3Dセキュア導入について質問があります。

質問 ①

Squareから頂いた「EMV 3-Dセキュア」メールに記載されている内容の一部です。

------------------------------------------------------------------------------------------------------------------------

tokenize()を実行し、決済トークンを取得します。tokenize()は、total、intent、billingContact、customerInitiated、sellerKeyedinに対応しています。これらのフィールドにより、Squareは3Dセキュアに関するすべての規制ロジックを処理し、必要に応じて3Dセキュアを適用し（規制の対象となる場合）、決済トークンを返す前に購入者のリスク評価を実行することができます。

決済を処理するため、決済トークンを使用してcreatePaymentを実行します。
Squareは各決済について、経済産業省の規制範囲に該当するかを判断し、必要に応じて義務に基づき3Dセキュア認証を適用します。

この新しい決済フローは現時点ではベータ版ですが、すぐに実装しても、正式版（GA）へ移行する際に重大な変更や追加の更新は発生しません。

------------------------------------------------------------------------------------------------------------------------

弊社の決済処理は下記になります。

サブスク時tokenize()を実行していないこと以外はメールに記載された処理とほぼ同じ処理になります。

（カード登録にはWeb Payments SDK、サブスクは PHP SDKを使用しています。）

1. tokenize()を実行
2. 決済トークンを取得
3. 決済トークンを使ってカードを登録 (createCard)
  https://github.com/square/square-php-sdk/blob/master/doc/apis/cards.md#create-card
4. サブスク処理を走らす(createSubscription)
　https://github.com/square/square-php-sdk/blob/master/doc/apis/subscriptions.md#create-subscription
  ※ サブスク処理時tokenize()は実行しておりません、初回カード登録時のみ実行しています。

これで3DSに対応済とのことであっていますでしょうか？

質問 ②

sandbox環境で3DSのテストを行う方法を教えて頂けますでしょうか？

質問 ③

サブスク決済中3DSで「不正な取引」だと判定されて追加認証が必要なケースがあると思います。このケースについて別途対応は必要でしょうか？
※ 例えば Squareのwebhookから「追加認証が必要です。」などのイベントがあり、webhookイベントを受け取りユーザーに追加認証メールを送るなど。