今天想和大家聊聊在跨境支付中经常听到的名词--2D、3D和3DS2.0,这些到底是个啥玩意儿?
这几个名词都是和信用卡在线支付有关。在国际支付或跨境支付场景中,尤其在欧美国家,信用卡是主力支付工具之一。
我刚进入支付行业,做的是余额支付,后来有网银,再后来直接进入了代扣和快捷,压根没有听说什么2D、3D支付,直到进入跨境支付行业。
那么问题来了:为什么中国的支付行业基本没有什么所谓的2D、3D支付?
首先是中国当年的信用卡基建非常弱,在淘宝和支付宝起家的时候,基本都是借记卡,对应的支付方式也主要是网银。后来为了提高成功率,支付宝发起了快捷支付革命,其依托“担保交易”+“你敢付我就敢赔”的理念,打开各参与方的心智,建立起了快捷支付的理念。从实践上看,快捷支付算是一个划时代的产品,无论从便捷性还是安全性上都有很大优势,也就不需要引入所谓的3D支付。
言归正传,回到跨境支付里面来。
第1个问题:什么是2D支付?
2D支付并不是一个官方定义的专业术语,它更多是在与3D Secure(3DS)支付做对比时,行业从业者口头约定俗成的叫法。简单来说,“2D支付”可以理解为没有3D安全认证环节的在线卡支付。更直白地说,有点类似国内的快捷支付或代扣。
下面是一个简化了的2D支付流程图,可以看到和国内的快捷支付非常像。
说明:
只需要提供卡号、有效期、CVV码等基本信息,不需要通过如短信验证码、动态口令、指纹或面部识别等额外的安全验证步骤。
优点:简便快捷,用户体验好。所以大部分卡支付都是2D支付。
缺点:有盗刷或欺诈风险,有可能被拒付。
第2个问题:什么是3D支付?
在线支付与线下刷卡不一样,我们无法确定付款人就是持卡人本人,会面临盗卡、欺诈等风险。
为解决此类风险,国际卡组织(如Visa、Mastercard)推出了一种安全认证框架,称为Three Domains Secure(3DS)。其核心思想是给在线交易加一道验证关卡,让用户在支付时通过发卡银行的身份认证,从而降低欺诈风险。
Three Domains(三个域)就是在支付认证过程中涉及的三个独立参与域。这三个域通常包括:
发卡行域(Issuer Domain):负责发卡银行对卡持人的身份验证。
收单行/商户域(Acquirer/Merchant Domain):负责商户或收单行接收交易请求和处理相关支付流程。
卡组织域(Interoperability Domain,也称为基础设施域):由卡组织(如Visa、Mastercard)或相应的基础设施提供方主导,负责在发卡行和收单行之间安全传输和中继认证信息。
下面是一个简化了的3D支付流程图。
说明:
通常由收单机构的风控系统负责判断是否出3D。
3D需要跳转到发卡行的页面验证信息(例如短信验证码、账单地址等)。因为个人身份信息都在发卡行。
优点:安全性高。
缺点:成功率低,用户体验差。因为用户可能忘记某些信息导致验证不通过。
第3个问题:什么是3DS2.0?为什么有3DS2.0?
3DS2.0简单理解就是3DS(有时称3DS1.0)的升级版。
之所以有3DS2.0,是因为3DS1.0很早就已经出来,用户体验很差,比如强制跳转到发卡页面,成功率低。此外,对移动设备支持也不好。
我个人认为3DS2.0相比1.0最大的改进有下面几点:
更好的用户体验:3DS2.0支持App内支付验证,不再强制跳转外部页面,让认证流程更顺滑。
更丰富的身份验证手段:支持生物识别(比如指纹、刷脸等)、移动OTP(短信验证码)等方式。
更智能的风险评估:3DS2.0比1.0收集更多的信息,比如用户的设备信息,精确定位信息等。同时成立第三方独立核身机构,多个卡组之间可以将数据共享。这样第三方独立核身机构可通过丰富的数据分析用户风险。低风险交易可直接“免核身通过”,高风险交易才要求用户二次验证。
一句话,3DS2.0就是让信用卡在线交易变得更“聪明”更“顺滑”,既保留安全,又尽量不降低支付成功率与用户体验。
下图是简化后的3DS2.0流程图。可以和上面3DS1.0做对比。(注:这是一个简化的流程,实际交易中渠道会拆分成:收单机构、卡组、独立核身机构、发卡行等多家机构)
说明:
在交易时通过App提前收集大量的信息,远超以前的3DS1.0数据。
可以对低风险交易请求“强客户认证”豁免,避免走风控挑战,但是申请了豁免后,就不能责任转移(发生拒付要自己担责)。
如果渠道侧判断低风险,就直接提交支付,和2D流程一致。
如果渠道侧判断是高风险,就在App端发起风控挑战(核身),包括刷脸、指纹、OTP(短信验证码)等。验证通过后,再发起支付,不中断后面的支付流程。(在3DS1.0则需要跳转到收单行页面才能核身)
引入独立的第三方核身机构,风控信息在多个卡组之间可以共享,安全性更高。
第4个问题:一定要升级到3DS2.0吗?
欧盟地区受到PSD2等法规要求,强制实施强客户认证(Strong Customer Authentication, SCA),而3DS2.0正好符合这些监管要求,所以在欧洲地区的在线卡支付需要支持3DS2.0。
其它地区也在持续推进中。
第5个问题:3DS2.0接入成本如何?
3DS2.0的流程更加复杂,开发成本也相对较高,但用户体验更好,值得付出。
这是我对跨境支付中信用卡在线支付涉及的2D、3D、3DS2.0的简单理解。如果您有更好的补充,欢迎回复评论区。
深耕境内/跨境支付架构设计十余年,欢迎关注并星标公众号“隐墨星辰”,和我一起深入解码支付系统的方方面面。
