Lanskap Passkey Pembayaran: 4 Model Integrasi Inti

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

Lanskap pembayaran global berada di titik perubahan yang krusial. Selama puluhan tahun, industri ini telah bergulat dengan ketegangan yang melekat antara keamanan dan kenyamanan pengguna, sebuah tantangan yang paling terasa dalam lingkungan digital, Card-Not-Present (CNP). Meningkatnya penipuan canggih menuntut langkah-langkah autentikasi yang lebih kuat, sementara ekspektasi konsumen menuntut pengalaman checkout yang semakin lancar. Laporan ini memberikan analisis komprehensif tentang ekosistem yang terus berkembang ini, dengan fokus khusus pada identifikasi titik-titik integrasi strategis untuk teknologi passkey. Laporan ini dirancang untuk menjadi panduan definitif bagi penyedia teknologi, penyedia layanan pembayaran, lembaga keuangan, dan merchant yang ingin menavigasi transisi menuju masa depan tanpa kata sandi.

Lanskap pembayaran sedang mengalami pergeseran fundamental, didorong oleh kebutuhan akan keamanan yang lebih kuat seperti Strong Customer Authentication (SCA) dan permintaan komersial untuk pengalaman pengguna yang lancar. Passkey yang tahan phishing telah muncul sebagai teknologi kunci untuk menyelesaikan ketegangan ini. Analisis kami menunjukkan bahwa industri ini sedang menyatu di sekitar empat model arsitektur yang berbeda untuk integrasi passkey, masing-masing mewakili visi yang bersaing untuk masa depan autentikasi pembayaran:

1. Model Berpusat pada Issuer (misalnya via SPC): Meskipun secara teknis elegan, model ini terhambat oleh kurangnya dukungan browser yang kritis, terutama dari Apple, menjadikannya solusi yang tidak praktis untuk waktu dekat.
2. Model Berpusat pada Merchant (Delegated Authentication): Model yang kuat ini memungkinkan merchant besar untuk memanfaatkan hubungan pelanggan langsung mereka, memindahkan autentikasi ke hulu untuk menciptakan checkout yang mulus, tetapi disertai dengan kewajiban yang signifikan dan memerlukan kepercayaan langsung dari issuer.
3. Model Berpusat pada Jaringan (Click to Pay): Sebuah langkah strategis besar oleh jaringan kartu seperti Visa dan Mastercard untuk menguasai pengalaman checkout tamu dengan menawarkan passkey tingkat jaringan yang portabel bagi konsumen.
4. Model Berpusat pada PSP (Dompet): Model dominan di mana Penyedia Layanan Pembayaran besar seperti PayPal menggunakan passkey untuk mengamankan dan menyederhanakan pengalaman dalam ekosistem dompet mereka yang luas dan mapan.

Setiap model menyajikan jawaban yang berbeda untuk pertanyaan strategis inti: "Siapa yang akan menjadi Relying Party utama untuk pembayaran?". Laporan ini membedah arsitektur-arsitektur yang bersaing ini, memetakannya ke para pemain di ekosistem untuk memberikan peta jalan yang jelas dalam menavigasi masa depan autentikasi pembayaran.

Untuk memahami di mana dan bagaimana passkey dapat diintegrasikan, pertama-tama penting untuk membangun peta yang jelas dan terperinci tentang para pemain di ekosistem pembayaran dan peran mereka yang berbeda. Alur sebuah transaksi online tunggal melibatkan interaksi yang kompleks antara beberapa entitas, masing-masing melakukan fungsi spesifik dalam pergerakan data dan dana.

Di jantung setiap transaksi ada lima peserta fundamental yang membentuk fondasi rantai nilai pembayaran.

1. Pelanggan / Pemegang Kartu:

   • Deskripsi: Individu atau organisasi yang memulai pembelian. Pemegang kartu mendapatkan kartu pembayaran (kredit atau debit) dari bank penerbit dan bertanggung jawab untuk membayar kembali setiap tagihan yang timbul.
   • Tujuan: Pengalaman checkout yang cepat, sederhana, dan aman.
   • Contoh: Setiap individu dengan rekening bank dan/atau kartu pembayaran.

2. Merchant:

   • Deskripsi: Bisnis yang menjual barang atau jasa dan menerima pembayaran elektronik. Untuk melakukannya, merchant harus memiliki infrastruktur yang diperlukan, biasanya disediakan oleh bank acquirer atau penyedia layanan pembayaran (PSP), untuk menerima dan memproses pembayaran kartu.
   • Tujuan: Memaksimalkan konversi penjualan dengan meminimalkan friksi saat checkout sambil mengurangi penipuan.
   • Contoh: Situs web e-commerce, toko ritel, layanan berlangganan.

3. Bank Penerbit (Issuer):

   • Deskripsi: Bank atau lembaga keuangan pemegang kartu. Issuer menyediakan kartu pembayaran kepada pelanggan, menanggung risiko kredit yang terkait, dan pada akhirnya bertanggung jawab untuk menyetujui atau menolak transaksi berdasarkan status akun pemegang kartu dan penilaian risiko.
   • Tujuan: Menerima permintaan otorisasi dan mengirimkan kembali kode respons melalui jaringan kartu.
   • Contoh: Bank of America, Chase, Barclays.

4. Bank Acquirer (Acquirer):

   • Deskripsi: Bank merchant, juga dikenal sebagai bank merchant. Acquirer mengelola akun merchant dan memfasilitasi pemrosesan transaksi kartu atas nama merchant.
   • Tujuan: Menerima detail pembayaran dari merchant, meneruskannya melalui jaringan kartu ke issuer, dan, setelah disetujui, menyelesaikan dana ke akun merchant.
   • Contoh: Wells Fargo Merchant Services, Worldpay (dari FIS).

5. Jaringan Kartu (Skema):

   • Deskripsi: Tulang punggung teknologi yang menghubungkan semua peserta lainnya. Perusahaan seperti Visa, Mastercard, American Express, dan Discover mengoperasikan jaringan luas ini. Mereka tidak menerbitkan kartu atau membuka akun merchant tetapi menyediakan infrastruktur penting, aturan, dan standar yang mengatur transaksi.
   • Tujuan: Memfasilitasi perutean permintaan otorisasi serta kliring dan penyelesaian dana antara issuer dan acquirer.
   • Contoh: Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Di antara para peserta inti terdapat ekosistem penyedia teknologi dan layanan yang kompleks dan sering tumpang tindih. Memahami perbedaan antara para perantara ini sangat penting, karena mereka sering kali menjadi titik integrasi utama untuk teknologi baru seperti passkey. Batas antara peran-peran ini telah menjadi sangat kabur dalam beberapa tahun terakhir, karena penyedia modern berusaha menawarkan solusi yang lebih komprehensif, "all-in-one".

1. Payment Gateway:

   • Deskripsi: Payment gateway adalah teknologi yang bertindak sebagai portal digital yang aman untuk sebuah transaksi. Peran utamanya adalah menangkap detail pembayaran sensitif pelanggan dari situs web merchant atau sistem point-of-sale (POS), mengenkripsinya, dan mengirimkannya dengan aman ke prosesor pembayaran atau bank acquirer. Ini adalah "pintu depan" transaksi, bertanggung jawab atas transmisi data yang aman tetapi bukan pergerakan dana itu sendiri.
   • Tujuan: Menyediakan cara yang aman dan andal bagi merchant untuk menerima pembayaran online.
   • Contoh: Authorize.net (solusi Visa), Braintree, Stripe Payment Gateway.

2. Prosesor Pembayaran:

   • Deskripsi: Prosesor pembayaran adalah entitas yang mengeksekusi pesan transaksi di antara berbagai pihak. Setelah menerima data aman dari payment gateway, prosesor berkomunikasi dengan jaringan kartu dan, dengan demikian, bank penerbit dan acquirer untuk memfasilitasi otorisasi dan penyelesaian transaksi. Seseorang dapat menganggap prosesor sebagai mesin operasional yang menangani komunikasi teknis yang diperlukan agar pembayaran terjadi, sementara gateway adalah saluran aman untuk komunikasi tersebut.
   • Tujuan: Mengeksekusi pesan pembayaran secara andal dan efisien, mengelola penyelesaian transaksi, dan menangani penyelesaian sengketa antara bank penerbit dan acquirer.
   • Contoh: First Data (sekarang Fiserv), TSYS, Worldpay.

3. Penyedia Layanan Pembayaran (PSP):

   • Deskripsi: Penyedia Layanan Pembayaran adalah perusahaan yang menawarkan solusi komprehensif dan terpadu kepada merchant untuk menerima pembayaran elektronik. PSP modern biasanya menggabungkan fungsi payment gateway dan prosesor pembayaran, dan sering kali juga menyediakan akun merchant, semuanya dalam satu kontrak. Model "all-in-one" ini sangat menyederhanakan proses bagi merchant, yang tidak lagi perlu menjalin hubungan terpisah dengan penyedia gateway dan bank acquirer. Dalam beberapa konteks, PSP yang menggabungkan berbagai metode pembayaran untuk merchant juga disebut sebagai Payment Aggregator.
   • Tujuan: Menawarkan solusi satu atap kepada merchant untuk semua kebutuhan pembayaran mereka, mengabstraksi kompleksitas dan menyederhanakan penerimaan pembayaran.
   • Contoh: Stripe, Adyen, PayPal, Mollie.

