Ошибка 3 d secure авторизации: Почему карта не проходит 3DS аутентификацию

17.10.2018 alexxlab Comments 0 Comment

Содержание

Почему карта не проходит 3DS аутентификацию

Часто при покупках онлайн жизнь покупателю омрачают разные технические заморочки. Одна из частых ситуаций — сбои в обработке платежей с пластиковых карт, в частности статус «Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой». Например, такая ошибка частенько выскакивает при оплате на Авито.

Рассмотрим возможные причины такого отказа.

3Ds аутентификация — то же самое, что и 3-D Secure

Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.

От обычной оплаты в «один клик» 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг — ввод кода на специальной странице вашего банка, который выпустил карту.

3D Secure — это когда при оплате в интернете Вам приходит SMS от Вашего банка, и Вы вводите полученный код в специальном окне.

Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в СМС или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).

Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).

Банковские карты без проблем 3DS:

Карта Восточный Банк

Онлайн-заявка
Доставка курьером
Современная бакновская карта

Карта Тинькофф Банк

Доставка курьером
Онлайн оформление
Без проблем с 3ds авторизацией

Карта Банк Открытие

Кэшбэк на покупки и топливо
Бесплатная доставка
Без проблем с 3-ds авторизацией

Включение 3-D- secure

Самых частых причин, по которым карта не проходит и появляется статус «карта не прошла 3D-аутентификацию, либо отклонена платежной системой», всего три:

Банальная — на карте недостаточно средств
Тоже распространенная — для вашей карты не активирована услуга «3ds-авторизация»
И третья причина — неправильной пароль для этапа 3ds-authentication
Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно — вход в интернет-банк и т.д.

Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля — еще раз вводит пароль для интернет-банка.
Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:

зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)

Если же решение не найдено — стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.

11070: ошибка аутентификации 3dsecure

Для повышения безопасности держателя карты при проведении Card-not-present операций (то есть операций, без присутствия карты), платежными системами был внедрен особый механизм. Verified-by-Visa и MasterCard SecureCode — это его варианты от разных платежных систем, общее же название звучит как 3D Secure. Принцип действия для держателя карты не сложен: вы проводите оплату товара или услуги, подтверждаете чек и перенаправляетесь на страничку вашего банка, где необходимо ввести дополнительный код. Код обычно высылается на мобильный телефон. Если код введен верно – платеж подтвержден, оплата проведена.

Стоит ввести неверный код подтверждения транзакции — система запретит операцию и выдаст сообщение: «11070: ошибка аутентификации 3D Secure».
Читайте также: Как отменить операцию по банковской карте.

Что значит “ошибка аутентификации»?

Если вы получили отказ в проведении операции в таком виде, это всегда означает, что на каком-то этапе вы неверно ввели данные. Конечно, можно с уверенностью утверждать, что сверка данных проводилась многократно и «все равно…». Технология 3d secure, безусловно, может давать сбои в работе: например, отсутствие возможности связаться с сервером банка-эмитента (выпустившего вашу карту) либо банка-эквайера (банка, через который работает магазин). Но каждый сбой в работе системы имеет свой собственный код. И код 11070 означает именно ошибку при вводе кода подтверждения операции.

Почему она вообще появилась?

Причин по которым можно ошибиться, немало. Можно неправильно прочитать сообщение с кодом подтверждения. Бывает, что мельком пробежав СМС, в котором написано «Operaciya na summu 8808R. Kod podtverzhdeniya 8838», вместо тройки вводится восьмерка. А в результате – ошибка аутентификации 3d secure и отказ в оплате.

Еще одна распространенная причина неверного введения кода 3ds заложена в следующем. Дело в том, что для обеспечения безопасности, срок жизни пароля не превышает 5 минут. После того, как код просрочен, можно запросить его повторно. Конечно же, значение будет другим, это требование безопасности. Но не всегда СМС доходит вовремя. Получается, что банк запросил подтверждение, а СМС не дошла. Держатель карты запрашивает код повторно. В этот момент приходит первое сообщение. Клиент вводит код, указанный в нем, нажимает кнопку и… на экране «11070: ошибка аутентификации 3d secure», а на телефоне издевательски мигает значок нового СМС сообщения с актуальным паролем.

Нередко впервые оплачивая что-либо с использованием Verified-by-Visa или MasterCard SecureCode, держатель сталкивается с ситуацией, когда затруднительно выделить именно код. Например, вернемся к сообщению, показанному выше: «Operaciya na summu 8808R. Kod podtverzhdeniya 8838RC». Пароль здесь – это четыре цифры 8838. Но частенько по неопытности люди вводят 8838RC. Результат, конечно же, очевиден.

И это далеко не все возможные способы добиться ошибки. Люди вводят свой ПИН-код вместо 3DS кода, коды от другой операции или карты, просто произвольные числа…

Все это происходит от невнимательности, непонимания, как работает технология и, как это ни странно, просто надежды «авось получится».

Что делать при ошибке?

Если вы столкнулись с отказом в оплате по одной из трех вышеописанных причин, не пугайтесь. Ваша карта не заблокируется (для этой причины отказа есть свое сообщение), деньги не списались и ничего не пропало. Придется еще раз пройти процедуру оформления покупки и на этот раз, ввести нужные аутентификационные данные внимательно.

Если код подтверждения 3D Secure приходит в СМС-сообщении – проверьте сумму, последние 4 цифры номера карты, время получения сообщения и, если все верно, вводите цифры.
Если банк выдал вам специальную карту, в которой указаны соответствующие пароли – проверьте внимательно, не использовали ли вы вводимый код ранее.
Если 3ds код выдается банком единожды – проверьте, соответствует ли полученный код карте, с которой вы совершаете оплату.
Не вводите свой ПИН-код, он предназначен не для этого.
Если у вас не приходит сообщение с кодом (или вам не выдали единый код, предусмотренный банком-эмитентом) – просто переверните карту и позвоните по телефону службы поддержки. Оператор проконсультирует вас о том, как решить возникшую проблему. Или обратитесь в свой банк, это тоже поможет.

Как это видит магазин.

