粤公网安备 44030602006485号 3DS认证揭秘:你的线上支付如何被层层保护?
如今,银行卡早已成为人们钱包里的常客。无论是线上购物还是实体店消费,这种支付工具都让人们存取账户资金或使用银行信贷变得触手可及。新媒网跨境注意到,随着互联网和电子商务的蓬勃发展,支付安全风险也随之增加,这直接推动了支付卡行业的持续演进。行业法规不断完善,新的技术手段也层出不穷,核心目标只有一个——让每一笔交易更安全,让每张卡片更可靠。
今天,我们就来深入聊聊带有3DS认证的双步支付流程,看看一笔交易背后,究竟是谁在默默工作。
支付链条上的关键角色
在进入流程细节前,有必要先认识一下支付舞台上不可或缺的几位主角,以及一些常见的专业术语。
持卡人 (Client)
使用借记卡或信用卡购买商品或服务的个人消费者。
支付服务提供商 (Payment Service Provider, PSP)
为商户提供技术和服务,使其能够接收并处理各类电子支付的公司。
收单行 (Acquirer Bank)
向商户或支付服务提供商(PSP)提供虚拟POS(vPOS)服务的金融机构。它负责处理银行卡交易,充当商户与卡组织(如Visa、万事达卡)及发卡行之间的桥梁。具体的风险与责任划分,会根据处理模式(例如聚合模式或直通模式)有所不同。
发卡行 (Issuer Bank)
发行借记卡或信用卡的银行。它负责管理持卡人的账户、处理银行操作,并实施所有必要的安全控制措施。
商户插件 (Merchant Plug-In, MPI)
这个组件负责检查卡片是否开通了3DS验证服务,并启动与卡组织及发卡行ACS的认证流程。它可以由PSP提供,也可由经过认证的第三方MPI提供商提供。
访问控制服务器 (Access Control Server, ACS)
由发卡行维护的服务系统,专门负责在3D Secure交易中验证持卡人身份。基于风险评估结果,它可能选择无摩擦流程直接放行交易,也可能要求持卡人进行额外验证,常见方式包括短信验证码(SMS OTP)、生物识别(如指纹、面容)或手机银行推送通知。
卡组织 (Card Network)
制定支付规则、传递交易信息、促进收单行与发卡行之间资金清算,并确保各方遵守行业标准的组织。例如美国的万事达卡(Mastercard)、维萨(Visa)、美国运通(American Express)以及土耳其的Troy。
3DS认证 (3DS Authentication)
这是由发卡行的ACS系统处理的过程,目的是在线上交易中验证持卡人的身份。具体的认证流程会因采用的3DS协议版本(如1.0或2.0)不同而有所差异。
预授权 (Authorization)
由商户(通常通过PSP或收单行)发起的流程,由发卡行执行安全核查并确认持卡人账户是否有足够资金。如果批准,发卡行会对这笔授权金额进行临时冻结(即资金预留),直到交易完成资金划转(Capture)和清算(Settlement)。
资金划转 (Capture)
这一步完成对已预授权交易的最终处理,将冻结的资金从持卡人账户转移到收款方账户。资金划转请求可由商户(通常通过其PSP或支付网关)、PSP自身或收单行发起。请求抵达收单行后,会经由卡组织路由到发卡行,发卡行随即从持卡人账户扣款。资金最终到达哪个账户,取决于处理模式——例如,在直通模式下直接进入商户账户,在聚合模式下则先进入PSP的账户。
带3DS认证的双步支付流程
虽然前面介绍角色和术语略显冗长,但理解这些是掌握后续支付流程的基础。为了让过程更清晰,我们以3DS 1.0版本为例展开说明。
第一步:3DS认证
支付旅程始于持卡人在商户网站或APP上发起结账。商户随即向合作的PSP发送包含卡号和交易详情的3DS认证请求。新媒网跨境了解到,部分PSP根据其集成模式,能够将3DS认证与预授权请求合并处理。
接下来,PSP通过MPI(可能是自有的,也可能是收单行的)与卡组织的目录服务器(Directory Server)通信,触发3DS认证流程。
目录服务器执行以下关键步骤:
- 根据卡片的BIN(银行识别码)识别出发卡行。
- 检查该卡片是否已开通3DS服务以及发卡行的ACS是否可用。
- 将认证请求转发给对应的ACS。
如前所述,ACS收到请求后会评估该交易的风险。基于评估结果,它决定是要求持卡人进行额外验证(挑战式流程,Challenge Flow),例如通过短信验证码、生物识别或推送通知,还是允许交易直接通过(无摩擦流程,Frictionless Flow)。
如果ACS判定需要挑战持卡人,它会返回一个重定向响应(或嵌入式挑战页面),引导持卡人前往认证界面。持卡人完成验证后,认证结果会从ACS经由MPI传回给PSP。
第二步:预授权与资金划转
PSP收到3DS认证结果(包含ECI、CAVV等关键数据)后,会向收单行发送预授权请求。收单行通过卡组织将该请求路由至对应的发卡行。
发卡行此时进行多重核查:
- 欺诈风险检查。
- 账户资金充足性检查。
- 3DS认证数据的有效性验证。
- 如果所有检查均通过,发卡行批准预授权,并在持卡人账户上临时冻结交易金额。
预授权结果沿着原路径返回:通过卡组织和收单行到达PSP,最终通知到商户。
根据商户的业务模式(例如实物商品发货后扣款),商户会在稍后合适的时机(可能是数分钟、数小时甚至数天后)通知PSP进行资金划转(Capture)。PSP随即启动划转流程,通过收单行联系相关卡组织,将划转请求路由至对应的发卡行。
发卡行执行划转操作:
- 从持卡人账户中扣除被冻结的相应金额。
- 根据处理模式(直通或聚合),发起资金结算,将款项划拨至最终收款账户(商户账户或PSP账户)。
划转流程完成后,结果会从发卡行经由卡组织和收单行返回给PSP,最终由PSP告知商户交易资金已成功到账。
结语
新媒网跨境认为,理解银行卡支付背后的流程,尤其是3DS认证如何为线上交易增添安全屏障,对于商户优化支付体验和消费者理解自身权益都大有裨益。本文力求清晰地勾勒出带有3DS认证的双步支付流程主干。需要说明的是,实际的支付路径可能因具体的系统集成方式、各服务提供商(如PSP、收单行)的技术能力以及特定的商业安排而有所不同。支付技术日新月异,但其核心目标始终是保障交易的安全与便捷。
新媒网(公号: 新媒网跨境发布),是一个专业的跨境电商、游戏、支付、贸易和广告社区平台,为百万跨境人传递最新的海外淘金精准资讯情报。
评论(0)