3DS2 (3D Secure 2.0) - все, что вам нужно знать [обновление 2021]

[Carding Forum]

В этой статье вы найдете

• Как работает 3D Secure 2.0?
• Какие карты поддерживают 3D Secure?
• Как включить и активировать аутентификацию 3D Secure 2?
• Проблемы 3DS1
• Что такое EMV 3D Secure?
• Что такое безопасный код и проверка 3DS2?
• Ошибка аутентификации 3D secure и что это значит
• Преимущества 3D Secure 2
• Улучшенный пользовательский интерфейс на разных устройствах
• Богатый обмен данными означает более безопасные платежи
• Сниженный риск мошенничества
• Перенос ответственности по возвратным платежам 3D Secure
• Когда 3d secure 2.0 станет обязательным? / PSD2 и SCA
• Что и когда просят делать продавцы?
• Как последние изменения и требования помогут продавцам?

3D Secure 2.0 - это протокол аутентификации, направленный на снижение уровня мошенничества и повышение безопасности при онлайн-платежах по картам.
За последние несколько лет электронная коммерция претерпела существенный рост и, благодаря ускорению развития цифровых технологий, вызванному пандемией, достигла небывалых рекордов в Великобритании и за рубежом. Statista сообщает, что в 2020 году более двух миллиардов человек приобрели товары или услуги в Интернете, а глобальные розничные онлайн-продажи превысили 4,2 триллиона долларов.
Поскольку количество онлайн-продаж растет, растет и количество мошенничества. По данным Statista, в первой половине 2020 года в Великобритании было зарегистрировано 62 868 случаев мошенничества со стороны потребителей, из которых около 65% (41 000) были связаны с мошенничеством при совершении покупок в Интернете и мошенничестве на аукционах. Эффективная борьба с мошенничеством является высшим приоритетом для потребителей, использующих больше способов онлайн-платежей, которые заботятся о защите своих с трудом заработанных денег, а также для компаний, которые стремятся защитить свои онлайн-доходы от мошенников.
3D Secure 2 - это отраслевой протокол аутентификации, который предоставляет механизм по умолчанию для выполнения строгой (двухфакторной) аутентификации. Он направлен на сокращение мошенничества и повышение безопасности карточных онлайн-платежей. Протокол был представлен как усовершенствованная версия старого протокола 3DS и позволил упростить процесс оплаты на различных устройствах. 3DS расшифровывается как трехдоменная безопасность. Visa создала протокол аутентификации в 1999 году, чтобы помочь продавцам и банкам-эмитентам аутентифицировать личность держателей карт при совершении покупок в Интернете.
Эти три домена - это домен эквайера (продавец и банк, которому выплачиваются деньги), домен эмитента (банк, выпустивший карту держателя карты) и домен взаимодействия (инфраструктура, используемая схемой карты для обеспечения соблюдения протокола 3DS, т.е. Интернет, подключаемый модуль продавца и сервер контроля доступа (ACS)).
Клиенты могут подтвердить свою личность, не мешая им работать на веб-сайте продавца. В то же время процесс оформления заказа на веб-сайте продавца более плавный и плавный.

Как работает 3D Secure 2?​

3D Secure 2 анализирует более 100 ключевых точек данных, включая контекстные данные продавца, выступая в качестве расширенного уровня защиты от мошенничества. Владелец карты вводит данные своей карты при оформлении заказа. На этом этапе поставщик услуг 3D Secure продавца отправляет эмитенту запрос аутентификации с расширенными данными. Эти данные включают различный объем информации о держателях карты и устройстве в зависимости от региональных или рыночных ограничений, таких как идентификатор устройства, MAC-адрес, географическое положение, предыдущие транзакции и многое другое.

Схема 3Ds2.

Затем поставщик услуг 3D Secure эмитента оценивает риск транзакции. Если транзакция определена как высокорисковая, транзакция проходит проверку. Другими словами, он предлагает держателю карты подтвердить свою личность с помощью биометрических данных и / или двухфакторной аутентификации, то есть одноразового пароля, отпечатка пальца и т. д. Если транзакция считается небезопасной, дальнейшие действия не требуются. конец держателя карты. Эмитент отправляет результат аутентификации продавцу, который, в свою очередь, отправляет транзакцию на авторизацию с флагом, указывающим результат аутентификации.

