3D Secure: ваш барьер против кибератак

[Lord777]

2022-23 годы означали не только обнадеживающую устойчивость, цифровую трансформацию и рост безналичных обществ.

Это стало свидетелем масштабного перетягивания каната.

Борьба между быстрыми, удобными цифровыми платежами и необходимостью обезопасить транзакции от кибератак. И борьба за предотвращение мошенничества с платежами при попытке увеличить процент успешных транзакций, сократить время аутентификации, сократить время оформления заказа, снизить процент отказов от корзины и сохранить лояльность клиентов.

Рост мошенничества с платежами​

Поскольку более 36% онлайн-покупателей выбирают предоплаченные карты (цифровые кошельки), 32% кредитных карт и 21% дебетовых карт, наблюдается огромный рост стоимости и объема карточных платежей. Изощренные киберпреступники находят новые способы взлома сетей для кражи личных данных, денег и других данных.

Только во втором квартале 2021 года количество попыток мошенничества с картами выросло на 23% по сравнению с предыдущим кварталом. Поскольку торговцы и онлайн-бизнесы являются основной мишенью мошенников, потери от будущих мошеннических операций с картами, как ожидается, превысят 40 миллиардов долларов к 2027 году.

Безопасность платежей, лучший инструмент для обслуживания клиентов​

Хотя потребители очень довольны удобством, безотказностью и скоростью, которые предлагают транзакции на основе карт, они очень опасаются потери денег, данных или идентификационных данных киберпреступниками.

На торговые сайты, не имеющие защищенных средств проверки подлинности кредитных карт и инфраструктуры обработки платежей по картам, обычно легко проникнуть, манипулировать ими и украсть. Такие уязвимые сайты электронной коммерции мгновенно теряют бизнес, поскольку клиенты стремятся избегать проблем с безопасностью, даже если продукты имеют экономичную цену.

Необходимость защиты потребительских данных и денег выдвинула цифровую безопасность в центр внимания. На сегодняшний день безопасность платежей - лучший инструмент обслуживания клиентов для бизнеса. Фактически, это ключевой фактор, позволяющий банкам, финтех-фирмам и другим финансовым учреждениям процветать в эпоху цифровых технологий.

3D Secure спешит на помощь​

До появления 3D Secure типичные сценарии отсутствия карты (CNP) были сверхчувствительными и уязвимыми. Физическое отсутствие держателей карт подвергало онлайн-транзакции системным рискам и мошенничествам с CNP. Поскольку клиенту приходилось вводить только номер карты и CVV без безопасной проверки, мошенникам было легко украсть CVV и платежный адрес. И продавцам было сложно подтвердить личность покупателя.

Именно тогда 3D Secure (3DS) пришла на помощь как предприятиям, так и потребителям, предоставив дополнительный уровень аутентификации. Он связал финансовую авторизацию с надежной аутентификацией клиента (SCA), чтобы снизить уровень мошенничества и соответствовать нормативным требованиям.

Задуманная и разработанная Visa Inc в 2001 году, 3DS стала лучшим инструментом для борьбы с киберугрозами, связанными с мошенничеством с картами, кражей и утечкой данных. Вскоре другие сетевые гиганты интегрировали стандарт безопасности VISA 3D со своими фирменными принципами для предоставления MasterCard Secure Code (МастерКард), SafeKey (Американ Экспресс), ProtectBuy (Diners Club International / Discover) и J / Secure (JCB).

Что такое 3D Secure?​

Аббревиатура 3D Secure - 3 Domain Secure. Это дополнительная аутентификация безопасности, которая включает модель с тремя доменами.

• Домен покупателя (банка и продавца)
• Домен эмитента (эмитент карты)
• Домен взаимодействия (инфраструктура карт, сеть, подключаемый модуль продавца, сервер контроля доступа и другие поставщики программного обеспечения)

3D Secure играет важную роль в проверке личности владельца карты перед авторизацией платежа. Цель состоит в том, чтобы защитить карту от несанкционированного использования.

Для продавцов это помогает перенести ответственность за мошеннические транзакции на эмитентов. Для пользователя она действует как важнейший уровень аутентификации, который разрешает и защищает транзакции.

