3dsecure авторизацию что это

3-D Secure

3-D Secure — защищенный протокол авторизации пользователей для CNP-операций (проходящих без физического присутствия карты). Это дополнительный уровень безопасности — еще один шаг аутентификации пользователя, который расплачивается за товары или услуги онлайн. Во время покупки, чтобы подтвердить онлайн-платеж, держатель карточки вводит особый код (как правило, получает его в сообщении на привязанный телефонный номер).

Если технология поддерживается онлайн-продавцом, на его сайте есть логотипы Verified by Visa (VbV) и (или) MasterCard® SecureCode™.

3-D Secure важно отличать от кода CVV2 (находится на оборотной стороне карточки возле подписи владельца и обычно состоит из 3 цифр).

3-D Secure не гарантирует абсолютную безопасность финансов: все же остается риск, что одноразовый код украдут компьютерные вирусы. Технологию поддерживают не все банки и не все интернет-магазины. Во многих случаях для перевода денег с карты требуется указать лишь имя и фамилия владельца, номер и срок действия карточки, CVV2-код.

«Беларусбанк» предлагает совершать безопасные платежи в интернете держателям международных карт Visa, Maestro, MasterCard, БЕЛКАРТ-Maestro, а также для получивших карточки Visa Electron, Maestro, действительных на территории Беларуси.

«Белинвестбанк» подключает к 3-D Secure карточки Visa и Visa Electron.

Актуальную информацию лучше узнавать в банке, эмитировавшем карточку.

Как подключить 3-D Secure

Услуга обычно бесплатная, однако некоторые условия (список доступных карт, подключение) разнятся.

В большинстве случаев владельцу карточки надо подключить интернет-банкинг и в нем активировать услугу.

Клиентам «Беларусбанка» это следует делать в разделе «Пароль 3-D Secure»: необходимо пройти регистрацию, придумав пароль (от 9 до 15 любых символов). Предусмотрен запасной пароль. Надо придумать секретный вопрос и ответ на него. Если пароль 3-D Secure потеряется или забудется, секретный вопрос позволит задать новый пароль для безопасных покупок в Сети.

«Белинвестбанк» предоставляет пользователям право получить доступ к 3-D Secure, если пользователь карты подключен к интернет-банкингу. В банкинге надо выбрать карту и нажать кнопку «3-D Secure». Затем задать пароль, написать личное приветствие, секретный вопрос и ответ; нажать кнопку «Сохранить».

«Приорбанк» предупреждает клиентов, что 3-D Secure применяется, если у банка есть актуальный номер мобильного телефона владельца карточки.

Держатели карт, полученных в «Белагропромбанке», должны войти в банкинге в меню «Операции в сети Интернет», там выбрать карту и нажать «Активация 3D-Secure». Затем заполнить стандартные поля.

«Альфа-Банк» автоматически активизирует 3-D Secure в течение 2 банковских дней после получения карточки, если ее владелец указал в анкете номер мобильного телефона.

Источник

Что такое 3-D Secure и как она защищает твою банковскую карту

Простота оплаты приложений, товаров и услуг сегодня позволяет нам расставаться с деньгами быстрее чем когда либо. Уважающий себя сервис сегодня должен иметь способ мгновенной оплаты своих услуг, иначе потребители уйдут к конкурентам.

К сожалению, такие технологии порождают новые возможности для мошенников. Доверия к приложениям и сайтам с каждым днем все меньше. Ты же знаешь, как могут увести данные твоей банковской карты.

Самое время вспомнить о проверенном временем способе защиты.

У клиента банка могут украсть карту или телефон, но вероятность, что в руках мошенников окажется и то и другое, гораздо меньше. Добавим к этому защиту на самом устройстве в виде пароля или биометрического сенсора и получаем довольно хороший уровень безопасности.

Как это работает

Изначально технология 3-D Secure была разработана для платежной системы Visa. Позже подобным протоколом обзавелись системы Masterсard, JCB International, AmEx, «Мир» (НСПК) и другие.

Сейчас практически все банки поддерживают 3-D Secure, но не всегда активируют защиту для клиентов по умолчанию.

Принцип работы технологии прост и знаком большинству из нас. При попытке совершения платежа от покупателя требуют не только данные карты, но и подтверждающий код, который приходит по СМС на привязанный мобильный номер.

Реже вместо СМС могут использоваться постоянные или одноразовые коды, которые известны лишь держателю карты.

Для ввода таких кодов всегда используется защищенный интерфейс банковской системы, что само по себе гарантирует безопасность оплаты.

Преимущества и недостатки

Такая двухфакторная авторизация призвана повысить защиту средств клиента, но имеет как положительные, так и отрицательные стороны.

Дополнительная защита никогда не бывает лишней, при краже карты или телефона снять деньги со счета практически невозможно. Даже если в руках злоумышленника окажется и то и другое – потребуется взломать еще и защиту смартфона.

