Три вопроса к 3 d secure или как изменят протокол в будущем

11 сентября 20234 минуты на прочтение

Что такое 3D Secure?

3D Secure — это технология безопасности, предназначенная для защиты онлайн платежей. Эта технология используется для подтверждения легитимности операций с банковской картой в интернете. Её основная цель — обеспечить безопасность платежей и защиту от мошенничества.

Как работает технология 3D Secure и какие принципы ей лежат в основе?

3D Secure работает на принципах дополнительной аутентификации владельца карты во время онлайн-платежа. При совершении платежа с использованием 3D Secure, покупатель направляется на страницу своего банка, где ему необходимо ввести пароль или код, полученный по SMS. Это дополнительное подтверждение позволяет банку и платежным системам эффективно бороться с мошенничеством.

Что такое эквайер, процессинг и как они связаны с технологией 3D Secure?

Эквайер и процессинг — это ключевые компоненты, обеспечивающие функционирование технологии 3D Secure. Эквайер — это организация, которая обрабатывает платежи, передавая информацию между банками, платежными системами и торговыми точками. Процессинг осуществляет техническую поддержку и обработку транзакций, включая проверку 3D Secure. Все эти компоненты совместно обеспечивают безопасность и эффективность онлайн-платежей.

Три вопроса к 3D Secure, или Как изменят протокол в будущем

09.10.2023 11:23:00
09.10.2023 11:23:00

Мировая киберпреступность растет. По прогнозам Cybersecurity Ventures, в 2023 году ущерб от мошенников в сети достигнет $8 трлн, а к 2025 году увеличится до $10,5 трлн. При этом заметную долю среди жертв могут занять обычные граждане – пользователи банковских карт, полагают эксперты.

Защищать пользователей от мошенников при онлайн-платежах помогает 3D Secure. Но насколько эффективна технология сегодня? И что может прийти ей на смену? Ответы – в этой статье.

Wix не контролирует жизненный цикл платежа. Если вы используете стороннюю платежную систему, мы передаем запрос на оплату провайдеру, чтобы он обработал транзакцию. Провайдер несет ответственность за наличие необходимых функций для поддержки потока платежей.

3D Secure (3DS) — это мера безопасности, направленная на то, чтобы клиенты могли безопаснее совершать покупки онлайн с помощью карт.

Чтобы обеспечить дополнительный уровень безопасности от незаконных транзакций, протокол 3DS требует, чтобы клиенты проходили дополнительный процесс проверки. Это осуществляется при совершении платежа при взаимодействии с эмитентом карты. В процессе участвуют три основных участника:

В рамках этого процесса клиенты переходят на страницу аутентификации на сайте их банка. Здесь им будет предложено ввести либо пароль, привязанный к их карте, либо код, отправленный на их мобильное устройство. Это гарантирует, что личность клиента будет подтверждена до авторизации транзакции.

Прием платежей 3DS в Wix

3DS поддерживается в Wix. Однако каждый платежный провайдер решает отдельно, хотят ли они реализовать 3DS при интеграции с нами. Поэтому, если вы хотите принимать платежи 3DS в Wix, мы рекомендуем связаться с провайдером напрямую и подтвердить, реализовали ли они 3DS в рамках интеграции с Wix.

S-платежи – что это сейчас?

3D Secure (3DS) – протокол обработки онлайн-транзакций, который изначально создали в корпорации Visa и назвали Verified by Visa (VbV). Позже и с небольшими поправками технологию приняли в Masterсard и JCB International. Там она называется Masterсard SecureCode (MCC) и J/Secure соответственно.

3D Secure – дополнительная степень защиты данных в онлайн-платежах. Чтобы минимизировать риски, также используют: пин-код банковской карты, нейминг – указание имени и фамилии, а также CVV – код на обороте. Задача 3D Secure сводится к верификации клиента при платежах в интернете. Делается это с помощью динамического кода, который покупатель получает в SMS.

