3 д секьюрити что это: Технология 3D Secure – безопасные расчеты картами в Интернете

3 д секьюрити что это: Технология 3D Secure – безопасные расчеты картами в Интернете

Comments 0 Comment

Содержание

САМЫЕ РАСПРОСТРАНЕННЫЕ ТИПЫ МОШЕННИЧЕСТВА

February 08, 2021

Нач­нем с атак, с которы­ми пла­теж­ным сис­темам и бан­кам при­ходит­ся иметь дело регуляр­но.

Платежи без 3-D Secure

Пер­вое мес­то по рас­простра­нен­ности сре­ди мошен­ничес­ких схем занима­ют пла­тежи в интерне­те — они совер­шают­ся по схе­ме card-not-present. В свя­зи с их мас­совостью пла­теж­ные гиган­ты изоб­рели допол­нитель­ный динами­чес­кий фак­тор – код 3-D Secure.

Что такое 3-D Secure
3-D Secure — схе­ма допол­нитель­ной авто­риза­ции онлай­новых пла­тежей, исполь­зующая три сущ­ности‑домена (отсю­да и наз­вание 3-Domain Secure): домен интернет‑магази­на при­нима­ет дан­ные об опла­те и пере­адре­совы­вает поль­зовате­ля на домен пла­теж­ной сис­темы, где вво­дит­ся одно­разо­вый код. Далее резуль­тат отправ­ляет­ся на тре­тий домен бан­ка‑эквай­ера, он све­ряет этот код и отправ­ляет зап­рос, который под­твержда­ет или опро­вер­гает тран­закцию обратно по цепоч­ке интернет‑магази­ну.

3-D Secure отлично помога­ет от мас­совых мошен­ничес­ких схем. Одна­ко часть магази­нов, в том чис­ле круп­ных, таких как «Ама­зон», до сих пор не готова работать с 3-D Secure, который, по их мне­нию, умень­шает кон­версию. А меж­дународ­ные пла­теж­ные сис­темы и не нас­таивают! Луч­ше тра­тить боль­ше — это их девиз. Текущие пра­вила пла­тежей гла­сят, что, если кар­та под­держи­вает 3-D Secure, а магазин эту тех­нологию не под­держи­вает, в слу­чае опро­тес­тования пла­тежа финан­совые рис­ки лежат на магази­не. Если 3-D Secure не под­держи­вает кар­та — на бан­ке‑эми­тен­те. Поэто­му по все­му миру голод­ные мошен­ники ищут магази­ны, которые не тре­буют 3-D Secure.

Иног­да это мож­но вос­при­нимать бук­валь­но: в 2018 году в Великоб­ритании выяви­ли одну из мошен­ничес­ких схем. Зло­умыш­ленни­ки опуб­ликова­ли в соци­аль­ных сетях объ­явле­ния о пятиде­сятип­роцен­тной скид­ке на дос­тавку пиц­цы одно­го круп­ного брен­да. Этот бренд не исполь­зовал при опла­те 3-D Secure, и пла­тежи выпол­нялись по куп­ленным на раз­личных мар­кетах укра­ден­ным кар­там. Это давало зло­умыш­ленни­кам выруч­ку в 50% от сум­мы каж­дой про­дан­ной пиц­цы. Схе­ма про­рабо­тала нес­коль­ко месяцев, преж­де чем ее прик­рыли.

Атака клонов

Вто­рой по популяр­ности вид мошен­ничес­тва — соз­дание кло­на маг­нитной полосы кар­ты. Он до сих пор оста­ется одним из самых рас­простра­нен­ных методов атак на опе­рации с физичес­кой кар­той (так называ­емые card-present transactions). Как ты зна­ешь, маг­нитную полосу чрез­вычай­но прос­то кло­ниро­вать.

К отдель­ным видам кибер­прес­тупле­ний сто­ит отнести исполь­зование спе­циали­зиро­ван­ного вре­донос­ного ПО. Ата­ка дол­жна быть лег­ко пов­торя­ема и хорошо мас­шта­биру­ема. Имен­но поэто­му зло­умыш­ленни­ки заража­ют устрой­ства, на которых исполь­зуют­ся тысячи карт каж­дый день, — опе­ратор­ские машины в круп­ных супер­марке­тах.

INFO
Так как вся инфраструк­тура, исполь­зующая пла­теж­ный тер­минал (POS, Point-of-Sale), называ­ется POS system, то и раз­новид­ность этих вре­доно­сов носит наз­вание POS malware, нес­мотря на то что сами POS они заражать не в сос­тоянии. Вмес­то это­го ата­ке под­верга­ется сама опе­ратор­ская машина — кас­совый аппа­рат (cash register).

В 2013 году аме­рикан­ская сеть магази­нов Target  под­вер­глась круп­ней­шей ата­ке . В ней прес­тупни­ки исполь­зовали еще не осо­бен­но популяр­ную тог­да схе­му «ком­про­мета­ция цепоч­ки пос­тавки». Пос­ле зараже­ния одно­го из под­рядчи­ков зло­умыш­ленни­кам уда­лось про­ник­нуть в сеть супер­марке­тов, ском­про­мети­ровать весь домен Windows и про­ник­нуть в опе­раци­онную сис­тему непос­редс­твен­но на кас­сах. На этих сис­темах запус­кались так называ­емые RAM-scraping-тро­яны, которые ска­ниро­вали память в поис­ках пат­тернов тре­ков маг­нитной полосы. Ког­да тре­ки обна­ружи­вались, тро­ян пересы­лал их на уста­нов­ленный во внут­ренней сети C&C-сер­вер, который даль­ше уже отправ­лял эту информа­цию во внеш­нюю сеть.

INFO
Для соз­дания копии маг­нитной бан­ков­ской кар­ты пот­ребу­ется нес­коль­ко секунд и спе­циаль­ный ридер, купить который мож­но на Amazon. Далее зло­умыш­ленни­ки соз­дают клон и идут с ним в магази­ны в Аме­рике или Евро­пе. Дам­пы бан­ков­ских карт сво­бод­но про­дают­ся и покупа­ются на мно­гочис­ленных хакер­ских форумах.

По­чему же кло­ниро­ван­ные маг­нитные кар­ты до сих пор так популяр­ны, нес­мотря на то что прак­тичес­ки все они сей­час осна­щены чипом? Все про­ще прос­того: во мно­гих аме­рикан­ских магази­нах до сих пор мож­но рас­пла­тить­ся кар­той, осна­щен­ной чипом, прос­то про­ведя тран­закцию с исполь­зовани­ем маг­нитной полосы. В пос­ледние 5–10 лет это, как ни стран­но, самый отста­лый рынок, из‑за которо­го маг­нитная полоса до сих пор при­сутс­тву­ет на бан­ков­ских кар­тах.

Ес­ли же пла­теж­ный тер­минал вдруг отка­жет­ся при­нимать маг­нитную полосу сра­зу, есть схе­ма, работа­ющая в обе­их Аме­риках и Евро­пе, — technical fallback. Эта тех­ника зак­люча­ется в том, что зло­умыш­ленник триж­ды встав­ляет в бан­комат или тер­минал кар­ту с несущес­тву­ющим чипом и пос­ле треть­ей неус­пешной попыт­ки чте­ния тер­минал точ­но пред­ложит про­вес­ти опе­рацию по маг­нитной полосе.

В любом из этих слу­чаев ответс­твен­ность по пра­вилам лежит на магази­не, выпол­нившем такую высоко­рис­ковую опе­рацию. Тем более пла­теж­ные сис­темы, такие как MasterCard, что­бы избе­жать имид­жевых рис­ков, рекомен­дуют откло­нять тран­закции, при­шед­шие в режиме technical fallback. Никому не хочет­ся выяс­нять, была ли на самом деле у кли­ента укра­дена кар­та, или он прос­то захотел не тра­тить день­ги и объ­явить о мошен­ничес­кой опе­рации. Еще мень­ше хочет­ся объ­яснять разоз­ленным кли­ентам, почему по их кар­там купили телеви­зоры за тысячи дол­ларов и в сот­нях километ­ров от их реаль­ного мес­тополо­жения.

А что в России?

