W3C 推动简化支付验证流程的技术规范

作者及发布日期

发布:: 2023年6月15日

安全支付确认（SPC）成为 W3C 候选推荐标准

https://www.w3.org/ — 2023年6月15日 — W3C 今天宣布 Web 支付标准化的一项里程碑式进展：这项新的浏览器功能在简化用户身份验证流程的同时进一步提升 Web 支付的安全性。安全支付确认（Secure Payment Confirmation 简称 SPC）使得商户、银行、支付服务提供商、卡片网络和其他机构能够减少客户身份强认证（SCA）的摩擦，并生成用户授权的加密证据，这是监管要求的两个重要方面，例如欧洲的支付服务指令（Payment Services Directive 简称 PSD2）。

Screenshot of SPC transaction dialog in Chrome

安全支付确认（SPC）成为 W3C 候选推荐标准意味着该特性已经稳定，并得到了广泛审查。在推进 SPC 成为正式推荐标准之前，W3C 将征集更多围绕该规范的实现。

满足日益增长的客户身份强认证需求

在过去15年里，电子商务在零售总额中的占比不断攀升。COVID-19疫情似乎加快了这种趋势。改善支付安全的同时以及其他多种因素也导致线上支付欺诈数量的增加。

为了打击线上支付欺诈，欧洲和其他司法辖区已经开始强制要求对某些支付类型进行多因素身份验证。虽然多因素身份验证减少了欺诈，但它也趋于增加支付摩擦，这可能导致放弃支付（如 Microsoft 商户在 PSD2 下使用 SCA 的体验）。

2019年，Web 支付工作组着手开发安全支付确认规范，以满足客户身份强认证的要求，同时减少支付摩擦。Stripe 早期对 SPC 进行了实验，并于2020年3月发布报告显示：与一次性密码（OTP）相比，SPC 认证将转化率提高了8%，同时支付速度提高了3倍。

W3C 继续通过实验收集关于安全支付确认的反馈，其中包括 Stripe 的第二个实验。Web 支付工作组预计今年9月之前获得更多的实验数据。

SPC 得益于业界合作

通过 Web 支付安全兴趣组，W3C、FIDO 联盟和 EMVCo 合作开发可互操作的技术规范以提升线上支付安全性。安全支付确认（SPC）正是这项合作的成果：它建立在 Web 身份验证规范之上，并得到 EMV® 3-D Secure（2.3版）和 EMV® Secure Remote Commerce（1.3版）的支持。参阅 Web 支付安全兴趣组发布的文档《EMVCo、FIDO 联盟、W3C 相关技术的联系与作用》了解更多细节。

安全支付确认不仅仅是针对卡片支付。Web 支付工作组定期探讨如何将 SPC 整合到其他支付生态系统中，如 Open Banking、PIX（巴西）以及专属支付流程。

工作组联合主席 Nick Telford-Reed 表示：“小组自2015年成立至今，我们的目标始终是让大家更容易地开展线上支付，同时提高支付安全性。安全支付确认意味着将首次有一种通用的方式，支持跨支付方式、平台、设备和浏览器进而对消费者进行身份验证，这些都建立在 W3C 支付请求规范以及与 FIDO 联盟和 EMVCo 合作的基础之上”。

安全支付确认现已开启

安全支付确认在 Web 身份验证之上添加了一个“用户授权层”。在交易过程中，安全支付确认提示用户通过由浏览器管理的“交易会话框”来授权同意支付条款；Chrome 对该会话框的实现如文中图片所示。交易细节由用户的 FIDO 认证器签名，银行或其他方可以加密确认验证结果，由此用户已经授权同意支付条款（PSD2 中称为“动态链接”的要求）。EMV® 3-D Secure 和其他协议可用于将验证结果传达给银行或其他方进行确认。

SPC 目前在 MacOS、Windows 和 Android 的 Chrome 以及 Edge 上可用。在 W3C 候选推荐标准阶段，Web 支付工作组将继续推动 SPC 在更多浏览器和环境中的部署。

关于万维网联盟

万维网联盟（World Wide Web Consortium，简称 W3C）的使命是通过开发技术标准及实施指南，确保万维网的全球开放性、可访问性以及互操作性，从而尽展万维网无限潜能。W3C 众所周知的 HTML 与 CSS 标准是构建网站的核心技术。W3C 致力于确保所有基础 Web 技术，尤其在无障碍、国际化、安全与隐私领域，可以满足社会大众的需求。与此同时，在娱乐、通信、数字出版以及金融服务等领域，W3C 提供相应标准助力当代各行业利用 Web 加强基础建设。W3C 工作对公众开放，所有标准均依据 W3C 专利政策免费供公众使用。

W3C “同一个万维网（One Web）”的理念汇集了全球数十个行业领域400多家成员单位及数千名专业技术人员。W3C 是一个公益性非营利组织，实体在美国注册、由董事会监管、在全球拥有雇员。更多信息请见 https://www.w3.org。

新闻稿正文结束

媒体联系人

Amy van der Hiel, W3C Media Relations Coordinator <w3t-pr@w3.org>
+1.617.453.8943 (US, Eastern Time)

EMV® is a registered trademark in the U.S. and other countries and an unregistered trademark elsewhere. The EMV trademark is owned by EMVCo, LLC.