что это такое, и как перейти на новый протокол без лишних затрат

Рассматриваем, как перейти на новый протокол 3‑D Secure 2.0, не затрачивая на это много ресурсов. А главное, как не потерять в конверсии и не навредить проходимости платежей во время переходного периода.

К концу 2021 года все банки ЕС будут применять новые правила безопасности для интернет-платежей внутри Еврозоны (и подлежат большим штрафам, если этого не сделают). Онлайн-бизнес, который уже сейчас не перейдет на протокол 3DS2, столкнется с серьезной потерей конверсии. Количество отказов по платежам без аутентификации 3DS2 быстро возрастает. Скоро все онлайн-платежи по картам, не прошедшим аутентификацию 3DS2, будут отклоняться эмитентами без рассмотрения. Mastercard планирует вывести прежний протокол безопасности 3DS1 из эксплуатации в октябре 2022 года, а VISA в Европе отменит перенос ответственности по 3DS1 уже с октября 2021 года.

Но в условиях, когда не все банки-эмитенты даже в ЕС осуществили этот переход, любой онлайн-бизнес может столкнуться с неожиданным снижением конверсии или частым отказам по транзакциям какого-либо эмитента. Proxy 3DS – оптимальный инструмент для переходного периода в европейской системе безопасности онлайн-платежей.

Что значит введение нового протокола 3DS2 для бизнеса?

Для онлайн-бизнеса и потребителей введение нового протокола 3DS2 на основе стандарта строгой аутентификации SCA означает гарантию безопасности, бесшовности и высокой конверсии платежей. Эмитентам карт для подтверждения каждой операции автоматически отправляется набор параметров о держателе карты и его устройстве, «цифровой отпечаток» плательщика. Если программа проверки «узнает» держателя карты, то обычной процедуры подтверждения платежа одноразовым SMS-паролем не потребуется. Большинство транзакций будет успешно совершаться в одну стадию.

Важно и то, что 3DS2-аутентификация (как и 3DS1) возлагает ответственность за возможный неправомерный платеж на эмитента и снимает ее с онлайн-бизнеса. Еще более значима для бизнеса и поддержка 3DS2 платежей в мобильных приложениях.

Что такое 3DS2?

Техническая суть новшеств – в изменении некоторых программных кодов и автоматических параметров оповещений и запросов на платежный сервер и далее, для проверки и одобрения эмитенту.

Новый протокол формирует два пути прохождения платежей: frictionless flow и challenge flow. В первом случае система верифицирует знакомое устройство пользователя и одобряет платеж без подтверждения SMS-паролем. Во втором случае банковская система сомневается в аутентификации плательщика, и требует предоставить пароль или биометрическую информацию. Она перенаправляет пользователя на ACS-страницу банка-эмитента для ввода одноразового SMS-пароля.

Как перейти на новый протокол 3DS 2.0: варианты — от сложного к простому

Для самостоятельного перехода на новую конфигурацию онлайн-бизнесу потребуется команда IT-специалистов и несколько недель работы (в зависимости от существующей схемы платежей на сайте).

Но есть способ лучше. Единичные платежные провайдеры научили свою платежную платформу проводить платежи с поддержкой 3-D Secure 2.0 самостоятельно. Со стороны бизнеса не требуется никаких доработок сайта, а платежная схема для онлайн-продавца и пользователя остается такой же, как и для 3‑D Secure 1.

Так, внутри ECOMMPAY этот сервис называется Proxy 3DS, а в документации значится как базовая схема аутентификации. Это своеобразный «переходник» между ядром нашей платформы (Core) и сервером управления доступом (Access Control Server или ACS), или платежным сервером.

Proxy 3DS – бесплатный сервис. Он уже работает для существующих клиентов ECOMMPAY и по умолчанию включается, если интеграция с сайтом идет через API (host2host). При подключении через платежную страницу вся обработка платежей, включая 3DS-аутентификацию, как и раньше, идет на стороне платежного провайдера.

Как работает 3DS 2.0 на практике: разные сценарии

Если банк-эмитент держателя карты поддерживает протокол 3-D Secure 2. 0, то платежная платформа в ответ на запрос формирует оповещение в привычном формате 3‑D Secure 1, но в качестве URL-адреса вместо ACS будет указан адрес нашего сервиса Proxy 3DS.

Сервер Управления Доступом (ACS) ответственен за управление процессами аутентификации между покупателем и эмитентом и гарантирует проведение платежных транзакций для торговца. Система сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции.

При перенаправлении пользователя на Proxy 3DS возможны два сценария:

• frictionless flow — отображение скрытого для пользователя окна (iframe) и обмен данными с платежным сервером в фоновом режиме. Никаких дополнительных запросов от сайта к платежной платформе нет. Другими словами, Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты.

• challenge flow — перенаправление пользователя на ACS-страницу банка-эмитента для ввода подтверждающей информации (например, одноразового пароля).

Выполняться может как один из этих сценариев, так и два сценария последовательно. Выбор за эмитентом. Если банк-эмитент поддерживает старую версию протокола безопасности (3DS1), платежная платформа имитирует один из отправляемых запросов, чтобы банковская система воспринимала привычную схему аутентификации.

Как перейти на 3-D Secure 2 в одно действие?

Proxy 3DS работает по базовой схеме аутентификации. Сервис поддерживает протокол 3-D Secure 2 на основе предыдущей версии с минимальным количеством доработок, но требует дополнительных перенаправлений пользователя.

Расширенная схема оптимизирована под особенности протокола 3-D Secure 2.0 и исключает промежуточные перенаправления. Однако она предполагает, что торговый сайт уже умеет работать со схемами frictionless и challenge flow.

Для максимально легкого перехода на расширенный вариант сервиса наша команда реализовала обратную совместимость между схемами аутентификации. От системного администратора сайта требуется самостоятельно изменить только один параметр в одном из запросов. Подробности – в нашей документации.

Переход платежных систем и банков по всему миру на новый протокол 3DS2 – вопрос самого ближайшего будущего. Но в условиях, когда не все банки-эмитенты даже в ЕС осуществили этот переход, любой онлайн-бизнес может столкнуться с неожиданным снижением конверсии или частым отказам по транзакциям какого-либо эмитента. Proxy 3DS – оптимальный инструмент для переходного периода в европейской системе безопасности онлайн-платежей.

Клиенты ECOMMPAY, которые интегрируют платежный шлюз через API и используют прямой эквайринг, работают с 3-D Secure 2 через Proxy 3DS. Это избавляет их от многочисленных доработок для поддержки новой версии протокола.

Чтобы узнать, как упростить переход на новый протокол, свяжитесь с нашими экспертами!

3-D Secure (3DS): как работает механизм и почему его использование является важным при приеме платежей через вебсайт?

Сегодняшнюю серию блога о приеме платежей через вебсайт команда Finance Business Service хочет посвятить одному из важных аспектов процесса безопасного эквайринга платежных карт – 3-D Secure. Мы глубоко убеждены, что каждый из нас, кто хотя бы раз в своей жизни совершал оплату товаров и услуг в сети Интернет, уже заочно знаком с этим механизмом. Тем не менее, для лучшего понимая схемы его работы и необходимости практического использования, вашему вниманию предлагается следующий материал. Он будет полезен не только для держателей банковских карт (покупателей), но и для владельцев онлайн-бизнеса.

Что такое 3-D Secure?

3-D Secure (Three-Domain Secure) – это протокол защиты, используемый для авторизации платёжного средства (банковской карты) при совершении CNP-оплаты (Card Not Present Payment) за товары и услуги. Впервые данный механизм был задействован оператором платёжных карт Visa, вследствие чего появилась система безопасности Verified by Visa. Чуть позже этому примеру последовал оператор MasterCard и внедрил свой собственный протокол MasterCard Secure Code. Для того, чтобы понять, гарантирует ли тот или иной вебсайт дополнительный уровень защиты интернет-платежей, необходимо обратить внимание на наличие специальных логотипов операторов Visa и MasterCard на его страницах.

