3Dセキュア認証について¶
サブスクライトでは、不正利用・チャージバック・なりすまし契約を防止するため、すべての決済で本人認証(3Dセキュア)を必須としています。 このページでは、ご利用者様・テナント管理者様の双方に関わる3Dセキュア認証の仕組みと運用についてご説明します。
3Dセキュア認証とは
3Dセキュア(本人認証サービス)は、クレジットカード会社が提供する本人確認の仕組みです。決済時にカード会社のパスワードやSMSによるワンタイムコード等で本人確認を行うことで、第三者による不正利用を防止します。
カード登録・変更時の認証¶
ご利用者様がクレジットカード情報を登録・変更すると、その時点で3Dセキュア認証(SetupIntent認証)が実行されます。
- 認証に成功したカードのみが登録されます。 認証が完了しないカードは登録できません。
- カード登録時点では課金は行われません(本人認証のみを実施します)。
- ユーザー設定画面の「セキュアなカード更新」モーダルから、カード情報を安全に登録・変更いただけます。
事前認証によるメリット
カード登録時に本人認証を済ませておくことで、その後の出荷時決済(自動課金)での追加認証を原則回避でき、決済失敗のリスクを下げられます。
出荷時決済と追加認証メール¶
出荷時の自動決済(off_session決済)でカード会社から追加の本人認証を求められた場合、ご利用者様宛に認証依頼メールが自動送信されます。
- メールに記載される認証URLは、サブスクライトの自社ドメインのエイリアスURLです(Stripe等の直リンクではありません)。SPAM・フィッシング対策のため、自社ドメインのURLのみをご利用ください。
-
メール内の「追加認証が必要です」案内から認証画面へ進み、次の流れで認証が完了します。
-
「認証を開始する」ボタンを押す
- カード会社の本人認証(パスワード/SMSコード等)を行う
- 認証完了後、決済が自動的に実行・完了する
認証URLの有効期限¶
認証用URLには有効期限があります。
- 既定の有効期限は 24時間です(環境変数
PAYMENT_URL_EXPIRY_HOURSで変更可能。未設定の場合は無期限)。 - 認証画面には残り時間が表示されます。
- 有効期限が切れたURLは自動的に検知され、再生成されます。
安全性のための制限
認証URLはワンタイム使用(一度認証が完了すると再利用不可)であり、不正アクセス防止のため同一IPアドレスからのアクセス回数制限(短時間に複数回まで)とアクセスログ記録を行っています。
管理者の対応¶
テナント管理者様は、3Dセキュア認証待ちとなっている決済を「決済失敗一覧」画面から確認し、認証リンクを再送できます。
- 「決済失敗一覧」画面上部に「3Dセキュア認証待ち」の件数が表示されます。
- 該当レコードの「詳細」から「3Dセキュア認証リンクを再送」を実行すると、ご利用者様に認証リンクが再送されます。
詳細な手順は決済失敗の管理をご参照ください。
関連するメール¶
3Dセキュア認証に関連して自動送信されるメール(「3Dセキュア認証依頼」「3Dセキュア認証成功通知」等)は、メールテンプレート管理からご確認いただけます。