Как данные способствуют сокращению мошенничества в цифровой торговле с помощью новой технологии EMV® 3-D Secure?

[Carding 4 Carders]

Мы живем в эпоху данных. Вы, наверное, слышали, что данные - это новая нефть или новая валюта 21-го века для цифровой эры, и, согласно данным The Economist, это самый ценный цифровой ресурс в мире. Учитывая все эти «мантры», одним из наиболее важных способов использования данных является поддержка компаний в развитии их бизнеса.

Не имеет значения ни роль, ни отрасль, данные могут ее изменить. Компании заново изобретают себя, адаптируя системы, бизнес, процессы и культуры с единственной целью изучения и использования возможностей, предоставляемых данными. Остаются вопросы: 1) как максимально использовать данные для повышения эффективности вашего бизнеса? И 2) каково качество рассылаемой информации?

В платежной индустрии одним из самых последних и важных случаев использования данных является поддержка компаний в обнаружении мошенничества с помощью технологий аутентификации. Конечная цель - достичь идеального баланса, одновременно стремясь к положительному впечатлению клиентов и покупательскому процессу, а также разработать точную стратегию обнаружения мошенничества, чтобы минимизировать потери и повысить эффективность, минимизируя операционные расходы.

В этом сценарии EMV® 3-D Secure будет играть очень важную роль в сокращении мошенничества посредством обмена данными. Одним из основных улучшений в среде EMV® 3DS является количество доступных новых данных, точнее, в EMV® 3DS данных у нас в 10 раз больше, чем в 3DS 1.0. Все эти данные помогают принимать правильные решения в процессе аутентификации. Другими словами, более обширный обмен данными снижает трение для держателей карт, а также затрагивает проблемы прибыли и убытка для продавцов и эмитентов.

В исследовании, опубликованном Visa приводит к Frictionless аутентификации (без вызова) до 95% с использованием механизмов аутентификации , основанных на риске. В этой ситуации для принятия разумного решения используются только данные.

Чтобы реализовать такой потенциал, для Продавцов, Покупателей, PSP и Эмитентов важно правильно использовать его, интерпретируя и систематизируя его. EMV® 3-D Secure содержит более 150 новых элементов данных, однако требуется всего 40 элементов данных. Торговцы должны определить, передают ли они дополнительную информацию или нет.

UL может поддерживать как продавца, так и эмитента, объединив усилия с их отделами по борьбе с мошенничеством / данными, чтобы помочь им в раскрытии всего потенциала EMV® 3-D Secure.

… И что дает хорошая стратегия обработки данных:

• Уменьшите количество ложных отказов и минимизируйте потери от мошенничества
• Оптимизация клиентского опыта
• Увеличить конверсию
• Оптимальный обмен данными

 

[Carding 4 Carders]

EMV® 3-D Secure - защита электронной коммерции​

Из них вы узнаете, что решение 3DS состоит из четырех основных компонентов:

• Клиент 3DS, который может быть веб-браузером, приложением или другой функцией, с интерфейсом пользователя.
• Сервер 3DS на стороне продавца, который включает запросчик 3DS
• Служба каталогов, которая используется для маршрутизации данных к правильному эмитенту.
• И служба контроля аутентификации, которая используется для аутентификации клиента во время транзакции.

На каждый из этих компонентов распространяются определенные требования и режимы тестирования, как показано ниже.

На приведенном выше рисунке показано, что каждый компонент должен пройти функциональное тестирование, в то время как компонент SDK входит в область оценки PCI 3DS SDK, а другие компоненты подпадают под требования ядра 3DS, которые фактически разделены на две части - базовые требования безопасности. , и Требования безопасности 3DS. Ниже мы рассмотрим аспекты каждого из этих стандартов и то, как они могут применяться в вашей среде или решении.

Стандарт 3DS SDK применяется к программным компонентам, которые используются для защиты данных на стороне клиента - обычно это происходит с помощью служебной программы Software Development Kit (SDK), которая интегрирована в другой программный компонент (например, приложение для телефона). что затем позволяет совершать покупки в приложении с использованием протоколов и безопасности 3DS. Стандарт 3DS SDK может быть оценен только одобренными 3DS лабораториями PCI, что можно проверить по значку висячего замка «3D» рядом с их именем здесь .

В настоящее время (на момент написания, февраль 2019 г.) оценка SDK считается только передовой практикой, но настоятельно рекомендуется, чтобы убедиться, что ваше решение в достаточной степени защищает данные ваших клиентов и обеспечивает безопасность, необходимую для ваших транзакций. Это особенно важно в свете законодательства о строгой аутентификации и защите данных клиентов, которое сейчас широко распространено во всем мире.
Ядро 3DS - базовые требования безопасности - обеспечивает, как следует из названия, базовые технические и операционные требования безопасности, необходимые для защиты операционной среды 3DS. Эти требования согласуются с целями управления PCI DSS и в целом могут рассматриваться как перевод PCI DSS в сферу 3DS, где PAN клиента может отсутствовать, чтобы в противном случае возникла необходимость в оценке PCI DSS.

