Toàn cảnh Passkey thanh toán: 4 Mô hình tích hợp cốt lõi

60-page Enterprise Passkey Whitepaper:
Learn how leaders get +80% passkey adoption. Trusted by Rakuten, Klarna & Oracle

Get free Whitepaper

Bối cảnh thanh toán toàn cầu đang ở một bước ngoặt quan trọng. Trong nhiều thập kỷ, ngành công nghiệp này đã phải vật lộn với sự cân bằng vốn có giữa bảo mật và sự tiện lợi cho người dùng, một thách thức được cảm nhận rõ rệt nhất trong môi trường kỹ thuật số, Giao dịch không xuất trình thẻ (Card-Not-Present - CNP). Sự gia tăng của các hình thức gian lận tinh vi đã đòi hỏi các biện pháp xác thực mạnh mẽ hơn, trong khi kỳ vọng của người tiêu dùng lại yêu cầu trải nghiệm thanh toán ngày càng liền mạch. Báo cáo này cung cấp một phân tích toàn diện về hệ sinh thái đang phát triển này, đặc biệt tập trung vào việc xác định các điểm tích hợp chiến lược cho công nghệ passkey. Báo cáo được thiết kế để trở thành một hướng dẫn toàn diện cho các nhà cung cấp công nghệ, nhà cung cấp dịch vụ thanh toán, tổ chức tài chính và các đơn vị chấp nhận thanh toán đang tìm cách chuyển đổi sang một tương lai không mật khẩu.

Bối cảnh thanh toán đang trải qua một sự thay đổi cơ bản, được thúc đẩy bởi nhu cầu về bảo mật mạnh mẽ hơn như Xác thực khách hàng mạnh (Strong Customer Authentication - SCA) và nhu cầu thương mại về trải nghiệm người dùng liền mạch. Passkey chống lừa đảo giả mạo đã nổi lên như một công nghệ then chốt để giải quyết sự cân bằng này. Phân tích của chúng tôi cho thấy ngành công nghiệp đang hội tụ quanh bốn mô hình kiến trúc riêng biệt để tích hợp passkey, mỗi mô hình đại diện cho một tầm nhìn cạnh tranh về tương lai của xác thực thanh toán:

1. Mô hình tập trung vào Tổ chức phát hành (ví dụ: qua SPC): Mặc dù có kỹ thuật tinh vi, mô hình này bị cản trở bởi sự thiếu hụt nghiêm trọng về hỗ trợ trình duyệt, đáng chú ý nhất là từ Apple, khiến nó trở thành một giải pháp không thực tế trong tương lai gần.
2. Mô hình tập trung vào Đơn vị chấp nhận thanh toán (Xác thực ủy quyền): Mô hình mạnh mẽ này cho phép các đơn vị chấp nhận thanh toán lớn tận dụng mối quan hệ trực tiếp với khách hàng, chuyển việc xác thực lên đầu quy trình để tạo ra một quy trình thanh toán liền mạch, nhưng đi kèm với đó là trách nhiệm pháp lý đáng kể và yêu cầu sự tin tưởng trực tiếp từ tổ chức phát hành.
3. Mô hình tập trung vào Mạng lưới (Click to Pay): Một nước đi chiến lược lớn của các mạng lưới thẻ như Visa và Mastercard nhằm sở hữu trải nghiệm thanh toán của khách vãng lai bằng cách cung cấp một passkey di động, cấp độ mạng lưới cho người tiêu dùng.
4. Mô hình tập trung vào PSP (Ví điện tử): Một mô hình thống trị nơi các Nhà cung cấp dịch vụ thanh toán (Payment Service Provider - PSP) lớn như PayPal sử dụng passkey để bảo mật và hợp lý hóa trải nghiệm trong hệ sinh thái ví điện tử rộng lớn và đã được thiết lập của họ.

Mỗi mô hình đưa ra một câu trả lời khác nhau cho câu hỏi chiến lược cốt lõi: "Ai sẽ trở thành Relying Party (Bên tin cậy) chính cho các giao dịch thanh toán?". Báo cáo này phân tích các kiến trúc cạnh tranh này, ánh xạ chúng tới các bên tham gia trong hệ sinh thái để cung cấp một lộ trình rõ ràng cho việc định hướng tương lai của xác thực thanh toán.

Để hiểu passkey có thể được tích hợp ở đâu và như thế nào, trước tiên cần thiết lập một bản đồ rõ ràng và chi tiết về các bên tham gia trong hệ sinh thái thanh toán và vai trò riêng biệt của họ. Luồng của một giao dịch trực tuyến duy nhất liên quan đến sự tương tác phức tạp giữa nhiều thực thể, mỗi thực thể thực hiện một chức năng cụ thể trong việc di chuyển dữ liệu và tiền.

Trung tâm của mọi giao dịch là năm bên tham gia cơ bản hình thành nên nền tảng của chuỗi giá trị thanh toán.

1. Khách hàng / Chủ thẻ:

   • Mô tả: Cá nhân hoặc tổ chức khởi tạo một giao dịch mua hàng. Chủ thẻ nhận thẻ thanh toán (tín dụng hoặc ghi nợ) từ một ngân hàng phát hành và chịu trách nhiệm hoàn trả bất kỳ khoản phí nào phát sinh.
   • Mục tiêu: Trải nghiệm thanh toán nhanh chóng, đơn giản và an toàn.
   • Ví dụ: Bất kỳ cá nhân nào có tài khoản ngân hàng và/hoặc thẻ thanh toán.

2. Đơn vị chấp nhận thanh toán (Merchant):

   • Mô tả: Doanh nghiệp bán hàng hóa hoặc dịch vụ và chấp nhận thanh toán điện tử. Để làm được điều này, đơn vị chấp nhận thanh toán phải có cơ sở hạ tầng cần thiết, thường được cung cấp bởi một ngân hàng thanh toán hoặc một nhà cung cấp dịch vụ thanh toán (PSP), để chấp nhận và xử lý các khoản thanh toán bằng thẻ.
   • Mục tiêu: Tối đa hóa tỷ lệ chuyển đổi bán hàng bằng cách giảm thiểu sự gián đoạn khi thanh toán trong khi giảm thiểu gian lận.
   • Ví dụ: Một trang web thương mại điện tử, một cửa hàng bán lẻ, một dịch vụ đăng ký.

3. Ngân hàng phát hành (Issuer):

   • Mô tả: Ngân hàng hoặc tổ chức tài chính của chủ thẻ. Tổ chức phát hành cung cấp thẻ thanh toán cho khách hàng, bảo lãnh rủi ro tín dụng liên quan và chịu trách nhiệm cuối cùng trong việc phê duyệt hoặc từ chối một giao dịch dựa trên tình trạng tài khoản của chủ thẻ và đánh giá rủi ro.
   • Mục tiêu: Nhận yêu cầu cấp phép và gửi lại mã phản hồi thông qua các mạng lưới thẻ.
   • Ví dụ: Bank of America, Chase, Barclays.

4. Ngân hàng thanh toán (Acquirer):

   • Mô tả: Ngân hàng của đơn vị chấp nhận thanh toán, còn được gọi là ngân hàng merchant. Tổ chức thanh toán duy trì tài khoản của đơn vị chấp nhận thanh toán và tạo điều kiện xử lý các giao dịch thẻ thay mặt cho đơn vị chấp nhận thanh toán.
   • Mục tiêu: Nhận chi tiết thanh toán từ đơn vị chấp nhận thanh toán, chuyển chúng qua mạng lưới thẻ đến tổ chức phát hành, và sau khi được phê duyệt, quyết toán tiền vào tài khoản của đơn vị chấp nhận thanh toán.
   • Ví dụ: Wells Fargo Merchant Services, Worldpay (từ FIS).

5. Mạng lưới thẻ (Schemes):

   • Mô tả: Xương sống công nghệ kết nối tất cả các bên tham gia khác. Các công ty như Visa, Mastercard, American Express, và Discover vận hành các mạng lưới rộng lớn này. Họ không phát hành thẻ hay mở tài khoản merchant mà cung cấp cơ sở hạ tầng quan trọng, các quy tắc và tiêu chuẩn chi phối các giao dịch.
   • Mục tiêu: Tạo điều kiện cho việc định tuyến các yêu cầu cấp phép và việc thanh toán bù trừ và quyết toán tiền giữa các tổ chức phát hành và tổ chức thanh toán.
   • Ví dụ: Visa, Mastercard, American Express.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Giữa các bên tham gia cốt lõi là một hệ sinh thái phức tạp và thường chồng chéo của các nhà cung cấp công nghệ và dịch vụ. Việc hiểu rõ sự khác biệt giữa các bên trung gian này là rất quan trọng, vì họ thường là những điểm tích hợp chính cho các công nghệ mới như passkey. Ranh giới giữa các vai trò này đã mờ đi đáng kể trong những năm gần đây, khi các nhà cung cấp hiện đại tìm cách cung cấp các giải pháp toàn diện hơn, "tất cả trong một".

1. Cổng thanh toán (Payment Gateway):

   • Mô tả: Cổng thanh toán là công nghệ hoạt động như một cổng kỹ thuật số an toàn cho một giao dịch. Vai trò chính của nó là thu thập chi tiết thanh toán nhạy cảm của khách hàng từ trang web của đơn vị chấp nhận thanh toán hoặc hệ thống điểm bán hàng (POS), mã hóa chúng và truyền chúng một cách an toàn đến đơn vị xử lý thanh toán hoặc ngân hàng thanh toán. Nó là "cửa trước" của giao dịch, chịu trách nhiệm truyền dữ liệu an toàn nhưng không tự di chuyển tiền.
   • Mục tiêu: Cung cấp cho các đơn vị chấp nhận thanh toán một cách an toàn và đáng tin cậy để chấp nhận thanh toán trực tuyến.
   • Ví dụ: Authorize.net (một giải pháp của Visa), Braintree, Stripe Payment Gateway.

2. Đơn vị xử lý thanh toán (Payment Processor):

   • Mô tả: Đơn vị xử lý thanh toán là thực thể thực hiện các thông điệp giao dịch giữa các bên khác nhau. Sau khi nhận dữ liệu an toàn từ cổng thanh toán, đơn vị xử lý giao tiếp với mạng lưới thẻ và, qua đó, các ngân hàng phát hành và thanh toán để tạo điều kiện cho việc cấp phép và quyết toán giao dịch. Có thể coi đơn vị xử lý là động cơ vận hành xử lý các giao tiếp kỹ thuật cần thiết để thanh toán diễn ra, trong khi cổng thanh toán là kênh an toàn cho giao tiếp đó.
   • Mục tiêu: Thực hiện các thông điệp thanh toán một cách đáng tin cậy và hiệu quả, quản lý quyết toán giao dịch và xử lý giải quyết tranh chấp giữa các ngân hàng phát hành và thanh toán.
   • Ví dụ: First Data (nay là Fiserv), TSYS, Worldpay.