3-D Secure снижает оперативность покупателя. СМС с паролем приходят не так быстро, как хотелось бы. Оператор может и вовсе «потерять» нужное сообщение, а если находишься в зоне неуверенного приема, проклинаешь эту защиту через пять минут.

Как еще можно защититься

Система 3-D Secure не гарантирует 100% защиту средств на карте. Для большей надежности следует придерживаться определенных правил:

Некоторые банки дополнительно предлагают застраховаться от потери денег с карты. За дополнительный процент или фиксированный ежемесячный платеж можно обезопасить себя от мошенников.

Источник

Что такое 3D secure на банковской карте, как подключить/отключить услугу и как ей пользоваться

Чтобы злоумышленники не воспользовались потерянной картой владельца, была придумана функция 3D Secure. Что она из себя представляет, как ее подключить и как использовать – обо всем этом будет рассказано дальше.

Что такое 3D secure простыми словами

Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:

Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.

Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.

Почему именно 3D

3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:

Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.

Как работает протокол

Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.

Протокол будет задействован только в том случае, если услуга активирована.

Как подключить 3D Secure

Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:

в офисе банка; по телефону; через банкомат; через онлайн-банкинг.

Примеры банков, которые подключают карты к 3D Secure:

Обратившись в офис местного филиала банка

Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:

Прийти в банк с паспортом и картой. Написать заявление о подключении. Форму для заполнения выдаст сотрудник. Активация произойдет после совершения первого платежа.

По телефону

Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:

Отправить Слово «Полный» в смс на номер 900. Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр. Ввести эти цифры в ответном сообщении и отправить снова на номер 900. Дождаться смс с подтверждением о подключении. Теперь можно безопасно оплачивать услуги и товары по интернету.

Через банкомат

Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.

Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее. Кликнуть по пункту «Другие операции». Найти и выбрать «3D Secure». Ввести номер мобильного, привязанного к карте.

Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.

Через онлайн-банкинг

Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:

1 Открыть главную страницу банка и войти в личный кабинет.

2 Нажать на вкладку «Карты».

3 В выпавшем меню выбрать «Подключение 3D Secure».

Отключение 3D Secure

Вообще нежелательно отключать данную функцию, если она была подключена, потому что тогда владелец карты не сможет оплатить товар или услугу в интернет-магазине, оснащенном этой защитой.

Причины, по которым владельцу может быть нужно отключить защиту:

переезд в другую страну; смена номера телефона; необходимость совершить покупку в тех магазинах, где 3D Secure не поддерживается.

В таких ситуациях банки могут помочь пользователю следующим образом:

Например, Альфа-банк дает возможность смены номера на иностранный, если так удобнее для клиента, без отключения защиты. Если пользователь все-таки настаивает на отключении, то он может обратиться в банк с письменным заявлением, (если финансовая организация не поддерживает услугу отключения функции защиты в личном кабинете пользователя). В онлайн-банкинге Сбербанка предусмотрена услуга отключения функции. Для этого пользователь должен в личном кабинете пройти во вкладку «Карты». В открывшемся списке под пунктом «Подключить 3D Secure» будет располагаться пункт «Отключить 3D Secure». Кликнуть по нему.

Как пользователю узнать о подключении карты к технологии защиты 3D Secure

Не все банки используют данную технологию, так как обслуживание этой функции – дорогостоящее. Финансовые организации, которые работают более 10 лет и имеют развитую розничную сеть (Сбербанк, Альфа-банк, ВТБ и другие известные банки), регулярно встраивают ее по умолчанию в выпускаемые карты.

Подключение к ней осуществляется сразу после получения и активации. По международным предписаниям карты Visa и Mastercard наделяются услугой по умолчанию.

Узнать, присутствует ли на карте пользователя эта функция или нет, владелец может двумя способами:

совершить покупку в интернет-магазине. Если смс с динамичным кодом не пришло на номер телефона, то это значит, что услуга не подключена. Например, Альфа-банк подключает эту функцию по умолчанию только для некоторых видов платежей. Поэтому, чтобы использовать возможности услуги полностью, рекомендуется узнать о наличии технологии вторым способом; обратиться к сотрудникам банка, в котором была выпущена карта.

Карточки с 3D-Secure

Список популярных банков, поддерживающих услугу 3D Secure:

Сбербанк; Альфа-банк; ВТБ; Бинбанк; «Русский Стандарт»; «Почта-банк»; «Тинькофф»; «Связной банк» с 2012 г.; «Уралсиб» с 06.2013; «Промсвязьбанк»; «Абсолют Банк» с 10.2013; МДМ с 11.2013; Ренессанс-кредит с 11.2013.

ДЛЯ СПРАВКИ: Карты, выпущенные ранее 2012 года, не поддерживают 3D Secure.

Интересные факты о безопасности

Интернет-магазин, который не поддерживает стандарт 3D Secure, не несет ответственность за безопасность платежа. Поэтому ответственность ложится на банк, выпустивший карту.

Однако, если пользователь подтвердил платеж динамичным кодом, пришедшим в смс, вся ответственность перекладывается на владельца. Если карта и пароль все-таки оказались в руках мошенника, законному владельцу не удастся доказать, что не он проводил платеж.