В Рос­сии тер­миналы не дол­жны при­нимать к опла­те маг­нитную полосу, если кар­та осна­щена чипом. И даже technical fallback дол­жен быть под зап­ретом. Одна­ко есть неп­рият­ные исклю­чения. На под­поль­ных форумах недав­но обсужда­ли, что сеть «Ашан» име­ет тер­миналы, при­нима­ющие опе­рации по technical fallback. В любом слу­чае, даже если хакеры не могут исполь­зовать рус­ские кар­ты в Рос­сии, им ник­то не меша­ет про­давать эти дан­ные дру­гим хакерам в Евро­пе или Аме­рике для даль­нейшей монети­зации.

Офлайновые транзакции по чипу и атаки на аутентификацию

По пра­вилам сов­ремен­ных пла­теж­ных сис­тем 99,9% опе­раций по кар­там дол­жны совер­шать­ся онлайн — с под­твержде­нием крип­тограм­мы на сто­роне бан­ка‑эми­тен­та. Исклю­чения — это мет­ро, опла­ты в самоле­тах и на кру­изных лай­нерах. То есть там, где интернет дос­тупен с перебо­ями либо нет воз­можнос­ти подол­гу ждать отве­та от бан­ка‑эми­тен­та, как, нап­ример, у тур­никетов мет­ро. Да и ког­да соз­давались про­токо­лы EMV, мно­жес­тво пла­теж­ных сис­тем работа­ло в офлай­не по так называ­емым Floor limit — опе­рации выше этих лимитов дол­жны были под­тверждать­ся онлайн, а ниже — про­ходи­ли в локаль­ном режиме, то есть под­твержда­лись самим тер­миналом. Еще 5–10 лет назад количес­тво таких тер­миналов, осо­бен­но в стра­нах Латин­ской и Север­ной Аме­рики было дос­таточ­но велико, что­бы мас­сово пытать­ся ата­ковать недос­татки офлай­новой аутен­тифика­ции карт.

БЕЛЫЕ КИТЫ

Имен­но для защиты от мас­сового и прос­того мошен­ничес­тва ког­да‑то были изоб­ретены кар­ты с чипом и под­твержде­ние тран­закций с помощью кода 3-D Secure. Эти методы защиты не иде­аль­ны, у них были свои проб­лемы, о которых экспер­ты пре­дуп­режда­ли с самого начала. Одна­ко такие кар­ты до сих пор не уда­ется мас­сово взла­мывать, а ког­да ата­ка получа­ется, она боль­ше похожа на блиц­криг — все про­исхо­дит в счи­таные дни или часы. Неболь­шая груп­па зло­умыш­ленни­ков получа­ет мак­симум при­были и исче­зает с горизон­та. Имен­но поэто­му каж­дый слу­чай или новая схе­ма вызыва­ют у экспер­тов боль­шой инте­рес.

Та­кие слу­чаи мы будем называть белыми китами. Это инци­ден­ты, которые слу­чают­ся раз в 5–10 лет, закан­чива­ются катас­тро­фой для ата­куемых бан­ков и мно­гоми­лион­ными при­быля­ми для ата­кующих и поэто­му прив­лека­ют к себе очень мно­го вни­мания со сто­роны прес­сы и регуля­торов. Я рас­ска­жу о нес­коль­ких видах подоб­ных атак, что­бы наг­лядно про­иллюс­три­ровать фун­дамен­таль­ные недос­татки тех­нологий кар­точных пла­тежей.

Распределенные атаки на подбор карточных реквизитов

Та­кие ата­ки час­то называ­ют BIN Master attack или distributed guessing attack. Эти наз­вания они получи­ли бла­года­ря самому гром­кому слу­чаю, который про­изо­шел в 2016 году. Тог­да англий­ский банк Tesco под­вер­гся рас­пре­делен­ной ата­ке такого мас­шта­ба, что им приш­лось вык­лючить кар­точные пла­тежи на 48 часов. За нес­коль­ко дней зло­умыш­ленни­кам уда­лось украсть 22 мил­лиона фун­тов с 20 тысяч карт. Как уже упо­мина­лось, эти дан­ные лег­ко могут исполь­зовать­ся для опла­ты в интернет‑магази­нах, не осна­щен­ных 3-D Secure. Одна­ко тут есть нюанс: в 2018 году регуля­тор оштра­фовал банк на 16 мил­лионов фун­тов за ата­ку 2016 год, — ско­рее все­го, это ука­зыва­ет на то, что сами кар­ты не были осна­щены 3-D Secure.

INFO
Пра­вила, называ­емые 3-D Secure Liability shift, опре­деля­ют ответс­твен­ную сто­рону в слу­чае мошен­ничес­ких опе­раций: если банк не осна­щает кар­ты 3-D Secure, ответс­твен­ность за мошен­ничес­тво лежит на бан­ке. Если кар­ты, осна­щен­ные 3-D Secure, исполь­зуют­ся, нап­ример, в Amazon, где дан­ная тех­нология не при­меня­ется, ответс­твен­ность лежит на интернет‑магази­не.

Как хакеры подбирают полные реквизиты карт?

Пред­положим, у нас есть одна кар­та — наша. Ее номер сос­тоит из нес­коль­ких час­тей. Пер­вые шесть цифр называ­ются BIN — bank identification number. Один и тот же BIN при этом может при­над­лежать более чем одно­му бан­ку, кро­ме того, у бан­ка может быть нес­коль­ко BIN Range. Одна­ко это глав­ная отправ­ная точ­ка, от которой и пош­ло наз­вание ата­ки. Пос­ледняя циф­ра так­же вычис­ляет­ся по  ал­горит­му кон­троль­ной сум­мы «Луна» .

Пред­положим, наша кар­та име­ет номер 1234 5678 1234 5670. Сле­дующая кар­та из это­го диапа­зона, сог­ласно алго­рит­му, будет закан­чивать­ся на 5688, затем 5696 и так далее. Сущес­тву­ет ненуле­вая веро­ятность того, что кар­ты 5688 и 5696 сущес­тву­ют и активны.

Те­перь необ­ходимо выяс­нить зна­чение поля Expiry Date. Если банк выда­ет номера карт пос­ледова­тель­но, то, зна­чит, сле­дующий кли­ент бан­ка, которо­му выпус­тили кар­ту пос­ле тебя, будет обла­дать номером 5688. Если банк боль­шой и откры­вает сот­ни карт каж­дый день, ско­рее все­го, поле Expiry Date сов­падет с таковым на тво­ей кар­те либо будет отли­чать­ся на один месяц. Для защиты от подоб­ного под­бора зна­чений пла­теж­ные сис­темы рекомен­дуют внед­рять ран­домиза­цию PAN — выдавать их не пос­ледова­тель­но, а слу­чай­но. Тог­да хакерам будет слож­нее узнать Expiry Date кар­ты 5688.

Но нереша­емых задач нет. Сущес­тву­ет мно­жес­тво бан­ков­ских сер­висов, которые помога­ют подоб­рать связ­ку полей PAN / Expiry Date. Сре­ди них — сис­тема вос­ста­нов­ления пароля или логина мобиль­ного бан­ка, регис­тра­ция в сис­теме ДБО, воз­врат денеж­ных средств в пла­теж­ном эквай­рин­ге.

И наконец, оста­лось уга­дать три циф­ры с обратной сто­роны кар­ты — CVV2/CVC2. В кон­це 2014 года, ког­да иссле­дова­тели из Уни­вер­ситета Ньюкас­ла впер­вые про­вели ана­лиз ата­ки на банк Tesco, они обна­ружи­ли, что 291 из 400 самых популяр­ных онлай­новых сер­висов дает воз­можность переби­рать поле CVV2. Это неуди­витель­но: ведь день­ги не при­над­лежат вла­дель­цам этих сер­висов. Сер­вис — лишь инс­тру­мент для ата­кующе­го. Зна­чит, у зло­умыш­ленни­ков всег­да будет дос­таточ­но инс­тру­мен­тов для перебо­ра рек­визитов бан­ков­ских карт. Нап­ример, в 2019 году подоб­ная уяз­вимость была устра­нена в  пла­теж­ном модуле Magento CMS для PayPal .