3. Nhà cung cấp dịch vụ thanh toán (Payment Service Provider - PSP):

   • Mô tả: Một Nhà cung cấp dịch vụ thanh toán là một công ty cung cấp cho các đơn vị chấp nhận thanh toán một giải pháp toàn diện, trọn gói để chấp nhận thanh toán điện tử. Một PSP hiện đại thường kết hợp các chức năng của một cổng thanh toán và một đơn vị xử lý thanh toán, và thường cung cấp cả tài khoản merchant, tất cả dưới một hợp đồng duy nhất. Mô hình "tất cả trong một" này đơn giản hóa rất nhiều quy trình cho các đơn vị chấp nhận thanh toán, những người không còn cần phải thiết lập các mối quan hệ riêng biệt với một nhà cung cấp cổng thanh toán và một ngân hàng thanh toán. Trong một số bối cảnh, các PSP tổng hợp các phương thức thanh toán khác nhau cho các đơn vị chấp nhận thanh toán còn được gọi là Payment Aggregators (Bên tổng hợp thanh toán).
   • Mục tiêu: Cung cấp cho các đơn vị chấp nhận thanh toán một giải pháp một cửa cho tất cả các nhu cầu thanh toán của họ, loại bỏ sự phức tạp và đơn giản hóa việc chấp nhận thanh toán.
   • Ví dụ: Stripe, Adyen, PayPal, Mollie.

4. Nhà cung cấp Chuyển khoản trực tiếp (A2A) / Open Banking:

   • Mô tả: Đây là một loại nhà cung cấp thanh toán đang phát triển nhanh chóng, bỏ qua hoàn toàn các mạng lưới thẻ truyền thống. Thanh toán A2A chuyển tiền trực tiếp từ tài khoản ngân hàng của người tiêu dùng đến tài khoản ngân hàng của đơn vị chấp nhận thanh toán. Điều này thường được kích hoạt bởi các quy định "Open Banking" (như PSD2 ở châu Âu) yêu cầu các ngân hàng phải cung cấp quyền truy cập API an toàn vào dữ liệu tài khoản khách hàng và các dịch vụ khởi tạo thanh toán cho các nhà cung cấp bên thứ ba được cấp phép. Các nhà cung cấp này xây dựng các giao diện thân thiện với người dùng trên các API này, cho phép người tiêu dùng xác thực với ngân hàng của họ và phê duyệt một khoản thanh toán trong một luồng liền mạch.
   • Mục tiêu: Cung cấp một giải pháp thay thế chi phí thấp hơn, bảo mật cao cho thanh toán bằng thẻ bằng cách loại bỏ phí trao đổi và giảm gian lận thông qua xác thực cấp ngân hàng.
   • Ví dụ: Trustly, Plaid, Tink, GoCardless, Fintecture.

Sự hợp nhất các vai trò này có những tác động sâu sắc. Mặc dù khác biệt về mặt học thuật, trong thực tế, điểm liên hệ duy nhất của một đơn vị chấp nhận thanh toán thường là một PSP loại bỏ sự phức tạp của các mối quan hệ với cổng thanh toán, đơn vị xử lý và tổ chức thanh toán cơ bản. Tuy nhiên, khả năng của các PSP này có thể khác nhau đáng kể. Một PSP chỉ đơn thuần là một đại lý bán lại dịch vụ cổng thanh toán của một công ty khác có khả năng kỹ thuật và lợi ích chiến lược khác xa so với một PSP toàn diện với cơ sở hạ tầng xử lý và giấy phép thanh toán riêng. Sự phân biệt này rất quan trọng khi đánh giá các cơ hội tích hợp cho các phương thức xác thực tiên tiến.

Hơn nữa, một phân tích sâu hơn về luồng thanh toán cho thấy một khái niệm nền tảng làm rõ các động cơ chiến lược đằng sau các công nghệ xác thực mới: vai trò của Bên tin cậy (Relying Party - RP). Trong bối cảnh xác thực FIDO và passkey, Relying Party là thực thể chịu trách nhiệm cuối cùng trong việc xác minh danh tính của người dùng. Trong một giao dịch thanh toán tiêu chuẩn, tổ chức phát hành chịu rủi ro tài chính về gian lận và do đó là Relying Party mặc định; quyết định phê duyệt hay từ chối thanh toán là của họ.

Các mô hình kiến trúc mới nổi để tích hợp passkey có thể được hiểu rõ nhất như một cuộc đàm phán chiến lược về việc ai sẽ đóng vai trò là Relying Party. Trong mô hình Secure Payment Confirmation (SPC), tổ chức phát hành vẫn là RP nhưng cho phép đơn vị chấp nhận thanh toán gọi quy trình xác thực. Trong Delegated Authentication (DA), tổ chức phát hành ủy quyền rõ ràng chức năng RP cho đơn vị chấp nhận thanh toán hoặc PSP của họ. Và trong mô hình tập trung vào mạng lưới, Visa và Mastercard định vị chính họ như một Relying Party liên kết cho các giao dịch thanh toán của khách vãng lai. Do đó, câu hỏi trung tâm cho bất kỳ nhà cung cấp thanh toán nào đang xem xét tích hợp passkey trở thành:

Câu trả lời chỉ thẳng vào cơ hội tích hợp, người ra quyết định chính và mục tiêu chiến lược cơ bản.

Để cung cấp một biểu diễn trực quan rõ ràng về các mối quan hệ này, một sơ đồ luồng minh họa vòng đời thanh toán là rất cần thiết. Một sơ đồ như vậy sẽ mô tả hai con đường riêng biệt nhưng liên kết với nhau:

1. Luồng dữ liệu (Cấp phép): Con đường này theo dõi hành trình của yêu cầu cấp phép. Nó bắt đầu với việc khách hàng gửi chi tiết thanh toán trên trang web của đơn vị chấp nhận thanh toán, chảy qua cổng thanh toán đến đơn vị xử lý/tổ chức thanh toán, sau đó qua mạng lưới thẻ đến tổ chức phát hành để quyết định rủi ro, và cuối cùng, phản hồi phê duyệt hoặc từ chối di chuyển ngược lại đến đơn vị chấp nhận thanh toán và khách hàng. Toàn bộ quá trình này diễn ra trong vài giây.

2. Luồng giá trị (Quyết toán): Con đường này minh họa sự di chuyển của tiền, xảy ra sau khi cấp phép. Nó cho thấy các giao dịch được xử lý theo lô, với tiền chảy từ tổ chức phát hành, qua mạng lưới, đến tổ chức thanh toán (trừ đi phí trao đổi), và cuối cùng được gửi vào tài khoản của đơn vị chấp nhận thanh toán, một quá trình thường mất vài ngày làm việc. (Xử lý thanh toán: Cách hoạt động của xử lý thanh toán | Stripe)

Việc trực quan hóa này cho phép bất kỳ bên tham gia nào trong hệ sinh thái có thể ngay lập tức xác định vị trí của mình và hiểu các mối quan hệ trực tiếp và gián tiếp của họ với tất cả các bên khác, tạo tiền đề cho một phân tích chi tiết về nơi các biện pháp can thiệp xác thực có thể xảy ra.

sequenceDiagram
    participant C as Khách hàng
    participant M as Đơn vị chấp nhận thanh toán
    participant P as Cổng/Tổ chức thanh toán
    participant N as Mạng lưới thẻ
    participant I as Tổ chức phát hành

    C->>M: 1. Gửi chi tiết thanh toán
    M->>P: 2. Truyền chi tiết an toàn
    P->>N: 3. Yêu cầu cấp phép
    N->>I: 4. Chuyển đến Tổ chức phát hành để xác minh
    I-->>N: 5. Phản hồi Phê duyệt/Từ chối
    N-->>P: 6. Chuyển tiếp phản hồi
    P-->>M: 7. Chuyển tiếp phản hồi
    M-->>C: 8. Xác nhận đơn hàng hoặc yêu cầu thanh toán mới

    M->>P: 9. Gửi lô giao dịch đã được phê duyệt
    P->>N: 10. Yêu cầu thanh toán bù trừ
    N->>I: 11. Yêu cầu tiền từ Tổ chức phát hành
    I-->>N: 12. Chuyển tiền (trừ phí trao đổi)
    N-->>P: 13. Ghi có tiền cho Tổ chức thanh toán
    P-->>M: 14. Gửi tiền vào tài khoản ĐV chấp nhận thanh toán (trừ phí xử lý)

Trong khi hệ sinh thái thanh toán có các bên tham gia ở mọi quy mô, thị trường xử lý và thanh toán tập trung quanh một số công ty lớn khác nhau theo từng khu vực. Các gã khổng lồ toàn cầu thường cạnh tranh với các nhà vô địch mạnh mẽ ở cấp quốc gia và khu vực. Bảng sau đây cung cấp một cái nhìn tổng quan về các bên tham gia chính ở các khu vực địa lý khác nhau.

Mỗi giao dịch mua hàng trực tuyến kích hoạt một chuỗi sự kiện phức tạp, tốc độ cao có thể được chia thành hai giai đoạn chính: cấp phép và quyết toán. Phủ lên trên quy trình này là một giao thức bảo mật quan trọng được gọi là 3-D Secure, là trung tâm để hiểu những thách thức hiện đại của xác thực thanh toán trực tuyến.

Integrate passkeys as Payment Provider via 3rd party SDK.

Read article

Vòng đời của một giao dịch CNP duy nhất bao gồm một cuộc trao đổi dữ liệu gần như tức thời, theo sau là một quá trình chuyển tiền chậm hơn.

Cấp phép là quá trình xác minh rằng chủ thẻ có đủ tiền hoặc tín dụng để hoàn thành giao dịch và giao dịch đó là hợp pháp. Giai đoạn này diễn ra trong vài giây và tuân theo một lộ trình chính xác, nhiều bước (Xử lý thanh toán: Cách hoạt động của xử lý thanh toán | Stripe):

1. Khởi tạo giao dịch: Khách hàng chọn các mặt hàng của mình, tiến hành thanh toán và nhập chi tiết thẻ thanh toán (số thẻ, ngày hết hạn, CVV) vào biểu mẫu thanh toán trực tuyến của đơn vị chấp nhận thanh toán.

2. Truyền dữ liệu an toàn: Trang web của đơn vị chấp nhận thanh toán chuyển thông tin này một cách an toàn đến cổng thanh toán của mình. Cổng thanh toán mã hóa dữ liệu để bảo vệ nó trong quá trình truyền.

3. Định tuyến đến Đơn vị xử lý/Tổ chức thanh toán: Cổng thanh toán chuyển tiếp chi tiết giao dịch đã được mã hóa đến đơn vị xử lý thanh toán và/hoặc ngân hàng thanh toán của đơn vị chấp nhận thanh toán.

4. Giao tiếp mạng lưới: Tổ chức thanh toán gửi yêu cầu cấp phép đến mạng lưới thẻ thích hợp (ví dụ: Visa, Mastercard).

5. Xác minh của Tổ chức phát hành: Mạng lưới thẻ định tuyến yêu cầu đến ngân hàng phát hành của chủ thẻ. Hệ thống của tổ chức phát hành thực hiện một loạt các kiểm tra: xác minh tính hợp lệ của thẻ, kiểm tra số dư hoặc hạn mức tín dụng có sẵn, và chạy giao dịch qua các công cụ phát hiện gian lận của mình.

6. Phản hồi cấp phép: Dựa trên các kiểm tra này, tổ chức phát hành phê duyệt hoặc từ chối giao dịch. Quyết định này, dưới dạng một mã phản hồi, được gửi trở lại theo cùng một con đường: từ tổ chức phát hành đến mạng lưới thẻ, đến tổ chức thanh toán, đến đơn vị xử lý/cổng thanh toán, và cuối cùng đến trang web của đơn vị chấp nhận thanh toán.