Все динамичные пароли, которые приходят по смс при проведении платежа, после введения в соответствующее поле и оплаты становятся недействительными. Они также имеют ограниченный срок действия: обычно это 5 минут. Эти коды не следует разглашать третьим лицам.

Например, владельцу карты приходит сообщение на почтовый ящик с предложением пройти по ссылке и забрать некий выигрыш. При этом он должен ввести данные своей карты, якобы чтобы получить деньги. Этого делать не стоит, так как компьютерная программа считает информацию карты пользователя, а потом использует в собственных целях.

Не рекомендуется оплачивать онлайн-покупки в общественных местах. В видеонаблюдении могут работать недобросовестные люди и следить за информацией, которую вводит держатель карты.

Преимущества и недостатки системы

К преимуществам можно отнести:

Получение нового кода в смс при каждой покупке или оплате. Не нужно держать пароли в голове и менять их раз в месяц. Простота процедуры. Безопасность. Доступ к телефону есть только у владельца карты. Если же он украден, то мошеннику потребуется еще и карта.

При плохой связи или при полном ее отсутствии смс-коды могут не прийти на телефон. О том, как решить проблему, если пользователь не дождался прихода динамичного пароля, будет рассказано в блоке «Ответы на вопросы». Возможность похищения кода с компьютера. Операционные системы, через которые проводится платеж, подвержены заражению вирусами. Последние умеют анализировать коды и отправлять их злоумышленникам.

Как избежать действий мошенников и обхода системы безопасности

Владелец карты может защитить себя от мошеннических действий следующими способами:

регулярно обновлять антивирусную базу и пользоваться только лицензионным антивирусом на компьютере или смартфоне, с которых проводятся платежи; ничего не покупать на неизвестных или малознакомых сайтах; внимательно читать текст, который пришел в смс вместе с динамичным кодом; желательно установить дневной лимит на снятие денег с карты. Это обезопасит владельца от потери всей суммы в случае атаки злоумышленников; и самый редкий, но все же встречающийся ход от воров электронных денег – это перевыпуск сим-карты. Поэтому, если телефон владельца перестал ловить сеть даже в тех районах, где всегда хорошо ловил ее, держателю карты нужно будет как можно быстрее обратиться в банк для блокирования счета и к своему провайдеру – для замены номера.

Платеж с помощью 3D Secure (подробная инструкция)

Совершить платеж в магазинах, где предусмотрена эта система безопасности, можно следующим образом. Такие онлайн-магазины помечаются специальными логотипами:

Предположим, владелец карты желает купить сумку в интернет-магазине.

1 Он выбирает товар и переходит на страницу оплаты.

2 Вводит информацию со своей карты для проведения платежа.

3 Пользователя перенаправят на страницу для ввода специального кода. На странице дана краткая информация, окно для ввода динамичного кода и логотип банка-эмитента.

4 Теперь держателю карты предстоит ввести одноразовый код, который придет на номер телефона, привязанный к карте.

При совпадении динамичного кода, пришедшего на телефон, и введенного пользователем платеж поступит в обработку и произойдет снятие указанной суммы с карточки.

Динамичный код не следует показывать третьим лицам. Вводить его нужно тому человеку, которому он пришел на телефон. Об этом предупредит смс с кодом.

Вопрос – ответ

Какие плюсы получают от данной функции интернет-магазины и продавцы?

Подключение этой услуги дает им защиту от фрода. Фрод – это вид мошенничества. Заключается в требовании возврата денег после оплаты и получения товара. Злоумышленник, прикидывающийся владельцем карты, обосновывает это тем, что не давал согласия на оплату.

Разрешена и безопасна ли покупка в магазинах без 3D Secure?

Многие торговые площадки в сети, например, как AliExpress, не поддерживают такую функцию и продают без проблем, еще и спросом пользуются. Банк проведет операцию в любом случае, даже если данные были украдены с помощью вируса и введены мошенником. При покупке товара владельцем карты он и так знает, что покупает он сам. Поэтому ответ положительный, но в любом случае надо полагаться на свой или чужой опыт, если нет своего, и на совсем уж подозрительных сайтах не совершать покупок.

Что делать, если одноразовый код не пришел?

Нажать на кнопку «Отправить код еще раз». Но перед этим убедиться в том, что:

смартфон включен, связь не заблокирована, тариф сотовой связи проплачен и действует; тарифный план предполагает получение СМС, если пользователь находится за рубежом; пользователь находится в зоне приема сети провайдера; телефон привязан к карте.

Что делать, если происходит ошибка авторизации 3D Secure?

Существует две причины, по которым приходит ошибка авторизации 3D Secure.

После этой ошибки желательно перезайти в браузер и провести платеж снова.

Можно ли отказаться от сервиса 3D Secure?

Данный сервис является обязательным. Многие магазины не работают с картами, на которых не задействована эта функция защиты.