Дру­гая час­то при­меня­емая зло­умыш­ленни­ками раз­новид­ность этой ата­ки — это исполь­зование подоб­ранных рек­визитов для выпус­ка мобиль­ного кошель­ка Google Pay или Apple Pay. Иро­ния зак­люча­ется в том, что один из самых гром­ких слу­чаев мошен­ничес­тва  был нап­равлен  на сами магази­ны Apple. Дело в том, что мно­жес­тво бан­ков (опять‑таки в Аме­рике) не тре­буют допол­нитель­ной верифи­кации с помощью одно­разо­вого кода или звон­ка в банк при выпус­ке мобиль­ного кошель­ка Apple Pay. Это озна­чает, что, зная толь­ко номер кар­ты, срок ее дей­ствия и код CVV2, мож­но выпус­тить пол­ноцен­ную вир­туаль­ную кар­ту, с помощью которой уже мож­но рас­пла­чивать­ся по все­му миру, а не толь­ко в США.

Су­щес­тву­ет еще одно средс­тво защиты пла­тежей катего­рии card-not-present. Оно называ­ется address verification system. В этом слу­чае при совер­шении пла­тежа пла­теж­ная сис­тема све­ряет еще и циф­ры из поч­тового индекса и адре­са, по которо­му зарегис­три­рова­на кар­та (postcode / billing address). Такой же сис­темой могут быть осна­щены пла­теж­ные тер­миналы, под­держи­вающие метод PAN Key Entry.

ЗАКЛЮЧЕНИЕ

По оцен­кам Positive Technologies, до 50% бан­ков до сих пор не защища­ет сво­их кли­ентов от под­бора зна­чений CVV2 и Expiry Date. Имен­но поэто­му тру­дяги из стран Латин­ской Аме­рики так активно занима­ются  по­иском по все­му миру карт и бан­ков, уяз­вимых к дан­ным ата­кам .

Тимур Юнусов, xakep.ru

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Почему 3-D Secure пароли в онлайн-платежах убивают ваш бизнес

Все мы давно привыкли, что 3-D Secure пароли, которые мы вводим при оплате онлайн услуг и товаров на сайтах — это вынужденная необходимость, защищающая как покупателей, так и интернет-магазины от потенциального мошенничества. Но также для покупателей и предпринимателей это большая головная боль — пароли забываются, не приходят SMS, в мобильных устройствах их не очень удобно вводить. В результате из-за небольшого количества платежей, по которым реально требуются такая серьезная защита (это всего-навсего около 5%, по признаниям платежной системы Visa), страдают все: как электронный бизнес, так и конечный потребитель. Так, конверсия из-за брошенных оплат может падать от 5% до критических 50% когда крупные банки или мобильные операторы испытывают технические проблемы с доставкой SMS. При этом 3-D Secure, активированный на карте, не защищает держателя карты в полной мере и, по-прежнему, позволяет мошенникам незаконно воспользоваться картой в интернет-магазинах, которые не поддерживают это протокол безопасности.

Как известно, Visa разработала протокол 3-D Secure еще в 2001 году и начала процесс его лицензирования в 2004 году для других систем, которые предлагают его под своим собственными марками. Например, в MasterCard Inc., свой сервис называется MasterCard SecureCode.

Несмотря на эффективность в предотвращении онлайн фрода, протокол 3-D Secure не нашёл большой поддержки среди эмитентов карт и мерчантов из-за нестабильности работы, в том числе в его ранних итерациях, когда всплывающее окно вынуждало кардхолдера временно уходить с платежной страницы оформления заказа во время проведения покупки. При этом многие потенциальные клиенты просто отказывались завершать процесс оплаты.

И хотя применение протокола 3-D Secure переносит ответственность за мошеннические транзакции в сети с мерчантов на банки-эмитенты и защищает интернет-магазины от претензий держателей карт, например в США только 18% платежей проходит через протокол 3-D Secure (согласно данным компании Aite Group LLC), и это при том, что этот процент утроился, начиная с 2013 года. Одной из причин низкой популярности 3-D Secure является также его ограниченность, топорность и при этом довольно высокая стоимость внедрения. Так, например, протокол не предполагает анализа типа устройства с которого осуществляется транзакция, истории платежей клиента, для понимания, является ли операция типовой для конкретного плательщика и вынуждает владельца карты вводить пароль абсолютно при каждом платеже, даже на малые суммы по вполне безопасным платежам таким, например, как оплата коммунальных услуг. Также в современной реализации протокола не предполагается какой-либо возможности использовать машинное обучение и сторонние антифрод-системы, которые смогли бы сделать ввод пароля избирательным на основании анализа данных.

И вот спустя 15 лет в этом направлении начались некоторые сдвиги. Международная платёжная система Visa заявила о том, что вместе с MasterCard они улучшат меры безопасности для своих сервисов: Verified by Visa и MasterCard SecureCode.

Заявление компании предшествует более глобальным изменениям, которые ожидают технологию 3-D Secure, лежащую в основе сервиса Verified by Visa. Организация по распределению стандартов чиповых карт EMVCo, которой управляют шесть международных платёжных систем, включая Visa и MasterCard, работает над усовершенствованной версией технологии, а именно 3-D Secure 2.0, которую планируют запустить к концу года.

В своём посте-объявлении об изменениях, опубликованном в корпоративном блоге, Visa указала на то, что усовершенствования в моделировании рисков и прогнозной аналитике дают возможность убрать пароли, не делая систему уязвимой для мошенников. По данным Visa, многие эмитенты уже перешли на, сопряженную с риском, т.н. динамическую аутентификацию. Компания указала на то, что анонсированные ею изменения затронут и её клиентскую базу.

В посте говорится о том, что Visa будет постепенно отказываться от статических паролей и процесса их регистрации, подтвержденных сервисом Verified by Visa. Более того, держатели карт Visa будут освобождаться от введения Verified by Visa пароля при осуществлении покупок в сети.

Эмитенты и мерчанты всё больше полагаются на контекстуальные данные, в том числе на историю транзакций кардхолдера в интернет-магазине, геолокацию, проверки устройства с целью подтверждения наличия данных о транзакциях, проведённых через компьютер, планшет или смартфон, а также оценку риска мошенничества по приостановленной транзакции.

“Внедрение алгоритмов в анализ этих данных позволяет оценивать рискованность каждой транзакции в режиме реального времени, предоставляя эмитентам более качественные сведения для понимания необходимости принятия решения по дополнительной проверке,” говорится в блог посте. “Для большинства транзакций, которые считаются низкорисковыми, процесс покупки может быть продолжен без дополнительной аутентификации.“

Таким образом, от международных платежных систем в скором времени можно ожидать внедрения обучаемых алгоритмов и продвинутых систем анализа мошенничества при работе с 3-D Secure паролями, что поможет в будущем упростить платежи в сети интернет и сделать их еще более безопасными. Компания MasterCard уже сообщала, что используя свою систему Safety Net, созданную на базе алгоритмов машинного обучения, смогла отразить 3 крупные атаки на сети банкоматов в первые 2 месяца 2016-го года, анализируя аномалии и географические зоны при попытках снятия средств. Также технологии искусственного интеллекта для борьбы с фродом есть и у компании Сybersource, которую платежная система Visa приобрела в 2010 году. Соответственно, вполне можно ожидать, что уже в скором времени технологии машинного обучения, искусственного интеллекта и анализа Big Data будут использоваться в интернет платежах.

А пока мы все в ожидании революции, самыми действенными методами улучшения конверсии интернет-магазина остаются следующие:

  • выборочное использование протокола 3-D Secure по низкоризковым платежам на стороне платежного провайдера
  • использование каскадного процессинга платежей — технологии, которая позволяет в зависимости от деталей плательщика направить его транзакцию на наиболее подходящий банк/процессинг/страну
  • использование гибкой антифрод-системы на стороне платежного провайдера, которая отфильтрует подозрительные платежи, не влияя существенно на конверсию
  • “ручной” анализ платежей на наличие аномального поведения плательщика службой фрод-мониторинга провайдера

особенности новой версии – Публикации от PSP Platon

Те, кто на ежедневной основе совершает платежи в интернете и осведомлен о необходимости их обезопасить, наверняка знает о такой технологии как 3D Secure. 

И, несмотря на ее преимущества, долгий процесс аутентификации платежа отягощает как кардхолдеров, так и участников индустрии e-commerce. Ведь как известно, такие методы проверки как раз и приводят к снижению платежной конверсии на 5%- 20%. 