Напоследок, приведем ошибки протокола 3D Secure, с точки зрения магазина. Практически каждая из них в качестве сообщения на платежной странице показывает следующее: «Операция отклонена. Обратитесь в банк, выпустивший карту/Payment declined. Please, contact with your bank». Полный список ошибок довольно объемный, поэтому мы ограничимся лишь некоторыми:

ID ошибки	Сообщение	Описание ошибки
-20010	BLOCKED_BY_LIMIT	Транзакция отклонена по причине того, что размер платежа превысил установленные лимиты Банком-эмитентом
-2016	Declined. VeRes status is unknown	Банк-эмитент не смог определить, является ли карта 3dsecure.
-2012	Operation not supported	Данная операция не поддерживается.
-2011	Declined. PaRes status is unknown	Банк-эмитент не смог провести авторизацию 3dsecure-карты.
2007	Decline. Payment time limit	Истек срок, отведенный на ввод данных карты с момента регистрации платежа (таймаут по умолчанию — 20 минут; продолжительность сессии может быть указана при регистрации заказа; если у мерчанта установлена привилегия «Нестандартная продолжительность сессии», то берётся период, указанный в настройках мерчанта).
2006	Decline. 3DSec decline	Эмитент отклонил аутентификацию (3DS авторизация не пройдена).
2005	Decline. 3DSec sign error	Ошибка подписи эмитента.
100	Decline. Card declined	Ограничение по карте (Банк эмитент запретил интернет транзакции по картe).
910	Decline. Host not avail.	Банк-эмитент недоступен.
999	Declined by fraud	Отсутствует начало авторизации транзакции. Отклонено по фроду (система банка-эмитента для предотвращения мошенничеких операций) или ошибка 3dsec.
2003	Decline. SSL restricted	SSL (Не 3d-Secure/SecureCode) транзакции запрещены Магазину.
2005	3DS rule failed	Платеж не соотвествует условиям правила проверки по 3ds.
2014	Ошибка выполнения 3DS-правила	Ошибка выполнения 3DS-правила.
2016	TDS_FORBIDDEN	Мерчант (торговая точка) не имеет разрешения на 3-D Secure, необходимое для проведения платежа.
1017	Decline. 3DSec comm error	3-D Secure — ошибка связи.

Автор статьи

Эксперт по финансам. Более 5 лет работал в крупных банках РФ. Отлично разбираюсь в кредитах, микрозаймам и во всем, что с этим связано. Консультирую по поводу кредитного мошенничества в Интернет. По всем вопросам пишите в телеграм канал @nuzhen_kredit или на почту [email protected]

Написано статей

Полезное по теме

За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор

Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.

О неправильном CVV: а был ли код?

Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?

CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции.

Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты.

Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.

Валидация CVV/CVC обязательна?

Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.

Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?

От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.

Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.

Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает.

Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?

Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.

Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.

А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?

Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.

Альфа Банк Ошибка Функциональности 3d Secure Повторите Перевод

Что делать, если не удаетя оплатить банковской картой в Интернет-магазине

Немногие знают, что при оплате картой система обычно выдает код ошибки. Например, E00 при оплате. Иногда по ошибке можно понять, в чем проблема

Таблица с кодами ошибок при оплате.

Сейчас век цифровых технологий. Трудно встретить человека, у которого бы не было банковской карты. Они бывают разные — разных платежных систем, кредитные и дебетовые, доходные, чипованные и нет.
Оплата банковской картой через интернет — эту услугу сейчас предлагает практически любой интернет магазин. Вы можете например купить билет на поезд, оплатив банковской картой, сделать покупку на ozon.ru.

Я был в замешательстве, не знал что делать. Сначала я думал, что это проблема магазина. Но сначала я все таки позвонил в банк. В моем случае это был Промсвязьбанк и карта Доходная.
Позвонив в поддержку Промсвязьбанка, мне предложили сначала пройти процедуру аутентификации Основные причины ошибок при оплате банковской картой Вторая причина — на строне платежной системы. Например, терминал оплаты РЖД не позволяет платить картами MasterCard. Можно использовать только карты Visa.
Заданный магазин может не поддерживать данный способ оплаты. К примеру, робокасса, которую подключают к множеству магазинов предлагает различные тарифы для оплаты. Я сначала хотел оплатить вебмани, однако я позвонил в магазин. Оказалось, оплатить вебмани нельзя. У них не подключена эта опция. Хотя способ оплаты через вебмани предлагается на странице оплаты.

Самая частая ошибка 11070: ошибка аутентификации 3dsecure — причины

Первая причина , которая является самой распространенной — отсутствие нужной суммы на карте. Рекомендуется проверить ваш баланс — для этого нужно позвонить в банк или войти в интернет банк. Иногда по карте устанавливают ежемесячный или ежедневный лимит трат. Чтоб это проверить — нужно позвонить в банк.
Эта причина может быть не ясна сразу — при отказе в оплате может не отображаться ваш баланс. Ошибка аутентификации 3D secure может быть также связана с неверным вводом реквизитов карты на предыдущем шаге. В таком случае просто повторите платеж и укажите правильные данные.

Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой — что это значит

Подключение занимает не более 1-2 суток. Услуга 3DS аутентификации в большинстве случаев платная, но есть банки, предлагающие бесплатное подключение.

Как исправить?

3DS аутентификация – специальный защитный протокол пользователей, путем ввода двухфакторной авторизации. Главное назначение разработанной технологии – повысить безопасность проведения сделки, снизить вероятность использования карты без ведома владельца путем дополнительного этапа подтверждения. Первой платежной системой, которая начала использовать эту функцию, является VISA, а остальные, оценив надежность технологии, подключили ее позднее.
Торговля через интернет становится все более популярной, как и инструменты онлайн платежей. Созданные механизмы обеспечивают надежность и безопасность проведения финансовых операций, но и в них возможны сбои. Все чаще при онлайн оплате пользователи получают сообщение «Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой». Сбой возникает с картами Сбербанка, ВТБ24, Альфа банк. В статье мы расскажем что это за ошибка и почему она появляется. Что это за аутентификация? Для подключения 3DS аутентификации оператор попросит предоставить:

Причины ошибки «Карта не прошла 3DS-аутентификацию»

Обратите внимание, что магазины не получают полные данные о карте, имея доступ лишь к части информации.

Карта не прошла 3DS-аутентификацию, либо отклонена платежной системой — что это означает

После прохождения 3DS-аутентификации происходит оплата с учетом последующей переадресации покупателя на сайт продавца. Транзакция не может быть осуществлена без данной операции, ни при каких обстоятельствах.

Плюсы и минусы технологии

Оперативное исправление проблемы возможно путем звонка на горячую линию обслуживающего банка.

номер и срок действия карты, указанный на лицевой стороне;
код с оборотной стороны карты – CVV (CVC).

Минимизация рисков мошенничества Если для карты подключена дополнительная защита 3DS-Secure, то пользователю при оплате онлайн следует пройти еще одну процедуру, направленную на противодействие потенциальным мошенникам. Одноразовые пароли поступают в виде смс-сообщения на номер держателя карты. Ввод данных осуществляется на официальной странице одного из банков: ПАО «Сбербанк России», «ВТБ», » Альфа-Банк» и другие.

Особенности аутентификации

3DS-аутентификация – уникальная система защиты данных банковских карт от совершения финансовых операций без согласия держателя.

