Ergebnisse von 3D Secure importieren

Zahlungen abwickeln, bei denen 3D Secure außerhalb von Stripe ausgeführt wird.

Beim Importieren von 3DS-Ergebnissen handelt es sich um einen erweiterten Ablauf, mit dem Sie Ihre externe 3DS-Authentifizierung in Ihre Stripe-Zahlung integrieren können, indem Sie das Authentifizierungsergebnis importieren. Sie müssen 3DS-Ergebnisse importieren, wenn Sie:

Wenn Sie in der Reisebranche tätig sind und Kartennummern und Kryptogramme von einem Reise-Aggregator wie Expedia oder Sabre erhalten
Wenn Sie zur Durchführung von 3DS einen Drittanbieter nutzen

In solchen Fällen können Sie die Kartenangaben und das Kryptogramm direkt an die Payment Intents API übergeben, anstatt Stripe Elements zur Erfassung der Zahlungsdaten und zur Durchführung von 3DS zu nutzen.

Das Importieren von 3DS-Ergebnissen ist in den folgenden Ländern verfügbar:

Australien

Hongkong

Kanada

Mexiko

Neuseeland

Schweiz

Singapur

Vereinigte Staaten

Vereinigtes Königreich

Beta Alle anderen Länder, in denen Stripe Kartenzahlungen unterstützt.

Das Importieren von 3DS-Ergebnissen ist in den folgenden Ländern nicht verfügbar:

Indien

Malaysia

Thailand

Achtung

In allen folgenden Codebeispielen müssen die im three_d_secure-Objekt festgelegten Parameter identisch mit den von Ihrem 3DS-Anbieter zurückgegebenen Werten übereinstimmen.

Zahlung mit Kartenangaben verarbeiten

Wenn Sie Kartendaten auf Ihrem Server verarbeiten:

Erstellen Sie einen PaymentIntent mit den Kartenangaben und den 3DS-Angaben in einem API-Aufruf und bestätigen Sie diesen.
Setzen Sie bei der Erstellung des PaymentIntent confirm auf true.
Legen Sie bei der Bestätigung des PaymentIntent error_on_requires_action auf true fest. Dadurch wird verhindert, dass Stripe im Falle einer temporären Ablehnung eine 3DS-Anfrage durchführt.

Zahlung mit einer PaymentMethod verarbeiten

Wenn Sie Kartenangaben mit der Payment Methods API tokenisieren:

Erstellen Sie einen PaymentIntent mit der PaymentMethod-ID und den 3DS-Angaben in einem API-Aufruf und bestätigen Sie diesen.
Setzen Sie bei der Erstellung des PaymentIntent confirm auf true.
Legen Sie bei der Bestätigung des PaymentIntent error_on_requires_action auf true fest. Dadurch wird verhindert, dass Stripe im Falle einer temporären Ablehnung eine 3DS-Anfrage durchführt.

Vorsicht

Wenn Sie eine Zahlung kurz nach der Tokenisierung der Kartenangaben mit einer PaymentMethod abwickeln möchten, verwenden Sie stattdessen Kartenrohdaten.

Zukünftige Zahlungen einrichten

Das 3DS-Protokoll unterstützt zwei Nachrichtenkategorien:

Zahlungsauthentifizierung: Wird zur Authentifizierung von Karteninhabern/Karteninhaberinnen bei Transaktionen verwendet.
Nicht-Zahlungsauthentifizierung: Wird zur Identitätsverifizierung und Kontobestätigung verwendet.

Wenn Sie Kundinnen/Kunden für zukünftige Zahlungen einbeziehen möchten, geben Sie beim Erstellen und Bestätigen eines SetupIntent das Kryptogramm für die Nicht-Zahlungsauthentifizierung und entweder die Kartendetails oder die PaymentMethod-ID an.

Von 3DS ausgenommene Ergebnisse importieren

Wenn Sie außerhalb von Stripe ein 3DS-Ergebnis erhalten, das eine ‘low-risk’-Ausnahme von der starken Kundenauthentifizierung enthält, können Sie die auf der Ausnahme basierende Art des 3DS-Ergebnisses an Stripe melden, indem Sie den exemption_indicator-Parameter nutzen.