В условиях изменчивого платежного поведения покупателей и их желания упростить процесс оплаты появился повышенный спрос на обновление привычных технологий проверки безопасности. Они, что немаловажно, были изобретены более 17 лет назад и сейчас слабо соответствуют новым привычкам потребителей. 

Собственно, вместе с этим появление нового протокола 3D Secure 2.0 в полной мере оказывает влияние  на всю платежную индустрию и опыт потребителей в целом. В чем ключевые отличия обновленного протокола — давайте рассмотрим в этой статье. Но давайте по порядку.

Как работает 3D Secure 1.0? 

3D Secure 1.0 — это технический стандарт безопасности, разработанный Visa и MasterCard. По сути, является дополнительным шагом проверки личности покупателя в процессе совершения онлайн-платежа. Он был создан, чтобы помочь снизить риск мошенничества в Интернете и защитить транзакции по банковским картам.

EMV 3-D Secure Three-Domain Secure (3DS) — это протокол, разработанный EMVCo, который позволяет потребителям аутентифицироваться с банком-эмитентом своей карты при совершении транзакций при отсутствии физической карты (Card not present). “Три домена безопасности” состоят из домена эквайера, домена банка эмитента и домена взаимодействия международной платежной системы, который предоставляет поддержку протокола 3DS. 

Основная цель протокола заключается в защите потребителя путем предоставления дополнительного уровня аутентификации, то есть доказательства того, что именно владелец карты использовал свою карту во время транзакции. Это повышает защиту торговцев от мошеннических возвратов платежей. Эта защита также предоставляется в форме переноса ответственности с продавца на банк-эмитент карты( Liability Shift). 

Перенос ответственности — довольно спорный вопрос.Тут важно помнить, что этот слой защиты относится только к мошенническим платежным операциям, при условии что мерчант применил технологию 3D-Secure. То есть смещение ответственности за фрод-транзакцию с мерчанта на банк эмитент происходит только в случае, если продавец использовал данный протокол. В противном случае мерчант сам компенсирует возвратный платеж. 

Как и ожидалось, эмитенты карт по большей части выбирают подход, который перестрахует их от вероятности потенциального мошенничества. То есть в мерах предосторожности отклоняют все сомнительные транзакции. В 2018 году это привело к тому, что сумма по ложно отклоненным (false declined) транзакциям в США составила более 331 миллиарда долларов. Одна из причин — интернет-магазины и эмитенты карт стали настолько бояться мошенничества и его последствий, что слишком ужесточают свои правила противодействия мошенничеству. 

Впрочем, одним из последствий применения 3D Secure было увеличение запросов мерчантов на отключение этого метода проверки из-за отсутствия гибкости в технологии. Потому как использование 3DS-1 обязывало их применять протокол безопасности абсолютно для всех транзакций, даже там, где подозрений во фроде в принципе и нет. А это приводило к еще большему количеству “брошенных корзин” и снижению платежной конверсии. А учитывая, что 3D-Secure является дополнительным шагом в процессе оплаты, это часто приводило к отмене заказа.  

К слову, в 2017 году после внедрения протокола проверки уровень конверсии платежей в Бразилии упал на 55%, а в США и Китае в среднем наблюдалось снижение на 43%.

А если подробнее рассмотреть еще и пользовательский опыт, то тут найдется ряд других недостатков. Покупатель в процессе проверки переадресовывался на сторонний сайт, интерфейс которого, как правило, не был оптимизирован под мобильные устройства. 

Учитывая все вышеперечисленные недостатки, EMVCo выпустила новую версию 3DS: 3D Secure 2, также называемую как EMV 3-D Secure, 3D Secure 2.0 или 3DS2. 

В чем ключевые отличия новой версии протокола?

Обновленная версия протокола была разработана с целью снижения количества недостатков, которые отмечались во время использования 3DS 1.0. 

EMVCo утверждает, что ключевое отличие 3DS1 и 3DS2 — улучшение пользовательского опыта при одновременном снижении риска мошенничества. Вместо статического пароля пользователи могут аутентифицироваться при помощи токена банковской карты или на основе биометрических данных, таких как отпечаток большого пальца, распознавание лица или голоса. 

Также вместе с упрощенным процессом аутентификации компании могут обрабатывать потоки протокола 3DS2 для онлайн и мобильных платежей без необходимости переадресовывать пользователя на сторонний ресурс для завершения оплаты. Что вместе с омниканальной поддержкой протокола — от мобильного кошелька до мобильного приложения — в разы улучшает платежный опыт клиентов.

Что наиболее важно, 3DS 2.0 значительно улучшает качество обслуживания клиентов, внедряя Frictionless Flow посредством Risk Based Authentication (аутентификации на основе рисков). 

Frictionless 3D-Secure 2.0 позволяет мерчантам и эквайерам проверять транзакции от банка-эмитента  без переадресации клиента на сторонние страницы, при этом ему не нужно запоминать PIN-код. А это, в свою очередь, упрощает оплату для кардхолдеров: клиенты тратят на 85% меньше времени в процессе оформления заказа. 

3-D Secure 2.0 на основе RBA обрабатывает данные картодержателей во время проведения транзакций, передавая их банку-эмитенту и ACS (Access Control Servers). Далее проводится оценка риска операции на основе анализа более 150 исторических и фактических элементов данных о транзакциях. После чего выводится конечное решение о необходимости процедуры аутентификации. 

Также по рекомендациям SCA (Strong Customer Authentication) был разработан ряд исключений по транзакциям, что позволило им беспрепятственно проходить анализ риска Transaction Risk Analysis (TRA). Под категорию транзакций с низким уровнем риска попадают операции в диапазоне от 30 до 500 евро. Чтобы применить исключения для них, общие коэффициенты фрода для эквайеров не могут превышать установленные пороговые значения — 0,13% для транзакций ниже 100 евро, причем определенные уровни мошенничества уменьшаются по мере увеличения стоимости операции. 

То есть, если банк после обмена данными о платеже получил достаточно доказательств, что риск мошенничества минимальный и не достигает порогового значения — банк запрашивает дополнительное подтверждение от картодержателя и пропускает платеж. В противном случае — пользователь обязан аутентифицироваться, а сам платеж будет проходить в режиме Challenge до момента ввода пароля покупателя. Но важно отметить, что по данным Statista, большинство сделок, по мнению банков-эмитентов, относятся к группе низкого риска (95%).

Как мы уже обсудили выше, перенос ответственности с мерчантов на эмитентов карт было одним из преимуществ 3DS1, когда дело касалось чарджбеков. 

Новые правила ответственности за чарджбек

Использование 3DS может привести к 5 сценариям для Visa и Mastercard: “аутентификация успешна”, “аутентификация предпринята”, “аутентификация не пройдена”, “аутентификация недоступна” и “ошибка”. Ответственность за чарджбек перекладывается с мерчанта на банк-эмитент только тогда, когда аутентификация прошла успешно. Если аутентификация не удалась, произошла ошибка или если аутентификация недоступна, ответственность за возврат средств несет продавец.

Существует также различие в правилах Liability Shift в зависимости от того, с какой платежной системой работает торговец. Если конкретная карта не зарегистрирована в 3DS, Visa берет на себя ответственность за любые возвратные платежи. С Mastercard ответственность остается за продавцом. 

С обновлениями 3DS 2.0 мерчант может получить большее количество данных при взаимодействии с банками-эмитентами и платежными шлюзами, чем это было в 3DS1. Сейчас у него есть возможность собирать ценные данные по транзакциям после оформления заказа, которые обрабатываются с помощью 3DS2. Данные о том, сколько раз покупатель был перенаправлен на страницу проверки 3DS, а также процент аутентифицированных платежей может дать более полное представление о поведении клиентов. Это свою очередь предоставит фрод-аналитикам важную статистику по мошенническим действиям и поможет улучшить собственную систему защиты. 

Тем не менее, торговцам не стоит отказываться от дополнительного слоя защиты, который предоставляют ACS и банки-эмитенты. Поскольку, при анализе транзакции непосредственно банком, у которого есть доступ к большему объему исторических данных, есть большая вероятность получить точную оценку после анализа риска операции. 