Метод защиты 3DS-аутентификации имеет очевидные преимущества и недостатки. В целях самостоятельной оценки работоспособности технологии следует ознакомиться с возможными рисками.

Другие статьи об Альфа Банке:

встречаем 3-D Secure 2.0 / Хабр

Год за годом технологии стремительно продвигаются вперед в своих достижениях и возможностях. В самое ближайшее время обновленный протокол 3D Secure 2.0 выведет онлайн-безопасность в индустрии платежей на совершенно новый уровень. Протокол обеспечит возможность установить безопасный канал обмена данными, работающий в режиме реального времени, по которому будет передаваться намного больше данных о транзакции для более точной аутентификации покупателя, увеличится скорость совершения оплаты, поскольку аутентификацию с помощью пароля будут проходить не все транзакции, а только некоторая их часть. Давайте рассмотрим основные изменения в новом протоколе по сравнению с его предыдущий версией.

Что такое 3D Secure?

3D Secure — это протокол безопасности, разработанный в 1999 году и направленный на предотвращение мошеннического использования кредитных карт путем проверки подлинности держателей карт в транзакциях, для совершения которых не нужно физическое присутствие карты (CNP-операции). «3D» означает «3 домена», в которых работает протокол, и которые включают в себя домен эмитента (домен банка, выдавшего карту), домен эквайера (домен продавца и банка, в который перечисляются деньги) и домен совместимости (домен, предоставляемый платёжной системой для поддержки протокола 3D Secure). Протокол разработан и управляется EMVCo, организацией, совместно принадлежащей крупным брендам Visa, Mastercard, American Express, Discover, JCB и UnionPay.

Первая версия 3D Secure была разработана для того, чтобы повысить доверие потребителей к онлайн-платежам, что поспособствовало росту электронной коммерции. Чтобы защититься от мошеннических операций, 3D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты. Во время использования 3D Secure 1 система отображает всплывающее окно или встроенный фрейм, требуя от пользователя ввода пароля, чтобы банк мог аутентифицировать пользователя. Однако учетные данные объекта, генерирующего всплывающее окно, не могут быть аутентифицированы.

Для бизнеса преимущества 3D Secure очевидны: запрос дополнительной информации обеспечивает дополнительный уровень защиты от мошенничества, гарантируя, что вы принимаете платежи по карте только от проверенных клиентов. Также в случае использования 3D Secure происходит так называемый «Перенос ответственности» (Liability Shift), при котором ответственность за мошенничество также переходит от продавца к эмитенту карты. Таким образом, если 3D Secure не применяется, то, когда владелец карты оспаривает мошенническую транзакцию:

Продавец (merchant) несет ответственность за сделку

Продавец (merchant) должен вернуть покупателю деньги (chargeback)

Но, если продавец реализует 3D Secure, ответственность за мошеннические транзакции переходит на эмитента (банк, выдавший карту).

Каковы основные изменения в протоколе 3D Secure 2.0?

Прошло более 17 лет с момента разработки 3D Secure 1. Хотя платежная индустрия в большинстве стран довольно хорошо приняла этот метод аутентификации, признавалась необходимость создания нового протокола с учетом текущих и будущих требований рынка, включая добавление поддержки аутентификации на основе мобильных устройств и интеграции цифровых кошельков. Кроме того, отмечалось, что использование 3D Secure 1 имеет некоторые недостатки:

дополнительный шаг, необходимый для завершения платежа, увеличивает сложности процесса размещения заказа и может привести к тому, что клиенты откажутся от покупки.

ряд банков по-прежнему обязует владельцев своих карт создавать и запоминать свои собственные статические пароли для завершения проверки 3D Secure. Эти пароли легко забыть, что также может привести к более высокой вероятности отказа от покупки.

Негативное влияние на пользовательский опыт (UX) особенно заметно в мобильных приложениях. Когда Visa впервые создала стандарт 3D Secure, персональные компьютеры были единственным каналом, доступным для потребителей, чтобы делать покупки онлайн. На мобильных устройствах применение 3D Secure может перенаправить клиентов из собственного приложения на веб-сайт банка, который не оптимизирован для мобильных устройств.

Учтя основные болевые точки 3D Secure, EMVCo недавно выпустила новую улучшенную версию протокола. EMV 3-D Secure (3D Secure 2 или 3DS2) направлена на устранение многих недостатков 3D Secure 1 и обеспечивает следующие основные преимущества:

1. Flexible Device & Channel Support (Гибкая поддержка различных устройств и каналов).

Обеспечивает более плавное и последовательное взаимодействие с пользователем по нескольким каналам оплаты, включая оплату в браузере мобильного телефона, платежи в приложениях и платежи через цифровой кошелек.

2. Improved User Experience (Улучшенный пользовательский опыт).

Обеспечивает продавцам (merchants) возможность лучше интегрировать процесс аутентификации в процесс покупок, предоставляя держателям карт быструю, простую и удобную аутентификация при высоком уровне безопасности. В отличие от статических паролей, в 3D Secure 2 используются методы динамической аутентификации, такие как биометрия и аутентификация на основе токенов. Также 3D Secure 2 позволит компаниям встраивать поток вызовов непосредственно в свои веб-потоки и потоки мобильных платежей — без необходимости каких -либо перенаправлений. Используя новые мобильные SDK, компании смогут внедрять собственные потоки в свои приложения, которые больше не будут требовать от своих клиентов перехода на поток через браузер для завершения транзакции.

3D Secure 1 (3D Secure 2 Stripe guide):

3D Secure 2 (3D Secure 2 Stripe guide):

3. Enhanced Data Exchange to Manage Fraud and Reduce Friction (Улучшенный обмен данными для борьбы с мошенничеством и снижения препятствий). Risk-based authentication (RBA, Аутентификации на основе рисков). Frictionless authentication (Беспрепятственная аутентификация).

Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты. Это достигается с помощью так называемой «аутентификации на основе рисков» (RBA). RBA работает, собирая набор данных о держателях карт во время транзакции и передавая их банку-эмитенту и его Access Control Servers (ACS), который затем сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции. 3D Secure 2 позволит компаниям и их поставщикам платежей безопасно отправлять более 100 элементов данных по каждой транзакции в банк держателя карты. Сюда входят данные, относящиеся к оплате, такие как адрес доставки, а также контекстные данные, такие как идентификатор устройства клиента или история предыдущих транзакций.

Банк держателя карты может использовать эту информацию для оценки уровня риска транзакции и выбора подходящего ответа. Если значение риска мошенничества ниже заданного порогового значения, применяется Frictionless flow (беспрепятственный поток). Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1:

1) Если данных достаточно для того, чтобы банк мог поверить в то, что реальный владелец карты совершает покупку, транзакция удовлетворяет требованиям Frictionless flow (беспрепятственного потока), и аутентификация завершается без влияния на взаимодействие с пользователем — владелец карты никогда не видит никаких признаков того, что 3D Secure был применен. Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1.

