3-D Secure
3-D Secure (3DS) — протокол розрахунків платіжними картками, що застосовується в операціях без наявності картки в місці платежу (зокрема, при розрахунках через мережу Інтернет). Передбачає двофакторну аутентифікацію держателя, однак не гарантує безпеки грошових коштів на карті.
Технологія була розроблена для платіжної системи Visa з метою поліпшення безпеки інтернет-платежів в рамках послуги Verified by Visa (VbV). Протокол також прийнято платіжними системами Mastercard (під назвою SecureCode, MCC), JCB (J/Secure), Discover (ProtectBuy) та AmEx (SafeKey). American Express додала 3-D Secure 8 листопада 2010 роки як American Express Safe Key на деяких ринках і продовжує запускати його на додаткових ринках.
3D Secure додає для онлайн-платежів ще один крок — аутентифікацію держателя —, що дозволяє банку переконатися, що платіж ініціював саме держатель картки, аби захиститися від шахрайських операцій[1].
3-D Secure code не слід плутати з кодом CVV2, який надрукований на карті зі зворотного боку.
Опис[ред. | ред. код]
Для власника картки банку, що підтримує 3-D Secure, в процесі оплати онлайн до раніше необхідної інформації додається додатковий запит на підтвердження використання карти. Зазвичай держателю картки потрібно ввести код підтвердження (одноразовий пароль, англ. one-time password), який для кожної операції призначає емітент картки. Емітент надсилає код SMS-повідомленням на номер телефону, вказаний під час реєстрації картки. Можливі й інші варіанти отримання підтвердження платежу, наприклад, застосування біометричної автентифікації.
Деякі банки застосовували систему постійних паролів, коли користувач задає пароль при реєстрації і при здійсненні кожного інтернет-платежу вводить саме його. Цей спосіб є менш надійним, ніж одноразовий код підтвердження.
Основні аспекти протоколу[ред. | ред. код]
Основна концепція протоколу - додати до процесу фінансової авторизації онлайн-перевірку, що операція ініційована саме держателем картки (а не якоюсь сторонньою особою, шахраєм). Ця перевірка справжності заснована на принципі трьох доменів (звідси 3-D в назві)[2]:
- Домен еквайра (англ. Acquirer) — організації, що обслуговує продавця, якому перераховують кошти;
- Домен емітента (англ. Issuer) — банку або процесингового центру, який випустив картку;
- Домен сумісності (англ. Interoperability) — надає платіжна система (Mastercard, Visa тощо) для підтримки протоколу 3-D Secure.
Перенесення відповідальності[ред. | ред. код]
У звичайних транзакціях (здійснених не за протоколом 3-D Secure) відповідальність за шахрайські операції (зокрема, за оплату краденими картками) несе торговець — підприємство, на сайті якого було куплено товар чи послугу. У разі застосування 3-D Secure відповідальність переходить (англ. Liability Shift) до емітента картки.
Версії протоколу[ред. | ред. код]
 | Цей розділ потребує доповнення. |
У жовтні 2016 року EMVCo опублікувала специфікацію протоколу 3-D Secure 2.0; він розроблений таким чином, щоб бути менш нав'язливим, ніж перша версія специфікації, дозволяючи надсилати до банку клієнта більше контекстних даних (включаючи поштові адреси та історію транзакцій) для перевірки та оцінки ризику транзакції. Клієнт має пройти автентифікацію лише в тому випадку, якщо його транзакція визначена високим ризиком. А робочий процес для автентифікації розроблений таким чином, що він більше не вимагає переадресації на окрему сторінку, а також клієнт може активувати автентифікацію за допомогою мобільного додатку установи (який, своєю чергою, також може використовуватися разом з біометричною автентифікацією). 3-D Secure 2.0 відповідає вимогам ЄС щодо надійної автентифікації клієнтів. [3][4][5]
У вересні 2020 року в Україні банки, зокрема Конкорд банк та банк Південний, почали підтримувати протокол 3-D Secure 2.1 (3DS 2.1). Нова версія, пропонуючи більше полів заповнення для учасників транзакції, дозволяє інтернет-магазинам гнучко налаштувати систему та, залежно від результатів оцінювання ризиків, рідше запитувати одноразовий пароль[6][7].
Примітки[ред. | ред. код]
- ↑ Ощадбанк впроваджує технологію 3D Secure для захисту карткових розрахунків у мережі Інтернет. Finance.ua (ua) . Архів оригіналу за 8 вересня 2017. Процитовано 23 грудня 2020.
- ↑ 3-D Secure. EMVCo (амер.). Архів оригіналу за 2 травня 2020. Процитовано 23 грудня 2020.
- ↑ Merchants can't let 'PSD2' and 'SCA' be vague initials. PaymentsSource (англ.). 12 червня 2019. Архів оригіналу за 16 січня 2021. Процитовано 23 грудня 2020.
- ↑ Woodward, Kevin. Adyen Touts Its 3-D Secure 2.0 Service As “First” to Market. Digital Transactions (амер.). Архів оригіналу за 23 січня 2021. Процитовано 23 грудня 2020.
- ↑ Authentication, Olivier Godement Olivier leads efforts at Stripe to help businesses prepare for Strong Customer. Stripe: 3D Secure 2 - Guide to 3DS2 Authentication. stripe.com (англ.). Архів оригіналу за 29 жовтня 2020. Процитовано 23 грудня 2020.
- ↑ Конверсія вища, ризики нижчі: як технологія 3ds 2.1 підніме дохід інтернет-магазину. Finance.ua (ua) . Архів оригіналу за 29 вересня 2020. Процитовано 28 грудня 2020.
- ↑ Більш захищені трансакцій з 3DS 2.1 еквайринг. Український процесінговий центр. 15.04.2020. Архів оригіналу за 24 травня 2021. Процитовано 24 травня 2021.
Посилання[ред. | ред. код]
- Verified by Visa [Архівовано 15 лютого 2013 у Wayback Machine.] (англ.)
- Visa 3-D Secure Payment Program
- Visa 3-D Secure Specifications (англ.)
- Mastercard SecureCode [Архівовано 13 жовтня 2010 у Wayback Machine.] (англ.)
| ||||||||||||||||||||||||||||||||