По умолчанию Stripe не сверяет даты срока действия карты, CVV код и не запрашивает подтверждение по СМС. Фактически, клиент должен ввести только правильный номер карты, все остальные данные можно вводить наугад. И платеж все равно пройдет.

Это может может показаться странным, потому что в России 99% всех платежей в интернет-магазинах подтверждаются по СМС. Но в Европе и в США это нормальная практика. Владельцу магазина проще сделать чарджбэк чем запрашивать дополнительные данные у клиента для подтверждения покупки. Чем меньше действий сделает клиент, тем выше конверсия магазина. Поэтому для успешной оплаты достаточно указать только номер карты.

Как работает подтверждение по СМС и когда эквайринг проверяет CVV код?

СМС для подтверждения операции отправляет банк в рамках протокола 3D Secure, если такой протокол подключен к карте. Еще его называют двухфакторной аутентификацией.

Работает он примерно так:

  1. Клиент вводит данные карты в интернет-магазине;
  2. Эквайер (напр., Stripe) проверяет есть ли у карты 3D Secure и в соответствии со своими настройками безопасноти запрашивает или нет у банка подтверждения транзакции;
  3. Банк (напр., Сбербанк) проверяет CVV код и решает как еще проверить платеж, чаще всего отправляет клиенту СМС на телефон и показывает форму для ввода кода;
  4. Банк проверяет СМС, а затем подтверждает или отклоняет операцию и передает эти данные эквайрингу, который также принимает или отклоняет платеж.

Запрашивать или нет подтверждение подлиности карты решает эквайер. И даже если на карте включено обязательное подтверджение всех операций по СМС, то делать этого он не обязан.

Настройка параметров безопасности платежей

Stripe позволяет администраторам магазинов самим выбирает когда запрашивать подтверждение по 3D Secure. Для этого в консоли есть страница Radar Rules.

Stripe Radar rules, 3D Secure settings
Здесь можно настроить когда нужно запрашивать подтверждение карты, а когда нет.

Какие настройки лучше применить зависит от товара и сферы деятельности магазина. Если сайт продает физические товары и в нише возможны частые случаи фрода, то лучше запрашивать подтверждение по 3D Secure тогда, когда это рекомендуется:

Request 3D Secure if 3D Secure is recommended for card

Или всегда, когда есть такая возможность:

Request 3D Secure if 3D Secure is supported for card

Если сайт продает электронные товары и сделать чарджбэк не проблема, то можно запрашивать 3D Secure только тогда, когда это требуется:

Request 3D Secure if 3D Secure is required for card

Чем меньше препятствий у клиента на пути к покупке, тем выше конверсия.