2) В случае, когда значение риска мошенничества выше предварительно определенного порога, например, банк решит, что ему нужны дополнительные доказательства, транзакция выполняется в режиме Challenge, и клиента просят предоставить дополнительные данные для проверки подлинности платежа.

4. Изменение ответственности продавцов (merchants) в случае мошенничества

Также значительные различия в PSD2 включают изменение ответственности продавцов (merchants) в случае мошенничества. Эмитенты являются явными бенефициарами более широкого обмена данными, необходимыми для 3DS 2.0, поскольку они несут ответственность за любые возвратные платежи (chargebacks). Чем больше данных у них есть, тем точнее они могут оценить риск транзакции.

Тем не менее, продавцы (merchants) также получают выгоду, особенно если они еще не собирают достаточное количество данных по транзакции, которые потребуются для участия в 3DS, потому что тогда они могут использовать эти данные для улучшения своих собственных усилий для обнаружения мошенничества. Но даже если у продавца уже есть сложная программа предотвращения мошенничества, не следует упускать из виду дополнительный уровень защиты, предоставляемый эмитентом, проводящим собственную оценку риска. Поставщики ACS, используемые эмитентами, обычно имеют доступ к источникам данных о мошенничестве, которых нет у отдельных продавцов, что часто позволяет им предоставлять более надежную оценку риска мошенничества.

Когда платежные системы будут поддерживать 3-D Secure 2.0?

Широкое распространение 3D Secure 2 будет зависеть от отдельных эмитентов карт, поддерживающих новый стандарт. Ожидается, что первые банки начнут поддерживать 3D Secure 2 для своих владельцев карт в начале 2019 года, вполне вероятно, что более широкое внедрение будет постепенным и займет несколько месяцев. Например, платформа Visa 3DS 2.0 теперь доступна и готова обрабатывать запросы аутентификации 3DS 2.0: прежде чем участвовать в программе 2.0, поставщики услуг ACS и 3DS Server должны пройти тестирование как с EMVCo, так и с Visa. Провайдеры могут начать тестирование с Visa только после получения письма-подтверждения, подтверждающего успешное завершение тестирования с EMVCo. Чтобы у заинтересованных сторон было достаточно времени для внедрения 3-D Secure, полный набор правил программы не вступит в силу до дат активации программы, указанных ниже:

апрель 2019 года: дата действия для Европы

август 2019 года: дата активации для Канады, Латинская Америка и США.

апрель 2020 года: дата активации для Азиатско-Тихоокеанский региона и стран Ближнего Востока и Африки.

Также предполагается, что 3D Secure 1 и 3D Secure 2 будут сосуществовать по крайней мере до 2020 года.

Для европейского бизнеса вступление в силу в сентябре 2019 года нового регламента, известного как строгая аутентификация клиентов (Strong Customer Authentication, SCA), который будет применяться к онлайн-платежам в Европейском экономическом пространстве (EEA), где банк держателя карты и провайдер платежных услуг находятся в EEA, делает 3D Secure 2 еще более важным. Поскольку новое правило потребует применять больше аутентификации к европейским платежам, 3D Secure 2 предложит лучший UX (пользовательский опыт), чтобы минимизировать влияние на конверсию сайта.

Хотя 3D Secure 2 будет основным методом соблюдения требований SCA к платежам по картам, ожидается, что Frictionless flow (беспрепятственный поток) не будет рассматриваться как форма строгой аутентификации клиентов. Это будет означать, что после введения в действие SCA в Европе Frictionless flow может использоваться только для платежей, которые подпадают под исключение (в то время как все платежи, требующие SCA, должны будут аутентифицироваться с использованием потока Challenge).

3DS аутентификация Сбербанк: что это

Что такое 3ds аутентификация банковской карты?

Данная система представляет собой уникальную защитную меру, которая охраняет данные карточки от возможного копирования при совершении финансовых действий, к примеру, через Сбербанк Онлайн или на сайте торговой площадки. Для оплаты приобретений или сервиса в виртуальном шопе требуют сообщить:

карточный номер, который указан непосредственно на пластике;
срок действия платежного инструмента;
код СVV (CVC).

Если пластик защищен еще и 3Д – секьюр, то пользователю необходимо будет выполнить еще одно действие, позволяющее получить дополнительную защиту от возможного взлома. Речь идет об одноразовом пароле, который приходит только клиенту, а вводить его необходимо на сайте Сбербанка. Только поле этого, выполняется аутентификация карты, оплата проходит, а клиент попадает на сайт продавца. В обход этого действия произвести платеж не удастся.

Смысл технологии заключается в том, что к пользователю приходит разовый код доступа, а для его ввода предоставляется только 10 минут. Кодировка выполняется из 6-ти цифр и приходит на сотовый, прикрепленный к банковскому пластику. Именно по этой причине, многие банки (такие, как: ВТБ24, Россельхозбанк, Росбанк, Тинькофф, РНКБ Банк, Уралсиб или Альфа Банк) используют ее при наличии онлай-сервиса.

Стоит дополнить, что для банка такое подключение стоит очень недешево, поэтому, многие кредиторы отказываются от защиты. Вместе с тем, использование 3d-secure не является обязательным условием, поэтому и действует опция, сегодня только в крупных финансовых учреждениях.

Особенности защитной системы

Применение защитной технологии стало насущной необходимостью и вынужденной мерой. Интернет-площадки пользуются огромной популярностью и привлекают миллионы покупателей.

Пользователи сумели оценить простоту и удобство. Спокойно выбирается нужный товар, внимательно изучаются характеристики. Привлекательно смотрится невысокая цена и быстрая доставка на дом.

Вместе с тем открылась лазейка для мошенников. Человек сам предоставляет важную информацию и возрастает риск потери собственных денег. Выдача списка с паролями не стало панацеей.

С помощью 3D-Secure удалось подняться на новый уровень в сфере защиты интересов клиента. Неблагоприятный исход незаконного снятия средств практически исключается. Автоматическое подключение не связано с дополнительным сбором, несмотря на понесенные банком расходы.

Как подключить 3D Secure

Технология сегодня является надежной. Помня об этом, многие держатели банковских карт думают о том, как подключить 3d secure сбербанка для защиты своих денежных средств.

Сейчас эта услуга является частью стандартного пакета во время оформления банковской карты. Активация происходит не во время получения карты, а после совершения первого платежа с ее использованием. После этого, во время каждой покупке в магазинах, запрос о включении услуги будет всплывать автоматически. Если же этого не произошло, то подключить услугу можно через в кабинете или отделении банка. В чем заключаются особенности каждого из способов?

