Год за годом технологии стремительно продвигаются вперед в своих достижениях и возможностях. В самое ближайшее время обновленный протокол 3D Secure 2.0 выведет онлайн-безопасность в индустрии платежей на совершенно новый уровень. Протокол обеспечит возможность установить безопасный канал обмена данными, работающий в режиме реального времени, по которому будет передаваться намного больше данных о транзакции для более точной аутентификации покупателя, увеличится скорость совершения оплаты, поскольку аутентификацию с помощью пароля будут проходить не все транзакции, а только некоторая их часть. Давайте рассмотрим основные изменения в новом протоколе по сравнению с его предыдущий версией.
Что такое 3D Secure?
3D Secure — это протокол безопасности, разработанный в 1999 году и направленный на предотвращение мошеннического использования кредитных карт путем проверки подлинности держателей карт в транзакциях, для совершения которых не нужно физическое присутствие карты (CNP-операции). «3D» означает «3 домена», в которых работает протокол, и которые включают в себя домен эмитента (домен банка, выдавшего карту), домен эквайера (домен продавца и банка, в который перечисляются деньги) и домен совместимости (домен, предоставляемый платёжной системой для поддержки протокола 3D Secure). Протокол разработан и управляется EMVCo, организацией, совместно принадлежащей крупным брендам Visa, Mastercard, American Express, Discover, JCB и UnionPay.
Первая версия 3D Secure была разработана для того, чтобы повысить доверие потребителей к онлайн-платежам, что поспособствовало росту электронной коммерции. Чтобы защититься от мошеннических операций, 3D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты. Во время использования 3D Secure 1 система отображает всплывающее окно или встроенный фрейм, требуя от пользователя ввода пароля, чтобы банк мог аутентифицировать пользователя. Однако учетные данные объекта, генерирующего всплывающее окно, не могут быть аутентифицированы.
Для бизнеса преимущества 3D Secure очевидны: запрос дополнительной информации обеспечивает дополнительный уровень защиты от мошенничества, гарантируя, что вы принимаете платежи по карте только от проверенных клиентов. Также в случае использования 3D Secure происходит так называемый «Перенос ответственности» (Liability Shift), при котором ответственность за мошенничество также переходит от продавца к эмитенту карты. Таким образом, если 3D Secure не применяется, то, когда владелец карты оспаривает мошенническую транзакцию:
- Продавец (merchant) несет ответственность за сделку
- Продавец (merchant) должен вернуть покупателю деньги (chargeback)
Но, если продавец реализует 3D Secure, ответственность за мошеннические транзакции переходит на эмитента (банк, выдавший карту).
Каковы основные изменения в протоколе 3D Secure 2.0?
Прошло более 17 лет с момента разработки 3D Secure 1. Хотя платежная индустрия в большинстве стран довольно хорошо приняла этот метод аутентификации, признавалась необходимость создания нового протокола с учетом текущих и будущих требований рынка, включая добавление поддержки аутентификации на основе мобильных устройств и интеграции цифровых кошельков. Кроме того, отмечалось, что использование 3D Secure 1 имеет некоторые недостатки:
- дополнительный шаг, необходимый для завершения платежа, увеличивает сложности процесса размещения заказа и может привести к тому, что клиенты откажутся от покупки.
- ряд банков по-прежнему обязует владельцев своих карт создавать и запоминать свои собственные статические пароли для завершения проверки 3D Secure. Эти пароли легко забыть, что также может привести к более высокой вероятности отказа от покупки.
- Негативное влияние на пользовательский опыт (UX) особенно заметно в мобильных приложениях. Когда Visa впервые создала стандарт 3D Secure, персональные компьютеры были единственным каналом, доступным для потребителей, чтобы делать покупки онлайн. На мобильных устройствах применение 3D Secure может перенаправить клиентов из собственного приложения на веб-сайт банка, который не оптимизирован для мобильных устройств.
