В июне 2023 года консорциум W3C анонсировал новый стандарт для подтверждения финансовых операций Secure Payment Confirmation (SPC), который в случае принятия упростит платежи в интернете. Пока стандарт опубликован в качестве рекомендации-кандидата (Candidate Recommendation).

SPC делает стандартом для финансовых транзакций браузерную криптографию Web Authentication (WebAuthn). Это платежи по отпечатку пальца/скану лица/пинкоду и т. д. Теперь вместо кода или SMS для подтверждения транзакции 2FA можно предъявлять отпечаток пальца.

Новый стандарт должен упростить аутентификацию пользователей, обеспечить строгую аутентификацию клиента (SCA) и получение криптографического доказательства согласия. Наличие криптографического доказательства — важный аспект нормативных требований и регуляций в разных странах, в том числе Директивы о платёжных услугах (PSD2) в Европе.

В целом SPC полагается на технологию WebAuthn и работает примерно по такому же механизму, как представленный недавно стандарт беспарольной аутентификации Google Passkeys (ключи доступа), который позволяет войти в аккаунт без пароля, а по пальцу, лицу, локальному пинкоду или аппаратному ключу. То есть авторизоваться в тем же методом, каким пользователь авторизуется в операционной системе. Это считается достаточным криптографическим доказательством согласия и для аутентификации на удалённом сервере, и для платежа.

Неудивительно, что Google является одним из разработчиков технологии SPC.

Как мы упоминали в недавней статье про Passkeys, сканирование отпечатка пальца — это самый простой и безопасный метод аутентификации, согласно опросам пользователей:


Источник: «Мультимодальная аутентификация пользователей в „умных“ средах: Исследование отношения пользователей»

Сканер отпечатка пальца и/или лица присутствует в большинстве современных смартфонов.



Принятие SPC в качестве рекомендации-кандидата указывает на то, что набор функций «является стабильным и получил широкое рассмотрение», сказано в пресс-релизе W3C. Теперь консорциум должен получить дополнительные примеры экспериментального внедрения SPC, прежде чем внести окончательные правки и принять финальную версию стандарта.

W3C отмечает актуальность нового стандарта в связи с широким распространением электронной коммерции и усилением требований к защите платежей. Если в 90-е годы для платежа было достаточно ввести номер кредитной карты в форму с POST-запросом, то сейчас это редкость. Более того, в Европе и других странах такой метод запретили законодательно, введя обязательную многофакторную аутентификацию для некоторых видов платежей. Вот здесь и возникает проблема.

Хотя многофакторная аутентификация снижает уровень мошенничества, она затрудняет процедуру платежа и увеличивает количество отказов от совершения сделки (например, см. результаты эксперимента Microsoft по использованию SCA в рамках PSD2):



В 2019 году рабочая группа W3C по веб-платежам начала работу над безопасным стандартом подтверждением платежа, который обеспечит строгую аутентификацию клиента (SCA), но будет проще в использовании. Компания Stripe осуществила пилотный проект SPC и в марте 2020 года. В эксперименте Stripe после обычной транзакции пользователю предлагается проводить будущие платежи по отпечатку пальца:



Затем браузер проверяет соответствующие криптографические примитивы:



На этом процедура завершена:



В следующий раз после ввода данных карты браузер предлагает подтвердить перевод отпечатком пальца:



После проверки в браузере платёж завершается.

По сравнению с одноразовыми паролями (OTP) аутентификация SPC увеличила конверсию на 8% и ускорила процедуру аутентификации втрое: с 36 до 12 секунд.

SPC разработан при участии группы по созданию спецификаций для безопасности платежей Web Payment Security Interest Group, куда входят W3C, FIDO Alliance и EMVCo. В результате новый стандарт совместим с актуальными протоколами двухфакторной аутентификации EMV 3-D Secure (версия 2.3) и EMV Secure Remote Commerce (версия 1.3).

Поддержка технологии SPC требует внесения изменений в браузеры для реализации WebAuthn. В настоящее время она доступна в браузерах Chrome и Edge на платформах macOS, Windows и Android. Рабочая группа W3C по веб-платежам будет способствовать внедрению этой технологии в других браузерах.

Сейчас W3C наблюдает за проведением других пилотных программ, включая второй эксперимент Stripe. Результаты ожидают к сентябрю 2023 г. После этого возможна окончательная стандартизация.



Предполагается, что платежи по SPC станут удобнее для всех. Для пользователей это более простой способ оплаты, а для мерчантов — увеличение конверсии.