Wenn die Echtzeit-Analyse von Stripe das Transaktionsrisiko als geeignet einstuft, fordert Stripe die Ausnahme aufgrund geringen Risikos vom Kartenaussteller an und teilt Ihnen dies mit, indem exemption_indicator_applied in der Antwort auf die Autorisierungsanfrage zurückgegeben wird.

Um festzustellen, ob Stripe die Ausnahme mit geringem Risiko angefordert hat, erweitern Sie die latest_charge und prüfen Sie das Attribut three_d_secure.

{
    "id": "pi_3aTnU0Aif3fLhNTb0le1BSXI",
    "object": "payment_intent",
    // ...
    "latest_charge": {
        "id": "ch_3aTnU1AifffLhNTb0tUoEZcd",
        "object": "charge",
        // ...
        "payment_method_details": {
            "card": {

Importieren von Cartes Bancaires-Ergebnissen

Um den 3DS-Import für Transaktionen zu verwenden, die im Cartes Bancaires-Netzwerk verarbeitet werden, müssen Sie das authentifizierte Netzwerk bei der Anfrage mit dem Netzwerk-Parameter ausdrücklich übergeben.

Um Cartes Bancaires-Kryptogramme zu importieren, benötigen Sie auch zusätzliche Daten von Ihrem externen 3DS-Server. In der folgenden Tabelle sind die Details dieser zusätzlichen erforderlichen und empfohlenen Felder aufgeführt. Diese Empfehlungen gelten, wenn Sie 3DS-Ergebnisse mit PaymentIntents und SetupIntents importieren.

Feld	Beschreibung	Optionalität
electronic_commerce_indicator	Der Electronic Commerce Indicator (ECI) wird von Ihrem 3DS-Anbieter zurückgegeben und zeigt an, welcher Grad der Authentifizierung durchgeführt wurde.	Optional. Einfügen, falls verfügbar.
cb_avalgo	Der vom ACS des Kartenausstellers zur Berechnung des Authentifizierungskryptogramms verwendete Kryptogramm-Berechnungsalgorithmus. Auch bekannt als cavvAlgorithm. ARes/RReq messageExtension: `CB-AVALGO`	Erforderlich.
cb_exemption	Der von Cartes Bancaires in den ARes zurückgegebene Befreiungsindikator. Dabei handelt es sich um eine 3-Byte-Bitmap (niederwertiges Byte zuerst und höchstwertiges Bit zuerst), die Base64-codiert wurde. Zeichenfolge (4 Zeichen). ARes Nachrichterweiterung: `CB-EXEMPTION`	Optional. Einfügen, falls verfügbar.
cb_score	Die von Cartes Bancaires in den ARes zurückgegebene Risikobewertung. Numerischer Wert 0-99. ARes/RReq Nachrichterweiterung: `CB-SCORE`	Optional. Einfügen, falls verfügbar.
ares_trans_status	Der vom ACS des Kartenausstellers in den ARes zurückgegebene `transStatus`	Optional. Einfügen, falls verfügbar.
requestor_challenge_indicator	Der Challenge-Indikator (`threeDSRequestorChallengeInd`), der in dem an das ACS des Kartenausstellers gesendeten AReq angefordert wurde. Eine Zeichenfolge mit 2 Ziffern von 01-99.	Optional. Einfügen, falls verfügbar.

Geben Sie so viele dieser zusätzlichen Felder wie möglich an, um die Wahrscheinlichkeit einer erfolgreichen Autorisierung zu erhöhen.

Ausnahmen bei Cartes Bancaires

Wenn Sie über 3DS von der starken Kundenauthentifizierung ausgenommen wurden, müssen Sie entweder den Parameter cb_exemption, den Parameter exemption_indicator oder beide übermitteln. Wenn einer dieser Parameter aufgrund einer Analyse des Transaktionsrisikos durch den Acquirer anzeigt, dass die Ausnahme ein geringes Risiko darstellt, bewertet Stripe die Transaktion erneut, wie unter Ergebnisse von 3D-Ausnahmen importieren beschrieben.

