Ergebnisse von 3D Secure importieren
Beim Importieren von 3D Secure-Ergebnissen handelt es sich um einen erweiterten Ablauf, mit dem Sie Ihre externe 3D Secure-Authentifizierung in Ihre Stripe-Zahlung integrieren können, indem Sie das Authentifizierungsergebnis importieren. Sie müssen 3D Secure-Ergebnisse importieren, wenn Sie:
- Wenn Sie in der Reisebranche tätig sind und Kartennummern und Kryptogramme von einem Reise-Aggregator wie Expedia oder Sabre erhalten
- Wenn Sie zur Durchführung von 3D Secure einen Drittanbieter nutzen
In solchen Fällen können Sie die Kartenangaben und das Kryptogramm direkt an die Payment Intents API übergeben, anstatt Stripe Elements zur Erfassung der Zahlungsdaten und zur Durchführung von 3D Secure zu nutzen.
Verfügbar in:
Beta Alle anderen Länder, in denen Stripe Kartenzahlungen unterstützt.
Nicht verfügbar in:
Zahlung mit Kartenangaben verarbeiten
Wenn Sie Kartendaten auf Ihrem Server verarbeiten:
- Erstellen Sie einen PaymentIntent mit den Kartenangaben und den 3D Secure-Angaben in einem API-Aufruf und bestätigen Sie diesen.
- Setzen Sie bei der Erstellung des PaymentIntent confirm auf
true
. - Legen Sie bei der Bestätigung des PaymentIntent error_on_requires_action auf
true
fest. Dadurch wird verhindert, dass Stripe im Falle einer temporären Ablehnung eine 3DS-Anfrage durchführt.
Zahlung mit einer PaymentMethod verarbeiten
Wenn Sie Kartenangaben mit der Payment Methods API tokenisieren:
- Erstellen Sie einen PaymentIntent mit der PaymentMethod-ID und den 3D Secure-Angaben in einem API-Aufruf und bestätigen Sie diesen.
- Setzen Sie bei der Erstellung des PaymentIntent confirm auf
true
. - Legen Sie bei der Bestätigung des PaymentIntent error_on_requires_action auf
true
fest. Dadurch wird verhindert, dass Stripe im Falle einer temporären Ablehnung eine 3DS-Anfrage durchführt.
Vorsicht
Wenn Sie eine Zahlung kurz nach der Tokenisierung der Kartenangaben mit einer PaymentMethod abwickeln möchten, verwenden Sie stattdessen Kartenrohdaten.
Zukünftige Zahlungen einrichten
Das 3DS-Protokoll unterstützt zwei Nachrichtenkategorien:
- Zahlungsauthentifizierung: Wird zur Authentifizierung von Karteninhabern/Karteninhaberinnen bei Transaktionen verwendet.
- Nicht-Zahlungsauthentifizierung: Wird zur Identitätsverifizierung und Kontobestätigung verwendet.
Wenn Sie Kundinnen/Kunden für zukünftige Zahlungen einbeziehen möchten, geben Sie beim Erstellen und Bestätigen eines SetupIntent das Kryptogramm für die Nicht-Zahlungsauthentifizierung und entweder die Kartendetails oder die PaymentMethod-ID an.
Von 3DS ausgenommene Ergebnisse importieren
Wenn Sie außerhalb von Stripe ein 3D Secure-Ergebnis erhalten, das eine ‘low-risk’-Ausnahme von der starken Kundenauthentifizierung enthält, können Sie diese Ausnahme an Stripe melden, indem Sie den exemption_indicator-Parameter nutzen.
Wenn die Echtzeit-Analyse von Stripe das Transaktionsrisiko als geeignet einstuft, fordert Stripe die Ausnahme aufgrund geringen Risikos vom Kartenaussteller an und teilt Ihnen dies mit, indem exemption_indicator_applied in der Antwort auf die Autorisierungsanfrage zurückgegeben wird.
Um zu sehen, ob Stripe die Ausnahme mit geringem Risiko angefordert hat, erweitern Sie die latest_charge
und prüfen Sie das Attribut three_d_secure.
{ "id": "pi_3aTnU0Aif3fLhNTb0le1BSXI", "object": "payment_intent", // ... "latest_charge": { "id": "ch_3aTnU1AifffLhNTb0tUoEZcd", "object": "charge", // ... "payment_method_details": { "card": {
Importieren von Cartes Bancaires-Ergebnissen
Um den 3DS-Import für Transaktionen zu verwenden, die im Cartes Bancaires-Netzwerk verarbeitet werden, müssen Sie das authentifizierte Netzwerk bei der Anfrage mit dem Netzwerk-Parameter ausdrücklich übergeben.
Um Cartes Bancaires-Kryptogramme zu importieren, benötigen Sie auch zusätzliche Daten von Ihrem externen 3DS-Server. In der folgenden Tabelle sind die Details dieser zusätzlichen erforderlichen und empfohlenen Felder aufgeführt.