Итоги внедрения 3DS 2.0

В целом, вторая версия протокола 3DS — серьезное  улучшение для всех участников. Она позволяет торговцам использовать все преимущества протокола и обеспечивать защиту на нескольких платформах, включая мобильные приложения, с простой интеграцией в их системы. Предполагается также, что количество оставленных корзин после применения 3DS 2.0 будет постепенно снижаться — мерчанты увидят примерно 70%-е снижение, а процесс покупок сократится почти на 85%. 

Банки-эмитенты смогут обмениваться большим количеством данных с торговцами, что позволит им лучше понять платежный путь клиента, с большей точностью определять риск и, следовательно, улучшить процесс аутентификации. 

Для клиентов обновления, пожалуй, самые выгодные. Теперь они могут  осуществлять безопасные транзакции на большем количестве платформ. Транзакции будут более защищенными благодаря внедрению усовершенствованных методов защиты, таких как двухфакторная аутентификация. А пользовательский опыт будет значительно улучшен за счет беспрепятственных потоков протокола благодаря аутентификации на основе рисков.

/n software inc. 3-D Secure Integrator (лицензия версии 6), C/C++ Edition

3-D Secure – это сертифицированная библиотека 3-D Secure 2.0 и 1.0.2, предлагающая поддержку для Verified by Visa, MasterCard SecureCode, American Express SafeKey, Diners Club International ProtectBuy и JCB J / Secure. Компоненты MPI, Server и Client позволяют легко интегрировать возможности Verified By Visa, SecureCode, American Express SafeKey, Diners Club International ProtectBuy и & J / Secure в онлайн-магазины, веб-сайты и торговые системы, обеспечивая при этом исключительную гибкость для разработчиков через простой в использовании интерфейс компонентов.

Основные преимущества:

  • Сокращение мошенничества в Интернете и возвратных платежей.

  • Никаких сборов за транзакцию.

  • Visa, MasterCard, American Express SafeKey, DCI Protect Buy и JCB сертифицированный MPI.

  • Одно из первых решений 3D-Secure (протестировано на рынке с 2002 года).

  • Примеры приложений и учебные пособия позволяют быстро и легко внедрить 3-D Secure.

  • Подробная справочная документация, примеры приложений, полностью проиндексированные файлы справки и обширная база знаний в Интернете.

  • Компоненты являются потокобезопасными для критических элементов.

  • Компоненты потребляют минимальные ресурсы.

  • Собственные компоненты разработки для всех поддерживаемых платформ и технологий компонентов.

  • Строго проверенные, надежные компоненты, которые прошли сотни тысяч часов испытаний как внутри команды QA, так и за ее пределами.

✅ Купите /n software inc. 3-D Secure Integrator (лицензия версии 6), C/C++ Edition — Windows на официальном сайте

✅ Лицензия /n software inc. 3-D Secure Integrator (лицензия версии 6), C/C++ Edition — Windows по выгодной цене

✅ /n software inc. 3-D Secure Integrator (лицензия версии 6), C/C++ Edition — Windows, лицензионное программное обеспечение купите в Нижнем Новгороде и других городах России

Предлагаем также:

Доставка в Нижнем Новгороде

При электронной доставке вы получаете ключ активации программного продукта на e-mail. Таким образом могут доставляться ключи для частных пользователей или организаций.

Срок доставки может отличаться у разных производителей.

Контакты в Нижнем Новгороде

Интернет магазин Softline

Офис регионального представительства компании находится по адресу: Новая ул., д. 28, Нижний Новгород, 603000.
Нижнем Новгороде
По работе интернет-магазина обращайтесь по общему телефону: 8 (800) 200-08-60.
Обработка заказов, отправка электронных ключей (лицензий) и физическая доставка осуществляются по рабочим дням, с 9 до 18 часов (Мск).

Что такое 3D Secure?

Что такое 3D Secure и как это работает?

По сути, 3D Secure аутентификация — это протокол безопасности, который добавляет процесс проверки на уровень оплаты путем перенаправления клиентов на стороннюю страницу, где они должны ввести SMS-код или пароль для совершения онлайн-покупки. В процессе выполнения транзакции 3D Secure участвуют три стороны: продавец, эквайер (например, Checkout.com) и схемы карт (e.g., VISA, MasterCard и др.).

Первоначально развернутый VISA для повышения безопасности онлайн-транзакций без карты, другие схемы с использованием карт быстро присоединились к разработке собственных продуктов для транзакций 3D Secure :

  • Visa: проверено VISA
  • MasterCard: MasterCard SecureCode
  • American Express: American Express SafeKey
  • Откройте для себя: Откройте для себя ProtectBuy
  • JCB: JCB J / Secure

Хотя этот протокол является эффективным средством повышения уровня безопасности транзакций в процессе оплаты, это часто связано с предоставлением нежелательного клиентского опыта и, как следствие, отрицательным влиянием на конверсию кассовых услуг и доход.

Взгляд продавца

Основным преимуществом 3D Secure для продавцов является то, что он обеспечивает эффективный метод защиты пользователей от угрозы мошенничества с платежами. Это особенно эффективно, поскольку продавцы больше не несут ответственности за определенные мошеннические возвратные платежи, когда покупатель отрицает, что совершил покупку. Это преимущество также известно как «сдвиг обязательств по возвратному платежу».

Что такое сдвиг в отношении обязательств по возвратному платежу?

Хотя 3D Secure не имеет возможности искоренить 100% всех случаев мошенничества и возвратных платежей после завершения онлайн-платежа 3D Secure, он предоставляет дополнительный этап аутентификации.Это помогает успокоить держателя карты и снижает долю споров, запросов и возвратных платежей для продавца. Как правило, продавец может рассчитывать на уменьшение количества возвратных платежей и мошенничества, а также жалоб клиентов примерно на 80%.

Может ли продавец с 3D Secure больше никогда не получать возвратный платеж?

К сожалению, нет. Понятие, лежащее в основе сдвига ответственности, немного сложнее, чем это. Во-первых, очень важно определить разницу между мошенническими и не мошенническими возвратными платежами.

Не мошеннический возврат платежа обычно происходит, когда покупатель совершил покупку с помощью своей карты и недоволен услугой или доставленными товарами. Когда это происходит, вместо того, чтобы просить продавца о возврате или обмене, покупатель может позвонить в свой банк, объяснить проблему и получить свои деньги обратно.

Мошеннические возвратные платежи, с другой стороны, можно разделить на следующие две подкатегории:

  • Первую часто называют «дружеским мошенничеством» или «кражей в магазинах в Интернете».Это происходит, когда потребители стремятся вернуть свои деньги за товар или услугу, которые они получили и которыми полностью довольны. Конечная цель этого сценария — получить продукт или услугу бесплатно, используя существующие правила схемы карт.
  • Вторая ситуация связана с реальным мошенничеством, когда преступники используют украденные карты или украденные номера карт в Интернете для совершения покупки. Законный владелец карты затем естественным образом инициирует возврат платежа для отмены мошеннического платежа, когда он поймет, что произошло.

Помня об этом, важно отметить, что 3D Secure защищает продавцов только от мошеннических возвратных платежей.

Итак, каковы другие преимущества для продавцов?

Используя 3D Secure, продавцы могут увеличить свою прибыльность одним из следующих способов:

  • Заставить держателей карт участвовать в транзакциях с более высокой стоимостью по мере повышения их уровня уверенности
  • Нацеливать и привлекать клиентов, связанных с более высоким рейтингом риска
  • Уменьшите ресурсы, выделяемые на возврат платежа: управление спорами, сборы за возврат платежа и другие штрафы, связанные с различными правилами схемы карт.

Наряду с 3D Secure существуют некоторые дополнительные рекомендации для продавцов, которые могут помочь им уменьшить их подверженность возвратным платежам :

  • Разглашайте политику доставки, возврата и отмены с умом, гарантируя, что клиенты имеют доступ к этим деталям во время покупки и могут легко найти их позже.
  • Используйте хороший дескриптор выставления счетов, который позволяет клиентам легко сопоставить свою покупку на правильный веб-сайт, когда они проверяют свою кредитную / дебетовую третье заявление.Неспособность установить хороший дескриптор может привести к тому, что законные держатели карт инициируют возврат платежа за транзакцию, которую они не распознают в своей выписке. Это связано с тем, что они не могут легко установить связь между фактически совершенными транзакциями.

Почему не все продавцы используют 3D Secure?

