В епоху, коли онлайн-транзакції стали повсюдними, кібербезпека набуває першорядного значення. Протокол запобігання шахрайству EMV 3-D Secure та надійна автентифікація клієнта (Strong Customer Authentication — SCA) — це два ключові механізми, розроблені для підвищення безпеки онлайн-платежів
Що таке EMV 3-D Secure та SCA: місце в платіжній екосистемі Фото: pixabay.com
EMV 3-D Secure: підвищення безпеки онлайн-платежів
EMV 3-D Secure — це вдосконалений протокол, призначений для автентифікації власників карток під час онлайн-транзакцій. Розроблений EMVCo, консорціумом, що належить найбільшим картковим мережам, включаючи Visa, Mastercard, American Express, Discover та JCB, EMV 3-D Secure має на меті знизити рівень шахрайства в онлайн-транзакціях.
Це метод 2-факторної автентифікації, визнаний Європейським банківським управлінням (EBA) сумісним з SCA.
Префікс «EMV» вказує на Europay, Mastercard та Visa, які є первинними розробниками стандарту. Аспект «3D» стосується залучення трьох сфер (доменів):
- домен еквайра (Acquirer) — організації, що обслуговує продавця, якому перераховують кошти;
- домен емітента (Issuer) — банку або процесингового центру, який випустив картку;
- домен сумісності (Interoperability) — надає платіжна система (Mastercard, Visa тощо) для підтримки протоколу 3-D Secure.
Іншими словами, це послуга, що дозволяє проводити додаткову перевірку власника картки під час розрахунків на сайтах, переказах в інтернеті (наприклад, P2P) за умови, що ресурс підтримує цю технологію. У цих операціях використання 3D Secure обов’язкове, так як це вимога міжнародних платіжних систем.
«EMV 3DS — це протокол запобігання шахрайству в електронній комерції, який забезпечує автентифікацію споживачів для покупок CNP (операції без наявності картки), не додаючи зайвого тертя до процесу оформлення замовлення», — пояснюють у EMVCo.
Варто наголосити, що у звичайних транзакціях (здійснених не за протоколом 3-D Secure) відповідальність за шахрайські операції (зокрема, за оплату краденими картками) несе торговець — підприємство, на сайті якого було куплено товар чи послугу. У разі застосування 3DS відповідальність переходить до емітента картки.
Існують різні версії 3D Secure — від 1.0 до 2.3. З кожним оновленням система краще справляється з аналізом транзакцій та попередженням шахрайських дій, покращує клієнтський досвід та оптимізує роботу торговців. В Україні вже всі банки працюють з новими версіями EMV 3-D Secure. Наприклад, «Південний» почав підтримувати версію 2.1 ще у 2020 році.
Чи має значення, яка версія EMV 3DS використовується для виконання вимог PSD2 SCA?
Версії 2.0 і новіші підтримують різні методи SCA, намагаючись забезпечити зручність для клієнтів, обмежуючи шахрайство шляхом обміну даними та аналізу ризиків транзакцій, а також дозволяють використовувати винятки, викладені в Регуляторних технічних стандартах (RTS).
Хоча EMV 3DS 2.1 підтримує SCA, EMVCo рекомендує розглянути версію 2.2 (або вище), щоб отримати доступ до оптимальної функціональності.
Цікаве по темі: У 2024 році запрацювала нова система фінансового контролю
Еволюція 3D Secure
Протокол 3DS 1.0 мав обмеження для небраузерних транзакцій електронної комерції, тобто не був налаштований на роботу з мобільними платежами та застосунками. Протокол 3DS 2.0, яким керують EMVCo та найбільші карткові мережі, має на меті покращити загальну продуктивність, пропонуючи послідовний користувацький досвід на всіх каналах та пристроях (випущений у жовтні 2016 року).
Правила PSD2 враховують клієнтський досвід, дозволяючи продавцям підтримувати швидкість і зручність для користувачів; покращує інтеграцію з продавцями, зменшуючи кількість покинутих кошиків і підвищуючи безпеку без шкоди для зручності.
3DS 2.0 знаменує собою значний стрибок вперед у порівнянні з 3DS1, яка була відома своєю повільністю, недостатньою зручністю для користувача та іноді негативним впливом на довіру клієнтів.
Що таке 3D Secure 2.3?
Основна увага в новій версії приділяється значному покращенню платіжного досвіду клієнтів за рахунок створення набагато більш плавного процесу автентифікації. З 3DS 2.3 торговці тепер можуть обмінюватися з банками-емітентами більшим обсягом даних, включаючи деталі транзакцій, бажані способи оплати, пристрої клієнтів, токени та багато іншого. Цей надлишок даних дає можливість емітентам проводити швидшу і простішу автентифікацію клієнтів.
Маючи повне уявлення про ризики транзакцій, емітенти можуть застосовувати відповідний рівень автентифікації, що призводить до зменшення тертя і підвищення швидкості схвалення операцій. Крім того, для транзакцій з підвищеним ризиком (наприклад, оплати з нових пристроїв або на значні суми), 3DS 2.3 спрощує процес оскарження, дозволяючи клієнтам підтверджувати транзакцію з мінімальними труднощами.
Особливості 3DS 2.3:
- Нова версія представляє значно покращений користувацький інтерфейс (UI), який сприяє чіткій комунікації між продавцями та емітентами, безперешкодно проводячи клієнтів через процес автентифікації. Однією з визначних особливостей є автоматизовані позасмугові переходи (OOB). Це дозволяє клієнтам без зусиль підтверджувати транзакції, що вимагають автентифікації в окремому каналі.
На відміну від попередніх версій, 3DS 2.3 автоматизує перехід між застосунком продавця та банківським застосунком, коли потрібна OOB-автентифікація. Це спрощує та значно пришвидшує процес оформлення замовлення.
3DS 2.3 підтримує прив’язку до пристрою, що дозволяє споживачам вказати свої налаштування для запам’ятовування. Ця функція забезпечує швидшу автентифікацію для майбутніх покупок, підвищуючи зручність.
- З версією 2.3 продавці можуть легко розгортати 3DS на численних пристроях і каналах, розширюючи його використання навіть на пристроях Інтернету речей (IoT), таких як смарт-колонки. Ця версія також пропонує розширену підтримку партнерів з операційних систем і платформ. Крім того, 3D Secure 2.3 задовольняє різноманітні галузеві вимоги завдяки своїм функціям, пристосованим до різних сценаріїв використання.
- 3DS 2.3 ще більше посилює функції безпеки своїх попередників. Вона забезпечує безперешкодну відповідність вимогам PSD2 та правилам надійної автентифікації клієнтів (SCA).
Один з таких методів — автентифікація FIDO — всесвітньо визнаний підхід, який дозволяє користувачам підтверджувати свою особу за допомогою ключів безпеки або біометричних сканів (відбитків пальців, голосу, райдужної оболонки ока) замість паролів. Торговці можуть використовувати автентифікацію FIDO на веб-сайтах і в застосунках.
Читайте популярне: Вплив цифрової трансформації на бізнес-моделі: можливості та перешкоди
Що таке PSD2 та SCA
PSD2 — це набір законів і правил, директива Європейського Союзу, спрямована на підвищення безпеки платежів, посилення захисту прав споживачів, а також сприяння конкуренції та інноваціям у сфері платіжних послуг. Вона була прийнята для оновлення першої Директиви про платіжні послуги з метою включення останніх досягнень у галузі, в тому числі інтернет- та мобільних платежів.
У контексті EMV 3-D Secure, PSD2 відіграє важливу роль у формуванні стандартів безпеки та вимог до електронних платежів.
Згідно з PSD2, одна з ключових вимог — надійна автентифікація клієнта (SCA), яка передбачає, що електронні платежі в межах Європейського економічного простору повинні бути автентифіковані за допомогою принаймні двох елементів:
- щось, що користувач знає (наприклад, пароль або PIN-код);
- щось, що користувач має (наприклад, телефон або апаратний токен);
- індивідуальна особливість користувача (наприклад, біометричні дані, такі як відбитки пальців або розпізнавання обличчя).
Нові версії EMV 3-D Secure розроблені для задоволення цих вимог SCA шляхом підтримки більш динамічної взаємодії між держателем картки та її емітентом.
Ознайомтеся з іншими популярними матеріалами:
Скільки українці витратили на online-покупки в 2023 році
Топ 9 трендів, які вплинуть на майбутнє платежів: звіт Mastercard
Яку систему оподаткування обрати для маркетплейса в Україні
За матеріалами emvco.com, uk.wikipedia.org, help.sensebank.com.ua, solidgate.com, help.trustpayments.com.
