Overzicht
De 3D Secure-standaard, vaak beter bekend onder een van de merknamen zoals Visa Secure, Mastercard Identity Check of American Express SafeKey, is ontwikkeld om fraude terug te dringen en extra beveiliging toe te voegen aan online betalingen.
3D Secure 2 (3DS2) introduceert 'frictieloze authenticatie' en verbetert de koopervaring ten opzichte van 3D Secure 1. Deze nieuwe standaard wordt naar verwachting de belangrijkste methode voor kaartauthenticatie om te voldoen aan de nieuwe Europese vereisten voor SCA (sterkte cliëntauthenticatie). Daarnaast is het een belangrijk mechanisme voor bedrijven om vrijstellingen van SCA aan te vragen.
Stripe ondersteunt 3D Secure 2 in onze betaal-API's, mobiele SDK's en in Stripe Checkout.
Korte geschiedenis van 3D Secure 1
Ondanks aanvullende beveiligingsmaatregelen, zoals het Address Verification System (AVS) of de CVC-verificatie die op sommige markten wordt gebruikt, kunnen betalingen met creditcards en betaalkaarten nog steeds een hoog frauderisico opleveren. Juist vanwege dit risico hebben klanten de mogelijkheid om frauduleuze betalingen die met hun kaart zijn gedaan te betwisten.
De eerste versie van 3D Secure is in 2001 door kaartnetwerken ingevoerd om dit probleem aan te pakken. Als je regelmatig artikelen online koopt, ben je mogelijk bekend met de 3D Secure-flow: je voert je kaartgegevens in om een betaling te bevestigen en wordt vervolgens doorgestuurd naar een andere pagina waar je bank je vraagt naar een code of wachtwoord om de aankoop goed te keuren. Omdat het merk van het kaartnetwerk meestal ook op de authenticatiepagina staat, zijn veel klanten beter bekend met een van de merknamen voor 3D Secure, zoals 'Visa Secure', 'Mastercard Identity Check' of 'American Express SafeKey'.
Voor bedrijven is het voordeel van 3D Secure duidelijk: door aanvullende informatie te vragen, wordt er een extra beschermingslaag tegen fraude toegevoegd, zodat je er zeker van bent dat je alleen kaartbetalingen van legitieme klanten accepteert. Als bijkomend voordeel van authenticatie met 3D Secure verschuift de aansprakelijkheid voor terugboekingen wegens fraude van jouw bedrijf naar de bank van je klant. Deze extra bescherming is de reden waarom 3D Secure vaak wordt toegepast voor grote aankopen, zoals vliegtickets.
Het gebruik van 3D Secure 1 heeft helaas ook enkele nadelen: de extra stap die nodig is om de betaling te voltooien, zorgt voor extra frictie in de afrekenflow en kan ertoe leiden dat klanten afzien van de aankoop. Daarnaast dwingt een aantal banken hun kaarthouders nog steeds om zelf statische wachtwoorden te maken en te onthouden om 3D Secure-verificatie te voltooien. Die wachtwoorden worden helaas vaak vergeten, met als gevolg een hoger percentage verlaten winkelwagentjes.
Wat is er anders in 3D Secure 2?
EMVCo, een organisatie die bestaat uit zes grote kaartnetwerken, heeft onlangs een nieuwe versie van 3D Secure uitgebracht. 3D Secure 2 (ook wel EMV 3-D Secure, 3D Secure 2.0 of 3DS2 genoemd) is bedoeld om veel van de tekortkomingen van 3D Secure 1 weg te nemen door een minder hinderlijke authenticatie en een betere gebruikerservaring te introduceren.
Frictieloze authenticatie
3D Secure 2 biedt bedrijven en hun betalingsfacilitator de mogelijkheid om bij elke transactie meer gegevenselementen naar de bank van de kaarthouder te versturen. Hiertoe behoren betalingsspecifieke gegevens, zoals het verzendadres, en contextgebonden gegevens, zoals de apparaat-ID of eerdere transacties van de klant.
De bank van de kaarthouder kan deze informatie gebruiken om het risiconiveau van de transactie te beoordelen en een juiste reactie te selecteren:
Als de bank er op grond van de gegevens voldoende vertrouwen in heeft dat de echte kaarthouder de aankoop doet, komt de transactie in aanmerking voor de 'frictieloze flow' en wordt de authenticatie voltooid zonder aanvullende invoer van de kaarthouder.
