Professional Documents
Culture Documents
VeriTrans-3DSecure2.0 Migration Guide
VeriTrans-3DSecure2.0 Migration Guide
3Dセキュア2.0 移行ガイド
Ver 1.0.6 (2022年8月)
Copyright(C) 2022 DG Financial Technology, Inc., a Digital Garage company. All rights reserved.
-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*
・本資料について
本資料は、VeriTrans3G/4G 本人認証サービス(MPIホスティングサービス)をご利用の
加盟店様が3Dセキュア2.0に移行するための情報をまとめた資料となります。
本資料には各種ブランドの登録商標などの用語が登場いたします。
個々の用語へのコピーライト表記は省略しておりますのでご了承ください。
ワンクリック継続課金サービスの会員管理機能を利用ケースについての説明では
単に「会員」や「会員管理」といった表現を用いる場合があります。
明記されていない場合でもワンクリック継続課金サービスの会員管理機能についての説明と
なります。加盟店様サイトにおける会員と混同しないようご注意ください。
不明瞭な記載につきましては随時訂正いたしますので、その他内容も併せましてテクニカル
サポートまでお問い合わせ、お知らせください。
本資料は随時アップデートしてまいります。
資料配布後にいただいたご質問などにつきましては、資料への反映、FAQへの追加を
行ってまいります。
・問い合わせ先
本ドキュメントに記載された内容についてはテクニカルサポートまでお問い合わせください。
・関連ドキュメント
本ドキュメントでは、3Dセキュア2.0に関連するインタフェース詳細には触れておりません。
各サービスのドキュメントをご確認ください。
・ VeriTrans4G 本人認証サービス補足資料(3Dセキュア2.0対応版)
決済フローなど、3Dセキュア2.0に関する補足事項をまとめた資料となります。
本資料において「補足資料」と記載されている箇所につきましては本資料をご参照ください。
・ MPIホスティングサービス補足資料(3Dセキュア1.0)
国際ブランドルール変更に関連したシナリオの変更については本資料をご参照ください。
・ VeriTrans4G MDKトークン開発ガイド
バージョン1.0.7以降が「カード名義人」に対応したバージョンの開発ガイドとなります。
・ VeriTrans4G POP開発ガイド
バージョン1.7.3以降が3Dセキュア2.0に対応したバージョンの開発ガイドとなります。
・ VeriTrans3G 3G-Web開発ガイド
表紙
目次
改訂履歴
0. はじめに
1. サービスごとの対応と加盟店様へのお願い
2.変更点まとめ
2. 3Dセキュア2.0対応における変更点_MDK
3. EC-CUBEの設定画面
B.1.0のAttempt動作について
FAQ
X.Searchを利用している加盟店様へのご案内
・改訂履歴
2021/7 : Ver 1.0.0βリリース
2021/9 : Ver 1.0.0リリース
全般的に「カードホルダ名」を「カード保有者名」に変更(用語の統一)
「表紙」
関連ドキュメントの情報を更新。
MDKのバージョンを更新。
「0.はじめに」
3Dセキュア2.0への切り替えについて
説明を2021年9月に合わせて修正。
バージョン1.0の終了について、JCBとAMEXの終了を更新。
「1. サービスごとの対応と加盟店様へのお願い」
「1-1. ベリトランスの提供する各種サービスと対応について」の内容を更新
「1-2. 各サービスにおいて必要となる対応(概要)」において POP、3G-Webの内容を更新。
「その他補足事項」を修正。ダイナースについて注意点を追加。
「2.変更点まとめ」
No.の採番を変更。MDKは M-*、POPは P-*、3G-Webは W-*としています。
カード保有者名に関して「カード保有者名省略フラグ」についての備考を追記。
POP、3G-Webについて記載。
「2. 3Dセキュア2.0対応における変更点_MDK」
「カード保有者名省略フラグ」についての記載を追記。
「A.結果判定マトリックスの変更について」
