3-D Secure для держателей банковских карточек Идея Банка

Делаете покупки в интернете? Идея Банк заботится о безопасности ваших платежей!

3D – Secure — это технология обеспечивает проверку подлинности карточки и личность ее владельца в режиме online при совершении покупок в интернете и является дополнительным уровнем безопасности для платежей в интернете и защитой ваших денег от интернет-мошенников.

Как работает 3DSecure?

 Выбирайте интернет-магазины, которые поддерживают технологию 3D Secure, со специальными знаками:

 Выбирайте товар и вводите данные своей карты на сайте интернет-магазина для совершения покупки, произойдет перенаправление на страницу подтверждения операции, а на ваш телефон придет SMS-сообщение с одноразовым паролем.

 Введите полученный пароль в специальное поле на странице подтверждения операции. Платеж осуществлен!

Внимание! Пароль действителен только в течение 5 минут и, если Вы не успели его ввести, по истечении этого времени Вам будет необходимо пройти процедуру оплаты с самого начала.

Если пароль был введен неверно более 3 раз, то дальнейшая возможность аутентификации по технологии 3D Secure будет заблокирована. 

Внимание! Каждая платежная операция подтверждается отдельным SMS-сообщением!

Внимание! Регистрацию или изменение номера своего телефона в системе 3-D Secure можно осуществить самостоятельно  в Интернет-банк или  Мобильном приложении, а также в устройствах системы банковского самообслуживания. 

Найдите ближайшее отделение

Выберите услугуКредитыВкладыКартыОбмен валютОбмен валют NEMBOПлатежиУслуги для бизнесаКонсульский сбор

Выберите областьБрестская областьВитебская областьГомельская областьГродненская областьМинскМинская областьМогилевская область

Выберите городМинскКалинковичиМогилевГомельМозырьБарановичиБрестГродноВитебскБорисов

Выберите отделение
ул. З.Бядули, 11 Головной Банк (ЦОБ №1)
По всем банковским вопросам Контакт-центр
ул. Пионерская, 1 ПОВ №10
ул. Габровская, 43 ПОВ №11
ул. Сухого, 2 ПОВ №12
ул. Рыжкова, 94 ПОВ №13
пл. Ленина, 1-15 ПОВ №5
ул. 50 лет БССР, 86 ПОВ №6
ул. Кальварийская, 24 РКЦ №1
ул. Ковельская, 5 РКЦ №17
Боровлянский сельсовет, 74 РКЦ №2
ул. Лиможа, 32 Б РКЦ №21
пр-т Победителей, 65 РКЦ №24
ул. Горького, 91-6 РКЦ №29
Привокзальная пл., 1 РКЦ №31
ул. Победы, 47 РКЦ №34
б-р Дружбы, 11 А РКЦ №38
пр-т Советский, 2-1 РКЦ №39
Минское шоссе, 31 РКЦ №40
ул. Дубко, 17 РКЦ №41
ул. 50 лет Октября, 83 РКЦ №45
ул. Белуша, 56 РКЦ №46
г. Брест, ул. 28 июля, 30 РКЦ №47
ул. Московская, 210 РКЦ №5
ул. Первомайская, 32/2 ЦБУ №12
ул. Советская, 10 ЦБУ №15
ул. Кирова, 7/13 ЦБУ №20
ул. Советская, 59 А ЦБУ №23
пр-т. Победы, 20 ЦБУ №27
ул. Кирова, 1 ЦБУ №40
ул. Ленина, 5/1 ЦОБ №2
ул. Первомайская, 32/2 ЦОБ №3
ул. Советская, 59 А ЦОБ №5
ул. Кирова, 7/13 ЦОБ №7
ул. Гагарина, 69 А ЦБУ №31
ул. Гагарина, 69 А ЦОБ №6

Карты «Мир» получат технологию 3D Secure 2.0, не зависящую от Visa »

При использовании технологии 3D Secure держатель карты подтверждает каждую операцию по своей карте специальным одноразовым паролем (OTP), который он получает в виде SMS на свой мобильный телефон. 

В настоящее время в системе НСПК для карт платежной системы «Мир» используется полностью своя система 3D Secure — MirAccept. Однако данная система пока опирается на стандарты 3D Secure 1.0, правообладателем которой является международная платежная система Visa. «Поэтому нам пришлось заключать с Visa определенный договор, в рамках которого регламентируется как работает платежная система «Мир» в рамках технологии 3D Secure 1.0″, — сказал Комлев на площадке международной промышленной выставки «Иннопром». 

По его словам, НСПК в настоящее время плотно занимается развитием системы безопасности электронной коммерции 3D Secure версии 2.0. «Это уже формат, который принадлежит международной компании EMVCo. Соответственно, мы являемся членами EMVCo, нам этот формат уже доступен. И мы сейчас работаем над созданием механизма — плавной «бесшовной» миграции со стандарта 1.0 на стандарт 2.0″, — отметил топ-менеджер. 

«Независимый уже от международных платежных систем стандарт 2.0 гораздо более функционален, он поддерживает все сегодняшние современные способы платежа и через оплату в мобильных устройствах, и он является следующим шагом. Мы целимся в то, что он у нас ближе к концу этого года первая транзакция аутентификации в рамках этого формата пройдет», — пояснил Комлев. 

По его словам, НСПК намерена создать систему, которая позволяла бы банкам, которые уже готовы перейти на новый стандарт 3D Secure версии 2.0, «бесшовно» пользоваться всей развернутой инфраструктурой. 

«Мы постараемся обеспечить взаимодействие так, чтобы те, кто уже перешли на 2.0, могли продолжать взаимодействовать со всем рынком, не дожидаясь его. Вот такого рода систему мы выстраиваем сейчас и мы думаем, что в течение буквально следующих нескольких лет — не одного-двух, может, лет пяти, постепенно рынок смигрирует с версии 1.0 на версию 2.0. Мы будем поддерживать какой-то период и одну, и вторую систему», — сказал глава НСПК. 

По материалам РИА Новости

Поменять пароль 3D Secure для карт VISA или SecureCode для карт MasterCard. Заказать выпуск, перевыпуск платежных карт Кыргызкоммерцбанка

Безопасная оплата товаров и услуг в интернете/интернет-магазинах

Уважаемые Клиенты ОАО “Кыргызкоммерцбанк”, ниже Вы можете ознакомиться с особенностями использования паролей для интернет платежей 3D Secure и Secure Code.

В случае возникновения любых вопросов просим обращаться по нашему номеру +996 312 333 000 (доб. 1)

1. Что такое 3D Secure / SecureCode?​
   

   3D Secure или SecureCode – это Ваш собственный пароль, необходимый для безопасного проведения Интернет платежей. При оплате покупки в Интернет-магазине, поддерживающим данную технологию, Вам будет предложено ввести пароль 3D Secure/SecureCode.

   
   

   Данная операция схожа с вводом PIN-кода в банкомате. Таким образом, только Вы сможете воспользоваться картой для оплаты товаров/услуг в Интернете. С технологией 3D Secure/SecureCode оплата покупок в Интернете становится более безопасной.

   
   

   Интернет пароли 3D Secure / Secure Code являются обязательными для платежных карт Visa и MasterCard, выпущенных ОАО «Кыргызкоммерцбанк».

2. Как работает 3D Secure / Secure Code?

   При совершении покупок в Интернете в качестве финального подтверждения платежа Вы будете переадресованы на специальную страницу с формой ввода пароля 3DSecure (если Ваша карта — VISA) или SecureCode (если Ваша карта — MasterCard) с просьбой ввести Ваш секретный пароль.

   
   

   После того, как Вы введете Ваш секретный пароль, система идентифицирует Вас и платеж будет подтвержден.

3. Как установить 3D Secure / Secure Code?

   Внимание: данная инструкция актуальна только для Владельцев карт Кыргызкоммерцбанка, Держателям карт других банков следует обратиться в свой банк-эмитент карты.

   
   

   Установка пароля для интернет платежей очень проста и не займет много времени.

   
   

   • Авторизуйтесь в портале Homebank.kg 

   • Перейдите в раздел Платежные карты

   • Нажмите на значок 3DSecure / SecureCode, который находится под номером Вашей карты

   • Придумайте Ваш собственный пароль и внимательно введите его в соответствующее поле.

   • Повторите ввод пароля в соответствующее поле, придумайте и введите в соответствующее поле уникальное приветствие и нажмите кнопку »Далее»

   • Вы получите SMS код для подтверждения операции на Ваш мобильный номер телефона, введите его в соответствующее поле.

   • В случае корректного ввода SMS кода Вы получите следующее уведомление – «Активация 3DSecure / SecureCode прошла успешно! Безопасность интернет-оплат повышена!»

   • В случае если Вы не получили SMS код, проверьте номер, указанный под текстом – «Мы отправили код на номер», в случае если номер указан корректно нажмите на ссылку «Отправить код повторно».

   • В случае если номер, указанный под текстом – «Мы отправили код на номер», указан не корректно Вам необходимо его заменить на действующий номер. Как поменять / добавить доверенный номер? 

Важно знать!

Попросить ввести вас секретный пароль может только Банк, выпустивший вашу карту.

В строке «Адрес» браузера должен быть указан следующий адрес: https://cardsecure.kkb.kz. На странице обязательно отобразится приветствие, указанное Вами при установке 3DSecure / SecureCode.

Ни в коем случае не вводите пароли на сторонних сайтах.

При возникновении любых вопросов по проведению онлайн-оплат и использования 3D Secure / Secure Code по картам Kyrgyzkommerts просим обращаться:

Бесплатный короткий номер 5000 (для абонентов сотовых операторов MegaCom, Beeline и О!)

+996 (312) 333 000 доб. 1 

Moldova-Agroindbank

Руководство по активированию услуги 3D Secure

Что представляет услуга 3D Secure?
3D Secure, это услуга которая предоставляется клиенту допольнительно к банковской карте, обеспечивающая безопасность покупок онлайн. Технология 3D Secure была разработана для того, чтобы убедиться, что платеж совершает именно держатель карты — путем запроса, дополнительно к необходимым стандартным данным для осуществления покупки (номера карты, срока действия и кода CVV2) единого пароля полученного держателем по E-mail-у или SMS-сообщению, в момент осуществления онлайн покупки. Технология 3D Secure действует лишь в онлайн-магазинах, у которых на сайте один из следующих логотипов (что подтверждает что коммерсант прошел сертификацию по технологии 3D Secure):

Активирование услуги 3D-Secure происходит в процессе осуществления первого интернет-платежа. Данная активация называется Activation during shopping – Активация в процессе осуществления покупок.

