Российский рынок e-commerce живет в условиях кризиса, сейчас то время, когда одной из ключевых задач для успешного «выживания» является настройка всех «винтиков» механизма вашего сайта. Один из таких «винтиков» — это сервис приема онлайн-платежей на сайте. При правильном подходе он может стать фактором успеха, а при неверном использовании — привести к серьезным проблемам. В данном выпуске, первом из серии «9 секретов онлайн-платежей», содержащей восьмилетний опыт работы команды PayOnline, мы поделимся правилами настройки протокола 3-D Secure для успешной обработке платежей на вашем сайте.Краткий экскурс в историю вопроса
Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.
Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.
Почему 3-D Secure так называется? В обработке платежа с использованием протокола 3DS участвует три домена (3D), на которых создаются и проверяются транзакции (платежные операции по банковским картам): домен эквайера, домен эмитента и домен взаимодействия.
Как это работает?
80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?
Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.
Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.
С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.
Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.
Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.
Компромисс между безопасностью и конверсией
Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.
Можно условно выделить три основных типа настроек протокола 3DS:
- Минимальный 3DS;
- FULL 3DS;
- Двухступенчатый 3DS.
Подробнее о настройке протокола 3-D Secure мы расскажем далее. Отметим сразу, что далее мы будем говорить о настройке приема платежей по картам, подписанным на Verified by Visa или MasterCard SecureCode.
Full 3DS
Full (полный) 3DS – это базовая настройка протокола 3DS, рекомендованная международными платежными системами. Эта настройка минимизирует риск возникновения мошеннических операций и, соответственно, вероятность чарджбэков и финансовых рисков для компании.
Как это работает? Очень просто. Платежи одобряются только после прохождения авторизации с помощью протокола 3DS. Действует для всех карт без исключения. Все транзакции проходят по протоколу 3DS.
Если проверка по 3DS на стороне эмитента не работает или карта не подписана на 3DS, транзакция пройдет только с согласия эмитента, в противном случае будет отклонена.
Такая настройка протокола соответствует международным стандартам безопасности и минимизирует уровень рисков возникновения мошеннических операций. В рамках нашего базового коробочного платежного решения Pay-Start (решение разработано для сайтов с оборотом до 30 тысяч рублей в сутки), используется только базовая, Full, настройка протокола 3DS. Это обеспечивает небольшим компаниям практически полную безопасность при приеме платежей. Платежный сервис несет ответственность за безопасность платежей и никогда не порекомендует клиенту «поставить себя под удар» мошенников.
Однако, в случае с крупным бизнесом, вопрос увеличения конверсии становится настолько критичным, что может заставить предпринимателя пойти на уступки в отношении безопасности. В этой ситуации часть или все платежи по банковским картам обрабатываются без проверки с помощью 3DS. Это касается минимальной и двухступенчатой настроек протокола.
Минимальный 3DS
Минимальные настройки протокола 3DS позволяют проверить карты, подписанные на 3DS, а остальные пропустить без проверки (точнее с проверкой – но с помощью других инструментов системы безопасности, так называемых фильтров безопасности).
Итак, при выборе минимальных настроек 3DS:
- Если карта не подписана на 3DS, транзакция проходит без 3DS.
- Если карта подписана на программу Verified by Visa или Mastercard SecureCode, транзакция проходит по 3DS.
- Если по каким-то причинам проверка по 3DS на стороне эмитента (банка, выпустившего карту) не работает, решение о судьбе транзакции принимается в соответствии с заранее заданным алгоритмом.
Двухступенчатый 3DS
Эта настройка протокола 3DS похожа на минимальную, но имеет одно существенное отличие. В этом случае все запросы на одобрение транзакций направляются в банк-эмитент по протоколу 3DS. И банк-эмитент принимает решение о возможности проведения транзакции, если карта плательщика не подписана на протокол 3DS. Если банк отклоняет транзакцию, она направляется на проверку повторно, но уже не по протоколу 3DS.
Можно пойти дальше и выбрать один из трех возможных вариантов, настроив 3-D Secure ещё «тоньше», учитывая тип бизнеса и географию стран, в которых представлены интересы компании. Например, включить 3DS для определенных стран или заданного типа карт, а также в зависимости от различных параметров платежа — суммы, географии плательщика и т.д.
Нужно еще раз отметить, что минимальный и двухступенчатый 3DS при непрофессиональном использовании могут повысить уровень риска возникновения мошеннических операций и, соответственно, финансовых потерь. В общем, настройка 3DS – это совсем не игрушка.