MPIホスティングサービス補足資料(3Dセキュア1.0向け)に移動したことを記載。
次のバージョンでシートは削除予定。
「B.1.0のAttempt動作について」
Mastercardの場合、N または U が応答されるという点を記載。
「FAQ」を更新。
2021/10: Ver 1.0.1リリース
「2.変更点まとめ」
M-4 「HTTPユーザエージェント」と「HTTPアクセプト」は指定不要となった旨を記載。
2021/11: Ver 1.0.2リリース
前回までの変更点で赤字表記だった部分を黒字表記に変更。
はじめに
3Dセキュア2.0について
3Dセキュア2.0への切り替えについて
3Dセキュア2.0の開始に伴い、現行バージョンの3Dセキュアの停止、リスク負担の移転(カード会社から加盟店)が行われます。
2021年11月時点の状況を以下にご説明します。
リスク負担の移転について:
VISA 2021年10月、VERes=Nの取引についてリスク負担をイシュアから加盟店に変更(2021/10/16)
Mastercard 2021年10月、VERes=Nの取引についてリスク負担をイシュアから加盟店に変更(2021/10/1)
バージョン1.0の終了について:
VISA 2022年10月、バージョン1.0による取引の終了。
Mastercard 2022年10月、バージョン1.0による取引の終了。
JCB 2022年10月、バージョン1.0による取引の終了。
American EXPRESS 2022年10月、バージョン1.0による取引の終了。
Diners Club 2022年10月、バージョン1.0による取引の終了。(VeriTrans4Gではバージョン1.0を提供していないため参考情報)
「重要」3Dセキュア1.0終了後の動作について
3Dセキュア1.0の終了後は、「認可(VEReq電文)」でブランドが提供する DS と通信するタイミングでエラーとなります。
決済処理の振る舞いはご利用の決済サービスオプションタイプによって異なります。
mpi-merchant をご利用の場合:
結果コード G005 となり、加盟店リスクで決済を行います。
mpi-merchant 「以外」をご利用の場合:
結果コード GE04 となり、決済は行われません。
そのため、3Dセキュア1.0が終了後、システムを大きく変更せずに1.0での決済を続けたい場合(3Dセキュア2.0への
移行が間に合わない場合も含む)、決済サービスオプションタイプを mpi-merchant に変更していただく必要があります。
参照:
EMV co
https://www.emvco.com/emv-technologies/3d-secure/
Visa Secure
https://www.visa.co.jp/pay-with-visa/security/3-d-secure.html
Mastercard ID Check
https://www.mastercard.co.jp/ja-jp/consumers/features-benefits/id-check.html
AMEX SafeKey
https://network.americanexpress.com/globalnetwork/safekey/jp/ja/
1-1. ベリトランスの提供する各種サービスと対応について
ベリトランスにて提供しているサービスにおけるシステムリリースの状況は以下のとおりです。
MPIホスティング(旧サービス) 対応予定なし -
MDKをご利用でない加盟店様(MDKレス)につきましては、MDKの対応以後、利用可能となります。
重要:
現時点で Appベースへの対応は未定となります。上記スケジュールはWebベースの対応予定となります。
1-2. 各サービスにおいて必要となる対応(概要)
現時点(本資料更新のタイミング)において、各サービスにおいて対応・確認が必要となる点は以下になります。
現在想定していない対応が必要となる可能性もございます。
より具体的な内容につきましては後続のシートに情報を追加(更新)いたします。
VeriTrans 4Gワンクリック継続課金サービス
・ カード保有者名への対応
3Dセキュア2.0の認証ではカード保有者名の連携が必須となります。
会員管理のインタフェース(カード情報の追加、更新など)においてカード保有者名を指定できる
ようになります。
VeriTrans 4G MDK
・ MDKの更新
