Кошелёк на замок. технология 3d-secure в действии

Введение

Обеспечение безопасности при проведении платежей было и остается одной из главнейших задач любой платежной системы. Инженеры и криптографы работают над созданием новых алгоритмов и систем защиты, а злоумышленники пытаются найти в этой защите уязвимые места. Значительный рост безопасности платежных карт пришелся на период с 2000 по 2010 годы, когда внедрение стандарта EMV для физических карт и 3-D Secure для платежей в интернете сильно ограничили возможности мошенников в подделке карт и эксплуатации украденных реквизитов.

В итоге технически платежные карты оказались защищены настолько хорошо, что самым слабым звеном при совершении платежей оказался человек, и внимание злоумышленников во всем мире начиная с 2010-х годов все сильнее акцентируется именно на нем. В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку

Таким образом, проигравшими оказываются все

В то же время реальный опыт показал, что внедрение дополнительных ступеней защиты не только снижает удобство для конечного пользователя, но и уменьшает долю успешно завершающихся платежей, так называемую конверсию.Потеря конверсии обозначает, что магазин недополучит прибыль, а держатель карты не совершит желанную покупку. Таким образом, проигравшими оказываются все.

Меня зовут Алексей Касякин, я технический владелец платформы 3-D Secure в НСПК. Вместе с Сергеем Лысенко (в НСПК руководит развитием EMV 3DS 2.0) и Алексеем Крутиковым (лидер команды разработки платформы) мы хотим рассказать про технологию 3-D Secure, ее историю, основные проблемы и перспективы развития. А также о том, почему не надо бояться, если перестал приходить одноразовый пароль.

Краткая история 3-D Secure 1.0

В конце 1990-х годов наблюдалось стремительное проникновение интернета в повседневную жизнь человека. Появившийся канал продаж через интернет открыл новую страницу в истории торговли и вызвал взрывной рост дистанционных платежей по банковским картам. Одновременно стремительно растет доля мошенничества с картами в интернете, т.к. для совершения платежа достаточно было иметь только номер карты и срок действия.

Платежные системы реагируют на новую угрозу вводом нового защитного параметра, который печатается на обратной стороне карты. Он призван гарантировать, что платеж совершает именно владелец карты. Однако из-за малой длины кода (3 символа) существует возможность подсмотреть его при оплате товаров на кассе или заполучить его путем кражи физической карты.

Тогда острая необходимость защитить дистанционные платежи и привела к появлению первого стандарта безопасности 3-D Secure. Он позволяет банку в момент оплаты запросить у держателя карты дополнительное подтверждение, без которого оплата не проводится. С тех пор уже более 20 лет технология 3-D Secure обеспечивает безопасность платежей, совершаемых в интернете.

3Ds аутентификация – то же самое, что и 3-D Secure

Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.

От обычной оплаты в “один клик” 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг – ввод кода на специальной странице вашего банка, который выпустил карту.

Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в СМС или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).

Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).

Включение 3-D- secure

Самых частых причин, по которым карта не проходит и появляется статус “карта не прошла 3D-аутентификацию, либо отклонена платежной системой”, всего три:

  1.  Банальная – на карте недостаточно средств
  2. Тоже распространенная – для вашей карты не активирована услуга “3ds-авторизация”
  3. И третья причина – неправильной пароль для этапа 3ds-authentication Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно – вход в интернет-банк и т.д.

Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля – еще раз вводит пароль для интернет-банка. Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:

  • зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
  • держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)

Если же решение не найдено – стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.

Что такое 3D secure простыми словами

Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:

  • CVV-код. Находится на оборотной стороне карты. Предназначается для подтверждения подлинности карт во время совершения покупки или снятия денег.
  • Именные карты. Такая карта отличается от неименной тем, что имеет на лицевой стороне имя и фамилию владельца. По ней злоумышленнику сложнее будет оплатить товар в торговых точках, так как продавец может потребовать предъявить паспорт.
  • Пин-коды. Такой код придумывает сам владелец во время первого использования карты. Защищает от снятия денег с карты злоумышленниками, например, если она была потеряна.
  • 3D-Secure — технология, которая повышает безопасность проведения платежей при покупках через интернет.

3D Secure – это двухфакторная аутентификация для авторизации владельца карты во время совершения платежа. Если простыми словами, то 3D Secure – это код, который приходит владельцу карты на телефон при оплате товара. Этим паролем пользователь подтверждает, что именно он и никто другой совершает платеж.

Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.

Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.

Почему именно 3D

3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:

  1. Домен эквайера – система продавца или банка, куда поступают деньги;
  2. Домен эмитента – система, которая выдала карту пользователю, совершающего платеж;
  3. Система, через которую проходит оплата, или домен совместимости. Он предоставляется системами Mastercard или Visa, поддерживающими технологию 3D-Secure.

Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.

Как работает протокол

Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.

Протокол будет задействован только в том случае, если услуга активирована.

Основные причины ошибок при оплате банковской картой

Первая причина, которая является самой распространенной — отсутствие нужной суммы на карте. Рекомендуется проверить ваш баланс — для этого нужно позвонить в банк или войти в интернет банк. Иногда по карте устанавливают ежемесячный или ежедневный лимит трат. Чтоб это проверить — нужно позвонить в банк.

Эта причина может быть не ясна сразу — при отказе в оплате может не отображаться ваш баланс. Ошибка аутентификации 3D secure может быть также связана с неверным вводом реквизитов карты на предыдущем шаге. В таком случае просто повторите платеж и укажите правильные данные.

Вторая причина — на строне платежной системы. Например, терминал оплаты РЖД не позволяет платить картами MasterCard. Можно использовать только карты Visa.
Заданный магазин может не поддерживать данный способ оплаты. К примеру, робокасса, которую подключают к множеству магазинов предлагает различные тарифы для оплаты.
Я сначала хотел оплатить вебмани, однако я позвонил в магазин. Оказалось, оплатить вебмани нельзя. У них не подключена эта опция. Хотя способ оплаты через вебмани предлагается на странице оплаты.

Третья причина — возможно ваша карта заблокирована. Опять же можно позвонить в банк и проверить это. Блокировка может быть осуществлена банком автоматически в случае наличия подозрительных операций у клиента.

Четвертая причина — у вас не подключена опция 3d Secure(MasterCard SecureCode в случае MasterCard).
Технология 3D Secure заключается в следующем: при оплате вам приходит СМС от банка, которую вы должны ввести в специальном окне. Эту СМС знаете только вы и банк. Мошенничество в данном случае достаточно трудно, для него потребуется и ваш телефон.
Эта опция нужна вам для оплаты на сумму больше 3 тыс. рублей. Это как раз мой случай. Я купил в интернет магазине газовую плиту Bosh. При оплате товара на сумму 22 тыс. рублей мне выдалось вот такое сообщение:

Я был в замешательстве, не знал что делать. Сначала я думал, что это проблема магазина. Но сначала я все таки позвонил в банк. В моем случае это был Промсвязьбанк и карта Доходная.
Позвонив в поддержку Промсвязьбанка, мне предложили сначала пройти процедуру аутентификации

  1. Назвать 4 последних цифры номера карты
  2. Назвать фамилию имя отчество полностью
  3. Назвать кодовое слово.

Далее для подключения услуги 3d Secure от меня потребовали 2 номера из таблицы разовых ключей.  Вроде как услугу подключили, но через полчаса оплата снова не прошла. Позвонил в банк — сказали ожидайте когда подключится — услуга подключается не сразу. Нужно подождать.

Вопрос – ответ

Подключение этой услуги дает им защиту от фрода. Фрод – это вид мошенничества. Заключается в требовании возврата денег после оплаты и получения товара. Злоумышленник, прикидывающийся владельцем карты, обосновывает это тем, что не давал согласия на оплату.

Многие торговые площадки в сети, например, как AliExpress, не поддерживают такую функцию и продают без проблем, еще и спросом пользуются. Банк проведет операцию в любом случае, даже если данные были украдены с помощью вируса и введены мошенником. При покупке товара владельцем карты он и так знает, что покупает он сам. Поэтому ответ положительный, но в любом случае надо полагаться на свой или чужой опыт, если нет своего, и на совсем уж подозрительных сайтах не совершать покупок.

Нажать на кнопку «Отправить код еще раз». Но перед этим убедиться в том, что:

  • смартфон включен, связь не заблокирована, тариф сотовой связи проплачен и действует;
  • тарифный план предполагает получение СМС, если пользователь находится за рубежом;
  • пользователь находится в зоне приема сети провайдера;
  • телефон привязан к карте.