Перед изменением настроек протокола проводится совместный анализ аудитории и специфики бизнеса компании (средний «по больнице» уровень рисков в данном сегменте, география приема платежей, размер среднего чека и т.д.). Анализ проводится специалистами платежного сервиса при участии представителей компании клиента. По результатам проведенного анализа предоставляются рекомендации по возможности изменения настроек и сопряженному с ними уровню рисков. Финальное решение принимает клиент, так как он берет на себя ответственность за возможность возникновения мошеннических операций. Стоит отметить, что изменения чаще всего внедряются в случае, если нет серьезных опасений о появлении фрода.
Что же делать?
Здесь встает вопрос, по какой же схеме удобнее, выгоднее и безопаснее работать интернет-магазину или другому сервису, принимающему платежи онлайн?
Единственная слабость Full 3DS очевидна – платежи по картам, не подписанным на 3DS (в России их около 20% и их число постоянно уменьшается), будут отклоняться. Такие карты обычно эмитируются банками, не входящими в ТОП-50, зачастую региональными. Главным плюсом же является практически полная безопасность: в соответствии с установленными международными платежными системами правилам ответственность за операции, обработанные по протоколу 3DS, несет банк-эмитент (банк, выпустивший карту).
Выбирая двуступенчатый или минимальный 3DS, интернет-магазин берет на себя риски, связанные с возможностью возникновения фрода (мошеннических операций). Однако, при профессиональном анализе рисков, тонкой настройке системы фрод-мониторинга на стороне платежного партнера доля успешных транзакций заметно увеличивается, иногда на десятки процентов.
От теории к практике
Рассмотрим кейс одного из наших клиентов, авиабилетного агентства «Посошок» (pososhok.ru). Оборот компании в 2013 году составил 4,5 млрд. рублей, на сегодняшний день компания может похвастаться полутора миллионами обслуженных пассажиров.
В марте 2014 года компания столкнулась с проблемой: авторизация покупателей с помощью протокола 3-D Secure давала высокую степень защиты, но перед компанией стояла задача увеличить конверсию в оплаты: одобрялось лишь 79% транзакций.
На тот момент использовалась двустадийная авторизация платежей. Первая стадия авторизации проводилась по протоколу 3D-Secure. Если платеж совершался с карты, не подписанной на 3DS, на второй стадии авторизации проверка выполнялась системой мониторинга мошеннических операций PayOnline (о ней будет рассказано подробнее в следующих статьях) на основании настроек её фильтров.
Проанализировав аудиторию покупателей, ядро которой составляли россияне, специалисты «Посошка» совместно с консультантом PayOnline приняли решение об изменении настроек безопасности для платежей из России, совершаемых картами, эмитированными в России. Для таких платежных операций была отключена авторизация по протоколу 3DS. Их проверяла система мониторинга мошеннических операций PayOnline, каждый из 154 фильтров, которой был настроен в соответствии со спецификой бизнеса «Посошка». Для остальных типов транзакций продолжала применяться авторизация по 3DS.
Результат не заставил себя долго ждать: уже через полгода конверсия «взлетела» до 91%, и продолжала расти.
При этом количество «чистых» операций, отклоненных системой мониторинга за этот период, можно пересчитать по пальцам – и все они впоследствии были идентифицированы и проведены вручную. А благодаря профессионализму специалистов, занимавшихся настройкой протокола 3DS, изменения не сказались на уровне безопасности.
В следующем выпуске мы расскажем, как привязать клиента к своему сервису при помощи регулярных платежей, что это такое, какие вопросы на этапе подключения могут возникнуть у вас, а в процессе использования – у плательщиков, и какой «профит» ожидает в результате. Если вы хотите подключить и настроить платежи, обращайтесь, наши специалисты помогут вам в этом.
Комментарии (18)
Gorodnya
18.01.2016 14:16+1Есть следующая ситуация. Банк внедрил 3D-Secure.
До внедрения (при оплате картой этого банка без 3D-Secure) код CVV2/CVC2 проверялся, и, в случае неверного введения, операция отклонялась.
Сейчас, при оплате этой же картой, но уже подключенной к 3D-Secure, при введении неправильного CVC2 операция проходит.
Кто может подсказать, прав ли банк в таком случае — что, подключив один механизм, отключил другой?b_oberon
18.01.2016 14:39Я бы внимательно почитал договор с банком. Обычно в нем пишется о подтверждении транзакций, CVV2/CVC2, необходимости держать данные карты в тайне и т.д. С высокой долей вероятности вы сможете опротестовать платеж с неверным CVV2/CVC2 (хотя, опять же, все зависит от условий договора). Только не забывайте, что опротестование валидных платежей может рассматриваться как мошенничество (со всеми вытекающими), если будет доказано, что платеж действительно осуществлен вами.
