Card not present что это
CNP операции по кредитной карте
Ежедневно по пластиковым картам совершается огромное количество операций, определенная часть из которых относится к CNP операциям. Для большинства пользователей этот термин не совсем понятен, несмотря на то, что практически каждый держатель карты периодически прибегает к такому типу операций.
CNP по пластиковой карте – что это такое
Правильная расшифровка данной аббревиатуры — Card not present transaction, что подразумевает совершение операций без присутствия карты. Отсюда следует, что любая дистанционная операция автоматически подпадает под этот термин.
Для совершения операции через интернет не потребуется проводить карту через платежный терминал, вводить пин-код, совершать какие-либо другие действия, связанные с физическим присутствием покупателя в торговой точке. Достаточно ввести реквизиты карты в платежной форме, и подтвердить операцию через смс-код. После списания средств с баланса карты, CNP операция считается завершенной.
С таким способом оплаты сталкивался практически каждый, у кого на руках имеется пластиковая карта. Функционалом для совершения CNP операций обладают все карточки – независимо от их вида, страны выпуска, наименования банка-эмитента.
Но CNP операции не ограничиваются только совершением покупок в интернете. Это всего лишь одно из разновидностей таких операций. Помимо этого варианта, предусматриваются следующие виды CNP операций:
Brobank: Все совершаемые CNP операции можно объединить под одним термином – дистанционные операции, без физического присутствия покупателя и наличия карты. Указанные в списке термины только на первый взгляд кажутся сложными и незнакомыми. На самом деле и с такого рода операциями многие пользователи встречаются почти ежедневно.
Что такое MO\TO операции
Этот вид операций, в свою очередь, имеет два направления — Mail Order и Telephone Order. Разница заключается только в механизме совершения операции. В обоих случаях речь идет о дистанционном использовании кредитной карты.
Mail Order операции
Mail Order – вид CNP операции, при котором держатель передает данные по своей карте через электронную почту. С такой операцией сталкивался каждый, кто, к примеру, дистанционно бронировал гостиницу.
Платеж совершается в следующем виде:
По прибытию пользователя на место, оператор передает информацию в банк, после чего блокированная сумма списывается с баланса карты. На этом операция Mail Order завершается. На практике все происходит гораздо быстрее, так как процесс полностью автоматизирован.
Telephone Order операции
С операциями уровня Telephone Order все происходит по тому же сценарию, но здесь все немного сложнее. Учитывая большой риск, операторы допускают использование такого варианта только постоянными клиентами, с которыми в течение длительного времени действуют партнерские отношения.
Но и в этом случае будут соблюдаться типовые меры идентификации держателя карты. Перед принятием оплаты оператор должен быть уверенным на 100%, что карта не попала в руки третьих лиц, и что операцию совершает непосредственно ее владелец. В телефонном режиме сделать это несколько сложнее, чем через заполнение онлайн формы. Но и такой вид достаточно распространен в потребительском сегменте.
Рекрутинговые платежи
Более часто используемый вид CNP операций, чем 2 предыдущих. Заключается он в создании так называемых автоматических платежей («авто-платеж по карте»). Смысл такой операции состоит в том, что она (операция) будет производиться без каких-либо действий, предпринимаемым пользователем. Обычно все происходит по следующему сценарию:
Для того, чтобы рекрутинговые платежи совершались бесперебойно, пользователю нужно позаботиться о наличии соответствующей суммы на балансе карты. Рекрутинговые платеж за определенную услугу может быть отключен владельцем карты в любой момент. По одной карте может быть подключено сколько угодно рекрутинговых платежей – все зависит от потребностей владельца карты.
Насколько безопасны CNP операции по кредитной карте
О безопасности такого рода операций споры ведутся давно, но без них сегодня трудно себе представить потребительский сегмент в целом. Если на время отключить эту опцию, то все покупки придется совершать в точках продаж лично – не самый удобный вариант, если учесть, что гостиница на отпуск может находиться в другой части Света.
С разработкой технологии 3D-Secure повысился и уровень безопасности всех дистанционных операций по пластиковым картам. Поэтому большинство случаев несанкционированного доступа к карте или совершения мошеннических действий связано с халатным отношением к мерам безопасности со стороны самих владельцев карт.
Несколько важных моментов:
Соблюдение этих простейших правил поможет держателю карты избежать несанкционированного доступа к счету, а также потери собственных средств. По статистике большинство случаев пропажи средств с кредитных карт связывается именно с пренебрежением этими обязательными правилами.