7. Hoàn thành: Nếu được phê duyệt, đơn vị chấp nhận thanh toán hoàn thành việc bán hàng và thông báo cho khách hàng. Nếu bị từ chối, đơn vị chấp nhận thanh toán yêu cầu khách hàng cung cấp một phương thức thanh toán thay thế.

Quyết toán là quá trình thực sự chuyển tiền từ tổ chức phát hành đến đơn vị chấp nhận thanh toán. Không giống như cấp phép, quá trình này không diễn ra tức thời và thường xảy ra theo lô. (Xử lý thanh toán: Cách hoạt động của xử lý thanh toán | Stripe)

1. Xử lý theo lô: Vào cuối ngày làm việc, đơn vị chấp nhận thanh toán gửi một tệp lô gồm tất cả các giao dịch đã được cấp phép đến tổ chức thanh toán của mình.
2. Thanh toán bù trừ: Tổ chức thanh toán gửi lô đến mạng lưới thẻ để thanh toán bù trừ. Mạng lưới sắp xếp các giao dịch và chuyển chúng đến các ngân hàng phát hành tương ứng.
3. Chuyển tiền: Các ngân hàng phát hành chuyển tiền cho các giao dịch đã được phê duyệt đến ngân hàng thanh toán, trừ đi phí trao đổi, là các khoản phí mà tổ chức thanh toán trả cho tổ chức phát hành cho mỗi giao dịch.
4. Gửi tiền cho Đơn vị chấp nhận thanh toán: Tổ chức thanh toán sau đó gửi tiền vào tài khoản của đơn vị chấp nhận thanh toán, trừ đi phí xử lý của chính mình. Toàn bộ quá trình quyết toán này thường mất 1-3 ngày làm việc.

Phủ lên trên mỗi giao dịch CNP là một giao thức bảo mật quan trọng được gọi là 3-D Secure (3DS). Được quản lý bởi EMVCo, mục đích của nó là cho phép tổ chức phát hành xác thực chủ thẻ, giảm gian lận và chuyển trách nhiệm pháp lý về các khoản bồi hoàn từ đơn vị chấp nhận thanh toán sang tổ chức phát hành.

3DS hiện đại (còn gọi là 3DS2) hoạt động bằng cách trao đổi một bộ dữ liệu phong phú giữa đơn vị chấp nhận thanh toán và Máy chủ kiểm soát truy cập (Access Control Server - ACS) của tổ chức phát hành. Dữ liệu này cho phép ACS thực hiện đánh giá rủi ro, dẫn đến hai kết quả:

• Luồng liền mạch (Frictionless Flow): Nếu giao dịch được coi là rủi ro thấp, nó sẽ được phê duyệt âm thầm trong nền mà không cần sự tương tác của người dùng. Đây là mục tiêu cho hầu hết các giao dịch.
• Luồng thử thách (Challenge Flow): Nếu giao dịch có rủi ro cao hoặc bị bắt buộc bởi các quy định như PSD2, người dùng sẽ được yêu cầu chủ động chứng minh danh tính của mình, thường bằng OTP hoặc thông báo từ ứng dụng ngân hàng.

"Thử thách" này là một điểm gây gián đoạn lớn và là một chiến trường quan trọng cho tỷ lệ chuyển đổi. Mục tiêu của ngành là tối đa hóa các luồng liền mạch trong khi làm cho các thử thách trở nên liền mạch nhất có thể. Chính thử thách có độ gián đoạn cao này là nơi passkey có vị trí hoàn hảo để giải quyết, biến một điểm thất bại tiềm tàng thành một bước an toàn và liền mạch.

graph TD
    A[Bắt đầu: Khách hàng tiến hành thanh toán] --> B{Đơn vị chấp nhận thanh toán khởi tạo kiểm tra 3DS};
    B --> C[SDK của ĐV chấp nhận thanh toán gửi dữ liệu giao dịch và thiết bị phong phú đến ACS của Tổ chức phát hành];
    C --> D{Công cụ rủi ro ACS phân tích dữ liệu};
    D --> E{Giao dịch có rủi ro cao hoặc SCA có bắt buộc không?};
    subgraph Luồng liền mạch
    E -- Không --> F[Xác thực được phê duyệt thụ động - Không có tương tác người dùng];
    end
    subgraph Luồng thử thách
    E -- Có --> G[Người dùng được nhắc thực hiện thử thách xác thực];
    G --> H{Người dùng hoàn thành thử thách? - ví dụ: OTP, Thông báo đẩy ứng dụng, SPC/Passkey};
    H -- Có --> I[Xác thực được phê duyệt];
    H -- Không --> J[Xác thực thất bại];
    end
    F --> K[Giao dịch tiếp tục với việc chuyển trách nhiệm pháp lý cho Tổ chức phát hành];
    I --> K;
    J --> L[Giao dịch bị chặn];

Sự ra đời của passkey, dựa trên tiêu chuẩn WebAuthn chống lừa đảo giả mạo của FIDO Alliance, đang thúc đẩy một cuộc tái thiết kế cơ bản của xác thực thanh toán. Điều này đang diễn ra song song với một xu hướng mạnh mẽ trong ngành: các đơn vị chấp nhận thanh toán đã và đang áp dụng passkey cho việc xác thực người dùng tiêu chuẩn (đăng ký và đăng nhập) để chống lại gian lận chiếm đoạt tài khoản và cải thiện trải nghiệm người dùng. Khoản đầu tư hiện có này tạo ra một nền tảng tự nhiên để xây dựng các mô hình passkey dành riêng cho thanh toán.

Trong mô hình này, ngân hàng của người dùng (tổ chức phát hành) là Bên tin cậy (Relying Party - RP) cuối cùng cho việc xác thực. Passkey được liên kết với tên miền của ngân hàng (ví dụ: bank.com), và người dùng xác thực trực tiếp với ngân hàng của họ để phê duyệt một giao dịch. Mô hình này có hai dạng chính, tùy thuộc vào việc thanh toán chạy trên hệ thống thẻ hay thông qua chuyển khoản trực tiếp từ tài khoản đến tài khoản.

Trong mô hình này, ngân hàng phát hành vẫn kiểm soát việc xác thực, và passkey được liên kết mật mã với tên miền của tổ chức phát hành (ví dụ: bank.com). Mặc dù có thể chuyển hướng đơn giản đến trang web của ngân hàng, điều này tạo ra trải nghiệm người dùng kém.

Ai sở hữu passkey? Trong mô hình tập trung vào Tổ chức phát hành, Tổ chức phát hành là Relying Party (RP).

Vòng xoay chấp nhận & Hiệu ứng mạng lưới: Khả năng tái sử dụng passkey của một tổ chức phát hành tạo ra một vòng xoay mạnh mẽ. Một khi người dùng tạo một passkey cho ngân hàng của họ, passkey duy nhất đó có thể được sử dụng để phê duyệt liền mạch các giao dịch bị thử thách tại bất kỳ đơn vị chấp nhận thanh toán nào sử dụng giao thức 3DS. Điều này nâng cao giá trị của thẻ của tổ chức phát hành cho cả người tiêu dùng (trải nghiệm người dùng tốt hơn) và các đơn vị chấp nhận thanh toán (tỷ lệ chuyển đổi cao hơn).

Giải pháp được ngành công nghiệp thiết kế cho vấn đề này là Secure Payment Confirmation (SPC), một tiêu chuẩn web cho phép một đơn vị chấp nhận thanh toán gọi passkey của ngân hàng trực tiếp trên trang thanh toán, tránh việc chuyển hướng. Quá trình này cũng sử dụng liên kết động để ràng buộc việc xác thực với các chi tiết giao dịch, điều này rất quan trọng đối với SCA.

Lỗ hổng chiến lược: Mặc dù có kỹ thuật tinh vi, SPC không phải là một chiến lược khả thi hiện nay. Nó yêu cầu hỗ trợ trình duyệt mà không tồn tại trong Safari của Apple. Nếu không có Safari, SPC không thể là một giải pháp phổ quát, khiến nó không thực tế cho bất kỳ triển khai quy mô lớn nào.

sequenceDiagram
    participant U as Người dùng
    participant M as Trang web ĐV chấp nhận thanh toán
    participant I as ACS của Tổ chức phát hành

    Note over M,I: Một kiểm tra 3DS xác định cần có một thử thách.
    M->>I: Yêu cầu cấp phép (Rủi ro cao)
    I-->>M: Khởi tạo thử thách SPC
    Note over U,M: Trình duyệt hiển thị một lời nhắc gốc cho người dùng.
    M->>U: Kích hoạt API SPC cho tên miền của tổ chức phát hành (ví dụ: bank.com)
    U->>U: Người dùng xác thực bằng sinh trắc học thiết bị (Face ID, v.v.)
    U-->>M: Trình duyệt nhận được xác nhận đã ký cho bank.com
    M->>I: Chuyển tiếp xác nhận đã ký để xác thực
    I-->>M: Xác thực thành công

Trong khi các mô hình trước đó tập trung vào hệ sinh thái thẻ, thanh toán từ tài khoản đến tài khoản (Account-to-Account - A2A), được thúc đẩy mạnh mẽ bởi Open Banking, trình bày một mô hình mạnh mẽ và khác biệt. Mô hình này bỏ qua hoàn toàn hệ thống thẻ, và việc tích hợp nó với passkey là cực kỳ đơn giản và hiệu quả.

Trong mô hình này, người dùng xác thực trực tiếp với ngân hàng của chính họ để phê duyệt một khoản thanh toán. Sự gián đoạn của quá trình này—thường liên quan đến việc chuyển hướng vụng về và đăng nhập bằng mật khẩu—đã là một rào cản lớn đối với việc áp dụng A2A. Passkey giải quyết trực tiếp vấn đề cốt lõi này.

Ai sở hữu passkey? Ngân hàng là Relying Party (RP). Passkey là cái mà người dùng đã tạo cho việc giao dịch ngân hàng trực tuyến hàng ngày của họ với mybank.com.

Vòng xoay chấp nhận & Hiệu ứng mạng lưới: Vòng xoay này rất lớn và được thúc đẩy bởi chính các ngân hàng. Khi các ngân hàng khuyến khích người dùng chuyển từ mật khẩu sang passkey để đăng nhập vào ứng dụng hoặc trang web ngân hàng chính của họ, những passkey đó sẽ tự động sẵn sàng để sử dụng cho bất kỳ thanh toán Open Banking nào. Người dùng không cần làm gì thêm. Điều này làm cho luồng thanh toán A2A trở nên đơn giản như một lần quét sinh trắc học, làm tăng đáng kể sức hấp dẫn và khả năng cạnh tranh của nó so với thẻ.

Cách hoạt động:

1. Khi thanh toán, người dùng chọn một nhà cung cấp A2A (ví dụ: Trustly, Plaid) hoặc ngân hàng của chính họ.
2. Người dùng được nhắc ủy quyền thanh toán với ngân hàng của họ.
3. Ngân hàng, với tư cách là RP, kích hoạt một thử thách xác thực passkey.
4. Người dùng xác thực bằng Face ID, vân tay hoặc mã PIN.
5. Ngân hàng xác nhận thanh toán một cách an toàn, và tiền được chuyển trực tiếp vào tài khoản của đơn vị chấp nhận thanh toán.

