有关如何遵守 PSD2 SCA 以及如何通过 ANZ eGate payment gateway 申请豁免(如适用)的信息,请使用以下链接查看每个集成模型的集成指南:
如果发卡机构申请豁免,退单责任将转移到发卡机构。如果发卡机构批准您或您的收单行申请的豁免,退单责任仍由您承担。 发卡机构豁免的一个示例是低价值交易豁免。 收单行豁免的示例如低价值交易,或付款人已将您列入发卡机构白名单的场景。 有关可用豁免的更多详细信息,请参见以下各部分。
了解 PSD2 SCA 合规与豁免
在继续进行网关集成以达到 PSD2 SCA 合规要求之前,您可能需要考虑以下问题。
什么是 SCA?
强客户身份验证 (SCA) 要求付款人在身份验证流程中提供以下三个因素中的两个:
- 只有付款人知道的事,例如,密码
- 只有付款人才有的东西,例如,手机
- 付款人的身份标识,例如,他们的指纹或面部 ID
例如,可能要求付款人提供发卡机构发送到他们手机(付款人有的东西)上的一次性令牌和密码(付款人知道的事)。
PSD2 SCA 要求是否适用于我的所有交易?
PSD2 SCA 要求仅适用于电子商务交易。 以下交易不需要执行 PSD2 规定的 SCA:
- 卡在位、邮购订单、电话订单、语音响应和呼叫中心交易
- 匿名卡交易,例如预付卡和礼品卡
- 不是由付款人发起的交易(例如,重复交易和分期付款交易)不需要执行 PSD2 规定的 SCA。 请注意,对于持卡人发起的一系列定期付款,有特定要求。 有关更多详细信息,请参见下方。
如何遵守 PSD2 SCA 要求?
对于卡付款,您可以通过执行 3DS 支付验证 (3DS) 或实施 PSD2 SCA 豁免来达到 PSD2 SCA 的合规要求。
在决定是否应该申请 3DS 身份验证或申请 PSD2 豁免时,您可能需要考虑以下问题:
- 我是否需要退单保护? 如果 3DS 身份验证成功且准予发卡机构豁免,退单责任将转移到发卡机构。 如果您申请收单行豁免(且发卡机构批准豁免),退单责任仍由您承担。
- 如果付款人面临 3DS 质询,他们在结账流中退出的可能性有多大? 对于较大的交易金额,付款人可能会认为这一步很重要,而对于金额较低的交易,他们可能会认为完成 3DS 质询过于麻烦。
- 发卡机构准予豁免或行使发卡机构豁免的可能性有多大? 如果发卡机构不授予您所请求的豁免或不适用发卡机构豁免,您将需要执行 3DS 才能继续付款。 这会增加结账流程的延迟,您可能必须为两个交易请求支付费用。
- 我的欺诈率是多少? 如果您的欺诈率很高,发卡机构不太可能批准豁免。 高欺诈率可能会影响您通过卡组织处理付款。
我可以申请哪些 PSD2 SCA 豁免?