Поскольку технология 3-D Secure является технологией повышенной безопасности, она создает ещё одну ступень аутентификации пользователей для подтверждения онлайн-платежей, осуществляемых при помощи платёжных карт. В свою очередь, это позволяет бизнесу (к примеру, интернет-магазину) и его банку-эквайеру убедиться в том, что операции действительно проводятся держателями карт, а не мошенниками.

Схема работы 3-D Secure

Для того, чтобы понять, как работает 3-D Secure, нужно вспомнить алгоритм действий обычного покупателя, например, при оплате онлайн-заказа на вебсайте.

• В большинстве случаев покупатель формирует свой заказ в «Корзине» и выбирает способ оплаты «Банковской картой Visa или MasterCard», после чего система переправляет его на форму для внесения реквизитов платёжной карты.
• В этой форме обычно требуется внесение следующих данных: номер банковской карты, срок её действия, CVV2/СVC2-код и имя держателя.
• После заполнения платёжных реквизитов, подключается протокол безопасности 3-D Secure, при помощи которого покупателю отправляется SMS-оповещение с уникальным паролем для подтверждения операции. Этот пароль всегда одноразовый и действует достаточно короткий промежуток времени (от 30 секунд до 5 минут). Особенность подобного SMS-оповещения заключается в том, что покупатель получает уведомление на свой мобильный телефон, который привязан к банковской карте, или же в приложении мобильного банкинга, для входа в который также требуется аутентификация паролем, отпечатком пальца (Touch ID) или фейс-сканером (Face ID).
• Корректное и своевременное введение пароля из SMS-оповещения в форме оплаты на вебсайте разрешает банку безопасное списание денежных средств со счёта покупателя.

Стоит отметить, что 3-D Secure авторизация проходит по трём доменам:

• домену банка-эквайера, который обслуживает интернет-магазин;
• домену банка-эмитента, который выпустил платёжную карту покупателя;
• домену платёжной системы.

Отсюда, собственно говоря, и возникло название Three-Domain Secure. Вся передаваемая информация по платежу сохраняется на домене банка-эмитента, а интернет-магазин не имеет к ней никакого доступа. Но интернет-магазин может хранить часть информации по реквизитам банковской карты, если покупатель даёт своё согласие. Обычно это происходит после нажатия кнопки «Запомнить карту» на вебсайте для ускоренного проведения транзакций в дальнейшем.

Необходимость практического использования 3-D Secure

Несмотря на очевидное преимущество 3-D Secure, не все интернет-торговцы и банки поддерживают данную технологию, так как она не является обязательной. Результаты исследований, проводимых в США, показывают, что ввиду применения 3-D Secure аутентификации, количество «брошенных корзин» в онлайн-магазинах существенно возрастает. Это останавливает мошенников на пути осуществления fraud-платежей. Тем не менее очень часто покупатели критикуют рассматриваемый механизм безопасности из-за неудобства и необходимости заполнения дополнительной формы с кодом авторизации.

По нашему мнению, в использовании 3-D Secure видится реальная практическая необходимость, поскольку пароль из SMS-оповещения является своеобразной гарантией надлежащего владения банковской картой. Кроме этого, поддержка стандарта 3-D Secure продавцом (онлайн-магазином) нивелирует его ответственность в случае попытки проведения несанкционированного платежа. Таким образом бизнес перекладывает бремя ответственности на банк-эмитент, который выпустил ту или иную платёжную карту.

Тем не менее механизм 3-D Secure постепенно устаревает. Недобросовестные покупатели (мошенники) приспособились перехватывать SMS-оповещения банков, тем самым получая доступ к чужим кодам аутентификации. В свою очередь, это наталкивает на мысль о том, что существующие протоколы безопасности требуют модернизации.

Block3DS — Использование технологии 3D Secure

Применяется при подключении Продавцом механизма 3-D Secure аутентификации.
Порядок выполнения — аутентификация держателя карты на стороне банка-эмитента и сообщение результатов сервису шлюза.

При получении запроса на блокировку средств шлюз проверяет факт участия карты в 3-D Secure аутентификации.

Если карта Пользователя вовлечена в технологию 3-D Secure, то в ответе так же присутствуют атрибуты ACSUrl, PaReq и ThreeDSKey.

Название	Описание	Формат
ACSUrl	Адрес (URL/URI) сервера аутентификации 3-D Secure	Строка
PaReq	Запрос на аутентификацию 3-D Secure	Строка
ThreeDSKey	Уникальный идентификатор транзакции	Строка

После получения ответа от шлюза Продавец перенаправляет держателя карты на сайт банка-эмитента для дополнительной аутентификации. Для этого используется POST запрос по адресу, указанному в значении атрибута ACSUrl, с параметрами, перечисленными ниже.

Название	Описание	Формат
ACSUrl	Адрес (URL/URI) сервера аутентификации 3-D Secure	Строка
TermUrl	Адрес перенаправления после успешной аутентификации 3-D Secure	Строка
MD	Уникальный идентификатор транзакции	Соответствует параметру ThreeDSKey из ответа на предыдущий запрос
PaReq	Запрос на аутентификацию 3-D Secure	Строка

Пример запроса:

<body onload="document.form.submit()" >
    <form name="form" action="{ACSUrl}" method="post" >
        <input type="hidden" name="TermUrl" value="{TermUrl}" >
        <input type="hidden" name="MD" value="{ThreeDSKey}" >
        <input type="hidden" name="PaReq" value="{PaReq}" >
    </form>
</body>

После прохождения авторизации на сайте банка-эмитента происходит возврат пользователя HTTPS POST запросом по адресу, указанному в значении атрибута TermUrl, с параметрами, указанными ниже.

Название	Описание	Формат
MD	Уникальный идентификатор транзакции	Соответствует переданному в запросе
PaRes	Шифрованная строка, содержащая результаты 3-D Secure аутентификации	Строка

Завершение авторизации производится командой Block3DS.

Название	Описание	Формат	Обязательный
Key	Идентификатор Продавца. Выдается Продавцу с параметрами тестового/боевого доступа	Строка	Да
OrderId	Идентификатор платежа в системе Продавца	Строка (максимум 50 символов)	Да
PaRes	Шифрованная строка, содержащая результаты 3-D Secure аутентификации	Соответствует ответу от ACS	Да

Пример запроса POST:
https://{domain}/Block3DS
Key:TestTerminal
OrderId:TestOrder123
PaRes:JQpr1kEIAQSIEYhdkxiEJOY4esfujenl5b9rPtt2l

Пример реализации запроса в программном коде:
curl -X POST \
https://https://{domain}/Block3DS \
-H ‘Content-Type: application/x-www-form-urlencoded’ \
-d ‘Key=TestTerminal&OrderId=TestOrder123&PaRes=JQpr1kEIAQSIEYhdkxiEJOY4esfujenl5b9rPtt2l’

Название	Описание	Формат
Success	Флаг успешности операции	true/false
OrderId	Идентификатор платежа в системе Продавца	Соответсвует переданному в запросе
Amount	Заблокированная сумма. Передается, если «Success=true»	Соответсвует переданному в запросе
CardUId	Идентификатор карты в системе МАР. Передается в ответе на метод StoreCard3DS	GUID
PANMask	Маскированный номер карты в формате 123456xxxxxx1234. Передается в ответе на метод StoreCard3DS	Строка 13-19 символов
Status	Статус карты. Передается в ответе на метод StoreCard3DS	isActive – карта активна и может быть использована для списаний
AuthCode	Код авторизации. Параметр является опциональным	Строка (максимум 6 символов)
ErrCode	Описание ошибки. Передается пустой, если «Success=true»	см. коды ошибок
CustomParams	Параметр является опциональным. Список дополнительных параметров операции	Соответствует Params, переданному в запросе
fee_percent	Параметр является опциональным. Ставка комиссии за эквайринг, в десятых долях от числа	Число
terminal_id	Параметр является опциональным. Id терминала в системе MAP, по которому фактически выполнена операция	Число

Пример ответа на успешный запрос:
{
«Success»: true,
«OrderId»: «TestOrder123»,
«Amount»: 300,
«ErrCode»: «»
}
Пример ответа на не успешный запрос:
{
«Success»: false,
«OrderId»: «TestOrder123»,
«ErrCode»: «AMOUNT_EXCEED»
}

При одностадийной оплате (в случае использования метода Pay), необходимо вместо метода Block3DS для завершения операции 3-DS использовать метод Pay3DS.