Подключить 3d secure Можно через систему Сбербанк Онлайн

Как подключить технологию 3D Secure с помощью сервиса Сбербанк Онлайн

Защита 3D Secure работает в Онлайн Сбербанке, именно поэтому для подключения достаточно лишь выбрать соответствующую опцию подключения 3D Secure. Сбербанк позволяет подключить такую защиту каждому своему клиенту на бесплатной основе, даже с учетом того, что защита требует соответствующего технического оснащения.

Если же нужно совершать покупки там, где отсутствует 3D Secure поддержка, то можно воспользоваться надежным защищенным обменником с небольшой комиссией. Еще, если нет защиты, можно оплатить товары стандартным банковским переводом.

Есть и другой способ платить за покупки в тех магазинах, в которых отсутствует 3D Secure – это временная деактивация услуги в личном кабинете банка.

Подключение услуги 3D Secure с помощью телефона

Для того чтобы подключить расширенный пакет банка с поддержкой 3D Secure по телефону, достаточно выполнить следующие действия:

Ввести слово «Полный» в СМС-сообщении и отправить его с того телефонного номера, который привязан к карте.
Отправить сообщение на короткий номер 900.
После этого через некоторое время придет ответное SMS-сообщение о том, что для подключения полного тарифа необходимо отправить еще одно сообщение с кодом из четырех цифр (эти четыре цифры будут в сообщении).
Далее нужно ввести эти самые четыре цифры и отправить на тот же номер 900.
Получить новое СМС сообщение с подтверждением

Платежные карточки [часть 2] — Страница 87 — Финансы, банки, экономика

ошибка 96 «Не установлен 3Д секуре, либо сбой в канале связи»

Банк, Выпустивший Вашу карту, ввел некоторые ограничения на ее использование. Вам следует обратиться в Банк, обслуживающий Вашу карту, чтобы снять выяснить причину и снять ограничения

Ошибка -96. Ошибки -04, -07, -36 и -42. «Карта заблокирована»

Ошибка -61. «Сумма превышает допустимый лимит»

Превышен суточный лимит по возможным причинам

Суточный лимит на платеж по карте (следует обратиться в Банк, выпустивший карту)

Суточный лимит на принимаемые платежи у Коммерсанта, принимающего онлайн-оплату (следует обратиться к Коммерсанту)

Либо Вы можете повторить попытку на следующий день.

Ошибка -91. «Эмитент недоступен»

Банк, выпустивший Вашу карту, временно не доступен. Попробуйте оплатить позже. Либо обратитесь в Банк, выпустивший Вашу карту.

Ошибка -54. «Истек срок действия карточки. Либо срок действия карты введен неверно»

Срок действия карты истек, либо введены неверные данные о сроке действия карты.

Сверьте срок действия с текущей датой (напечатана на карте) и попробуйте еще раз.

Если срок действия карты истек, Вам следует перевыпустить карту или использовать карту с действующим сроком истечения.

Ошибка -57. «Отказано держателю карточки. Вашей картой нельзя совершать Интернет оплаты. Обратитесь в свой банк. Либо неверные введенные данные»

Банк, выпустивший Вашу карту, ввел некоторые ограничения на ее использование. По карте запрещены Интернет транзакции. Вам следует обратиться в Банк, обслуживающий Вашу карту, чтобы снять выяснить причину и снять ограничения.

Иногда Вы можете самостоятельно отключить ограничение на совершение онлайн платежей в интернет банкинге или позвонить в Call-Center.

Ошибка -58. «Отказано продавцу. Попробуйте позже»

Оплата в пользу данного коммерсанта временно приостановлена. Попробуйте попозже

Ошибки -41, и -43. «Карточка утеряна»

Карта, по которой Вы пытаетесь совершить платеж, числиться в базе в качестве утерянной. Вам следует обратиться в Банк, обслуживающий Вашу карту.

Ошибка -51. «Недостаточно средств на карте»

На Вашей карте недостаточно средств для проведения оплаты. Вам следует пополнить карту любым из способов, предоставляемых Вашим банком.

Если средств было достаточно, и Вы уже делали оплату, которая закончилась какой-либо ошибкой, то, возможно, данная сумма заблокировалась и недоступна к использованию. Чтобы разблокировать сумму, Вы можете позвонить или написать в Магазин, где производили неудачную оплату, или позвонить в Call-Center банка. Обязательно сообщите какие-нибудь данные по платежу, которые Вам доступны:

1. дату-время транзакции

2. номер заказа

3. Референс (RRN номер) транзакции

4. Номер сессии

5. E-mail

ВАЖНО! Никогда не передавайте полный номер карты! Это не безопасно.

Если все-таки номер передать требуется, передавайте только первые 6 и последние 4 цифры, этих данных достаточно для идентификации Вашей транзакции.

Ошибка -14. «Недействительный номер карточки, перепроверить номер карточки»

Номер карты введен неверно. Пожалуйста, удостоверьтесь в корректности вводимых данных и попробуйте еще раз.

Ошибка -19. «Ошибка авторизации»

Обобщенная ошибка, используемая в случаях, когда точная причина отказа по онлайн-платежу не известна.

Наиболее частые причины:

1. Неверный ввод 3D Secure / Secure Code пароля

2. Пароль 3D Secure / Secure Code не установлен на карту (обратитесь с Ваш банк)

3. Недоступен сервер Банка, выпустивший Вашу карту

4. Коммерсант (онлайн-магазин) некорректно зарегистрирован в платежной системе

5. Платежная карта некорректно зарегистрирована в платежной системе (обратитесь в Ваш банк)

Ошибка -30. «Неверные исходные данные»

Данные совершаемого платежа некорректные. Обратитесь в Интернет-Магазин, в котором производите оплату.

Ошибка -37. «Обратиться к банку-эмитенту»

Банк, Выпустивший Вашу карту, ввел некоторые ограничения на ее использование.

Вам следует обратиться в Банк, обслуживающий Вашу карту, чтобы снять выяснить причину и снять ограничения.

«Транзакция отклонена. Обратиться свой банк-эмитент»

Банк, выпустивший Вашу карту, ввел некоторые ограничения на ее использование. Вам следует обратиться в Банк, обслуживающий Вашу карту, чтобы снять выяснить причину и снять ограничения.

Ошибка -12. «Недействительная транзакция, перепроверить введенные»

Неверно введены данные карты Номер карты, Срок действия, CVV2/CVC2/CID код или имя на карте. Удостоверьтесь в корректности вводимых данных и попробуйте еще раз. В случае повторения неудачных попыток попробуйте оплатить позже.