Mô hình này không phù hợp với bốn mô hình còn lại vì nó không liên quan đến mạng lưới thẻ, 3DS, SPC, hay Delegated Authentication. Đây là một luồng tập trung vào ngân hàng, nơi nhà cung cấp A2A hoạt động như lớp điều phối giữa đơn vị chấp nhận thanh toán và hệ thống xác thực riêng của ngân hàng, giờ đây đã được kích hoạt bằng passkey.

sequenceDiagram
    participant U as Người dùng
    participant M as Trang web ĐV chấp nhận thanh toán
    participant A2A as Nhà cung cấp A2A (ví dụ: Trustly)
    participant B as Ngân hàng của người dùng

    U->>M: Chọn "Thanh toán từ Ngân hàng"
    M->>A2A: Khởi tạo thanh toán A2A
    A2A->>U: Nhắc người dùng chọn ngân hàng của họ
    U->>A2A: Chọn Ngân hàng
    A2A->>B: Yêu cầu cấp phép thanh toán
    Note over B,U: Ngân hàng nhắc người dùng xác thực bằng passkey
    U->>B: Xác thực bằng Passkey cho mybank.com
    B-->>A2A: Xác thực thành công, Thanh toán được cấp phép
    A2A-->>M: Xác nhận thanh toán
    M-->>U: Xác nhận đơn hàng

Delegated Authentication (Xác thực ủy quyền) đại diện cho một sự khác biệt căn bản hơn so với mô hình truyền thống. Được kích hoạt bởi 3DS phiên bản 2.2 và được hỗ trợ bởi các chương trình mạng lưới thẻ cụ thể, DA là một khuôn khổ nơi một tổ chức phát hành có thể chính thức ủy quyền trách nhiệm thực hiện SCA cho một bên thứ ba đáng tin cậy, thường là một đơn vị chấp nhận thanh toán lớn, PSP, hoặc nhà cung cấp ví kỹ thuật số.

Ai sở hữu passkey? Trong mô hình này, Đơn vị chấp nhận thanh toán hoặc PSP của họ là Relying Party (RP). Passkey được tạo cho tên miền của đơn vị chấp nhận thanh toán (ví dụ: amazon.com) và được sử dụng để đăng nhập tài khoản.

Để đủ điều kiện cho DA, việc xác thực ban đầu do đơn vị chấp nhận thanh toán thực hiện phải tuân thủ đầy đủ các yêu cầu của SCA. Theo hướng dẫn của Cơ quan Ngân hàng Châu Âu về Xác thực khách hàng mạnh, đây không chỉ là một lần đăng nhập đơn giản; nó phải có cùng độ mạnh như một lần xác thực mà chính tổ chức phát hành sẽ thực hiện. Passkey, với các thuộc tính mật mã mạnh mẽ, là một công nghệ lý tưởng để đáp ứng tiêu chuẩn cao này. Tuy nhiên, một điểm không chắc chắn quan trọng về mặt quy định vẫn còn liên quan đến passkey được đồng bộ hóa. Trong khi passkey gắn với thiết bị rõ ràng đáp ứng yếu tố "sở hữu" của SCA, các cơ quan quản lý như EBA vẫn chưa đưa ra ý kiến dứt khoát về việc liệu passkey được đồng bộ hóa, có thể di động trên tài khoản đám mây của người dùng, có đáp ứng yêu cầu nghiêm ngặt về việc được liên kết duy nhất với một thiết bị hay không. Đây là một yếu tố quan trọng cần xem xét cho bất kỳ chiến lược DA nào ở châu Âu.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Trong mô hình này, sự kiện xác thực di chuyển lên đầu trong hành trình của khách hàng. Thay vì xảy ra ở cuối quy trình thanh toán như một thử thách 3DS, nó xảy ra ở đầu, khi khách hàng đăng nhập vào tài khoản của họ trên trang web hoặc ứng dụng của đơn vị chấp nhận thanh toán. Nếu đơn vị chấp nhận thanh toán sử dụng passkey để đăng nhập, họ có thể chuyển bằng chứng về việc xác thực thành công, tuân thủ SCA này cho tổ chức phát hành trong quá trình trao đổi dữ liệu 3DS. Tổ chức phát hành, đã thiết lập trước một mối quan hệ tin cậy với đơn vị chấp nhận thanh toán đó, sau đó có thể sử dụng thông tin này để cấp một miễn trừ và bỏ qua hoàn toàn luồng thử thách của chính mình. Điều này có thể dẫn đến một quy trình thanh toán sinh trắc học thực sự liền mạch, một cú nhấp chuột cho người dùng đã đăng nhập.

Vòng xoay chấp nhận & Hiệu ứng mạng lưới: Vòng xoay ở đây được thúc đẩy bởi mối quan hệ khách hàng trực tiếp của đơn vị chấp nhận thanh toán. Khi các đơn vị chấp nhận thanh toán áp dụng passkey để đăng nhập nhằm giảm gian lận chiếm đoạt tài khoản và cải thiện trải nghiệm người dùng, họ xây dựng một cơ sở người dùng đã kích hoạt passkey. Điều này tạo ra một con đường tự nhiên để tận dụng những passkey này cho DA trong thanh toán, mở ra một trải nghiệm thanh toán vượt trội. Hiệu ứng mạng lưới mạnh nhất đối với các PSP có thể hoạt động như RP cho nhiều đơn vị chấp nhận thanh toán, có khả năng cho phép một passkey duy nhất được sử dụng trên một mạng lưới các cửa hàng, tạo ra một động lực mạnh mẽ cho các đơn vị chấp nhận thanh toán khác tham gia vào hệ sinh thái của PSP đó.

Các mạng lưới thẻ đang tích cực thúc đẩy mô hình này thông qua các chương trình chuyên dụng. Ví dụ, khuôn khổ Visa's Guide Authentication được thiết kế để sử dụng với DA nhằm trao quyền cho các đơn vị chấp nhận thanh toán thực hiện SCA thay mặt cho tổ chức phát hành. Tương tự, chương trình Identity Check Express của Mastercard cho phép các đơn vị chấp nhận thanh toán xác thực người tiêu dùng trong luồng của chính đơn vị chấp nhận thanh toán. Mô hình này phản ánh tầm nhìn chiến lược của các đơn vị chấp nhận thanh toán lớn và PSP:

Tuy nhiên, quyền lực này đi kèm với trách nhiệm. Theo quy định của châu Âu, DA được coi là "thuê ngoài", có nghĩa là đơn vị chấp nhận thanh toán hoặc PSP phải chịu trách nhiệm pháp lý đối với các giao dịch gian lận và phải tuân thủ các yêu cầu nghiêm ngặt về tuân thủ và quản lý rủi ro.

sequenceDiagram
    participant U as Người dùng
    participant M as Trang web ĐV chấp nhận thanh toán
    participant I as ACS của Tổ chức phát hành

    Note over U,M: Bước 1: Người dùng đăng nhập vào trang web của đơn vị chấp nhận thanh toán.
    U->>M: Xác thực bằng passkey cho merchant.com
    M-->>U: Đăng nhập thành công (SCA đã được thực hiện)

    Note over U,I: Bước 2: Sau đó, khi thanh toán...
    U->>M: Nhấp vào "Thanh toán"
    M->>I: Yêu cầu cấp phép (bao gồm bằng chứng về SCA trước đó)
    I->>I: Xác minh bằng chứng xác thực được ủy quyền
    I-->>M: Phê duyệt giao dịch (Không cần thử thách 3DS)

Mô hình này là một sáng kiến chiến lược lớn được thúc đẩy bởi các mạng lưới thẻ (Visa, Mastercard) nhằm sở hữu và tiêu chuẩn hóa trải nghiệm thanh toán của khách vãng lai. Họ đã xây dựng các dịch vụ passkey dựa trên FIDO của riêng mình, chẳng hạn như Visa Payment Passkey Service, trên nền tảng của khuôn khổ Click to Pay.

Ai sở hữu passkey? Trong mô hình tập trung vào Mạng lưới, Mạng lưới thẻ là Relying Party. Passkey được tạo cho tên miền của mạng lưới (ví dụ: visa.com).

Vòng xoay chấp nhận & Hiệu ứng mạng lưới: Mô hình này sở hữu hiệu ứng mạng lưới mạnh mẽ nhất. Một passkey duy nhất được tạo cho một mạng lưới thẻ có thể được tái sử dụng ngay lập tức trên mọi đơn vị chấp nhận thanh toán hỗ trợ Click to Pay, tạo ra giá trị to lớn cho người tiêu dùng và thúc đẩy một vòng xoay thị trường hai mặt cổ điển.

sequenceDiagram
    participant U as Người dùng
    participant M as Trang web ĐV chấp nhận thanh toán
    participant N as Mạng lưới thẻ (Click to Pay)
    participant I as Tổ chức phát hành

    Note over M,U: Luồng thanh toán của khách vãng lai
    U->>M: Nhấp vào nút "Click to Pay"
    M->>N: Khởi tạo luồng Click to Pay
    Note over N,U: Người dùng được nhắc xác thực với Mạng lưới.
    N->>U: Trình duyệt kích hoạt lời nhắc passkey cho network.com
    U->>U: Người dùng xác thực bằng sinh trắc học thiết bị
    U-->>N: Xác nhận đã ký được trả về cho Mạng lưới
    N->>N: Xác thực người dùng, truy xuất token thẻ đã lưu
    N->>I: Yêu cầu cấp phép với token mạng lưới
    I-->>N: Phê duyệt/Từ chối
    N-->>M: Gửi phản hồi xác thực cho đơn vị chấp nhận thanh toán

Mô hình này tập trung vào các Nhà cung cấp dịch vụ thanh toán (PSP) lớn vận hành ví điện tử hướng đến người tiêu dùng của riêng họ, chẳng hạn như PayPal hoặc Stripe (với Link). Trong phương pháp này, PSP là Relying Party, và họ sở hữu toàn bộ luồng xác thực và thanh toán.

Ai sở hữu passkey? Trong mô hình tập trung vào PSP, PSP là Relying Party (RP). Passkey được tạo cho tên miền của PSP (ví dụ: paypal.com) và bảo mật tài khoản của người dùng trong hệ sinh thái của PSP đó.

Vòng xoay chấp nhận & Hiệu ứng mạng lưới: Mô hình này cũng có hiệu ứng mạng lưới cực kỳ mạnh mẽ. Một passkey được tạo cho ví của một PSP lớn có thể được tái sử dụng tại mọi đơn vị chấp nhận thanh toán chấp nhận PSP đó, tạo ra một động lực mạnh mẽ cho người dùng và các đơn vị chấp nhận thanh toán tham gia vào hệ sinh thái của PSP.

sequenceDiagram
    participant U as Người dùng
    participant M as Trang web ĐV chấp nhận thanh toán
    participant P as PSP / Ví điện tử (ví dụ: PayPal)

    U->>M: Chọn "Thanh toán bằng PSP" khi thanh toán
    M->>U: Chuyển hướng hoặc hiển thị cửa sổ bật lên để đăng nhập PSP
    Note over P,U: Người dùng xác thực trực tiếp với PSP
    U->>P: Xác thực bằng Passkey cho psp.com
    P-->>U: Xác thực thành công
    P-->>M: Gửi đảm bảo thanh toán / OK cho Đơn vị chấp nhận thanh toán
    M-->>U: Xác nhận đơn hàng

Một câu hỏi phổ biến và quan trọng là liệu một passkey được tạo cho một mô hình có thể được tái sử dụng trong một mô hình khác hay không. Ví dụ, một passkey mà người dùng tạo cho ngân hàng của họ để sử dụng với SPC có thể được dùng để đăng nhập vào trang web của một đơn vị chấp nhận thanh toán trong luồng DA không? Câu trả lời là không, và điều này làm nổi bật vai trò trung tâm của Relying Party (RP).

