日本の 3D セキュア必須化の例外

3DS が適用できない場合

下記の取引では、Stripe が 3DS をリクエストしません。

• デビットカードおよびプリペイドカード
• Apple Pay および Google Pay

下記のケースの場合、正しく実装を行う方法については、お問い合わせください。

• Stripe の顧客オブジェクトを使用していない場合（例えば、カード番号をそのまま使用して決済を行う場合）
• またはカードが Stripe 以外で事前に承認されている場合
• 通信販売と電話販売 (MOTO) 取引の場合
• ゲーム機、スマートスピーカー、その他 3DS をサポートしていないデバイスからの支払いを処理している場合

顧客起点の取引 (CIT)

(例: 後の購入のために EC サイトにカードを保存する場合)

• カードの保存 (usage=on_session で SetupIntent を作成すること) では、3DS は必要ありませんが、この時点で行いたい場合は要求することができます。
• カードが保存された時点で 3DS が実行されていない場合、最初の支払い時に 3DS が要求されます。
• カードが保存された時点で 3DS が実行されていない場合、最初の支払い時に 3DS が要求されます。ただし、決済の都度、取引金額や取引商材、属性・行動分析等により不正リスク判断を行い、その結果、必要と判断した場合には 3D セキュアによる認証を行う必要があります。当該リスク分析には、Stripe Radar をご活用いただけます。
• お客様のログイン機能がセキュリティチェックリストの要件のうち少なくとも 2 つを満たしていない場合、各取引で 3DS を要求する必要があります。詳細は下記を参照ください。
  • 海外からの攻撃が非常に多いため、「不審な IP アドレスからのアクセス制限」を行う。
  • Limit login attempts, to prevent account password cracking.
  • 不正ログインをされた場合でも、会員本人に気づきを与えられるように、二要素認証などによる本人確認を行う。
  • Send email or SMS notifications, throttle attempts, or take other similar measures when your customer logs in.
  • Use “device fingerprinting” or similar measures.
• Payments with [Link](/payments/link] are exempted because Link’s login process implements the following measures:
  • Limits login attempts to prevent account password cracking.
  • Sends email or SMS notifications, throttle attempts, or take other similar measures when your customer logs in.

• usage=off_session を指定して SetupIntent を作成してカードを保存するには、3DS が必要です。
• カードが保存される際に 3DS 認証が実行された場合、そのカードを使用する支払いに 3DS は必要ありません。
• 顧客からの契約内容の変更の申出、購入商品・サービスの追加などの顧客接点が生じた場合、支払いは顧客によって開始される必要があり (CIT)、3DS を要求する必要があります。