При сохранении карты, вовлеченной в технологию 3-D Secure, для завершения операции, и получения в ответе идентификатора карты, необходимо использовать метод StoreCard3DS.

Параметры запроса, ответа и составы полей методов Pay3DS и StoreCard3DS аналогичны методу Block3DS.

Поменять пароль 3D Secure для карт VISA или SecureCode для карт MasterCard. Заказать выпуск, перевыпуск платежных карт Кыргызкоммерцбанка

Безопасная оплата товаров и услуг в интернете/интернет-магазинах

Уважаемые Клиенты ОАО “Кыргызкоммерцбанк”, ниже Вы можете ознакомиться с особенностями использования паролей для интернет платежей 3D Secure и Secure Code.

В случае возникновения любых вопросов просим обращаться по нашему номеру +996 312 333 000 (доб. 1)

1. Что такое 3D Secure / SecureCode?​
   

   3D Secure или SecureCode – это Ваш собственный пароль, необходимый для безопасного проведения Интернет платежей. При оплате покупки в Интернет-магазине, поддерживающим данную технологию, Вам будет предложено ввести пароль 3D Secure/SecureCode.

   
   

   Данная операция схожа с вводом PIN-кода в банкомате. Таким образом, только Вы сможете воспользоваться картой для оплаты товаров/услуг в Интернете. С технологией 3D Secure/SecureCode оплата покупок в Интернете становится более безопасной.

   
   

   Интернет пароли 3D Secure / Secure Code являются обязательными для платежных карт Visa и MasterCard, выпущенных ОАО «Кыргызкоммерцбанк».

2. Как работает 3D Secure / Secure Code?

   При совершении покупок в Интернете в качестве финального подтверждения платежа Вы будете переадресованы на специальную страницу с формой ввода пароля 3DSecure (если Ваша карта — VISA) или SecureCode (если Ваша карта — MasterCard) с просьбой ввести Ваш секретный пароль.

   
   

   После того, как Вы введете Ваш секретный пароль, система идентифицирует Вас и платеж будет подтвержден.

3. Как установить 3D Secure / Secure Code?

   Внимание: данная инструкция актуальна только для Владельцев карт Кыргызкоммерцбанка, Держателям карт других банков следует обратиться в свой банк-эмитент карты.

   
   

   Установка пароля для интернет платежей очень проста и не займет много времени.

   
   

   • Авторизуйтесь в портале Homebank.kg 

   • Перейдите в раздел Платежные карты

   • Нажмите на значок 3DSecure / SecureCode, который находится под номером Вашей карты

   • Придумайте Ваш собственный пароль и внимательно введите его в соответствующее поле.

   • Повторите ввод пароля в соответствующее поле, придумайте и введите в соответствующее поле уникальное приветствие и нажмите кнопку »Далее»

   • Вы получите SMS код для подтверждения операции на Ваш мобильный номер телефона, введите его в соответствующее поле.

   • В случае корректного ввода SMS кода Вы получите следующее уведомление – «Активация 3DSecure / SecureCode прошла успешно! Безопасность интернет-оплат повышена!»

   • В случае если Вы не получили SMS код, проверьте номер, указанный под текстом – «Мы отправили код на номер», в случае если номер указан корректно нажмите на ссылку «Отправить код повторно».

   • В случае если номер, указанный под текстом – «Мы отправили код на номер», указан не корректно Вам необходимо его заменить на действующий номер. Как поменять / добавить доверенный номер? 

Важно знать!

Попросить ввести вас секретный пароль может только Банк, выпустивший вашу карту.

В строке «Адрес» браузера должен быть указан следующий адрес: https://cardsecure.kkb.kz. На странице обязательно отобразится приветствие, указанное Вами при установке 3DSecure / SecureCode.

Ни в коем случае не вводите пароли на сторонних сайтах.

При возникновении любых вопросов по проведению онлайн-оплат и использования 3D Secure / Secure Code по картам Kyrgyzkommerts просим обращаться:

Бесплатный короткий номер 5000 (для абонентов сотовых операторов MegaCom, Beeline и О!)

+996 (312) 333 000 доб. 1 

 

Что такое 3D-Secure? Как подключить 3D-Secure? – Физические лица

Вопрос

Что такое 3D-Secure? Как подключить 3D-Secure?

Ответ

Технология 3D Secure — это услуга, которая обеспечивает безопасность при осуществлении расчетов в интернете с использованием данных платежных карт. Услуга позволяет проводить дополнительную аутентификацию держателя карты при проведении им платежей в сети интернет на сайтах, поддерживающих данную технологию. 

3D-Secure подключается автоматически и бесплатно не позднее следующего дня после активации карты к картам международных платежных систем Masterсard и Visa. 

Когда вы совершаете расчет в интернете с использованием данных платежной карты, то для ее подтверждения может быть несколько вариантов:

• смс с паролем на номер мобильного телефона. Номер телефона для 3D-Secure такой же, как и для услуги «Альфа-Чек» по вашей карте. Если у вас к разным картам подключен «Альфа-Чек» на разные номера телефонов, то 3D-Secure будет приходить на разные номера телефонов. Если по карте услуга «Альфа-Чек» никогда ранее не подключалась, то пароль будет приходить на  номер мобильного телефона, который вы указывали при оформлении карты;
• аутентификация через цифровой банк Sense SuperApp/мобильный банк Alfa-Mobile. Для этого должны быть выполнены условия:
  — ресурс поддерживает 3DS 2.0;
  — устройство поддерживает Touch ID/Face ID;
  — установлена последняя версия цифрового банка, вы в нем зарегистрированы и настроили вход в приложение по Touch ID/Face ID;
• без дополнительной проверки. На основании ряда различных параметров, банк может принять решение, что операция не рисковая и дополнительная проверка не требуется. Банк не разглашает параметры, по которым проходит проверка из соображений безопасности.

Связанные статьи

Не приходит код для подтверждения операции в интернете

Что такое «Альфа-Чек»?

Изменить номер мобильного телефона через банкомат Альфа-Банка

Что такое LOOKUP CODE и где его смотреть?

Операции в Интернет (3D-Secure) — Банк БелВЭБ

Технология 3D-Secure — современный стандарт обеспечения безопасности при совершении операции оплаты товаров и услуг в сети Интернет. Высокий уровень защиты достигается благодаря проверке банком подлинности карточки и личности ее владельца в режиме реального времени.

При совершении платежа с использованием технологии 3D-Secure после ввода данных карты на сайте интернет-магазина держатель карточки перенаправляется на специальную безопасную страницу банка для дополнительного подтверждения платежа посредством ввода одноразового кода подтверждения операции (КПО). SMS-сообщение, содержащее КПО, формируется для каждой операции и отправляется на зарегистрированный для данной карточки номер мобильного телефона.

Для совершения платежа полученный КПО необходимо ввести в соответствующие поле с учетом регистра.

