立即创建 Airwallex 空中云汇账户

Published on 15 December 2025•8 分钟

什么是 3D Secure（3DS）验证？出海企业如何在安全与转化之间找到平衡？

对于出海的中国商户而言，支付链路正面临日益复杂的挑战。一方面，欧美等市场的线上支付安全与合规要求不断提高，其中，Visa、Mastercard等国际卡组织已将3D Secure authentication（简称3DS）作为广泛采用的安全验证标准。另一方面，商户营收持续受到支付失败、误拒付和欺诈的侵蚀：研究显示，错误拒付可能导致约三分之一的消费者流失；超过半数的消费者会因结账耗时超过两分钟而放弃支付；同时，线上支付欺诈的成本也在逐年显著增加。因此，出海中国企业面临的挑战在于如何在保障安全合规、提升支付成功率的同时，确保优质的用户体验。本文将从基础概念出发，详细解析3DS是什么、3DS1与3DS2的区别，以及3DS对出海业务的影响。此外，本文还将介绍 Airwallex空中云汇的 Optimize 360 AI支付优化引擎，助力企业将 3DS 这一“挑战”转化为“增长机遇”。

什么是 3D Secure（3DS）验证？

3D Secure（3DS）验证，全称是 3-Domain Secure，直译“三域安全协议”，是由国际卡组织（Visa、Mastercard 等）推出的一套跨境信用卡在线支付安全认证协议。其核心目标是通过“持卡人、商户/收单机构、发卡行”三个领域的信息交互，验证持卡人的真实身份，防范盗刷等欺诈风险，保障在线支付交易的安全性。

「3D」指的是支付过程中的三个参与方（Three Domains）：

发卡行域（Issuer Domain）：持卡人的发卡银行
受理行/收单机构域（Acquirer Domain）：商户的收单机构或支付服务提供方
互联域（Interoperability Domain）：卡组织等支付网络

简单来说，3DS 验证就像是跨境支付中的“身份安检”：在一次启用了 3DS 的在线交易中，这三方会协同完成身份验证。例如，在顾客输入卡号完成下单后，系统可能会跳转到银行页面，要求输入一次性验证码，或在手机银行 App 中进行人脸/指纹验证。通过验证后，交易才会被授权。

这套机制最早诞生于 2001 年，经过两次重大升级，形成了如今主流的 3DS1 和 3DS2 两个版本。

3DS1 vs 3DS2：体验和能力有什么不同？

虽然 3DS1 和 3DS2 都属于同一安全协议的不同版本，但在实际体验和技术能力上有明显差异。

什么是 3DS1？

3DS 1.0 (3-D Secure 1.0) 是最早期的 3D Secure 协议，由 Visa 首先推出，MasterCard 等卡组织随后跟进，它是一种早期的、分散维护的在线支付安全验证协议，旨在通过密码或安全问题等方式验证持卡人身份。

典型体验包括：

付款时跳转到银行验证页面
输入预设的静态密码，或通过短信 / 邮件接收一次性验证码（OTP）
完成验证后返回商户页面，交易才会继续处理

优点是安全性有所提升，但体验上的痛点也很明显：

经常需要切换设备（例如从 PC 跳到手机收短信）
OTP 短信/邮件偶尔会延迟甚至收不到
页面跳转和加载较慢，用户易在中途放弃

随着 3DS2 的推出，多数主要卡组织和收单方已在近年陆续停止支持 3DS1。

什么是 3DS2？

3DS2（3D Secure 2.0） 是 3D Secure 的升级版本，由 EMVCo 在 2016 年 10 月推出的，旨在取代旧的 3DS 1.0，并通过提供更丰富的交易数据和无缝的验证体验（例如生物识别或一次性密码），核心改进包括：

更丰富的数据共享：在交易请求中携带更多设备指纹、行为、地理位置等数据，帮助发卡行更准确评估风险。
更灵活的认证方式：支持生物识别（指纹、人脸）、App 内推送确认、一次性密码等多种方式。
优化移动端体验：专门为手机、平板等设备优化交互，减少跳转和白屏时间。

一个关键变化是，3DS2 支持“后台静默验证”，无需跳转页面，大部分场景下可在商户页面内完成验证，甚至部分低风险交易可实现“无感验证”（frictionless flow）：当模型判断风险足够低时，系统可以在后台自动完成验证，顾客无感知即可完成支付。只有在风险偏高、或监管要求较严格的情况下，才触发 step-up 验证（例如弹出人脸验证或 OTP）。对出海商户而言，这意味着在保障安全和合规的前提下，大多数正常交易都能提供更顺畅的体验。