Учтя основные болевые точки 3D Secure, EMVCo недавно выпустила новую улучшенную версию протокола. EMV 3-D Secure (3D Secure 2 или 3DS2) направлена ??на устранение многих недостатков 3D Secure 1 и обеспечивает следующие основные преимущества:
1. Flexible Device & Channel Support (Гибкая поддержка различных устройств и каналов).
Обеспечивает более плавное и последовательное взаимодействие с пользователем по нескольким каналам оплаты, включая оплату в браузере мобильного телефона, платежи в приложениях и платежи через цифровой кошелек.
2. Improved User Experience (Улучшенный пользовательский опыт).
Обеспечивает продавцам (merchants) возможность лучше интегрировать процесс аутентификации в процесс покупок, предоставляя держателям карт быструю, простую и удобную аутентификация при высоком уровне безопасности. В отличие от статических паролей, в 3D Secure 2 используются методы динамической аутентификации, такие как биометрия и аутентификация на основе токенов. Также 3D Secure 2 позволит компаниям встраивать поток вызовов непосредственно в свои веб-потоки и потоки мобильных платежей — без необходимости каких -либо перенаправлений. Используя новые мобильные SDK, компании смогут внедрять собственные потоки в свои приложения, которые больше не будут требовать от своих клиентов перехода на поток через браузер для завершения транзакции.
3D Secure 1 (3D Secure 2 Stripe guide):
3D Secure 2 (3D Secure 2 Stripe guide):
3. Enhanced Data Exchange to Manage Fraud and Reduce Friction (Улучшенный обмен данными для борьбы с мошенничеством и снижения препятствий). Risk-based authentication (RBA, Аутентификации на основе рисков). Frictionless authentication (Беспрепятственная аутентификация).
Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты. Это достигается с помощью так называемой «аутентификации на основе рисков» (RBA). RBA работает, собирая набор данных о держателях карт во время транзакции и передавая их банку-эмитенту и его Access Control Servers (ACS), который затем сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции. 3D Secure 2 позволит компаниям и их поставщикам платежей безопасно отправлять более 100 элементов данных по каждой транзакции в банк держателя карты. Сюда входят данные, относящиеся к оплате, такие как адрес доставки, а также контекстные данные, такие как идентификатор устройства клиента или история предыдущих транзакций.
Банк держателя карты может использовать эту информацию для оценки уровня риска транзакции и выбора подходящего ответа. Если значение риска мошенничества ниже заданного порогового значения, применяется Frictionless flow (беспрепятственный поток). Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1:
1) Если данных достаточно для того, чтобы банк мог поверить в то, что реальный владелец карты совершает покупку, транзакция удовлетворяет требованиям Frictionless flow (беспрепятственного потока), и аутентификация завершается без влияния на взаимодействие с пользователем — владелец карты никогда не видит никаких признаков того, что 3D Secure является применяется. Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1.
2) В случае, когда значение риска мошенничества выше предварительно определенного порога, например, банк решит, что ему нужны дополнительные доказательства, транзакция выполняется в режиме Challenge, и клиента просят предоставить дополнительные данные для проверки подлинности платежа.
4. Изменение ответственности продавцов (merchants) в случае мошенничества
Также значительные различия в PSD2 включают изменение ответственности продавцов (merchants) в случае мошенничества. Эмитенты являются явными бенефициарами более широкого обмена данными, необходимыми для 3DS 2.0, поскольку они несут ответственность за любые возвратные платежи (chargebacks). Чем больше данных у них есть, тем точнее они могут оценить риск транзакции.
Тем не менее, продавцы (merchants) также получают выгоду, особенно если они еще не собирают достаточное количество данных по транзакции, которые потребуются для участия в 3DS, потому что тогда они могут использовать эти данные для улучшения своих собственных усилий для обнаружения мошенничества. Но даже если у продавца уже есть сложная программа предотвращения мошенничества, не следует упускать из виду дополнительный уровень защиты, предоставляемый эмитентом, проводящим собственную оценку риска. Поставщики ACS, используемые эмитентами, обычно имеют доступ к источникам данных о мошенничестве, которых нет у отдельных продавцов, что часто позволяет им предоставлять более надежную оценку риска мошенничества.