Номер зарегистрированного мобильного телефона, несколько цифр которого замаскированы символом *, отражается в поле «Персональное приветствие». Если данное поле пустое или содержит только символы *, для данной карточки не зарегистрирован ни один телефон. Для совершения платежа необходимо произвести регистрацию телефона.

Регистрация и изменение номера телефона осуществляется держателем карточки самостоятельно в устройствах системы банковского самообслуживания (СБС) — банкоматы, платежно-справочные терминалы самообслуживания, платежные терминалы самообслуживания, а также посредством услуги «Интернет-Банк». Для регистрации номера телефона в устройствах СБС необходимо последовательно выбрать пункт меню «Другие услуги», затем пункт меню «3D-Secure» и ввести номер мобильного телефона (белорусского либо иностранного оператора электросвязи) в международном формате. В услуге «Интернет-Банк» регистрация номера телефона осуществляется в пункте меню «3D-Secure» раздела «Услуги, сервисы».

Оплатить товары и услуги в сети Интернет с использованием технологии 3D-Secure можно с использованием банковских платежных карточек ОАО «Банк БелВЭБ» международных платежных систем MasterCard (программа SecureCode, сайты обозначены торговым знаком ) и Visa (программа Verified by Visa, сайты обозначены торговым знаком ). Обращаем внимание, что для совершения платежей в сети Интернет может понадобиться трехзначное значение CVC/CVV 2, указанное на обратной стороне карточки. В случае если его на карточке нет, необходимо обратиться по месту ведения счета для переизготовления карточки.

Рекомендуем так же ознакомиться с общими рекомендациями по безопасному использованию банковских платежных карточек.

Соответствие требованиям PCI 3DS

О стандарте

Требования стандарта PCI 3DS Core Security Standard направлены на обеспечение логической и физической безопасности для компонентов ядра EMV® Secure 3-D: ACS, DS и 3DS Server. Подтверждение соответствия требованиям стандарта PCI 3DS необходимо организациям, которые оказывают услуги по предоставлению сервисов ACS, 3DS server или Directory Server.

Оценке соответствия требованиям стандарта PCI 3DS подлежит среда, в которой обеспечивается прием платежей 3-D Secure, а именно информационные системы, выполняющие функции серверов 3DS Access Control Server (ACS), 3DS Directory Server (DS) и 3DS Server (3DSS), а также подключенные к данным серверам системные компоненты.

Мы обладаем статусом 3DS Assessor, который необходим для проведения сертификационных аудитов на соответствие требованиям стандарта PCI 3DS.

По вопросам стоимости и состава работ можете обращаться на почту [email protected].

Варианты оказания услуг

Оценка соответствия требованиям стандарта PCI 3DS

В ходе оказания услуги мы проведем оценку соответствия инфраструктуры, обеспечивающей прием 3-D Secure платежей, всем требованиям стандарта PCI 3DS.

В случае, если проверяемая компания проходит ежегодный аудит на соответствие требованиям стандарта PCI DSS, мы учтем результаты проведения аудита PCI DSS для соответствия требованиям Части 1 стандарта PCI 3DS.

По результатам выполнения проверок мы разработаем отчетные документы в соответствии с шаблонами, установленными PCI SSC, и передадим в платежные системы сведений о прохождении процедуры оценки.

Приведение в соответствие требованиям стандарта PCI 3DS

Услуга включает в себя:

• проведение предварительного аудита соответствия требованиям стандарта PCI 3DS и разработку плана приведения в соответствие;
• консультации по вопросам достижения соответствия требованиям стандарта PCI, а также разработку комплекта нормативных документов, наличие которых необходимо для соответствия требованиям стандарта PCI 3DS;
• подтверждение соответствия инфраструктуры, обеспечивающей прием 3-D Secure платежей, требованиям стандарта PCI 3DS и передачу в платежные системы сведений о статусе соответствия PCI 3DS.

Что такое 3D-Secure (3DS) и почему он так важен для защиты транзакций в Интернете? — PayRetailers

Одна из основных проблем бесконтактных транзакций (Card not present — CNP) с платежными картами (те, в которых нет необходимости вставлять, сдвигать или подносить физическую карту к считывающему устройству) связана с аутентификацией. держателя карты во время совершения транзакции.

В отличие от личных транзакций, при которых владелец требует наличия двух факторов аутентификации (пластик карты и PIN-код, в бесконтактных транзакциях один и тот же фактор аутентификации обычно используется дважды (PAN и CVV2). , оба из которых напечатаны на пластике), чтобы преступник, имеющий доступ к этим данным, имел возможность совершать мошеннические транзакции.

В октябре 2017 года в рамках встречи европейского сообщества PCI, проходившей в Барселоне (Испания), PCI SSC объявил результат многолетней работы: интеграцию стандарта 3D-Secure (3DS) с остальной частью стандарта PCI. Стандарты SSC (PCI 3DS Core Security Standard). Этот стандарт основан на протоколе EMV® 3-D Secure (3DS), и целью этой интеграции является создание сквозной структуры, которая позволяет массово внедрять этот протокол безопасности в средах электронной коммерции (электронной коммерции) и покупок. через мобильные телефоны (м-коммерция).

Что такое 3-D Secure (3DS)?

EMV® Three-Domain Secure (3-D Secure или 3DS) — это протокол обмена сообщениями для защиты от мошенничества, который позволяет потребителям аутентифицироваться у эмитента своей платежной карты во время бесконтактных транзакций (CNP). Это дополнительный уровень безопасности, который помогает предотвратить несанкционированные транзакции в среде электронной коммерции и, в свою очередь, защищает торговлю от мошенничества.

В момент совершения транзакции эмитент карты (то есть банк держателя карты, выпустившего пластик) запрашивает у владельца дополнительные данные аутентификации для CVV2, которые обычно могут быть:

• ПИН-код
• Пароль или ответ на секретный вопрос
• Код координатной карты.
• Код, отправленный по SMS на зарегистрированный мобильный телефон.
• Одноразовый пароль («Одноразовый пароль» — OTP), созданный электронным устройством или приложением, установленным на мобильном телефоне.

Цель состоит в том, чтобы доступ к этим дополнительным данным был только от банка-эмитента, поэтому сделка и любой другой промежуточный объект должны получать только ответ на указанную проверку: одобрено или нет .

Он получил название «Три домена» из-за взаимодействия трех основных участников:

• Домен продавца / эквайера
• Домен эмитента
• Домен взаимодействия (например, платежная система)

Какова сфера применения PCI 3-D Secure (PCI 3DS)?

Новый документ «Базовый стандарт безопасности PCI 3DS», опубликованный PCI SSC, определяет логические и физические требования и процедуры оценки для тех организаций, которые предоставляют или выполняют следующие функции, установленные в документе EMV®3-D Secure Protocol и Спецификация основных функций:

• Сервер 3DS (3DSS): обеспечивает функциональный интерфейс между средой, из которой запрашиваются функции 3DS, и сервером каталогов (DS).
• Сервер каталогов 3DS (DS): управляет списком диапазонов карт, для которых доступна аутентификация, и координирует обмен данными между сервером 3DS (3DSS) и сервером управления доступом (ACS), чтобы определить, какая аутентификация доступна для конкретной карты. номер и тип устройства.
• 3DS Access Control Server (ACS): ACS содержит правила аутентификации и контролируется эмитентом. Проверьте, какой тип аутентификации доступен, и аутентифицируйте конкретную транзакцию.

Таким образом, применимость этого нового стандарта будет связана с теми средами, в которых выполняются функции ACS, DS или 3DSS. Как правило, он предполагает среду 3DS (среда 3DS), которая содержит системные компоненты, участвующие в выполнении транзакций 3DS, а также компоненты, поддерживающие 3DE.

Каково содержание стандарта PCI 3DS Core Security?