Благодаря 3D Secure поддерживается безопасность оплаты товаров и услуг по банковским картам в интернете, а 3DS-платежи – это транзакции с защитой по такому протоколу.

Название технологии – сокращение от three domains (три домена). В 3DS-эквайринге участвуют адреса:

Как это работает: пользователь вводит данные банковской карты для онлайн-оплаты. В то же время с его счета списывается планируемая стоимость покупки. Она временно замораживается на домене платежной системы. И будет находиться там, пока пользователь не введет верные данные из SMS. Если он этого не сделает, то деньги вернутся на карту. Магазин даже не увидит деньги, которые планировал направить покупатель. Впрочем, как и подтверждающую информацию. Она хранится на сервере банка.

25 июн 2024 17:40

3D-Secure (3-Domain Secure) – это современная технология, разработанная для международных карт в целях обеспечения безопасности онлайн-платежей. Это дополнительное подтверждение Вашего согласия на списание денег с карты в виде одноразового секретного пароля.

Чем он отличается от CVV-кода или ПИН-кода карты?

3D-Secure – это одноразовый 6-ти значный пароль. Его не нужно запоминать, так как при совершении каждой онлайн-оплаты Вам будет высылаться уникальный пароль в виде SMS-сообщения на номер телефона, прикрепленный к Вашей международной карте

Важно! Также эту услугу можно подключить не только в виде СМС-сообщения на номер телефона, но и код-письмом на электронную почту – это удобно, например, если Вы находитесь зарубежом.

Как можно подключить данную услугу?

В некоторых банках данная услуга подключается автоматически, но это нужно, в любом случае уточнить у обслуживающего банка. Если она не предусмотрена автоматически, ее можно подключить, обратившись к специалистам обслуживающего банка.

Для подключения услуги 3D-Secure необходимо также подключить услугу СМС-оповещения.

Порядок онлайн-оплаты товаров и услуг картой с защитой 3D Secure на интернет-сайтах:

Для снижения рисков, связанных с мошенничеством через 3-D Secure, рекомендуется использовать следующие меры предосторожности:

Эти меры помогают минимизировать риски, связанные с мошенничеством через программу 3-D Secure, сохраняя высокий уровень безопасности онлайн транзакций.

Если при оплате через Google Pay платёжная страница расположена на стороне продавца, схема взаимодействия выглядит следующим образом.

1 Клиент формирует заказ и подтверждает его.

2 После подтверждения заказа клиентом, система магазина регистрирует заказ в платежном шлюзе.

3 Платёжный шлюз возвращает ответ на запрос регистрации заказа.

4
Оплата заказа. Этап 1.

Продавец отправляет в платёжный шлюз запрос оплаты заказа (или осуществление перевода денежных средств).

На этом этапе происходит инициирование операции 3DS версии 2.0.

Для переадресации клиента на страницу магазина после проведения оплаты заказа ссылку переадресации необходимо передать в параметре threeDSVer2FinishUrl.

5 Платёжный шлюз проверяет на сервере 3DS возможность проведения аутентификации клиента по протоколу 2.0.

6
Платёжный шлюз отправляет мерчанту ответ на запрос, сделанный на шаге 2, при этом в ответе, в том числе, возвращаются следующие параметры:
is3DSVer2 — флаг возможности проведения аутентификации 3DSv2 (true/false);threeDSServerTransId — идентификатор транзакции, присвоенный сервером 3DS.threeDSMethodURLServer — адрес сервера 3DS для сбора данных о браузере.threeDSMethodURL — (опционально) адрес сервера ACS для сбора данных о браузере.threeDSMethodDataPacked — (опционально) данные для сбора данных о браузере на ACS.

7 Мерчант в отдельном iframe методом POST вызывает threeDSMethodURLServer, используя значение, полученное из ответа на запрос оплаты заказа. Это позволяет серверу 3DS собрать данные о браузере клиента.