СЦЕНАРИЙ I

1.Отображание на экране объявления об активации услуги 3D Secure и выбора языка:
 

2.После нажатия кнопки Continue, на экране будут отображены формы активации:

где у держателя запрашивается ввод следующих данных:  

+   форма передачи единого пароля (через e-mail или SMS),  
+   e-mail-адрес или номер мобильного телефона,
+   последние 6 цифр единого кода.

3.После нажатия кнопки Подвердить, клиенту отправляется таблица из 30 паролей (с индексами: A, B, C …) через выбранный им канал и на экране отображается порядок ввода пароля и индекса:

Таким образом, после правильного ввода пароля, считается что держатель карты активировал услугу 3D-Secure и авторизация на осуществление онлайн-покупки передается оператору банка. Необходимо отметить, что только после сверки оператором остатка суммы на карточном счете и отсутствия каких-либо ограничений, авторизация успешно завершается.

Внимание: при осуществлении следующей покупки через Интернет, которая предполагает активацию 3D Secure, на экране появится только последний порядок ввода пароля с индексом (где будет отображатся скрытый номер телефона или адрес e-mail-а, где будет отправлена таблица с паролями, с указанием даты отправления сообщения), который будет получен держателем карты по телефону или e-mail-у.

В случае, если держатель карты желает изменть канал получения паролей, или если он случайно стер сообщение содержащее таблицу с паролями, необходимо обратиться в Службу Call-Center, для сброса активации, таким образом он пройдет те же шаги, что и при изначальной активации услуги 3D Secure.

СЦЕНАРИЙ II:

1.Отображение на экране сообщения об активации услуги 3D Secure и выбор языка:

2.После нажатия кнопки Продолжыть, на экране будет отображается порядок активации

где у держателя запрашивается ввод следующих данных:

+   форма передачи единого пароля (через e-mail или SMS),  
+   e-mail-адрес или номер мобильного телефона,
+   последние 6 цифр единого кода.

3. После нажатия кнопки Подвердить, на экране будут отображатся единый пароль онлайн покупки (OTP):

Таким образом, после правильного ввода пароля, считается что держатель карты активировал услугу 3D-Secure и авторизация на осуществление онлайн-покупки передается оператору банка. Необходимо отметить, что только после сверки оператором остатка суммы на карточном счете и отсутствия каких-либо ограничений, авторизация успешно завершается.

  Внимание: при осуществлении следующей покупки через Интернет, которая предполагает активацию 3D Secure, на экране появится только последний порядок ввода пароля с индексом (где будет отображаться скрытый номер телефона или адрес e-mail-а, где будет отправлена таблица с паролями, с указанием даты отправления сообщения), который будет получен держателем карты по телефону или e-mail-у.

В случае, если держатель карты желает изменть канал получения паролей, или если он случайно стер сообщение содержащее таблицу с паролями, необходимо обратиться в Службу Call-Center, для сброса активации, таким образом он пройдет те же шаги, что и при изначальной активации услуги 3D Secure.

Дополнительную информацию о услуги 3D Secure можно получить обратившись в Службу Call-Center банка.

СЦЕНАРИЙ III

1.Отображение на экране сообщения об активации услуги 3D Secure и выбор языка:

2. После нажатия кнопки Продолжыть , отображение на экране порядка активации

где у держателя запрашивается ввод следующих данных: 

+   форма передачи единого пароля (через e-mail или SMS), 
+   e-mail-адрес или номер мобильного телефона,
+   последние 6 цифр единого кода.

Таким образом, после правильного ввода пароля, считается что держатель карты активировал услугу 3D-Secure и авторизация на осуществление онлайн-покупки передается оператору банка. Необходимо отметить, что только после сверки оператором остатка суммы на карточном счете и отсутствия каких-либо ограничений, авторизация успешно завершается.

Внимание: при осуществлении следующей покупки через Интернет, которая предполагает активацию 3D Secure, на экране появится только последний порядок ввода пароля с индексом (где будет отображаться скрытый номер телефона или адрес e-mail-а, где будет отправлена таблица с паролями, с указанием даты отправления сообщения), который будет получен держателем карты по телефону или e-mail-у.

В случае, если держатель карты желает изменить канал получения паролей, или если он случайно стер сообщение содержащее таблицу с паролями, необходимо обратиться в Службу Call-Center, для сброса активации, таким образом он пройдет те же шаги, что и при изначальной активации услуги 3D Secure..

Дополнительную информацию о услуги можно получить обратившись в Службу Call-Center банка.

Безопасные платежи в сети Интернет

При расчетах и переводах в Интернете:

1. Используйте только защищенные и проверенные сайты, начинающиеся с https:// или обозначенные изображением закрытого замочка у интернет-адреса сайта.
2. Выполняйте операции оплаты только на защищенном компьютере с ограниченным доступом к нему посторонних лиц — не используйте для осуществления расчетов компьютеры общего назначения в общих местах или компьютеры посторонних лиц.
3. Не забывайте своевременно обновлять операционную систему и антивирусные программы.
4. Осуществляя расчеты в Интернете, остерегайтесь фишинговых сайтов. Перечень известных фишинговых сайтов можно посмотреть на сайте Украинской межбанковской Ассоциации членов платежных систем ЕМА.
5. Никогда не вводите PIN-код в Интернете!
   Для оплаты покупок достаточно лишь ввести:
   – номер карты;
   – срок ее действия;
   – CVV2/CVC2-код;
   – разовый пароль (если сайт поддерживает технологию 3D Secure).
6. Пароль с SMS-сообщением от банка — дополнительный «порог» безопасности, который есть в картах, защищенных по системе 3D Secure. Он отправляется на телефонный номер, закрепленный за вашим карточным счетом. Это позволяет дополнительно обезопасить карту от мошеннических посягательств.
7. Проверьте, не внесен веб-ресурс в «Черный список мошеннических сайтов» Украинской межбанковской Ассоциации членов платежных систем ЕМА. На проверку вы потратите всего несколько минут, но будете уверены, что осуществляете безопасную оплату в Интернете.
8. Не доверяйте слишком привлекательным предложениям. Не существует сервисов, которые бесплатно предоставляют услуги!
9. Воспользуйтесь «Белым списком надежных сервисов» от Ассоциации ЕМА.
10. Старайтесь всегда использовать уже проверенные сайты для осуществления безопасной оплаты через Интернет.

Узнайте о самых распространенных приемах, которые используют мошенники при покупках в сети Интернет. Защитите собственные средства!

Самые распространенные схемы мошенничества при совершении покупок в Интернете: мнимые «покупатели» и «продавцы»

Следующие схемы мошенники применяют чаще всего, выдавая себя за «покупателей» товаров, которые выставлены на продажу в сети Интернет. Иногда мошенники выбирают человека с известным им номером телефона. Например, ищут на сайте частных объявлений, где обычно продавцы указывают свои мобильные номера.

1. Если мошенник выдает себя за покупателя:
   — Чаще всего злоумышленник стремится выведать секретные реквизиты карты продавца, аргументируя необходимость осуществления предоплаты за товар.

   — Мошенники могут работать в паре: один спрашивает у продавца номер карты, а второй звонит якобы от имени банка, сообщает о поступлении денег на карту, которые, однако, нужно еще начислить, а для этого продавец должен сообщить (секретные) реквизиты своей карты.

   — Мошенник, выдающий себя за покупателя, или его напарник (выдает себя за сотрудника банка) может отправить продавца к банкомату, якобы для того, чтобы «помочь начислить» предоплату на товар. В банкомате пользователь может перевести деньги только с собственной карточки на чужую, а не наоборот. Мошенник будет пытаться запутать свою жертву, чтобы она собственными руками помогла ему.

2. Если мошенник выдает себя за продавца:
   Преступники, выдавая себя за продавцов, обычно предлагают покупателям приобрести несуществующий товар. Независимо от типа товара, есть общие признаки для всех преступных схем:

   — Мошенники предлагают товар по более низкой цене, чем другие продавцы. Наличие и качество несуществующего товара подтверждается с помощью найденных в Интернете фото (кстати, покупатель может найти источник фото с помощью возможностей поисковой системы Google и таким образом понять, продавец товара сфотографировал стиральную машину, которую продает, или товара у него на самом деле нет).

   — Мошенники придумывают разные поводы, почему покупатель должен перевести всю стоимость товара сразу или сделать значительную предоплату (в качестве аргументов может использоваться любая причина, в том числе, угроза, что товар купит кто-то другой).

   — Мошенники могут попытаться узнать секретные данные вашей карты якобы для осуществления платежа на нее (по этой схеме мошенники могут действовать в паре, когда один выдает себя за продавца, а другой — за сотрудника банка «через который проходит платеж»; аргументы обычно сводятся к тому, что при начислении денег именно на «карту такого типа» (как у продавца) следует сообщить данные карты покупателя).

Будьте внимательны, если продавец товара ведет себя странно, не хочет отправлять новые фото товара, а требует предоплату или полную оплату стоимости товара.

Никогда не делайте полную оплату товара до того, как получили его. Выбирайте функцию пост-оплаты. Воспользуйтесь услугой «Безопасная сделка» от компании «Новая почта». Она предусматривает оплату картой (сумма, равная стоимости товара, «блокируется» на карте покупателя. После получения товара сумма переводится на карту продавца). В таком случае от мошенничества защищены обе стороны сделки.

Фишинговые сайты

Мошенники создают сайты, как две капли воды похожие на сайты легитимных сервисов для денежных переводов и пополнения мобильного телефона. Цель — узнать секретные данные банковской карты пользователя. Этот вид мошенничества называется мошенничеством с помощью фишинговых сайтов.

Такие сайты делают привлекательной оплату картой через Интернет для клиентов:

• Предлагают более выгодные услуги (например, с нулевой комиссией).
• Дизайн сайта похож на популярный сервис.
• С помощью платной рекламы мошенники даже поднимают рейтинг веб-ресурса, и он попадает в первые строчки поисковой выдачи по тематическим запросам (например, «пополнить мобильный», «перевести на карту»).