4. Penyedia Account-to-Account (A2A) / Open Banking:

   • Deskripsi: Ini adalah kategori penyedia pembayaran yang berkembang pesat yang melewatkan jaringan kartu tradisional sama sekali. Pembayaran A2A memindahkan dana langsung dari rekening bank konsumen ke rekening bank merchant. Hal ini sering kali dimungkinkan oleh peraturan "Open Banking" (seperti PSD2 di Eropa) yang mewajibkan bank untuk menyediakan akses API yang aman ke data akun pelanggan dan layanan inisiasi pembayaran untuk penyedia pihak ketiga berlisensi. Penyedia ini membangun antarmuka yang ramah pengguna di atas API ini, memungkinkan konsumen untuk melakukan autentikasi dengan bank mereka dan menyetujui pembayaran dalam alur yang mulus.
   • Tujuan: Menawarkan alternatif pembayaran kartu yang lebih murah dan sangat aman dengan menghilangkan biaya interchange dan mengurangi penipuan melalui autentikasi tingkat bank.
   • Contoh: Trustly, Plaid, Tink, GoCardless, Fintecture.

Konsolidasi peran ini memiliki implikasi yang mendalam. Meskipun secara akademis berbeda, dalam praktiknya, satu titik kontak merchant sering kali adalah PSP yang mengabstraksi kompleksitas hubungan gateway, prosesor, dan acquirer yang mendasarinya. Namun, kemampuan PSP ini dapat sangat bervariasi. PSP yang hanya merupakan reseller layanan gateway perusahaan lain memiliki kemampuan teknis dan kepentingan strategis yang sangat berbeda dari PSP tumpukan penuh dengan infrastruktur pemrosesan dan lisensi acquirer sendiri. Perbedaan ini penting saat mengevaluasi peluang integrasi untuk metode autentikasi tingkat lanjut.

Lebih jauh lagi, analisis yang lebih dalam tentang alur pembayaran mengungkapkan konsep dasar yang memperjelas motivasi strategis di balik teknologi autentikasi baru: peran Relying Party (RP). Dalam konteks autentikasi FIDO dan passkey, Relying Party adalah entitas yang pada akhirnya bertanggung jawab untuk memverifikasi identitas pengguna. Dalam transaksi pembayaran standar, issuer menanggung risiko keuangan dari penipuan dan oleh karena itu merupakan Relying Party default; keputusan mereka untuk menyetujui atau menolak pembayaran.

Model arsitektur yang muncul untuk integrasi passkey dapat dipahami sebagai negosiasi strategis tentang siapa yang bertindak sebagai Relying Party. Dalam model Secure Payment Confirmation (SPC), issuer tetap menjadi RP tetapi memungkinkan merchant untuk memanggil seremoni autentikasi. Dalam Delegated Authentication (DA), issuer secara eksplisit mendelegasikan fungsi RP kepada merchant atau PSP mereka. Dan dalam model berpusat pada jaringan, Visa dan Mastercard memposisikan diri mereka sendiri sebagai Relying Party terfederasi untuk transaksi checkout tamu. Oleh karena itu, pertanyaan sentral bagi setiap penyedia pembayaran yang mempertimbangkan integrasi passkey menjadi:

Jawabannya menunjuk langsung ke peluang integrasi, pengambil keputusan utama, dan tujuan strategis yang mendasarinya.

Untuk memberikan representasi visual yang jelas dari hubungan ini, diagram alur yang mengilustrasikan siklus hidup pembayaran sangat penting. Diagram semacam itu akan menggambarkan dua jalur yang berbeda namun saling berhubungan:

1. Alur Data (Otorisasi): Jalur ini menelusuri perjalanan permintaan otorisasi. Dimulai dengan pelanggan yang mengirimkan detail pembayaran di situs merchant, mengalir melalui payment gateway ke prosesor/acquirer, kemudian melintasi jaringan kartu ke issuer untuk keputusan risiko, dan akhirnya, respons persetujuan atau penolakan berjalan kembali ke merchant dan pelanggan. Seluruh proses ini terjadi dalam hitungan detik.

2. Alur Nilai (Penyelesaian): Jalur ini mengilustrasikan pergerakan uang, yang terjadi setelah otorisasi. Ini menunjukkan transaksi yang dikelompokkan sedang dikliring, dengan dana mengalir dari issuer, melalui jaringan, ke acquirer (dikurangi biaya interchange), dan akhirnya disetorkan ke akun merchant, sebuah proses yang biasanya memakan waktu beberapa hari kerja (Pemrosesan pembayaran: Cara kerja pemrosesan pembayaran | Stripe)

Visualisasi ini memungkinkan setiap peserta dalam ekosistem untuk segera menemukan posisi mereka dan memahami hubungan langsung dan tidak langsung mereka dengan semua pihak lain, menyiapkan panggung untuk analisis terperinci tentang di mana intervensi autentikasi dapat terjadi.

sequenceDiagram
    participant C as Customer
    participant M as Merchant
    participant P as Gateway/Acquirer
    participant N as Card Network
    participant I as Issuer

    C->>M: 1. Submit Payment Details
    M->>P: 2. Securely Transmit Details
    P->>N: 3. Authorization Request
    N->>I: 4. Route to Issuer for Verification
    I-->>N: 5. Approve/Decline Response
    N-->>P: 6. Relay Response
    P-->>M: 7. Relay Response
    M-->>C: 8. Confirm Order or Request New Payment

    M->>P: 9. Submit Batch of Approved Transactions
    P->>N: 10. Clearing Request
    N->>I: 11. Request Funds from Issuer
    I-->>N: 12. Transfer Funds (minus interchange fees)
    N-->>P: 13. Credit Acquirer with Funds
    P-->>M: 14. Deposit Funds to Merchant (minus processing fees)

Sementara ekosistem pembayaran berisi pemain dari semua ukuran, pasar untuk pemrosesan dan akuisisi terkonsentrasi di sekitar beberapa pemain besar yang bervariasi menurut wilayah. Raksasa global sering bersaing dengan juara nasional dan regional yang kuat. Tabel berikut memberikan gambaran singkat tentang pemain kunci di berbagai geografi.

Setiap pembelian online memicu urutan peristiwa yang kompleks dan berkecepatan tinggi yang dapat dipecah menjadi dua fase utama: otorisasi dan penyelesaian. Di atas proses ini terdapat lapisan protokol keamanan penting yang dikenal sebagai 3-D Secure, yang merupakan pusat untuk memahami tantangan modern autentikasi pembayaran online.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

Siklus hidup satu transaksi CNP melibatkan pertukaran data yang hampir seketika diikuti oleh transfer dana yang lebih lambat.

Otorisasi adalah proses verifikasi bahwa pemegang kartu memiliki dana atau kredit yang cukup untuk menyelesaikan pembelian dan bahwa transaksi tersebut sah. Fase ini terjadi dalam hitungan detik dan mengikuti jalur multi-langkah yang tepat (Pemrosesan pembayaran: Cara kerja pemrosesan pembayaran | Stripe):

1. Inisiasi Transaksi: Pelanggan memilih barang mereka, melanjutkan ke checkout, dan memasukkan detail kartu pembayaran mereka (nomor kartu, tanggal kedaluwarsa, CVV) ke dalam formulir pembayaran online merchant.

2. Transmisi Aman: Situs web merchant secara aman meneruskan informasi ini ke payment gateway-nya. Gateway mengenkripsi data untuk melindunginya selama transit.

3. Perutean ke Prosesor/Acquirer: Gateway meneruskan detail transaksi terenkripsi ke prosesor pembayaran dan/atau bank acquirer merchant.

4. Komunikasi Jaringan: Acquirer mengirimkan permintaan otorisasi ke jaringan kartu yang sesuai (misalnya, Visa, Mastercard).

5. Verifikasi Issuer: Jaringan kartu merutekan permintaan ke bank penerbit pemegang kartu. Sistem issuer melakukan serangkaian pemeriksaan: memverifikasi validitas kartu, memeriksa saldo atau batas kredit yang tersedia, dan menjalankan transaksi melalui mesin deteksi penipuannya.

6. Respons Otorisasi: Berdasarkan pemeriksaan ini, issuer menyetujui atau menolak transaksi. Keputusan ini, dalam bentuk kode respons, dikirim kembali melalui jalur yang sama : dari issuer ke jaringan kartu, ke acquirer, ke prosesor/gateway, dan akhirnya ke situs web merchant.

7. Penyelesaian: Jika disetujui, merchant menyelesaikan penjualan dan memberi tahu pelanggan. Jika ditolak, merchant meminta pelanggan untuk metode pembayaran alternatif.

