Verified by Visa и Secure Code (3D Secure). 3Ds аутентификация
Verified by Visa и Secure Code (3D Secure)
3D Secure (он же 3D-Secure, 3-D Secure, 3Ds) — защищённый протокол авторизации пользователей для операций без присутствия карты, т.е. операций, совершаемых в сети Интернет. Их также называют «CNP-операции».
Изначально протокол был разработан компанией Visa. Сама Visa предложила на его основе услугу Verified by Visa, а позже и другие Международные платёжные системы (МПС) предложили аналогичные услуги на базе протокола 3D Secure. Например, у MasterCard услуга называется MasterCard SecureCode, у American Express — American Express Safekey, у японской JCB International — J/Secure. В большинстве случаев пользователи не делят данную услугу по названиям от разных МПС и просто говорят про 3Ds.
На пользовательском уровне смысл 3Ds в следующем: при совершении покупки в Интернете на каком-либо сайте клиент банка как обычно вводит номер карты, её срок действия, имя держателя, указанное на лицевой стороне и код CVV2/CVC2/CID. После этого покупатель автоматически переводится на сайт банка, выпустившего его карту, где в специальном поле должен ввести ещё один код. Чаще всего это одноразовый пароль, присылаемый банком в sms-сообщении на мобильный телефон держателя карты, однако у некоторых банков существуют «карты персональных кодов», выдаваемые в отделении банка, или распечатываемые в банкомате, а также специальные карты с микропроцессором, генерирующие разовый код для операции. Ещё бывает вариант с постоянным паролем, получаемым клиентом в банке один раз и используемом при всех покупках с 3Ds, но это наименее надёжно и банки стараются так не делать.
Если чуть углубиться, то смысл системы таков: в операции оплаты принимают участие 3 домена (собственно, это и дало название 3D системе), а именно домен эквайера (домен продавца и банка, в который перечисляются деньги), домен эмитента (домен банка, выдавшего карту) и домен совместимости (Interoperability Domain) (домен, предоставляемый МПС для поддержки 3Ds протокола).
Важно отметить, что по правилам МПС в не защищённых 3Ds транзакциях ответственность за операции по украденным картам несёт «мерчант», т.е. компания, на сайте которой была произведена покупка товара/услуги по ворованной карте, если карта поддерживала 3Ds, а продавец — нет. А вот в случае применения 3Ds происходит так называемый «перенос ответственности» на банк-эмитент, выпустивший карту, либо на самого клиента. Правда, в России не очень хорошо обстоят дела с защитой прав держателя карты, даже если по правилам МПС продавец или банк-эмитент должны вернуть ему средства.
На данный момент всё ещё далеко не все банки и тем более не все интернет-магазины поддерживают 3D Secure. Связано это с тем, что данный протокол не является обязательным. В то же время есть достаточно много интернет-ресурсов, которые, не желая нести ответственность по описанным выше правилам МПС, принимают к оплате только карты, поддерживающие 3Ds. В этом случае по не поддерживающей данный протокол карте магазин откажет в проведении платежа.
Сайты, поддерживающие услуги на базе 3Ds, можно узнать по соответствующим логотипам:
для Verified by Visa
для MasterCard SecureCode
для American Express Safekey
для JCB J/Secure.
blogfin.ru
9 секретов онлайн платежей: 3-D Secure
80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.
Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.
С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. На июль прошлого года в России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.
Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.
Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.
blog.ecomsol.ru
Преимущества и недостатки 3D Secure и таинственная «невидимая аутентификация» платежей
В современном цифровом обществе потребители тратят онлайн все больше времени и денег. И это движение не остановить. А там, где тратят большие суммы, неизбежно появляются мошенники. В ответ продавцы и финансовые сервисы вынуждены усиливать защиту, добавляя все новые этапы аутентификации. Это в свою очередь вызывает негативный отклик плательщиков, которые хотят оплачивать покупки в один клик и при этом не быть обманутыми. Круг замыкается, но разорвать его можно с помощью технологии 3-D Secure, которой защищены все транзакции, проходящие через любой шлюз, в том числе и наш, в компании PayOnline.