Фишинговые сервисы предлагают клиентам заполнить платежную форму. Пользователь должен ввести конфиденциальные данные собственной карты (номер, срок действия карты, трехзначный код с обратной стороны карты (код CVV2 / CVC2), в отдельных случаях — подтверждает операцию кодом с SMS от банка). Преступники используют полученную информацию, чтобы украсть деньги со счета.

Мошенники создают веб-ресурсы для продажи дешевых авиабилетов или поддельные онлайн-сервисы для получения кредита (на них тоже надо указать данные своей карты). При попытке приобрести, например, авиабилет через фишинговые сайты клиент может даже «получить его на руки»: пользователь вводит секретные данные своей карты в платежной форме, получает подтверждение о якобы приобретении билета и даже в отдельных случаях может его распечатать. Однако на самом деле билет оказывается недействительным. Между тем данные вашей карты мошенники могут использовать для кражи денег со счета.

Для безопасной оплаты в Интернете всегда проверяйте репутацию выбранного сервиса (узнайте больше на сайте Украинской межбанковской ассоциации членов платежных систем ЕМА).

Справочник банков, содержащий информацию о банках и отдельные подразделения банков

Как отличить мошеннический платежный сайт

Использованы материалы Украинской межбанковской Ассоциации членов платежных систем ЕМА

Банку запрещается требовать от клиента приобретения любых товаров или услуг у банка, а также родственного или связанного с ним лица как обязательного условия предоставления этих услуг (кроме предоставления пакета банковских услуг).

Отказаться от получения рекламных материалов можно, обратившись в Центр клиентской поддержки по номеру 0 800 30 70 30 (бесплатно по Украине).

Узнацбанк запустил систему 3D Secure по международным карточкам VISA

12.03.2018
2962

В связи с запуском технологии 3D Secure Узнацбанк подключает всех держателей международных карточек VISA NBU к услуге SMS-информирования.

Для подключения системы потребуется только заполнить заявление по форме, в том учреждении Узнацбанка, в котором была открыта пластиковая карта VISA.

Технология 3D Secure (от англ. Three-Domain Secure) – уникальная система обеспечения безопасности оплаты товаров и услуг в сети интернет, являющаяся частью глобальной программы Verified by VISA. Данная технология позволяет однозначно идентифицировать подлинность держателя карт и максимально снизить риск мошенничество по карте.

При использовании этой технологии держатель карты подтверждает каждую операцию по своей карте специальным одноразовым паролем, который держатель получает в виде SMS-сообщения на свой мобильный телефон.

Вы узнаете интернет-магазины, участвующие в программе, по наличию логотипа:

Преимущества:

• Безопасно:Ваша карта защищена одноразовым паролем, который доступен только Вам и действителен лишь для одной покупки. Ваши деньги только в Ваших руках!
• Просто:Нет необходимости проходить процесс регистрации, достаточно нажатия одной кнопки в момент совершения оплаты для активации сервиса.
• Удобно:Не нужно запоминать пароль. Одноразовый пароль высылается каждый раз, когда Вы совершаете оплату товара или услуги в участвующем в программе интернет-магазине.

Дополнительную информацию можно получить в любом филиале Узнацбанка или по телефонам: (0371) 148-00-10, 233-90-96 и 233-78-16.

www.nbu.uz

Мобильная авторизация | PKO Bank Polski

Как включить мобильную авторизацию на сайте iPKO?

1. Перейдите в «Настройки» → «Авторизация» и нажмите «Изменить инструмент авторизации».
2. Выберите мобильное приложение IKO в качестве инструмента авторизации, который вы хотите использовать. Вы можете дополнительно включить вход на веб-сайт iPKO в IKO (так называемая двухэтапная проверка) и нажать Далее.
3. Выберите устройство, которое будет использоваться для мобильной авторизации, и на следующем экране введите код, полученный предыдущим способом (код / ​​код SMS с карты одноразового кода).
4. Войдите в IKO на устройстве, указанном выше, и подтвердите активацию мобильной авторизации.

Как включить мобильную авторизацию на сайте Inteligo?

1. Перейдите в Данные и настройки → Карты, Мобильная аутентификация, SMS и нажмите Изменить инструмент авторизации
2. Выберите мобильное приложение IKO в качестве средства аутентификации. Вы также можете разрешить вход на веб-сайт Inteligo в IKO (так называемая двухэтапная проверка) и нажать «Далее».
3. Выберите устройство, которое будет использоваться для мобильной авторизации, и на следующем экране введите код, полученный предыдущим способом (код / ​​код SMS с карты одноразового кода).
4. Войдите в IKO на устройстве, указанном выше, и подтвердите активацию мобильной авторизации.

Как изменить телефон, который вы будете использовать для мобильной авторизации?

Все, что вам нужно сделать, это на вашем телефоне с активным приложением IKO, с которого вы подтверждаете транзакции:

1. Нажмите значок меню (☰) в верхнем правом углу приложения и выберите «Настройки» → «Инструменты авторизации».
2. Вы перейдете на плитку Приложения IKO и выберите новое устройство, которое будет использоваться для мобильной авторизации.
3. Нажмите «Подтвердить» и перезапишите 6-значный код или сканируетеQR-код между измененными устройствами.

Примеры операций, которые можно подтвердить с помощью мобильной авторизации на веб-сайте iPKO / Inteligo или на горячей линии:

• Заказы на банковский перевод (включая платежи через Интернет, «Płacę z iPKO/Płacę z Inteligo» — я оплачиваю через iPKO / Плачу с Inteligo) и постоянный заказ — заказ / изменение / отмена
• Подтверждение транзакции по карте в рамках услуги 3D-Secure
• Подача запроса и подписание договоров на продукты, например, счет, сберегательный счет, карту, кредит, детский счет PKO и т. д.
• Добавить / изменить / удалить определенного получателя
• Расторжение/ модификация депозита
• Погашение кредита
• Активация / отправка / изменение PIN / временная блокировка дебетовой / кредитной карты
• Вход на сайт /PUE ZUS
• Создание и авторизация инструкций с использованием доверенного профиля
• Изменение настроек
• Изменение персональных данных
• Пополнение телефона

Как можно подтвердить мобильную транзакцию с помощью авторизации в IKO?

В зависимости от типа операции и ее суммы авторизация будет заключаться в:

• Одном нажатии на кнопку в push-уведомлении или приложении
• Вводе ПИН-кода для приложения
• Биометрии

Мобильное приложение IKO и веб-сайт iPKO представляют собой услугу электронного банкинга.

Вам это действительно нужно?

Содержание

1. Что такое 3-D Secure 2.0?
2. Как работает 3D Secure?
3. В чем разница между 3-D Secure 2.0 и 1.0?
4. Каковы плюсы и минусы 3-D Secure?
5. Стоит ли внедрять 3-D Secure на мобильных устройствах?
6. Является ли 3-D Secure 2.0 обязательной?
7. Как включить 3-D Secure 2.0?

Каждый раз, когда обсуждение безопасности электронной коммерции, мошенничества с кредитными картами и возвратных платежей продолжается достаточно долго, становится предметом 3-D Secure 2.0 обязательно появится.

3-D Secure 2.0 — это новый стандарт безопасности, который позволяет продавцам более надежно аутентифицировать клиентов, не добавляя больших проблем в процесс оформления заказа.

Эта технология уже стала обязательной в некоторых странах и на рынках, так почему же еще не все ее используют? Давайте поговорим о том, что такое 3-D Secure, как он работает и какие преимущества дает продавцам.

Что такое 3-D Secure 2.0?

3-D Secure 2.0 — это протокол, предназначенный для предоставления дополнительной информации для проверки личности для онлайн-транзакций, позволяя продавцам связываться с банком держателя карты и, при необходимости, с держателем карты.

3-D Secure изначально был разработан сторонней компанией, но вскоре был приобретен Visa. В то время как исходная версия 3-D Secure могла быть неуклюжей, когда требовалась дополнительная аутентификация, 3-D Secure 2.0 упрощает процесс, чтобы процесс оформления заказа был максимально простым без ущерба для безопасности.Mastercard и American Express с тех пор создали свои собственные протоколы с функциональностью, аналогичной 3-D Secure.

Как работает 3D Secure?

Когда владелец карты совершает покупку у продавца с включенным 3-D Secure, определенная информация о транзакции и устройстве отправляется в банк-эмитент держателя карты, который либо утверждает транзакцию, либо отправляет владельцу карты текстовое сообщение с одноразовым паролем для входа. .

Информация, отправляемая продавцом, может включать такие вещи, как адрес выставления счета, адрес доставки, идентификатор устройства, IP-адрес и т. Д.

Согласно Visa, банк-эмитент может передать более 100 полей. После того, как данные получены эмитентом, они проходят через автоматизированную систему обнаружения мошенничества, которая классифицирует транзакцию как с низким, так и с высоким риском.

Транзакции с низким уровнем риска утверждаются автоматически, и у клиента обычно возникает задержка в 1-5 секунд при обработке платежа. Для транзакций с высоким риском держателю карты отправляется одноразовый пароль в виде текстового сообщения, а в приложении или на веб-сайте появляется поле для ввода этого пароля.Клиенты также могут аутентифицировать свою покупку, открыв свое банковское приложение и используя биометрическую аутентификацию, такую ​​как отпечаток пальца или распознавание лица.

В чем разница между 3-D Secure 2.0 и 1.0?

В октябре 2016 года EMVCo опубликовала спецификацию 3-D Secure 2.0. Версия 2.0 была разработана для исправления некоторых ограничений исходной 3-D Secure, не мешая взаимодействию с клиентами.

Между первой и второй версиями 3-D Secure есть два ключевых различия:

• 3-D Secure 2.0 поддерживает мобильные устройства.
• 3-D Secure 2.0 решает несколько проблем безопасности и удобства использования, присутствующих в версии 1.0. Это включает замену статических паролей одноразовыми паролями и биометрическую идентификацию.

Переход на 3-D Secure 2.0 соответствует переходу потребителей к мобильным устройствам и портативным покупкам, и многие продавцы используют этот факт в рамках своей бизнес-стратегии.