Penyelesaian adalah proses memindahkan uang dari issuer ke merchant. Tidak seperti otorisasi, ini tidak instan dan biasanya terjadi dalam kelompok.(Pemrosesan pembayaran: Cara kerja pemrosesan pembayaran | Stripe)

1. Pengelompokan: Pada akhir hari kerja, merchant mengirimkan file batch dari semua otorisasi yang disetujui ke acquirer-nya.
2. Kliring: Acquirer mengirimkan batch ke jaringan kartu untuk kliring. Jaringan menyortir transaksi dan meneruskannya ke masing-masing bank penerbit.
3. Transfer Dana: Bank penerbit mentransfer dana untuk transaksi yang disetujui ke bank acquirer, dikurangi biaya interchange, yaitu biaya yang dibayarkan acquirer kepada issuer untuk setiap transaksi.
4. Setoran Merchant: Acquirer kemudian menyetorkan dana ke akun merchant, dikurangi biaya pemrosesannya sendiri. Seluruh proses penyelesaian ini biasanya memakan waktu 1-3 hari kerja.

Di atas setiap transaksi CNP terdapat lapisan protokol keamanan penting yang dikenal sebagai 3-D Secure (3DS). Dikelola oleh EMVCo, tujuannya adalah untuk memungkinkan issuer mengautentikasi pemegang kartu, mengurangi penipuan, dan mengalihkan tanggung jawab atas tagihan balik dari merchant ke issuer.

3DS modern (juga disebut 3DS2) bekerja dengan menukar serangkaian data yang kaya antara merchant dan Access Control Server (ACS) issuer. Data ini memungkinkan ACS untuk melakukan penilaian risiko, yang mengarah ke dua hasil:

• Alur Lancar (Frictionless Flow): Jika transaksi dianggap berisiko rendah, transaksi disetujui secara diam-diam di latar belakang tanpa interaksi pengguna. Ini adalah tujuan untuk sebagian besar transaksi.
• Alur Tantangan (Challenge Flow): Jika transaksi berisiko tinggi atau diwajibkan oleh peraturan seperti PSD2, pengguna secara aktif ditantang untuk membuktikan identitas mereka, biasanya dengan OTP atau notifikasi aplikasi perbankan.

"Tantangan" ini adalah titik friksi utama dan medan pertempuran utama untuk tingkat konversi. Tujuan industri adalah memaksimalkan alur lancar sambil membuat tantangan semulus mungkin. Tantangan berfriksi tinggi inilah yang sangat cocok untuk diselesaikan oleh passkey, mengubah titik kegagalan potensial menjadi langkah yang aman dan mulus.

graph TD
    A[Mulai: Pelanggan Lanjut Membayar] --> B{Merchant Memulai Pemeriksaan 3DS};
    B --> C[SDK Merchant mengirimkan data transaksi dan perangkat yang kaya ke ACS Issuer];
    C --> D{Mesin Risiko ACS Menganalisis Data};
    D --> E{Apakah transaksi berisiko tinggi atau SCA diwajibkan?};
    subgraph Alur Lancar
    E -- Tidak --> F[Autentikasi Disetujui Secara Pasif - Tanpa interaksi pengguna];
    end
    subgraph Alur Tantangan
    E -- Ya --> G[Pengguna diminta untuk tantangan autentikasi];
    G --> H{Pengguna Menyelesaikan Tantangan? - mis., OTP, Push Aplikasi, SPC/Passkey};
    H -- Ya --> I[Autentikasi Disetujui];
    H -- Tidak --> J[Autentikasi Gagal];
    end
    F --> K[Transaksi Berlanjut dengan Pengalihan Tanggung Jawab ke Issuer];
    I --> K;
    J --> L[Transaksi Diblokir];

Kemunculan passkey, berdasarkan standar WebAuthn yang tahan phishing dari FIDO Alliance, mengkatalisasi desain ulang fundamental autentikasi pembayaran. Hal ini terjadi bersamaan dengan tren industri yang kuat: merchant sudah mengadopsi passkey untuk autentikasi pengguna standar (pendaftaran dan login) untuk memerangi penipuan pengambilalihan akun dan meningkatkan pengalaman pengguna. Investasi yang ada ini menciptakan fondasi alami di mana model passkey khusus pembayaran dapat dibangun.

Dalam model ini, bank pengguna (issuer) adalah Relying Party (RP) utama untuk autentikasi. Passkey terikat ke domain bank (misalnya, bank.com), dan pengguna mengautentikasi langsung dengan bank mereka untuk menyetujui transaksi. Model ini memiliki dua varian utama, tergantung pada apakah pembayaran berjalan di jalur kartu atau melalui transfer langsung antar-rekening.

Dalam model ini, bank penerbit tetap mengendalikan autentikasi, dan passkey secara kriptografis terikat ke domain issuer (misalnya, bank.com). Meskipun pengalihan sederhana ke situs web bank dimungkinkan, ini menciptakan pengalaman pengguna yang buruk.

Siapa yang memiliki passkey? Dalam model Berpusat pada Issuer, Issuer adalah Relying Party (RP).

Roda Gila Adopsi & Efek Jaringan: Dapat digunakannya kembali passkey issuer menciptakan roda gila yang kuat. Setelah pengguna membuat passkey untuk bank mereka, passkey tunggal itu dapat digunakan untuk menyetujui transaksi yang ditantang dengan mulus di setiap merchant yang menggunakan protokol 3DS. Ini meningkatkan nilai kartu issuer bagi konsumen (UX yang lebih baik) dan merchant (konversi yang lebih tinggi).

Solusi yang dirancang industri untuk ini adalah Secure Payment Confirmation (SPC), sebuah standar web yang memungkinkan merchant memanggil passkey bank secara langsung di halaman checkout, menghindari pengalihan. Proses ini juga menggunakan dynamic linking untuk mengikat autentikasi ke detail transaksi, yang sangat penting untuk SCA.

Kelemahan Strategis: Meskipun elegan secara teknis, SPC bukanlah strategi yang layak saat ini. Ini membutuhkan dukungan browser yang tidak ada di Safari Apple. Tanpa Safari, SPC tidak dapat menjadi solusi universal, membuatnya tidak praktis untuk implementasi skala besar mana pun.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant I as Issuer ACS

    Note over M,I: A 3DS check determines a challenge is needed.
    M->>I: Authorization Request (High Risk)
    I-->>M: Initiate SPC Challenge
    Note over U,M: Browser shows a native prompt to the user.
    M->>U: Trigger SPC API for issuer's domain (e.g., bank.com)
    U->>U: User authenticates with device biometrics (Face ID, etc.)
    U-->>M: Browser receives signed assertion for bank.com
    M->>I: Forward the signed assertion for validation
    I-->>M: Authentication Successful

Sementara model sebelumnya berpusat pada ekosistem kartu, pembayaran Account-to-Account (A2A), yang didukung oleh Open Banking, menyajikan paradigma yang kuat dan berbeda. Model ini melewatkan jalur kartu sama sekali, dan integrasinya dengan passkey secara unik langsung dan efektif.

Dalam model ini, pengguna mengautentikasi langsung dengan bank mereka sendiri untuk menyetujui pembayaran. Friksi dari proses ini—sering kali melibatkan pengalihan yang kikuk dan login dengan kata sandi—telah menjadi penghalang utama adopsi A2A. Passkey memecahkan masalah inti ini secara langsung.

Siapa yang memiliki passkey? Bank adalah Relying Party (RP). Passkey adalah yang telah dibuat pengguna untuk perbankan online sehari-hari mereka dengan mybank.com.

Roda Gila Adopsi & Efek Jaringan: Roda gila ini sangat besar dan didorong oleh bank itu sendiri. Saat bank mendorong pengguna mereka untuk beralih dari kata sandi ke passkey untuk masuk ke aplikasi atau situs web perbankan utama mereka, passkey tersebut secara otomatis siap digunakan untuk pembayaran Open Banking apa pun. Pengguna tidak perlu melakukan apa pun. Ini membuat alur pembayaran A2A sesederhana pemindaian biometrik, secara dramatis meningkatkan daya tarik dan daya saingnya terhadap kartu.

Cara kerjanya:

1. Saat checkout, pengguna memilih penyedia A2A (misalnya, Trustly, Plaid) atau bank mereka sendiri.
2. Pengguna diminta untuk mengotorisasi pembayaran dengan bank mereka.
3. Bank, sebagai RP, memicu tantangan autentikasi passkey.
4. Pengguna mengautentikasi dengan Face ID, sidik jari, atau PIN.
5. Bank secara aman mengonfirmasi pembayaran, dan dana ditransfer langsung ke akun merchant.