Существует две причины, по которым приходит ошибка авторизации 3D Secure.

    1. Ввод неверного кода. Необходимо перепроверить код в смс и ввести его правильно.
    2. Закончилось время действия кода. Динамичный пароль, пришедший в смс, действует 5 минут. Если прошло больше времени, следует запросить повторную отправку кода.

После этой ошибки желательно перезайти в браузер и провести платеж снова.

Данный сервис является обязательным. Многие магазины не работают с картами, на которых не задействована эта функция защиты.

Перевод с карт без 3D Secure

Многие торговые площадки и интернет ресурсы предусматривают использование 3D Secure. Но некоторые из них такой технологией не наделены. Обычно, это касается мелких сервисов, которым не выгодно оплачивать ее поддержание. Но в последнее время все больше компаний склоняются к необходимости подключить 3D Secure, так как это выступает гарантией безопасности для клиента.

Есть компании, которые принимают деньги без пароля по 3D Secure, но по раннее сформированным шаблонам. Например, после регистрации, пользователю предоставляется доступ в Личный Кабинет, из которого он и выполняет действия на сайте. Он считается проверенным, и дополнительно использовать технологию аутентификации по отдельному паролю не требуется.

С другой стороны, еще остаются ресурсы, в т.ч. достаточно крупные, сознательно отказывающиеся от протокола 3D Secure. Делается это для облегчения процесса покупки для пользователя. Считается, что это способствует увеличению роста покупателей, предпочитающих скорость в ущерб безопасности.

Будьте предельно внимательны, при совершении покупок в интернете на ресурсах, которые по какой-либо причине не используют технологию 3D Secure

Опасностью таких сервисов выступает то, что выполнить перевод без 3D Secure сможет любой покупатель, завладевший данными чужой карты.

Также стоит знать об ответственности. Так, если сервис проводит переводы без 3D Secure с MasterCard, Visa, МИР и др., банковская организация перекладывает ответственность за безопасность сделки на него. В случае воровства ваших данных и использования для перевода на подобной площадке, обращаться необходимо к последней, банк помочь ни чем не сможет. Если же платеж происходит с защитой, то ответственность несет эмитент, обслуживающий карточку. При своевременном обращении, он сможет оспорить сделку и возвратить клиенту деньги.

Как работает 3D Secure

При совершении операции в интернете, держатель карты, поддерживающей технологию 3D Secure проходит аутентификацию в два этапа. Протокол не нужно путать с кодами безопасности CVV2 и CVC2. Использование протокола производится следующим образом:

  1. Клиент завершает оформление операции, и нажимает на кнопку «Оплатить».
  2. Банк высылает разовый пароль (числовой код), который вводится в форму подтверждения платежа.

Если код указывается неверно, эмитент блокирует проведение транзакции. Как правило, разовый код 3D Secure состоит из шести случайных чисел, которые генерируются отдельно по каждой операции. Протокол работает на телефонах, смартфонах, персональных компьютерах, и все остальных устройствах.

У некоторых банков действует правило, согласно которому 3-5 раз неверно введенный код приводит к автоматической блокировке банковской карты. Таким образом, эмитент исключает доступ к карте со стороны третьих лиц.

Числовой код отправляется в виде СМС-сообщения, либо другим способом. Отдельные кредитные организации используют в этих целях push-уведомления. Для совершения операции необходимо иметь при себе телефон, привязанный к карте. За отправку кода плата не взимается.

3D Secure с многоразовым паролем

По некоторым картам технология 3D Secure используется виде многоразового пароля. Его клиент получает при активации карты. Этот вариант намного экономичнее, чем отправка числового кода, но уровень безопасности при его использовании еще ниже.

По стандартной схеме мошенникам потребуется перехватить одноразовый числовой код, либо завладеть телефоном держателя карты. Намного проще получать доступ к счету, когда по всем транзакциям используется один и тот же пароль.

Достаточно узнать этот самый пароль, чтобы по карте совершать практически любые операции. В этом виде технология используется небольшими банками, продукты и услуги которых не пользуются хорошим спросом у потребителей. Причина заключается в дороговизне подключения XML-протокола.