Источник

Протокол 3D-Secure

Вся передаваемая подтверждающая информация от покупателя сохраняется на платежном сервере банка-эмитента, и интернет-магазин не имеет к ней никакого доступа (магазин может только сохранить часть информации по реквизитам платёжной карты, но в объёме не более чем это предписано в PCI DSS). Это защищает данные от хищения

Не все онлайновые магазины и банки поддерживают 3D-Secure. Эта технология не является обязательной и защищает в первую очередь торговую точку и банк от мошеннических операций. При возможности использования 3D-Secure, но не задействованном сервисе (например, карта клиента поддерживает данную технологию, а онлайн-магазин нет; или же наоборот платёжный сервис готов предоставить авторизацию по 3DS, а карта клиента не подключена к этому сервису), ответственность за несанкционированную транзакцию возлагается на сторону, по чьей вине не была использована технология 3DS. Узнать онлайн-магазины, поддерживающие технологию 3D-Secure, можно по размещенным на сайте или платёжной странице логотипам: Masterсard SecureCode и/или Verified by Visa .

Комментарии 38

3d secure защищает от мошенничества только продовца услуг! Клиента 3d secure полноценно защитить не может. Это значит что клиента с легкостью может обворовать любой человек, кто хоть раз в жизни видел банковскую карту, даже несмотря на наличие 3d secure на его карте.

Как это происходит? Элементарно. С 3d secure вас может обворовать пожалуй даже 6-ти летний ребенок. Хаккером для этого становиться совсем не обязательно.

Даже сотрудник вашего банка выдавший вам вашу карту и подключивший к ней 3d secure может сразу же после активацией вами вашей карты воровать оттуда деньги. Легко и не принужденно! Не верите?

Он может купить в любом интернет магазине не использующем 3d secure (коих в сети миллионы) товар по вашей карте. Для этого ему потребуется, ВДУМАЙТЕСЬ, всего лишь ввести номер и срок действия вашей карты, а также трехзначный код с обратной стороны карты. Все эти данные нанесены на вашу карту и в момент выдачи карты даже сотрудник вашего банка мог их запомнить\записать\сфотографировать. Вы же получили вашу карту не опечатанную в конфиденциальный конверт, не так ли? Я уже не говорю о любом официанте или кассире, который видел или держал в руках вашу карту.

Удивительно, но они именно это называют интернет мошенничеством. Много ли нужно ума, чтобы так смошенничать.

Всего-то надо запомнить номер карты, срок ее действия и три цифры с обратной стороны и даже несмотря на технологию 3d secure карту можно обчистить за считанные секунды просто купив по ней товар в интернет магазине! И никаких подтверждение по смс не будет!

Не верите? Действительно звучит весьма не безопасно для того, чтобы такое могло происходить в банке. Просто позвоните в свой банк и спросите! Вы будите крайне удивлены жалкими и увилистыми ответами сотрудника банка, которые подтвердят вышеизложенное.

Веселее всех конечно держателям кредиток. Их могут еще и в долги по карте вогнать!

Так что безопасность 3d secure для клиентов выглядит по меньшей мере смехотворно.

Но есть решение. Вы можете завести себе карту в нормальном банке. Например в альфабанке или банке тинькофф, возможно в каких-то еще. У них есть приложения для телефона, которые позволяют мгновенно включать и выключать платежи по карте. Таким образом вы всегда можете одним кликом на телефоне включить платежи по карте, совершить платеж и после этого одним кликом выключить платежи по карте. В этом случае, уже не получается ничего украсть с карты, потому что она практически все время будет выключена.

Так, что не надейтесь на 3d secure. Открывайте карту в банках с нормальным интернет банком и мобильным приложением, которое позволяет включать и выключать платежи по карте. И тогда ваши деньги будут в безопасности.

Источник

EMV 3-D Secure, или кто украл SMS с одноразовым паролем. Часть 2

В прошлой статье мы рассказали о том, как появился первый протокол надежной аутентификации для платежей по пластиковым картам 3-D Secure 1.0.2, какие задачи он решает и какими недостатками обладает. Теперь мы хотели бы рассказать о будущем технологии 3-D Secure, и почему не стоит переживать, если перестала приходить SMS с одноразовым паролем.

Рождение EMV 3-D Secure

К середине 2010-х моральное и техническое устаревание 3DS 1.0.2 подтолкнуло консорциум EMVCo (организация, занимающаяся разработкой стандартов в сфере платежных технологий) к разработке новой версии протокола, который получил название EMV 3-D Secure 2.0.
Он похож на своего предшественника, но вводит ряд существенных улучшений. Первая черновая (draft) версия спецификации EMV 3DS имела номер 2.0.1. Первая рабочая версия имеет номер 2.1.0. Перечислим ее основные возможности и особенности:

Frictionless-аутентификация. Протокол позволяет при помощи рискового анализа (Risk-based analysis или RBA) выполнить так называемую Frictionless-аутентификацию, то есть подтвердить принадлежность карты плательщику без его непосредственного подтверждения. Это одно из важнейших нововведений, которое влечет за собой основные преимущества нового протокола: удобство для клиента и повышение уровня конверсии для ТСП.