Model ini tidak cocok dengan empat model lainnya karena tidak melibatkan jaringan kartu, 3DS, SPC, atau Delegated Authentication. Ini adalah alur yang berpusat pada bank di mana penyedia A2A bertindak sebagai lapisan orkestrasi antara merchant dan sistem autentikasi milik bank yang sekarang diperkuat dengan passkey.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant A2A as A2A Provider (e.g. Trustly)
    participant B as User's Bank

    U->>M: Selects "Pay from Bank"
    M->>A2A: Initiate A2A Payment
    A2A->>U: Prompt user to select their bank
    U->>A2A: Selects Bank
    A2A->>B: Request Payment Authorization
    Note over B,U: Bank prompts user for passkey authentication
    U->>B: Authenticate with Passkey for mybank.com
    B-->>A2A: Authentication Successful, Payment Authorized
    A2A-->>M: Confirm Payment
    M-->>U: Confirm Order

Delegated Authentication merupakan penyimpangan yang lebih radikal dari model tradisional. Diaktifkan oleh 3DS versi 2.2 dan didukung oleh program skema kartu tertentu, DA adalah kerangka kerja di mana issuer dapat secara formal mendelegasikan tanggung jawab melakukan SCA kepada pihak ketiga tepercaya, paling umum adalah merchant besar, PSP, atau penyedia dompet digital.

Siapa yang memiliki passkey? Dalam model ini, Merchant atau PSP mereka adalah Relying Party (RP). Passkey dibuat untuk domain merchant (misalnya, amazon.com) dan digunakan untuk login akun.

Untuk memenuhi syarat DA, autentikasi awal yang dilakukan oleh merchant harus sepenuhnya sesuai dengan persyaratan SCA. Menurut pedoman European Banking Authority tentang Strong Customer Authentication, ini bukan hanya login sederhana; itu harus memiliki kekuatan yang sama dengan autentikasi yang akan dilakukan issuer itu sendiri. Passkey, dengan properti kriptografisnya yang kuat, adalah teknologi yang ideal untuk memenuhi standar tinggi ini. Namun, titik ketidakpastian regulasi yang krusial tetap ada mengenai passkey yang disinkronkan. Sementara passkey yang terikat perangkat dengan jelas memenuhi elemen "kepemilikan" SCA, regulator seperti EBA belum mengeluarkan pendapat definitif tentang apakah passkey yang disinkronkan, yang portabel di seluruh akun cloud pengguna, memenuhi persyaratan ketat untuk terhubung secara unik ke satu perangkat. Ini adalah pertimbangan utama untuk setiap strategi DA di Eropa.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Dalam model ini, peristiwa autentikasi bergerak ke hulu dalam perjalanan pelanggan. Alih-alih terjadi di akhir proses checkout sebagai tantangan 3DS, itu terjadi di awal, ketika pelanggan masuk ke akun mereka di situs web atau aplikasi merchant. Jika merchant menggunakan passkey untuk login, mereka dapat meneruskan bukti autentikasi yang berhasil dan sesuai SCA ini ke issuer dalam pertukaran data 3DS. Issuer, setelah menjalin hubungan tepercaya dengan merchant tersebut, kemudian dapat menggunakan informasi ini untuk memberikan pengecualian dan melewati alur tantangannya sendiri sepenuhnya. Ini dapat menghasilkan checkout biometrik satu klik yang benar-benar mulus untuk pengguna yang sudah login.

Roda Gila Adopsi & Efek Jaringan: Roda gila di sini didorong oleh hubungan pelanggan langsung merchant. Saat merchant mengadopsi passkey untuk login guna mengurangi penipuan pengambilalihan akun dan meningkatkan UX, mereka membangun basis pengguna yang mendukung passkey. Ini menciptakan jalur alami untuk memanfaatkan passkey ini untuk DA dalam pembayaran, membuka pengalaman checkout yang superior. Efek jaringan terkuat untuk PSP yang dapat bertindak sebagai RP untuk beberapa merchant, berpotensi memungkinkan satu passkey digunakan di seluruh jaringan toko, menciptakan insentif yang kuat bagi merchant lain untuk bergabung dengan ekosistem PSP tersebut.

Jaringan kartu secara aktif mendorong model ini melalui program khusus. Kerangka kerja Visa's Guide Authentication, misalnya, dirancang untuk digunakan dengan DA untuk memberdayakan merchant melakukan SCA atas nama issuer. Demikian pula, program Identity Check Express Mastercard memungkinkan merchant untuk mengautentikasi konsumen dalam alur merchant sendiri. Model ini mencerminkan visi strategis merchant besar dan PSP:

Namun, kekuatan ini datang dengan tanggung jawab. Di bawah peraturan Eropa, DA diperlakukan sebagai "outsourcing," yang berarti merchant atau PSP menanggung kewajiban atas transaksi penipuan dan harus mematuhi persyaratan kepatuhan dan manajemen risiko yang ketat.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant I as Issuer ACS

    Note over U,M: Step 1: User logs into the merchant's site.
    U->>M: Authenticate with passkey for merchant.com
    M-->>U: Login Successful (SCA has been performed)

    Note over U,I: Step 2: Later, at checkout...
    U->>M: Clicks "Pay"
    M->>I: Authorization Request (including proof of prior SCA)
    I->>I: Verifies the delegated authentication proof
    I-->>M: Approve Transaction (No 3DS challenge needed)

Model ini adalah inisiatif strategis utama yang didorong oleh jaringan kartu (Visa, Mastercard) untuk memiliki dan menstandarisasi pengalaman checkout tamu. Mereka telah membangun layanan passkey berbasis FIDO mereka sendiri, seperti Visa Payment Passkey Service, di atas kerangka kerja Click to Pay.

Siapa yang memiliki passkey? Dalam model Berpusat pada Jaringan, Jaringan Kartu adalah Relying Party. Passkey dibuat untuk domain jaringan (misalnya, visa.com).

Roda Gila Adopsi & Efek Jaringan: Model ini memiliki efek jaringan yang paling kuat. Satu passkey yang dibuat untuk jaringan kartu dapat langsung digunakan kembali di setiap merchant yang mendukung Click to Pay, menciptakan nilai yang sangat besar bagi konsumen dan mendorong roda gila pasar dua sisi klasik.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant N as Card Network (Click to Pay)
    participant I as Issuer

    Note over M,U: Guest Checkout Flow
    U->>M: Clicks "Click to Pay" button
    M->>N: Initiate Click to Pay flow
    Note over N,U: User is prompted to authenticate to the Network.
    N->>U: Browser triggers passkey prompt for network.com
    U->>U: User authenticates with device biometrics
    U-->>N: Signed assertion returned to Network
    N->>N: Validates user, retrieves stored card token
    N->>I: Authorization Request with network token
    I-->>N: Approve/Decline
    N-->>M: Send auth response to merchant

Model ini berpusat di sekitar Penyedia Layanan Pembayaran (PSP) besar yang mengoperasikan dompet konsumen mereka sendiri, seperti PayPal atau Stripe (dengan Link). Dalam pendekatan ini, PSP adalah Relying Party, dan mereka memiliki seluruh autentikasi dan alur pembayaran.

Siapa yang memiliki passkey? Dalam model Berpusat pada PSP, PSP adalah Relying Party (RP). Passkey dibuat untuk domain PSP (misalnya, paypal.com) dan mengamankan akun pengguna dalam ekosistem PSP tersebut.

Roda Gila Adopsi & Efek Jaringan: Model ini juga memiliki efek jaringan yang sangat kuat. Sebuah passkey yang dibuat untuk dompet PSP besar dapat digunakan kembali di setiap merchant yang menerima PSP tersebut, menciptakan insentif yang kuat bagi pengguna dan merchant untuk bergabung dengan ekosistem PSP.

sequenceDiagram
    participant U as User
    participant M as Merchant Website
    participant P as PSP / Wallet (e.g. PayPal)

    U->>M: Selects "Pay with PSP" at Checkout
    M->>U: Redirects or shows popup for PSP login
    Note over P,U: User authenticates directly to the PSP
    U->>P: Authenticate with Passkey for psp.com
    P-->>U: Authentication Successful
    P-->>M: Send Payment Guarantee / OK to Merchant
    M-->>U: Confirm Order

Pertanyaan umum dan kritis adalah apakah passkey yang dibuat untuk satu model dapat digunakan kembali di model lain. Misalnya, dapatkah passkey yang dibuat pengguna untuk bank mereka untuk digunakan dengan SPC digunakan untuk masuk ke situs web merchant dalam alur DA? Jawabannya tidak, dan ini menyoroti peran sentral Relying Party (RP).

Passkey pada dasarnya adalah kredensial kriptografis yang menghubungkan pengguna ke RP tertentu. Kunci publik terdaftar di server RP, dan kunci privat tetap berada di perangkat pengguna. Autentikasi adalah tindakan membuktikan kepemilikan kunci privat itu kepada RP spesifik itu.

• Dalam model Berpusat pada Issuer (SPC), RP adalah Issuer (misalnya, chase.com). Passkey terdaftar di bank.
• Dalam model Berpusat pada Merchant (DA), RP adalah Merchant atau PSP mereka (misalnya, amazon.com atau stripe.com). Passkey terdaftar di merchant untuk login.
• Dalam model Berpusat pada Jaringan, RP adalah Jaringan Kartu (misalnya, visa.com). Passkey terdaftar di jaringan untuk Click to Pay.
• Dalam model Berpusat pada PSP, RP adalah Penyedia Layanan Pembayaran (misalnya, paypal.com). Passkey terdaftar di dompet atau layanan PSP.