Что такое CNP операция по пластиковой карте
Расшифровать эту аббревиатуру несложно – card not present, что обозначает проведение банкинг-операции без наличия пластиковой карты. Каждый такой дистанционный расчет непроизвольно подпадает под определение cnp транзакции. Какие cnp-транзакции бывают, в чем их достоинства и недостатки? Насколько они безопасны, и как можно защититься от мошенников?
Содержание
CNP операции по кредитной карте с использованием интернета не требуют наличия платежного терминала, введения pin-кода и прочих телодвижений, которые обычно вызваны реальным присутствием человека в магазине. Нужно всего лишь ввести данные платежной карточки и подтвердить действие с помощью sms-сообщения на указанный номер телефона. После подтверждения средства списываются со счета, и cnp транзакция окончена.
Почти каждому интернет-пользователю знакома операция без присутствия карты, cnp – это удобно, быстро и качественно проведенная оплата в интернете. Функцию cnp транзакции сегодня поддерживают все банковские карточки, вне зависимости от вида, государственной принадлежности и названия банка.
CNP операции по кредитной карте нужны не только для оплаты интернет-покупок. Это только один из видов cnp транзакций. Используют следующие разновидности card not present:
Говоря о Cnp транзакции, учитывайте, что это объединенное название для всех дистанционных банковских оплат без живого присутствия держателя пластика и терминала. Перечисленные выше названия разновидностей карточек только для непосвященных кажутся непонятными. В действительности с подобными схемами клиенты сталкиваются каждый день.
MO\TO операции
Этот вид операционных проводок подразделяется на два направления: Telephone-Order и Mail-Order. Отличаются эти два вида банковских продуктов только механизмом их совершения. Но и MailOrder, и TelephoneOrder – это использование карточки дистанционно.
Mail Order
Это cnp транзакция, в ходе которой пользователь передает данные с помощью электронной почты. В быту особенно часто Mail-Order используется для бронирования гостиничного номера.
Последовательность такой cnp-транзакции следующая.
Только после прибытия клиента в гостиницу банку поступает команда о перечислении заблокированной суммы с баланса карточного счета. На этом Mail-Order окончена. В действительности все проходит намного быстрее, чем описано, так как механизм целиком автоматизирован и проходит с минимальным вовлечением человеческого фактора.
Telephone Order
В случае cnp транзакции механизм проводки такой же, но сложнее. С учетом рискованности Telephone-Order применяется исключительно для постоянных клиентов, благонадежность которых проверена временем.
Но и для Telephone-Order соблюдаются обычные способы верификации клиента. Перед принятием оплаты продавец товаров или услуг по телефону убеждается, что имеет дело действительно с владельцем счета, а не с ворами. По телефону сделать это несколько сложнее, чем в случае использования онлайн-формы по почте. Но и этот вид дистанционного обслуживания довольно распространен среди потребителей банковских услуг.
Рекуррентные платежи
Наиболее используемая разновидность cnp транзакций – рекуррентные. Цель такой cnp-транзакции заключается в формировании автоматических платежек по карточке. Для рекрутингового механизма никаких усилий владельца не требуется. Механизм оплаты отвечает следующей схеме.
Операция без присутствия карты, cnp (эти регулярные перечисления) должны осуществляться бесперебойно. Для этого на счете держателя должна всегда присутствовать достаточная сумма средств на балансе. Пользователь может в любой момент приостановить регулярные платежи либо сделать прямо противоположное – оформить несколько рекуррентные манипуляций на одной карточке, если это нужно.
Безопасны ли CNP операции по кредитной карте?
Это дискуссионный вопрос, но во многом он теоретический, потому что представить себе современный мир без cnp транзакции сложно – все приобретения придется делать лично на точках продаж. Потребительский сектор в этом случае сильно пострадает, ведь бронируемая гостиница нередко находится на другом материке или в противоположной части света!
Сегодня мошеннические действия с картой или криминальный доступ к банковским счетам возможен только в случае халатности со стороны держателей карт.
Важно учитывать несколько принципиальных посылов.
Следование этим простым алгоритмам поможет владельцу банковского пластика избежать потери средств, вызванной несанкционированным доступом к счету в банке. Статистические исследования доказывают, что большинство случаев воровства средств с кредитных и депозитных карт вызвано неосторожной халатностью клиентов банков.