Поддержка нескольких «каналов» (channel) проведения аутентификации:

браузерный (browser-based или BRW) – привычный канал оплаты из интернет-магазина через браузер на десктопе, мобильном устройстве, и т.д.;

из приложения (application-based или APP) – 3DS-аутентификация выполняется непосредственно из мобильного приложения (браузер отсутствует), при этом за реализацию функций EMV 3DS отвечает специальная интегрированная в приложение библиотека SDK. Это позволяет улучшить пользовательский опыт, т.к. аутентификация проходит в нативном окружении платежного приложения (никаких больше корявых HTML-страниц!). При этом собираются дополнительные данные об устройстве, что важно для «узнавания» рисковой машиной клиента и повышает безопасность проводимой операции;

инициированный ТСП (3DS requestor initiated или 3RI) – инициируется магазином самостоятельно, без запроса держателя. Этот канал может быть использован для подписок, регулярных платежей и т.д.;

Поддержка двух «категорий» (category) аутентификации:

платежная (Payment или PA) – держатель аутентифицируется для того, чтобы совершить оплату товара или услуги, совершить денежный перевод;

неплатежная (Non-Payment или NPA) – держатель аутентифицируется при совершении операции, не предполагающей дальнейшего движения денежных средств. Например, привязка карты к сервису, проверка при токенизации карты, и т.п.;

Защищенность информационных потоков. В отличие от первой версии 3DS 1.0.2, в которой прикладные данные передаются через браузер, все значимые данные в EMV 3DS передаются через защищенную среду напрямую между компонентами платежной 3DS-инфраструктуры. Пользовательское устройство задействуется только для выполнения технических запросов при взаимодействии с ACS Эмитента;

Поддержка гибкой системы рискового анализа, которая, помимо выполнения Frictionless, может реагировать и на угрозы, в том числе с применением социальной инженерии. Если система фиксирует нетипичный для данного клиента денежный перевод, например, с незнакомого устройства или из другой страны, то такая операция может быть заблокирована, либо может потребовать усиленных методов аутентификации. Для подтверждения может потребоваться не только ввод одноразового пароля, но и ответы на дополнительные контрольные вопросы или введение биометрических данных. Разумеется, это не защищает от соц. инженерии на 100 % (если держатель хочет отдать свои деньги мошенникам, он их отдаст), но снижает вероятность успешного мошенничества по сравнению с первой версией 3DS.

Как видим, имеющиеся проблемы 3DS 1.0.2 в значительной степени решаются EMV 3DS 2.0. Кроме того, протокол активно развивается, платежные системы и банки занимаются внедрением его следующей версии – 2.2.0 (а на очереди уже 2.3.0), которая вводит ряд дополнительных возможностей. Но об этом в конце нашей статьи.

Схема работы EMV 3-D Secure 2.0

Протокол 3-D Secure 2.0 построен поверх HTTPS протокола с использованием сообщений в формате JSON (почему JSON предпочтительней XML, который использовался в 3-D Secure 1.0, можно почитать тут или тут). Состав доменной модели не изменился (описание можно посмотреть в разделе «Схема работы 3-D Secure 1.0.2» в предыдущей статье). Основные изменения коснулись именно схемы работы, упрощенная модель которой представлена на рисунке ниже.

В EMV 3DS добавлен новый информационный поток между 3DS Server (как теперь называется MPI) и DS. В нем 3DS Server периодически получает с DS запросом PReq (1) информацию о подписанных на протокол карточных диапазонах Эмитентов и их параметрах. В ответном сообщении PRes компонент DS для каждого карточного диапазона возвращает поддерживаемую версию протокола, дополнительные опции, а также адрес 3DS Method URL. 3DS Method URL – это URL-адрес компонента ACS, который должен вызваться 3DS Server-ом в браузере перед аутентификацией пользователя. Благодаря этому вызову ACS может выполнить идентификацию устройства, собрать его параметры и при получении запроса на аутентификацию связать его с этими данными.

Аутентификация клиента при совершении операции через браузер (Browser-based) состоит из следующих основных шагов:

Оформление заказа в интернет-магазине с оплатой онлайн. Покупатель на платежной странице интернет-магазина вводит реквизиты карты и нажимает «Оплатить»;

Интернет-магазин передает информацию о платеже в 3DS Server;

3DS Server при наличии 3DS Method URL инициирует его вызов в браузере клиента, после чего формирует сообщение AReq (2), которое содержит:

данные об интернет-магазине;

собранную информацию о клиентском устройстве.