Paysafe Разработчик: 3D Secure Errors

500	1000	Произошла внутренняя ошибка.
502	1001	Произошла ошибка с внешним шлюзом обработки.
500	1002	Произошла внутренняя ошибка.
500	1003	Произошла внутренняя ошибка.
500	1007	Произошла внутренняя ошибка.
500	1008	Произошла внутренняя ошибка.
429	1200	Вызов API отклонен, так как он превысил допустимый предел скорости вызовов.
401	5000	Ошибка аутентификации вашего торгового счета. Ваш идентификатор магазина или пароль недействительны, или IP-адрес, с которого вы отправляете транзакцию, не был авторизован.
400	5001	Отправленный код валюты недействителен или ваша учетная запись не поддерживает эту валюту.
400	5003	Вы отправили неверную сумму с вашим запросом.
400	5004	Вы указали неверный тип учетной записи в своем запросе.
400	5005	Вы отправили неверный тип операции с вашим запросом.
400	5010	Предоставленный код страны недействителен.
400	5016	Указанный вами торговый счет не найден.
400	5017	Предоставленный вами аккаунт продавца отключен.
402	5021	Ваш запрос на транзакцию был отклонен.
400	5023	Запрос не разбирается.
409	5031	Отправленная вами транзакция уже обработана.
401	5040	Ваш торговый счет не настроен для транзакции, которую вы предприняли.
400	5042	Ссылочный номер продавца отсутствует или недействителен или превышает максимально допустимую длину.
400	5068	Либо вы отправили запрос, в котором отсутствует обязательное поле, либо значение поля не соответствует ожидаемому формату.
404	5269	Идентификаторы, указанные в URL, не соответствуют значениям в системе.
403	5270	Учетные данные, предоставленные в запросе, не имеют разрешения на доступ к запрошенным данным.
406	5271	Вы запросили ответ в заголовке «Принять» в неподдерживаемом формате.
406	5272	«Тип контента», указанный в заголовке запроса, был отправлен в неподдерживаемом формате.
404	5273	Ваш клиент обратился к нашему приложению, но мы не смогли обработать ваш запрос из-за неверного URL.
401	5275	Срок действия учетных данных, указанных в запросе, истек.
401	5276	Учетные данные для проверки подлинности, предоставленные с указанным запросом, были отключены.
401	5277	Учетные данные аутентификации, предоставленные в запросе, были заблокированы из-за нескольких ошибок аутентификации.
401	5278	Учетные данные аутентификации, предоставленные в запросе, не были приняты по неизвестной причине.
401	5279	Недействительные учетные данные.
401	5280	Не предоставлены необходимые учетные данные для аутентификации.
405	5281	В запросе используется действие (например, GET, POST или PUT и т. Д.), Которое не поддерживается ресурсом.
400	5502	Либо токен оплаты недействителен, либо соответствующий профиль или банковский счет не активен.

php — отсутствует безопасная авторизация Stripe 3D

Переполнение стека

Товары
Клиенты
Случаи использования

Переполнение стека
Публичные вопросы и ответы
Команды
Частные вопросы и ответы для вашей команды
предприятие
Частные вопросы и ответы для вашего предприятия
работы
Программирование и связанные с ним технические возможности карьерного роста
Талант
Нанимать технический талант
реклама
Связаться с разработчиками по всему миру

7.2. 3D-Secure (3DS) — PaynetEasy API

Технология

3D-Secure (3DS) подразумевает предварительную аутентификацию участников. Конкретная технология предполагает, что ответственность за отказ в подтвержденной транзакции переносится с интернет-магазина на банк-эмитент, а затем на владельца карты. В технологии 3 D-Secure для транзакций требуется специальный пароль, известный только клиенту (владельцу карты) и банку эмитента. Это позволяет сократить количество отказов в интернет-транзакциях.

3D Secure основан на модели дерева доменов, в которой процесс аутентификации транзакций в сети подразделяется на три домена: домен эмитента, домен эквайрера и домен интероперабельности.

Домен эмитента

включает в себя: банк, выпустивший кредитную карту, сервер контроля доступа (ACS), клиент, намеревающийся совершить покупку с помощью кредитной карты, программное обеспечение на компьютере клиента (веб-браузер).

Домен

Acquirer включает в себя: торговый или интернет-магазин (чей веб-сайт используется для покупки), серверное программное обеспечение интернет-магазина, которое создает и обрабатывает сообщения об аутентификации платежей, а покупатель — финансовое учреждение, которое взаимодействует с системой авторизации (например, VisaNet / Europay). Платежная система Net) в соответствии с договором, заключенным с интернет-магазином, и информирует магазин о результатах авторизации.

Домен взаимодействия. Домен Visa или MasterCard обеспечивает связь между клиентом, интернет-магазином и банками. При этом домен обеспечивает строгую конфиденциальность информации. Для аутентификации клиента система отправляет запрос аутентификации в банк эмитента. Эмитент устанавливает связь с клиентом, представляет секретную фразу и запрашивает пароль клиента. После проверки пароля клиента банк-эмитент генерирует ответ. Затем банк-эквайер аутентифицирует интернет-магазин.

$@startuml participant Cardholder participant "Merchant Application" participant "PaynetEasy" box "Interoperability Domain" #LightBlue participant "Directory Server" participant "ACS Server" end box participant Acquirer participant Issuer "Acquirer" -> "Issuer": Inter\nSettlement Cardholder -> "Merchant Application": Shopping +\nTransaction Data "Merchant Application" -> "PaynetEasy" : 3DS Transaction\nRequest Message "PaynetEasy" -> "Directory Server": 3DS Enrolment\nRequest(VEReq) "Directory Server" -> "ACS Server": 3DS Enrolment\nRequest(VEReq) "ACS Server" -> "Directory Server": 3DS Enrolment\nResponse(VERes) "Directory Server" -> "PaynetEasy": 3DS Enrolment\nResponse(VERes) "PaynetEasy" <-> Acquirer: PaynetEasy Risk Setting = Process All Transactions "PaynetEasy" -> "Merchant Application": Transaction\nResponse Message "Merchant Application" ->o "PaynetEasy": Get Transaction Request "PaynetEasy" -> "Merchant Application": Payer Authentication Request(PAReq)\n Redirect Cardholder browser to ACS server page "Merchant Application" -> "Cardholder": Payer Authentication Request(PAReq)\n Redirect Cardholder browser to ACS server page "Cardholder" -> "ACS Server": 3DS Payer Authentication Request (PAReq) activate "ACS Server" "ACS Server" -> "ACS Server": Cardholder Authentication "ACS Server" -> "ACS Server": MHS Message "ACS Server" -> "PaynetEasy": 3DS Payer Authentication Response(PARes) deactivate "ACS Server" "PaynetEasy" <-> Acquirer: Process Transaction "PaynetEasy" -> "Merchant Application": Transaction Response\nMessage "Merchant Application" ->o "PaynetEasy": Get Transaction Request @enduml$

Когда владелец карты подает заказ в приложении Merchants Application, запускается следующий процесс:

Владелец карты указывает номер карты и CVV2;
Приложение Merchants запрашивает PaynetEasy через биллинговую систему MPI (Merchant Plugin Interface) для получения адреса банка-эмитента сервера ACS Server (Access Control Server);
Система PaynetEasy перенаправляет Держателя карты в банк-эмитент ACS Server;
Владелец карты аутентифицируется у Эмитента, затем перенаправляется в систему PaynetEasy с результатами аутентификации;
Система PaynetEasy авторизует транзакцию в Acquirer, если результат аутентификации был успешным.