从 3DS1 到 3DS2，核心升级方向是“提升用户体验”与“强化风险识别能力”，两者的差异直接影响出海商户的支付转化率和合规成本，具体对比可总结为以下几点：

1. 验证流程：3DS1 以“浏览器跳转”为核心，消费者需离开商户页面，跳转至发卡行的独立页面完成验证，流程繁琐且易出现页面加载失败问题；3DS2 支持“后台静默验证”，无需跳转页面，大部分场景下可在商户页面内完成验证，甚至部分低风险交易可实现“无感验证”，极大降低了用户操作门槛。

2. 数据交互能力：3DS1 仅能传输有限的卡片信息，风险识别维度单一；3DS2 可同步传输更多交易场景数据（如设备信息、购买历史、交易金额、商品类型等），为精准识别风险提供了数据基础。

3. 适配场景：3DS1 主要适配电脑端支付，对移动端（手机、平板）的兼容性较差；3DS2 原生支持移动端、APP 内支付等多场景，契合当前全球电商“移动化”的趋势，尤其适合做 DTC 品牌、跨境电商的出海商户。

4. 合规覆盖：随着全球支付合规要求的收紧（如欧盟 PSD2 法规），3DS2 已成为欧洲等主要市场的合规标准，而 3DS1 正在被逐步淘汰。对于布局欧洲、东南亚等主流出海市场的商户而言，升级 3DS2 已是必然选择。

3DS 为什么对出海中国商户特别重要？

当出海业务拓展到欧洲、英国等市场时，受 PSD2 / SCA 等法规约束，3DS 基本已经从“可选项”变成了“必须打好基础的合规组件”；在北美等市场，虽然监管尚未强制要求，但 3DS 也正逐步成为提升授权成功率、防范欺诈的关键手段。

1. 应对海外监管与合规要求

以欧洲为例，《支付服务指令 2》（PSD2）规定，在线支付需要满足强客户认证（SCA, Strong Customer Authentication），即至少采用「持有物 + 知识 + 生物特征」中的两要素组合来验证用户身份。

在实践中，3DS2 是满足 SCA 要求的主流方式。如果您向欧洲消费者收款，却没有合规地实施 3DS 策略，很可能面临：

交易被发卡行直接拒绝
无法享受部分监管豁免带来的成功率提升
在纠纷和退单中处于更不利的位置

2. 降低欺诈和拒付风险

对于跨境电商、数字内容、游戏充值等场景，盗刷和欺诈交易一直是头疼问题：

诈骗分子可能利用窃取的卡号在您的网站进行交易
即使交易一开始被授权，持卡人在发现异常后往往会提出拒付（chargeback）
高拒付率不仅带来直接损失，还可能导致收单通道风险评级升高、费率增加甚至被停用

启用 3DS 后，即使卡号和安全码被他人获取，由于需要额外的身份验证，欺诈交易将难以完成，从而从源头上降低欺诈成功率和后续拒付风险。同时，在完成 3DS 验证的交易中，欺诈责任通常会由发卡行承担，而不是商户（具体条款取决于卡组织和通道），这也为商户提供了额外保护。

3. 提升消费者信任和转化率

在高客单价、长期服务或订阅类场景中，用户更关注资金安全。当他们看到熟悉的银行验证页面、或通过手机银行 App 完成确认时，会更愿意信任这一支付流程，进而提升整体转化率和复购率。

3D Secure 验证是如何运作的？

以当前主流的 3DS2 为例，完整的验证流程涉及“商户/收单机构、3DS 服务提供商、发卡行、消费者”四大主体，整体流程可分为 5 个核心步骤，全程仅需数秒：

1. 交易触发：消费者在商户平台提交订单，输入信用卡信息后点击“支付”，商户系统将交易信息（卡片信息、交易金额、设备信息等）同步至合作的收单机构（如Airwallex 空中云汇）。

2. 数据传输与验证请求：收单机构通过 3DS 服务提供商，向发卡行发送 3DS 验证请求，并同步传输收集到的交易相关数据。

3. 发卡行风险评估：发卡行基于收到的交易数据，结合自身用户画像、历史交易记录等信息，自动进行风险评级——低风险交易直接通过验证，中高风险交易则需要进一步验证持卡人身份。

4. 身份验证执行：若需进一步验证，发卡行会通过 3DS 服务提供商向消费者推送验证指令，验证方式包括短信验证码、动态口令、生物识别（指纹/面容）、回答预设问题等；消费者完成验证后，结果将同步回发卡行。