Каковы плюсы и минусы 3-D Secure?

Основным преимуществом 3-D Secure является повышенная защита от возвратных платежей в результате истинного мошенничества.Основными недостатками являются затраты на внедрение и обслуживание, а также небольшое увеличение трения во время оформления заказа для некоторых клиентов.

3-D secure по существу добавляет двухфакторную аутентификацию только к покупкам, которые считаются рискованными, повышая безопасность, не затрагивая большинство клиентов. Это не только значительно снижает риск мошенничества, но и продавцы, как правило, не несут ответственности за любые связанные с мошенничеством возвратные платежи, возникающие при транзакциях, в которых использовалась 3-D Secure.

Наша аналитика показала, что продавцы, использующие 3-D Secure, могут сократить количество возвратных платежей на целых 70%.

Согласно Visa, 95% транзакций с использованием 3-D Secure относятся к категории с низким уровнем риска и не требуют дополнительной аутентификации, что означает, что только 5% ваших клиентов испытают какие-либо существенные различия в процессе оформления заказа.

Для этих 5% дополнительная задержка при оформлении заказа может быть не оценена, но с распространением двухфакторной аутентификации на многих веб-сайтах и ​​приложениях электронной коммерции и финансовых услуг большинство клиентов, вероятно, не будут слишком удивлены или раздражены дополнительным шагом в проверка.

Основным недостатком 3-D Secure является то, что, в зависимости от вашей реализации и вашего платежного процессора, могут возникнуть или не возникнуть дополнительные расходы, связанные с установкой и / или использованием 3-D Secure. Однако эти расходы могут быть компенсированы защитой от возвратных платежей.

Стоит ли внедрять 3-D Secure на мобильных устройствах?

Продавцы, которые уже интегрировали технологию 3-D Secure в свои настольные веб-сайты, также должны решить, использовать ли 3-D Secure для мобильных веб-страниц или приложений.

Хотя бесспорно, что 3-D Secure повышает безопасность и снижает вероятность мошенничества, недостаток дополнительного шага аутентификации может быть несколько более значительным на мобильных устройствах, где пользователей может раздражать необходимость переключения на другое приложение и обратно.

В конечном итоге выбор, внедрять ли 3-D Secure для мобильных устройств, может зависеть от покупательских привычек ваших клиентов и коэффициента возврата платежей.

Если большой процент ваших клиентов совершает покупки на вашем мобильном сайте, а коэффициент возвратных платежей выше, чем должен быть, это веский аргумент в пользу добавления 3-D Secure.Вы можете потерять часть продаж из-за этого, но необходимо устранить опасность перехода на территорию чрезмерного чарджбэка.

Чтобы решить, следует ли включать 3-D Secure в мобильной версии вашего сайта электронной коммерции, необходимо учитывать несколько факторов:

• Требуется ли технология 3-D Secure в соответствии с правилами, которым вы подчиняетесь, или скоро это произойдет?
• Вы часто сталкиваетесь с мошенническими транзакциями?
• Вы сталкиваетесь с большим объемом возвратных платежей, так что процент возвратных платежей приближается или превышает 1%?
• Насколько вероятно, что процент отказа от корзины увеличится из-за того, что 3-D Secure «прервет» процесс оформления заказа?

Продавцам в некоторых странах все просто — их правительства решили за них, что им нужна 3-D Secure.Если вы по-прежнему можете выбирать тот или иной путь, тщательно подумайте, как это может повлиять на ваших клиентов. В большинстве случаев у этого нового протокола гораздо больше преимуществ, чем недостатков, но у каждого продавца есть свои уникальные соображения.

FAQ

Является ли 3-D Secure 2.0 обязательной?

Это зависит от действующих в вашей стране правил. По умолчанию это не так. Некоторым структурам соответствия, таким как PSD2, требуется 3-D Secure 2.0.

Как включить 3-D Secure 2.0?

Свяжитесь с вашим платежным оператором или представителем сети карт, чтобы узнать, как вы можете задействовать свои торговые платформы с помощью 3-D Secure 2.0 без проблем.

Спасибо, что подписались на блог Chargeback Gurus . Не стесняйтесь присылать предложения по темам, вопросы или запросы о совете по адресу: [email protected]

3D Secure Verification для операций с картами

Что такое 3D Secure?

3D Secure — это протокол безопасности, направленный на сокращение мошенничества с картами за счет обеспечения дополнительного уровня безопасности при совершении покупок в Интернете с использованием кредитных / дебетовых / предоплаченных карт.Он был принят крупными карточными компаниями, включая Mastercard.

Как Payoneer использует 3D Secure, когда я делаю покупки с помощью карты Payoneer?

При необходимости из соображений безопасности или нормативных требований вам будет предложено одно или несколько заданий для подтверждения того, что покупка действительно совершается вами. Например, вызов может заключаться в вводе одноразового кода подтверждения, который вы получите по электронной почте или в текстовом сообщении.

Важно понимать, что не для всех покупок с помощью карты требуется проверка 3D Secure.Вам будут предоставлены вызовы 3D Secure только в случае необходимости из-за требований безопасности или нормативных требований. Например, если ваша онлайн-покупка сделана в домене, регулируемом европейскими правилами PSD2, будет использоваться 3D Secure.

Почему вы просите меня подтвердить мою покупку?

Мы просим вас подтвердить свою покупку, чтобы убедиться, что это действительно вы, а не кто-то другой, выдававший себя за вас или украдший номер вашей карты.

Бывают случаи, когда просьба подтвердить вашу покупку требуется по закону, а есть другие случаи, когда это связано с другими факторами, такими как вовлеченная сумма или подозрение в мошеннической деятельности.

Имейте в виду, что вас просят подтвердить покупку не потому, что вы подозреваемый в мошенничестве, а для защиты от мошенничества с использованием вашей карты без вашего ведома.

Почему некоторые покупки проверяются, а некоторые нет?

Проверка покупки запускается на основе различных факторов, таких как требования безопасности или нормативные требования, сумма покупки или подозрение в мошенничестве.

Как вы подтвердите мою покупку?

Когда запускается проверка покупки 3D Secure, вам будет представлен процесс проверки покупки.Этот процесс отличается в зависимости от эмитента вашей карты Payoneer Prepaid Mastercard. Номер эмитента карты указан на обратной стороне карты. Вы также можете проверить, кто является эмитентом карты, перейдя в раздел «Карты Payoneer» в своей учетной записи Payoneer, выбрав карту и просмотрев данные эмитента, указанные в нижней части экрана сведений о карте.

• Если ваша карта Payoneer Prepaid Mastercard выпущена FCB (First Century Bank):
  Вам будет предложено ввести одноразовый проверочный код, который мы вам отправим.Вы можете выбрать отправку кода на свой адрес электронной почты или на мобильный телефон с помощью текстового сообщения или звонка. Указанные адрес электронной почты и номер мобильного телефона основаны на информации, хранящейся в вашей учетной записи Payoneer (в настройках вашего профиля).

• Если ваша карта Payoneer Prepaid Mastercard выпущена PEL (Payoneer Europe Limited):
  Вам будет предложено ввести одноразовый проверочный код, который мы вам отправим. Вы можете выбрать отправку кода на свой мобильный телефон либо в виде текстового сообщения, либо по телефону.Указанный номер мобильного телефона основан на информации, хранящейся в вашей учетной записи Payoneer (в настройках вашего профиля).
  После ввода одноразового кода подтверждения вам будет предложено ввести персональный код доступа для Payoneer . Это шестизначный код, который вам выдает Payoneer и который остается неизменным для каждой покупки. Вы можете просмотреть или изменить свой личный пароль безопасности в настройках безопасности Payoneer.

Что такое одноразовый проверочный код и когда меня попросят его предоставить?

Одноразовый проверочный код — это уникальный код, который генерируется на лету, когда покупка требует проверки.Вы сможете выбрать способ получения кода, и после его получения вам потребуется ввести его, чтобы подтвердить покупку.

Если неправильный код будет введен слишком много раз, ваша карта может быть заблокирована. Если это произойдет, свяжитесь с нами.

Что произойдет, если я не получу свой код?

Убедитесь, что ваш адрес электронной почты и номер телефона актуальны. При необходимости обновите свои данные в своей учетной записи Payoneer в настройках профиля.

Мы настоятельно рекомендуем, чтобы основным номером телефона, указанным в вашей учетной записи Payoneer, был номер мобильного телефона.

Если ваша информация актуальна и вы не получаете коды на свой мобильный телефон или электронную почту, возможно, возникла временная проблема с сетью, препятствующая правильной отправке кода. В этом случае попробуйте сделать покупку еще раз чуть позже. Если проблема не исчезнет, ​​свяжитесь с нами.

Что такое личный пароль безопасности и когда меня попросят его предоставить?

Пароль личной безопасности — это постоянный 6-значный код, который вам выдаёт Payoneer. Вы можете просмотреть или изменить свой личный пароль безопасности в настройках безопасности Payoneer.Обратите внимание, что вам выдается только один личный код доступа для каждой учетной записи Payoneer. Если у вас есть несколько карт Payoneer в вашей учетной записи, вы используете один и тот же личный пароль безопасности для всех из них.

Когда покупка, совершенная с помощью карты, выпущенной PEL (Payoneer Europe Limited), требует подтверждения, после запроса одноразового кода подтверждения вам также будет предложено ввести свой личный код доступа для подтверждения покупки.

Если неправильный код будет введен слишком много раз, ваша карта может быть заблокирована.Если это произойдет, свяжитесь с нами.

Примечание : Ваш личный код доступа не совпадает с PIN-кодом вашей карты, который вы используете для снятия средств в банкоматах и ​​т. Д.

Что произойдет, если я введу неверный код слишком много раз?

Если неправильный код вводится слишком много раз, нам может потребоваться заблокировать вашу карту по соображениям безопасности. Если мошенник пытается совершить покупку с помощью вашей карты, блокировка карты может помочь предотвратить мошенническое использование карты.

Если ваша карта заблокирована по какой-либо причине, свяжитесь с нами.Если это вы совершали покупку, мы разблокируем вашу карту. Если карта использовалась обманным путем, мы аннулируем карту и выдадим вам новую.