Сообщение об ошибке	код ошибки
Сообщение об ошибке	Код ошибки
Приобретатель не участвует	50
Продавец не участвует	51
Пароль отсутствует	52
Неверный пароль	53
Неправильное значение общего имени в сертификате клиента	54

Зарегистрирован держатель карты

Ответ на зачисление	Описание	VERes Status
Доступна аутентификация	, поддерживается активация во время покупок или имеется подтверждение попытки аутентификации.Продавец использует URL-адрес ACS эмитента, включенный в VER, для создания запроса аутентификации плательщика.	Y
Владелец карты не участвует	Владелец карты не участвует — владелец карты не зарегистрирован.	N
Невозможно подтвердить подлинность или карта не подходит для попыток	Невозможно подтвердить подлинность или карта не подходит для попыток (например, коммерческая или анонимная карта предоплаты).	U

Результат аутентификации	Результат аутентификации, определенный эмитентом ACS	Состояние пар
Аутентификация прошла успешно	Эмитент подтвердил подлинность владельца карты, подтвердив пароль или другую личность Информация.	Y
Выполнено попыток	Аутентификация не была доступна, но функциональность была доступна (через эмитента, Visa Attempts Service (или третье лицо), чтобы сгенерировать доказательство того, что продавец пытался использовать VbV аутентификация.	А
Ошибка аутентификации	Пароль владельца карты (или другая информация для аутентификации) не прошел проверку, таким образом, Эмитент не может аутентифицировать владельца карты.Ниже приведены причины провала аутентификация: Держатель карты не может правильно ввести информацию для аутентификации в определенное эмитентом количество записей (возможное указание мошеннического пользователя). Владелец карты «отменяет» страницу аутентификации (возможное указание мошеннического пользователя). Продавцам не разрешается передавать эти транзакции для обработки авторизации.	N
Аутентификация не может быть выполнена	ACS эмитента не может выполнить запрос аутентификации — возможные причины включает в себя: Тип карты исключен из попыток (например, коммерческая карта или анонимная предоплата). Карта) ACS не может обработать сообщение запроса аутентификации ACS не может установить сеанс SSL с браузером держателя карты Отказ системы, который мешает правильной обработке запроса аутентификации Продавцы могут осуществлять вышеуказанные покупки как не прошедшие проверку подлинности и сохранять ответственность, если владелец карты позже оспаривает совершение покупки.Это не проверено Visa электронный торговые сделки. Когда PARes имеет U и неверный код запроса 55, это означает, что Учетная запись Идентификатор в PAReq не соответствует значению, возвращенному ACS в VER. купечество должен рассматривать это как недействительную транзакцию.	U

Наименование	ECI	Описание
Владелец карты прошел проверку подлинности	5	Это значение означает, что владелец карты был аутентифицирован эмитентом путем проверки владельца карты. пароль или идентификационная информация.Значение возвращается ACS в Аутентификации Плательщика Ответное сообщение, когда владелец карты успешно прошел аутентификацию 3-D Secure.
Продавец попытался подтвердить подлинность держатель карты	6	Это значение означает, что продавец пытался аутентифицировать владельца карты, но либо владелец карты или эмитент не участвовал. Значение должно быть возвращено ACS в Ответное сообщение аутентификации для ответа на попытку.Кроме того, торговцы могут использовать ECI 6 в запросе авторизации при получении Подтверждения регистрации N из Visa Directory Сервер.
Аутентификация платежа не была выполнена	7	Это значение устанавливается продавцом при совершении платежной транзакции по безопасному каналу. (например, SSL / TLS), но аутентификация платежа не была выполнена, или когда эмитент ответил эта аутентификация не может быть выполнена. ECI 7 применяется, когда либо Подтверждение регистрации или Ответ аутентификации плательщика содержит U для невозможности аутентификации.

Наименование	ECI	Описание
Продавец попытался подтвердить подлинность держатель карты	01	Аутентификация не может быть завершена, но было предоставлено подтверждение попытки аутентификации
Владелец карты прошел проверку подлинности	02	Владелец карты успешно аутентифицирован

ECI Visa

UI Информация	VERes Status	Состояние пар	CAVV / AAV		ECI MasterCard	Описание	MasterCard рекомендуется Имя
Merchant Not SecureCode с поддержкой	—	—	—	—	—	Merchant Not SecureCode с поддержкой	Merchant Not SecureCode с поддержкой
Ошибка DS (% d)	Ошибка	—	—	7	—	Продавец не смог предоставить соответствующие учетные данные для сервера каталогов.	Ошибка на VERes
Не соответствует требованиям	U	—	—	7	—	Невозможно подтвердить подлинность.	Невозможно подтвердить подлинность
Не участвует	N	—	—	6	—	Владелец карты не участвует	Владелец карты не участвует
3-D Secure Ошибка	Y	Ошибка	—	—	—	Проверка правильности пар не удалась.Продавец не должен отправлять запрос на авторизацию.	Ошибка на параметрах
3-D безопасный сбой	Y	N	—	—	—	Ошибка аутентификации. Продавец не должен отправлять запрос на авторизацию.	Auth Failure (сбой SecureCode или неверная проверка подписи)
3-D Secure ACS Ошибка	Y	U	—	7	—	ACS эмитента не может завершить запрос аутентификации	Невозможно подтвердить подлинность
3-D Безопасная попытка	Y	А	№	—	01	—	Попытка (без AAV)
Полная 3-D Безопасная попытка	Y	А	да	6	01	Продавец попытался подтвердить подлинность владельца карты, но ни владелец карты, ни эмитент не участвовали	Попытка
3-D Безопасный Успешный	Y	Y	№	—	02	Аутентификация прошла успешно без AAV	Auth Success (без AAV)
Полный 3-D Безопасный Успешный	Y	Y	да	5	02	Аутентификация прошла успешно	Auth Success

Введение в 3D Secure 2

14 сентября 2019 года в Европе были введены новые требования к аутентификации онлайн-платежей в рамках PSD2 или второй Директивы о платежных услугах. Как часть этого, все европейские продавцы, приобретающие карточные транзакции, должны интегрироваться в 3DS 2.0. Пожалуйста, включите к марту 2020 года, чтобы избежать увеличения отклоненных транзакций.