По данным исследования «Global Payment Cards 2013–2019» объем платежей по банковским картам в Интернете растет активнее, чем в других типах карточных операций. Эксперты предсказывают, что к 2019 году количество карточных транзакций в Сети достигнет 34 миллиардов, а их оборот составит 3,9 триллионов долларов. С ростом масштабов проблема фрода становится все острее: по данным европейского Центробанка, в 2015 году 66% всех мошеннических операций по банковским картам были совершены при операциях без присутствия карты (card not present, или CNP) — то есть в Интернете.Эксперты отрасли стремятся быть на шаг впереди злоумышленников, обновляя стандарты и требования для защиты потенциально уязвимых платежных технологий. Чтобы защитить персональные данные клиентов, финансовые институты устанавливают множество уровней доступа и используют дополнительные методы аутентификации покупателя. И пока превентивные меры борьбы против мошенничества в арсенале финансовых институтов становятся более активными и агрессивными, возросшие требования к защите могут создавать негативный опыт для пользователя и отрицательно влиять на его впечатления от покупки.
Согласно исследованиям института Baymard, 68,53% покупательских корзин в интернете остаются брошенными, то есть неоплаченными. Есть несколько ключевых причин появления «брошенных корзин»: несоответствие финальной цены изначально заявленной, более низкие цены в другом магазине, неудобные условия доставки, а также — сложности в процессе оплаты. Платеж картой онлайн считается более рискованным для торговца, чем оплата оффлайн, из-за повышенного риска возврата (так называемого чарджбека). По этой причине «оплата без присутствия карты» товаров и услуг в интернете требует дополнительных шагов и ввода дополнительной информации для подтверждения личности пользователя.
Многие сайты требуют регистрации с помощью аккаунтов в соцсетях, чем отпугивают покупателей, которые боятся спама. И даже если клиент зарегистрировался, продавец потребует от него еще большего объема информации в ходе оплаты: адрес доставки, контактную информацию, полные платежные данные. Ввод этих данных неудобен клиенту, а с ростом популярности шоппинга с мобильных устройств ситуация усложняется ещё больше. Когда пользователь пытается зайти со смартфона на сайт, не оптимизированный под мобильное устройство, у него возникает множество проблем: пальцы не попадают по нужным кнопкам, автозаполнение не работает, выезжающие поля с вариантами ответов не появляются. И даже если сайт оптимизирован под мобильные устройства, нет уверенности, что страница с платежной формой также подстроится под размеры экрана смартфона и позволит ввести необходимые данные.
Исследования, проведенные в США, выявили, что количество брошенных корзин может превышать 50% из-за 3D Secure авторизации. В России эта проблема не стоит так остро, так как более 80% карт, эмитированных российскими банками, подписаны на 3DS. В то время как 3D Secure гарантирует плательщикам повышенный уровень безопасности (благодаря дополнительному шагу аутентификации), их часто критикуют за неудобство и негативное влияние на уровень конверсии.
Риск возникновения фрода наиболее критичен для интернет-магазина, так как он является прямым финансовым риском. Торговцы стремятся использовать 100% защиту с помощью 3D-Secure — это перекладывает ответственность с бизнеса на банк, выпустивший карту, в случае возникновения мошеннической операции.
К сожалению, опыт использования технологии 3D-Secure не всегда можно назвать позитивным для плательщика. Несмотря на доказанное недовольство пользователей, которое вызывает 3DS, VISA утверждает, что их продукт увеличивает желание совершать покупки онлайн на тех сайтах, где данная технология представлена и защищает покупателей. И в данном случае вопрос скорее в информировании и обучении клиентов, чем в их защите. В Великобритании, где 3DS более распространён, покупатели привыкли к данной процедуре, и отрицательный эффект на платежную конверсию, соответственно, заметен менее, чем в других странах.
Visa и MasterCard планируют представить 3D Secure 2.0. Хотя основные спецификации ещё не объявлены, планируется, что 3DS2 откажется от формата запроса уникального кода подтверждения, — его место займет таинственная «невидимая аутентификация».
В современных реалиях платежные операции без присутствия карты не могут быть беспроблемными из-за противоречивых интересов сторон сделки. Потребители хотят совершать защищенные платежи без ввода большого количества данных. Многие компании пытаются сократить количество шагов на пути к успешной оплате, например, постоянным клиентам предлагается автозаполнение полей, автоплатежи и платежи в один клик. Тем не менее, эти способы все равно требуют совершения хотя бы одной покупки и регистрации на сайте с вводом персональных данных. Надеемся, что внедрение 3D Secure 2.0 поможет сделать верификацию платежей простой и безболезненной для плательщиков.
Если данный материал был полезен для вас и вы не хотите пропустить другие интересные новости в будущем, подписывайтесь на наш блог, оставляйте комментарии, а если у вас возникла необходимость организовать прием платежей, защищенных технологией 3-D Secure и системой Anti fraud мониторинга, обращайтесь к нам, в PayOnline, любым удобным для вас способом, мы подберем для вас подходящее платежное решение.
© Megamozg
pcnews.ru