对于身份验证或付款,您可以申请以下豁免之一:
| 豁免 |
说明 |
| 低风险 |
允许发卡机构对被视为“低风险”交易且金额低于定义阈值的交易实施 SCA 豁免。发卡机构可以根据发卡机构、收单行或两者的平均欺诈率将交易视为最低风险。 请注意,此欺诈率适用于发卡机构/收单行的所有交易,并非专门针对您。
当您的收单行的欺诈率低于阈值,但发卡机构的欺诈率高于阈值时,发卡机构预期会拒绝豁免。 适用的阈值是:
- 交易金额 <= 100 EUR* (或交易货币的等值金额)且平均欺诈率 <=0.13%*
- 交易金额 <= 250 EUR*(或交易货币的等值金额)且平均欺诈率 <= 0.06%*
- 交易金额 <= 500 EUR*(或交易货币的等值金额),平均欺诈率 <= 0.01%*
与 ANZ Worldline Payment Solutions 或收单行交流,讨论低风险豁免是否适合您。
如果您申请低风险豁免,并且发卡机构准予豁免,责任将转移给您。即使您或您的收单行未申请豁免,发卡机构也可以实施豁免(发卡机构豁免)。在这种情况下,退单责任转移到发卡机构。您可以通过在发起身份验证时提供更多付款人信息来增加发卡机构实施豁免的机会。
* PSD2 可能会更改此限制。
|
| 低价值 |
如果交易金额不超过 30 EUR*(或交易货币的等值金额),您可以申请低价值豁免。 如果发卡机构准予豁免,责任将转移给您。
发卡机构必须跟踪每张卡的豁免使用情况,包括自付款人上次完成身份验证以来的所有交易次数和总价值。 如果数量超过五,总价值超过 100 EUR*(或交易货币的等值金额),则不能实施豁免,必须执行 SCA。
由于此阈值不仅适用于付款人向您支付的付款,而是适用于任何付款,所以您不能依靠被准予的豁免。而且,由于发卡机构在执行身份验证时无法执行所需的检查,因此他们可能准予身份验证豁免,但随后却会拒绝付款。 由于此豁免的适用条件,发卡机构可能不会完全支持它。 出于这些原因,建议您在适用的情况下考虑申请低风险豁免而不是低价值豁免。
|
| 白名单 |
如果您允许付款人在您这里创建账户,这样他们每次在您这里购物时就不必输入他们的卡详细信息、账单或送货地址详细信息等信息,那么您可能需要考虑白名单豁免。您可以要求发卡机构在身份验证期间(执行 SCA 时)向付款人提供将您添加到白名单的选项。 在这种情况下,付款人将能够将您添加到发卡机构维护的此卡白名单中。
这样一来,对付款人在您的网站购物后使用此卡进行的后续付款,发卡机构不会再要求执行 SCA。 无论交易金额多少或付款人在您这里购物的频率如何,这都适用。
付款人能够在发卡机构处(或代表发卡机构提供此服务的服务提供商)管理卡的白名单。发卡机构可能不支持白名单,到目前为止,发卡机构采用白名单的速度一直很慢。如果您想要提供白名单,您需要关注已将您列入白名单的付款人,以可以在您提交付款进行处理时申请白名单豁免。
|
商家发起付款
包括定期付款(可变金额) |
如果您与付款人达成协议,允许您定期提交商家发起付款(不属于下文的定期付款(固定金额)范围)来提供商品或服务,这些付款可免于遵守 PSD2 SCA 要求。例如,这包括公用事业账单付款(例如,电费)、付费电视和手机订阅、汽车/自行车共享交易、数字服务订阅、保险费支付、分期付款和自动账户充值。 还包括授权更新,例如,当您延长授权有效期或更新授权金额时。 对于固定金额的定期付款,请参见下方的“定期付款(固定金额)”豁免。
仅当您存储系列中初始持卡人发起的付款的付款详情时,才需要执行 SCA。 对于该系列中后续的商家发起的付款,您必须申请商家发起的付款豁免。 请注意,这不是一种技术上的豁免,而是您指明这是一项在 PSD2 SCA 范围之外的商家发起付款。 与任何其他豁免一样,仍由发卡机构决定是否需要进行身份验证。