Затем «Ядро 3DS - Требования безопасности» охватывает фактические данные 3DS, которые могут обрабатываться в инфраструктуре 3DS во время транзакции. PCI дополнительно предоставляет «матрицу данных», в которой подробно описывается каждый из элементов данных и требуемые уровни защиты, включая, разрешено ли сохранение этого элемента, а также для некоторых элементов, если такое хранение разрешено только временно, или даже если им нужно управлять в HSM.

Один из способов взглянуть на стандарты ядра 3DS состоит в том, что базовые требования безопасности существуют для покрытия инфраструктуры, на которой выполняется приложение 3DS - серверов, сетей и т. Д., - а сами требования безопасности действительно предназначены для применения к фактическим приложение и обработка, выполняемая в рамках транзакции 3DS.

Оценка систем DS и ACS на соответствие требованиям 3DS Core считается обязательной для большинства платежных брендов и должна рассматриваться как часть вашей дорожной карты для развертывания, если вы участвуете в этом аспекте.

Сколько таких систем существует? Каково было распространение 3DS? В UL мы управляем инфраструктурой, которая выполняет функциональное тестирование для всех решений 3DS, и с этой информацией мы можем начать рисовать картину успеха EMV® 3-D Secure. Ниже мы приводим снимок текущего ландшафта функционального тестирования, который показывает, что дела идут хорошо во многих регионах мира, причем лидером является регион EMEA (предположительно, из-за требований, касающихся PSD2). Эти цифры могут показаться заниженными, но их следует рассматривать с пониманием того, что тестирование действительно доступно только в течение нескольких месяцев. Поток поступающих решений увеличивается по мере того, как поставщики наращивают свои решения и готовят их к оценке соответствия, так что это свидетельствует о хорошей положительной тенденции для общего внедрения EMV® 3-D Secure.

Для получения подробной информации о том, какие конкретные продукты одобрены, вы можете посетить страницу веб-сайта одобрения EMVCo 3DS здесь , которая позволяет вам фильтровать результаты на основе названий компаний и типов продуктов, выбрать параметры 3DS внизу списка переключателей, чтобы получить подробности об одобрении данного типа технологии.

Однако, учитывая требования безопасности, рассматриваемые вместе с требованиями мандатов для функционального тестирования (которые я не рассматривал в этом посте), можно видеть, что разработка и развертывание решения 3DS может быть довольно сложным. Как единственная компания, которая может предложить все услуги для тестирования 3DS, UL является бесспорным экспертом в этой области и будет рада помочь вам с вашими потребностями в 3DS.

 

[Carding 4 Carders]

EMV® 3-D Secure - повышение безопасности и удобство использования в электронной коммерции​

EMV® 3-D Secure - это новое поколение сетевой аутентификации 3-D Secure (3DS), соответствующей отраслевому стандарту, для использования при оплате электронной коммерции. Последняя версия спецификаций 3DS, разработанная EMVCo, была выпущена в октябре 2017 года и лицензирована для использования третьими сторонами без лицензионных отчислений для разработки продуктов на основе этих спецификаций.

Внедрение EMV 3-DS
Чтобы справиться с проблемами текущих и будущих требований рынка, спецификация EMV 3DS была обновлена. Целью этого обновления было повышение безопасности, поддержка аутентификации на основе приложений и улучшение взаимодействия с держателями карт в процессе оформления заказа.

Основные улучшения EMV 3DS по сравнению с 3DS 1.0:

• Поддержка покупок в приложении на мобильном телефоне и других устройствах клиентов.
• Предоставьте продавцам возможность интегрировать процесс аутентификации в свои процедуры оформления заказа как для приложений, так и для реализаций на основе браузера.
• Разрешить банкам-эмитентам принимать решения на основе рисков при авторизации транзакций, что обеспечивает беспрепятственную аутентификацию потребителя, когда от клиента не требуется выполнять дополнительную аутентификацию в банке.
• Включает аутентификацию клиентов, не совершающих платежи, что позволяет использовать такие услуги, как идентификация и проверка (ID&V) для мобильных кошельков и безопасный запрос токенов для сохраненной карты.
• Новые компоненты, новые потоки, новый обмен сообщениями

Типичная транзакция: 3DS 1.0 против EMV 3DS
Существует ряд различий между потоком транзакций между 3DS 1.0 и EMV 3DS Типичный поток транзакций для каждой версии показан на рисунке ниже, за которым следует общий обзор различий между версиями с точки зрения компонентов системы, потока и обмена сообщениями. .