8
Если в ответе на запрос оплаты заказа пришли параметры threeDSMethodURL и threeDSMethodDataPacked, то мерчант в отдельном iframe методом POST вызывает threeDSMethodURL.

В этом методе необходимо передать значение, полученное из параметра threeDSMethodDataPacked, полученного в ответе на запрос оплаты заказа. При этом нужно его передать в параметре, который называется threeDSMethodData.

9
Оплата заказа. Этап 2.

При этом необходимо передать параметр threeDSServerTransId — идентификатор транзакции, который был создан сервером 3DS и возвращён на шаге 6.

Для переадресации клиента на страницу магазина после проведения оплаты заказа ссылку переадресации необходимо передать в параметре threeDSVer2FinishUrl.

10 Платёжный шлюз передаёт запрос аутентификации на сервер 3DS.

11 Сервер 3DS отправляет запрос аутентификации (AReq) на сервер ACS.

12 Сервер ACS отправляет ответ на запрос аутентификации (ARes) на сервер 3DS.

13 Сервер 3DS отправляет полученные данные в платёжный шлюз.

14
На этом шаге полученные от платёжного шлюза данные могут отличаться, в зависимости от того, необходимо ли клиенту проходить аутентификацию или нет.
Если клиенту не требуется проходить аутентификацию на ACS, от шлюза возвращается ответ на запрос оплаты заказа. В этом случае переходите к шагу 23 настоящей процедуры. Если клиенту требуется проходить аутентификацию на ACS, платёжный шлюз пришлёт платёжной странице ответ с данными перенаправления на ACS.

15 С платежной страницы происходит перенаправление на acsUrl с параметром creq=packedCReq.

16 ACS отображает пользователю страницу аутентификации (страницу прохождения «challenge»).

17 Клиент проходит проверку подлинности.

18 Сервер ACS проверяет подлинность аутентификационных данных.

19 Происходит обмен данными между серверами ACS и 3DS и подтверждение обработки результатов.

20 Сервер ACS перенаправляет клиента на страницу магазина.

21
Мерчант направляет в платёжный шлюз запрос finish3dsVer2.do.

22 Платёжный шлюз отправляет мерчанту ответ на сделанный запрос.

23 Мерчант делает расширенный запрос статуса заказа (getOrderStatusExtended ) в платёжный шлюз, чтобы выяснить состояние заказа.

24 Платёжный шлюз отправляет ответ на сделанный запрос.

25 Мерчант отображает клиенту страницу с результатом.

Инструменты страницы

1 Держатель карты формирует заказ на сайте ТСП (интернет-магазина) и принимает решение оплатить товар банковской картой.

2 После подтверждения заказа клиентом, система магазина регистрирует заказ в платежном шлюзе. Для регистрации используются такие параметры как сумма списания, валюта списания, номер заказа в системе магазина, а также URL возврата клиента.

3 На запрос регистрации платежный шлюз возвращает уникальный идентификатор заказа в платежной системе и URL, на который надо перенаправить пользователя для получения платежной формы.

4 Интернет-магазин переводит браузер держателя карты на свою платежную страницу для ввода данных по карте.

5 Держатель карты вводит данные своей банковской карты на платежной странице интернет-магазина и отправляет данные.

6 Магазин отправляет в платежный шлюз запрос на оплату заказа. для оплаты используются такие параметры как номер заказа в платежном шлюзе (полученный на шаге 3), язык, а также реквизиты карты: PAN, CVC, год и месяц срока действия карты и имя владельца карты.

7 Получив платежные реквизиты (номер карты и т.п.) система проверяет вовлечение карты в 3-D Secure, в том числе с использованием Directory Server.

8 Результат проверки отправляется в магазин ( вовлеченность карты+ URL сервера ACS эмитента, на котором клиенту необходимо пройти аутентификацию).

9 Система магазина передает в браузер клиента перенаправление на ACS эмитента.