Какие карты поддерживают 3D Secure?​

Стандарт 3D Secure поддерживается большинством основных схем карт. Потребители чаще всего узнают его по фирменным именам по схемам карт, таким как Visa Secure, Mastercard Identity Check (ранее известная как SecureCode), American Express SafeKey, J / Secure для держателей карт JCB или ProtectBuy для Diners Club International / Discover.

Как можно включить и активировать аутентификацию 3D Secure 2?​

Поставщики платежных услуг могут поддерживать продавцов, которые хотят включить 3D Secure 2. Как поставщик услуг сквозных платежей, Emerchantpay может предоставить несколько вариантов, соответствующих вашим конкретным требованиям, для поддержки 3D Secure 2 через наш платежный шлюз. Для получения дополнительной информации об аутентификации и включении 3D Secure 2 свяжитесь с нашей командой здесь.
Прежде чем вы сможете начать принимать транзакции с аутентификацией 3D Secure 2, свяжитесь со своим менеджером по работе с клиентами, чтобы включить, активировать и настроить транзакции 3D Secure 2 для основных схем карт с нашей группой технической поддержки.

Чем 3D Secure 2 отличается от 3D Secure 1?​

3D Secure 2 - это обновленная версия 3D Secure 1. Основное отличие 3DS2 от своего предшественника - это более удобная аутентификация и лучший пользовательский интерфейс на разных устройствах.
Когда Visa представила протокол в 1999 году, компьютеры были единственными доступными устройствами для покупок в Интернете. Первая версия была разработана для аутентификации в браузере рабочего стола, поскольку в то время смартфоны не были распространены. Кроме того, некоторые банки-эмитенты требовали, чтобы держатели карт регистрировались в службе 3D Secure, связывая статический пароль со своей платежной картой.
Этот дополнительный уровень защиты предлагает продавцу полную передачу ответственности банку-эмитенту. Однако у него были определенные недостатки. Потребители постоянно выпадали из потока платежей, поскольку в 3DS1 не хватало встроенных в приложения и мобильных потоков. Статические пароли было трудно запомнить, что приводило к трению, а также к дополнительным операционным расходам для эмитентов из-за того, что клиенты обращались в службу поддержки для сброса статических паролей.
3D Secure 2 является обновлением глобального стандарта аутентификации карт и устраняет несколько проблем, связанных с 3D Secure 1. Некоторые из его ключевых преимуществ включают более единообразное взаимодействие с пользователем на разных устройствах и обширный обмен данными для предотвращения мошенничества и уменьшения трения. Фактически, протокол Visa 3DS2 полностью интегрируется с системой оформления заказа продавца, чтобы обеспечить беспрепятственный поток платежей для покупателя. Большинство этапов аутентификации происходит в фоновом режиме, невидимым для держателя карты. Основные схемы карт, такие как Visa, рекомендуют эмитентам и продавцам поддерживать как 3DS1, так и 3DS2, чтобы заинтересованные стороны могли отвечать на каждую версию сообщения и увеличивать количество успешных транзакций для клиентов. В этой парадигме, когда банк держателя карты не поддерживает 3DS2, можно применить 3DS1.

Что такое EMV 3D Secure?​

EMV 3D Secure - это альтернативное название 3D Secure 2. Для удовлетворения растущих требований электронной коммерции, таких как беспроблемная проверка, аутентификация на основе приложений и интеграция цифровых кошельков, EMVCo, организация, контролируемая American Express, Discover, JCB, Mastercard, UnionPay и Visa. , представила EMV 3D Secure в 2016 году. Visa остается единственным владельцем спецификаций 3DS1.

О проверке Visa и Mastercard SecureCode​

Когда Visa впервые разработала и представила 3DS1, схема карты получила название «Проверено Visa». Проверено Visa помогает гарантировать, что законный владелец карты Visa совершает безопасные онлайн-транзакции. Программа работает за кулисами, используя 3DS для аутентификации платежа. В транзакциях 3DS1 держатели карт Visa аутентифицировались с помощью своего статического пароля Verified by Visa. С начала 2018 года Visa отказалась от использования статического пароля, что позволило эмитенту аутентифицировать держателя карты с помощью выбранного метода аутентификации, то есть одноразового пароля (OTP), биометрической проверки и т. д. Сегодня решение Visa 3DS2 известно как Visa Secure.
Mastercard разработала свой стандарт аутентификации под названием «Безопасное платежное приложение», но вскоре отказалась от него. Вместо этого был принят протокол 3DS 1, получивший название «Mastercard SecureCode». Решение Mastercard 3DS2 называется «Проверка идентификатора Mastercard».
Как правило, как только транзакция запускает 3DS2, покупатель может быть перенаправлен в свое мобильное банковское приложение для подтверждения своей онлайн-покупки, прежде чем он вернется на веб-сайт продавца, чтобы узнать более подробную информацию о размещенном им заказе.
С постепенным внедрением 3DS2 по всей Европе, основные протоколы схемы карт 3DS2 обеспечивают более удобные для пользователя процессы аутентификации, предоставляя эмитентам различные методы аутентификации личности держателей карт при совершении покупок в Интернете.