Сообщение AReq передается в DS;

DS проверяет AReq, определяет Эмитента карты и отправляет AReq (3) в ACS;

ACS на основе данных из AReq и собранных данных об устройстве (3DS Method) принимает решение о необходимости и способе дополнительной проверки покупателя;

ACS возвращает в DS ответ – сообщение ARes (4). В нем ACS передает свое решение по аутентификации. При необходимости дополнительного подтверждения так же передается адрес страницы ACS;

DS проверяет сообщение ARes и передает его в 3DS Server (5);

3DS Server проверяет сообщение и анализирует принятое ACS решение:

если ACS подтвердил успешную аутентификацию (например, используя рисковый анализ), то стадия 3DS на этом завершается. 3DS Server инициирует проведение платежной авторизации и перенаправляет браузер покупателя обратно в интернет-магазин, где отображается результат оплаты;

если ACS потребовал дополнительное подтверждение, то 3DS Server формирует сообщение CReq (6), которое передается через браузер на URL-адрес ACS, полученный в ARes.

ACS отображает страницу с пользовательским интерфейсом для аутентификации покупателя;

Покупатель вводит полученный код и нажимает «Подтвердить». В ACS отправляется запрос с введенным одноразовым кодом;

ACS проверяет одноразовый код и выполняет отправку сообщения RReq (7) с результатами аутентификации в DS;

DS проверяет сообщение и передает его в 3DS Server (8);

3DS Server проверяет сообщение, фиксирует результат аутентификации и в ответ формирует сообщение RRes (9). Оно нужно, чтобы проинформировать DS и ACS об успешном получении RReq с результатами аутентификации;

DS проверяет сообщение RRes и передает его в ACS (10);

ACS проверяет сообщение RRes и выполняет формирование сообщения CRes (11), которое через браузер передается на адрес 3DS Server. CRes-сообщение требуется, чтобы вернуть браузер пользователя со страницы ACS обратно в интернет-магазин;

3DS Server получает CRes, проверяет его и, в случае успеха, инициирует финансовую часть операции;

3DS Server перенаправляет браузер в интернет-магазин с информацией о результате проведения операции.

В случае Application-based канала, схема взаимодействия имеет лишь незначительные отличия, поэтому отдельно ее рассматривать не будем.

Аутентификация при помощи одноразового кода при описании схемы работы протокола приведена лишь для примера. Спецификацией предусмотрено множество различных вариантов аутентификации Эмитентом держателя карты, включая биометрию, вызов внешних сервисов аутентификации и т.д.

История запуска 3-D Secure в ПС «Мир»

В платежной системе «Мир» вопрос запуска технологии 3-D Secure встал вместе с запуском самой платежной системы в 2015 году. Пускать в полномасштабный тираж в масштабах страны карту без защиты платежей в интернете было невозможно, поэтому параллельно с наладкой и запуском платежной системы, проводилась работа по реализации сервиса 3-D Secure и подготовка сопутствующих правил и регламентов для банков. На старте было заключено соглашение с другой платежной системой, владеющей лицензионными правами на технологию 3DS 1.0.2. Это решение, с одной стороны, гарантировало корректность работы всей платежной инфраструктуры, включая сайты торгово-сервисных предприятий (ТСП), банков и платежных сервис-провайдеров. С другой стороны, обеспечивало максимальную скорость решения задачи. 3DS-сервис для карт национальной платежной системы получил название MirAccept.

Запуск собственной платформы MirAccept занял почти два года. За это время было подготовлено техническое задание, выполнена разработка, проведено тестирование, приемка и внедрение. Запускалась платформа с поддержкой одновременно двух протоколов: MirAccept 1.0, основанного на 3-D Secure 1.0.2, и MirAccept 2.0, основанного на современном стандарте EMV 3-D Secure 2.0. Одновременно с запуском платформы решался еще целый ряд задач, таких как создание сертификационной среды для проверки соответствия банков правилам и стандартам сервиса, разработка тестовых сценариев, написание руководств и регламентов по сертификации и подключению, разработка бизнес-процессов подключения и прочее. Благодаря слаженной работе команды, в сентябре 2017 года собственная платформа MirAccept была успешно запущена, и с пилотными банками были проведены первые промышленные операции оплаты с аутентификацией держателя через собственный сервис MirAccept.

На момент запуска нового протокола MirAccept 2.0 (в 2017 году) о протоколе EMV 3-D Secure 2.0, на котором он основан, в банковской среде практически не знали. ПС «Мир» в этом смысле стала новатором, запустив этот протокол первой из всех крупнейших платежных систем (и, возможно, первой вообще). НСПК фактически стала драйвером по продвижению новой технологии в платежном пространстве РФ. С 2017 года начинаются обучающие семинары и лекции, причем не только для банковских специалистов, которым вскоре предстояло внедрять соответствующие программные комплексы в своих банках, но и для разработчиков и поставщиков программных решений. Для разных целевых аудиторий были разработаны курсы различной степени погружения и детализации. Они включали широкий круг тем – от верхнеуровневого обзора технологии, до рассмотрения деталей реализации требований спецификации, криптографических операций и программных методов интегрируемого в платежное приложение SDK. В настоящий момент платежный рынок с технологией знаком уже достаточно тесно, и потребность в обучении снизилась. Тем не менее периодически мы и сейчас проводим семинары (а в текущих условиях вебинары), посвященные принципам работы технологии, процессам сертификации, а также подключения к сервису Банков и платежных провайдеров.