Торговцы

Преимущество для продавцов — сокращение количества возвратных платежей за «несанкционированные транзакции» . Одним из недостатков для продавцов является то, что они должны покупать торговый плагин (MPI) для подключения к серверу каталогов Visa или Mastercard. Это дорого (плата за установку, ежемесячная плата и комиссия за транзакцию); в то же время он представляет собой дополнительный доход для провайдеров MPI. Поддержка 3-D Secure сложна и иногда приводит к сбоям транзакций. Возможно, самым большим недостатком для продавцов является то, что многие пользователи рассматривают дополнительный этап аутентификации как неудобство или препятствие, что приводит к значительному увеличению числа отказов от транзакций и упущенной выгоды.

Что такое технология 3D Secure

3D Secure — это разновидность XML-протокола, который используется в виде дополнительного уровня безопасности при совершении операций с банковскими картами в интернете. Протокол предусматривает проведение двухфакторной аутентификации клиента до завершения транзакции.

Впервые 3D Secure использовалась компанией VISA в рамках пакета услуг Verifled by VISA (VBV). Основная цель работы с протоколом — повышение уровня безопасности банковских карт при совершении операций в онлайне. Протокол применяется по кредитным и дебетовым картам.

Позже, пакет услуг стали применять все крупнейшие мировые платежные системы. Подключение производилось компаниями в следующем порядке:

  • Mastercard — Mastercard Secure Code (MCC).
  • JCB International — J/Secure.
  • Amex — Safe Key.
  • НСПК МИР — МИР Accept.
  • American Express — American Express Safe Key.

Национальная система платежных карт МИР подключилась к 3D Secure в 2016 году. Сейчас все банковские карты выпускаются с подключенным по умолчанию пакетом. Отключить его нельзя — услуга оказывается бесплатно, вне зависимости от наименования банковской карты.

Протокол 3D Secure не следует рассматривать как 100% гарантию сохранности средств на счете. Он всего лишь предусматривает дополнительный шаг со стороны клиента при совершении CNP-операций (card not present) — когда не предъявляется карта.

Практика показала, что разовый код может быть перехвачен мошенниками: достаточно подвергнуть устройство воздействию вируса или вредоносного программного обеспечения. Технология снижает вероятность применения фишинга, но не исключает ее полностью.

Расшифровка термина

Инструмент получил такое наименование по причине одновременной работы трех доменов сразу (отсюда и название 3-D). Первый — домен продавца и кредитной организации, в которую перечисляются деньги. Второй — домен эмитента, выпустившего банковскую карту. Третий — домен совместимости (Interoperability Domain), предоставляемый платежной системой для поддержки работы протокола безопасности 3D Secure.

Controlling when to present the 3D Secure flow

Stripe triggers 3D Secure automatically if required by a regulatory mandate such as Strong Customer Authentication. You can also or the API to control when customers are prompted to complete 3D Secure authentication, making a determination for each user based on the desired parameters.

To track whether 3D Secure was attempted on a card payment, read the property on the card information in the Charge’s . Stripe populates the property when the customer attempts to authenticate the card— indicates whether authentication succeeded.

Use Radar rules in the Dashboard

Stripe provides three default rules to dynamically request 3D Secure when creating or confirming a PaymentIntent or SetupIntent. You can configure these 3D Secure Radar rules in your Stripe Dashboard. The following screenshot depicts these Radar rules, which request additional authentication from customers when the issuer of their card requires 3D Secure:

The first rule is enabled by default, but you can choose to disable it.

If you have Radar for Fraud Teams, you can add custom 3D Secure rules using the syntax described in our Rules reference. Radar requests 3D Secure authentication for payments that match these rules. In the example below, the enabled rule requests 3D Secure authentication for payment attempts where the amount of the payment exceeds $500 USD and the risk level is not considered normal.

Риски

Главная угроза для 3D Secure – это вирусы. Вне зависимости от того, на какой операционной системе работает смартфон, рекомендуется скачать и установить антивирусное программное обеспечение.

Никогда не сохраняйте карточные данные на мобильном устройстве, в браузере и т. д. 3DS применяется не для всех операций, так что при таком раскладе злоумышленники способны заполучить реквизиты Вашего пластика, а одноразовые коды им и вовсе не потребуются для кражи средств!

Пример 1. Возможен такой сценарий: мошенники крадут карту и с её помощью проводят оплату. Когда дело доходит до этапа подтверждения транзакции с помощью кода из SMS, они звонят владельцу платёжного инструмента и представляются сотрудниками банка. Разумеется, сразу запрашивается пришедший пользователю пароль – многие наивно его сообщают, чего делать нельзя категорически. Итог один: деньги уводятся подчистую. Причём всё сильно хуже, если пластик – кредитный, ведь тогда банковские утерянные деньги придётся возвращать в любом случае.