Проще говоря, использование 3D Secure представляет собой компромисс между наличием этого дополнительного уровня защиты и риском снижения коэффициента конверсии. Если взглянуть на это глубже, на коэффициент конверсии с помощью 3D Secure может влиять множество различных аспектов, а не только когда держатель карты не может пройти аутентификацию.

Один из наиболее распространенных факторов здесь связан с целевым рынком продавца. Напоминаем продавцам, что внедрение 3D Secure неодинаково в разных странах. Это связано с тем, что некоторые банки просто не поддерживают эту реализацию, например, банк, не участвующий в программе.

При этом, если продавец принимает решение обрабатывать все свои транзакции в 3D Secure, существует вероятность того, что большая часть этих транзакций будет отклонена, особенно если у них большой контингент клиентов в таких странах, как U.S., где 3D Secure все еще находится в зачаточном состоянии. Решение здесь состоит в том, чтобы использовать 3D Secure с умом, активируя метод аутентификации только на тех рынках, где уровень распространения уже высок. В то же время применяйте другие решения по снижению рисков, где внедрение низкое или почти отсутствует.

Попытка списания без использования 3D Secure

На уровне обработки, за пределами продавца, эквайера или шлюза, когда оказывается, что транзакция 3D Secure не может быть завершена, существует альтернативный маршрут, чтобы помочь продвинуть транзакцию через.Например, если для карты не включена или не зарегистрирована функция 3D Secure, или даже если имеется системный сбой, связанный с банками-эмитентами, в результате чего система 3D Secure не работает.

Когда это происходит, некоторые процессоры имеют возможность «понизить» транзакцию до Non-3D Secure в автоматическом режиме, чтобы продавец не потерял продажу. Стоит отметить, что здесь есть компромисс. Отсутствует смещение ответственности, что означает отсутствие защиты продавца в случае мошеннического возврата платежа.

Взгляд потребителя

Хотя для клиента обнадеживает наличие дополнительного уровня защиты, этап 3D Secure временами может быть невероятно разочаровывающим. Это может быть связано с тем, что:

  • В процессе оформления заказа есть дополнительный этап, который не всегда запоминает установленный пароль
  • Существуют проблемы с другими процессами аутентификации
  • Карта, использованная для совершения платежа, не подходит для 3D Secure, поэтому покупка не может быть осуществлена ​​

Также стоит помнить, что 3D Secure не всегда оптимизирован для работы на определенных устройствах.

Аутентификация плательщика на основе правил

Есть определенные банки-эмитенты, которые разработали систему аутентификации на основе рисков, которая позволяет продавцам получать выгоду от сдвига ответственности, связанного с определенными транзакциями. В этих случаях от держателя карты не требуется предъявлять какие-либо учетные данные. Это больше известно как «тихая аутентификация». В этом случае процесс совершения покупок не затрагивается, в то время как банк-эмитент старается гарантировать отсутствие риска и перенос ответственности применяется в обычном режиме.

Взгляд в будущее

По мере роста электронной коммерции, 3D Secure также будет развиваться, чтобы справляться с потоком онлайн-транзакций, которые происходят в среде с несколькими интерфейсами. Продавцы стремятся найти баланс между предоставлением дополнительных уровней безопасности и уверенности, при этом предоставляя потребителям удобный пользовательский интерфейс, который позволяет им легко выполнять транзакции. Хотя 3D Secure еще не является законченным решением безопасности, он имеет большое значение для защиты как продавцов, так и потребителей от растущей угрозы мошенничества с платежами.

Что такое новый 3-D Secure v2.1?

Secure версии 2 является развитием существующих программ 3-D Secure версии 1: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners / Discover ProtectBuy и JCB J / Secure. Он основан на спецификации, разработанной EMVco. EMVCo существует для облегчения взаимодействия по всему миру и принятия безопасных платежных транзакций. Он контролируется шестью организациями-членами EMVCo — American Express, Discover, JCB, Mastercard, UnionPay и Visa — и поддерживается десятками банков, продавцов, процессинговых компаний, поставщиков и других заинтересованных сторон отрасли, которые участвуют в качестве партнеров EMVCo.

Одно из основных отличий версии 2 состоит в том, что эмитент может использовать множество точек данных из транзакции для определения риска транзакции (анализ на основе рисков). Для транзакций с низким уровнем риска эмитенты не будут оспаривать транзакцию (например, не отправлять SMS-сообщение держателю карты), хотя аутентифицируют транзакцию (без трения). И наоборот, для транзакции с высоким риском эмитенты потребуют от держателя карты аутентификации с помощью SMS или биометрических средств (вызов).

Отдельно строгая аутентификация клиентов (SCA), необходимая с 1 января 2021 года для Европы и с 14 сентября 2021 года для Великобритании, 2019, как указано в PSD2, приведет к значительному увеличению количества транзакций, требующих использования аутентификации 3-D Secure.Использование 3-D Secure версии 2 должно максимально ограничить потенциальное негативное влияние на конверсию. Вкратце 3-D Secure версия 2 означает:

  • Вам необходимо будет внедрить 3-D Secure до 1 января 2021 года, если ваши транзакции подпадают под требования ЕС PSD2 SCA (в случае, если вы еще не поддерживаете 3-D Secure).
  • Рекомендуется (а в некоторых случаях и требуется) предоставить дополнительные точки данных для поддержки оценки рисков, выполняемой эмитентом в случае 3-D Secure версии 2
  • Возможно, вам потребуется обновить свою политику конфиденциальности в отношении GDPR, поскольку вы можете делиться дополнительными точками данных с третьими сторонами
  • Более удобный пользовательский интерфейс для ваших потребителей

На рынке ожидается, что значительный процент транзакций с использованием 3-D Secure версии 2 будет проходить без проблем, что не требует от держателя карты ничего дополнительного по сравнению с текущими потоками проверки без 3-D Secure.Это означает, что вы получаете выгоду от повышения безопасности и сдвига ответственности, которое обеспечивается программами 3-D Secure, в то время как конверсия в процессе оформления заказа не должна иметь негативного влияния.

Что такое 3D-Secure? — Справочный центр

3D-Secure (или 3DS) — это признанная гарантия для продавцов и покупателей от мошенничества с использованием кредитных карт, добавляющая второй уровень безопасности при завершении процесса оплаты.Цель состоит в том, чтобы надежно аутентифицировать держателя кредитной карты.

После ввода данных своей кредитной карты на странице оплаты ваш клиент перенаправляется на веб-сайт банка и должен подтвердить, что он является держателем карты, с помощью метода аутентификации: код, отправленный текстовым сообщением, или требование ввести дату рождения, являются наиболее широко используемые методы.

В чем преимущества 3D-Secure?

3D-Secure — это эффективный инструмент для предотвращения попыток мошенничества при транзакциях с кредитными картами.После ее активации мошенник сталкивается с реальным препятствием для совершения покупки, потому что обычно у него нет никакого способа узнать код 3D-Secure или дату рождения держателя карты.
Доказано, что 3D-Secure снижает частоту возвратных платежей, вызванных мошенничеством.

Какие недостатки у 3D-Secure?

Даже если 3D-Secure является эффективной защитой от мошенничества, не является полной гарантией от риска возвратного платежа.

В частности, возвратные платежи могут происходить, даже если платеж был обработан с помощью 3DS, в следующих ситуациях:

  • платежей по предоплаченным картам Visa;
  • платежей, совершенных с использованием не французских визитных карточек Visa / Mastercard;
  • платежей, для которых продавец (вместо покупателя) вводит данные кредитной карты на странице оплаты;
  • коммерческих споров, связанных с предоставленной услугой или продуктом (качество товара, доставка и т. Д.)).

Этот список не является исчерпывающим и может измениться в будущем.

3D-Secure часто обвиняют в его негативном влиянии на коэффициент конверсии корзины покупок.
Важно знать, что 3D-Secure полностью управляется банком-эмитентом карты.
Появление дополнительного этапа в процессе платежа и отсутствие удобства использования систем аутентификации, предлагаемых банками, в частности, на мобильных устройствах, снижают коэффициент конверсии на 15% во время завершения платежа.