10 Держатель карты (клиент) проходит аутентификацию на ACS эмитента.

11 Проведя аутентификацию держателя карты, ACS эмитента перенаправляет клиента в платежный шлюз, передавая PARes. Платежный шлюз проводит авторизацию заказа при успешной аутентификации клиента на ACS, или отклоняет предавторизацию при неуспешной аутентификации клиента на ACS.

12 Клиент переходит на страницу магазина с итогами оплаты.

13 Магазин направляет в платежный шлюз запрос на статус оплаты заказа.

14 Платежный шлюз возвращает результат авторизации заказа в магазин.

15 Магазин отображает клиенту страницу с результатами оплаты заказа.

Внутренний MPI, упрощённое перенаправление на ACS

Упрощённое перенаправление на ACS позволяет продавцу организовать аутентификацию клиента, используя простое перенаправление на страницу платёжного шлюза, указав в части ссылки только номер заказа покупателя.

10 Магазин перенаправляет пользователя на страницу платёжного шлюза по следующей ссылке: /acsRedirect.do?orderId=

11 Держатель карты (клиент) проходит аутентификацию на ACS эмитента.

12 Проведя аутентификацию держателя карты, ACS эмитента перенаправляет клиента в платежный шлюз, передавая PARes. Платежный шлюз проводит авторизацию заказа при успешной аутентификации клиента на ACS, или отклоняет предавторизацию при неуспешной аутентификации клиента на ACS.

13 Клиент переходит на страницу магазина с итогами оплаты.

14 Магазин направляет в платежный шлюз запрос на статус оплаты заказа.

15 Платежный шлюз возвращает результат авторизации заказа в магазин.

16 Магазин отображает клиенту страницу с результатами оплаты заказа.

Интеграция с использованием метода Finish3DS

11 Проведя аутентификацию держателя карты, ACS эмитента перенаправляет клиента в обратно в магазин.

12 Полученный от ACS PARes передается в магазин.

13 Магазин передает в шлюз полученный PARes при помощи метода Finish3DS.

14 Шлюз возвращает итог оплаты.

15 Магазин направляет в платежный шлюз запрос на статус оплаты заказа.

16 Платежный шлюз возвращает результат авторизации заказа в магазин.

17 Магазин отображает клиенту страницу с результатами оплаты заказа.

Актуален ли протокол сегодня?

Все технологии защиты данных имеют преимущества и недостатки. И 3DS – не исключение.

К плюсам протокола обычно относят следующие факты:

При этом 3D Secure не является обязательной технологией. И несмотря на очевидные плюсы, некоторые банки и онлайн-магазины игнорируют ее ради скорости совершения покупки – без протокола пользователи совершают меньше действий. Другие указывают на сомнительную эффективность защиты данных. Есть случаи, когда киберпреступникам удавалось пробить защиту платежей с 3D Secure.

Руководитель направления Центра компетенций по информационной безопасности Т1 Интеграции

Если говорить про действия злоумышленников, то обычно это кража одноразовых кодов с помощью социальной инженерии либо вредоносных программ. Еще известны кейсы, когда преступники используют имитацию страниц 3D Secure для перехвата полученного кода из SMS.

Помимо рисков ИБ, к минусам протокола также относят неудобства с запросами кода. Если телефон пользователя недоступен – села батарея или находится вне сети, то совершить онлайн-покупку не получится.

Что означает 3D Secure на банковской карте и как это влияет на безопасность платежей?

3D Secure на банковской карте означает, что ваша карта поддерживает эту технологию аутентификации. Когда вы совершаете онлайн-платеж, вас перенаправляют на страницу вашего банка, где вам предоставляются дополнительные средства проверки вашей личности. Это повышает безопасность платежей, так как мошенники сталкиваются с дополнительными сложностями при попытках несанкционированного доступа к вашим средствам.

Как отключить технологию 3D Secure с платежной карты, если это необходимо?