Что мне делать, если процесс проверки завершился неудачно?

В зависимости от причины сбоя вы можете попробовать свою покупку еще раз позже или обратиться к нам за помощью. Во время проверки покупки вы будете получать подсказки на экране, которые подскажут, как действовать.

Что делать, если моя карта заблокирована?

свяжитесь с нами.Если это вы совершали покупку, мы разблокируем вашу карту. Если карта использовалась обманным путем, мы аннулируем карту и выдадим вам новую.

Что делать, если в настройках моего профиля указан только стационарный телефон?

Хотя мы рекомендуем добавить номер мобильного телефона в качестве основного номера в свою учетную запись Payoneer, если у вас есть только стационарный телефон, вы все равно можете получить одноразовый код подтверждения:

Как я могу просмотреть или изменить свой личный пароль безопасности?

Для просмотра или изменения личного кода безопасности:

1. В Payoneer перейдите в Параметры безопасности и найдите параметр Персональный пароль безопасности .Вы увидите свой личный код доступа, замаскированный из соображений безопасности.
2. Нажмите Просмотреть / изменить и подтвердите, что это вы, введя одноразовый код, который мы вам отправим.
3. Как только код доступа станет видимым, вы можете скопировать его в буфер обмена или изменить его.
4. Если вы изменили его, нажмите Сохранить , чтобы сохранить изменение.

Совет . Запомните код доступа, чтобы вам не приходилось выполнять описанные выше действия каждый раз, когда вам потребуется вводить его при использовании карты для совершения покупок.

Могу ли я отказаться от проверки покупки карты?

Нет. Процесс подтверждения покупки с помощью 3D Secure предоставляется, когда это необходимо по соображениям безопасности или нормативным требованиям, и от него невозможно отказаться.

киберпреступников адаптируются к обходу 3D Secure

03.03.2021

Ключевые выводы

• Gemini обнаружил на форумах в темной сети нескольких людей, которые занимались деятельностью, связанной с обходом меры безопасности 3D Secure (3DS), которая представляет собой протокол, разработанный как дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам.

• Тактика киберпреступников для обхода мер 3DS включает различные методы социальной инженерии и фишинговые или мошеннические страницы. Вредоносные программы и технические атаки с меньшей вероятностью будут работать в новой версии 3DS 2.0.

• Хотя технология 3DS 2 повысит уровень безопасности онлайн-транзакций, уровни глобального внедрения были разными. Осуществление мандата Европейского союза возглавляет эти усилия.

• Несмотря на то, что киберпреступникам сложнее обойти 3DS 2, она не лишена хорошо отточенных навыков социальной инженерии.Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, продолжат использовать социальную инженерию и фишинг для обхода мер безопасности 3DS

Фон

Gemini обнаружил на форумах темной сети нескольких человек, которые занимаются деятельностью, связанной с обходом меры безопасности 3D Secure (3DS). 3DS — это протокол, разработанный как дополнительный уровень безопасности для онлайн-транзакций по кредитным и дебетовым картам. Начиная с версии 1 существовало несколько версий этого протокола.0; последняя версия — 2.0. 3D Secure 2.0 (3DS 2) был разработан для работы со смартфонами. Аутентификация платежа может принимать форму отпечатка пальца или распознавания лица, а не просто паролей или текстовых сообщений с подтверждением, что обеспечивает более удобное обслуживание клиентов. Это важно для широкого внедрения, учитывая сдерживающий эффект, который дополнительные шаги проверки 3DS оказали на клиентов, размещающих платежи, которые иногда отказывались от своих транзакций после того, как они стали слишком обременительными.

Согласно Emerchantpay, последние версии 3DS также используют самые передовые функции безопасности, такие как 3DS 2. Он анализирует более 100 ключевых точек данных, включая контекстные данные продавца, выступая в качестве расширенного уровня защиты от мошенничества. Владелец карты вводит данные своей карты при оформлении заказа. На этом этапе поставщик услуг 3DS продавца отправляет эмитенту запрос аутентификации с расширенными данными. Эти данные включают различный объем информации о держателях карты и устройстве в зависимости от региональных или рыночных ограничений, таких как идентификатор устройства, MAC-адрес, географическое положение, предыдущие транзакции и т. Д.

Киберпреступники могут использовать различные тактики для обхода мер 3DS, большинство из которых включает в себя различные методы социальной инженерии. Кроме того, киберпреступники могут использовать фишинговые или мошеннические страницы, чтобы обманом заставить своих жертв предоставить информацию о своей карте, а также информацию для проверки платежа, которую преступники могут затем использовать для совершения мошеннических покупок.

Углубленный анализ

Пароль

Согласно исследованию Gemini, более ранние версии 3DS имели уязвимости, которые киберпреступники могли использовать для обхода этих функций безопасности.Одним из этих недостатков было требование пароля для транзакции, который иногда принимал форму личного идентификационного номера (PIN). Киберпреступники могут найти различные способы получения пароля, в том числе с помощью социальной инженерии, чтобы обманом заставить жертву предоставить свой пароль. Ниже приведены некоторые из способов, которыми киберпреступники могут этого добиться.

Социальная инженерия

Социальная инженерия может принимать разные формы. Особенно опытные киберпреступники могут обманом заставить своих жертв предоставить пароли, выдавая себя за представителя банка.Например, некоторые украденные платежные карты, продаваемые на торговых площадках дарквеба, содержат полную информацию о держателях карты, включая имя, номер телефона, адрес электронной почты, физический адрес, девичью фамилию матери, идентификационный номер, номер водительских прав и т. Д. Используя эту информацию, киберпреступник может позвонить клиенту, выдать себя за работника банка, сначала предоставив жертве некоторую личную информацию (PII), а затем запросить у жертвы свой пароль для окончательного подтверждения личности.

Изображение 1: PII на запись за последние 12 месяцев карточек, выставленных на продажу в даркнете.

Подобные методы социальной инженерии можно было использовать в более поздних версиях 3DS. 5 сентября 2020 года аналитики Gemini заметили, что известный хакер описал метод социальной инженерии, с помощью которого киберпреступники могут совершать мошеннические покупки в режиме реального времени, обманывая свою жертву. По словам хакера, киберпреступники сначала должны иметь карту с полной информацией о жертве, а затем загрузить приложение для подделки телефонных номеров и устройство для смены голоса.На следующем этапе хакер порекомендовал зайти на сайт покупок по выбору мошенника и ввести карту покупателя и платежную информацию. Затем хакер рекомендовал подделать номер телефона банка, который обычно находится на обратной стороне банковской карты, и позвонить жертве, используя те же шаги, что и описанные выше, чтобы жертва могла спокойно делиться своей информацией. На последнем этапе хакер сообщает жертве, что она получит код подтверждения для окончательной проверки личности, после чего киберпреступник должен разместить заказ в магазине; когда будет предложено ввести проверочный код, который был отправлен на телефон жертвы, мошенник должен получить этот код у жертвы.

Изображение 2: сообщение benten777, объясняющее, как обойти 3DS.

Фишинговые страницы

Поиск на форумах темной сети показал, что различные киберпреступники занимаются деятельностью, связанной с продажей информации, собранной с фишинговых сайтов, продажей инъекций, собирающих информацию о жертвах, и созданием фишинговых сайтов. Фишинговые сайты часто имитируют реальные сайты и обманом заставляют жертв вводить информацию о своих аккаунтах, которую киберпреступники затем собирают и обрабатывают на реальном сайте.В этом типе мошенничества киберпреступники могут представить жертве интернет-магазин, который выглядит идентичным реальному магазину. Когда жертва невольно делает покупки на фишинговом сайте, киберпреступники передают платежные реквизиты на законный сайт для оплаты своих покупок, которые затем жертва невольно проверяет через 3DS.

Изображение 3: фишинговая страница Amazon.

Мелкие покупки

3DS иногда может затруднять покупки, и поэтому дополнительные шаги проверки могут удерживать клиентов от совершения покупок.Чтобы упростить процесс покупки, некоторые интернет-магазины отключают функцию 3DS для небольших покупок, которые, в зависимости от магазина, могут составлять сотни долларов. Например, транзакции на сумму менее 30 долларов освобождаются, но не в том случае, если карта используется 5 раз или общая сумма расходов превышает 100 долларов. У других сайтов есть свои требования, иногда до 400 долларов. Киберпреступники могут протестировать эти сайты, чтобы определить, какая сумма покупки запускает 3DS, а затем сохранить покупки ниже этих сумм.

PayPal

Другой способ, которым киберпреступники могут обойти 3DS, — это использование PayPal. В этой схеме киберпреступники добавляли информацию о украденной платежной карте в учетную запись PayPal и использовали метод оплаты PayPal при совершении покупок. Чтобы эта схема работала с дебетовой картой, злоумышленникам потребуется доступ к банковскому счету для подтверждения мини-депозита вместе с кодом PayPal. Однако для кредитной карты им потребуется только доступ к онлайн-счету PayPal, поскольку PayPal не всегда выдает код проверки для подтверждения.Торговые площадки и форумы даркнета продают платежные карты с данными для входа в банковский счет. Затем киберпреступники могут приобрести такую ​​информацию и успешно добавить платежные карты в PayPal. После добавления карты в PayPal киберпреступники могут совершать покупки на торговых площадках, которые позволяют совершать платежи PayPal без использования 3DS, даже если она включена на этом сайте.

Изображение 4: Русскоязычный хакер, продающий банковские счета с доступом в Интернет.

Вредоносное ПО

Как упоминалось выше, часть проверки 3DS версии 1 включает отправку текстового сообщения с кодом безопасности держателю карты для подтверждения покупок.Киберпреступники могут установить вредоносное ПО на мобильный телефон жертвы, чтобы перехватить такие сообщения. Во многих случаях такое вредоносное ПО прикрепляется к вредоносным приложениям в Android-приложениях в магазине Google Play, которые устанавливаются ничего не подозревающими жертвами. Магазин Google Play позволяет предлагать своим пользователям приложения с открытым исходным кодом, и поэтому пользователи Android особенно восприимчивы к приложениям, которые могут заразить их телефоны. Затем эта вредоносная программа будет перехватывать любые входящие текстовые сообщения, включая коды проверки 3DS, которые затем используются при совершении покупок.