Эффективным решением для достижения правильного баланса между риском и коэффициентом конверсии на странице платежа является активация функции Smart 3D-Secure, предоставляемой PayPlug (дополнительная информация)

Процедура 3D Secure

3D Secure — это форма двухфакторной аутентификация, предназначенная для еще большей безопасности онлайн-платежей по кредитным картам и ставшая обязательной для всех онлайн-продавцов в Европейском Союзе с января 2021 года, а также в некоторых других регионах мира. Мы хотим максимально защитить наших клиентов по всему миру, сделав покупки максимально безопасными.Вот почему мы предлагаем процедуру аутентификации 3D Secure при оплате кредитной картой всем нашим клиентам, а не только тем, где она является обязательной.

Что такое процедура 3D Secure?

3D Secure — это процедура для защиты платежей по кредитным картам в Интернете, требующая дополнительного подтверждения личности, например, путем ввода пароля или отпечатка пальца. Это помогает избежать неправомерного использования кредитных карт в онлайн-торговле. Эти процедуры называются «Проверка личности Mastercard», «Проверено VISA» и «American Express Safekey».

Процедура предназначена для доказательства того, что платеж кредитной картой действительно был инициирован владельцем карты. Этот дополнительный шаг безопасности стал обязательным с 1 января 2021 года в Европейском союзе на основании второй Директивы о платежных услугах 2 Европейского союза, которая предусматривает, что клиенты должны дважды подтверждать свою личность для всех электронных платежей в Европейском союзе.

Как процедура 3D Secure работает с моим заказом?

Вы уже активировали 3D Secure и хотели бы теперь оплатить свой заказ кредитной картой?

Затем просто выберите «кредитную карту» в качестве способа оплаты в процессе заказа.На следующем шаге введите следующую информацию о кредитной карте:

  • Номер кредитной карты
  • Тип кредитной карты (Mastercard, VISA, American Express)
  • Срок действия

Проверьте свой заказ и нажмите «Заказать сейчас». Затем наш поставщик платежных услуг направит вас для двухфакторной аутентификации с использованием процедуры 3D Secure.

Пожалуйста, полностью завершите процедуру 3D Secure. В противном случае весь ваш заказ будет отменен.

Вы еще не использовали 3D Secure?

Вы никогда не совершали платеж с использованием «Mastercard Identity Check», «Проверено VISA» или «American Express Safekey»? Затем вы можете активировать процедуру безопасности либо во время процесса оплаты на нашем веб-сайте, либо отдельно, через веб-сайт вашего банка или поставщика кредитной карты. Регистрация, а также функционирование процедуры безопасности могут варьироваться от поставщика к поставщику. Двухфакторная аутентификация может, например, происходить с помощью PIN-кода, кода SMS, пароля или даже отпечатка пальца.Если вам нужна дополнительная информация, свяжитесь напрямую со своим банком или поставщиком кредитной карты.

Аутентификация платежей: 3-D Secure Demystified

Проверка подлинности платежа: раскрытие тайны 3-D Secure

Что происходит в 3DS? В то время как протокол 3-D Secure — это de rigueur для борьбы с мошенничеством без предъявления карт в ЕС и других странах, проникновение в Северной Америке застряло где-то к югу от 2% в течение многих лет. Но сегодня это меняется, поскольку все больше компаний, выпускающих кредитные карты, и продавцов признают значительные преимущества, которые протокол приносит с точки зрения сокращения числа случаев мошенничества и трений.Для многих это начинается с понимания того, что стало настоящим Alphabet Soup из вариантов 3DS, включая 1.0, 2.0, 2.1 и 2.2.

Чтобы понять необходимость 3DS, достаточно рассмотреть прошедший год с беспрецедентным всем. Предполагалось, что в 2020 году мировая электронная торговля вырастет на 15% в годовом исчислении. В условиях пандемии он вырос на 25%. И поскольку так много потребителей покупают так много онлайн, многие впервые, основное внимание уделяется тому, чтобы сделать процесс оформления заказа как можно более простым.

Но за это пришлось заплатить. Только в США убытки от покупок, совершенных с использованием украденных данных кредитной карты, могли превысить 6,4 млрд долларов в 2020 году по сравнению с 5,5 млрд долларов в 2018 году. Это средние темпы роста убытков более чем на 40 млн долларов в месяц в течение 24 месяцев подряд. И это может быть мелочью.

3-D Secure (3DS) был разработан, чтобы все это изменить.

Так что же такое 3-D Secure?

Протокол аутентификации платежей 3DS был впервые представлен еще в 1999 году, еще во времена коммутируемого доступа в Интернет.Его цель: предотвратить несанкционированное использование кредитной карты держателя карты при покупках в Интернете. Для этого в 3DS участвуют три стороны, или «домены» (таким образом, «3D» в 3DS) — банк-эквайер, банк-эмитент и инфраструктура, поддерживающая протокол, будь то Интернет или поставщики программного обеспечения.

3DS1 был впервые развернут Visa в начале 2000-х годов, и, хотя это был шаг в правильном направлении, он сопровождался заметными проблемами. Среди прочего, требовалось, чтобы пользователи кредитных карт регистрировались в системе, используя статические пароли, которые многие сразу же забывали.При совершении покупки 3DS оценила 15 элементарных элементов данных для подтверждения личности. А поскольку 3DS переложила ответственность за мошеннические покупки на эмитентов карт, они часто использовали подход «лучше перестраховаться, чем сожалеть», что означало, что трение было почти гарантировано.

Более того, за следующие 15 лет многое изменилось, включая использование мобильных устройств в качестве основного канала для просмотра веб-страниц и совершения покупок. В 3DS 1.0 мобильные пользователи, которые не могли запомнить свои пароли, перенаправлялись на страницу банка, которая в большинстве случаев не была оптимизирована для мобильных устройств.В качестве альтернативы использовались SMS, что само по себе создавало проблемы, особенно если заказчик выезжал за границу. Скорость конверсии резко упала. Неудивительно, что рынок США отнесся к протоколу без особого энтузиазма.

Возвышение 3DS2

3DS2 был представлен в 2016 году для устранения недостатков 3DS1 и разработан с нуля, чтобы помочь защитить платежи, предлагая улучшенный пользовательский интерфейс во время процесса оформления заказа. 3DS2 — большой шаг вперед, потому что он:

  • Поддерживает мобильные телефоны и другие устройства, подключенные к потребителю
  • При совершении покупки данные сначала отправляются в банк-эмитент на предмет необходимости дополнительной проверки
  • Только рискованные транзакции требуют проблем; в противном случае инициируется процесс «потока без трения»

Это представляет собой существенный сдвиг парадигмы, поскольку он позволяет продавцам интегрировать процесс аутентификации в свои процедуры оформления заказа.Банки-эмитенты могут авторизовать платежи, используя аутентификацию на основе рисков, без каких-либо дополнительных действий со стороны потребителей.

Введите: 3DS-2.1 и -2.2

Впервые представленная в 2019 году, 3DS 2.1 увеличивает количество элементов данных, которые продавцы отправляют эмитентам в точке транзакции, до 100, при этом 20 обязательных, а остальные необязательные, но рекомендованные EMVCo, консорциумом, стоящим за стандартами. Обладая более обширным набором данных (включая IP-адреса, адрес доставки, информацию об устройстве, электронную почту, факторы риска для продавцов и т. Д.), Эмитенты могут принимать более обоснованные решения и быстрее, что позволяет обрабатывать гораздо больше транзакций в беспрепятственном потоке.

3DS 2.2 охватывает те же основы аутентификации и защиты от ответственности продавца за мошенничество, что и 2.1, но также добавляет возможность через своего эквайера. Он также обеспечивает аутентификацию через делегатов, таких как эквайер или. поставщик цифрового кошелька.

Благодаря использованию двухфакторной аутентификации (включая биометрию и модели на основе токенов вместо использования статических паролей) 3DS2 стал краеугольным камнем правил безопасной аутентификации клиентов (SCA) во второй Директиве ЕС о платежных услугах (PSD2). , который вступил в силу 31 декабря 2020 года.В рамках этой версии продавцы, достигающие определенных низких пороговых значений мошенничества, могут запросить у эмитента освобождение от требований SCA, обеспечивая еще более быстрые транзакции.

Успех в Северной Америке

Есть ряд причин, по которым 3DS2 набирает популярность в США и Канаде.