Karena passkey terikat secara kriptografis ke domain RP, passkey yang terdaftar di chase.com tidak dapat divalidasi oleh amazon.com. Mereka adalah identitas digital yang berbeda dari sudut pandang teknis. Pengguna perlu membuat passkey terpisah untuk setiap Relying Party yang mereka ajak berinteraksi.

"Dapat digunakan kembali" dan "portabilitas" yang membuat passkey kuat berasal dari dua area:

1. Sinkronisasi Passkey: Layanan seperti iCloud Keychain dan Google Password Manager menyinkronkan passkey di seluruh perangkat pengguna. Jadi, passkey yang dibuat untuk chase.com di ponsel secara otomatis tersedia di laptop pengguna, tetapi masih hanya untuk chase.com.
2. Federasi: Ini adalah model yang digunakan oleh Click to Pay. Merchant dapat mempercayai Jaringan (misalnya, Visa) untuk mengautentikasi pengguna. Pengguna mengautentikasi ke Visa (RP), dan Visa kemudian memberi sinyal kepada merchant bahwa pengguna tersebut sah. Ini analog dengan "Masuk dengan Google," di mana situs web mempercayai Google untuk menangani login. Passkey tidak digunakan kembali oleh merchant; peristiwa autentikasi yang digunakan.

Oleh karena itu, keempat model tersebut bukan hanya jalur teknis yang berbeda tetapi juga strategi identitas yang bersaing. Masing-masing mengusulkan entitas yang berbeda untuk menjadi Relying Party utama untuk autentikasi pembayaran, dan pengguna kemungkinan akan memiliki passkey untuk issuer mereka, merchant favorit, dompet PSP, dan jaringan kartu.

Sementara model-model ini menawarkan cara baru yang kuat untuk mengautentikasi, mereka juga memperkenalkan tantangan operasional kritis yang sering diabaikan: pemulihan passkey dan pemulihan akun. Passkey yang disinkronkan, dikelola oleh platform seperti iCloud Keychain dan Google Password Manager, mengurangi masalah satu perangkat yang hilang. Namun, mereka tidak menyelesaikan masalah pengguna yang kehilangan semua perangkat mereka atau beralih antar ekosistem (misalnya, dari iOS ke Android). Dalam skenario ini, proses yang aman dan ramah pengguna bagi pengguna untuk membuktikan identitas mereka melalui cara lain dan mendaftarkan passkey di perangkat baru adalah prasyarat yang tidak dapat ditawar untuk setiap penerapan skala besar. Seperti yang dicatat oleh dokumentasi Mastercard sendiri, pengguna yang beralih perangkat perlu membuat passkey baru, sebuah proses yang mungkin memerlukan validasi identitas oleh bank mereka.(Mastercard® payment passkeys – Frequently asked questions) Ini menyoroti bahwa solusi passkey yang lengkap harus mencakup tidak hanya seremoni autentikasi itu sendiri tetapi juga seluruh siklus hidup manajemen passkey, termasuk alur pemulihan yang kuat.

Keempat model arsitektur - Berpusat pada Issuer (SPC), Berpusat pada Merchant (DA), Berpusat pada Jaringan (Click to Pay), dan Berpusat pada PSP - diterjemahkan menjadi peluang integrasi yang berbeda untuk pemain yang berbeda di ekosistem pembayaran. Setiap pendekatan menyajikan serangkaian trade-off yang unik antara pengalaman pengguna, kompleksitas implementasi, kewajiban, dan kontrol. Bagian ini memberikan analisis pragmatis tentang titik-titik integrasi ini untuk memandu pengambilan keputusan strategis.

• Peluang: Peluang utama bagi issuer dan penyedia Access Control Server (ACS) yang melayani mereka adalah untuk meningkatkan "alur tantangan" 3DS dengan mengganti metode lama seperti OTP dan kata sandi dengan Secure Payment Confirmation (SPC).
• Prospek Target: Integrasi ini ditujukan untuk penyedia ACS (misalnya, Netcetera, CA Technologies/Arcot), vendor teknologi yang melayani ruang issuer, dan bank penerbit besar yang mengoperasikan platform ACS internal mereka sendiri.
• Peran Penyedia: Penyedia passkey-as-a-service seperti Corbado akan menawarkan server FIDO atau modul perangkat lunak yang dapat disematkan yang sepenuhnya sesuai dengan spesifikasi SPC. Modul ini akan diintegrasikan ke dalam platform ACS inti, memungkinkan ACS untuk memicu alur SPC ketika mesin risikonya menentukan tantangan diperlukan.
• Kelebihan:
  • Keamanan Tinggi & Kepatuhan Regulasi: Penggunaan dynamic linking kriptografis oleh SPC memberikan bukti persetujuan pengguna yang kuat dan dapat diaudit untuk detail transaksi spesifik, secara langsung menjawab persyaratan utama peraturan seperti PSD2 SCA.
  • Pengalaman Pengguna yang Lebih Baik daripada OTP: Mengautentikasi dengan pemindaian biometrik cepat secara signifikan lebih cepat dan lebih sedikit rawan kesalahan daripada memasukkan kode secara manual yang diterima melalui SMS, yang dapat menyebabkan peningkatan yang terukur dalam tingkat konversi tantangan.
  • Model Kewajiban yang Jelas: Model ini cocok dengan mulus dalam kerangka kerja 3DS yang ada. Ketika transaksi berhasil diautentikasi melalui SPC, kewajiban untuk tagihan balik penipuan beralih dari merchant ke issuer, sama seperti dengan metode tantangan 3DS lainnya.
• Kekurangan:
  • Masih Merupakan Alur "Tantangan": Meskipun SPC meningkatkan pengalaman tantangan, itu tidak menghilangkannya. Pengguna masih terganggu saat checkout dengan langkah autentikasi. Pengalaman ini, meskipun lebih baik, secara inheren lebih berfriksi daripada alur "lancar" yang sepenuhnya pasif atau alur Delegated Authentication yang berhasil.
  • Tergantung pada Logika Risiko Issuer: Adopsi dan frekuensi penggunaan SPC sepenuhnya bergantung pada ACS issuer dan mesin RBA-nya. ACS masih memutuskan jika dan kapan harus memicu tantangan.
  • Keterlambatan Kesiapan Ekosistem: Penggunaan luas memerlukan ekosistem untuk mengadopsi EMV 3DS versi 2.3 atau lebih tinggi, dan agar browser pengguna mendukung SPC Web API. Seperti yang dibahas, kurangnya dukungan universal, terutama pada platform seluler seperti iOS, adalah penghambat yang signifikan.

• Peluang: Untuk mengimplementasikan Delegated Authentication (DA), memungkinkan merchant atau PSP mereka untuk melakukan SCA pada saat login pelanggan, sehingga menciptakan pengalaman checkout yang sepenuhnya mulus untuk pengguna yang kembali dan terautentikasi.
• Prospek Target: Ini paling relevan untuk merchant e-commerce besar, PSP tumpukan penuh (seperti Stripe atau Adyen), dan penyedia dompet digital yang memiliki hubungan langsung dengan konsumen dan telah berinvestasi dalam sistem akun dan login yang aman.
• Peran Penyedia: Penyedia passkey akan menyediakan solusi autentikasi passkey inti untuk alur login merchant. Yang terpenting, solusi tersebut juga harus menyediakan output data dan bukti kriptografis yang diperlukan yang dapat dikemas ke dalam permintaan autentikasi 3DS untuk memberi sinyal kepada issuer bahwa SCA yang sesuai telah terjadi.
• Kelebihan:
  • Pengalaman Pengguna Optimal: Model ini menawarkan alur pembayaran paling lancar yang mungkin untuk pengguna terautentikasi. Ini memindahkan langkah autentikasi ke bagian yang alami dan akrab dari perjalanan pengguna (login akun) dan dapat menghilangkan tantangan 3DS sepenuhnya, memungkinkan checkout satu klik yang sesungguhnya.
  • Potensi Konversi Tertinggi: Dengan menghilangkan titik friksi terakhir di checkout, DA berpotensi memberikan peningkatan paling signifikan dalam tingkat konversi pembayaran. Sebuah pilot Stripe dengan pemegang kartu Wise melaporkan peningkatan konversi 7% untuk transaksi yang menggunakan solusi DA mereka.
  • Memperkuat Hubungan Merchant-Pelanggan: Seluruh pengalaman autentikasi dan checkout tetap berada dalam lingkungan bermerek merchant, memperkuat hubungan langsung mereka dengan pelanggan.
• Kekurangan:
  • Komersial dan Kewajiban yang Kompleks: DA bukanlah saklar teknis yang sederhana. Ini memerlukan perjanjian eksplisit, seringkali bilateral, antara issuer dan merchant/PSP yang mereka pilih untuk dipercaya. Selanjutnya, pihak yang melakukan autentikasi yang didelegasikan menanggung kewajiban atas penipuan, dan pengaturan tersebut tunduk pada pengawasan peraturan yang ketat sebagai bentuk "outsourcing," yang membawa beban kepatuhan yang signifikan.
  • Tergantung pada Kepercayaan Issuer: Seluruh model bergantung pada kesediaan issuer untuk mempercayai proses autentikasi merchant. Kepercayaan ini kemungkinan akan diberikan hanya kepada mitra terbesar, paling aman, dan paling strategis pada awalnya.
  • Adopsi Terfragmentasi: Tidak seperti standar universal, DA akan diadopsi berdasarkan per-issuer, per-merchant, yang mengarah ke lanskap terfragmentasi di mana pengalaman tidak konsisten untuk semua pemegang kartu di semua merchant.