Một passkey về cơ bản là một thông tin xác thực mật mã liên kết một người dùng với một RP cụ thể. Khóa công khai được đăng ký trên máy chủ của RP, và khóa riêng tư vẫn còn trên thiết bị của người dùng. Xác thực là hành động chứng minh quyền sở hữu khóa riêng tư đó cho RP cụ thể đó.

• Trong mô hình Tập trung vào Tổ chức phát hành (SPC), RP là Tổ chức phát hành (ví dụ: chase.com). Passkey được đăng ký với ngân hàng.
• Trong mô hình Tập trung vào Đơn vị chấp nhận thanh toán (DA), RP là Đơn vị chấp nhận thanh toán hoặc PSP của họ (ví dụ: amazon.com hoặc stripe.com). Passkey được đăng ký với đơn vị chấp nhận thanh toán để đăng nhập.
• Trong mô hình Tập trung vào Mạng lưới, RP là Mạng lưới thẻ (ví dụ: visa.com). Passkey được đăng ký với mạng lưới cho Click to Pay.
• Trong mô hình Tập trung vào PSP, RP là Nhà cung cấp dịch vụ thanh toán (ví dụ: paypal.com). Passkey được đăng ký với ví hoặc dịch vụ của PSP.

Bởi vì passkey được liên kết mật mã với tên miền của RP, một passkey được đăng ký với chase.com không thể được xác thực bởi amazon.com. Về mặt kỹ thuật, chúng là các danh tính kỹ thuật số riêng biệt. Một người dùng sẽ cần tạo một passkey riêng cho mỗi Relying Party mà họ tương tác.

"Khả năng tái sử dụng" và "tính di động" làm cho passkey trở nên mạnh mẽ đến từ hai lĩnh vực:

1. Đồng bộ hóa Passkey: Các dịch vụ như iCloud Keychain và Google Password Manager đồng bộ hóa passkey trên các thiết bị của người dùng. Vì vậy, một passkey được tạo cho chase.com trên điện thoại sẽ tự động có sẵn trên máy tính xách tay của người dùng, nhưng nó vẫn chỉ dành cho chase.com.
2. Liên kết (Federation): Đây là mô hình được sử dụng bởi Click to Pay. Một đơn vị chấp nhận thanh toán có thể tin tưởng Mạng lưới (ví dụ: Visa) để xác thực người dùng. Người dùng xác thực với Visa (RP), và Visa sau đó báo hiệu cho đơn vị chấp nhận thanh toán rằng người dùng là hợp pháp. Điều này tương tự như "Đăng nhập bằng Google", nơi một trang web tin tưởng Google xử lý việc đăng nhập. Passkey không được tái sử dụng bởi đơn vị chấp nhận thanh toán; sự kiện xác thực mới là thứ được tái sử dụng.

Do đó, bốn mô hình không chỉ là các con đường kỹ thuật khác nhau mà còn là các chiến lược nhận dạng cạnh tranh. Mỗi mô hình đề xuất một thực thể khác nhau trở thành Relying Party chính cho việc xác thực thanh toán, và người dùng có thể sẽ có passkey cho các tổ chức phát hành, các đơn vị chấp nhận thanh toán yêu thích, ví PSP, và các mạng lưới thẻ của họ.

Trong khi các mô hình này cung cấp những cách xác thực mới mạnh mẽ, chúng cũng giới thiệu một thách thức vận hành quan trọng thường bị bỏ qua: khôi phục passkey và phục hồi tài khoản. Passkey được đồng bộ hóa, được quản lý bởi các nền tảng như iCloud Keychain và Google Password Manager, giảm thiểu vấn đề mất một thiết bị duy nhất. Tuy nhiên, chúng không giải quyết được vấn đề người dùng mất tất cả các thiết bị của họ hoặc chuyển đổi giữa các hệ sinh thái (ví dụ: từ iOS sang Android). Trong những trường hợp này, một quy trình an toàn và thân thiện với người dùng để người dùng chứng minh danh tính của mình thông qua các phương tiện khác và đăng ký một passkey trên một thiết bị mới là một điều kiện tiên quyết không thể thiếu cho bất kỳ triển khai quy mô lớn nào. Như tài liệu của chính Mastercard đã lưu ý, một người dùng chuyển đổi thiết bị sẽ cần tạo một passkey mới, một quá trình có thể yêu cầu xác minh danh tính bởi ngân hàng của họ. (Mastercard® payment passkeys – Frequently asked questions) Điều này nhấn mạnh rằng một giải pháp passkey hoàn chỉnh phải bao gồm không chỉ chính quy trình xác thực mà còn toàn bộ vòng đời quản lý passkey, bao gồm cả các luồng khôi phục mạnh mẽ.

Bốn mô hình kiến trúc - Tập trung vào Tổ chức phát hành (SPC), Tập trung vào Đơn vị chấp nhận thanh toán (DA), Tập trung vào Mạng lưới (Click to Pay), và Tập trung vào PSP - chuyển thành các cơ hội tích hợp riêng biệt cho các bên tham gia khác nhau trong hệ sinh thái thanh toán. Mỗi phương pháp trình bày một bộ đánh đổi độc đáo giữa trải nghiệm người dùng, độ phức tạp triển khai, trách nhiệm pháp lý và quyền kiểm soát. Phần này cung cấp một phân tích thực tế về các điểm tích hợp này để hướng dẫn việc ra quyết định chiến lược.

• Cơ hội: Cơ hội chính cho các tổ chức phát hành và các nhà cung cấp Máy chủ kiểm soát truy cập (ACS) phục vụ họ là tăng cường "luồng thử thách" 3DS bằng cách thay thế các phương pháp cũ như OTP và mật khẩu bằng Secure Payment Confirmation (SPC).
• Đối tượng mục tiêu: Tích hợp này nhắm đến các nhà cung cấp ACS (ví dụ: Netcetera, CA Technologies/Arcot), các nhà cung cấp công nghệ phục vụ không gian của tổ chức phát hành, và các ngân hàng phát hành lớn vận hành các nền tảng ACS nội bộ của riêng họ.
• Vai trò của nhà cung cấp: Một nhà cung cấp passkey-as-a-service như Corbado sẽ cung cấp một máy chủ FIDO hoặc mô-đun phần mềm có thể nhúng, tuân thủ đầy đủ đặc tả SPC. Mô-đun này sẽ được tích hợp vào nền tảng ACS cốt lõi, cho phép ACS kích hoạt một luồng SPC khi công cụ rủi ro của nó xác định cần có một thử thách.
• Ưu điểm:
  • Bảo mật cao & Tuân thủ quy định: Việc sử dụng liên kết động mật mã của SPC cung cấp bằng chứng mạnh mẽ, có thể kiểm toán về sự đồng ý của người dùng đối với các chi tiết giao dịch cụ thể, giải quyết trực tiếp các yêu cầu chính của các quy định như PSD2 SCA.
  • Cải thiện trải nghiệm người dùng so với OTP: Xác thực bằng một lần quét sinh trắc học nhanh chóng nhanh hơn đáng kể và ít bị lỗi hơn so với việc nhập thủ công một mã nhận được qua SMS, điều này có thể dẫn đến sự gia tăng có thể đo lường được trong tỷ lệ chuyển đổi của thử thách.
  • Mô hình trách nhiệm pháp lý rõ ràng: Mô hình này phù hợp liền mạch trong khuôn khổ 3DS hiện có. Khi một giao dịch được xác thực thành công qua SPC, trách nhiệm pháp lý đối với các khoản bồi hoàn gian lận sẽ chuyển từ đơn vị chấp nhận thanh toán sang tổ chức phát hành, giống như với các phương thức thử thách 3DS khác.
• Nhược điểm:
  • Vẫn là một luồng "Thử thách": Mặc dù SPC cải thiện trải nghiệm thử thách, nó không loại bỏ nó. Người dùng vẫn bị gián đoạn khi thanh toán với một bước xác thực. Trải nghiệm này, mặc dù tốt hơn, vốn dĩ có nhiều ma sát hơn so với một luồng "liền mạch" hoàn toàn thụ động hoặc một luồng Delegated Authentication thành công.
  • Phụ thuộc vào logic rủi ro của Tổ chức phát hành: Việc áp dụng và tần suất sử dụng SPC hoàn toàn phụ thuộc vào ACS của tổ chức phát hành và công cụ RBA của nó. ACS vẫn quyết định nếu và khi nào kích hoạt một thử thách.
  • Độ trễ trong sự sẵn sàng của hệ sinh thái: Việc sử dụng rộng rãi đòi hỏi hệ sinh thái phải áp dụng EMV 3DS phiên bản 2.3 trở lên, và trình duyệt của người dùng phải hỗ trợ SPC Web API. Như đã thảo luận, việc thiếu hỗ trợ phổ quát, đặc biệt là trên các nền tảng di động như iOS, là một rào cản đáng kể.