3Dセキュア2.0に対応したMDKにバージョンアップしていただく必要があります。
・ カード保有者名の指定
3Dセキュア2.0の認証ではカード保有者名の連携が必須となります。
トークン取得時のインタフェース項目として追加、また、MDKに直接指定可能となります。
・ 3Dセキュア2.0の取引であることを意味するパラメータの指定
VeriTrans 4G POP
・ 現在 VeriTrans 4G POPにはカード保有者名を入力するフィールドを用意していないため、
3Dセキュア2.0対応時にはカード保有者名の入力に対応いたします。
加盟店様にてカード保有者名の入力に関する対応は不要です。
・ 切替は、バックエンドAPIにてパラメータを指定するか、MAPからシステム設定を変更することで行います。
バックエンドのAPI に「3Dセキュアバージョン(3ds_version)」を追加します。
3ds_version に「"2": 3Dセキュア2.0」を指定するとその決済は 3Dセキュア2.0で処理されます。
マスタの設定は、MAPのPOP設定の「システム設定」タブにある「本人認証バージョン」にて行います。
※MAPの画面は POP の 3Dセキュア2.0対応のタイミングで公開いたします。
VeriTrans 3G-Web
・ カード保有者名につきましては、現在の入力フィールドを利用いたします。
加盟店様にてカード保有者名の入力に関する対応は不要です。
・ 切替は、暗号鍵取得APIにてパラメータを指定するか、MAPからシステム設定を変更することで行います。
暗号鍵取得のインタフェースに「3Dセキュアバージョン(DDD_VERSION)」を追加します。
DDD_VERSIONに「"2": 3Dセキュア2.0」を指定するとその決済は3Dセキュア2.0で処理されます。
マスタの設定は、MAPの「各種設定変更」の「3G-Web 設定情報変更」から行います。
※MAPの画面は 3G-Web の 3Dセキュア2.0対応のタイミングで公開いたします。
VeriTrans 3G-Direct
・ カード保有者名には対応していません。カード保有者名は取得せずに本人認証処理が実行されます。
・ 切替は、MAPからシステム設定を変更することで行います。
MAPの「各種設定変更」の「3G-Direct設定情報」から行います。
・ Searchコマンド、PUSH通知をご利用の加盟店様は3DS2.0への変更に伴い返却項目に設定される値が変更に
なることにご留意ください。返却項目自体の増減はございません。
EC-CUBE 4系/2系
・ 3Dセキュア2.0に対応したモジュールに更新(バージョンアップ)していただく必要がございます。
・ EC-CUBE2系は、2.17系以降でのみ動作を確認しています。
2.17系よりも前のバージョンでの動作は確認できておりません。
EC-CUBE 3系
・ 対応内容はVeriTrans 3G-Directの対応に準じます。
・ カード保有者名には対応していません。カード保有者名は取得せずに本人認証処理が実行されます。
・ 切替は、VeriTrans 3G-Directと同様、MAPからシステム設定を変更することで行います。
MAPの「各種設定変更」の「3G-Direct設定情報」から行います。
・ 3Dセキュア2.0対応という観点で決済モジュールの更新は不要ですが、最新版への更新を行ってください。
・その他補足事項
注意:
ダイナースの3Dセキュアは、オーソリの仕向け先が「三井住友トラストクラブ」の場合にのみご利用いただけます。
オーソリの仕向け先がJCBの場合にはご利用いただけません(JCBが未対応のため)。
No. 利用方法 対応内容(概要) 対応の要否など 補足 追加・更新日
C-1 共通 結果通知受信 該当する加盟店様 2022.8
結果通知の「トランザクションタイプ(txnType)
」に"AuthorizeConfirm" と "VerifyNotify" が
追加されます。同値をチェックされている加盟
店様は対応が必要になります。
Searchについても同様。
凡例:
<要対応>
加盟店様にて対応が必要となる内容となります。
要確認:
加盟店様にて対応が必要となる可能性がある点となります。
2-1. 概要
3Dセキュア2.0では、認証フローの中でカード会社(イシュア)に連携するデータが増加します。
そのうちいくつかのデータは処理フローの中で決済サーバが自動的に収集する仕組みとなりますが、