如果发卡机构批准商家发起付款豁免,则不需要 SCA,并且退单责任转移到发卡机构。 如果发卡机构未准予豁免,您需要提交持卡人发起付款,并对此付款执行 SCA。
如果用于此协议的卡详细信息发生更改,您必须提交另一项持卡人发起付款,并对此付款执行 SCA。
前提条件是您将付款正确标识为商家发起付款。 有关更多详细信息,请参见 商家发起交易。 |
| 定期付款(固定金额) |
如果您与付款人就定期付款(即固定金额订阅)达成协议,您只需在存储付款详细信息或提交系列付款的初始持卡人发起付款时执行 SCA。对于系列付款中后续的商家发起付款,您必须申请定期付款豁免。 如果发卡机构准予定期付款豁免,则不需要执行 SCA,退单责任转移到发卡机构。
如果金额或用于定期付款协议的卡详细信息发生更改,您必须提交另一项客户发起付款,并对此付款执行 SCA。 对于固定金额的定期付款,应申请定期付款豁免,而不是商家发起付款豁免(如上所述),因为定期付款豁免的发卡机构批准率可能高于商家发起交易。
前提条件是您将付款正确标识为商家发起付款。 有关更多详细信息,请参见 商家发起交易。 |
| SCA 委托 |
如果您已经使用符合 PSD2 SCA 要求的机制对付款人进行了身份验证,您可以申请 SCA 委托豁免。 为此,组织会要求您提供付款人身份验证的证据。
但是,仍由组织最终确定验证所提供的身份验证数据以获得 SCA 规定的豁免的解决方案。 因此,网关尚不支持 SCA 委托豁免功能。 |
| 安全公司支付 |
如果您是企业对企业 (B2B) 商家,您的全部或部分付款可以免于遵守 PSD2 SCA 要求。“安全公司支付”豁免包括通过企业发起的对消费者不可用的专用公司付款流程或协议进行的付款。 这些付款包括通过中央旅行账户、保管公司/商业卡、虚拟卡和安全公司卡进行的付款。 但是,豁免不会自动包括所有 B2B 付款。不是使用其他安全方法处理的公司卡(如传统的员工公司购物卡)需要执行 PSD2 规定的 SCA。
“安全公司支付”是一种发卡机构豁免,意味着它由发卡机构决定能否实施。 如果您能够识别出此豁免对某个交易适用,您只需提交付款,发卡机构会实施豁免。
使用安全公司通道时,请通过在身份验证或付款请求中申请“安全公司支付”豁免来加以指明。 这对于实体公司卡至关重要,因为在这种情况下,发卡机构无法仅根据卡号识别“安全公司支付”交易。 如果您希望利用此豁免,您需要联系 ANZ Worldline Payment Solutions 或收单行。 他们必须确保您的付款达到交易获得 SCA 豁免所需达到的欺诈缓解阈值,并且必须定期向国家监管机构报告才能提供此豁免。 |
我能否申请多项 PSD2 SCA 豁免?
不能,您只能在一个身份验证或付款请求中申请一项豁免。
收单行和发卡机构 PSD2 SCA 豁免之间有何不同?
收单行豁免是您或您的收单行申请的豁免。 但是,最终由发卡机构决定是否可以实施豁免。 如果发卡机构准予收单行豁免,付款不需要执行 SCA。付款人将经历无障碍流。
如果发卡机构拒绝收单行豁免,他们仍然可以实施发卡机构豁免。在这种情况下,付款不需要执行 SCA。 付款人将体验无障碍流。如果发卡机构拒绝收单行豁免且不申请发卡机构豁免,付款则需要 SCA。 将向付款人呈现质询流。
发卡机构豁免可以由发卡机构实施,即使您或您的收单行未提出申请。 这仅适用于低价值、低风险、白名单和安全公司支付豁免。
实施 PSD2 SCA 豁免时,责任是否转移到发卡机构?
如果执行了 SCA,退单责任将转移到发卡机构。
当您申请收单行豁免,且发卡机构准予豁免时,将不会执行 SCA,责任仍由您承担。 当发卡机构申请 SCA 豁免(发卡机构豁免)时,不会执行 SCA,但责任转移到发卡机构。
我如何申请 PSD2 SCA 豁免?