Подытоживая, можно сказать следующее: на 3DS надейтесь, но сами не плошайте.

Несколько слов о безопасности

Что такое 3D-Secure? Технология призвана дополнительно защищать ваши накопления на банковской карте. Даже если вы не планируете в будущем совершать виртуальные покупки, все же стоит задуматься о ее подключении как создании еще одного барьера для мошенников. Советуем при активации данной технологии выбирать в качестве кодов подтверждения одноразовые пароли. Они становятся недействительными сразу после введения вами, отчего и более надежны, безопасны.

Еще один важный момент: никогда, никому и ни при каких обстоятельствах не сообщайте код подтверждения покупки, пришедший вам на телефон. Почти каждый месяц появляются новые мошеннические схемы выманивания такой информации. Напомним вам, что шифр вы вводите собственноручно в окошко формы подтверждения покупки.

Технология может быть уязвимой перед вредоносными программами, поражающими смартфон, которые могут производить без вашего ведома покупки, используя секретный код, приходящий в СМС. Поэтому защитите гаджет надежным антивирусом и не храните на нем фотографии вашего «пластика», данные, связанные с ним.

3D-Secure — дополнительная ступень защиты средств на банковской карте. Технология незаменима при совершении виртуальных покупок. Но надо помнить о том, что она не дает стопроцентной гарантии сохранности ваших средств на карте, отчего соответствующие личные данные всегда нужно держать в секрете от третьих лиц.

What is 3D Secure?

For extra fraud protection, 3D Secure requires customers to complete an additional verification step with the card issuer when paying. Typically, you direct the customer to an authentication page on their bank’s website, and they enter a password associated with the card or a code sent to their phone. This process is familiar to customers through the card networks’ brand names, such as Visa Secure and Mastercard Identity Check. Watch our video for an example of an authenticated checkout flow.

The Strong Customer Authentication regulation in Europe requires the use of 3D Secure for card payments. 3D Secure is optional in other regions but can still be used as a tool to reduce fraud.

Stripe supports 3D Secure 2. Your integration runs 3D Secure 2 when supported by the customer’s bank and falls back to 3D Secure 1 otherwise.

Как избежать действий мошенников и обхода системы безопасности

Владелец карты может защитить себя от мошеннических действий следующими способами:

  • регулярно обновлять антивирусную базу и пользоваться только лицензионным антивирусом на компьютере или смартфоне, с которых проводятся платежи;
  • ничего не покупать на неизвестных или малознакомых сайтах;
  • внимательно читать текст, который пришел в смс вместе с динамичным кодом;
  • желательно установить дневной лимит на снятие денег с карты. Это обезопасит владельца от потери всей суммы в случае атаки злоумышленников;
  • и самый редкий, но все же встречающийся ход от воров электронных денег – это перевыпуск сим-карты. Поэтому, если телефон владельца перестал ловить сеть даже в тех районах, где всегда хорошо ловил ее, держателю карты нужно будет как можно быстрее обратиться в банк для блокирования счета и к своему провайдеру – для замены номера.

Как подключить 3d secure к банковской карте. Какие банки работают с ней?

Сегодня, такой вопрос, как подключить 3d secure Сбербанк через интернет, вводит клиентов банков в заблуждение. Дело в том, что указанные выше банки, подключают сервис автоматически, а вот в некоторых финансовых учреждениях, такая функция не предоставляется, и подключать ее требуется самостоятельно. Нередко, услуга стоит денег.

Если карта была получена недавно, но услуга на ней не работает, то придется посетить отделение банка и подать соответствующее заявление. Сотрудники активируют сервис вручную или заменят пластик. Для проверки работы защитной функции платежной системы стоит произвести любую покупку в интернете. Если разовый код успешно пришел, то никаких действий с активацией функции выполнять не требуется. Аналогичном, можно выполнить проверку и на интернет-ресурсе кредитора, предварительно выполнив авторизацию в личном кабинете.

Если у Вас остались вопросы или есть жалобы – сообщите нам

Как это работает?