3DS 2 и SCA

3DS был обновлен до 3DS 2, который был разработан для работы со смартфонами. Аутентификация платежа может принимать форму отпечатка пальца или распознавания лица, а не просто паролей или текстовых сообщений с подтверждением, что обеспечивает более удобное обслуживание клиентов. Это важно для широкого внедрения, учитывая сдерживающий эффект, который дополнительные шаги проверки 3DS оказали на клиентов, размещающих платежи, которые иногда отказывались от своих транзакций после того, как они стали слишком обременительными.

14 сентября 2019 года компания

Europe представила новый набор требований к платежам, чтобы повысить стандарты аутентификации онлайн-платежей. Эти требования известны как строгая проверка подлинности клиентов (SCA) и включают сроки соблюдения в 2020 и 2021 годах для каждой страны. SCA предназначен для защиты инициируемых клиентом платежей (в отличие от повторяющихся платежей) и может выполняться с помощью 3DS 2, которая, как ожидается, будет основной формой соблюдения платежных требований. Как и в более ранних версиях 3DS, он включает положения, освобождающие транзакции на сумму ниже определенных от дополнительной проверки.

Хотя технология 3DS 2 повысит уровень безопасности онлайн-транзакций, уровни глобального внедрения были разными. Европа лидирует среди правительств в распространении мандатов на усыновление. Соединенные Штаты выбрали менее прямой подход; Защита от ответственности за мошенничество в США для продавцов, использующих 3DS 1.0, истекает 17 октября 2021 года. Американские эмитенты должны перейти на 3DS 2.0 до 31 августа 2020 года, а продавцы, которые не обновятся до 3DS 2.0 до 17 октября 2021 года, не смогут Преимущество перехода ответственности за мошенничество от продавца к банку-эмитенту.AsiaPay, лидер в области цифровых платежных услуг и технологий в Азии, объявила о выпуске решения Xecure 3DS 2.0, которое имеет сертификат EMV 3-D Secure (3DS) версии 2.2. Таким образом, благодаря прямым предписаниям, нормативным стимулам или инициативам частного сектора внедрение 3DS 2.0 растет во всем мире, хотя реализация в разных странах различается.

По мере того, как Европа принимает эти новые требования, безопасность основных транзакций улучшится. Однако это повысит спрос на киберпреступные средства обхода 3DS 2.Более технические методы взлома, нацеленные на 3DS, вряд ли найдут такой же успех в 3DS 2, но схемы фишинга и социальной инженерии часто выходят за рамки технических обновлений. Это может сделать многие из описанных выше методов более ценными в киберпреступном подполье.

Заключение

Более старые версии 3DS, такие как версия 1.0 (которая до сих пор широко используется во всем мире), уязвимы для хакеров, которые находят способы обойти свои функции безопасности.Новую версию 3DS 2 сложнее обойти киберпреступникам, особенно с помощью технических средств, но она не лишена хорошо отточенных навыков социальной инженерии. Кроме того, киберпреступники используют фишинговые страницы, чтобы обманом заставить жертв предоставить свои пароли и PIN-коды для совершения мошеннических покупок. Gemini Advisory с умеренной уверенностью оценивает, что киберпреступники, вероятно, будут продолжать полагаться на социальную инженерию и фишинг, чтобы обойти меры безопасности 3DS.

Заявление о консультативной миссии Близнецов

Gemini Advisory предоставляет крупнейшим финансовым организациям действенную информацию о мошенничестве, чтобы снизить постоянно растущие киберриски.В нашем запатентованном программном обеспечении используются асимметричные решения, которые помогают в реальном времени выявлять и изолировать активы, нацеленные на мошенников и онлайн-преступников.

Нравится:

Нравится Загрузка …

reGemini

Полное руководство по аутентификации 3D Secure 2.0 в 2020 году

Алфавитный набор протоколов аутентификации платежей в последнее время стал более заметным в прессе и в общей шумихе по электронной коммерции и платежам.Почему? Потому что последнее обновление протокола аутентификации платежей без карты, которому уже несколько десятилетий, было запущено ранее в этом году. Кроме того, 14 сентября вступает в силу PSD2 для продавцов, и один из аспектов этого европейского регламента требует, чтобы продавцы и карточные сети аутентифицировали личность покупателя для совершения онлайн-транзакций.

В этом посте я расскажу, что это за аббревиатуры, для каких продавцов они актуальны и что продавцы должны учитывать, прежде чем принимать решение о добавлении этих протоколов в свои потоки оформления заказа.

Что такое 3D Secure?

3D Secure, также называемая аутентификацией 3-D Secure, 3DS или 3-D Secure, означает трехдоменную безопасность. Это протокол безопасности, который добавляет уровень аутентификации в процесс онлайн-проверки без предъявления карты для проверки личности держателя карты до авторизации. Цель 3DS — защитить кредитную карту покупателя от несанкционированного использования при совершении покупок в Интернете. Для этого в нем участвуют три стороны — или три домена: банк-эквайер (или банк продавца), банк-эмитент (или банк держателя карты) и инфраструктура, поддерживающая этот протокол, например Интернет, плагин продавца, и другие поставщики программного обеспечения.

Первая итерация 3DS, также известная как 3DS1 или 3DS 1.0, была создана в 1999 году, на заре электронной коммерции, когда персональный компьютер был единственным доступным каналом онлайн-покупок. Карточные сети внедрили 3DS1 в 2001 году под такими торговыми марками, как Verified by Visa или Mastercard Identity Check.

Это работает следующим образом: после того, как потребители вводят данные своей карты для подтверждения платежа онлайн-продавцу, банки-эмитенты определяют риск мошенничества при транзакциях на основе до 15 основных точек данных, таких как валюта, используемая в транзакции, и пользователь веб-браузера. агент.Если это будет определено как опасное, появится всплывающее окно или встроенный фрейм, в котором потребителю потребуется ввести пароль для подтверждения своей личности в банке, выпустившем его карту.

Потребители должны зарегистрироваться в 3DS1, чтобы иметь статический пароль или код для аутентификации. Те, кто не зарегистрирован, перенаправляются со страницы оформления заказа на веб-сайт банка-эмитента, чтобы они могли зарегистрироваться и настроить учетные данные. Если потребитель откажется регистрироваться сверх установленного количества отказов, ему / ей может быть запрещено совершать покупки в Интернете в розничных магазинах, которые используют 3DS, ожидая регистрации.

Самым большим преимуществом для продавцов в использовании 3DS было изменение ответственности с одновременным обещанием уменьшения мошенничества. Благодаря тому, что держатели карт аутентифицируют себя в банке, выпустившем их кредитную или дебетовую карту, ответственность за мошенничество перешла от продавца к эмитенту карты, что снизило количество возвратных платежей продавцу.

К сожалению, обещание не было выполнено. Эмитенты изберут подход «лучше перестраховаться, чем сожалеть», сделав ошибку, проявив осторожность и отклонив транзакцию, чтобы избежать потенциального мошенничества.Это привело к потере 118 миллиардов долларов в 2014 году из-за ложного снижения всех онлайн-транзакций. Одна из причин, по которой эмитенты боролись с ложными отклонениями, заключается в том, что им было доступно только 15 точек данных, а не более широкий спектр информации, которую продавцы собирают о покупателе на протяжении всего пути к покупке. Продавцы также не имели доступа к информации или аналитике о покупателях после оформления заказа, поскольку данные собирались непосредственно из браузера держателя карты, не проходя через систему продавца.

Еще одним ограничением для продавцов было то, что, когда они решили использовать 3DS1, они должны были использовать его для всех транзакций, где поддерживалась 3DS. Это отсутствие гибкости привело к тому, что некоторые продавцы полностью отказались от 3DS.

Но была еще большая проблема: этот процесс оформления заказа был настолько неуклюжим и устаревшим, что приводил к тому, что продавцы теряли продажу, а эмитенты теряли транзакцию. 3DS1 был разработан только для аутентификации в веб-браузере и не поддерживает покупки на мобильных устройствах.Кроме того, использование статических паролей для регистрации клиентов в 3DS1 создало неуклюжий пользовательский интерфейс, который привел к отказу от корзины покупок, а также к увеличению эксплуатационных расходов для эмитентов из-за звонков клиентов с запросом сброса пароля

К 2017 году только 18% транзакций в США использовали 3DS. Было так много трений, что процент отказа от тележек 3DS в таких странах, как Бразилия, превышал 50%. Что еще хуже, так это то, что все это трение даже не сделало 3DS 1.0 эффективным средством сокращения мошенничества.Два года назад Федеральный резервный банк Миннеаполиса обнаружил, что менее одной трети банков с активами в 1 миллиард долларов и более полагаются на 3DS или ее аналог.

Для устранения многих недостатков 3DS1 и меняющейся нормативно-правовой базы для электронной коммерции и транзакций без предъявления карты EMVCo, организация, состоящая из шести основных сетей карт, выпустила новую версию 3DS: 3D Secure 2, также упоминаемую как EMV 3-D Secure, 3-D Secure 2.0, 3D Secure 2.0 или 3DS2.Банки-эмитенты намерены завершить интеграцию 3DS2 к весне 2019 года.

3DS2 — первое обновление с 2001 года, за шесть лет до того, как был впервые представлен iPhone, и почти через 20 лет с момента создания протокола. Сделайте паузу, чтобы сравнить это с тем, как часто вам приходится обновлять приложения и операционные системы для смартфонов в наши дни.

EMVCo утверждает, что самые большие изменения от 3DS1 к 3DS2 — это лучший пользовательский интерфейс при одновременном сокращении мошенничества. Вместо статического пароля пользователи могут аутентифицироваться с помощью одноразового пароля, отправленного на номер мобильного телефона, связанного с учетной записью, или биометрических данных, таких как отпечаток большого пальца, распознавание лица или голоса.Технологическое обновление создает соединение для передачи данных между продавцами, платежными сетями и финансовыми учреждениями для анализа до 150 элементов данных и обмена большей информацией о транзакциях. 3DS2 теперь может поддерживать мобильные приложения, а также среды на основе браузера.

3DS2 наиболее актуален для продавцов, которым необходимо соблюдать государственные постановления, а именно Директиву о платежных услугах. Директива, более известная как PSD2, вступит в силу 14 сентября 2019 года.Он требует строгой аутентификации клиентов (SCA) или двухфакторной аутентификации для электронных платежей. PSD2 применяется только к платежам из ЕС в ЕС, что означает, что 3DS2 актуален только для продавцов, выходящих на европейский рынок. Вы можете узнать больше о защите ваших доходов в рамках PSD2 здесь.

Для продавцов, которые не представлены в Европе или на других рынках, где требуется двухфакторная аутентификация, такая как 3DS, ценность протокола более сомнительна. По данным Aite Group, сегодня менее 2% транзакций электронной коммерции в Северной Америке и менее 5% транзакций в Австралии используют 3DS.

PSD2 или нет, но карточные сети продают 3DS2 как беспрепятственное решение для онлайн-мошенничества без предъявления карты. Они утверждают, что 3DS2 сократит количество ложных отказов и увеличит количество одобрений, но есть 5 вещей, которые продавцы должны учитывать при покупке автономной системы сквозного управления мошенничеством:

1. Адаптация к быстро меняющимся рынкам и отрасли

Как упоминалось ранее, карточные сети не развивали свою технологию проверки мошенничества в течение почти 20 лет.Один из главных аргументов в пользу 3DS2 заключается в том, что все отрицательные отзывы о 3DS1 были включены в технические изменения, которые увеличили количество точек данных, проверяемых разработчиками в 10 раз. Тот факт, что эмитенты теперь могут просматривать большее количество данных, не обязательно означает, что они знают, как их понимать, как ими управлять и что с ними делать.

На карту поставлено многое, чтобы продавцы доверяли своим доходам карточные сети, которые не вводили новшества в течение десятилетий, и банки-эмитенты, которые все еще находятся в процессе интеграции 3DS2.Как продавцы могут узнать, что 3DS2 готов к работе без каких-либо сбоев?

2. Коэффициент конверсии

Visa, Mastercard и другие сети карт обещают улучшить показатели одобрения и уменьшить количество брошенных тележек и отказов покупателей, но не имеют реальных данных о производительности, чтобы доказать, что 3DS2 будет работать.

Большинству эмитентов необходимо перейти на 3DS2, прежде чем мы сможем получить достоверные данные, а это может занять время . Что мы уже знаем, так это то, что в большинстве случаев 3DS2 все же добавит еще один шаг к платежному пути, потенциально подвергая остракизму законных клиентов.Продавцы лучше, чем кто-либо, знают, насколько опасным может быть дополнительный шаг в процессе оформления заказа.

3. Истинная смена ответственности?

Одним из основных факторов, привлекающих внимание продавцов к 3DS, является перенос ответственности за мошеннические возвратные платежи на эмитентов карт. Однако переход на 3DS не распространяется на все транзакции.

Для Visa и Mastercard, 3DS может привести к 5 сценариям: аутентификация успешна, попытка аутентификации, аутентификация не удалась, аутентификация недоступна и ошибка.Сдвиг ответственности происходит только в случае успешной аутентификации с последующим возвратом платежа. В случае сбоя аутентификации, возникает ошибка или если аутентификация недоступна, ответственность за возврат платежа остается за продавцом.

Существует также различие в правилах смены ответственности, в зависимости от того, с каким поставщиком карт работает продавец. Если конкретная карта не зарегистрирована в 3DS, Visa берет на себя ответственность за любые мошеннические возвратные платежи. При использовании Mastercard ответственность ложится на продавца.Эти «правила» могут оказаться сложными, и мы настоятельно рекомендуем продавцам уточнять различия в банках-эмитентах.

4. Провайдеры исследований

Продавцы должны проявлять должную осмотрительность в отношении поставщиков 3DS (шлюзов и платежных систем). Продавец предоставляет банкам-эмитентам больше точек данных, чем они использовали для 3DS1. Торговец должен проверить, могут ли они получить доступ к ценным данным транзакций после оформления заказа, которые обрабатываются с помощью 3DS2. Количество раз, когда покупателю была представлена ​​страница проверки 3DS, и процент защищенных заказов могут дать ценную отраслевую информацию о поведении клиентов.Эта информация также может предоставить аналитикам по мошенничеству важную статистику о мошеннических действиях.

Поэтому не забудьте спросить, насколько надежно поставщики будут обрабатывать ценные данные, которыми вы будете делиться, и насколько больше информации вы получите в ответ. Также спросите, будут ли производители поддерживать как 3DS1, так и 3DS2? Обеспечат ли поставщики простую интеграцию с вашей платформой электронной коммерции?

5. Отсутствие опыта

Мы не можем подробно остановиться на этом моменте: можете ли вы доверять уровню точности эмитентов карт, которые просто не имели такой практики обработки более 15 точек данных за транзакцию для определения законности? И насколько прозрачны будут продавцы в процессе принятия решений эмитентом?

Знание — сила.Продавцы должны изучить, подходит ли и достаточна ли 3DS для их нужд, и проверить все, что предлагает 3DS2. Доверие и безопасность имеют решающее значение для продавцов, поскольку они гарантируют защиту своего бренда и с трудом заработанных доходов. Свяжитесь с нами, чтобы узнать больше о ведущих продавцах, которые доверяют Riskified утверждать больше заказов, брать на себя обязательства по возврату платежей и управлять рисками.

Как внедрение 3D Secure в США изменится

3-Domain Secure была создана в первой итерации (3DS1) более 15 лет назад.Цели были относительно простыми, поскольку в то время было мало стандартов, на которые можно было опираться. Несмотря на то, что мошенничество с кредитными картами становилось все более серьезным, надежды на то, что произойдет,
быть динамичной индустрией электронной коммерции были уже на высоком уровне.

Несмотря на явную потребность в безопасном методе транзакций электронной коммерции,
3DS1 не стартовал так гладко. Ошибки, допущенные при первой реальной попытке обеспечить безопасность онлайн-платежей, все же оставили много уроков, которые необходимо учесть.

Почему 3DS1 был принят в США так консервативно?

Пользовательский опыт играет огромную роль в успехе любой технологии.Люди от природы весьма непостоянны, когда дело доходит до новых идей, но тем более, когда это добавляет разочарования в их и без того трудный день. Вот где не хватало 3DS1.

Технология была неудобной для пользователя и требовала от держателя карты, эмитента карты и продавца участвовать в аутентификации платежа. Это добавило дополнительный шаг, который клиенты сочли ненужным. Кроме того, проверки безопасности также включали всплывающее окно
окно, которое сбило пользователей с толку. Не имея возможности определить подлинность всплывающего окна, пользователи видели в нем угрозу безопасности и часто отказывались от покупки до завершения процесса оплаты.

Кроме того, аутентификация требовала, чтобы все клиенты регистрировались со статическими паролями, которые многие позже забывали, создавая трения во время оформления заказа. Не говоря уже о том, что статические пароли довольно легко украсть мошенникам, учитывая, что 37% пользователей меняют
пароли реже одного раза в год.

Естественно, когда протокол вызывал проблемы, из-за которых покупатели оставляли свои тележки, продавцы обращались к другим сторонам в поисках способов предотвращения мошенничества с отсутствием карты.Служба проверки адреса (AVS) была более популярной системой по сравнению с 3DS1 в США,
не потому, что он был более безопасным, а просто потому, что он был удобнее в использовании. Система работает, проверяя, связан ли введенный пользователем адрес со счетом кредитной карты держателя карты. Однако AVS действует скорее как средство предотвращения мошенничества.
чем инструмент аутентификации.

Подводя итог опыту, продавцам нужна была безопасная система аутентификации, которая была бы удобна для пользователя и не вызывала разочарования у покупателей до такой степени, что они отказывались бы от транзакции, в результате чего розничные торговцы теряли продажи.

Как 3DS2 изменит это

К счастью, на этом этапе развитие технологии не прекратилось, и EMVCo (первоначально названная EMV) извлекла уроки из опыта 3DS1. Следующим шагом в решении первоначальных проблем 3-Domain Secure стала разработка
3D Secure 2.0.

Улучшенная итерация покрывает все болевые точки, с которыми сталкивается 3DS1. Во-первых, 3DS2 делает упор на простоту использования. Качество обслуживания клиентов улучшается за счет проверки подлинности на основе рисков, новый процесс заставляет клиентов пройти только дополнительный этап безопасности.
только если степень выявленного риска выше установленного стандарта, что упрощает взаимодействие с пользователем.

Теперь не только транзакции будут проходить гладко, но использование двухфакторной аутентификации также сделает их более безопасными и соответствующими требованиям новых Директив по платежным сервисам (PSD2), которые вступят в силу 14 сентября 2019 года.
фирмы в США, ведущие дела с европейскими заказчиками, ожидается, что внедрение 3DS2 будет расти, поскольку они становятся свидетелями успеха в Европе.

В то время как его предыдущий аналог был сосредоточен на статической информации, проверки безопасности для 3DS2 используют то, что у вас есть, а не то, что вы знаете.Это включает реализацию биометрической идентификации, такой как распознавание лиц или сканирование отпечатков пальцев.
Эти более сложные проверки совсем не требуют от клиентов использования памяти, но при этом обеспечивают большую безопасность.

В целом, похоже, что у продавцов и клиентов есть более светлое будущее с 3DS2. В наши дни не должно быть никаких компромиссов между простотой использования и безопасностью. Усовершенствованная технология направлена ​​на решение проблемы отказа от корзины.
предлагая клиентам удобство совершения покупок и расширенную аутентификацию.

3D Secure 2: WIRECARD

Австрия: FMA на немецком языке

19 августа австрийский регулятор объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Австрии. Регулирующий орган будет придерживаться общих для ЕС временных рамок, которые будут определены EBA.

Бельгия: Национальный банк Бельгии / Национальный банк Бельгии на английском языке

27 августа 2019 года бельгийский регулирующий орган (Banque Nationale de Belgique) объявил, что в настоящее время определяется план поэтапного внедрения требований SCA.Регулирующий орган еще не сообщил никаких подробностей о продолжительности и объеме периода миграции до вступления в силу.

Кипр: ЦЕНТРАЛЬНЫЙ БАНК КИПРА

2 сентября 2019 года кипрский регулятор объявил об ограниченном переходном периоде для реализации требований SCA для онлайн-платежей на Кипре. Точные сроки исполнения и основные этапы пока не сообщаются.