Новый стандарт «PCI 3DS Core Security» разделен на две части:

1. Базовые требования безопасности , которые обеспечивают технические и операционные требования безопасности, разработанные для защиты сред, в которых выполняются функции 3DS.Эти требования отражают общие принципы и практики информационной безопасности, общие для множества отраслевых стандартов, и их следует учитывать в любой среде.
2. Требования безопасности 3DS , в которых описаны конкретные меры безопасности для защиты данных от транзакций, технологий и процессов 3DS.

Дополнительно к стандарту прилагаются следующие документы:

• PCI 3DS Data Matrix, который перечисляет элементы транзакции 3DS и описывает ее уровень конфиденциальности и возможность хранения.
• PCI 3DS SDK Security Standard, который определяет требования и процедуры тестирования для пакетов разработки программного обеспечения 3DS («Комплекты разработки программного обеспечения 3DS») в соответствии со спецификациями документа EMV® 3-D Secure-SDK Specification.

3DS? Что это такое и зачем мне это нужно?

3D-Secure — это безопасный протокол, разработанный для обеспечения повышенной безопасности и надежной аутентификации при использовании дебетовых или кредитных карт для покупок в Интернете.В зависимости от типа карты он называется « MasterCard SecureCode », « Verified by Visa » и, в случае карт American Express, « Safekey ». В будущем при совершении транзакции вас могут попросить предоставить специальный код безопасности банку-эмитенту карты, чтобы банк авторизовал онлайн-транзакцию при появлении запроса на странице платежей по кредитной карте. Банки-эмитенты карт используют разные методы создания и доставки этих кодов, поэтому, если вы не знаете свой пароль или пароль 3D-Secure, и вам не предоставляется возможность зарегистрироваться онлайн на всплывающем экране банка, тогда вам понадобится чтобы связаться с вашим банком.

Если вы хотите узнать, будет ли ваша кредитная или дебетовая карта работать на MobileTopup.com, вы можете совершить небольшую тестовую транзакцию на сумму 22,22 бат , используя эту ссылку: https://link.omise.co/FAA34D00

Вы можете пробовать сколько угодно раз, и если ваша транзакция прошла успешно, это означает, что вы можете использовать свою карту на сайте MobileTopup.com. Все успешные транзакции будут периодически возвращаться . Возврат может занять 3-7 дней.

Как это работает?

Аутентификация 3D-Secure — это взаимодействие между банком-эмитентом вашей карты и вами, при котором вас могут попросить ввести специальный код безопасности, чтобы подтвердить, что вы являетесь законным владельцем банковской карты, которую вы либо регистрируете в PayPal, либо используете для сделка.Если код безопасности правильный, вы сможете добавить свою кредитную или дебетовую карту в учетную запись PayPal для будущих транзакций, некоторые из которых могут также предложить вам повторно ввести код доступа или пароль 3D-Secure, хотя это должен быть скорее исключение, чем норма. Если код безопасности неверен и аутентификация 3D-Secure не удалась, вы не сможете использовать карту для финансирования транзакции, пока не завершите запрос пароля 3D-Secure в своем банке.

Когда мне нужно будет вводить этот код? Мне теперь нужно делать это каждый раз?

Наша цель — найти баланс между удобством и безопасностью, поэтому мы добавляем этот дополнительный уровень безопасности в некоторых случаях, чтобы сохранить вашу учетную запись в безопасности.Мы не будем просить об этом каждый раз, и в большинстве случаев вы сможете заплатить, просто введя данные своей кредитной карты.

Сколько попыток разрешено, прежде чем я заблокируюсь?

У вас будет от 3 до 5 попыток для успешной аутентификации карты. Если код, который вы вводите повторно, не работает, вам будет предложено использовать другой финансовый инструмент для совершения платежа, например, с вашего банковского счета или баланса PayPal. Кроме того, если в процессе 3D-Secure вам предоставляется возможность зарегистрировать свою карту или, если вы забыли свой пароль, вы можете щелкнуть эти ссылки, чтобы сделать это.В противном случае вам нужно будет обратиться в свой банк.

Что произойдет, если я не получил свой пароль 3DS, или он отклонен банком / является неверным?

Если вам не предоставляется возможность зарегистрироваться или напомнить пароль во всплывающем окне на странице оплаты, вам необходимо обратиться в свой банк.

Требуется ли 3D-Secure другим поставщикам платежных услуг?

Да, ожидается, что все поставщики платежных услуг (PSP) в ЕС будут поддерживать и применять 3D-Secure к 1 августа 2015 года.

Могу ли я отказаться от ввода кода 3D Secure?

Нет, если вы хотите произвести платеж с помощью кредитной или дебетовой карты.

Не нравится наша справочная статья? Вот статьи справки по 3D-безопасности от Transferwise, Credit Suisse или UBS.

На веб-сайте вашего банка должна быть страница регистрации в 3DS, например:

UBS Bank. Регистрация в 3DS:

Что такое 3-D Secure Authentication и зачем она мне нужна?

Благодаря растущей популярности платформ электронной коммерции, многие транзакции по картам, которые раньше выполнялись лично, теперь можно совершать в Интернете.Возникший в результате рост платежей без предъявления карты (CNP) предлагает большее удобство для тех, кто инициирует транзакцию, и может потребовать меньше от торговцев, которым больше не нужно иметь обычный магазин или нанимать определенных сотрудников для приема платежей. Однако обратная сторона этой цифровой модернизации заключается в том, что она делает случаи мошенничества с платежными картами более распространенными, и их труднее пресекать.

Поскольку карта и владелец карты не участвуют в транзакции CNP, может быть сложно проверить личность лица, производящего платеж, и подтвердить его законность.В то время как считыватели чипов и устройства ввода PIN-кода могут быть развернуты для аутентификации транзакции с предъявлением карты, эти меры безопасности недоступны для транзакций CNP. В результате транзакции CNP должны использовать другие методы аутентификации во время процесса оплаты, которые зависят от канала, через который они принимаются.

Чтобы снизить риск мошенничества, кражи личных данных и других незаконных действий, связанных с этими типами платежей, бренды карт и другие организации ввели дополнительные технологии авторизации.Одним из таких методов обеспечения подлинности платежей CNP является метод авторизации, называемый строгой аутентификацией клиента (SCA). SCA — это стандарт, установленный пересмотренной директивой ЕС о платежных услугах (PSD2), который требует использования формы многофакторной аутентификации (MFA) для успешного завершения транзакции CNP.

Первоначально принятая в 2007 году как Директива о платежных услугах (PSD), PSD2, администрируемая Европейской комиссией, регулирует поставщиков платежных услуг в Европейской экономической зоне.SCA-контроль PSD2 особенно касается использования MFA для защиты клиентов, продавцов и банков от мошеннических транзакций, и обычно это достигается за счет использования технологии, называемой 3-D Secure (3DS).

Что такое 3-D Secure Authentication?

3DS — это протокол безопасности, используемый для аутентификации пользователей. Это обеспечивает дополнительный уровень защиты транзакций с платежными картами в сценариях отсутствия карты. Он был разработан, чтобы позволить держателю карты аутентифицировать свою личность, чтобы предотвратить мошенничество с платежами, заблокировать несанкционированные транзакции и уменьшить количество возвратных платежей.

Из-за требований PSD2 к SCA этот протокол безопасности используется по всей Европе, но он также используется в странах за пределами ЕС, таких как Южная Африка и Индия. Версии протокола были приняты многими брендами карт, включая членов EMVCo — Visa, Mastercard, Discover, American Express, JCB и UnionPay, которые положили начало созданию 3-D Security 2.0 (3DS2).