Как работает 3D Secure?​

3D Secure основывается на обмене XML-данными по защищенному каналу с использованием протокола интернет-безопасности (ISP) и уровня защищенных сокетов (SSL) / безопасности транспортного уровня (TLS).

Вот процесс, описанный в 3D Secure.

• Эмитент должен зарегистрировать карту для аутентификации 3DS
• Одновременно продавец должен внедрить протокол 3D Secure, установив подключаемый модуль продавца (MPI)
• MPI свяжется с эмитентом карты, чтобы подтвердить, зарегистрирована ли карта в службе 3D Secure
• Если карта зарегистрирована и продавец получает положительный ответ, открывается окно, предлагающее владельцу карты ввести ответ для аутентификации (пример: пароль)
• Если пароль правильный, транзакция будет одобрена, и платеж пройдет
• Если пароль неверный, транзакция будет отклонена

Процесс аутентификации 3DS

3D Secure и смещение ответственности​

Одним из основных преимуществ, которые 3D Secure предлагает продавцам, является полное перекладывание ответственности за мошеннические транзакции. Прошли те времена, когда продавцы несли ответственность за возврат платежей из-за мошенничества.

Сегодня 3DS обеспечивает успешную смену ответственности, которая не может облагать продавца налогом на вводящие в заблуждение возвратные платежи. Если владелец карты отрицает совершение мошеннических транзакций и подает иск, банк-эмитент карты возьмет на себя ответственность и не будет возвращать платеж продавцу.

Почему 3D Secure 2.0?​

Изменения ответственности, которые продавец получал в 3D Secure 1.0, часто происходили за счет коэффициентов конверсии и приводили к более высокому проценту отказа от корзины. Версия 1.0 удлинила процессы оформления заказа и не имела процессов и интеграций, удобных для мобильных устройств. Поэтому клиенты пришли в ярость и бросили тележки, чтобы перейти на более зеленые пастбища, которые предлагали быстрые, но безопасные проверки.

Именно тогда EMVCo анонсировала 3D Secure 2.0 в 2015 году.

EMVCo - это организация из шести членов, в которую входят American Express, Discover, JCB, MasterCard, UnionPay и Visa. Это сыграло важную роль в разработке и выпуске спецификаций 3DS, подходящих для предприятий нового поколения.

EMVCo выпустила первый 3DS 2.1.0 в ноябре 2017 года, а его обновленная версия 3DS 2.2.0 была выпущена в декабре 2018 года.

Что такое 3D Secure 2.0 вообще?​

Хотя каждый бизнес стремится к более высокому коэффициенту конверсии, это не должно происходить в ущерб безопасности.

Хорошей новостью протокола 3D Secure 2.0 является то, что продавцы могут наслаждаться как более высокими конверсиями, так и меньшим риском мошенничества. Она обеспечивает лучшее из обоих миров, способствуя лучшему обмену информацией между приобретателем, эмитентом и доменами интероперабельности.

Новый протокол 3DS 2.0 устраняет все пробелы, выявленные в 3D Secure 1.0. Это обеспечивает бесперебойное взаимодействие с клиентами без необходимости аутентификации по паролю, как того требовала более старая версия. Версия 2.0 ускоряет завершение покупки, уменьшает хлопоты при оформлении заказа и сокращает время ожидания. И потребителям не нужно было проходить через хлопоты по запоминанию нескольких паролей.

Универсальная биометрическая аутентификация на основе токенов​

3DS 2.0 упрощает процесс подтверждения транзакций, используя биометрическую аутентификацию на основе токенов, такую как распознавание лица или голоса. Проверка подлинности не зависит от статического пароля и поддерживает устройства без браузера, такие как носимые устройства, цифровые кошельки и покупки в приложении.

Кроме того, основной особенностью этого улучшенного протокола является то, что он предлагает улучшенную оценку рисков, включающую более 100 точек данных. Чем больший объем информации система анализирует при аутентификации транзакции, тем выше шансы избежать мошенничества.