Wenn Sie Zugriff auf cb_exemption haben, übergeben Sie diesen Wert und lassen Sie exemption_indicator leer. Stripe leitet den entsprechenden Ausnahmeindikator anhand von cb_exemption ab.
Wenn Sie sowohl den Parameter cb_exemption als auch den Parameter exemption_indicator übergeben, stellen Sie sicher, dass beide den Ausnahmestatus korrekt darstellen.
Wenn es keine Übereinstimmung zwischen exemption_indicator=none und der Bitmap in cb_exemption gibt, handelt es sich bei der angewendeten Ausnahme um eine Ausnahme mit geringem Risiko. Stripe lehnt die Anfrage in diesem Fall ab.

Testen

Sie können Ihre Integration in einer Sandbox mit einer der für die Authentifizierung erforderlichen Testkarten validieren: 4000 0027 6000 3184 oder pm_card_authenticationRequired.

Die Simulation akzeptiert jedes korrekt formatierte 3DS-Ergebnis. Beispiel:

Version: 2.1.0
Electronic Commerce Indicator: 02
Kryptogramm: M6+990I6FLD8Y6rZz9d5QbfrMNY=
Transaktions-ID: 5f5d08f2-8c36-4f72-99d1-57b4fb70b7d5

Oder:

Version: 2.2.0
Electronic Commerce Indicator: 05
Kryptogramm: 4BQwsg4yuKt0S1LI1nDZTcO9vUM=
Transaktions-ID: f879ea1c-aa2c-4441-806d-e30406466d79

Über 3DS gewährte Ausnahmen

In einer Testumgebung geben alle Karten mit exemption_indicator exemption_indicator_applied als „true“ zurück. Um eine PaymentIntent-Erstellung zu testen, die die interne TRA-Prüfung nicht besteht und „false“ zurückgibt, verwenden Sie die Kartennummer 4000 0000 0001 6123 und legen Sie exemption_indicator=low_risk fest.

Cartes Bancaires

Sie können die folgenden Zusatzkarten zum Importieren Ihrer Cartes Bancaires-Ergebnisse verwenden:

Marke	CVC	Datum
Cartes Bancaires/Visa	Beliebige 3 Ziffern	Jedes zukünftige Datum
Cartes Bancaires/Mastercard	Beliebige 3 Ziffern	Jedes zukünftige Datum
Cartes Bancaires/Visa	Beliebige 3 Ziffern	Jedes zukünftige Datum

Sie können in Ihren Tests jeden gültigen cb_exemption-Wert verwenden. Zum Beispiel:

AAAA - Keine Ausnahme gewährt
BAAA - Ausnahmegenehmigung aufgrund geringen Risikos

Wenn wie beim Standardablauf für Ausnahmen der Wert von cb_exemption einem niedrigen Risiko entspricht, gibt nur die Testkarte 4000 0000 0001 6123 den Wert „false“ für exemption_indicator_applied zurück.

Nutzung von Raw PAN

Stripe verlangt von Nutzern und Nutzerinnen, dass sie sich vergewisssern, dass die Daten von Karteninhabern und -inhaberinnen sicher und gemäß dem Payment Card Industry Data Security Standard (PCI DSS) gehandhabt werden, bevor sie Zugriff auf APIs für Kartenrohdaten gewähren.

An Unternehmen, die diese Funktionalität benötigen, stellt Stripe strenge Anforderungen, einschließlich:

Validierung der PCI-DSS-Konformität
Einreichung für den Stripe-Überprüfungsprozess
Zustimmung zu zusätzlichen Kontrollen über die Standard-Sicherheitseinstellungen von Stripe hinaus

Details zur Aktivierung finden Sie im Support-Artikel Zugriff auf Kartenrohdaten-APIs aktivieren.

Notiz

Wenn Sie bei Konten mit individueller Preisgestaltung Stripe als Acquirer (Händlerbank) in der 3D Secure-Anfrage angeben, leitet Stripe die für 3DS geltenden Netzwerkkosten gemäß Ihrer Vereinbarung mit Stripe weiter.

Siehe auch

3D Secure-Optionen für PaymentIntents