Ошибка аутентификации 3D Secure и что это значит​

Ошибка аутентификации 3D Secure обычно возникает, когда транзакция не может быть обработана и с клиента не взимается плата. Вот причины, по которым аутентификация 3D Secure может не пройти:

1. Покупатель ввел неверные данные 3D Secure и не прошел аутентификацию. Во время транзакции 3D Secure клиент перенаправляется на страницу, контролируемую банком-эмитентом, чтобы либо ответить на дополнительные вопросы безопасности, такие как OTP, либо ввести свой PIN-код 3D Secure. Если они введут неправильные данные, аутентификация не удастся, и транзакция не сможет быть обработана через учетную запись продавца.
2. Банк-эмитент клиента не поддерживает аутентификацию 3D Secure. Банки на разных территориях могут соблюдать другие протоколы аутентификации, а не 3D Secure. Когда аутентификация 3D Secure применяется по умолчанию для каждой транзакции, правило не может различать эмитентов, которые являются частью 3D Secure, и тех, кто не входит.
3. Во время аутентификации возникла техническая проблема с 3D Secure. Могут быть случаи, когда протокол 3D Secure недоступен, поэтому транзакция не может быть аутентифицирована и обработана.

Преимущества 3D Secure 2​

3D Secure 2 - это мощный протокол аутентификации с несколькими преимуществами для продавцов и потребителей. Лучшее взаимодействие с пользователем и повышенная безопасность являются одними из наиболее распространенных преимуществ, наряду с другими преимуществами, перечисленными ниже:

Улучшенный пользовательский интерфейс на разных устройствах и в приложении​

3D Secure 2 более интуитивно понятен, чем его предшественник. Когда транзакция является доверенной, пользователи могут покупать свои товары / услуги и ждать сообщения с подтверждением платежа. Когда транзакция считается подозрительной, пользователи должны будут аутентифицировать себя с помощью чего-то, с чем они знакомы, например, сканирования отпечатка пальца или OTP.

Богатый обмен данными означает более безопасные платежи​

3DS2 позволяет эмитентам выполнять аутентификацию на основе рисков (RBA). Этот процесс облегчает обмен более чем 100 точками данных во время транзакции, включая географическое местоположение пользователя, идентификатор устройства, адрес доставки, историю предыдущих транзакций, чтобы оценить риск, связанный с этой конкретной транзакцией. Аутентификация на основе рисков позволяет эмитентам аутентифицировать держателей карт, не запрашивая дополнительную информацию о большинстве транзакций. По сути, когда транзакция воспринимается как рискованная, аутентификация проходит через поток запроса, где пользователю может быть предложено предоставить дополнительную проверку. Согласно Visa, менее 5% транзакций будут подвергаться дополнительной проверке, такой как одноразовый пароль.

Сниженный риск мошенничества​

Важным преимуществом 3D Secure 2 является то, что он снижает риск мошенничества. Этот дополнительный уровень безопасности помогает продавцам принимать платежи по картам только от законных клиентов. Даже если номер карты клиента и данные карты используются обманным путем, маловероятно, что мошенник также получит доступ к PIN-коду или OTP держателя карты 3DS. Таким образом, риски мошенничества значительно снижаются.

Перенос ответственности по возвратным платежам 3D Secure​

Самым большим преимуществом 3D Secure является перенос ответственности за возврат платежа. Он переносит ответственность за возвратные платежи из-за мошенничества с продавца на банк держателя карты. Эта дополнительная защита является причиной того, что клиенты часто сталкиваются с проблемой 3D Secure во время транзакций на большие суммы.
3D Secure 2 также поддерживает перенос ответственности. Но по мере того, как протокол постепенно разворачивается, различные карточные схемы определяют свои собственные правила относительно того, когда осуществлять сдвиг ответственности. У Mastercard есть сдвиг ответственности за поддержку с октября 2018 года, в то время как Visa активирует сдвиг ответственности в зависимости от региона, в котором находится продавец. Даты варьируются с апреля 2019 года по апрель 2020 года для различных регионов.