Чешская Республика: Česká národní banka

11 сентября 2019 года чешский регулятор объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Чешской Республике.Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Дания: Finanstilsynet на датском языке

4 сентября 2019 года датский регулирующий орган объявил, что в настоящее время определяется план поэтапного внедрения требований SCA. Регулирующий орган еще не сообщил никаких подробностей о продолжительности и объеме периода миграции до вступления в силу.

Финляндия: Finanssivalvonta in Finish

5 сентября финский регулятор объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Финляндии.Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Греция: Τράπεζα της Ελλάδος на английском языке

26 августа 2019 года регулирующий орган Греции (Банк Греции) объявил, что после 14 сентября 2019 года будет предоставлен поэтапный период для соблюдения требований SCA для онлайн-платежей. указано EBA.

Венгрия: Мадьяр Немзети Банк

10 сентября 2019 года регулирующий орган Венгрии объявил о 12-месячном периоде внедрения требований SCA для онлайн-платежей по картам.В результате банки будут постепенно требовать SCA для онлайн-платежей в Венгрии, пока полное соответствие не станет обязательным в сентябре 2020 года.

Ирландия: Центральный банк Ирландии / Banc Ceannais na hÉireann на английском языке

8 августа 2019 года ирландский регулирующий орган (Центральный банк Ирландии) объявил, что будет введен период перехода для выполнения требований SCA, чтобы избежать сбоев в платежах по транзакциям электронной торговли. Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Литва: Банк Литвы

11 сентября 2019 года литовский регулятор объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Литве. Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Люксембург: Комиссия по надзору за финансовой безопасностью (Люксембург) на английском языке

30 августа 2019 года регулятор Люксембурга объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Люксембурге.Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Мальта: Bank Ċentrali ta ’Malta на английском языке

14 августа 2019 года мальтийский регулирующий орган объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей на Мальте. Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Нидерланды: De Nederlandsche Bank на голландском языке

8 августа 2019 года голландский регулирующий орган объявил, что в настоящее время определяется план поэтапного внедрения требований SCA. Точные сроки и основные этапы правоприменения еще не сообщены, но будут соответствовать временным рамкам в масштабах ЕС, которые будут определены EBA.

Норвегия: Finanstilsynet на норвежском языке

5 сентября 2019 года норвежский регулятор объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Норвегии.Точные сроки исполнения и основные этапы будут сообщены позже в этом году.

Польша: Komisja Nadzoru Finansowego на английском языке

19 августа 2019 года Польский регулирующий орган объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Польше. Банкам необходимо будет связаться с регулирующим органом, чтобы обеспечить временный переходный период. Регулятор ожидает более подробной информации о точных сроках исполнения от EBA в конце этого года.

Словения: Banka Slovenije

6 сентября 2019 года словенский регулирующий орган объявил об ограниченном переходном периоде для внедрения требований SCA для онлайн-платежей в Словении. Точные сроки исполнения и основные этапы пока не сообщаются.

Испания: Banco de Espana

11 сентября 2019 года испанский регулирующий орган (Banco de Espana) объявил, что в настоящее время определяется план поэтапного внедрения требований SCA.Регулирующий орган еще не сообщил никаких подробностей о продолжительности и объеме периода миграции до вступления в силу.

Швеция: Finansinspektionen на шведском языке

4 сентября 2019 года регулирующий орган Швеции подтвердил, что период перехода не будет предоставлен после 14 сентября, поскольку решения, совместимые с SCA, уже доступны на рынке. Банки, которым требуется дополнительное время, должны представить свой предлагаемый план перехода регулирующему органу. Регулирующий орган может предоставить дополнительное время в индивидуальном порядке.

В чем разница между 3D Secure 1, 2.1 и 2.2?

Трудно поверить, что прошло больше года с первоначального крайнего срока для строгой аутентификации клиентов (SCA). Чтобы освежить вашу память, Вторая европейская директива о платежных услугах (PSD2) требует использования SCA для большинства платежей — подробнее о правилах читайте здесь. 3D Secure — это метод двухфакторной аутентификации, признанный Европейским банковским управлением (EBA) как SCA-совместимый.Мы наконец-то прошли установленный EBA крайний срок исполнения SCA с поправками — 31 декабря 2020 года.

В целом 2020 год был трудным для продавцов, поскольку глобальная пандемия добавила стресса для онлайн-операций. После трудностей прошлого года аутентификация, возможно, отошла на второй план среди меняющихся приоритетов, но теперь пора обратить внимание. Как обеспечить наилучшие шансы минимизировать ненужные трения и привлечь клиентов?

Существуют большие различия между версиями 3DS 1 и 2, и некоторые незначительные различия между версиями 2.1 и 2.2. Вот краткое напоминание о функциях, которые может поддерживать каждая версия…

3D Secure 1

Исходная версия 3DS1 может поддерживать соответствие SCA для PSD2. Он также может обеспечить защиту от ответственности продавца за мошенничество, но только до октября 2021 года для Visa Secure — 3DS1.

Несмотря на то, что он соответствует требованиям, он непопулярен среди потребителей и вызывает большие проблемы у продавцов. 3DS1 появился во времена, когда еще не было мобильных телефонов, поэтому пользовательский опыт в лучшем случае разнообразен, а в худшем — ужасен.Он часто полагается на всплывающее окно, в котором покупатель должен ввести свои данные, что может сделать страницу оформления заказа даже на меньше, чем на , и может быть уязвимой для киберпреступных атак.

3DS1 также не распознает мягкие отклонения. Эмитент может использовать мягкий отказ, если он получает запрос от продавца на авторизацию платежа, но сначала он хочет использовать аутентификацию. С 3DS1 эмитент должен будет просто отклонить платеж, а продавец будет вынужден повторить попытку, рискуя тем, что покупатель откажется от оформления заказа.

Учитывая его возраст и ограничения, неудивительно, что срок его службы скоро истечет. С октября 2021 года 3DS начнет выводиться из эксплуатации по карточным схемам, начиная с Mastercard. Даже если он все еще доступен, продавцы потеряют преимущество сдвига ответственности с 3DS1, поэтому важно как можно скорее перейти к новым версиям.

3D Secure 2

Как и 3DS1, в 3DS 2.1 и 3DS 2.2 отмечены флажки для соответствия требованиям SCA и защиты от ответственности продавца за мошенничество.В отличие от 3DS2, он может улучшить качество обслуживания клиентов за счет меньшего трения.

Как это работает? С помощью 3DS2 продавцы имеют возможность отправлять в банк-эмитент гораздо больше данных, чем с помощью 3DS1. Вместо того, чтобы полагаться только на статические пароли, 3DS2 позволяет использовать динамическую аутентификацию с помощью биометрии и методов аутентификации на основе токенов. С дополнительными данными эмитенты могут применять аутентификацию без трения для утверждения транзакции, не требуя какого-либо ручного ввода от держателя карты — это называется Frictionless Flow.Эта основанная на рисках аутентификация будет ключом к обеспечению бесперебойной работы процессов оформления заказа для большинства транзакций с низким уровнем риска от доверенных клиентов.

3DS2 также может распознавать мягкие отклонения, которые 3DS1 не поддерживает. Например, если эмитент получает запрос авторизации по транзакции, но хочет, чтобы аутентификация произошла заранее, 3DS2 может включить это. Это означает, что меньше вероятность того, что транзакция будет полностью отклонена эмитентом, и меньше риск того, что транзакция будет отменена клиентом.

В отличие от 3DS1, 3DS2 можно использовать для настройки транзакций, инициированных продавцом. Это полезно для продавца, которому необходимо настроить регулярные платежи от покупателя, например. за подписку. Для первого платежа требуется SCA, а для последующих идентичных платежей — нет. Продавец может использовать 3DS2 для аутентификации первого платежа и настроить следующие платежи как транзакции, инициированные продавцом.

Различия между 3D Secure 2.1 и 2.2

Одно ключевое различие между 3DS 2.1 и 2.2 — это возможность поддержки исключений.

Обе версии поддерживают исключения издателя посредством аутентификации на основе рисков, например. упомянутый выше поток без трения.

3DS 2.2 также позволяет продавцам запрашивать освобождение через своего эквайера. Это включает в себя то, что продавец или поставщик платежных услуг может применить анализ рисков транзакций (TRA) и использовать эти данные для запроса освобождения с низким уровнем риска. Это также позволяет продавцам запрашивать освобождение в качестве доверенного продавца.

Существуют некоторые различия между схемами, о которых важно помнить.Mastercard также объявила, что предоставит освобождение с низким уровнем риска на основе TRA. Это невозможно с Visa 2.1, однако Visa допускает безопасное освобождение от корпоративных транзакций в версии 2.1.

3DS 2.2 также поддерживает делегированную аутентификацию и независимую аутентификацию.

Делегированная аутентификация

Обычно аутентификация выполняется банком-эмитентом. Делегированная проверка подлинности означает, что эмитенты могут разрешить проверку подлинности третьей стороне.Это может быть продавец, эквайер или поставщик цифрового кошелька.

Так как это работает? Примером может служить продавец, имеющий возможность выполнять SCA при входе в систему с использованием аутентификации FIDO. Эта информация может быть передана эмитенту, чтобы он мог подтвердить личность клиента, без необходимости аутентификации. Это повлечет за собой меньшее трение и обеспечит лучший опыт для покупателя, а также даст продавцу больше контроля над тем, как выполняется SCA.Вы можете прочитать о требованиях делегированной аутентификации для Visa здесь (стр. 530).

Развязанная аутентификация

Хотя имя похоже, его не следует путать с делегированной аутентификацией.

Разъединенная аутентификация — это когда пользователь выполняет аутентификацию с помощью методологии, отдельной от основного потока аутентификации. Это может произойти, даже если владелец карты не в сети. Примером использования может быть выполнение клиентом SCA на своем смартфоне, чтобы разрешить авторизацию на другом устройстве, например.настольный компьютер.

Что произойдет, если будет предпринята попытка 3DS, но эмитент не зарегистрирован в запрошенной версии?

Итак, представим, что клиент совершает платеж, и вы запрашиваете 3DS 2.