Компоненты аутентификации 3-D Secure

Идея аутентификации 3DS состоит в том, чтобы обеспечить дополнительный этап процесса финансовой авторизации путем аутентификации держателя карты.Он работает по трехдоменной модели, которая включает:

• Домен эквайера — среда банка-эквайера и продавца, получающего платеж
• Домен эмитента — среда банка-эмитента, по карте которого осуществляется платеж
• Домен взаимодействия — существующие системы, которые поддерживают процесс 3DS, позволяя сторонам транзакции взаимодействовать и обмениваться информацией

Процесс аутентификации 3DS использует протокол Secure Sockets Layer (SSL) для отправки сообщений на расширяемом языке разметки (XML) с аутентификацией клиента, предоставляя цифровые сертификаты для подтверждения личности всех сторон, участвующих в транзакции.Это обеспечивает максимальную безопасность.

Как работает 3-D Secure 2.0

Представленная в 2015 году последняя версия этого протокола способствует менее навязчивому процессу аутентификации, чтобы уменьшить количество отказов от корзины, которое происходило во время первоначальной 3DS, когда пользователи перенаправлялись на веб-сайт банка-эмитента для аутентификации транзакций.

Теперь продавцы должны отправлять данные аутентификации вместе с информацией о платежной карте для проверки подлинности транзакции.Этот процесс происходит незаметно для пользователя и проверяет подлинность платежа, если только эмитент не найдет причины сомневаться в законности транзакции.

Если транзакция помечается из-за подозрительного поведения или неизвестного устройства, пользователь теперь может получить текстовое сообщение или код подтверждения через приложение, чтобы подтвердить свою личность, вместо того, чтобы быть перенаправленным на веб-сайт банка для ввода пароля, связанного с карта. В результате для пользователя будет гораздо меньше неприятностей.

Интеграция 3-D Secure и других надежных протоколов аутентификации клиентов

В соответствии со Статьей 97 (1) PSD2, SCA требуется в случаях, когда клиент «получает доступ к своему платежному счету онлайн», «инициирует транзакцию электронного платежа» или «выполняет какие-либо действия через удаленный канал, которые могут подразумевать риск. мошенничества с платежами или других злоупотреблений ». Это включает почти все формы электронной коммерции, а это означает, что SCA требуется для многих организаций, ведущих бизнес в ЕС и Европейской экономической зоне (ЕЭЗ).Поэтому, если у вас есть электронная коммерция в ЕС, вам, вероятно, понадобится 3DS или аналогичная технология аутентификации.

Поскольку 3DS часто используется для выполнения этого обязательства, поставщикам важно поддерживать 3DS и другие методы SCA. Платформа облачной безопасности TokenEx может интегрироваться с любым методом SCA, а также с любой третьей стороной или конечной точкой для максимальной гибкости и соответствия требованиям. Узнайте больше о наших платежных решениях и гибкой интеграции, запросив демонстрацию или связавшись с нами по адресу info @ tokenex.com.

ПОЛУЧИТЕ БЕСПЛАТНУЮ ЭЛЕКТРОННУЮ КНИГУ СЕГОДНЯ, ЧТОБЫ УЗНАТЬ, КАК ТОКЕНИЗАЦИЯ МОЖЕТ УМЕНЬШИТЬ ОБЪЕМ СООТВЕТСТВИЯ PCI.

Как 3DS 2.0 повысит качество платежей

Покупки в Интернете становятся все более привычкой для большинства бразильских потребителей с каждым днем. По данным Бразильской ассоциации электронной торговли (ABComm), с 150 миллионами интернет-пользователей Бразилия является крупнейшим рынком электронной коммерции в Латинской Америке, который, по прогнозам, к 2020 году достигнет 106 миллиардов реалов.

Поскольку электронная торговля продолжает расти не только в Бразилии, но и во всем мире, повышение безопасности платежей является постоянной проблемой на рынке. Протокол 3D Secure 2.0 — или 3DS 2.0 — обеспечивает более безопасные транзакции в дополнение к более гибкой и удобной оплате.

Что такое 3DS 2.0?

3D Secure 2.0 — это новый протокол аутентификации, разработанный для уменьшения числа случаев мошенничества без снижения показателей конверсии бизнеса электронной коммерции. Это улучшенная версия из 3DS 1.0 обеспечивает более безопасную и гибкую процедуру оплаты транзакций с использованием аутентифицированных карт.

Хотя это и не является обязательным, 3DS 1.0 была полезной — и необходимой — функцией для продавцов, которым необходимо избегать риска мошеннических возвратных платежей. Для транзакций, обрабатываемых с помощью 3DS, ответственность за возвратный платеж перекладывается с продавца на банк-эмитент карты, так называемый сдвиг ответственности.

Однако старый протокол часто вызывает дополнительные затруднения в процессе оплаты, поскольку покупатель перенаправляется на веб-страницу учреждения, выпустившего карту, для подтверждения транзакции, что значительно снижает коэффициент конверсии предприятий электронной торговли.С помощью 3DS 2.0 теперь можно аутентифицировать транзакцию в автоматическом режиме, без взаимодействия с покупателем. Тихая аутентификация происходит в фоновом режиме, не требуя от покупателя каких-либо дополнительных шагов проверки. Другими словами, пользовательский опыт так же прост, как и транзакция без аутентификации.

В транзакциях 3D Secure 2.0 десятки переменных проверяются в фоновом режиме, чтобы проверить, является ли платеж законным, и определить, может ли аутентификация проходить без вывода сообщений.Если системы банка-эмитента карты решат, что предоставленной информации достаточно для автоматической аутентификации, транзакция может быть авторизована без каких-либо дальнейших действий. Но если банку не комфортно, они могут попросить клиента аутентифицировать себя с помощью запроса на вызов (в большинстве случаев с помощью SMS или токена одноразового пароля). Затем покупателя просят ввести проверочный код в поле, отображаемое на веб-странице магазина, а не на странице банка.

Что такое 3DS 2.0 преимуществ?

С 3DS 2.0 клиенты могут наслаждаться более плавным процессом оплаты как на настольных, так и на мобильных устройствах. Узнайте о преимуществах нового протокола для продавцов и покупателей!

Сниженное трение при оплате

Протокол 3DS 2.0 уменьшает трение или даже устраняет его, когда от покупателя не требуется подтверждать транзакцию. Это значительно снижает процент отказа от корзины из-за избежания сложности оформления заказа.

Увеличение транзакций по дебетовым картам

С уменьшением трения при оплате, 3DS 2.0 также увеличит количество транзакций по дебетовым картам в бразильской электронной торговле. Это особенно актуально для продавцов в Бразилии, где платежи по дебетовым картам составляют 35% всех платежей по картам по стоимости и до сих пор всегда требовали аутентификации 3DS 1.0.

Более высокие коэффициенты конверсии

С меньшим количеством препятствий в потоке платежей продавцы могут получить выгоду от более высоких коэффициентов конверсии. Некоторые категории товаров, такие как электроника и бытовая техника, сопряжены с высоким риском мошенничества, что означает, что покупка по кредитной карте без аутентификации во многих случаях практически невозможна. С помощью 3DS 2.0 продавцы могут продавать эти продукты через Интернет клиентам, которые ранее не могли совершить покупку, и увеличить свои продажи, не столкнувшись с большими потерями из-за мошенничества.

Потребители не только становятся более уверенными в совершении покупки, когда они не перенаправлены, но и создание положительных впечатлений от покупок для пользователей дебетовых карт также позволяет продавцам обращаться к потребителям, у которых нет кредитной карты, что в Бразилии представляет собой значительное количество, так как в стране более 100 миллионов активных дебетовых карт.

Протокол аутентификации 3DS 2.0 уже доступен для клиентов PagBrasil. Увеличьте коэффициент конверсии электронной торговли с помощью более плавных и безопасных транзакций! Свяжитесь с нашей командой и узнайте больше.

3D Secure Authentication (3DS) | Совет по торговым рискам

---

Парул Шарма, старший директор LexisNexis Risk Solutions

Максимизация защиты и конверсии в это беспрецедентное время неопределенности

Per Due Inc. ¹ , прогнозировалось, что к 2020 году объем продаж электронной коммерции достигнет 632 миллиардов долларов, что усилит стимулы онлайн-мошенников к инновациям своей тактики. ¹ Поскольку люди продолжают оставаться дома и больше транзакций на цифровом уровне во время изоляции, мы ожидаем, что прогнозируемые цифры будут и дальше расти.

Логично ожидать появления новых цифровых идентификаторов, а также увеличения объема транзакций для существующих цифровых идентификаторов. Это создает больше возможностей для мошенников влиться в новые тенденции.Если не будут приняты дополнительные меры, прогнозируется, что убытки от мошенничества с CNP банками и другими торговыми предприятиями в США могут составить более 12 миллиардов долларов к 2020 году. мошенники в страхе. В этой статье мы узнаем больше о рабочих процессах, основанных на оценке риска, с 3DS или без нее.

Что такое 3DS?

3DS или 3D-Secure — это безопасный протокол, разработанный для обеспечения повышенной безопасности и более строгой аутентификации для клиентов, когда они используют свои дебетовые или кредитные карты для покупок в Интернете.

Преимущества для продавцов включают снижение риска мошенничества и перенос ответственности за мошенничество с продавца на эмитента. Версия 1 протокола 3DS была разработана в 1999 году, и по мере развития технологий недостатки протокола стали очевидными. 3DS 2.x был разработан для устранения недостатков 1.x и содержит разработки, которые включают дополнительные контекстуализированные данные (более 100 полей), которые могут быть предоставлены продавцом эмитенту, согласованность в способе представления экранов аутентификации покупателю, удобные для мобильных устройств варианты, а также возможность для специализированных сторонних поставщиков устройств и поставщиков цифровых идентификационных данных обогатить процесс принятия решений о рисках — лучше выявлять верных, вернувшихся клиентов, обеспечивая повышенную защиту от мошенничества.

Соответствует ли 3DS SCA?

PSD2 требует соблюдения принципов строгой аутентификации клиентов. PSD2 еще не применяется, но когда-нибудь будет, и мы должны быть готовы.

Для успешной транзакции требуется сочетание как минимум двух из следующих факторов аутентификации:

• Что-то, что знает клиент: OTP (одноразовый пароль), SMS-код, PIN-код, пароль, секретный вопрос и т. Д.
• Что-то, что принадлежит клиенту: мобильное устройство, носимое устройство и т. Д.
• Что-то, что является клиентом: биометрические данные, такие как отпечаток пальца, сканирование радужной оболочки глаза, распознавание лица или голоса.

При этом 3DS предоставляет механизм для SCA, который будет выполняться во время платежного процесса электронной коммерции — сама аутентификация не через 3DS, но ее взаимодействие в процессе оплаты позволяет выполнять действия аутентификации.

Как выглядит клиентский опыт с поддержкой 3DS?

Риск транзакции оценивается поставщиком услуг 3D Secure эмитента кредитной или дебетовой карты.3DS используется для аутентификации события онлайн-платежа. Если транзакция определяется как высокорисковая, транзакция проходит проверку или отклоняется.

Другими словами, он предлагает держателю карты подтвердить свою личность, используя один из трех факторов аутентификации, выбранных поставщиком 3DS. Если транзакция считается малорисковой, никаких дальнейших действий со стороны держателя карты не требуется. После аутентификации транзакция отправляется для окончательной авторизации и утверждения.

Есть ли у продавцов выбор в США?

Торговцы борются между трением и конверсией, и поскольку 3DS действительно создает некоторое трение, некоторые торговцы не предпочитают протокол безопасности 3DS.

Если они не используют 3DS, они берут на себя ответственность и контролируют уровень риска, который они готовы принять, в соответствии с риском продавца и аппетитом потребителей. Если они решат внедрить 3DS, ответственность за мошенничество перекладывается с продавцов на эмитентов карт, но они несут расходы в результате проталкивания транзакций через 3DS. Да, они платят за такой уровень безопасности, но они также знают, что не будут нести никаких потерь от мошенничества или дополнительных эксплуатационных расходов для управления возвратными платежами.Это также означает, что торговцы будут оставлять деньги на столе и больше не будут контролировать уровень риска, который они готовы взять на себя.

Как продавцы обеспечивают эффективный баланс между мошенничеством, трением и аутентификацией клиентов?

Независимо от того, внедряют ли продавцы 3DS или нет, для них важно оценить рабочие процессы, основанные на оценке рисков, по этим двум причинам:

1. Если продавец поддерживает 3DS, на онлайн-мероприятии проводится оценка рисков, и 3DS позволяет продавцам и эмитенты карт должны принять информированное решение о рисках
2. Если продавец не поддерживает 3DS, ему нужны рабочие процессы, основанные на оценке рисков, еще больше, чтобы снизить потери от мошенничества и операционные расходы.

Что следует искать в стороннем решении при оценке рабочих процессов?
Идея использования стороннего решения заключается в снижении ответственности, такой как потери от мошенничества и операционные убытки. Продавцы должны обратить внимание на следующие характеристики в решении:

• Атрибуты, связанные с устройством и цифровой идентификацией : Применяются ли продавцом напрямую как часть их собственной оценки рисков или через 3DS как часть эмитента карты, устройства оценки рисков и Анализ цифровой идентичности может предоставить совершенно новый набор данных о компонентах.
• Принятие решений : Продавцы должны использовать глубокую и обширную информацию для оценки риска — будь то вся информация, которой располагает продавец (включая такие данные, как адрес доставки, активность веб-страницы и т. Д.)) или расширенный объем данных, передаваемых эмитенту карты через 3DS. Для получения дополнительной информации продавцы могут подняться еще на один уровень и использовать данные своих коллег, используя существующие консорциумы.

  Когда дело доходит до принятия решений, важнее всего скорость и точность. Использование большего количества данных, как упомянуто выше, может повысить точность. Чтобы обеспечить скорость, продавцы могут использовать модели машинного обучения, возможности пассивной аутентификации, такие как поведенческая биометрия, и флагманские модели.

• Простота развертывания : возможность развертывания нескольких типов клиентских циклов на основе оценки риска может создать дополнительный уровень защиты от мошенничества.Это также обеспечит направление пользователя по соответствующему пути на основе этого результата и позволит продавцам и / или эмитентам карт найти эффективный баланс между мошенничеством и трениями.

Подводя итог, можно сказать, что рабочие процессы, основанные на рисках, могут повысить ценность аутентификации как на основе 3DS, так и без нее. Для аутентификации 3DS подход, основанный на оценке риска, поможет продавцам завоевать доверие эмитентов кредитных и дебетовых карт. Если эмитент доверяет рабочим процессам, реализованным продавцом, он будет менее консервативным и будет принимать больше транзакций. Для аутентификации, не основанной на 3DS, рабочие процессы, основанные на оценке риска, становятся еще более важными, потому что это может помочь продавцам максимизировать защиту и конверсию.

¹ Due Inc .: https://due.com/blog/addressing-rising-payment-fraud-rates-us/

² Forbes: https://www.forbes.com / sites / rogeraitken / 2016/10/26 / us-card-fraud-loss-might-превосходит-12 млрд-к 2020/

Что нужно знать о 3DS

Что такое 3DS?

3D Secure (3DS) — стандарт оплаты

3DS (3D Secure) — это платежный стандарт для надежной аутентификации клиентов (например,грамм. 2-факторная аутентификация). Он предоставляет программный протокол для банка-эмитента, чтобы подтвердить, что пользователь, совершающий покупку, действительно является тем, кем он себя называет.