Североамериканские продавцы не обязаны в настоящее время интегрироваться в 3D Secure 2.0. Пожалуйста, проверьте это место для всех уведомлений о миграции.

3D Secure 2 предоставляет новые удобные способы аутентификации клиентов при устранении недостатков существующего 3DS 1.0.2, добавив поддержку мобильных приложений и для проверки биометрических данных и токенов, а также упростив процесс оформления заказа с использованием аутентификации «без трения».

Paysafe соответствует 3DS версии 2.1.0.

Зачем обновляться с 3DS 1.0?

3DS 1.0 был представлен в 2001 году как дополнительный уровень безопасности для покупок в Интернете. Владельцы карт регистрируются в программе 3D Secure эмитента карты (либо Verified by Visa, либо MasterCard SecureCode) и создают новый пароль.После регистрации любая последующая онлайновая транзакция на основе браузера будет инициировать перенаправление на веб-сайт банка-эмитента карты и предлагать владельцам карты подтвердить свою подлинность, предоставляя пароль регистрации.

Несмотря на то, что этот процесс повысил уровень безопасности для транзакций, не связанных с картой (CNP), и во многих случаях переместил ответственность за мошеннические покупки от продавца к банку-эмитенту, он также привел к трению в процессе проверки. Перенаправление аутентификации, или встроенный фрейм, часто интерпретировалось владельцами карт как фишинговая афера и плохо работало на мобильных устройствах.Дополнительный этап запоминания и ввода пароля 3D Secure также привел к более высокой скорости отказа от корзины владельцами карт.

3D Secure 2 решает эти проблемы, предлагая новые способы проверки подлинности держателя карты, включая биометрическую проверку или проверку токенов и проверку подлинности без трения.

Что нового в 3D Secure 2?

В следующей таблице приведен краткий обзор новых функций 3D Secure 2.

Особенности	3DS 1.0,2	3DS2
Поддержка браузеров	•	•
Поддержка планшетов и мобильных устройств		•
Полная интеграция приложений		•
Биометрическая и токеновая поддержка аутентификация		•
Богатая передача данных		•
Гибкость торгового оттока		•
Аутентификация пользователей без оплаты (подписки)		•
Строгая проверка подлинности клиента (SCA)		•
Быстрый опыт оформления заказа		•
Регистрация не требуется		•

Что такое аутентификация без трения?

3D Secure 2 позволяет продавцам и банкам обмениваться обширными контекстными данными о держателях карт для быстрой аутентификации транзакций за кулисами без дополнительных шагов проверки потребителя, которые обычно вызывают трения во время оформления заказа (например,g. аутентификация перенаправляет и запоминает и вводит статические пароли). Продавцы теперь могут передавать более 100 полей во время запроса аутентификации, которые банки затем могут использовать для определения уровня риска транзакции. Используя эту расширенную передачу данных, большинство транзакций с низким риском могут быть аутентифицированы, не требуя дополнительного ввода от потребителя, что приводит к безопасной, эффективной и беспроблемной проверке.

Действия в 3D Secure 2 Аутентификация владельца карты

После того, как вы настроили торговую учетную запись Paysafe, вы можете подключиться к платформе Paysafe Payments с помощью нашего простого в использовании API.Смотрите наш раздел Сценарии для быстрого обзора возможностей интеграции при использовании API. Вот краткое описание процесса:

Поток процесса 3D Secure 2

Шаг A: Сбор идентификатора отпечатка пальца устройства

После того, как владелец карты введет данные карты, продавец инициализирует SDK Paysafe 3D Secure 2 JavaScript с помощью вызов метода start () и включает в себя открытый ключ API (генерирование одноразового токена) и ключ карты.
JavaScript SDK открывает сеанс снятия отпечатков устройства с ACS эмитента.
Этот шаг пропускается, если эмитент не поддерживает 3D Secure 2; в этом случае поток вернется к 3DS 1.0.2.
JavaScript SDK возвращает deviceFingerprintingId продавцу для использования в запросе аутентификации.

Шаг B: Аутентификация клиента

Продавец отправляет запрос на аутентификацию и включает в себя обязательные поля вместе с deviceFingerprintingId, возвращенным на шаге 3.
Paysafe интерпретирует ответ сервера каталогов и возвращает ответ продавцу, который содержит параметры status и threeDResult * вместе с authenticationId. Если статус = ЗАВЕРШЕН, то продавцу следует обратиться к матрице сдвига ответственности, чтобы определить, следует ли продолжить запрос авторизации. Если статус = PENDING и threeDResult = C, то эмитент карты бросил вызов держателю карты и требует дополнительной проверки.
* Если банк не поддерживает 3D Secure 2, API автоматически переключится на 3DS 1.0.2, а параметр threeDEnrollment заменит ThreeDResult. Посмотрите Сценарии и параметр threeDEnrollment для получения дополнительной информации.

Шаг C: Завершить вызов эмитента (Условно)

Продавец сохраняет аутентификационный идентификатор и передает sdkChallengePayload в качестве параметра в методе challenge () в JavaScript SDK.
JavaScript SDK связывается с ACS эмитента для решения проблемы.
Как только вызов завершен, продавец получает обратный вызов из JavaScript SDK, который включает в себя подтверждение выполненного запроса вместе с параметром authenticationId.

Шаг D: Сделайте запрос на авторизацию платежа

Продавец выполняет поиск между серверами, используя сохраненный ID-аутентификации, чтобы получить поля результатов аутентификации 3DS. Если статус = ЗАВЕРШЕН, то продавцу следует обратиться к матрице сдвига ответственности, чтобы определить, следует ли продолжить запрос авторизации.
Продавец использует API платежных карт, чтобы отправить запрос на авторизацию платежа, содержащий вышеуказанные значения вместе с оригинальными реквизитами карты.
При условии, что эти данные правильно передаются в API платежей по картам, и карта проходит проверку подлинности 3D Secure 2, ответственность за мошенничество обычно переносится с продавца на банк.

Аутентификация владельца карты (3D Secure 2) — это рекомендуемый шаг, который продавцы должны осуществлять в регионах, где распространена схема 3D Secure, чтобы снизить риски мошенничества и возвратных платежей.
Если ответ на аутентификацию 3D Secure не удался, продавцы должны рассмотреть вопрос о том, чтобы попросить клиента повторно отправить свой платеж или оплатить другим способом оплаты.Для получения дополнительной информации см. 3D Secure 2 Results and Liability Shift.