Также усовершенствования EMV 3-D Secure в области взаимодействия с пользователем, аутентификации и гибких устройств.

В заключение, совершенно очевидно, что EMVCo приняла во внимание потребности быстро меняющегося рынка электронной коммерции. Результат этого обзора и, следовательно, улучшение спецификаций показывают, что EMVCo серьезно относится к EMV 3DS и методично работает над изменением статус-кво на рынке онлайн-платежей. Более того, в отличие от 3DS 1.0, EMV 3DS разрабатывается коллективными усилиями большой группы людей и международных организаций. Это указывает нам на то, что 3-D Secure будет более технически согласованным и устранит проблемы совместимости, которые могли существовать в прошлом. EMVCo, похоже, возвысила свои ожидания в отношении 3-D Secure, но что еще предстоит увидеть, так это реакция рынка.
Начните сегодня с платформы самотестирования 3-D Secure или поговорите со специалистом чтобы подготовиться к изменениям, воздействиям и воспользоваться преимуществами новых функций.

EMV® является зарегистрированным товарным знаком в США и других странах и незарегистрированным товарным знаком в других странах. Торговая марка EMV принадлежит EMVCo, LLC.

 

[Carding 4 Carders]

Сделать или купить компонент 3DS?

Решение о создании или покупке программного обеспечения всегда было трудным, поскольку каждый подход имеет как свои преимущества, так и недостатки. Это справедливо для тех, кто производит или покупает компонент EMV 3-D Secure (3DS), особенно с учетом того, что новая версия 3DS может улучшить коэффициент конверсии для покупок в Интернете. С одной стороны, подход «покупки» приводит к меньшему количеству внутренних ресурсов, что потенциально снижает необходимый капитал и, вероятно, представляет собой наиболее быстрое время выхода на рынок. С другой стороны, подход «сделать» помогает лучше интегрироваться с вашими внутренними системами, покрывать фиксированные затраты и усиливать защиту интеллектуальной собственности. Но как кто-то может принять решение о создании или покупке компонента 3DS?
В UL мы разработали структуру, которая помогает потенциальным клиентам решить дилемму «сделать или купить».

Оцените свое положение
Самым важным фактором при принятии решения о «изготовлении или покупке» компонента 3DS является глубокое знание своего бизнеса и, в частности, затронутых вопросов, которые могут изменить текущее статус-кво. Такие знания помогут подтвердить необходимость обсуждаемой технологии.
Впоследствии определение основных бизнес-требований и требований к архитектуре компонента будет полезно, когда дело доходит до их соответствия вашим стратегическим целям и существующей инфраструктуре. Следует учитывать стратегическую ценность любого из двух вариантов.
При принятии решений о покупке или покупке не следует также пренебрегать временем и затратами. При покупке компонента стоимость обычно очевидна, но применимо ли то же самое к «принятию» решения? Точный расчет стоимости может спасти вас от принятия неверного решения! Кроме того, время - деньги, и в обоих вариантах (сделать или купить) важно учитывать время.

Оцените результат каждого сценария.
После рассмотрения всех вышеупомянутых факторов пора построить возможные сценарии и оценить их влияние на ваш бизнес. Поскольку различные факторы могут повлиять на исход сценария в разной степени, влияние каждого отдельного фактора следует взвешивать соответствующим образом. Используя такие инструменты, как матрица решений, решение «производить или покупать» становится все более и более ясным.
Решение «сделать или купить» имеет решающее значение для любой компании, стоящей перед такой дилеммой. UL является единственным поставщиком решения для тестирования на рынок (платформа самотестирования 3DS), и поэтому мы накопили глубокий опыт и знания, которые помогут вам в этом процессе и обеспечат правильный выбор для вашей компании. Кроме того, наш опыт может быть использован на следующих этапах реализации вашей 3DS.

В случае принятия решения следующей задачей является выбор подходящей архитектуры, а также управление проектом разработки. Кроме того, правильная реализация спецификации обеспечит плавный процесс утверждения (сертификации). Если вместо этого вы решите «купить», выбор подходящего поставщика и интеграция его решения в вашу текущую системную архитектуру, вероятно, вызовет некоторые проблемы. На рис. 1 представлены некоторые из следующих важных шагов, которые следует учитывать после принятия решения «производить или покупать».

Рис. 1. Сложности сценариев «производить» и «покупать».

В заключение, независимо от решения «сделать или купить» компонент 3DS, UL предлагает подходящее решение для вас.