Когда 3D Secure 2 станет обязательным?​

В апреле 2019 года карточные схемы побудили банки-эмитенты подготовить 3D Secure 2. Законодательство PSD2 требует применения 3D Secure 2 в качестве стандартного метода аутентификации для онлайн-транзакций, происходящих в регионе ЕС. Visa объявила, что прекращает поддержку 3D Secure 1 с октября 2022 года.
Обязательна ли 3D Secure 2 как часть PSD2? Прежде чем мы ответим на этот вопрос, мы должны сделать шаг назад и поближе взглянуть на PSD2. PSD2 представляет SCA (Strong
Customer Authentication), современную меру безопасности, которая будет использоваться для аутентификации онлайн-платежей. Для успешной транзакции требуется сочетание как минимум двух из следующих факторов аутентификации:

• Что-то, что знает потребитель: одноразовый пароль, SMS-код, PIN-код, пароль, секретный вопрос и т. д.
• Что-то, что принадлежит потребителю: кредитная или дебетовая карта, брелок, мобильное устройство или носимое устройство и т. д.
• То, что является потребителем: биометрические данные, такие как отпечаток пальца, сканирование радужной оболочки глаза, распознавание лица или голоса.

Факторы аутентификации должны быть независимыми, так что, если один фактор будет скомпрометирован, надежность другого фактора останется неизменной. В таблицах ниже приведены общие факторы и примеры категоризации. Следует отметить, что выбор используемых факторов - это решение отдельных PSP. С учетом сказанного, включение 3D Secure 2 удовлетворяет всем вышеперечисленным требованиям SCA, если только транзакция не подпадает под правило исключения.

Факторы SCA

Что и когда просят делать продавцы?​

Если ваша компания принимает платежи, если эмитент карты и эквайер находятся в Европейской экономической зоне (ЕЭЗ), вам необходимо применить к своим платежам строгую аутентификацию потребителей (SCA). Хотя официальный крайний срок для исполнения SCA истек с 1 января 2021 года, требования и графики исполнения различаются в зависимости от европейских рынков. По сути, каждый рынок в ЕЭЗ имеет свою индивидуальную регуляторную политику, аппетиты эмитентов к риску и уровень готовности PSD2 и SCA. В приведенной ниже таблице показан план местного перехода для обеспечения соблюдения SCA в странах ЕС и Великобритании.

Как последние изменения и требования помогут продавцам?​

3D Secure 2 адаптируется к времени, предлагая потребителям единообразные возможности онлайн-платежей, независимо от того, используют ли они настольные компьютеры, мобильные телефоны или планшеты. Продавцы могут извлечь выгоду из изменений в 3D Secure 2 и повысить свою прибыльность. Вот некоторые из преимуществ для продавцов:

• Меньше ложных отклонений. Предоставляя эмитентам доступ к сотням ключевых точек данных во время одной транзакции, они лучше оснащены для авторизации законной транзакции и уменьшения количества ложных отклонений.
• Уменьшение количества брошенных корзин. 3D Secure 2 предназначен для поддержки межканальных транзакций, обеспечивая улучшенный пользовательский интерфейс для онлайн-потребителей. Устранение ненужных экранов с вызовами, которые мешают путешествию пользователя, значительно увеличивает вероятность того, что пользователь заплатит за свои товары, не бросая свою корзину. По данным Visa, с момента внедрения подхода, основанного на оценке риска, в карточной схеме, количество отказов от транзакций в Великобритании сократилось на 70%.

Вывод​

Emerchantpay поддерживает поток браузера 3D Secure 2 в новых платежных API, позволяя применять 3D Secure к платежам с высоким риском и защищать свой бизнес от мошенничества. Когда 3DS2 не поддерживается эмитентом карты, аутентификация возвращается к 3DS1. Компаниям рекомендуется проконсультироваться со своими PSP и выбрать лучшую стратегию для внедрения 3DS2 как части своей стратегии SCA. Мы призываем продавцов, которым необходимо придерживаться SCA и внедрять 3DS2, рассматривать это как возможность заново изобрести свою процедуру оформления заказа и оптимизировать поток платежей, чтобы обеспечить наилучшее качество обслуживания клиентов.