您可以在执行身份验证或绕过身份验证时申请免税,也可以在提交付款进行处理时申请。 下面列出的是您可以选择的可行方案。
在身份验证请求中申请豁免
在付款请求中申请豁免
- 您可以提交包含成功、已尝试身份验证或已准予豁免的身份验证详细信息的付款请求。 这是向发卡机构表明您符合 PSD2 SCA 要求。
- 您可以提交不包含身份验证详细信息的付款请求,而是申请豁免。 这意味着您可以直接继续处理付款,而无需尝试对付款人进行身份验证。 但是,如果 PSD2 SCA 要求适用于该交易,则除非您申请豁免并且发卡机构准予豁免,或者发卡机构实施发卡机构豁免,否则发卡机构将拒绝付款。
如果您申请豁免,并且发卡机构准予豁免,交易将在不执行 SCA 的情况下处理。 如果发卡机构不准予申请的豁免,且未实施发卡机构豁免,交易将被发卡机构拒绝。 响应代码将指示需要执行付款人身份验证。 您可以执行付款人身份验证,然后重新提交请求。
在执行身份验证或提交付款时,我是否应该申请 PSD2 SCA 豁免?
如果您在身份验证请求中向发卡机构申请豁免,您将最大程度地增加在需要时立即执行 SCA 的机会。 而且,当发卡机构实施豁免时,付款人不必在结账流程中执行其他步骤。
但是,对于有些豁免,如果发卡机构在身份验证流程中准予豁免,付款随后可能由于需要执行 SCA 而被拒绝。 例如,这适用于低价值豁免,只有在付款时才能由发卡机构进行必要的检查。
如果您在付款请求中申请豁免,豁免由发卡机构准予或发卡机构实施发卡机构豁免,付款将继续而无需身份验证步骤。 但是,如果发卡机构确定需要执行 SCA,付款将被拒绝(包含指示需要执行 SCA 的响应代码)。 然后,您必须执行身份验证并重新提交付款以及身份验证详细信息。这会增加付款人结账流程的延迟,并且可能需要为身份验证和两个付款请求支付费用。
如果发卡机构尚未准备好使用 3DS2 会怎样?
如果发卡机构尚未准备好使用 3DS2,卡组织可以代表发卡机构响应 — 这称为替身处理或尝试处理。 组织不会准予任何收单行豁免,但可以实施发卡机构豁免,并相应地返回身份验证详细信息。 如果组织未实施发卡机构豁免,它不会对付款人进行身份验证。 组织会返回指示已尝试进行身份验证的身份验证详细信息。
如果发卡机构不支持 PSD2 SCA 豁免会怎样?
如果发卡机构不支持 PSD2 SCA 豁免,例如,发卡机构已准备好使用 3DS2,但尚未准备好使用一项或多项 PSD2 SCA 豁免,在您或您的收单行提出申请时,发卡机构永远不会准予此类豁免(收单行豁免),并且永远不会实施此豁免(发卡机构豁免)。
请注意,这可能适用于全部或部分豁免。如果发卡机构不支持任何 SCA 豁免,将对此发卡机构的所有卡交易强制执行 SCA,这意味着一直会向付款人显示质询流。
如果我申请 PSD2 SCA 豁免,但无法联系到发卡机构(连接问题)会怎样?
如果无法联系到发卡机构,组织可能代表发卡机构响应。 组织不会授予任何收单行豁免或实施任何发卡机构豁免。
组织将返回身份验证详细信息,您必须在付款请求中将这些信息提交给发卡机构。 发卡机构将申请发卡机构豁免并处理付款,或因需要 SCA 而拒绝付款。如果付款成功,则责任转移到发卡机构身上,因为在身份验证过程中无法联系发卡机构。
PSD2 SCA 对设备付款意味着什么?
设备付款(如 Apple Pay 和 Google Pay)需要付款人使用手机(他们有的东西)和密码(他们知道的事)或者指纹或面部 ID(他们的身份标识)进行身份验证。 因此,它们已经遵守了 PSD2 SCA 要求。
PSD2 SCA 对浏览器付款意味着什么?
浏览器付款(如 PayPal)和常见的欧洲付款方式(如 iDEAL 或 Multibanco)大部已经达到 PSD2 SCA 要求,或者已经按照要求对结账流进行了更改。