Вскоре после запуска Платформы MirAccept стало понятно, что Банкам нужна помощь в проведении рисковой оценки операций, т.к. на внедрение собственных систем рискового анализа не всегда есть время и ресурсы. С другой стороны, без этой функциональности переход на новый протокол обозначал лишь замену старых сообщений 3DS 1.0.2 новыми сообщениями EMV 3DS 2.0 без изменения пользовательского опыта. Именно frictionless-аутентификация без дополнительного подтверждения от держателя карты, при сохранении уровня безопасности, является главным преимуществом нового протокола. И для того чтобы она работала, была необходима система рискового анализа.

Исходя из этих соображений, уже в конце 2017 года было проведено предпроектное исследование, а в 2018 году запущен проект по созданию собственной RBA-машины, которая получила название Сервис принятия решений (СПР).

К августу 2019 года (менее чем за два года) проект был завершен, и сервис был запущен в пилотную эксплуатацию. Для его работы была разработана собственная рисковая модель, которая учитывает десятки атрибутов совершаемого платежа, начиная от характеристик пользовательского устройства и заканчивая статистикой подтвержденных мошеннических операций в данном торгово-сервисном предприятии. Т.к. платежная система находится на пересечении всего межбанковского платежного трафика, СПР имеет возможность анализировать значительный объем данных, и по каждому платежу оценивать, насколько операция соответствует типичному пользовательскому поведению. Результат работы сервиса передается банкам в виде значения рискового балла, чтобы они могли принять окончательное решение, требуется ли запросить дополнительное подтверждение операции у держателя или ее можно провести в режиме frictionless. Первые по-настоящему аутентифицированные операции по frictionless-сценарию пошли уже в конце 2019 года.

Если говорить про перспективы рискового анализа в целом, то уже сейчас возможно с высоким качеством оценивать 40-60 % операций в так называемую «зеленую зону», то есть не требовать по ним дополнительного подтверждения платежа от держателя. Некоторые банки используют для этого СПР, другие пользуются собственными решениями по рисковому анализу.

На сегодняшний день развитием Платформы 3-D Secure в НСПК занимается выделенная команда. Совсем недавно ядро нашей Платформы (компонент Directory Server) успешно прошло сертификацию в независимой тестовой лаборатории EMV, и мы получили подтверждение соответствия нашего компонента требованиям последней действующей версии спецификации EMV 3DS 2.2.0. Это открывает для нас возможность предоставления банкам-участникам новых возможностей на базе спецификации 2.2.0. Далее мы хотим рассказать об этих возможностях.

Новые возможности в EMV 3DS 2.2.0

Выпущенная в конце декабря 2018 года версия спецификации 2.2.0 содержит важные нововведения и улучшения:

Платежная аутентификация в 3RI канале. В 2.1.0 версии для 3RI была возможна только неплатежная аутентификация (NPA), уместная, например, при привязке карты к личному кабинету, электронному кошельку и т.д., что не востребовано для операций, инициируемых ТСП без участия держателя. В 2.2.0 стала возможна и реализация платежной аутентификации (PA) в рамках 3RI. Причем сценарий аутентификации возможен как Frictionless, так и Challenge. В последнем случае используется новый подход к аутентификации – Decoupled Authentication.

Decoupled Authentication или отложенная аутентификация – это подход, при котором проверка держателя карты может быть отложена во времени. Метод аутентификации, который будет при этом использоваться, остается на усмотрение эмитента. Например, это может быть звонок из банка клиенту в удобное для него время, запрос подтверждения по e-mail или через мобильное приложение. Ключевым является то, что подтверждение требуется не в сам момент проведения операции, а может быть выполнено в течение длительного периода времени, до семи дней.
Для проведения отложенной аутентификации 3DS Server отправляет в запросе AReq специальный флаг, указывающий на возможность проведения отложенной аутентификации. ACS, исходя из настроенного для конкретной карты метода аутентификации, может согласиться с проведением отложенной аутентификации или нет. Если он соглашается, то аутентификация проводится выбранным способом. По итогу проведенной проверки клиента ACS отправляет стандартное сообщение с результатом аутентификации (RReq) платежной системе (в DS), после чего оно перенаправляется банку Эквайреру в 3DS Server. Преимущество данного метода состоит в том, что подтверждение клиента никак не привязано к процессу покупки услуги или сервиса, что может быть успешно использовано, например, для следующих видов 3RI платежей:

подписка на сервис (рекуррентные платежи – ежемесячные оплаты услуг провайдеров связи и интернета, аренда, услуги онлайн-кинотеатров и т.д.);

продление страховых и прочих услуг (продление страхового полиса, покупка новых услуг по предварительной договоренности с клиентами и т.п.).