Als de bank bepaalt dat er meer bewijs nodig is, volgt de transactie de 'flow met sterke authenticatie' en wordt de klant gevraagd extra gegevens in te voeren om de betaling te authenticeren.
Een beperkte vorm van risicogebaseerde authenticatie wordt al ondersteund met 3D Secure 1, maar met de mogelijkheid om via 3D Secure 2 meer gegevens te delen wordt beoogd het aantal transacties dat zonder verdere invoer van de klant kan worden geauthenticeerd, te verhogen.
Zelfs als een transactie de frictieloze flow volgt, profiteert het bedrijf van dezelfde verschuiving van aansprakelijkheid als voor transacties die de flow met sterke authenticatie doorlopen.
Betere gebruikerservaring
Anders dan het geval was bij 3D Secure 1, is 3D Secure 2 ontwikkeld na de opkomst van de smartphone. Het maakt het daarom gemakkelijk voor banken om innovatieve authenticatie-ervaringen aan te bieden via hun apps voor mobiel bankieren (ook wel out-of-band-authenticatie genoemd). In plaats van dat de kaarthouder een wachtwoord invult of een sms ontvangt, kan deze via de bank-app een betaling authenticeren door middel van een vingerafdruk of zelfs gezichtsherkenning. We verwachten dat veel banken deze soepelere vormen van authenticatie met 3D Secure 2 zullen ondersteunen.
De tweede verbetering in de gebruikerservaring is dat 3D Secure 2 zo is ontwikkeld dat de flow voor sterke authenticatie direct wordt ingebed in de afrekenprocessen voor web en mobiel, zonder dat de klant wordt doorgestuurd naar een andere pagina. Als een klant zich op je website of webpagina authenticeert, verschijnt de 3D Secure-pop-up nu standaard op de afrekenpagina (browserflow).
Als je een app ontwikkelt, kun je met de mobiele SDK's die zijn gebouwd voor 3D Secure 2 een authenticatieflow in de app bouwen en omleidingen in de browser in zijn geheel vermijden.
3D Secure 2 en SCA (sterke cliëntauthenticatie)
De handhaving van SCA (sterke cliëntauthenticatie) maakt 3D Secure 2 nog belangrijker als je zakendoet in Europa. Deze regelgeving vereist dat je meer authenticatiefactoren op Europese betalingen toepast. De verbeterde gebruikerservaring van 3D Secure 2 kan je helpen om de negatieve gevolgen voor je conversiepercentage te beperken.
Met het 3D Secure 2-protocol zelf kunnen betaaldienstverleners zoals Stripe vrijstellingen voor SCA aanvragen en authenticatie overslaan voor betalingen met een laag risico. Betalingen waarvoor SCA vereist is, gaan door de 'controleflow', terwijl transacties met een SCA-vrijstelling door de 'frictieloze flow' gaan. Het is daarbij wel belangrijk om op te merken dat de betaaldienstverlener die een vrijstelling aanvraagt voor betalingen waarvoor SCA-vereist is, niet profiteert van de zogenaamde 'liability shift' (verschuiving van aansprakelijkheid) als de transactie door de frictieloze flow gaat.
Hoe biedt Stripe ondersteuning voor 3D Secure 2?
Stripe ondersteunt de 3D Secure 2-browserflow in onze betaal-API's en in Checkout. Hiermee kun je op een dynamische manier 3D Secure toepassen op betalingen met een hoog risico en zo je bedrijf beschermen tegen fraude. We passen 3D Secure 2 toe als dit wordt ondersteund door de bank van de kaarthouder. Als de nieuwe versie nog niet wordt ondersteund, vallen we terug op 3D Secure 1.
Als je een mobiele app ontwikkelt, kun je onze iOS- en Android-SDK's gebruiken om een eigen authenticatieflow in de app te bouwen zodat klanten de app niet hoeven te verlaten om de authenticatie uit te voeren. Zelfs als de bank van de kaarthouder nog geen ondersteuning biedt voor 3D Secure 2, vallen onze mobiele SDK's op een dynamische manier terug op 3D Secure 1 in een webweergave die in de app is ingebouwd.
Meer informatie over onze betaal-API's, mobiele SDK's en in Stripe Checkout om aan de slag te gaan met 3D Secure 2.