Feld | Beschreibung | Optionalität |
---|---|---|
electronic_commerce_indicator | Der Electronic Commerce Indicator (ECI) wird von Ihrem 3D Secure-Anbieter zurückgegeben und zeigt an, welcher Grad der Authentifizierung durchgeführt wurde. | Optional. Einfügen, falls verfügbar. |
Der vom ACS des Kartenausstellers zur Berechnung des Authentifizierungskryptogramms verwendete Kryptogramm-Berechnungsalgorithmus. Auch bekannt als cavvAlgorithm. ARes/RReq messageExtension: | Erforderlich. | |
Der von Cartes Bancaires in den ARes zurückgegebene Befreiungsindikator. Dabei handelt es sich um eine 3-Byte-Bitmap (niederwertiges Byte zuerst und höchstwertiges Bit zuerst), die Base64-codiert wurde. Zeichenfolge (4 Zeichen). ARes Nachrichterweiterung: | Optional. Einfügen, falls verfügbar. | |
Die von Cartes Bancaires in den ARes zurückgegebene Risikobewertung. Numerischer Wert 0-99. ARes/RReq Nachrichterweiterung: | Optional. Einfügen, falls verfügbar. | |
Der vom ACS des Kartenausstellers in den ARes zurückgegebene | Optional. Einfügen, falls verfügbar. | |
requestor_challenge_indicator | Der Challenge-Indikator (threeDSRequestorChallengeInd ), der in dem an das ACS des Kartenausstellers gesendeten AReq angefordert wurde. Eine Zeichenfolge mit 2 Ziffern von 01-99. | Optional. Einfügen, falls verfügbar. |
Geben Sie so viele dieser zusätzlichen Felder wie möglich an, um die Wahrscheinlichkeit einer erfolgreichen Autorisierung zu erhöhen.
Ausnahmen bei Cartes Bancaires
Wenn Sie über 3DS von der starken Kundenauthentifizierung ausgenommen wurden, müssen Sie entweder den Parameter cb_exemption
, den Parameter exemption_indicator
oder beide übermitteln. Wenn einer dieser Parameter aufgrund einer Analyse des Transaktionsrisikos durch den Acquirer anzeigt, dass die Ausnahme ein geringes Risiko darstellt, bewertet Stripe die Transaktion erneut, wie unter Ergebnisse von 3D-Ausnahmen importieren beschrieben.
- Wenn Sie Zugriff auf
cb_exemption
haben, übergeben Sie diesen Wert und lassen Sieexemption_indicator
leer. Stripe leitet den entsprechenden Ausnahmeindikator anhand voncb_exemption
ab. - Wenn Sie sowohl den Parameter
cb_exemption
als auch den Parameterexemption_indicator
übergeben, stellen Sie sicher, dass beide den Ausnahmestatus korrekt darstellen. - Wenn es keine Übereinstimmung zwischen
exemption_indicator=none
und der Bitmap incb_exemption
gibt, handelt es sich bei der angewendeten Ausnahme um eine Ausnahme mit geringem Risiko. Stripe lehnt die Anfrage in diesem Fall ab.
Testen
Sie können Ihre Integration im Testmodus mit einer der beiden für die Authentifizierung erforderlichen Testkarten validieren: 4000 0027 6000 3184
oder pm_card_authenticationRequired
.
In der Simulation wird jedes korrekt formatierte 3D Secure-Ergebnis akzeptiert. Beispiel:
- Version:
2.1.0
- Electronic Commerce Indicator:
02
- Kryptogramm:
M6+990I6FLD8Y6rZz9d5QbfrMNY=
- Transaktions-ID:
5f5d08f2-8c36-4f72-99d1-57b4fb70b7d5
Oder:
- Version:
2.2.0
- Electronic Commerce Indicator:
05
- Kryptogramm:
4BQwsg4yuKt0S1LI1nDZTcO9vUM=
- Transaktions-ID:
f879ea1c-aa2c-4441-806d-e30406466d79
Über 3DS gewährte Ausnahmen
Im Testmodus geben alle Karten mit exemption_indicator
den Wert exemption_indicator_applied
als true zurück. Um eine PaymentIntent-Erstellung zu testen, die die interne TRA-Prüfung nicht besteht und daher false zurückgibt, verwenden Sie die Kartennummer 4000 0000 0001 6123
und legen Sie exemption_indicator=low_risk
fest.
Cartes Bancaires
Sie können die folgenden Zusatzkarten zum Importieren Ihrer Cartes Bancaires-Ergebnisse verwenden:
Sie können in Ihren Tests jeden gültigen cb_exemption
-Wert verwenden. Zum Beispiel:
AAAA
- Keine Ausnahme gewährtBAAA
- Ausnahmegenehmigung aufgrund geringen Risikos
Wenn wie beim Standardablauf für Ausnahmen der Wert von cb_exemption
einem niedrigen Risiko entspricht, gibt nur die Testkarte 4000 0000 0001 6123
den Wert „false“ für exemption_indicator_applied zurück.
Nutzung von Raw PAN
Stripe verlangt von Nutzern und Nutzerinnen, dass sie sich vergewisssern, dass die Daten von Karteninhabern und -inhaberinnen sicher und gemäß dem Payment Card Industry Data Security Standard (PCI DSS) gehandhabt werden, bevor sie Zugriff auf APIs für Kartenrohdaten gewähren.
An Unternehmen, die diese Funktionalität benötigen, stellt Stripe strenge Anforderungen, einschließlich:
- Validierung der PCI-DSS-Konformität
- Einreichung an das strenge Überprüfungsverfahren von Stripe
- Zustimmung zu zusätzlichen Kontrollen über die Standard-Sicherheitseinstellungen von Stripe hinaus
Details zur Aktivierung finden Sie im Support-Artikel Zugriff auf Kartenrohdaten-APIs aktivieren.
Notiz
Wenn Sie bei Konten mit individueller Preisgestaltung Stripe als Acquirer (Händlerbank) in der 3D Secure-Anfrage angeben, leitet Stripe die für 3D Secure geltenden Netzwerkkosten gemäß Ihrer Vereinbarung mit Stripe weiter.