「カード保有者名(カード名義人名)」については、加盟店様にて実装する必要があります。
その他、3Dセキュア2.0の認証であることを示すパラメータの指定が必要です。
2-2. 決済フローへの影響について(mpi-none以外)
1) トークンの取得と認可要求
トークン取得API に「カード保有者名」のパラメータが「任意項目として」追加されます。
MPIホスティングの認可要求電文(MpiAuthorizeRequestDto)にも同様にカード保有者名を任意項目として
追加する予定です。
<要対応>
決済サーバへのリクエストに追加された「カード保有者名」に関して、以下のいずれかの対応が必要となります。
1) トークン取得時に「カード保有者名」を設定するようにする
2) カード保有者名を加盟店様サーバにて受信し、MpiAuthorizeRequestDto に設定する
3) 「カード保有者名省略フラグ」をMpiAuthorizeRequestDto にて設定する
補足事項:
・ トークンの取得は「カード番号」と「有効期限」が必須となるため、「カード保有者名」だけでトークンを発行する
ことはできません。そのため、会員IDとカード保有者名に指定したい場合(後述)につきましては消費者様が
入力した値を一度加盟店様サーバに連携し、MpiAuthorizeRequestDto に直接指定する形でご対応ください。
・ カード保有者名を指定しないことによる、影響度(認証エラー、チャレンジ認証と判断される確率があがる等)は
カード会社が開示していない為、不明となります(弊社にも情報がありません)。カード保有者名省略フラグは
加盟店様の判断でご利用ください。
2) 会員ID指定決済
現在、会員IDと紐づけて保存されるカード情報にはカード保有者名を含めることはできません。
<要対応>
会員IDを指定(加盟店様によってはカードIDも指定)を指定して本人認証を実施している加盟店様に
おきましては、会員IDに加えてカード保有者名を追加で指定する必要がございます。
会員IDと紐づけてカード保有者名も管理できるよう、会員管理インタフェースの拡張を行いますので、
以下のような対応が必要となります。
・ 決済前に、消費者様がカード名義を追加登録できるようにする。
・ カード保有者名の入力を必須とし、会員IDなど一緒に決済リクエストに設定する。
決済前に「カード情報取得」のインタフェースにて登録済カード情報を取得し、カード保有者名が
設定されていない場合は入力フィールドを表示するといった制御を行う。
上記以外にも対応方法は考えられるため、加盟店様の実装に合わせてご検討ください。
3) 認可応答電文受信後の処理
MpiAuthorizeResponseDto で認可応答電文受信後の処理につきましては、
認可の成功(mstatus="success")を受けて、応答電文に含まれる「応答コンテンツ(resResponseContents)」を
消費者のブラウザに応答する
という大きな流れに変更はありません。
要確認:
・ 結果コード(vResultCode)は異なりますので、結果コードで条件分岐している場合、影響を受けます。
4) 決済完了後リダイレクトされる内容
詳細パラメータ連携を有効にしている場合:
処理完了後、認可の要求電文「リダイレクションURI(redirectionUri)」で指定したURLに消費者のブラウザ経由で
決済結果が連携されます。
MPI結果コード(mpiMstatus)で本人認証の結果を判定
カード結果コード(cardMstatus)でカード決済の結果を判定
という点に変更はありません。
結果コード(vResultCode)については、新しいコードとなります。
要確認:
・ 結果コード(vResultCode)は異なりますので、結果コードで条件分岐している場合、影響を受けます。
詳細パラメータ連携を利用せず、Searchにて結果を判定している場合:
Searchにて取得した決済情報より、最新のカードトランザクションを確認するという点について
変更はございません。
重要:
決済結果をSearchで取得する実装をされている加盟店様におきましては
「X.Searchを利用している加盟店様へのご案内」も併せてご確認ください。
5) 結果通知
通知される内容について変更はありません。
MPI結果コード(mpiMstatus)、カード結果コード(cardMstatus)にて決済結果を判定します。
結果通知が届くタイミングについては、チャレンジフローの場合に現在と異なる想定となります。
フリクションレスフロー、チャレンジフローフローの通知タイミングについては、
補足資料の決済フロー(フリクションレスフロー/チャレンジフロー)をご確認ください。
6) 再取引について
再取引につきましては、元取引IDからカード情報に加えてカード保有者名も利用いたします。
過去の取引についてはカード保有者名が保持されていないため、3Dセキュア2.0対応前の取引IDを
元取引IDに指定した場合、カード保有者名が指定されずに認可リクエストが行われることになり、
パラメータ不足でエラーとなります。
<要対応>
加盟店様の決済フローの中で、カード保有者名をどのように指定させるかご検討ください。
2-3. 決済フローへの影響について(mpi-noneの場合)
基本的な部分は、mpi-none 以外のケースと同じです。
本項では、mpi-none 特有の影響について説明いたします。
1) 本人認証の結果判定
要確認:
3Dセキュア2.0における失敗時(mstatus=failure)の結果コードは、バージョン1.0と異なる体系となっています。
そのため、vResultCode で分岐判定をしている箇所は影響を受けます。
具体的なケースとして、以下のケースが考えれます。
a. MpiAuthorizeResponse で GE02 の場合、ECI に "06" を指定してカード与信を行う
b. 結果通知/結果リダイレクトにおいて、GE12 だった場合、受信した各種パラメータを指定してカード与信を行う
※GE12の場合、ECI以外にもカード決済時にパラメータを指定
3Dセキュア2.0では、上述のケースは以下の形となります。
a'. 対応するケースは存在しない
b'. 結果通知/結果リダイレクトにおいて、GE32 だった場合、受信した各種パラメータを指定してカード与信を行う
2) カード与信に指定する3Dセキュア認証に関連したパラメータ
<要対応>
3Dセキュア2.0で追加されたパラメータがあるため、設定するパラメータの取得元、設定先を変更する必要があります。
詳細は補足資料の「mpi-none」に関する資料をご確認ください。
同じパラメータでも2.0では値が設定されないパラメータも想定されますので、値が設定されている前提となっていないかも
ご確認ください。
今後も3Dセキュア2.0に関するさまざまな情報を更新してまりますので
本資料を定期的にご確認くださいますよう、お願いいたします。
3. EC-CUBEの設定画面
モジュールを更新で即時に2.0が有効になるわけではありません。
店舗設定画面にて、「本人認証(3Dセキュア)」において『Ver2.0』のラジオボタンを選択して
更新を行ってください。
該当箇所:
EC-CUBEの管理画面からの変更は不要です。
B. 3Dセキュア1.0のAttempt動作の変更について
<重要>
2021年10月にVISA/MASTERで実施を予定している変更がどのようなものかを、カード会社より受領した案内をもとに
まとめた情報となりますが、ブランドにおける情報管理、イシュアの仕様は非開示のため、一部「想定」で記載しております。
確実なことは、VERes = N が応答されたケースのオーソリについて、リスク負担が加盟店様に変更となるという点になります。
3Dセキュア1.0のフロー概要:
③ ②
⑤
※VeriTrans4G 開発ガイド別冊 概略システムフロー図より
① ACSはイシュアごとに用意されています。
DSはVEReqで受信したカード番号をもとにVEReqをどこのACSにリレーすべきかを管理しています。
管理イメージ:
No カード番号開始 カード番号終了 ACS URL 対応
1 4000000000000000 4000999999999999 https://acs.an-issuer.com/vereq/ 対応している
2 4001000000000000 4023999999999999 https://acs.other-issuer.com/if/vereq/ 対応している
3 4123000000000000 4123999999999999 - 対応していない
・・・ ・・・ ・・・ ・・・ ・・・
補足:本例では「対応していない」という表現にしていますがが、実際にどのように管理されているかの詳細は不明です
例:
カード番号として 4001222233334444 を受信した場合、No.2 の ACS URL に VEReq をリレーし、ACSからの応答もリクエスト元に
リレーします。
③ 認可ステータスが Y の場合、決済サーバは②で受信したACSのURLに消費者ブラウザを誘導するHTMLコンテンツを生成し、
請求応答として加盟店様サーバに返戻します(結果コードは G001)。
(HTMLコンテンツは MpiAuthorizeResponse の resResponseContents に設定される)
⑤ ACSで行われた認証結果(PAResと言う)は、消費者ブラウザ経由で決済サーバに連携される。
PAResにもステータス値(Y or N or A or U)が含まれ、この値で決済サーバは本人認証の結果を判断します。
2021年10月の変更点:
・ ⑤の PAResで連携されるステータス値が A のケース(⑤まで進むのは②の認可ステータスはY)となるカード番号について、
②の認可ステータスが N (またはU)となるケースが発生する。
→ ブランドの発表によると、具体的に②認可ステータスが N に変わるケースは、3Dセキュア1.0のサポートを停止する
手続きを行ったイシュアのカード番号で認証を実施した場合となっております。
変更となる具体的なイシュア情報は開示されないと考えられるため、どれくらいのパーセントの取引の振る舞いが
変わるのかは不明となります。
MASTERの場合、N または U が応答されます。VISAはNとなります。
No. 質問内容 回答内容 更新日 備考
1 3DSセキュア2.0は、3Dセキュア1.0と比べて処理フロー 加盟店側のシステムから見ると、従来と同様にVeriTrans4Gに要求を送信し、そ 2021.9
が複雑になったように見えますが、加盟店側の実装も の結果を受けてユーザーのブラウザを画面遷移させるという流れに変更はあり
大きく変更しなければならないのでしょうか。 ません。
リスクベース認証の結果を受けてチャレンジ認証要求に移行する制御は
VeriTrans4G側で行いますので、加盟店側では最終的な結果を処理していただく
形となります。
※以下のブランドの3Dセキュアに対応しています。
Visa Secure (旧VISA 認証サービス)
Mastercard ID Check(TM)
JCB J/Secure(TM)
American Express SafeKey(R)
Diners Club ProtectBuy®
8 3Dセキュア2.0の要求を行ったとき、カード発行会社(イ カード会社からAttempt(みなし認証成功)の結果が返戻される想定となりま 2022.8
シュア)が2.0に対応していない場合はどのような結果と す。Attempt応答となった場合はカード発行会社(イシュア)のリスク負担で決済
なりますか。 が可能です(この動作は想定となります。すべてのブランド、イシュアでこうなる
という明確な情報は開示されておりません)。
ただし、完全認証を選択した場合には決済はできません。(決済サーバーがエラ
ーを返します。)
なお、イシュアは2.0に対応しているが、パスワード等未登録で消費者が認証で
きない場合の動作につきましては、Attempt動作となるケース、リスクベース認
証のタイミングで(ARes)で R 応答となるケースが確認できております。必ずこ
のようになるという規定はありませんのでご注意ください。
本項にて記載している内容は3Dセキュア2.0には直接関係する内容ではございません。
確認事項:
決済サーバが払い出す「トランザクションID」について、その値の大小がトランザクションの
順番を保証するものとはならないため、現状の実装をご確認ください。
本人認証の結果判定の観点では、「リクエストID」を検索条件に含めているかをご確認ください。
対応:
トランザクションIDで順番をチェックしているロジックがある場合、取引日時(txnDatetime)の値で
チェックする形に修正してください。
または、チェックしたいトランザクションの条件(例えば「売上」の「成功」トランザクションを探す)を
ご調整ください。
ご不明な点につきましてはテクニカルサポートまでお問い合わせください。
補足:
詳細パラメータ連携を利用されていない場合、本人認証(+カード決済)完了時のリダイレクトで
加盟店様に連携されるパラメータは「取引ID」と「リクエストID」となります。