5. 交易结果反馈：发卡行将“验证通过”或“验证失败”的结果反馈给收单机构，收单机构再同步至商户系统，商户系统根据结果完成订单确认（验证通过）或交易取消（验证失败）。

3DS 的优势：安全、责任转移与合规简化

3DS 验证对出海商户的优势体现在“长期运营效率”上，具体可总结为四点：

1. 全方位安全防护：3DS 验证通过“多主体信息交互”和“动态身份验证”，从源头阻断盗刷交易，降低欺诈率。对于出海商户常见的“卡片信息泄露盗刷”“伪卡交易”等风险，3DS 是目前行业公认的有效防护手段。

2. 明确的责任边界：如前文所述，3DS 验证能实现“欺诈责任转移”，这对于出海商户而言，可大幅减少因欺诈导致的资金损失和纠纷。尤其在欺诈率较高的市场（如部分拉美、非洲市场），这种责任转移能显著降低运营风险。

3. 合规成本简化：3DS2 已成为全球多数市场的通用合规标准，接入 3DS 验证后，商户无需针对不同市场单独搭建合规方案，可通过一套系统满足多地区的合规要求，减少合规搭建成本和后续维护成本。

4. 增强消费者信任：对高客单价商品、长期订阅、虚拟产品等来说，消费者看到熟悉的银行验证流程，会更愿意完成支付。

接入 3DS 面临的挑战：用户体验不佳、误拒率高、技术复杂

尽管 3DS 优势显著，但传统 3DS 应用中，出海商户仍面临三大核心挑战，这些挑战直接影响支付成功率和用户体验：

用户体验中的阻碍：尤其是 3DS1 时代的“页面跳转”验证，容易让消费者产生“支付流程繁琐”“担心跳转页面是钓鱼网站”的顾虑，部分消费者会直接放弃支付，导致支付转化率下降。即使是 3DS2，若频繁触发高强度验证（如多次要求输入验证码），也会降低用户体验。
正常交易误拒：传统 3DS 验证的风险评估依赖“固定规则”（如交易金额超过 X 元触发验证、异地交易触发验证），缺乏灵活性。部分正常交易（如消费者出差时的异地支付、节日期间的大额购物）可能被误判为高风险，导致验证失败或交易被拦截，造成商户订单损失。
技术接入复杂度：对于中小出海商户而言，自主接入 3DS 验证需要对接多个卡组织、处理复杂的接口开发和数据同步，技术门槛高、周期长；同时，不同市场的合规要求差异、卡组织的规则更新，也会增加后续维护的复杂度。

因此，对大多数高速增长中的中国出海商户而言，更现实的做法不是「自己从零搭一套 3DS 系统」，而是选择一个已经把 3DS 和 AI 风控深度集成好的全球收单合作伙伴。

3DS 优化进阶：从传统规则到 AI 智能决策的升级

要在安全与转化之间平衡 3DS，通常会经历三个阶段：

1. 阶段一：基础启用

这是很多商户的起点：在支付通道支持的情况下，直接全量启用 3DS，确保先满足基本的欺诈防控和合规需求。问题在于，如果对所有交易一刀切要求验证，往往会放大客户支付体验不佳和误拒问题，尤其是在低风险、低客单价、或回头客占比较高的业务中。

2. 阶段二：基于规则的风险分级

更成熟的商户会根据自身业务特点，建立一套基础的风险规则（Risk Rules），例如：

交易金额超过某阈值时，强制触发 3DS
高频小额连续交易触发额外验证
可疑地理位置或 IP 段交易要求强制验证
对历史欺诈率较高的 BIN / 发卡行配置更严格策略

通过这类规则，可以将最严格的验证仅用于高风险交易，降低对正常顾客的干扰，但也带来新问题：

规则设计和调优高度依赖经验，且难以及时跟上欺诈手法和发卡行偏好的变化
不同市场、不同发卡行的表现差异很大，手工维护成本极高

3. 阶段三：借助 AI 和实时数据驱动的 3DS 决策

更进一步的做法，是将 3DS 视为整条支付优化链路中的一个关键决策点，把风控引擎、设备指纹、交易历史和发卡行反馈统一纳入同一个 AI 决策系统中：

每一笔交易根据数十甚至上百个维度生成实时风险评分
系统自动决定是否触发 3DS、采用哪种验证路径、是否结合其他风控手段
模型根据最新的授权结果、拒付反馈和欺诈事件持续自我学习

