В эпоху, когда онлайн-транзакции стали повсеместными, кибербезопасность приобретает первостепенное значение. Протокол предотвращения мошенничества EMV 3-D Secure и надежная аутентификация клиента (Strong Customer Authentication — SCA) — это два ключевых механизма, разработанные для повышения безопасности онлайн-платежей
EMV 3-D Secure: повышение безопасности онлайн-платежей
EMV 3-D Secure — это усовершенствованный протокол, предназначенный для аутентификации держателей карт во время онлайн-транзакций. Разработанный EMVCo, консорциумом, принадлежащим крупнейшим карточным сетям, включая Visa, Mastercard, American Express, Discover и JCB, EMV 3-D Secure имеет целью снизить уровень мошенничества в онлайн-транзакциях.
Это метод 2-факторной аутентификации, признанный Европейским банковским управлением (EBA) совместимым с SCA.
Приставка «EMV» указывает на Europay, Mastercard и Visa, — первичные разработчики стандарта. Аспект «3D» касается привлечения трех сфер (доменов):
- домен эквайера (Acquirer) — организации, обслуживающей продавца, которому перечисляют средства;
- домен эмитента (Issuer) — банка или процессингового центра, выпустившего карту;
- домен совместимости (Interoperability) — предоставляет платежная система (Mastercard, Visa и т.д.) для поддержки протокола 3-D Secure.
Иными словами, это услуга, позволяющая проводить дополнительную проверку держателя карты при расчетах на сайтах, переводах в интернете (например, P2P) при условии, что ресурс поддерживает эту технологию. В этих операциях использование 3D Secure обязательно, так как это требование международных платежных систем.
«EMV 3DS — это протокол предотвращения мошенничества в электронной коммерции, который обеспечивает аутентификацию потребителей для покупок CNP (операции без наличия карты), не добавляя лишнего трения к процессу оформления заказа», — объясняют в EMVCo.
Стоит отметить, что в обычных транзакциях (осуществленных не по протоколу 3-D Secure) ответственность за мошеннические операции (в частности, за оплату крадеными картами) несет торговец — предприятие, на сайте которого был куплен товар или услуга. В случае применения 3DS ответственность переходит к эмитенту карты.
Существуют разные версии 3D Secure — от 1.0 до 2.3. С каждым обновлением система лучше справляется с анализом транзакций и предупреждением мошеннических действий, улучшает клиентский опыт и оптимизирует работу торговцев. В Украине уже все банки работают с новыми версиями EMV 3-D Secure. Например, «Пивденный» начал поддерживать версию 2.1 еще в 2020 году.
Имеет ли значение, какая версия EMV 3DS используется для выполнения требований PSD2 SCA?
Версии 2.0 и более новые поддерживают различные методы SCA, пытаясь обеспечить удобство для клиентов, ограничивая мошенничество путем обмена данными и анализа рисков транзакций, а также позволяют использовать исключения, изложенные в Регуляторных технических стандартах (RTS).
Хотя EMV 3DS 2.1 поддерживает SCA, EMVCo рекомендует рассмотреть версию 2.2 (или выше), чтобы получить доступ к оптимальной функциональности.
Интересное по теме: В 2024 году заработала новая система финансового контроля
Эволюция 3D Secure
Протокол 3DS 1.0 имел ограничения для небраузерных транзакций электронной коммерции, то есть не был настроен на работу с мобильными платежами и приложениями. Протокол 3DS 2.0, которым управляют EMVCo и крупнейшие карточные сети, имеет целью улучшить общую производительность, предлагая последовательный пользовательский опыт на всех каналах и устройствах (выпущен в октябре 2016 года).
Правила PSD2 учитывают клиентский опыт, позволяя продавцам поддерживать скорость и удобство для пользователей; улучшает интеграцию с продавцами, уменьшая количество брошенных корзин и повышая безопасность без ущерба для удобства.
3DS 2.0 знаменует собой значительный скачок вперед по сравнению с 3DS1, которая была известна своей медлительностью, недостаточным удобством для пользователя и иногда негативным влиянием на доверие клиентов.
Что такое 3D Secure 2.3?
Основное внимание в новой версии уделяется значительному улучшению платежного опыта клиентов за счет создания гораздо более плавного процесса аутентификации. С 3DS 2.3 торговцы теперь могут обмениваться с банками-эмитентами большим объемом данных, включая детали транзакций, предпочитаемые способы оплаты, устройства клиентов, токены и многое другое. Этот избыток данных дает возможность эмитентам проводить более быструю и простую аутентификацию клиентов.
Имея полное представление о рисках транзакций, эмитенты могут применять соответствующий уровень аутентификации, что приводит к уменьшению трения и повышению скорости одобрения операций. Кроме того, для транзакций с повышенным риском (например, оплаты с новых устройств или на значительные суммы), 3DS 2.3 упрощает процесс обжалования, позволяя клиентам подтверждать транзакцию с минимальными трудностями.
Особенности 3DS 2.3:
- Новая версия представляет значительно улучшенный пользовательский интерфейс (UI), который способствует четкой коммуникации между продавцами и эмитентами, беспрепятственно проводя клиентов через процесс аутентификации. Одна из выдающихся особенностей — автоматизированные внеполосные переходы (OOB). Это позволяет клиентам без труда подтверждать транзакции, требующие аутентификации в отдельном канале.
В отличие от предыдущих версий, 3DS 2.3 автоматизирует переход между приложением продавца и банковским приложением, когда требуется OOB-аутентификация. Это упрощает и значительно ускоряет процесс оформления заказа.
3DS 2.3 поддерживает привязку к устройству, что позволяет потребителям указать свои настройки для запоминания. Эта функция обеспечивает более быструю аутентификацию для будущих покупок, повышая удобство.
- С версией 2.3 продавцы могут легко развертывать 3DS на многочисленных устройствах и каналах, расширяя его использование даже на устройствах Интернета вещей (IoT), таких как смарт-колонки. Эта версия также предлагает расширенную поддержку партнеров по операционным системам и платформам. Кроме того, 3D Secure 2.3 удовлетворяет разнообразные отраслевые требования благодаря своим функциям, приспособленным к различным сценариям использования.
- 3DS 2.3 еще больше усиливает функции безопасности своих предшественников. Она обеспечивает беспрепятственное соответствие требованиям PSD2 и правилам надежной аутентификации клиентов (SCA).
Один из таких методов — аутентификация FIDO — всемирно признанный подход, который позволяет пользователям подтверждать свою личность с помощью ключей безопасности или биометрических сканов (отпечатков пальцев, голоса, радужной оболочки глаза) вместо паролей. Торговцы могут использовать аутентификацию FIDO на веб-сайтах и в приложениях.
Читайте популярное: Влияние цифровой трансформации на бизнес-модели: возможности и препятствия
Что такое PSD2 и SCA
PSD2 — это набор законов и правил, директива Европейского Союза, направленная на повышение безопасности платежей, усиление защиты прав потребителей, а также содействие конкуренции и инновациям в сфере платежных услуг. Она была принята для обновления первой Директивы о платежных услугах с целью включения последних достижений в отрасли, в том числе интернет- и мобильных платежей.
В контексте EMV 3-D Secure, PSD2 играет важную роль в формировании стандартов безопасности и требований к электронным платежам.
Согласно PSD2, одно из ключевых требований — надежная аутентификация клиента (SCA), которая предусматривает, что электронные платежи в пределах Европейского экономического пространства должны быть аутентифицированы с помощью по крайней мере двух элементов:
- что-то, что пользователь знает (например, пароль или PIN-код);
- что-то, что пользователь имеет (например, телефон или аппаратный токен);
- индивидуальная особенность пользователя (например, биометрические данные, такие как отпечатки пальцев или распознавание лица).
Новые версии EMV 3-D Secure разработаны для удовлетворения этих требований SCA путем поддержки более динамичного взаимодействия между держателем карты и ее эмитентом.
Ознакомьтесь с другими популярными материалами:
Сколько украинцы потратили на online-покупки в 2023 году
Топ 9 трендов, которые повлияют на будущее платежей: отчет Mastercard
Какую систему налогообложения выбрать для маркетплейса в Украине
По материалам emvco.com, uk.wikipedia.org, help.sensebank.com.ua, solidgate.com, help.trustpayments.com.