• Peluang: Untuk mengaktifkan pengalaman passkey bermerek jaringan untuk volume besar transaksi checkout tamu.
• Prospek Target: Payment Gateway dan PSP yang ingin menawarkan solusi checkout tamu modern dan terstandarisasi kepada basis klien merchant mereka.
• Peran Penyedia: Penyedia dapat bertindak sebagai mitra integrasi penting. Mengingat bahwa Visa dan Mastercard telah mengembangkan layanan passkey terpisah dan berpemilik, penyedia passkey dapat menawarkan SDK terpadu atau "lapisan orkestrasi" yang mengabstraksi kompleksitas integrasi dengan API berbeda setiap jaringan, menyediakan satu titik integrasi yang disederhanakan untuk PSP.
• Kelebihan:
  • Solusi Checkout Tamu Terstandarisasi: Click to Pay dengan passkey memecahkan masalah industri utama: checkout tamu yang berfriksi tinggi dan tingkat pengabaian tinggi. Ini menawarkan pengalaman yang konsisten, dapat dikenali, dan tepercaya.
• Adopsi yang Didorong Jaringan: Visa dan Mastercard mengerahkan seluruh kekuatan mereka di balik inisiatif ini, yang akan mendorong adopsi cepat dari issuer, merchant, dan konsumen. PSP akan menghadapi tekanan kompetitif untuk mendukungnya.
• Beban Kewajiban dan Keamanan yang Disederhanakan: Jaringan kartu, yang bertindak sebagai Relying Party terfederasi, memikul beban utama membangun dan mengamankan infrastruktur autentikasi FIDO, menyederhanakan postur keamanan dan kewajiban untuk merchant.
• Kekurangan:
  • Kehilangan Kontrol dan Branding: Kelemahan utamanya adalah merchant dan PSP mereka menyerahkan kontrol atas pengalaman pengguna checkout ke jaringan kartu. Checkout menjadi "checkout Visa" atau "checkout Mastercard," yang menampilkan branding dan antarmuka pengguna mereka.
  • Potensi Disintermediasi: Dengan menjadi penyedia identitas pusat untuk e-commerce, jaringan dapat melemahkan data langsung dan hubungan branding antara merchant dan pelanggan dari waktu ke waktu.
  • Implementasi "Kotak Hitam": Cara kerja internal server FIDO jaringan, mesin risiko, dan logika autentikasi tidak jelas bagi merchant dan PSP. Mereka berintegrasi dengan layanan yang aturan dan pengalaman penggunanya tidak mereka kontrol.

Transisi ke autentikasi pembayaran berbasis passkey bukanlah latihan teoretis; itu secara aktif didorong oleh para pemain terbesar di industri. Strategi, program percontohan, dan pernyataan publik mereka memberikan pandangan yang jelas tentang dinamika kompetitif dan trajektori adopsi yang mungkin terjadi.

Become part of our Passkeys Community for updates & support.

Join

• PayPal: Sebagai anggota pendiri FIDO Alliance dan penyedia pembayaran asli digital, PayPal telah menjadi salah satu pengadopsi awal passkey yang paling agresif. Mereka memulai peluncuran global bertahap pada akhir 2022, dimulai di AS dan berekspansi ke Eropa dan wilayah lain. Implementasi mereka adalah studi kasus dalam praktik terbaik, memanfaatkan fitur seperti Conditional UI untuk menciptakan pengalaman login sekali ketuk yang secara otomatis meminta passkey saat pengguna berinteraksi dengan bidang login. PayPal telah melaporkan keberhasilan awal yang signifikan, termasuk peningkatan tingkat keberhasilan login dan pengurangan substansial dalam penipuan pengambilalihan akun (ATO). Strategi mereka juga mencakup advokasi aktif untuk evolusi peraturan di Eropa, mendorong pendekatan berbasis hasil untuk SCA yang mengakui keamanan inheren dari passkey yang disinkronkan.

• Visa: Strategi Visa berpusat pada Visa Payment Passkey Service-nya, sebuah platform komprehensif yang dibangun di atas infrastruktur server FIDO-nya sendiri. Layanan ini dirancang sebagai model terfederasi, di mana Visa menangani kompleksitas autentikasi atas nama mitra penerbitnya. Kendaraan utama untuk layanan ini adalah Click to Pay, memposisikan Visa untuk menguasai pengalaman checkout tamu. Pesan Visa melampaui pembayaran sederhana, membingkai layanan passkey mereka sebagai elemen dasar dari solusi identitas digital yang lebih luas yang dapat digunakan di seluruh ekosistem perdagangan. Mereka secara aktif menguji coba teknologi tersebut, termasuk SPC, dan melaporkan bahwa autentikasi biometrik dapat mengurangi tingkat penipuan sebesar 50% dibandingkan dengan OTP SMS.

• Mastercard: Mastercard telah meniru fokus strategis Visa pada layanan tingkat jaringan, meluncurkan Payment Passkey Service-nya sendiri yang dibangun di atas Token Authentication Service (TAS) yang sudah ada. Strategi go-to-market mereka telah ditandai oleh serangkaian uji coba global berprofil tinggi. Pada Agustus 2024, mereka mengumumkan uji coba besar di India, bermitra dengan agregator pembayaran terbesar di negara itu (Juspay, Razorpay, PayU), merchant online besar (bigbasket), dan bank terkemuka (Axis Bank). Ini diikuti oleh peluncuran di pasar utama lainnya, termasuk Amerika Latin dengan mitra Sympla dan Yuno dan UEA dengan Tap Payments. Pendekatan ini mengungkapkan strategi yang jelas: bermitra dengan agregator ekosistem (PSP, gateway) untuk mencapai skala dengan cepat. Mastercard telah membuat komitmen publik yang berani untuk menghapuskan entri kartu manual di Eropa pada tahun 2030, beralih sepenuhnya ke transaksi yang ditokenisasi dan diautentikasi dengan passkey.

Strategi para pelopor ini mengungkapkan dinamika kritis. Pengalaman checkout tamu, yang secara historis merupakan area yang terfragmentasi dan berfriksi tinggi, telah menjadi ujung tombak strategis bagi jaringan kartu. Dengan menciptakan solusi yang superior dan didukung passkey untuk pengguna tamu melalui Click to Pay, jaringan dapat membangun hubungan identitas langsung dengan konsumen. Setelah konsumen membuat passkey tingkat jaringan selama satu checkout tamu, identitas itu menjadi portabel ke setiap merchant lain yang mendukung Click to Pay. Ini memungkinkan jaringan untuk secara efektif "memperoleh" identitas pengguna dan menawarkan pengalaman yang mulus di seluruh web, sebuah langkah kuat untuk merebut peran sentral sebagai penyedia identitas untuk perdagangan digital.

Upaya bersama dari para pemain utama ini, dikombinasikan dengan tren teknologi dan peraturan yang lebih luas, menunjuk ke arah pergeseran yang dipercepat dan tak terhindarkan dalam autentikasi pembayaran.

• Kematian OTP yang Tak Terhindarkan: Dorongan industri yang luas untuk passkey menandakan awal dari akhir untuk kode sandi sekali pakai berbasis SMS sebagai metode autentikasi utama. OTP semakin dipandang sebagai kewajiban karena pengalaman penggunanya yang berfriksi tinggi dan kerentanannya yang meningkat terhadap serangan seperti SIM swapping dan kampanye phishing yang canggih. Seiring passkey menjadi lebih luas, ketergantungan pada OTP akan diturunkan menjadi mekanisme cadangan atau pemulihan, bukan metode tantangan utama.

• Dukungan Regulasi: Sementara peraturan saat ini seperti PSD2 menciptakan mandat awal untuk SCA, definisi berbasis kategori yang kaku telah menciptakan beberapa ketidakpastian seputar teknologi baru seperti passkey yang disinkronkan. Pembaruan peraturan yang akan datang, seperti PSD3 di Eropa, diharapkan akan mengadopsi pendekatan yang lebih netral teknologi dan berfokus pada hasil. Ini kemungkinan akan mendukung metode autentikasi yang terbukti tahan phishing, memberikan jalur peraturan yang lebih jelas untuk adopsi passkey secara luas sebagai metode SCA yang sesuai.