Gorodnya
18.01.2016 15:21Честно говоря, я ещё не встречал условий, где расписывались бы такие детали) Плюс после внедрения банком 3D-Secure никаких документов дополнительно подписывать не требовалось — они просто прислали СМС, что услуга теперь доступна всем клиентам.
gro
18.01.2016 16:01А что значит «банковская карта подписана на протокол 3-d».
Я как понимаю, это зависит также и от той стороны, куда платишь.
Она может поддерживать, а если захочет может просто так деньги с меня списать ничего не спрашивая.
cigulev
18.01.2016 16:21Для проведение транзакции с 3DS, протокол должен быть подключен банком-эмитентом, а также поддерживаться и быть включенным банком-эквайером на сайте конкретного мерчанта, где вы проводите платеж.
Если 3DS на сайте интернет-магазина выключен, то конечно, платеж пройдет без дополнительных подтверждений.
AndrewTishkin
19.01.2016 11:42то конечно, платеж пройдет без дополнительных подтверждений
За исключением карт Maestro?
la0
19.01.2016 11:54+1Небольшой пример, как можно работать без 3DS:
Есть такой американский монстр — stripe. Который открыто игнорит 3DS ( support.stripe.com/questions/does-stripe-support-3d-secure-verified-by-visa-mastercard-securecode ), но там не менее после перехода на него кол-во чарджбеков в сравнении с 2Checkout сильно снизилось, конверсия выросла (на уровне погрешности). Начали разбираться, оказалось у онных просто шикарный antifraud.
Ещё расскажите почему некоторые сервисы (ваш в том числе по состоянию на 2012 год) используют кривой MCC который у множества банков идёт не как покупка товара/услуги, а как Fin.Services (трактуется как выдача нала);GremniX
19.01.2016 15:00Площадка имеет мало возможностей по выбору MCC. Обычно его просто выдает платежный шлюз или сам банк и если там не очень хорошо понимают специфику бизнеса, либо есть какие-то свои правила регулирующие выдачу, то коды могут выдавать очень разные.
PayOnline
19.01.2016 15:30MCC-код присваивается банком-эквайером автоматически при регистрации эквайрингового терминала согласно виду деятельности ТСП, на сайте которого совершается покупка.
Ошибка в определении MCC-кода действительно имеет место, однако, в большинстве случаев это происходит по вине банка-эмитента карты, которой производится оплата на сайте ТСП, либо (что случается крайне редко) — из-за присвоения неверного MCC-кода в момент регистрации терминала банком-эквайером.
Таким образом, PayOnline обеспечивает процесс проведения платежа, но не участвует в присвоении MCC-кода банковскому терминалу ТСП.la0
19.01.2016 15:43+1Вы так говорите, как будто с этим нельзя ничего сделать.
Наши клиенты начинают жаловаться, что попадают на комиссии --> мы проверяем это и меняем платёжный шлюз на тот, который не имеет таких проблем.
Так что я считаю, что кривой МСС это проблема не пользователя, а платёжного шлюза.PayOnline
19.01.2016 17:33+1Сделать, конечно, можно.
При возникновении подобных ситуаций мы связываемся с банком-эквайером и уточняем корректность присвоенного для терминала ТСП МСС-кода. В большинстве случаев выясняется, что MCC соответствует виду деятельности, которым занимается ТСП. В этой ситуации мы рекомендуем покупателю обратиться в банк-эмитент для уточнения причин некорректного определения MCC. Практика показывает, что подобные обращения нередко решаются в пользу плательщика — банк возвращает ошибочно списанную комиссию или не выплаченный кэшбэк.
Если при обращении банк-эквайер признает, что MCC-код присвоен ошибочно, мы уточняем у банка сроки решения проблемы и уведомляем мерчанта. И если указанные банком сроки не устраивают мерчанта, мы всегда можем предложить ему переключиться на другой банк-эквайер из числа партнеров PayOnline.
AndrewTishkin
19.01.2016 16:17почему некоторые сервисы используют кривой MCC Fin.Services
Вероятно за него эквайринговая комиссия меньше
Cobolorum
Большое спасибо PayOnline!
Теперь я могу спокойно опротестовывать все свои операции по моей карте прошедшие через вас и без 3DS. Потому что я буду точно понимать что это не какой то косяк или сбой — а целенаправленное решение «особо умных».
navion
Вначале узнайте размер штрафа за неподтвержденные финансовые претензии.