Подробнее разобраться, что такое 3D-Secure, нам поможет представление алгоритма совершения обычного платежа с данной защитой:

Как только вы выберите оплату товара или услуг в интернете банковской картой, перед вами появится форма, в которую надо вписать данные: фамилию и имя держателя, номер «пластика», срок действия, защитный трехзначный код с оборота. Однако эту информацию легко может ввести и недобросовестное третье лицо.
Если карта без 3D-Secure, то вы не сможете совершить такую удаленную покупку, потому что почти все интернет-сервисы и магазины перешли на защиту платежей именно с помощью этой технологии. На втором этапе перед фактическим расчетом вам нужно будет ввести секретный код.
Шифр может быть как постоянным, так и одноразовым. В нашей стране более распространен последний вариант. Где-то в ходу постоянные коды, что менее надежно: последовательность символов можно забыть, потерять эту информацию. Больше шансов, что она станет доступна посторонним лицам

В США и Европе используются токены — устройства, генерирующие единственный правильный ответ для транзакции.
Обратите внимание, что, где бы вы ни совершали покупки онлайн, страница ввода кода будет одна и та же — характерная для банка-эмитента вашей карточки. На ней будет представлена информация о платеже, окошко для ввода секретного шифра и, собственно, кнопка «Отправить код».
Уже после того как вы отправили информацию из п

1, на ваш мобильный номер, привязанный к «пластику», должен прийти необходимый для ввода шифр. Как предупреждает вас банк, его ни в коем случае нельзя показывать, сообщать третьим лицам! Только собственноручно ввести в окошко формы покупки онлайн.
Если код, пришедший на смартфон, совпадет с введенным вами, то система «даст добро» на обработку платежа и снятие с банковского счета указанной суммы.

Преимущества и недостатки

Технология 3-d secure – это единственный способ предотвращения мошенничества, который доступен на данный момент в мире онлайн-маркетинга и бизнеса. Для клиентов технология проста в использовании, не требует подключения или установки дополнительного обеспечения.

Но технология защищает не только плательщиков, но и продавцов. Преимуществами 3-d secure для коммерческих деятелей является:

  • Сокращение отказов покупателей вследствие отсутствия авторизации платежа. Исследования показывают, что около трети владельцев карт боятся совершать покупки в Интернете из-за проблем с безопасностью. Аутентифицированный платеж может клиентам чувствовать себя более уверенно, зная, что существует дополнительный уровень защиты своих данных. Следовательно, увеличиваются расходы в Интернете.
  • Предохранение от нечестных возвратов денег. Без надлежащей защиты интернет-покупок мошенники могут жульничать, проводя чарджбек после получения товара. Согласно статистике Visa, более 80% всех возвратных платежей относятся к этой категории и все они могут быть устранены с использованием аутентификации по технологии 3 d secure. Таким образом экономиться время на решение споров и денежные средства.
  • Перенесение ответственности за транзакции от предпринимателя на банк. Продавец ответственен только за коммерческие отношения с покупателем, а все спорные вопросы решает эмитент.

Однако, для использования программы предприятия должны приобрести модуль MPI для подключения к серверу Visa или Mastercard. Стоит он немало, еще нужно заплатить за установку, обслуживание и комиссию за транзакции.

Также у технологии 3-d secure есть другие минусы:

  • действия, которые необходимо совершать для подтверждения подлинности плательщика, могут отталкивать людей;
  • возможны сбои транзакций;
  • не все карты подключены к программе;
  • отсутствие 100% гарантий;
  • проблемы с авторизацией через мобильные телефоны. Если сайт не будет оптимизирован под мобильные устройства, то может возникнуть проблема с вводом кода, вследствие некорректного отображения формы входа.

Важно знать: некоторые банки не обрабатывают платежи по технологии 3D Secure, совершаемые из страны, не являющейся страной проживания клиента. Хотя у технологии 3-Д секьюр есть недостатки, лучшего варианта защиты от интернет-мошенничества еще не придумали

Сам протокол периодически обновляется и совершенствуется, поэтому минусов становиться все меньше

Хотя у технологии 3-Д секьюр есть недостатки, лучшего варианта защиты от интернет-мошенничества еще не придумали. Сам протокол периодически обновляется и совершенствуется, поэтому минусов становиться все меньше.

When is SCA required?

SCA applies to customer-initiated payments, meaning most online card payments and bank transfers. However, specific low-risk payments fall outside its scope or are exempt.