• Kebangkitan Identitas Pembayaran Terfederasi: Langkah strategis oleh Visa dan Mastercard lebih dari sekadar mengamankan pembayaran; mereka tentang membangun paradigma baru untuk identitas digital. Dengan membangun layanan passkey terfederasi, mereka memposisikan diri mereka sebagai penyedia identitas pusat yang tepercaya untuk seluruh ekosistem perdagangan digital. Ini dapat dilihat sebagai respons strategis langsung terhadap platform identitas kuat yang dikendalikan oleh Big Tech (misalnya, Apple ID, Akun Google). Masa depan pembayaran online terkait erat dengan pertempuran yang lebih besar ini tentang siapa yang akan memiliki dan mengelola identitas konsumen di web.

Sementara transaksi pembayaran inti adalah fokus utama, teknologi passkey siap untuk menghilangkan friksi dan meningkatkan keamanan di berbagai layanan keuangan yang berdekatan. Banyak proses yang masih mengandalkan kata sandi atau OTP yang kikuk adalah kandidat ideal untuk pembaruan passkey.

• Penyediaan Dompet Digital: Proses menambahkan kartu kredit atau debit ke dompet digital seperti Apple Pay atau Google Pay seringkali memerlukan langkah verifikasi, seperti OTP SMS yang dikirim oleh issuer. Ini adalah titik friksi yang dapat digantikan oleh alur passkey.
• Open Banking & Penautan Akun: Fondasi dari perbankan terbuka adalah memungkinkan aplikasi pihak ketiga (seperti aplikasi penganggaran atau layanan fintech lainnya) untuk mengakses data rekening bank pengguna. Ini mengharuskan pengguna untuk mengautentikasi dengan bank mereka, sebuah proses yang seringkali merepotkan. Passkey menawarkan cara yang jauh lebih lancar dan lebih aman untuk memberikan persetujuan ini, menggantikan pengalihan yang canggung dan entri kata sandi manual dengan autentikasi biometrik sederhana.
• Mengamankan Token Card-on-File (CoF): Selain hanya mengamankan login untuk akun dengan kartu yang disimpan, passkey dapat digunakan untuk mengamankan tindakan awal menyimpan kartu. Sebuah tantangan pada saat pengguna menambahkan kartu mereka memberikan bukti kuat bahwa pemegang kartu yang sah hadir, mengurangi penipuan dari nomor kartu kredit curian yang digunakan untuk membuat profil CoF untuk penyalahgunaan di kemudian hari.
• BNPL dan Pinjaman Instan: Layanan Beli Sekarang, Bayar Nanti dan bentuk lain dari kredit instan melibatkan orientasi awal dan penilaian risiko per transaksi. Passkey sudah digunakan oleh pelopor seperti Klarna untuk menggantikan kata sandi untuk login. Mereka juga dapat digunakan sebagai metode autentikasi step-up untuk pembelian bernilai tinggi atau ketika pengguna mengajukan jalur kredit baru, memberikan sinyal niat pengguna yang lebih kuat dan berfriksi lebih rendah daripada metode tradisional.

Munculnya stablecoin (seperti USDC atau EURC) menyajikan jalur pembayaran baru berbasis blockchain. Namun, penghalang utama untuk adopsi arus utama adalah pengalaman pengguna yang buruk dan keamanan dompet kripto. Secara tradisional, dompet ini diamankan oleh "seed phrase" (daftar 12-24 kata) yang harus ditulis dan dilindungi oleh pengguna. Ini sangat -tidak ramah pengguna dan membuat pemulihan akun menjadi mimpi buruk.

Passkey akan sepenuhnya mengubah pengalaman ini. Industri ini bergerak menuju model di mana kunci privat yang mengontrol aset on-chain diamankan oleh passkey perangkat.

• Menghilangkan Seed Phrase: Alih-alih menuliskan seed phrase, dompet pengguna dibuat dan diamankan oleh keamanan bawaan perangkat mereka. Untuk mengotorisasi transaksi, seperti mengirim stablecoin ke merchant, pengguna cukup mengautentikasi dengan Face ID atau pemindaian sidik jari. Ini membuat pembayaran kripto terasa semulus dan seaman menggunakan Apple Pay.
• Mengaktifkan Pemulihan Akun: Dengan menggunakan arsitektur dompet seperti "smart accounts" (atau "account abstraction"), mekanisme pemulihan dapat dibangun. Pengguna dapat menunjuk teman, keluarga, atau institusi tepercaya sebagai "penjaga" yang dapat membantu mereka memulihkan akun mereka jika mereka kehilangan semua perangkat mereka, sebuah peningkatan besar dari sifat semua-atau-tidak sama sekali dari seed phrase.

Evolusi ini dapat secara signifikan mengurangi friksi dan risiko yang terkait dengan penggunaan stablecoin untuk pembayaran, berpotensi menjadikannya alternatif yang lebih layak dan mainstream daripada jalur pembayaran tradisional.

Analisis lanskap pembayaran dan model integrasi passkey yang muncul mengungkapkan beberapa peluang yang berbeda dan dapat ditindaklanjuti. Untuk perusahaan autentikasi passkey-first seperti Corbado, tujuannya adalah untuk memberdayakan setiap pemain di ekosistem untuk mencapai tujuan strategis mereka dengan menyediakan teknologi dasar yang dibutuhkan untuk menavigasi transisi ini.

• Tujuan: Untuk memodernisasi alur tantangan 3DS, menggantikan OTP berfriksi tinggi untuk meningkatkan tingkat konversi, meningkatkan keamanan, dan memenuhi kepatuhan PSD2/PSD3 secara langsung.
• Bagaimana Corbado Membantu: Kami menyediakan modul autentikasi passkey yang dapat disematkan yang dirancang untuk integrasi langsung ke platform Access Control Server (ACS) yang ada. Kami membantu vendor ACS menawarkan pengalaman tantangan terbaik di kelasnya, berfriksi rendah yang menguntungkan seluruh jaringan bank dan merchant mereka.

• Tujuan: Untuk memiliki perjalanan pelanggan end-to-end dan memberikan pengalaman checkout terbaik melalui Delegated Authentication (DA), menghilangkan tantangan 3DS untuk pengguna yang sudah login.
• Bagaimana Corbado Membantu: Corbado memberikan solusi pemberdayaan DA yang komprehensif. Ini termasuk tidak hanya sistem login passkey terbaik di kelasnya tetapi juga alat dan API untuk menghasilkan bukti kriptografis yang diperlukan oleh issuer untuk memberikan pengecualian DA. Kami bertindak sebagai mitra teknologi, memungkinkan merchant dan PSP untuk memaksimalkan konversi dan memperkuat merek mereka.

• Tujuan: Untuk dengan mudah menawarkan fitur terbaru yang diamanatkan jaringan seperti Click to Pay dan menjaga platform tetap kompetitif tanpa upaya pengembangan yang mahal dan duplikatif.
• Bagaimana Corbado Membantu: Corbado menawarkan lapisan "Orkestrasi Passkey". Kami membantu dengan integrasi layanan baik Visa maupun Mastercard dan juga menyediakan cara bagaimana merchant dapat secara bersamaan menawarkan solusi passkey mereka sendiri untuk menawarkan checkout tamu modern.

• Tujuan: Untuk mengamankan seluruh ekosistem dompet, menciptakan pengalaman login dan pembayaran yang mulus dan aman yang portabel di seluruh jaringan merchant PSP.
• Bagaimana Corbado Membantu: Kami menyediakan infrastruktur passkey inti yang memungkinkan PSP besar dan penyedia dompet menjadi Relying Party pusat bagi pengguna mereka. Dengan mengintegrasikan solusi kami, mereka dapat mengganti kata sandi untuk login dompet mereka (misalnya, untuk PayPal, Stripe Link, atau Klarna). Ini tidak hanya mengamankan akun dari pengambilalihan tetapi juga menyederhanakan otorisasi pembayaran menjadi langkah biometrik satu klik, menciptakan pengalaman autentikasi bermerek yang kuat yang mengunci pengguna dan menarik merchant.

Analisis ini menyoroti faktor keberhasilan kritis untuk setiap strategi berbasis passkey: adopsi pengguna. Solusi yang dapat secara nyata meningkatkan pembuatan passkey dan penggunaan dari baseline ~10% menjadi lebih dari 50% menjawab tantangan utama yang dihadapi peluncuran model autentikasi baru ini. Berdasarkan ekosistem dan tujuan strategis para pemainnya, organisasi dan sektor berikut adalah kandidat utama untuk solusi semacam itu.

• Masalah Inti: Friksi tinggi dalam alur tantangan 3DS menyebabkan keranjang belanja ditinggalkan dan hilangnya pendapatan bagi merchant, membuat kartu issuer kurang kompetitif.
• Bagaimana Adopsi Membantu: Adopsi passkey yang lebih tinggi secara langsung diterjemahkan menjadi lebih banyak tantangan yang berhasil dan berfriksi rendah. Ini meningkatkan tingkat konversi, meningkatkan keamanan, dan membuat kredensial pembayaran issuer lebih berharga bagi merchant dan konsumen.
• Kandidat Utama: Bank penerbit besar (Bank of America, Chase, Barclays), dan penyedia ACS yang memasok teknologi 3DS mereka (Netcetera, CA Technologies).

• Masalah Inti: Keinginan untuk memiliki perjalanan pelanggan dan menghilangkan friksi checkout seringkali terhalang oleh kebutuhan akan tantangan 3DS.
• Bagaimana Adopsi Membantu: Seluruh model Delegated Authentication (DA) didasarkan pada kemampuan merchant untuk mengautentikasi pengguna dengan kuat saat login. Adopsi passkey yang tinggi bukan hanya peningkatan tetapi prasyarat untuk strategi DA yang sukses. Mengaktifkan DA untuk sebagian besar pengguna adalah pembeda kompetitif yang kuat.
• Kandidat Utama: Pemimpin e-commerce global (Amazon, Walmart), layanan berlangganan digital (Netflix, Spotify), dan PSP tumpukan penuh yang melayani mereka (Stripe, Adyen, Checkout.com).

• Masalah Inti: Keberhasilan layanan identitas tingkat jaringan yang strategis seperti Click to Pay secara langsung bergantung pada pendaftaran konsumen yang luas.
• Bagaimana Adopsi Membantu: Pengalaman pembuatan passkey yang mudah dan menarik sangat penting untuk pertumbuhan jaringan identitas terfederasi ini. Jaringan dapat menyematkan solusi yang berfokus pada adopsi ke dalam SDK yang mereka sediakan untuk merchant dan PSP, mempercepat peluncuran dan penyerapan layanan passkey berpemilik mereka.
• Kandidat Utama: Visa (untuk Visa Payment Passkey Service-nya) dan Mastercard (untuk Token Authentication Service-nya).

• Masalah Inti: Nilai dompet (misalnya, PayPal, Stripe Link, Klarna) secara langsung terkait dengan jumlah pengguna aktif dan terlibat. Friksi saat login atau checkout melemahkan ekosistem.
• Bagaimana Adopsi Membantu: Mendorong adopsi massal passkey untuk domain dompet sendiri (paypal.com, dll.) adalah tujuan strategis inti. Ini mengurangi penipuan, meningkatkan pengalaman pengguna, dan memperkuat efek jaringan, membuat dompet lebih menarik bagi konsumen dan merchant.
• Kandidat Utama: PSP global dengan penawaran dompet (PayPal, Stripe Link, Klarna), dan pemain regional besar (Mercado Pago, Block).

• Masalah Inti: Skema pembayaran nasional menghadapi tekanan untuk memodernisasi infrastruktur mereka dan menyediakan solusi identitas digital agar tetap kompetitif terhadap perusahaan teknologi global.
• Bagaimana Adopsi Membantu: Jaringan ini harus memastikan layanan pembayaran dan identitas digital baru mereka digunakan secara luas. Untuk pemain seperti Australian Payments Plus (AP+), mendorong adopsi untuk layanan seperti PayTo (untuk pembayaran real-time) dan ConnectID (untuk identitas digital) adalah tujuan strategis inti. Solusi yang meningkatkan pendaftaran passkey adalah pendorong langsung dari strategi ini.
• Kandidat Utama: Australian Payments Plus (AP+) dan badan infrastruktur pembayaran nasional lainnya.

Perusahaan teknologi besar mengoperasikan dompet digital canggih yang memainkan peran unik dan kuat dalam ekosistem pembayaran. Mereka berada di persimpangan antara perangkat pengguna, identitas platform mereka, dan jalur pembayaran tradisional, memberi mereka posisi dan strategi yang berbeda mengenai adopsi passkey.

Apple Pay dan Google Pay paling baik dipahami sebagai lapisan teknologi dan autentikasi yang berada di atas infrastruktur kartu pembayaran yang ada. Mereka tidak menerbitkan kartu atau memproses transaksi sendiri tetapi sebaliknya menyimpan dan mengirimkan versi token dari kartu pembayaran pengguna yang ada dengan aman.

• Posisi dalam Ekosistem: Mereka bertindak sebagai "wadah" yang aman untuk kartu pengguna. Ketika pengguna membayar online, alih-alih memasukkan detail kartu mereka, mereka memilih Apple Pay atau Google Pay. Dompet kemudian meneruskan token yang aman dan sekali pakai ke payment gateway merchant. Transaksi masih mengalir melalui acquirer, jaringan, dan issuer seperti biasa.
• Bagaimana Mereka Memanfaatkan Passkey: Mereka mengautentikasi pengguna dengan pemindaian wajah atau sidik jari ke dompet, mengotorisasinya untuk melepaskan token pembayaran. Ini adalah peristiwa autentikasi yang kuat dan berfriksi rendah, tetapi berbeda dari autentikasi 3DS/SCA yang menjadi tanggung jawab issuer kartu. Issuer secara teknis masih dapat memicu tantangan 3DS pada transaksi yang dimulai melalui Apple Pay, meskipun autentikasi tingkat perangkat yang kuat membuat ini lebih kecil kemungkinannya.
• Peluang & Bagaimana Mereka Mendapat Manfaat dari Adopsi:
  • Menyederhanakan Penyediaan Dompet: Proses menambahkan kartu ke dompet seringkali memerlukan OTP dari issuer. Ini adalah titik friksi utama. Apple dan Google dapat bekerja sama dengan issuer untuk menggantinya dengan alur passkey dalam aplikasi, menggunakan passkey untuk memverifikasi pengguna secara instan. Solusi adopsi untuk mitra issuer mereka akan membuat dompet mereka lebih mudah diisi dan digunakan.
  • Menjadi Otoritas yang Didelegasikan: Tujuan strategis utama mereka adalah memanfaatkan autentikasi platform mereka yang kuat untuk menjadi authenticator definitif dan tepercaya untuk pembayaran. Jika issuer secara formal mengakui autentikasi Apple Pay atau Google Pay memenuhi persyaratan SCA, mereka bisa menjadi Otoritas yang Didelegasikan, menghilangkan tantangan 3DS sepenuhnya. Adopsi tinggi dari passkey platform mereka sendiri sangat penting untuk menjadikan ini proposisi yang menarik bagi issuer.

Amazon Pay dan Meta Pay beroperasi lebih seperti merchant tradisional dengan dompet Card-on-File (CoF) yang sangat besar yang dapat digunakan di situs pihak ketiga dan di dalam ekosistem mereka sendiri (misalnya, untuk perdagangan sosial di Instagram).

• Posisi dalam Ekosistem: Mereka adalah contoh klasik dari model Berpusat pada Merchant. Pengguna menyimpan kartu pembayaran mereka langsung di akun Amazon atau Meta mereka. Ketika mereka menggunakan Amazon Pay atau Meta Pay untuk checkout, mereka mengautentikasi ke akun utama mereka, dan platform itu memproses pembayaran atas nama mereka.
• Bagaimana Mereka Memanfaatkan Passkey: Penggunaan utama passkey mereka adalah untuk mengamankan login akun utama pengguna (misalnya, passkey untuk Amazon.com). Dengan memindahkan basis pengguna mereka yang besar dari kata sandi ke passkey untuk login akun, mereka secara dramatis mengurangi risiko penipuan pengambilalihan akun dan melindungi kredensial pembayaran yang disimpan yang berharga.
• Peluang & Bagaimana Mereka Mendapat Manfaat dari Adopsi: Manfaat mereka langsung dan segera. Solusi yang mendorong adopsi passkey untuk akun pengguna inti mereka:
  1. Mengurangi Penipuan: Secara besar-besaran mengurangi permukaan serangan untuk pengambilalihan akun, sumber utama kerugian finansial dan ketidakpuasan pelanggan.
  2. Mengurangi Friksi: Menciptakan pengalaman login dan checkout yang mulus dan aman, yang terbukti meningkatkan tingkat konversi. Bagi para pemain ini, solusi yang meningkatkan adopsi passkey adalah investasi langsung dalam keamanan dan kinerja bisnis perdagangan inti mereka. Oleh karena itu, mereka adalah kandidat utama untuk solusi semacam itu.

Industri pembayaran berada di fajar era baru autentikasi. Kompromi yang sudah lama ada antara keamanan dan kenyamanan akhirnya diselesaikan oleh pematangan dan adopsi teknologi passkey. Analisis yang disajikan dalam laporan ini menunjukkan bahwa ini bukan pergeseran monolitik tetapi transisi kompleks dengan beberapa visi yang bersaing untuk masa depan. Issuer berusaha untuk meningkatkan kerangka kerja 3DS yang ada dengan SPC; merchant besar dan PSP bertujuan untuk menguasai pengalaman melalui Delegated Authentication atau dengan membangun ekosistem dompet mereka sendiri; dan jaringan kartu menciptakan lapisan identitas terfederasi baru dengan Click to Pay. Setiap model bersaing untuk menjadi standar baru untuk kepercayaan pengguna dan kenyamanan.