• Cơ hội: Triển khai Delegated Authentication (DA), cho phép đơn vị chấp nhận thanh toán hoặc PSP của họ thực hiện SCA tại thời điểm khách hàng đăng nhập, từ đó tạo ra một trải nghiệm thanh toán hoàn toàn liền mạch cho những người dùng quay lại, đã được xác thực.
• Đối tượng mục tiêu: Điều này phù hợp nhất cho các đơn vị chấp nhận thanh toán thương mại điện tử lớn, các PSP toàn diện (như Stripe hoặc Adyen), và các nhà cung cấp ví kỹ thuật số có mối quan hệ trực tiếp với người tiêu dùng và đã đầu tư vào một hệ thống tài khoản và đăng nhập an toàn.
• Vai trò của nhà cung cấp: Một nhà cung cấp passkey sẽ cung cấp giải pháp xác thực passkey cốt lõi cho luồng đăng nhập của đơn vị chấp nhận thanh toán. Quan trọng là, giải pháp cũng phải cung cấp các đầu ra dữ liệu và bằng chứng mật mã cần thiết có thể được đóng gói vào yêu cầu xác thực 3DS để báo hiệu cho tổ chức phát hành rằng một SCA tuân thủ đã xảy ra.
• Ưu điểm:
  • Trải nghiệm người dùng tối ưu: Mô hình này cung cấp luồng thanh toán liền mạch nhất có thể cho người dùng đã được xác thực. Nó chuyển bước xác thực đến một phần tự nhiên và quen thuộc của hành trình người dùng (đăng nhập tài khoản) và có thể loại bỏ hoàn toàn thử thách 3DS, cho phép thanh toán một cú nhấp chuột thực sự.
  • Tiềm năng chuyển đổi cao nhất: Bằng cách loại bỏ điểm ma sát cuối cùng khi thanh toán, DA có tiềm năng mang lại sự gia tăng đáng kể nhất trong tỷ lệ chuyển đổi thanh toán. Một chương trình thí điểm của Stripe với các chủ thẻ Wise đã báo cáo mức tăng chuyển đổi 7% cho các giao dịch sử dụng giải pháp DA của họ.
  • Tăng cường mối quan hệ Đơn vị chấp nhận thanh toán-Khách hàng: Toàn bộ trải nghiệm xác thực và thanh toán vẫn nằm trong môi trường thương hiệu của đơn vị chấp nhận thanh toán, củng cố mối quan hệ trực tiếp của họ với khách hàng.
• Nhược điểm:
  • Thương mại và trách nhiệm pháp lý phức tạp: DA không phải là một chuyển đổi kỹ thuật đơn giản. Nó đòi hỏi các thỏa thuận rõ ràng, thường là song phương, giữa các tổ chức phát hành và các đơn vị chấp nhận thanh toán/PSP mà họ chọn tin tưởng. Hơn nữa, bên thực hiện xác thực được ủy quyền phải chịu trách nhiệm pháp lý về gian lận, và thỏa thuận này phải tuân theo sự giám sát quy định nghiêm ngặt như một hình thức "thuê ngoài", mang theo một gánh nặng tuân thủ đáng kể.
  • Phụ thuộc vào sự tin tưởng của Tổ chức phát hành: Toàn bộ mô hình phụ thuộc vào sự sẵn lòng của một tổ chức phát hành để tin tưởng vào quy trình xác thực của đơn vị chấp nhận thanh toán. Sự tin tưởng này có thể sẽ chỉ được mở rộng cho các đối tác lớn nhất, an toàn nhất và chiến lược nhất ban đầu.
  • Áp dụng phân mảnh: Không giống như một tiêu chuẩn phổ quát, DA sẽ được áp dụng trên cơ sở từng tổ chức phát hành, từng đơn vị chấp nhận thanh toán, dẫn đến một bối cảnh phân mảnh nơi trải nghiệm không nhất quán cho tất cả các chủ thẻ tại tất cả các đơn vị chấp nhận thanh toán.

• Cơ hội: Kích hoạt trải nghiệm passkey mang thương hiệu mạng lưới cho khối lượng lớn các giao dịch thanh toán của khách vãng lai.
• Đối tượng mục tiêu: Các Cổng thanh toán và PSP muốn cung cấp một giải pháp thanh toán cho khách vãng lai hiện đại, được tiêu chuẩn hóa cho cơ sở khách hàng là các đơn vị chấp nhận thanh toán của họ.
• Vai trò của nhà cung cấp: Nhà cung cấp có thể hoạt động như một đối tác tích hợp quan trọng. Với việc Visa và Mastercard đã phát triển các dịch vụ passkey riêng biệt, độc quyền, một nhà cung cấp passkey có thể cung cấp một SDK thống nhất hoặc một "lớp điều phối" loại bỏ sự phức tạp của việc tích hợp với các API riêng biệt của mỗi mạng lưới, cung cấp một điểm tích hợp duy nhất, đơn giản hóa cho PSP.
• Ưu điểm:
  • Giải pháp thanh toán cho khách vãng lai được tiêu chuẩn hóa: Click to Pay với passkey giải quyết một điểm đau lớn của ngành: thanh toán của khách vãng lai có độ ma sát cao, tỷ lệ từ bỏ cao. Nó cung cấp một trải nghiệm nhất quán, dễ nhận biết và đáng tin cậy.
• Sự chấp nhận được thúc đẩy bởi Mạng lưới: Visa và Mastercard đang dồn toàn lực vào sáng kiến này, điều này sẽ thúc đẩy sự chấp nhận nhanh chóng từ các tổ chức phát hành, đơn vị chấp nhận thanh toán và người tiêu dùng. Các PSP sẽ phải đối mặt với áp lực cạnh tranh để hỗ trợ nó.
• Gánh nặng trách nhiệm pháp lý và bảo mật được đơn giản hóa: Mạng lưới thẻ, hoạt động như một Relying Party liên kết, gánh vác gánh nặng chính trong việc xây dựng và bảo mật cơ sở hạ tầng xác thực FIDO, đơn giản hóa tình hình bảo mật và trách nhiệm pháp lý cho đơn vị chấp nhận thanh toán.
• Nhược điểm:
  • Mất quyền kiểm soát và thương hiệu: Nhược điểm chính là đơn vị chấp nhận thanh toán và PSP của họ nhường quyền kiểm soát trải nghiệm người dùng thanh toán cho mạng lưới thẻ. Việc thanh toán trở thành một "thanh toán Visa" hoặc một "thanh toán Mastercard", có thương hiệu và giao diện người dùng của họ.
  • Tiềm năng bị trung gian hóa: Bằng cách trở thành nhà cung cấp danh tính trung tâm cho thương mại điện tử, các mạng lưới có thể làm suy yếu mối quan hệ dữ liệu và thương hiệu trực tiếp giữa đơn vị chấp nhận thanh toán và khách hàng theo thời gian.
  • Triển khai "Hộp đen": Hoạt động bên trong của máy chủ FIDO, các công cụ rủi ro và logic xác thực của mạng lưới là không rõ ràng đối với đơn vị chấp nhận thanh toán và PSP. Họ đang tích hợp với một dịch vụ mà họ không kiểm soát được các quy tắc và trải nghiệm người dùng.

Quá trình chuyển đổi sang xác thực thanh toán dựa trên passkey không phải là một bài tập lý thuyết; nó đang được thúc đẩy tích cực bởi các công ty lớn nhất trong ngành. Các chiến lược, chương trình thí điểm và tuyên bố công khai của họ cung cấp một cái nhìn rõ ràng về động lực cạnh tranh và quỹ đạo có khả năng xảy ra của việc áp dụng.

Become part of our Passkeys Community for updates & support.

Join

• PayPal: Là một thành viên sáng lập của FIDO Alliance và là một nhà cung cấp thanh toán kỹ thuật số bản địa, PayPal đã là một trong những người áp dụng passkey sớm và tích cực nhất. Họ đã bắt đầu triển khai theo từng giai đoạn trên toàn cầu vào cuối năm 2022, bắt đầu từ Mỹ và mở rộng sang châu Âu và các khu vực khác. Việc triển khai của họ là một nghiên cứu điển hình về các phương pháp hay nhất, tận dụng các tính năng như Conditional UI để tạo ra trải nghiệm đăng nhập một chạm tự động nhắc nhập passkey khi người dùng tương tác với trường đăng nhập. PayPal đã báo cáo thành công ban đầu đáng kể, bao gồm tỷ lệ đăng nhập thành công tăng và giảm đáng kể gian lận chiếm đoạt tài khoản (ATO). Chiến lược của họ cũng bao gồm việc tích cực vận động cho sự phát triển quy định ở châu Âu, thúc đẩy một cách tiếp cận dựa trên kết quả đối với SCA công nhận tính bảo mật vốn có của passkey được đồng bộ hóa.

• Visa: Chiến lược của Visa tập trung vào Visa Payment Passkey Service, một nền tảng toàn diện được xây dựng trên cơ sở hạ tầng máy chủ FIDO của riêng mình. Dịch vụ này được thiết kế như một mô hình liên kết, nơi Visa xử lý sự phức tạp của việc xác thực thay mặt cho các đối tác phát hành của mình. Phương tiện chính cho dịch vụ này là Click to Pay, định vị Visa để sở hữu trải nghiệm thanh toán của khách vãng lai. Thông điệp của Visa vượt ra ngoài các khoản thanh toán đơn giản, định hình dịch vụ passkey của họ như một yếu tố nền tảng của một giải pháp nhận dạng kỹ thuật số rộng lớn hơn có thể được sử dụng trên toàn hệ sinh thái thương mại. Họ đang tích cực thử nghiệm công nghệ này, bao gồm cả SPC, và báo cáo rằng xác thực sinh trắc học có thể cắt giảm tỷ lệ gian lận tới 50% so với OTP qua SMS.

• Mastercard: Mastercard đã phản ánh sự tập trung chiến lược của Visa vào một dịch vụ cấp mạng lưới, ra mắt Payment Passkey Service của riêng mình được xây dựng trên Token Authentication Service (TAS) hiện có. Chiến lược tiếp cận thị trường của họ đã được đặc trưng bởi một loạt các chương trình thí điểm toàn cầu nổi bật. Vào tháng 8 năm 2024, họ đã công bố một chương trình thí điểm lớn ở Ấn Độ, hợp tác với các nhà tổng hợp thanh toán lớn nhất của đất nước (Juspay, Razorpay, PayU), một đơn vị chấp nhận thanh toán trực tuyến lớn (bigbasket), và một ngân hàng hàng đầu (Axis Bank). Tiếp theo đó là các lần ra mắt tại các thị trường trọng điểm khác, bao gồm Mỹ Latinh với các đối tác Sympla và Yuno và UAE với Tap Payments. Cách tiếp cận này cho thấy một chiến lược rõ ràng: hợp tác với các nhà tổng hợp hệ sinh thái (PSP, cổng thanh toán) để đạt được quy mô nhanh chóng. Mastercard đã đưa ra một cam kết công khai táo bạo về việc loại bỏ việc nhập thẻ thủ công ở châu Âu vào năm 2030, chuyển hoàn toàn sang các giao dịch được mã hóa, xác thực bằng passkey.

Các chiến lược của những người tiên phong này cho thấy một động lực quan trọng. Trải nghiệm thanh toán của khách vãng lai, vốn là một lĩnh vực phân mảnh và có độ ma sát cao, đã trở thành đầu cầu chiến lược cho các mạng lưới thẻ. Bằng cách tạo ra một giải pháp vượt trội, được kích hoạt bằng passkey cho người dùng vãng lai thông qua Click to Pay, các mạng lưới có thể thiết lập một mối quan hệ nhận dạng trực tiếp với người tiêu dùng. Một khi người tiêu dùng tạo một passkey cấp mạng lưới trong một lần thanh toán của khách vãng lai, danh tính đó sẽ trở nên di động đến mọi đơn vị chấp nhận thanh toán khác hỗ trợ Click to Pay. Điều này cho phép các mạng lưới "thu thập" danh tính người dùng một cách hiệu quả và cung cấp một trải nghiệm liền mạch trên toàn bộ web, một động thái mạnh mẽ để chiếm lấy vai trò trung tâm của nhà cung cấp danh tính cho thương mại kỹ thuật số.

Những nỗ lực phối hợp của các công ty lớn này, kết hợp với các xu hướng công nghệ và quy định rộng lớn hơn, chỉ ra một sự thay đổi được tăng tốc và không thể tránh khỏi trong xác thực thanh toán.

• Sự cáo chung không thể tránh khỏi của OTP: Sự thúc đẩy toàn ngành đối với passkey báo hiệu sự khởi đầu của sự kết thúc cho mật khẩu một lần dựa trên SMS như một phương thức xác thực chính. OTP ngày càng được xem là một gánh nặng do cả trải nghiệm người dùng có độ ma sát cao và lỗ hổng ngày càng tăng trước các cuộc tấn công như hoán đổi SIM và các chiến dịch lừa đảo giả mạo tinh vi. Khi passkey trở nên phổ biến hơn, sự phụ thuộc vào OTP sẽ bị đẩy xuống thành một cơ chế dự phòng hoặc khôi phục, thay vì là một phương thức thử thách chính.