Когда платежные системы будут поддерживать 3-D Secure 2.0?
Широкое распространение 3D Secure 2 будет зависеть от отдельных эмитентов карт, поддерживающих новый стандарт. Ожидается, что первые банки начнут поддерживать 3D Secure 2 для своих владельцев карт в начале 2019 года, вполне вероятно, что более широкое внедрение будет постепенным и займет несколько месяцев. Например, платформа Visa 3DS 2.0 теперь доступна и готова обрабатывать запросы аутентификации 3DS 2.0: прежде чем участвовать в программе 2.0, поставщики услуг ACS и 3DS Server должны пройти тестирование как с EMVCo, так и с Visa. Провайдеры могут начать тестирование с Visa только после получения письма-подтверждения, подтверждающего успешное завершение тестирования с EMVCo. Чтобы у заинтересованных сторон было достаточно времени для внедрения 3-D Secure 2.0, полный набор правил программы не вступит в силу до дат активации программы, указанных ниже:
- апрель 2019 года: дата действия для Европы
- август 2019 года: дата активации для Канады, Латинская Америка и США.
- апрель 2020 года: дата активации для Азиатско-Тихоокеанский региона и стран Ближнего Востока и Африки.
Также предполагается, что 3D Secure 1 и 3D Secure 2 будут сосуществовать по крайней мере до 2020 года.
Для европейского бизнеса вступление в силу в сентябре 2019 года нового регламента, известного как строгая аутентификация клиентов (Strong Customer Authentication, SCA), который будет применяться к онлайн-платежам в Европейском экономическом пространстве (EEA), где банк держателя карты и провайдер платежных услуг находятся в EEA, делает 3D Secure 2 еще более важным. Поскольку новое правило потребует применять больше аутентификации к европейским платежам, 3D Secure 2 предложит лучший UX (пользовательский опыт), чтобы минимизировать влияние на конверсию сайта.
Хотя 3D Secure 2 будет основным методом соблюдения требований SCA к платежам по картам, ожидается, что Frictionless flow (беспрепятственный поток) не будет рассматриваться как форма строгой аутентификации клиентов. Это будет означать, что после введения в действие SCA в Европе Frictionless flow может использоваться только для платежей, которые подпадают под исключение (в то время как все платежи, требующие SCA, должны будут аутентифицироваться с использованием потока Challenge).
Комментарии (13)
mmMike
27.03.2019 08:48EMVCo недавно выпустила новую улучшенную версию протокола. EMV 3-D Secure (3D Secure 2 или 3DS2)
Недавно?! Вы серьезно? (2017)
Только почему 2.0? Если делать, то уже под 2.1.
Тех кто будет переходить с 2.0 на 2.1 ждет немало мелких пакостей от создателей спеки…
Вот чего им захотелось ключи c x509 на JWK… (ну работает не лезь!)
И было где то base64… зачем переводить на base64url!
И это не обоснованно ничем, кроме "мне так кажется будет лучше" какого то из авторов в EMVco.
И пусть количество неоднозначных моментов а то и явных ошибок в спеке уменьшилось, но они все равно остались.
Zhenek_anti
27.03.2019 17:32Мне вот интересно… 3DS защищает в первую очередь магазины от возможного chargeback, а кто и когда будет защищать меня?
Если магазин не использует 3DS, а потом начнет списывать деньги (даже ошибочно), то я должен писать в Visa/банк/спортлото и требовать chargeback. Почему я на своей стороне не могу включить опцию «Подтверждать все операции смс паролем», ну или просто приходит смс «ххх запрашивает списание ууу руб. для подтверждения отправьте 1». И тогда даже если магазин не просит пароль, егов се равно запросят.Аесли он не просит и я не требую, то нет.
была в жизни ситуация, потерял карту, обнаружил через пару часов, когда пришла смс, что я обменял немного денег на евро. И должен бегать доказывать, что это не я.
amarao
И оно всё ещё хуже, чем paypal. Почему? Потому что ни одна транзакция в paypal не может произойти без моего согласия. Все подписки (периодические платежи) у меня в списке и я могу отменить любую из них в любой момент времени.