card-not-present
Смотреть что такое «card-not-present» в других словарях:
card not present — UK US (also card not present) adjective (ABBREVIATION CNP) ► COMMERCE, BANKING used to show that a credit card has been charged but not seen by the person or business to be paid: »Internet transactions are card not present and are especially… … Financial and business terms
Card not present transaction — A card not present transaction (CNP) is a credit card purchase made over the telephone or over the Internet where the physical card has not been swiped into a reader. It is a major route for credit card fraud. If a fraudulent transaction is… … Wikipedia
card-not-present merchant account — /ˌkɑ:d nɒt prez(ə)nt ma:tʃənt əˌkaυnt/ noun an account that enables businesses operating on the web to receive payments by credit card without the buyer or card being physically present when the transaction is made … Marketing dictionary in english
Customer not present — A customer not present transaction, in the context of credit and debit cards, refers to a transaction conducted at a distance, for example over the telephone or internet. The customer s card number is keyed manually into the sales terminal, and… … Wikipedia
Card security code — The Card security code is located on the back of MasterCard, Visa and Discover credit or debit cards and is typically a separate group of 3 digits to the right of the signature strip … Wikipedia
Card Security Code — The Card Security Code (CSC), sometimes called Card Verification Value (CVV), Card Verification Value Code (CVVC), Card Verification Code (CVC), or Verification Code (V Code or V Code) is a security feature for credit or debit card transactions,… … Wikipedia
Card Sound Bridge — Card Sound Bridge, looking west towards the toll station Card Sound Bridge is a high rise toll causeway connecting southern Miami Dade County and northern Monroe County. It is one of only two ways that motorists can leave or enter the Florida… … Wikipedia
Card game — A card game is any game using playing cards, either traditional or game specific. Countless card games exist, including families of related games (such as poker). Some games have formally standardized rules, while rules for others can vary by… … Wikipedia
card — I UK [kɑː(r)d] / US [kɑrd] noun Word forms card : singular card plural cards *** 1) [uncountable] British thick stiff paper, thinner than cardboard 2) a) [countable] a piece of thick stiff paper folded into two equal parts, with a picture and a… … English dictionary
CARD domain — Caspase recruitment domains, or CARD domains, are interaction motifs found in a wide array of proteins, typically those involved in processes relating to inflammation and apoptosis. These domains mediate the formation of larger protein complexes… … Wikipedia
Credit card — Personal finance Credit and debt Pawnbroker Student loan Employment contract Salary Wage Empl … Wikipedia
Оплата по реквизитам карты Card Not Present (CNP-фрод)
Платежная транзакция, совершаемая без предъявления карты, т.е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction.
Качественно высокого уровня безопасности в e-commerce операциях позволяет добиться использование протокола 3D Secure, известного также как MasterCard SecureCode и Verified by VISA. Данная технология обеспечивает взаимную аунтентификацию всех участников электронной сделки: держателя карты, ТСП и банка-эквайрера. Однако существенные финансовые затраты на сертификацию для банков-эквайреров являются сегодня сдерживающим фактором для массового продвижения этой технологии.
Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т.п. С держателя карты без предварительного уведомления ежемесячно начинают списывать по нескольку долларов за подобные услуги. Эмитентом такие операции успешно опротестовываются.
Актуальны случаи, когда недобросовестные сотрудники турагентств бронируют номера в гостиницах за границей по случайно попавшим в их поле зрения реквизитам карт с целью получения въездных виз клиентам с индивидуальными турами. После получения визы эти лица не утруждают себя отменить бронь номера, и с законного держателя карты гостиница удерживает стоимость проживания за сутки, так называемое «no show fee».
Помимо финансовых затрат со стороны банка на фрод-мониторинг, страхование рисков, оплату высококвалифицированных специалистов по претензионной работе мошенничество влечет невосполнимые репутационные риски. Даже сам факт возможности мошенничества является сильным сдерживающим фактором популяризации оплаты товаров и услуг в сети Интернет по банковским платежным картам.
По данным НАФИ, лишь 18% россиян совершают покупки в сети Интернет, 36% из них используют для оплаты товаров и услуг банковские платежные карты. Webmoney и Яндекс-деньги популярны у 54 и 49% опрошенных.
Мероприятия по противодействию мошенничеству:
•обучение держателей карт мерам безопасного обслуживания карт, в частности не передавать реквизиты карты третьим лицам. Рекомендации клиентам использовать для оплаты товаров и услуг в Интернете только специализированные карточные продукты типа «виртуальная карта» (Virtual card);
•контроль за транзакционной активностью ТСП, периодическая проверка соответствия деятельности ТСП заявленной им при заключении договора с банком-эквайрером;
•выполнение со стороны банка-эмитента и банка-эквайрера требований PCI DSS по сокрытию информации о платежных реквизитах карт в электронных базах данных;
•использование фрод-мониторинга авторизационного трафика;
•переход участников электронной коммерции на использование протокола 3D Secure.
3D Secure, или что скрывают механизмы безопасности онлайн-платежей
Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.
Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.
Почему протокол 3D Secure называется именно так?
Полное название этого протокола — Three Domain Secure.
Первый домен — домен эмитента — это банк, выпустивший используемую карту.
Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.
Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure. Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.