Эксперты говорят, что 3DS 2.0 может сократить время оформления заказа на 85% и процент отказов от покупок в корзинах на 70%.

3DS 2.0 также предусматривает отделение процесса верификации карты от потока платежей. Проверка происходит раньше, чем фактический платеж, и, таким образом, основные авторизации происходят намного быстрее. Торговцы / мобильные кошельки, которые сохраняют информацию о картах для более быстрых платежей, получат выгоду от этой функциональности.

Сервер контроля доступа (ACS) функционирует как кислород для протокола 3D Secure. Это сервер, который позволяет продавцам проверять учетные данные владельца карты для аутентификации платежа. Это платформа аутентификации, авторизации и учета (AAA), которая обеспечивает централизованный доступ к сетевым ресурсам между устройствами, пользователями и группами.

ACS - это домен, в котором работает банк-эмитент. Они выдают карты потребителям, которые, в свою очередь, используют карту для покупок в Интернете. Банки-эмитенты нуждаются в ACS для следующих целей.

• Получите 3D безопасные входные данные
• Обрабатывайте входные данные для аутентификации владельца карты
• Уведомлять о статусе аутентификации
• Принять / отклонить транзакцию

Для развертывания и запуска 3D Secure эмитенты карт и менеджеры программ должны интегрироваться с сервером полного контроля доступа.

Преимущества 3D Secure 2.0​

Обновленная версия была выпущена в первую очередь для устранения пробелов в 3DS 1.0. Ознакомьтесь с ее преимуществами ниже.

Надежная аутентификация клиента без каких-либо сложностей​

Просьба к клиентам запомнить пароли может привести к отказу от корзины, поскольку забывание паролей является обычным явлением. Таким образом, клиенты часто выбирают уязвимые пароли, которые легко запомнить и легче взломать.

Для устранения этого препятствия в 3DS 2.0 используется динамическая аутентификация, такая как биометрический идентификатор, и внеполосная аутентификация, такая как одноразовые пароли для мобильных устройств (OTP). Это расширяет возможности для покупок в приложении за счет сокращения случаев неплатежей, таких как добавление новой карты в цифровой кошелек и так далее. Эти изменения приводят к улучшению пользовательского опыта.

Элементы данных​

3D Secure 2.0 позволяет предприятиям и поставщикам платежных услуг отправлять дополнительные элементы данных по каждой транзакции в банк держателя карты. Точки данных включают данные, относящиеся к платежу, и контекстуальные данные, которые могут быть использованы банком-эмитентом для оценки уровня риска транзакции. Банк-эмитент обычно выбирает любой из этих ответов при анализе точек данных.

• Беспрепятственный поток — Если элемента данных достаточно, чтобы банк был уверен, что конкретная транзакция была совершена от подлинного владельца карты, транзакция пройдет через “беспрепятственный поток”. Аутентификация транзакции также будет завершена без каких-либо дополнительных действий со стороны владельца карты.
• Процедура оспаривания — Если банк-эмитент решит, что ему требуется больше доказательств, транзакция будет перенаправлена в “Процедуру оспаривания”, где клиенту будет предложено предоставить дополнительные данные для аутентификации платежа.

Аутентификация на основе рисков​

Это процесс определения того, существует ли риск, связанный с конкретной транзакцией. В зависимости от уровня риска транзакция будет проходить без проблем. Дополнительные элементы данных, доступные во время транзакции, помогают как эмитенту, так и продавцу принять обоснованное решение, которое направит их к правильному потоку 3DS. Категории риска основаны на таких элементах, как следующие.

• Стоимость транзакции
• Статус клиента (новый или существующий)
• История транзакций
• История поведения клиентов
• Информация об устройстве

Мы также можем диверсифицировать преимущества в зависимости от игроков, вовлеченных в экосистему 3D Secure.