Ключевое: мерчант не может списать у меня денег без моего согласия (за вычетом арбитража). Просто не может.
Visa & Mastercard позволяют кому-то меня взять и чарджнуть. А пейпал не позволяет. И в этом и находится главный секрет неудобств обычных банковских карт. Почему? Потому что если я заказываю что-то за $100, то я могу не обратить внимания на мелкий шрифт о том, что там сверху VAT, потом ещё delivery fee и ещё через две недели прилетит штраф за сожраную (не мной) шоколадку из минибара.
А у paypal всё просто: на что согласился, столько и списали. Без всяких fallback'ов для amazon, который вообще просто по номеру карты чарджить умеет.
MonkAlex
В целом с вами согласен.
Единственное — пейпал это ещё одно звено которое тоже нифига не простое.
Мой например начал без запроса одобрять покупки в стиме. Не знаю почему, ни разу не ставил нигде галочки.
Разбираться впрочем лень, в стиме 2FA неплохая =)
Dimes
все таки МПСы покрывают гораздо больший спектр бизнеса чем палка, поэтому и условия и возможности проведения операции разные.
Например
И в плане безопасности палка ни раз себя компрометировала, не стоит об этом забывать.
amarao
Именно это мне и не нравится в визе — возможность бизнесу что-то там безакцептно списать, а мне потом доказывать, что это был не я и т.д. Модель пейпала больше похожа на кеш — если даёшь, то даёшь, а силком никто взять не может, ибо УК.
Dimes
тебе как клиенту — да, но торговые точки тоже «клиенты» и тоже хотят защиты, и платежные системы стараются соблюдать баланс между ними
Ghool
Не согласен с вами — ведь всеми этими услугами можно пользоваться и не имея счёта в банке, расплачиваясь только наличкой.
geisha
Счёт может прилететь и в бумажном виде. И какая тогда разница — отказаться оплачивать карточный счёт из банка или счёт из гостиницы?
Ага, особенно просто отключать сраную конверсию валют.
amarao
Счёт можно оспорить или даже проигнорировать. В этом её отличие от карты, где клиент должен доказывать, что он не осёл (а денежки его уже где-то там).
Visa electron работает на paypal'е? Чтобы сделать CNP, вовсе не надо интернета, у меня страховщик по телефону может номер карты принять для продления. И чарджнуть. И его интересует только номер и дата.
geisha
Насчёт вашего страховщика: я вам не верю. Т.е. я вам верю, если вы уточните, что речь идёт о страховщике из США, который по телефону может выставить счет имея только номер карточки, выданной банком в США. Но в этой стране финансовые институты в принципе застряли в прошлом веке. Я там один раз по чистой невнимательности оплатил покупку отозванной картой. Был и абуз со стороны продавцов, да. Но я оспаривал и деньги никуда не уходили. Более того, особо одиозные транзакции типа снятие наличных на заправке где-то в Оклахоме банк сам блокировал. Т.е. все инструменты есть, вопрос только в том, хочет ли их использовать банк.
ebragim
1) Вы когда код для подтверждения вводите, там написана сумма, которую этот код подтверждает. Случаи со статичными ключами мы вообще не рассматриваем, это обычный идиотизм банков, но даже так многие выводят всю сумму на странице, где мы вводим код.
2) А как и с кого отелю потом стрясти деньги за выпитый минибар, разбитую плазму
и труп шлюхи в джакузи? Или в системах с ежемесячным продлением — каждый месяц мне весь десяток подписок вручную продлять? Или тот же штраф за превышение скорости например, на арендной машине?И да, в целом система, которая не требует в обязательном порядке двухфакторной авторизации для управления моими деньгами — ущербна. Залез проверить, когда-то палку создавал и пару лет назад оплачивал что-то — там до сих пор валидная карта моя, а для проверки покупки — только пароль ввести и всё.