Зачем это нужно?
3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации.
Еще одним важным моментом является «перенос ответственности». Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к. до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.
Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии.
Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.
Версии протокола 3D Secure
В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.
На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.
Как это устроено?
Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.
На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.
Как это работает?
Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.
1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.
После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.
После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.
VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.
Клиенты не могут видеть эти два типа сообщений.
2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.
Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.
3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.
А поподробнее?
CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.
В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.
VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается.
Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.
Pareq
Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.
Платежный запрос, содержащий PaReq (метод POST), имеет три параметра:
1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции;
2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;
3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.
Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.
Важный момент №1: ACS сервера обрабатывают все входящие PaReq!
Что входит в параметр PaReq?
Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.
Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).
При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:
Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!
Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:
Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.
Раскрутим XXE
Рассмотрим следующий пример:
acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.
Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.
Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:
Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку «billion laughs» (проверялось на тестовом сервере).
Где это можно найти?
В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:
И распространенные имена поддоменов:
Впрочем, иногда вы можете найти и другие интересные пути.
Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.
3D Secure v 2. *
Как мы писали ранее, в 3DS v1.0 есть некоторые проблемы.
Основная проблема в том, что покупатель может использовать множество разных типов устройств. Планшет, мобильный телефон, умные часы, умный чайник и т.д. Но сайт ACS не всегда разработан для взаимодействия со всеми типами устройств.
Для этого в 3DS 2.0 предусмотрели 3DS SDK.
Другая проблема состоит в том, что новый тип защиты требует дополнительного взаимодействия с клиентом. И этот момент влияет на конверсию. Решением проблемы конверсии стала возможность использования механизма управления рисками, который позволяет не заставлять пользователя вводить дополнительные секретные данные, если банк обладает достаточным количеством информации, подтверждающей личность клиента.
Следующий важный момент заключается в том, что технологии аутентификации развиваются. Соответственно, 3DS могла бы использовать не только OTP. Поэтому v2 задумывалась с возможностью расширения поддержки различных механизмов аутентификации.
Интересный факт про v1.0. Люди некоторых стран не доверяли этому протоколу, потому что видели редирект и думали, что это мошенничество!
Этот психологический момент послужил причиной изменения спецификации второй версии протокола для сокрытия момента перенаправления.
Как работает 3D Secure v2?
Начало потока платежей аналогично предыдущей версии. Клиент должен указать данные своей карты.
Первый и самый важный момент — это Risk Engine. В версии 1.0.2 клиенты всегда должны вводить второй фактор, например OTP. Однако в версии 2. * клиент может никогда не увидеть этот дополнительный защищенный запрос.
Особенности работы v2
Если вы посмотрите на схему потока платежей, вы увидите, что она похожа на предыдущую, но во 2-й версии больше этапов. Это происходит за счет добавления дополнительных аутентификационных запросов и механизма Risck Engine, который может совершать как один дополнительный запрос (при платеже через браузер), так и множество (используется 3DS SDK).
Условно, 2-ю версию можно разделить на два блока. Красный, где пользователь непосредственно влияет на передаваемую информацию, и желтый, где система сама собирает и передает информацию о пользователе.
А поподробнее?
AReq (base64url) расскажет все о вас и об устройстве, с которого совершена покупка.
Если вы задумаетесь о том, какой информацией о вас располагают рекламные агентства, то данные AReq вас не удивят. Но если вам кажется, что это плохо, рассмотрите следующий момент: банки знают все о ваших покупках и о вас. С этой точки зрения, некоторая дополнительная информация не так уж и плоха)
Это сообщение необходимо для работы системы управления рисками и упрощения покупок.
Если этой информации оказалось недостаточно, Risk Engine сперва попытается получить дополнительную информацию, и именно в этот момент клиент может получить OTP-запрос.
Что контролирует пользователь?
CReq (base64url json) — challenge request — сообщение, отправляемое браузером пользователя, в случае если ARes вернет сообщение о необходимости провести Challenge Flow.
Если платежный процесс использует 3D Secure SDK, это сообщение будет зашифровано (JWE).
В CReq вы можете увидеть следующие поля:
К сожалению, нам пока не удалось провести достаточно подробное исследование 2-й версии протокола 3DS, поэтому сложно сказать, какие уязвимости встречаются чаще. Вы можете стать первым, кто опубликует исследование на данную тему.
Подведем итоги
Проблемы (найденные и возможные)
На что смотреть в v1
На что смотреть в v2
Тем, кто подумывает обратить свой взгляд на платежные системы, я бы посоветовал остановиться еще и на сервисах, предоставляющих 3DS как SaaS. Там может оказаться еще достаточно много вещей, которые помогут вам понять, как устроен мир онлайн-платежей.