Обычно вы не можете отключить 3D Secure с платежной карты, так как это предназначено для вашей безопасности. Однако, если у вас возникли какие-либо вопросы или проблемы с использованием 3D Secure, вы можете связаться с банком-эмитентом, чтобы получить дополнительную информацию.

Как работает безопасный протокол 3D Secure для платежных систем Visa и Mastercard?

Для платежных систем Visa и Mastercard 3D Secure работает путем добавления дополнительного слоя аутентификации и авторизации при онлайн-платежах. После того, как вы ввели данные своей карты на сайте магазина, вас перенаправляют на страницу вашего банка для подтверждения личности. Это может быть ввод пароля или кода, полученного на ваш телефон. Эта процедура защищает вас от мошенничества и несанкционированных транзакций.

Как подключить протокол безопасности 3D Secure к своей платежной карте?

Подключение 3D Secure к платежной карте происходит автоматически от банка-эмитента. Как правило, банк автоматически активирует эту функцию на вашей карте. Если у вас есть вопросы, вы можете связаться с банком и уточнить, активирована ли функция 3D Secure на вашей карте.

Что ждет технологию в будущем?

Сегодня технология 3D Secure, или 3DS1, уже не считается самой эффективной. Страны Европы постепенно отказываются от нее в пользу нового протокола 3DS2 – отмечают эксперты.

Главный архитектор IT-компании RooX

Основная проблема 3DS1 в том, что метод защищает данные банковских карт, но не самих пользователей платежных сервисов. При использовании технологии велики риски, связанные с человеческим фактором. Так, мошенники могут физически украсть у жертвы смартфон или карточку, обманом выманить защитный код, перехватить одноразовые коды, отправленные через 2FA или SMS и т.д. Кроме того, при попытке оплаты пользователю нужно пройти несколько лишних шагов в новых окнах, что также не нравится клиентам.

По словам Константина Корсакова, 3DS2 более интересен для рынка по нескольким причинам. В их числе UX – удобно работать с сервисом на разных платформах и форм-факторах. Также в новой версии есть возможность адаптивной работы в зависимости от риска по транзакции (от frictionless до MFA) и выполнять не только платежные операции.

На мой взгляд, российские платежные сервисы уже начали рассматривать переход с 3D Secure на более современные технологии. Подобными разработками занимается Ассоциация ФинТех и Банк России. Скорее всего, в основе нового протокола будут лежать технологии СБП.

В ближайшее время на рынке может появиться другая апдейт-версия 3D Secure. Во всяком случае, аналитики уже изучают ее как будущую альтернативу текущему протоколу.

Существует экономическое исследование, которое предлагает добавить четвертый домен безопасности – контроль продавца. Название технологии – 4D Secure соответственно. Дополнительный домен в рамках всех совершаемых транзакций агрегирует данные о продавце: результаты транзакций и доставки, жалобы клиентов и т.д. Он же индикативно дает оценку о благонадежности его торговой деятельности.

Далее, по словам эксперта, матрица с индикаторами передается в банк. Он либо отменяет транзакцию, либо проводит дополнительное подтверждение. Это необходимо, чтобы обезопасить клиента от неблагонадежных онлайн-продавцов. Например, если магазин или маркетплейс несколько лет работал без проблем, принимая платежи в рамках стандарта 3D Secure, но вдруг перестал отправлять товар.

Выводы

Несмотря на критику, 3DS-платежи пока остаются одним из самых безопасных способов оплаты в интернете. Популярность технологии – тому подтверждение.

Однако мировые объемы онлайн-мошенничества в последние годы не снижаются. Действующий протокол 3D Secure может утратить эффективность – если не сейчас, то через пару-тройку лет точно. Именно поэтому банкам и ритейлерам стоит подготовиться к апдейту протокола уже сегодня – считают эксперты. Более того, нельзя исключать, что 3D Secure обновится уже в следующем году — раньше, чем многие того ожидают.