Сеть карт Решения

Каждая карточная сеть имеет собственное фирменное решение 3DS.

• Visa Secure (Проверено FKA Visa)
• Mastercard SecureCode / Проверка личности
• American Express SafeKey
• Откройте для себя ProtectКупите
• Diners Club ProtectКупить
• JCB J / Secure

Версии 3DS

3DS версия 1.0

• Первая версия 3DS датируется 2001 годом
• Отсутствует возможность обтекания без трения
• Многие банки заставляли клиентов создавать и запоминать статические пароли
• Высокий процент отказа от карт

3DS версии 2.0 (и выше)

• Обеспечивает поток без трения, как определено банком-эмитентом
• Многие другие элементы данных могут быть отправлены в банк, чтобы повлиять на решение
• Не требует перенаправления на всю страницу
• Разрешает внеполосную аутентификацию (т. е.е. ваше банковское приложение)

Влияет ли на меня 3DS?

Торговец, ведущий бизнес в Европейской экономической зоне, должен поддерживать 3DS к крайнему сроку, если:

• Продавец находится в ЕЭЗ, а их эквайер — в ЕЭЗ
• Продавец НЕ находится в ЕЭЗ, но эквайер НАХОДИТСЯ в ЕЭЗ

Если вы являетесь продавцом из ЕЭЗ и у вас есть эквайер также в ЕЭЗ, вы подпадаете под крайний срок ЕЭЗ 31 декабря 2020 г.

Если вы являетесь продавцом, ведущим бизнес исключительно в Великобритании и не ведете бизнес в ЕЭЗ, вы подпадаете под крайний срок в Великобритании — 14 сентября 2020 года.

Сдвиг ответственности

• 3DS может переложить ответственность за возврат платежа с продавца на банк-эмитент.
• Карточные сети могут начать отклонять несоответствующие транзакции в какой-то момент в будущем
• Включение дополнительных данных, поддерживающих 3DS, может увеличить коэффициент отсутствия трения

Для Visa и Mastercard, 3DS может привести к 5 сценариям: аутентификация успешна, попытка аутентификации, аутентификация не удалась, аутентификация недоступна и ошибка

Сдвиг ответственности происходит только в том случае, если аутентификация прошла успешно, после чего следует возвратный платеж .В случае сбоя аутентификации, возникает ошибка или если аутентификация недоступна, ответственность за возврат платежа остается за продавцом

.

ПРИМЕЧАНИЕ: 3DS применяется только к транзакциям в реальном времени, либо к разовым транзакциям, либо к начальной транзакции подписки, либо к транзакции проверки способа оплаты

3DS не применяется к повторяющимся транзакциям и не применяется к Vindicia Retain

.

Службы аутентификации

Большинство современных платежных систем изначально поддерживают аутентификацию 3DS. Детали реализации могут немного отличаться, но большинство из них теперь следуют спецификации EMV 3D Secure.

Некоторые устаревшие платформы, такие как Paymentech Stratus, не имеют встроенной поддержки 3DS, поэтому продавцам потребуется использовать стороннего поставщика аутентификации, например Cardinal Commerce

.

Для Vindicia наша реализация использует комбинацию поддержки Cardinal Commerce или собственных процессоров, в зависимости от данного платежного процессора.

Методы аутентификации клиентов

Наиболее распространенными методами аутентификации являются одноразовые коды доступа (OTP), доставляемые по SMS или электронной почте.Другие варианты включают:

• Биометрические данные — отпечатки пальцев, распознавание лиц
• Стороннее приложение (т.е. войдите в свое банковское приложение для проверки)

Исключения для 3DS

Вы освобождены от 3DS?

Спецификация 3DS допускает исключения, которые могут позволить транзакции обойти проблему, обеспечивая беспрепятственную покупку. Некоторые возможные исключения:

• Операции на небольшую сумму (т.е. до 30 евро)
• Повторяющиеся транзакции
• Надежный продавец

Но…

Освобожденные операции не перекладывают ответственность

• 3DS 2.0 включает снижение рисков путем добавления новых данных для эмитента, что делает запрос освобождения менее привлекательным для продавца.
• Маркеры транзакций, инициированных продавцом, могут заменить «повторяющееся» исключение
• Как и в случае с другими решениями эмитента, предоставление освобождения по запросу определяется банком-эмитентом на основе его собственных внутренних руководящих принципов.

Что такое 3DS (3 Domain Secure)?

3-D Secure (3 Domian Secure) — это дополнительный уровень безопасности, гарантирующий, что каждая транзакция, совершаемая с помощью вашей карты, авторизована вами.Это сделано для уменьшения мошенничества при транзакциях без предъявления карты (CNP). Эта дополнительная безопасность была инициирована и создана Visa и MasterCard, и она имеет маркировку «Verified by Visa» и «MasterCard SecureCode» соответственно.

Что такое транзакции CNP?

Операции без предъявления карты — это платежи по карте, которые совершаются там, где владелец карты не может или не может физически предъявить карту в точке платежа. Этот тип транзакций обычно осуществляется через Интернет.

Дебетовую карту легко потерять или данные на ней могут быть скомпрометированы. Точно так же, если ваш компьютер или мобильный телефон утерян или украден, и если какое-либо из этих устройств хранит данные вашей карты, вы можете быть разоблачены. Здесь на помощь приходит 3-D Secure, это дополнительный уровень безопасности, который может предотвратить мошенническое использование вашей карты. Чтобы авторизовать транзакцию через 3-D Secure, вам потребуется предоставить личную информацию, которую должен знать только вы, (владелец карты) . Это означает, что вы единственный человек, который может авторизовать транзакции с вашей картой, за исключением того, что эта личная информация каким-то образом скомпрометирована.

В процессе 3-D Secure участвуют три стороны:

• Платежный шлюз — Seerbit.
• Сеть карт — Visa, MasterCard или Verve.
• Банк-эмитент — Банк клиента, выпустивший карту.

3-D Secure также важен для владельца бизнеса

Наличие 3-D Secure в транзакциях Seerbit означает, что владелец бизнеса снижает ответственность. Это связано с тем, что подтвержденные транзакции лучше защищены от возвратных платежей.Это увеличивает вероятность того, что эта транзакция была авторизована владельцем карты, и даже если это не так, ваш бизнес может не понести убытки после того, как вы предоставили стоимость.

Существуют ли ограничения для 3-D Secure?

3-D Secure — проверенная технология борьбы с мошенничеством. Но это не означает, что владельцы бизнеса не могут избежать наказания за мошенничество. Например, 3-D Secure не может контролировать, предлагает ли владелец бизнеса адекватную ценность для клиента за совершенный им платеж.Если как клиент вы получили то, за что заплатили, или вы очень недовольны тем, что получили, вы можете подать отзыв в своем банке.

Увеличит ли это количество неудачных транзакций?

Не обязательно. Цель 3-D Secure — добавить дополнительный уровень безопасности для держателя карты, чтобы не повлиять на показатели успеха. Однако, если карта не активирована для 3-D Secure или произошла ошибка в процессе аутентификации, транзакция не состоится.

Что делать, если мне не нужна 3-D Secure, могу ли я отключить 3-D Secure?

Аутентификация 3-D Secure для онлайн-транзакций является требованием Центрального банка Нигерии и Центрального банка Ганы, чтобы банки и платежные системы соблюдали правила.

Как активировать мою учетную запись для 3-D Secure?

Эмитенты карт (например, ваш банк) в значительной степени обновили свои системы, чтобы зарегистрировать своих клиентов в 3-D Secure. Кроме того, большинство карт автоматически подписываются на 3-D Secure. Если ваша карта MasterCard или Visa не поддерживает 3-D Secure, обратитесь в свой банк. Они могут активировать вашу карту, и вы получите PIN-код, который позволит вам совершать транзакции где угодно.

.

No related posts.