Whitelisting. Еще одно нововведение спецификации 2.2.0 – это возможность для клиента добавить ТСП (интернет-магазин или иную компанию, в адрес которой производится оплата) в список доверенных (whitelist) на стороне Эмитента. На странице аутентификации держатель имеет возможность подтвердить добавление в белый список данного ТСП. Обязательным условием добавления в белый список является успешно проведенная аутентификация по Challenge-сценарию. При этом ACS дополнительно может проинформировать 3DS Server об успешном добавлении данного магазина в белый список.

По итогу Эмитент может проводить последующие операции из этого ТСП по этой карте без дополнительного обращения к держателю карты, то есть по frictionless-сценарию, т.к. клиент дал на это осознанное согласие. Кроме того, банк Эквайрер при последующих оплатах также может запрашивать проведение операции по frictionless на основании того, что ТСП находится в белом списке. Держатель карты получает контроль над тем, в каких магазинах он разрешает оплату без доп. подтверждения, что в итоге улучшает клиентский опыт. Магазин при этом получает увеличение конверсии, т.к. убирается лишний барьер для клиента в виде обязательного подтверждения операции.
По сути whitelisting является простым и дешевым способом реализовать преимущества EMV 3DS 2.0 без создания сложной RBA-машины.

Перспективы внедрения 2.2.0 на рынке

Как видим, все нововведения в 2.2.0 направлены прежде всего на улучшение клиентского опыта и увеличение конверсии. Клиент на сегодняшний день очень требователен к удобству процесса оплаты, поэтому интернет-магазины находятся в бесконечной гонке по созданию различных гибких сценариев оплаты. Возможность добавления в белые списки (Whitelisting), например, поможет клиентам, которые постоянно оплачивают покупки на одних и тех же сайтах, делать это более удобно, не отвлекаясь на дополнительные окна и ввод кодов подтверждения. А новые механизмы отложенной аутентификации (Decoupled Authentication) позволят интернет-магазинам и банкам-эквайрерам значительно повысить конверсию рекуррентных платежей. В данный момент такие платежи считаются небезопасными, т.к. в процессе платежа не проверяется личность клиента (платежи проходят без 3DS). Новая технология от EMVCo позволяет проверить клиента удобным для него способом, например, через то же банковское приложение с помощью Push-уведомления, не заставляя его при этом одновременно идти на сайт и совершать платеж.

Кроме того, EMV 3DS 2.0 позволяет использовать специальные служебные поля (т.н. Extension fields) для безопасной передачи дополнительной информации между Участниками процесса аутентификации. Из последних изменений, например, появилась возможность передачи дополнительных данных о пассажире от магазина (авиаперевозчика или туроператора) к банку Эмитенту (т.н. Airlines Data или «Длинная запись»). Об этом изменении EMVCo выпущен отдельный бюллетень, разъясняющий правила использования служебных полей для этих целей (Travel Industry Message Extension). Эта и подобные возможности дают шанс реализовать сложные задачи в рамках современного быстро развивающегося рынка e-commerce и ставят перспективы развития технологии EMV 3DS 2.0 на ступень выше своего предшественника.

Заключение

Дальнейшее проникновение EMV 3DS 2.0 в платежную инфраструктуру приведет к более широкому использованию RBA и снижению доли операций, требующих подтверждения от клиента. Работа по улучшению качества передаваемых данных и обогащения их опциональными реквизитами платежа еще больше усилят этот тренд.

На сегодняшний день отсутствие подтверждения операции одноразовым кодом все еще вызывает обеспокоенность рядового пользователя. Но, возможно, на горизонте в несколько лет ситуация изменится, и вопросы будет вызывать, напротив, запрос банком дополнительного подтверждения при совершении типового платежа. Наиболее технологичные и современные игроки рынка уже сегодня перестают запрашивать дополнительное подтверждение по операциям, соответствующим типичному покупательскому профилю держателя карты.

Внедрение новых возможностей, таких как отложенная аутентификация и белые списки, еще более усложнит 3DS-инфраструктуру, но при этом предложит конечному пользователю банковской карты гибкость и возможность изменять платежные настройки под себя, что еще выше поднимет удобство платежей по картам.

Переход платежных приложений на работу с интегрированным SDK сделает процесс подтверждения более гладким и удобным. При этом, благодаря передаче отпечатка устройства, также значительно повысится уровень «узнавания» Эмитентом своего клиента. Доля операций, требующих подтверждения, будет стремительно падать по мере распространения таких приложений и их активного использования держателями карт для оплаты товаров и услуг.

Платежная аутентификация для merchant-initiated платежей также повысит конверсию платежей по подпискам на регулярные сервисы, которые становятся особенно востребованными в последние годы вместе с переходом на сервисную модель потребления.

Таким образом, в ближайшие несколько лет мы предполагаем решение большей части проблем, связанных с наследием технологии 20-летней давности, 3-D Secure 1.0.2, и изменение в лучшую сторону пользовательского опыта при совершении платежей по банковским картам в сети интернет.

Терпеливый читатель, дошедший до конца нашей статьи, теперь знает, кто украл SMS с одноразовым паролем, и почему не стоит бояться операций в интернете без дополнительного подтверждения. Всем безопасных платежей!

Источник