  • В глобальной экономике продавцы и эмитенты, ведущие бизнес на рынке электронной коммерции ЕС стоимостью 300 миллиардов долларов, освобождаются от требований SCA PSD2, но это может изменить
  • Регуляторный пыл ЕС распространяется; Мексика, Австралия и другие страны начали применять режимы SCA
  • Введение в действие государственных или даже федеральных нормативных актов, требующих введения таких стандартов, может быть лишь вопросом времени (глядя на вас, Калифорния)

Это еще и умный бизнес.По данным Visa Research, до 72% онлайн-покупателей отказались от покупательской карты из соображений безопасности. Они более чем счастливы перейти к конкурентам, которые могут выполнить быструю и безопасную транзакцию. Было показано, что 3DS2 снижает количество посетителей при оформлении заказа на 85% и количество брошенных корзин на 70%.

Хорошие новости: североамериканским эмитентам, торговцам и другим лицам не нужно заново переживать прошлую или настоящую борьбу, с которой столкнулись их коллеги из ЕС. Это связано с тем, что такие решения, как Outseer 3-D Secure, полностью размещены на хостинге и не требуют дополнительного ИТ-персонала или накладных расходов.

Благодаря использованию современного машинного обучения и крупнейшей в мире глобальной сети совместной аналитики мошенничества менее 5% всех транзакций требуют вмешательства с нашим решением. Это означает, что подавляющее большинство клиентов будут наслаждаться безопасным и бесперебойным обслуживанием, которое им требуется.

Не знаю, как вы, но, учитывая риски и выгоды, 3-D Secure 2.x кажется мне чертовски хорошим.

Чтобы узнать больше о тенденциях мошенничества CNP и 3-D Secure 2.x, загрузите нашу электронную книгу «Outseer Risk Engine: больше обнаружения мошенничества, меньше вмешательства»

3D Secure Authentication в двух словах

Аутентификация

3D Secure была впервые представлена ​​Visa в 2001 году в рамках программы Verified by Visa из-за резкого роста объемов электронной коммерции. Это было мотивировано необходимостью более строгих мер безопасности при онлайн-платежах. Чтобы узнать, как развивалась история и каковы преимущества аутентификации 3D Secure, продолжайте читать эту статью.

Краткая хронология 3D Secure

За прошедшие годы электронная коммерция стала для потребителей эффективным и действенным способом делать покупки и услуги, не выходя из дома. Интернет-магазины — это удобный способ совершения покупок для держателей карт благодаря широкому предложению во всех сегментах рынка, круглосуточной доступности, отслеживанию доставки и удобству оплаты картой онлайн.

Увеличение количества онлайн-транзакций также открыло двери для менее востребованных видов деятельности, одной из которых является мошенническое использование платежных карт.Чтобы решить эту проблему, Visa представила протокол 3D Secure 1 в рамках своей программы Verified by Visa в 2001 году. Другие схемы кредитных карт также быстро приняли этот протокол для защиты онлайн-платежей.

В настоящее время у потребителей есть больше способов платить, чем когда-либо прежде, будь то через браузер, мобильное приложение или подключенное устройство. Еще одна тенденция заключается в том, что онлайн-магазины переходят с настольных компьютеров на смартфоны, в результате чего сегодня более 45% трафика электронной коммерции приходится на мобильные устройства.

Исходный протокол 2001 г. не предсказывал эту тенденцию. Дизайн не предполагал распространения мобильных устройств. Это привело к ухудшению работы пользователей на мобильных устройствах и затруднило использование последних тенденций в методах аутентификации.

Было очевидно, что 3D Secure нуждается в обновлении. 3D Secure 2 Протокол обеспечивает максимально удобное взаимодействие с пользователем при совершении покупок в Интернете, не забывая при этом о безопасности онлайн-платежей. Конечная цель заключалась в том, чтобы сделать онлайн-транзакции более безопасными и беспроблемными, одновременно сделав процесс аутентификации максимально гладким.

Обзор 3D Secure

EMV 3D Secure — это протокол обмена сообщениями, который способствует простой аутентификации потребителей при совершении покупок в электронной коммерции без предъявления карты. Это позволяет потребителям активно аутентифицировать себя у эмитента карты, если необходима проверка держателя карты.

3D Secure расшифровывается как «Three Domain Secure» и включает следующие домены:

  • Exquirer Domain — домен, инициирующий транзакции 3D Secure; банк и продавец, которому выплачиваются деньги
  • Домен взаимодействия — соединяет домен эквайера и эмитента; инфраструктура, предоставляемая схемой карты для поддержки протокола 3D Secure
  • Домен эмитента — домен, который аутентифицирует транзакции 3D Secure; банк, выпустивший используемую карту

3D Secure в действии

После того, как клиент вводит свою платежную информацию во время оформления заказа, он перенаправляется на веб-страницу 3D Secure эмитента кредитной или дебетовой карты.Здесь они предоставляют одно из следующего:

  • Пароль, который они ранее установили в своем банке-эмитенте
  • Одноразовый код аутентификации, который они получили на свой мобильный телефон
  • Биометрия (отпечаток пальца и распознавание лица) с помощью мобильного безопасного банковского приложения …

На всякий случай транзакции без проблем, клиенту не нужно будет предоставлять дополнительную информацию. После ввода правильных данных платеж будет одобрен эмитентом карты на основе поведенческого анализа покупателя, подтверждающего их подлинность.

Наконец, покупатель перенаправляется на исходный веб-сайт, содержащий уведомление о подтверждении заказа. Это так просто!

Преимущества 3D Secure

Поскольку в 3D Secure задействовано много сторон, мы собираемся суммировать преимущества для каждого участника. Мы уже упоминали о максимальной безопасности и удобстве использования, но есть еще много чего обсудить, когда речь идет о 3D Secure.

Льготы для эмитентов:

  • Обширный обмен данными, который позволяет принимать лучшие решения для оценки рисков , оспаривать или не оспаривать держателя карты (запрос дополнительной информации о платеже), и улучшает «беспроблемную аутентификацию»
  • Потоки транзакций внеполосной аутентификации, совместимые с существующими решение
  • Использование Strong Customer Authentication (SCA) , которое соответствует PSD2
  • Снижение затрат на оспариваемые транзакции, запросы на извлечение, расследование возвратных платежей и т. д.

Преимущества для держателей карт:

  • Процесс аутентификации прост.
  • Возможность выбрать предпочтительный носитель (планшет, мобильный телефон и т. Д.) Для совершения покупок в Интернете без ущерба для безопасности
  • Повышенная безопасность

Преимущества для продавцов:

  • Простое в использовании и единообразное обслуживание для нескольких платформ платежных шлюзов и цифровых носителей во время аутентификации транзакций
  • Увеличение продаж
  • Уменьшение спорных транзакций
  • Смещение ответственности в сторону банка-эквайера
  • Аутентификация неплатежных пользователей

Преимущества для эквайеров:

  • Повышение качества обслуживания продавцов за счет возможности увеличения продаж и уменьшения количества спорных транзакций
  • Повышенная надежность платежей
  • Снижение транзакционных издержек, что приводит к более высокому потенциальному доходу

Если вы хотите узнать больше, свяжитесь с нашей командой Asseco 3D Secure по телефону [адрес электронной почты защищен] или загрузите техническое описание .

3DS (3D Secure) — Fraud.net

Ваши права как субъекта данных:

По закону вы можете спросить нас, какая информация о вас хранится у нас, и вы можете попросить нас исправить ее, если она неточна. Если мы запросили ваше согласие на обработку ваших личных данных, вы можете отозвать это согласие в любое время. Если мы обрабатываем ваши личные данные по причинам согласия или выполнения контракта, вы можете попросить нас предоставить вам копию информации в машиночитаемом формате, чтобы вы могли передать ее другому поставщику.Если мы обрабатываем ваши персональные данные по причинам согласия или законного интереса, вы можете запросить удаление ваших данных. Вы имеете право попросить нас прекратить использование вашей информации на определенный период времени, если вы считаете, что мы делаем это незаконно. Наконец, в некоторых случаях вы можете попросить нас не принимать затрагивающих вас решений, используя автоматическую обработку или профилирование.

Чтобы отправить запрос относительно ваших личных данных по электронной почте, почте или телефону, используйте контактную информацию, указанную ниже в разделе «Доступ и исправление вашей информации» настоящей политики.

No related posts.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *