3D Secure 2.0 是一种身份验证协议，旨在减少欺诈并增强在线卡支付的安全性。

背景： 仅截止2020 年，超过 20 亿人在线购买商品或服务，全球在线零售额超过 4.2 万亿美元。

3D Secure 2 是一种行业身份验证协议，它提供了执行强（双因素）身份验证的默认机制。它旨在减少欺诈并提高在线卡支付的安全性。该协议是作为旧 3DS 协议的增强版本引入的，并在不同设备之间引入了更加顺畅的支付流程。3DS 代表三域安全。Visa 于 1999 年创建了身份验证协议，以帮助商家和发卡行在网上购物时验证持卡人的身份。

这三个域是收单方域（商家和收款银行）、发卡行域（发行持卡人卡的银行）和互操作性域（卡方案用于执行 3DS 协议的基础设施，即互联网、商户插件和访问控制服务器 (ACS)）。

3D Secure 2 如何工作？

3D Secure 2 分析了 100 多个关键数据点，包括商家的上下文数据，充当高级欺诈保护层。持卡人在结账时输入他们的卡详细信息。此时，商家的 3D Secure 服务提供商向发卡机构发送带有丰富数据的身份验证请求。此数据包括受地区或市场法律限制的不同数量的持卡人和设备信息，例如设备 ID、MAC 地址、地理位置、以前的交易等。

发行人的 3D Secure 服务提供商评估交易风险。如果交易被确定为高风险，交易将通过挑战。换句话说，它会提示持卡人使用生物识别技术和/或双因素身份验证来验证他们的身份，即一次性密码、指纹等。如果交易被认为是低风险的，则无需采取进一步行动持卡人的结局。发卡行将认证结果发送给商户，商户转而提交交易以进行授权，并带有指示认证结果的标志。

常见问题

哪些卡支持 3D Secure？
大多数主要卡方案都支持 3D Secure 标准。消费者最常通过信用卡计划以品牌名称识别它，例如 Visa Secure、Mastercard Identity Check（以前称为 SecureCode）、American Express SafeKey、JCB 卡会员的 J/Secure 或 Diners Club International/Discover 的 ProtectBuy。

如何启用和激活 3D Secure 2 身份验证？
支付服务提供商可以支持想要启用 3D Secure 2 的商家。作为端到端支付服务提供商，emerchantpay 可以提供多种适合您特定要求的选项，以通过我们的支付网关支持 3D Secure 2。 在您开始接受 3D Secure 2 认证交易之前，请联系您的客户经理与我们的技术支持团队为主要卡方案启用、激活和配置 3D Secure 2 交易。

3D Secure 2 与 3D Secure 1 有何不同？
3D Secure 2 是 3D Secure 1 的更新版本。 3DS2 与其前身的主要区别在于引入了更流畅的身份验证和更好的跨设备用户体验。 当 Visa 在 1999 年推出该协议时，计算机是唯一可用的在线购物设备。第一个版本是为桌面浏览器身份验证设计的，因为当时智能手机并不流行。此外，一些发卡银行要求持卡人通过将静态密码与其支付卡相关联来注册 3D Secure 服务。 这一额外的保护层为商家提供了向开证行转移的全部责任。然而，它也有一些缺点。由于 3DS1 缺乏原生的应用内和移动流程，消费者一直退出支付流程。静态密码很难记住，会造成摩擦，并且由于客户联系支持人员来重置静态密码，发行方也会产生额外的运营成本。 3D Secure 2 是卡认证全球标准的升级，解决了 3D Secure 1 的几个痛点。它的一些主要优势包括跨设备更一致的用户体验和丰富的数据交换，以防止欺诈和减少摩擦。事实上，Visa 的 3DS2 协议与商家的结账体验完全集成，以支持购物者的无缝支付流程。身份验证活动的大多数步骤发生在后台，持卡人是不可见的。Visa等主要卡计划建议发卡机构和商户同时支持3DS1和3DS2，以便利益相关者可以响应每个消息版本并为客户增加成功交易。在这种范式下，当持卡人的银行不支持3DS2时，可以应用3DS1。

什么是 EMV 3D 安全？
EMV 3D Secure 是 3D Secure 2 的替代名称。 为了适应不断变化的电子商务需求，例如无摩擦结账、基于应用程序的身份验证和数字钱包集成，EMVCo是一个由美国运通、Discover、JCB、万事达卡、银联和 Visa 监管的组织，于 2016 年推出了 EMV 3D Secure。Visa 仍然是 3DS1 规范的唯一所有者。

关于通过 Visa 和 Mastercard SecureCode 验证
当 Visa 首次开发和推出 3DS1 时，该卡计划被称为“由 Visa 验证”。Visa 验证有助于确保 Visa 卡的合法持卡人进行安全的在线交易。该程序在幕后使用 3DS 来验证付款。在 3DS1 交易中，Visa 持卡人使用其 Verified by Visa 特定的静态密码进行身份验证。到 2018 年初，Visa 取消了静态密码的使用，允许发卡机构通过选择的身份验证方法对持卡人进行身份验证，即一次性密码 (OTP)、生物特征验证等。今天，Visa 的 3DS2 解决方案被称为签证安全。 万事达卡开发了名为“安全支付应用程序”的身份验证标准，但很快就放弃了。相反，它采用了名为“万事达卡安全代码”的 3DS 1 协议。Mastercard 的 3DS2 解决方案称为“Mastercard ID Check”。 通常，一旦交易触发 3DS2，购物者可能会被重定向到他们的移动银行应用程序以确认他们的在线购买，然后他们会返回商家的网站以了解有关其所下订单的更多详细信息。 随着3DS2在整个欧洲的逐步采用，主要的卡计划3DS2协议提供了更加人性化的身份验证流程，为发卡机构在网上购物时验证持卡人身份提供了各种方法。

3D Secure 身份验证失败及其含义 3D Secure 身份验证失败通常发生在无法处理交易且未向客户收费时。以下是 3D 安全身份验证可能失败的原因： 购物者输入了错误的 3D Secure 详细信息并且未通过身份验证。在 3D 安全交易期间，客户被重定向到由发卡行控制的页面，以回答额外的安全问题，例如 OTP 或输入他们的 3D 安全密码。如果他们输入错误的详细信息，身份验证将失败，交易将无法通过商户账户进行。 客户的发卡行不支持 3D Secure 认证。跨地区的银行可能会遵守其他身份验证协议而不是 3D Secure。当每笔交易默认应用 3D Secure 身份验证时，该规则无法区分属于 3D Secure 的发行者和不属于 3D Secure 的发行者。 在身份验证过程中，3D Secure 存在技术问题。有时可能会出现 3D Secure 协议不可用的情况，因此无法对交易进行身份验证和处理。

3D Secure 2 的优势
3D Secure 2 是一种强大的身份验证协议，可为商家和消费者带来多项好处。更好的用户体验和更高的安全性是最普遍的优势，以及下面列出的其他好处：

8.1 增强跨设备和应用内的用户体验 3D Secure 2 与其前身相比更加直观。当交易被信任时，用户可以购买他们的商品/服务并等待支付确认消息。当交易被视为可疑时，用户将必须使用他们熟悉的东西（例如指纹扫描或 OTP）来验证自己的身份。

8.2 丰富的数据交换意味着更安全的支付 3DS2 使发行人能够执行基于风险的身份验证 (RBA)。此过程有助于在交易期间交换 100 多个数据点，包括用户地理位置、设备 ID、送货地址、以前的交易历史，以评估该特定交易带来的风险。基于风险的身份验证允许发卡行对其持卡人进行身份验证，而无需询问有关大多数交易的任何其他信息。本质上，当交易被认为有风险时，身份验证会通过质询流程，其中可能会提示用户提供进一步的验证。根据 Visa 的说法，预计只有不到 5% 的交易会被加强以进行额外的验证，例如一次性密码。

8.3 降低欺诈风险 3D Secure 2 的一个重要卖点是它降低了欺诈风险。这种额外的安全层可帮助商家仅接受来自合法客户的卡付款。即使客户的卡号和卡详细信息被欺诈使用，欺诈者也不太可能访问持卡人的 3DS 密码或 OTP。因此，欺诈风险显着降低。

8.4 3D Secure 的退单责任转移 3D Secure 的最大好处是退款责任转移。它将因欺诈而导致的退款责任从商家转移到持卡人的银行。这种额外的保护是客户在高价值交易中经常面临 3D 安全挑战的原因。

3D Secure 2 还支持责任转移。但是，随着协议的逐步推出，不同的卡计划就何时实施责任转移决定了自己的规则。Mastercard 从 2018 年 10 月开始支持责任转移，而 Visa 将根据商家所在的地区启动责任转移。 各个地区的日期范围为 2019 年 4 月至 2020 年 4 月。 9. 3D Secure 2 何时成为强制性要求？ 2019 年 4 月，卡计划鼓励发卡银行准备 3D Secure 2。PSD2 立法要求应用 3D Secure 2 作为在欧盟地区进行的在线交易的标准身份验证方法。Visa 宣布将从 2022 年 10 月起停止支持 3D Secure 1。

作为 PSD2 的一部分，3D Secure 2 是强制性的吗？在回答这个问题之前，我们应该退后一步，仔细看看PSD2。PSD2 引入了 SCA（强客户身份验证），这是一种用于验证在线支付的最新安全措施。成功交易至少需要以下两个身份验证因素的组合：

消费者知道的东西：一次性密码、短信代码、PIN、密码、安全问题等。 消费者拥有的东西：信用卡或借记卡、钥匙扣、移动设备或可穿戴设备等。 消费者是：生物特征数据，如指纹、虹膜扫描、面部或语音识别。 认证因素必须是独立的，这样如果一个因素受到损害，另一个因素的可靠性是完整的。下表总结了常见因素和分类示例。应该注意的是，选择使用的因素是个别 PSP 的决定。话虽如此，启用 3D Secure 2 满足上述所有 SCA 要求，除非交易属于豁免规则。

10. 要求商家做什么以及什么时候做？ 如果您的企业接受发卡行和收单行位于欧洲经济区 (EEA)的付款，您需要对您的付款应用强消费者身份验证 (SCA)。尽管 SCA 强制执行的官方截止日期自 2021 年 1 月 1 日起已过，但欧洲市场的要求和执行时间表各不相同。从本质上讲，欧洲经济区的每个市场都有其各自的监管政策、发行人风险偏好以及 PSD2 和 SCA 准备水平。下表显示了在欧盟国家和英国执行 SCA 的本地迁移计划。

11. 最近的变化和要求将如何帮助商家？ 3D Secure 2 通过为消费者提供一致的在线支付体验来适应时代，无论他们使用的是台式电脑、手机还是平板电脑。商户可以从 3D Secure 2 的变化中受益并提高他们的盈利能力。以下是对商家的一些好处：

更少的虚假拒绝。通过使发行人能够在单次交易中访问数百个关键数据点，他们可以更好地授权合法交易并减少虚假拒绝。 减少购物车放弃。3D Secure 2 旨在适应跨渠道交易，为在线消费者提供更好的用户体验。通过消除干扰用户旅程的不必要的挑战屏幕，用户更有可能在不放弃购物车的情况下为他们的商品付款。根据Visa 的说法，自从卡计划引入基于风险的方法以来，英国交易的放弃率降低了 70%。

12. emerchantpay emerchantpay 支持新支付 API上的 3D Secure 2 浏览器流程，让您将 3D Secure 应用于高风险支付并保护您的业务免受欺诈。当持卡人的发卡行不支持 3DS2 时，身份验证将回退到 3DS1。建议企业咨询其 PSP 并决定实施 3DS2 的最佳策略，作为其 SCA 策略的一部分。我们鼓励需要遵守 SCA 并实施 3DS2 的商家将其视为重塑结账流程和优化支付流程以提供最佳客户体验的机会。