这正是 Airwallex 空中云汇 Optimize 360 AI 支付优化引擎的核心理念所在。

Optimize 360：Airwallex 空中云汇 AI 驱动方案，让 3DS 从合规成本变增长引擎

Optimize 360 是 Airwallex 空中云汇为全球收单打造的 AI 支付优化引擎，内嵌在整个支付栈之中，从结账体验、路由和重试、欺诈防控到 3DS 策略和卡片生命周期管理，全链路实时做出数百个微决策，帮助商户在「支付成功率、成本和欺诈风险」三者之间取得最优平衡。它并非一个“额外外挂工具”，而是 Airwallex 空中云汇全球收单能力中已内置的基础引擎，对企业而言，几乎是“即时可用”。围绕 3DS 和风控，Optimize 360 主要从三个维度提升表现：Maximize（成功率）、Secure（安全性）、Setup & Sustain（长期稳定）。

1. 成功率 Maximize：用 AI 恢复本该成功的交易

Optimize 360 在触发 3DS 验证的前后，都持续致力于提升支付成功率。

智能路由与重试（Smart Routing & Retries）
- 根据发卡行历史响应、BIN 行为模式和地理位置，为每笔交易选择最优路由路径和重试策略
- 避免「盲目重复重试」导致的风险提升和成本浪费
发卡行感知的参数优化（Issuer-aware Optimization）
- 根据不同发卡行对报文字段的偏好，自动优化授权请求中的格式和字段组合，提高通过率
3DS 触发策略与免验证路径选择
- 对低风险交易尽量采用无感验证路径，在不牺牲安全的前提下减少不必要的 3DS 窗口弹出
- 对高风险或合规强制要求的交易，确保 3DS 被正确触发并顺利完成，避免因缺失验证直接被拒绝

对于交易量较大的中大型商户而言，即使成功率仅提升 0.5% 至 2%，也意味着一笔可观的“找回的营收”。

2. 安全性 Secure：在不牺牲转化的前提下强化防欺诈

Optimize 360 将 3DS 策略与 Airwallex 空中云汇风控引擎深度融合。

AI 风控引擎
- 结合设备指纹、行为模式、IP/地理位置、历史交易等结构化和非结构化数据进行实时风险评估
- 使用监督学习、无监督学习以及强化学习等多种模型，识别异常行为与潜在欺诈
智能 3DS 编排（Smart 3DS Orchestration）
- 对不同风险等级和地区监管要求，动态选择是否、何时以及如何触发 3DS
- 在必要时采用最适合的验证方式（例如 App 内推送、生物识别），同时兼顾合规与体验
可配置的风险偏好与规则
- 商户可以配置自己的风险偏好，例如在哪些场景更注重转化、在哪些场景更注重风控
- 支持黑白名单、手工审核等高级策略，与 AI 引擎形成互补

借助这套整合方案，商户可以在大幅降低欺诈和欺诈拒付率的同时，最大限度地减少对正常用户的干扰，从而实现安全与转化的双赢。

3. 长期稳定性 Setup & Sustain：为长期营收打基础

除了即时的 3DS 决策，Optimize 360 还在更长周期内帮助企业避免支付失败和运营复杂度：

网络令牌化与卡片更新（Network Tokenization & Card Updater）
- 对于保存卡信息的订阅/自动扣款场景，智能选择使用卡号还是网络令牌，以不同发卡行和市场的成功率表现为依据
- 结合卡片账户更新能力，自动更新过期、挂失或重新发行的卡片信息，减少因卡片信息过期导致的拒付
支付数据洞察与报表
- 通过详细的支付活动导出和风险分析报表，让企业清晰理解 3DS 触发、风险引擎拦截和发卡行拒绝分别在何处发生，从而进一步优化业务策略。

对中国出海商户，这些优化有什么价值？

无论是经营跨境电商独立站、SaaS/订阅服务、游戏与数字内容平台，抑或是 OTA、航旅等高客单价业务，3DS + Optimize 360 均能带来以下三方面的核心价值：

真实营收回收（Recover Lost Revenue）
- 减少本不该发生的拒付（如格式问题、风控过度保守、缺失 3DS 等原因）
- 提升支付成功率，尤其是在欧洲、英国、北美等卡支付占比较高的市场
合规无忧（Stay Compliant, Stress Less）
- 利用 3DS2 技术和合规豁免，在遵循 PSD2 / SCA 等监管框架要求的同时，最大限度地减少手动调整和适配的工作
更好的用户体验（Better Experience, More Loyalty）
- 绝大多数低风险交易可在用户几乎无感知的情况下完成，仅在真正有必要时才弹出 3DS 验证，在保护用户资金安全的同时，确保购买流程的流畅性