• Эмитенты могут улучшить свой подход к аутентификации без проблем, используя обмен данными для принятия разумных решений по оценке рисков
• Они могут решить, нужно ли оспаривать владельца карты
• Владелец карты может даже воспользоваться преимуществами выбора предпочитаемого способа оплаты, не беспокоясь о безопасности
• Продавцы могут предлагать простой в использовании сервис на разных устройствах и платформах во время аутентификации транзакции
• Одновременно они могут решить проблему высоких показателей отказа от корзины
• Клиенты получат сервис, который является полностью удобным и безопасным, независимо от используемого ими устройства

3D Secure предоставит эти преимущества без какого-либо воздействия на клиента каким-либо образом.

Что делает 3D Secure 2.0 таким популярным?​

Первая версия 3D Secure была разработана в начале интернет-революции, в то время как 3D Secure 2.0 появилась после появления цифровых платформ и смартфонов.

3DS 2.0 обеспечивает улучшенный пользовательский интерфейс, который не требует перенаправления страниц. Продавцы могут напрямую встраивать “Поток запросов” в потоки оформления заказа с мобильных устройств и через Интернет. Эти комплекты для разработки мобильного программного обеспечения (SDK), доступные для приложений для покупок, обеспечивают аутентификацию в приложении и позволяют избежать перенаправления браузера.

• 3D Secure 1: поток мобильной аутентификации с перенаправлением браузера
• 3D Secure 2: улучшен процесс мобильной аутентификации в приложении

SCA, PSD2 и RBI​

Строгая аутентификация клиента (SCA) является нормативным требованием второй директивы о платежных услугах (PSD2), установленной Европейским союзом. 3D Secure 2.0 дополняет строгую аутентификацию клиента (SCA), которая является обязательной частью последней директивы о платежных услугах 2, сокращенно известной как PSD2. Это усовершенствованный протокол безопасности, который аутентифицирует онлайн-платежи с использованием минимальной комбинации следующих элементов данных.

• То, что знает клиент: одноразовый пароль (OTP). SMS-код, PIN-код, секретный вопрос или пароль.
• Что принадлежит клиенту: смартфоны, кредитная или дебетовая карта, токен или носимое устройство
• Что представляет собой клиент: биометрические данные, такие как сканирование лица, распознавание голоса, сканирование радужной оболочки глаза или отпечаток пальца.

Но SCA также предлагает некоторые исключения при реализации 3d безопасной аутентификации в следующих сценариях.

• Транзакции с низкой стоимостью
• Транзакции с низким уровнем риска
• Повторяющиеся транзакции

Если организация работает в европейском регионе, то необходимо внедрить рекомендации SCA и PSD2. И 3D Secure 2.0 помогут предприятиям оставаться совместимыми с правилами PSD2.

Не только страны Европейского союза, Индия также ввела 3D Secure в качестве обязательного требования. Руководство Резервного банка Индии требует использования пароля 3DS для обеспечения безопасного совершения покупок в Интернете. Этот шаг предотвратит неправильное использование утерянной / украденной карты, поскольку пользователь не сможет совершать транзакции без ввода правильного пароля 3DS, связанного с картой.

Как вы можете включить 3D Secure для своего бизнеса?​

Для вас, как продавца, крайне важно включить 3D Secure для безопасных платежей по картам и повышения лояльности клиентов.

Но не беспокойтесь о том, что вам придется самостоятельно развертывать функции 3D Secure.

Вооруженные возможностями 3DS 1.0 и 3DS 2.0, мы можем помочь защитить транзакции по вашим картам с помощью нашего сервера контроля доступа (ACS). Наша экосистема, основанная на API, облегчает регистрацию карт и обновление данных от независимых систем выдачи карт.

Для повышения вероятности успеха и удобства клиентов мы предоставляем следующие опции с плавным дополнительным фактором аутентификации (AFA).

• Одноразовый пароль (OTP)
• Проведите пальцем, чтобы оплатить
• Биометрическая аутентификация
• V-OTP (голосовой OTP)

Чтобы увеличить ваш потенциальный доход, мы также включаем конверсии EMI на странице ACS. Наша проницательная панель мониторинга предоставляет вам мгновенный доступ к показателям продукта и диаграммам воронки. Вы также можете настроить дизайн страницы ACS для лучшего запоминания бренда с помощью пользовательских событий для улучшенного мониторинга.