不会很大,使用成本会不会比较多。
朱老师: 这是个非常好的问题。
首先第一点,3DS是针对于银行卡支付的,未来趋势来说肯定是需要的。
对于您问到的不同区域差别会不会很大?因为这个东西是卡组推行的,而卡组在全球是执行的一套标准,并不会有差异化。但因为各个市场当地政府自己也会制定一些政策法规,要求就不太一样了。
这里我提一下Adyen这边做的一些额外工作,其实Adyen的3DS的SDK,既可以绑定我们的收单一起去做,也是一套独立的3DS验证解决方案。即使在不同区域,同样都可以用这套SDK去解决3DS验证,即便各地法规略有不同,3DS验证流程本身在不同区域、不同国家、不同市场是一样的。
问题:责任转移是卡组给的还是发卡行给的?
其实卡组有个官方手册,可以从卡组的网站上下载到。这个手册规定了不同的验证返回形式,会有一个叫ECI value(ECI值),在不同的ECI值下有没有责任转移,这个标准是由卡组这边来制定的,所以我们也可以说这个是一个卡组规定的责任转移,而发卡行作为卡组织的加入者,也要去遵守这个标准。但是刚才有讨论到,也有个别情况是虽然卡组提供了责任转移,但是被发卡行decline的交易。
— End —
更多阅读推荐
Adyen公司简介
作为全球众多领先企业首选的支付平台,Adyen (AMS ADYEN)为企业提供一站式支付平台服务,将商户连接至涵盖Visa、Mastercard及全球消费者偏好的付款方式,并可用于互联网、手机及门店POS机支付,提供快捷、可靠的付款体验。Adyen在全球设有多个分支机构。目前,Adyen的客户有国泰航空、微软、欧莱雅、丝芙兰、eBay、Uber、Facebook及阿里巴巴集团等。