• Gió thuận từ quy định: Trong khi các quy định hiện hành như PSD2 đã tạo ra yêu cầu ban đầu cho SCA, các định nghĩa cứng nhắc, dựa trên danh mục của chúng đã tạo ra một số sự không chắc chắn xung quanh các công nghệ mới như passkey được đồng bộ hóa. Các bản cập nhật quy định sắp tới, chẳng hạn như PSD3 ở châu Âu, dự kiến sẽ áp dụng một cách tiếp cận trung lập hơn về công nghệ, tập trung vào kết quả. Điều này có khả năng sẽ ủng hộ các phương thức xác thực có khả năng chống lừa đảo giả mạo một cách rõ ràng, cung cấp một con đường quy định rõ ràng hơn cho việc áp dụng rộng rãi passkey như một phương thức SCA tuân thủ.

• Sự trỗi dậy của Nhận dạng thanh toán liên kết: Các động thái chiến lược của Visa và Mastercard không chỉ là về việc bảo mật các khoản thanh toán; chúng còn là về việc thiết lập một mô hình mới cho nhận dạng kỹ thuật số. Bằng cách xây dựng các dịch vụ passkey liên kết, họ đang định vị mình là các nhà cung cấp danh tính trung tâm, đáng tin cậy cho toàn bộ hệ sinh thái thương mại kỹ thuật số. Điều này có thể được xem như một phản ứng chiến lược trực tiếp đối với các nền tảng nhận dạng mạnh mẽ do Big Tech kiểm soát (ví dụ: Apple ID, Google Account). Tương lai của thanh toán trực tuyến gắn liền không thể tách rời với cuộc chiến lớn hơn này về việc ai sẽ sở hữu và quản lý danh tính người tiêu dùng trên web.

Trong khi giao dịch thanh toán cốt lõi là trọng tâm chính, công nghệ passkey sẵn sàng loại bỏ ma sát và tăng cường bảo mật trên một loạt các dịch vụ tài chính liền kề. Nhiều quy trình vẫn còn phụ thuộc vào mật khẩu hoặc OTP vụng về là những ứng cử viên lý tưởng cho việc nâng cấp bằng passkey.

• Cung cấp Ví kỹ thuật số: Quá trình thêm thẻ tín dụng hoặc ghi nợ vào một ví kỹ thuật số như Apple Pay hoặc Google Pay thường yêu cầu một bước xác minh, chẳng hạn như OTP qua SMS do tổ chức phát hành gửi. Đây là một điểm ma sát có thể được thay thế bằng một luồng passkey.
• Open Banking & Liên kết tài khoản: Nền tảng của ngân hàng mở là cho phép các ứng dụng của bên thứ ba (như ứng dụng lập ngân sách hoặc các dịch vụ fintech khác) truy cập dữ liệu tài khoản ngân hàng của người dùng. Điều này yêu cầu người dùng phải xác thực với ngân hàng của họ, một quá trình thường rất rườm rà. Passkey cung cấp một cách mượt mà và an toàn hơn nhiều để cấp sự đồng ý này, thay thế các chuyển hướng khó xử và nhập mật khẩu thủ công bằng một xác thực sinh trắc học đơn giản.
• Bảo mật Token Card-on-File (CoF): Ngoài việc chỉ bảo mật đăng nhập cho một tài khoản có thẻ đã lưu, passkey có thể được sử dụng để bảo mật hành động ban đầu là lưu thẻ. Một thử thách tại thời điểm người dùng thêm thẻ của họ cung cấp bằng chứng mạnh mẽ rằng chủ thẻ hợp pháp đang có mặt, giảm gian lận từ việc sử dụng số thẻ tín dụng bị đánh cắp để tạo hồ sơ CoF để lạm dụng sau này.
• BNPL và Cho vay tức thì: Dịch vụ Mua ngay, Trả sau và các hình thức tín dụng tức thì khác liên quan đến cả việc đăng ký ban đầu và đánh giá rủi ro cho mỗi giao dịch. Passkey đã được các nhà tiên phong như Klarna sử dụng để thay thế mật khẩu khi đăng nhập. Chúng cũng có thể được sử dụng như một phương thức xác thực tăng cường cho các giao dịch mua có giá trị cao hoặc khi người dùng đăng ký một hạn mức tín dụng mới, cung cấp một tín hiệu về ý định của người dùng mạnh mẽ hơn, ít ma sát hơn so với các phương pháp truyền thống.

Sự trỗi dậy của stablecoin (như USDC hoặc EURC) trình bày một kênh thanh toán mới dựa trên blockchain. Tuy nhiên, một rào cản lớn đối với việc áp dụng chính thống là trải nghiệm người dùng và bảo mật kém của các ví crypto. Theo truyền thống, các ví này được bảo mật bằng một "cụm từ hạt giống" (một danh sách 12-24 từ) mà người dùng phải viết ra và bảo vệ. Điều này cực kỳ không thân thiện với người dùng và làm cho việc khôi phục tài khoản trở thành một cơn ác mộng.

Passkey sẽ hoàn toàn biến đổi trải nghiệm này. Ngành công nghiệp đang hướng tới một mô hình nơi khóa riêng tư kiểm soát các tài sản trên chuỗi được bảo mật bằng passkey của thiết bị.

• Loại bỏ Cụm từ hạt giống: Thay vì viết ra một cụm từ hạt giống, ví của người dùng được tạo và bảo mật bằng bảo mật tích hợp của thiết bị của họ. Để ủy quyền một giao dịch, chẳng hạn như gửi stablecoin cho một đơn vị chấp nhận thanh toán, người dùng chỉ cần xác thực bằng Face ID hoặc quét vân tay. Điều này làm cho một khoản thanh toán crypto cảm thấy liền mạch và an toàn như sử dụng Apple Pay.
• Cho phép khôi phục tài khoản: Bằng cách sử dụng các kiến trúc ví như "tài khoản thông minh" (hoặc "trừu tượng hóa tài khoản"), các cơ chế khôi phục có thể được tích hợp sẵn. Một người dùng có thể chỉ định bạn bè, gia đình hoặc các tổ chức đáng tin cậy làm "người giám hộ" có thể giúp họ khôi phục tài khoản nếu họ mất tất cả các thiết bị của mình, một sự cải tiến lớn so với bản chất được ăn cả ngã về không của các cụm từ hạt giống.

Sự phát triển này có thể làm giảm đáng kể ma sát và rủi ro liên quan đến việc sử dụng stablecoin để thanh toán, có khả năng làm cho chúng trở thành một giải pháp thay thế khả thi và chính thống hơn cho các kênh thanh toán truyền thống.

Phân tích về bối cảnh thanh toán và các mô hình tích hợp passkey mới nổi cho thấy một số cơ hội riêng biệt và có thể hành động. Đối với một công ty xác thực ưu tiên passkey như Corbado, mục tiêu là trao quyền cho mọi người chơi trong hệ sinh thái để đạt được các mục tiêu chiến lược của họ bằng cách cung cấp công nghệ nền tảng cần thiết để điều hướng quá trình chuyển đổi này.

• Mục tiêu: Hiện đại hóa luồng thử thách 3DS, thay thế các OTP có độ ma sát cao để tăng tỷ lệ chuyển đổi, tăng cường bảo mật và đáp ứng trực tiếp tuân thủ PSD2/PSD3.
• Cách Corbado giúp: Chúng tôi cung cấp một mô-đun xác thực passkey có thể nhúng được thiết kế để tích hợp đơn giản vào các nền tảng Máy chủ kiểm soát truy cập (ACS) hiện có. Chúng tôi giúp các nhà cung cấp ACS cung cấp trải nghiệm thử thách tốt nhất, ít ma sát, mang lại lợi ích cho toàn bộ mạng lưới ngân hàng và đơn vị chấp nhận thanh toán của họ.

• Mục tiêu: Sở hữu hành trình khách hàng từ đầu đến cuối và cung cấp trải nghiệm thanh toán tối ưu thông qua Delegated Authentication (DA), loại bỏ thử thách 3DS cho người dùng đã đăng nhập.
• Cách Corbado giúp: Corbado cung cấp một giải pháp kích hoạt DA toàn diện. Điều này bao gồm không chỉ một hệ thống đăng nhập bằng passkey tốt nhất mà còn cả các công cụ và API để tạo ra các bằng chứng mật mã cần thiết mà các tổ chức phát hành yêu cầu để cấp miễn trừ DA. Chúng tôi hoạt động như một đối tác công nghệ, cho phép các đơn vị chấp nhận thanh toán và PSP tối đa hóa chuyển đổi và củng cố thương hiệu của họ.

• Mục tiêu: Dễ dàng cung cấp các tính năng mới nhất do mạng lưới yêu cầu như Click to Pay và giữ cho các nền tảng cạnh tranh mà không cần các nỗ lực phát triển tốn kém, trùng lặp.
• Cách Corbado giúp: Corbado cung cấp một lớp "Điều phối Passkey". Chúng tôi giúp tích hợp các dịch vụ của cả Visa và Mastercard và cũng cung cấp các cách để các đơn vị chấp nhận thanh toán có thể đồng thời cung cấp giải pháp passkey của riêng họ để mang lại một trải nghiệm thanh toán hiện đại cho khách vãng lai.

• Mục tiêu: Bảo mật toàn bộ hệ sinh thái ví, tạo ra một trải nghiệm đăng nhập và thanh toán liền mạch và an toàn, có thể di động trên toàn bộ mạng lưới đơn vị chấp nhận thanh toán của PSP.
• Cách Corbado giúp: Chúng tôi cung cấp cơ sở hạ tầng passkey cốt lõi cho phép các PSP lớn và các nhà cung cấp ví trở thành Relying Party trung tâm cho người dùng của họ. Bằng cách tích hợp giải pháp của chúng tôi, họ có thể thay thế mật khẩu cho các lần đăng nhập ví của mình (ví dụ: cho PayPal, Stripe Link hoặc Klarna). Điều này không chỉ bảo mật tài khoản chống lại việc chiếm đoạt mà còn hợp lý hóa việc ủy quyền thanh toán thành một bước sinh trắc học một cú nhấp chuột, tạo ra một trải nghiệm xác thực mạnh mẽ, có thương hiệu, giữ chân người dùng và thu hút các đơn vị chấp nhận thanh toán.

Phân tích này nhấn mạnh một yếu tố thành công quan trọng cho bất kỳ chiến lược dựa trên passkey nào: sự chấp nhận của người dùng. Một giải pháp có thể chứng minh được khả năng tăng tạo passkey và sử dụng từ mức cơ bản khoảng 10% lên hơn 50% giải quyết thách thức chính mà việc triển khai các mô hình xác thực mới này đang phải đối mặt. Dựa trên hệ sinh thái và các mục tiêu chiến lược của các bên tham gia, các tổ chức và lĩnh vực sau đây là những ứng cử viên hàng đầu cho một giải pháp như vậy.