Out of scope 

Merchant-initiated payments

Payments of a fixed or variable amount originating from the merchant, where the payment is made with a saved card, such as direct debits, recurring payments and subscriptions, are out of scope. However, this must be agreed between you and the cardholder, and addressed in the terms and conditions.

One leg out payments

One leg out (OLO) payments are transactions where the merchant, acquirer or issuer are based outside the European Economic Area (EEA).

Possible scenarios of OLO payments which are considered as out of scope for SCA:

European Economic Area (EEA)
Merchant/acquirer Issuer

Exemptions 

If there is an SCA exemption that may be applicable to a payment, the relevant exemption may be requested in either the authentication or payment authorization. The customer’s bank will then assess the risk of the payment and decide whether to accept the exemption or request strong customer authentication if they still think it is necessary.

These exemptions include:

Low-risk payments

The payment may be exempted if the acquirer’s and/or issuer’s average fraud levels for card payments and the amount do not exceed the following thresholds:

  • Below 0.13% and the payment is less than €100
  • Below 0.06% and the payment is less than €250
  • Below 0.01% and the payment is less than €500

Low-value payments

Payments below €30 are considered low-value and may be exempt. However, the bank may still trigger strong authentication if, within a 24-hour period, this exemption has been used five times since the customer’s last successful authentication or the total value spent on the card without SCA exceeds €100.

Payments to a trusted business

The customer may add a merchant to a whitelist after the initial strong customer authentication, meaning all subsequent payments to that business will be exempt.

Corporate payments

Corporate payments made with virtual and lodge cards (typically used for business travel expenses) or from central travel accounts are exempt.

How 3D Secure 2 works

With 3DS2, you can embed the authentication process in your checkout flow, making for a better user experience compared to the original 3DS.

Whenever a customer makes a payment, 3DS2 allows the merchant and a payment provider like us to send over 100 data elements (like the customer’s shipping address, device ID and payment history) to the cardholder’s bank to assess its risk level. And this all takes place behind the scenes within your web or mobile checkout flow.

Based on this data, the customer’s bank will then choose to immediately authenticate the payment () or ask for more information before authenticating the payment ().

Принцип действия

Процедура аутентификации проста и включает в себя 3 этапа:

  • После оформления предварительного заказа на сайте, покупателю необходимо будет ввести сведения о себе и банковской карте. Этот шаг нужно пройти в любом случае, даже при отсутствии протокола 3D. Но данные могут быть украдены, поэтому необходима вспомогательная мера защиты, которую обеспечивает следующий этап.
  • Если на карте пользователя активирована система безопасности, откроется окно 3D Secure или веб-сайт банка, выпустившего карту. Банк-эмитент может использовать любой способ аутентификации, но обычно для этой цели запрашивают одноразовый пароль, который отправляют в SMS-сообщении на мобильный телефон пользователя, либо электронную почту. Пароль генерируется автоматически, срок его действия истекает через несколько минут после перехода на страницу 3D Secure One Time Password. Такая система подходит для того, чтобы доказать, что покупатель действительно является владельцем банковской карты.
  • Платеж будет принят после введения правильного код, Клиента перенаправят обратно на сайт продавца и появиться подтверждение, что покупка прошла успешно.

Одноразовый пароль помогает предотвратить мошеннические схемы с копированием данных о карте, а ответственность за большинство нарушений безопасности возлагается на систему банка.

Интересно знать: в США для верификации личности граждане могут использовать специальные устройства под названием токены, работающие по технологии блокчейн. С их помощью можно пройти авторизацию по отпечатку пальца, а в будущем MasterCard планируют внедрить распознавание лиц и голоса, чтобы избавить людей от необходимости запоминать и вводить пароль.

В новой версии протокола 3D Secure 2.0 используют вспомогательные методы установления подлинности транзакции. Искусственный интеллект учитывает поведенческую активность человека. Он анализирует устройство, с которого совершается авторизация, а также такие данные, как IP-адресс, местоположение, время.

Проблема для держателя карты заключается лишь в определении того, действительно ли всплывающее окно или фрейм, в котором нужно ввести пароль, принадлежит его банку, или это мошеннический веб-сайт.

Некоторые ресурсы вместо фрейма посвящают аутентификации полную страницу браузера, который является более защищенным объектом. В этом случае в адресной строке браузера будет присутствовать значок блокировки (замка), что говорит о безопасности страницы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector