Connect プラットフォームの SCA 移行ガイド
強力な顧客認証 (SCA) に対応するために Connect プラットフォームを更新する方法をご紹介します。
強力な顧客認証は、欧州経済領域 (EEA) に拠点を置き、EEA に所在する顧客からのオンライン決済を受け付ける企業に適用されます。多くのカード支払いでは、3D セキュアによる追加の認証を求められます。2019 年 9 月 14 日以降、新しい認証ガイドラインに準じていない取引は、顧客の銀行によって拒否される可能性があります。
以下のいずれかの支払いを作成する場合には、プラットフォームを更新する必要があります。
- EEA を拠点とする連結アカウントのダイレクト支払い。
on_パラメーターが設定されていて、EEA を拠点とする連結アカウントが指定されている場合のデスティネーション支払い。behalf_ of - プラットフォームが EEA を拠点としている場合、または
on_パラメーターが設定されていて、EEA を拠点とする連結アカウントが指定されている場合の、支払いと送金別方式。behalf_ of
SCA 対応の組み込みを選択する
SCA 要件を満たせるよう、Stripe のシステムを更新する必要があります。たとえば SCA では、顧客がオフセッション支払いで支払い情報を入力するときに認証を求められます。また、その後のオフセッション支払いでは、再認証のためにアプリケーションに戻るように顧客に通知する必要があります。
Stripe Checkout が組み込みに必要な機能をサポートしている場合は、Checkout を選択します。Checkout は、ブランディング設定ができるオンライン支払いページであり、継続的なサブスクリプションをサポートし、連結アカウントの SCA をサポートします。Connect のダイレクト支払いとデスティネーション支払いの作成をサポートしています。
カスタム支払いを構築する場合は、従来の Charges API が SCA に対応していないため、Payment Intents API を使用します。Payment Intents API は、Charges API と同じ Connect 機能セットをサポートしています。
Connect 固有の変更を確認する
デスティネーション支払いの変更
Charges API で destination、destination[account]、または destination[amount] パラメーターをご使用の場合、これらのパラメーターは、Charges API と Payment Intents API の両方で、transfer_ と transfer_ に変更されましたのでご注意ください。詳細については、以下の表をご覧ください。
| ユースケース | Charges API | Payment Intents API |
|---|---|---|
| プラットフォームがマーチャントオブレコードであるが、支払いの完了後に連結アカウントへの送金を作成したい場合 | 対応不可 | transfer_data[destination] に、連結アカウントの ID を設定します |
| 支払い完了後に個別の送金を作成「することなく」、連結アカウントを売上処理加盟店にします | on_ に連結アカウントの ID を設定します | 変更なし |
| 連結アカウントを売上処理加盟店にし、「かつ」、支払いの完了後にそのアカウントに送金を作成します | destination または destination[account] に、連結アカウントの ID を設定します | transfer_data[destination] と on_behalf_of に、連結アカウントの ID を設定します |
| プラットフォーム手数料を回収する必要があります | application_ に任意の金額を設定します | application_fee_amount に任意の金額を設定します |
| 支払い完了後に、一部の金額を連結アカウントに送金する必要があります | destination[amount] に送金額を設定します | transfer_data[amount] に送金額を設定します |
3D セキュアと Radar のルール
Stripe Checkout および Payment Intents API では、Radar ルールに基づいて動的な 3D セキュア認証がトリガーされます。Connect では、作成したルールはそのプラットフォームアカウントで作成された支払いのみに適用されます。連結アカウントで直接作成された支払いは、連結アカウントのルールの対象となります。デフォルトルールを設定し、3D セキュアテストカードを使用して実装内容をテストします。
支払い方法の保存に SCA が及ぼす影響
SCA では、カードを保存する際に認証を求められます。これは、顧客の権限を収集し、その後のオフセッション支払いでオフセッション免除を適用するために行われます。顧客の決済手段の認証頻度を減らすには、決済フロー内または決済フロー外で Payment Intents API を使用したオフセッション支払いが行われるよう、システムを更新します。
保存した決済手段を複製して複数の連結アカウントで再利用する場合、連結アカウントと決済手段を共有すると、顧客の許可も自動的に共有されます。このため、プラットフォームは、顧客に決済手段の再認証を求めなくても、連結アカウントでオフセッション支払いを行うことができます。
連結アカウントでの変更が必要かどうかを判断する
ほとんどの場合、決済システムを SCA 要件に合わせて更新したら、連結アカウント側で追加の作業を行う必要はありません。
連結アカウントに対して、Stripe の API 以外に独自の決済用 API を提供している場合、連結アカウントがお客様のプラットフォームで引き続き支払いを受け付けるには、なんらかの変更を加えなければならない可能性があります。たとえば、お客様が Stripe でサブスクリプションプラットフォームを運営していて、連結アカウントが独自の API を使用して支払い情報をお客様に渡し、お客様がその支払い情報を Stripe の API に渡す場合、両方の API が SCA に対応している必要があります。プラットフォームがこれに当てはまる場合は、連結アカウントが必要な変更を行えるよう、助言を行ってください。
新しい組み込みパスを実装して、テストする
導入パスを特定し、連結アカウントで変更を行う必要があるかどうかを判断したら、Stripe Checkout、Stripe Billing、Payment Intents API の対応する移行ガイドに従ってください。
実装が完了したら、動的な 3D セキュアルールを設定し、3D セキュアテストカードを使用して実装内容をテストします。必ず、認証の成功ケースと失敗ケースの両方をテストしてください。
連結アカウントに通知する
最後に、連結アカウントが変更を行う必要があるかどうかにかかわらず、SCA がどのように影響するか、およびプラットフォームがいつ SCA 対応になるかについて、連結アカウントに通知します。
特に、ビジネスに合わせて調整したうえで、以下の情報を提供します。
強力な顧客認証 (SCA) は、不正使用を減らし、オンラインによる支払いのセキュリティーを強化するための新しい欧州規制要件です。2019 年 9 月 14 日の SCA の施行以降、オンラインでの支払いで追加の顧客認証が必要となりました。新しいガイドラインに従わない取引は、顧客の銀行で拒否される場合があります。この規制は、ビジネスとカード保有者の両者の銀行が欧州経済領域 (EEA) に所在する取引に適用されます。
必要に応じて、SCA に関する動画とガイドを一緒に送信することもできます。
プラットフォームで SCA に対応する方法
SCA 対応ソリューションに移行していない場合は、欧州の顧客との取引量が多い連結アカウントに連絡し、SCA を理由とする拒否が発生する前にそれらのアカウントが新しいソリューションに移行できるようにします。
連結アカウントで行う必要のある作業
連結アカウント側で特に必要な対応がない場合には、その旨を通知してください。同様に、何らかの対応が必要な場合には、必要とされる変更の手順を提供してください。
SCA がビジネスに与える可能性がある影響
SCA により、カード支払いの決済フローが変わります。認証を必要とする支払いは 3D セキュア (多くの場合、「Verified by Visa」や 「Mastercard SecureCode」などのブランド名で知られる) を求めます。通常は認証ステップが追加され、カード保有者は 1 回限りのパスコードや生体認証 ID などの追加情報の提供を求められます。