• Vấn đề cốt lõi: Ma sát cao trong luồng thử thách 3DS dẫn đến việc bỏ giỏ hàng và mất doanh thu cho các đơn vị chấp nhận thanh toán, làm cho thẻ của một tổ chức phát hành kém cạnh tranh hơn.
• Cách việc áp dụng giúp: Tỷ lệ chấp nhận passkey cao hơn trực tiếp chuyển thành nhiều thử thách thành công, ít ma sát hơn. Điều này cải thiện tỷ lệ chuyển đổi, tăng cường bảo mật và làm cho thông tin xác thực thanh toán của tổ chức phát hành trở nên có giá trị hơn đối với cả đơn vị chấp nhận thanh toán và người tiêu dùng.
• Ứng viên hàng đầu: Các ngân hàng phát hành lớn (Bank of America, Chase, Barclays), và các nhà cung cấp ACS cung cấp công nghệ 3DS của họ (Netcetera, CA Technologies).

• Vấn đề cốt lõi: Mong muốn sở hữu hành trình khách hàng và loại bỏ ma sát khi thanh toán thường bị chặn bởi nhu cầu về một thử thách 3DS.
• Cách việc áp dụng giúp: Toàn bộ mô hình Delegated Authentication (DA) được dựa trên khả năng của đơn vị chấp nhận thanh toán trong việc xác thực mạnh mẽ người dùng khi đăng nhập. Tỷ lệ áp dụng passkey cao không chỉ là một sự cải tiến mà còn là một điều kiện tiên quyết cho một chiến lược DA thành công. Việc kích hoạt DA cho phần lớn người dùng là một yếu tố khác biệt cạnh tranh mạnh mẽ.
• Ứng viên hàng đầu: Các nhà lãnh đạo thương mại điện tử toàn cầu (Amazon, Walmart), các dịch vụ đăng ký kỹ thuật số (Netflix, Spotify), và các PSP toàn diện phục vụ họ (Stripe, Adyen, Checkout.com).

• Vấn đề cốt lõi: Sự thành công của các dịch vụ nhận dạng chiến lược, cấp mạng lưới như Click to Pay phụ thuộc trực tiếp vào việc người tiêu dùng đăng ký rộng rãi.
• Cách việc áp dụng giúp: Một trải nghiệm tạo passkey dễ dàng và hấp dẫn là điều cần thiết cho sự phát triển của các mạng lưới nhận dạng liên kết này. Các mạng lưới có thể nhúng một giải pháp tập trung vào việc áp dụng vào các SDK mà họ cung cấp cho các đơn vị chấp nhận thanh toán và PSP, đẩy nhanh việc triển khai và tiếp nhận các dịch vụ passkey độc quyền của họ.
• Ứng viên hàng đầu: Visa (cho Visa Payment Passkey Service của mình) và Mastercard (cho Token Authentication Service của mình).

• Vấn đề cốt lõi: Giá trị của ví (ví dụ: PayPal, Stripe Link, Klarna) gắn liền trực tiếp với số lượng người dùng tích cực, tham gia. Ma sát khi đăng nhập hoặc thanh toán làm suy yếu hệ sinh thái.
• Cách việc áp dụng giúp: Thúc đẩy việc áp dụng hàng loạt passkey cho tên miền riêng của ví (paypal.com, v.v.) là một mục tiêu chiến lược cốt lõi. Nó làm giảm gian lận, cải thiện trải nghiệm người dùng và tăng cường hiệu ứng mạng lưới, làm cho ví trở nên hấp dẫn hơn đối với cả người tiêu dùng và đơn vị chấp nhận thanh toán.
• Ứng viên hàng đầu: Các PSP toàn cầu có cung cấp ví (PayPal, Stripe Link, Klarna), và các công ty lớn trong khu vực (Mercado Pago, Block).

• Vấn đề cốt lõi: Các hệ thống thanh toán quốc gia phải đối mặt với áp lực hiện đại hóa cơ sở hạ tầng và cung cấp các giải pháp nhận dạng kỹ thuật số để duy trì tính cạnh tranh với các công ty công nghệ toàn cầu.
• Cách việc áp dụng giúp: Các mạng lưới này phải đảm bảo các dịch vụ thanh toán và nhận dạng kỹ thuật số mới của họ được sử dụng rộng rãi. Đối với một công ty như Australian Payments Plus (AP+), việc thúc đẩy áp dụng cho các dịch vụ như PayTo (cho thanh toán thời gian thực) và ConnectID (cho nhận dạng kỹ thuật số) là một mục tiêu chiến lược cốt lõi. Một giải pháp giúp tăng cường đăng ký passkey là một yếu tố thúc đẩy trực tiếp cho chiến lược này.
• Ứng viên hàng đầu: Australian Payments Plus (AP+) và các cơ quan cơ sở hạ tầng thanh toán quốc gia khác.

Các công ty công nghệ lớn vận hành các ví kỹ thuật số tinh vi đóng một vai trò độc đáo và mạnh mẽ trong hệ sinh thái thanh toán. Họ nằm ở giao điểm của thiết bị người dùng, danh tính nền tảng của họ và các kênh thanh toán truyền thống, mang lại cho họ một vị trí và chiến lược riêng biệt về việc áp dụng passkey.

Apple Pay và Google Pay được hiểu rõ nhất là một lớp công nghệ và xác thực nằm trên cơ sở hạ tầng thẻ thanh toán hiện có. Họ không tự phát hành thẻ hay xử lý giao dịch mà thay vào đó lưu trữ và truyền tải một cách an toàn các phiên bản được mã hóa của thẻ thanh toán hiện có của người dùng.

• Vị trí trong hệ sinh thái: Chúng hoạt động như một "vùng chứa" an toàn cho thẻ của người dùng. Khi người dùng thanh toán trực tuyến, thay vì nhập chi tiết thẻ, họ chọn Apple Pay hoặc Google Pay. Ví sau đó chuyển một token an toàn, sử dụng một lần cho cổng thanh toán của đơn vị chấp nhận thanh toán. Giao dịch vẫn diễn ra qua tổ chức thanh toán, mạng lưới và tổ chức phát hành như bình thường.
• Cách họ tận dụng Passkey: Họ xác thực người dùng bằng quét khuôn mặt hoặc vân tay với ví, ủy quyền cho nó phát hành token thanh toán. Đây là một sự kiện xác thực mạnh mẽ, ít ma sát, nhưng nó khác biệt với xác thực 3DS/SCA mà tổ chức phát hành thẻ chịu trách nhiệm. Một tổ chức phát hành về mặt kỹ thuật vẫn có thể kích hoạt một thử thách 3DS trên một giao dịch được khởi tạo qua Apple Pay, mặc dù xác thực mạnh mẽ ở cấp thiết bị làm cho điều này ít có khả năng xảy ra hơn.
• Cơ hội & Cách họ hưởng lợi từ việc áp dụng:
  • Hợp lý hóa việc cung cấp Ví: Quá trình thêm thẻ vào ví thường yêu cầu OTP từ tổ chức phát hành. Đây là một điểm ma sát chính. Apple và Google có thể làm việc với các tổ chức phát hành để thay thế điều này bằng một luồng passkey trong ứng dụng, sử dụng passkey để xác minh người dùng ngay lập tức. Một giải pháp áp dụng cho các đối tác phát hành của họ sẽ làm cho ví của họ dễ dàng nạp và sử dụng hơn.
  • Trở thành một Cơ quan được ủy quyền: Mục tiêu chiến lược cuối cùng của họ là tận dụng xác thực nền tảng mạnh mẽ của mình để trở thành bên xác thực cuối cùng, đáng tin cậy cho các khoản thanh toán. Nếu các tổ chức phát hành chính thức công nhận xác thực Apple Pay hoặc Google Pay đáp ứng các yêu cầu SCA, họ có thể trở thành Cơ quan được ủy quyền, loại bỏ hoàn toàn thử thách 3DS. Tỷ lệ chấp nhận cao các passkey nền tảng của riêng họ là rất quan trọng để biến điều này thành một đề xuất hấp dẫn cho các tổ chức phát hành.

Amazon Pay và Meta Pay hoạt động giống như một đơn vị chấp nhận thanh toán truyền thống với một ví Card-on-File (CoF) rất lớn có thể được sử dụng trên các trang web của bên thứ ba và trong hệ sinh thái của riêng họ (ví dụ: cho thương mại xã hội trên Instagram).

• Vị trí trong hệ sinh thái: Họ là một ví dụ kinh điển của mô hình Tập trung vào Đơn vị chấp nhận thanh toán. Người dùng lưu trữ thẻ thanh toán của họ trực tiếp trong tài khoản Amazon hoặc Meta của họ. Khi họ sử dụng Amazon Pay hoặc Meta Pay để thanh toán, họ đang xác thực với tài khoản chính của mình, và nền tảng đó xử lý thanh toán thay mặt họ.
• Cách họ tận dụng Passkey: Việc sử dụng chính của passkey của họ là để bảo mật đăng nhập tài khoản chính của người dùng (ví dụ: passkey cho Amazon.com). Bằng cách chuyển cơ sở người dùng khổng lồ của họ từ mật khẩu sang passkey để đăng nhập tài khoản, họ giảm đáng kể nguy cơ gian lận chiếm đoạt tài khoản và bảo vệ các thông tin xác thực thanh toán có giá trị đã được lưu trữ.
• Cơ hội & Cách họ hưởng lợi từ việc áp dụng: Lợi ích của họ là trực tiếp và ngay lập tức. Một giải pháp thúc đẩy việc áp dụng passkey cho các tài khoản người dùng cốt lõi của họ:
  1. Giảm gian lận: Giảm đáng kể bề mặt tấn công cho việc chiếm đoạt tài khoản, một nguồn tổn thất tài chính và sự không hài lòng của khách hàng lớn.
  2. Giảm ma sát: Tạo ra một trải nghiệm đăng nhập và thanh toán liền mạch và an toàn, đã được chứng minh là làm tăng tỷ lệ chuyển đổi. Đối với những người chơi này, một giải pháp giúp tăng cường việc áp dụng passkey là một khoản đầu tư trực tiếp vào bảo mật và hiệu suất của hoạt động kinh doanh thương mại cốt lõi của họ. Do đó, họ là những ứng cử viên hàng đầu cho một giải pháp như vậy.

Ngành công nghiệp thanh toán đang ở buổi bình minh của một kỷ nguyên xác thực mới. Sự thỏa hiệp lâu dài giữa bảo mật và sự tiện lợi cuối cùng cũng đang được giải quyết bằng sự trưởng thành và áp dụng của công nghệ passkey. Phân tích được trình bày trong báo cáo này cho thấy đây không phải là một sự thay đổi đơn lẻ mà là một quá trình chuyển đổi phức tạp với nhiều tầm nhìn cạnh tranh cho tương lai. Các tổ chức phát hành tìm cách tăng cường khuôn khổ 3DS hiện có với SPC; các đơn vị chấp nhận thanh toán lớn và PSP nhằm mục đích nắm quyền kiểm soát trải nghiệm thông qua Delegated Authentication hoặc bằng cách xây dựng hệ sinh thái ví của riêng họ; và các mạng lưới thẻ đang tạo ra một lớp nhận dạng liên kết mới với Click to Pay. Mỗi mô hình đang cạnh tranh để trở thành tiêu chuẩn mới cho sự tin cậy của người dùng và sự tiện lợi.