3-D Secure
3-D Secure - протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя.
Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, были приняты платежными системами Mastercard под названием Mastercard SecureCode (MSC) и JCB International как J/Secure, AmEx как SafeKey, Мир (НСПК) как Мир Accept. American Express добавили 3-D Secure 8 ноября 2010 года под названием American Express Safe Key и первоначально сделали ее доступной лишь на некоторых рынках. Платежная система «Мир» первоначально лицензировала реализацию первой версии протокола у VISA. В 2016 г. «Мир» самостоятельно реализовала поддержку 3D-Secure 2.0 и начала предоставлять её под названием MirAccept[1].
3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций[2].
3-D Secure code не следует путать с кодом CVV2 или CVC2, который напечатан на карте с обратной стороны.
3-D Secure не является абсолютной защитой денег на карте при CNP-операциях (card not present), например, одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения, что ограничивает эффективность данной технологии на переходном периоде[3].
На июль 2016 года 3D-Secure поддерживали банки из 195 стран мира[4].
Описание с точки зрения пользователя
Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты, который, как правило, показывается путём перенаправления пользователя на новую страницу, расположенную либо на адресе банка-эмитента карты, либо выводимую в iframe[5][6]. Показ этой страницы авторизации осуществляется компонентом ACS (access control server — сервер контроля доступа), который расположен на стороне банка-эмитента карты.
От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона[7][4]. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами, с карточки одноразовых кодов; из специального устройства, которое генерирует обновляемые псевдослучайные коды[7][4]. Ряд банков использует обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения. Формат 3-D Secure code может варьироваться в зависимости от банка-эмитента. Обычно это 4—10 букв и цифр. Решения с одноразовым паролем состоят из 6—8 цифр[8].
После проверки правильности введённого кода ACS (сервер контроля доступа) проверяет правильность введённого защитного кода[9][4], перенаправляет пользователя обратно на страницу платежного сервиса или торговой точки, с которой происходило первоначальное перенаправление и, одновременно с этим, передаёт через платёжную систему банку-эквайеру подтверждение того, что операция (не)авторизована. После этого банк-эквайер осуществляет операцию, списывая/блокируя денежные средства с карты покупателя или отказывает в операции.
В более поздних версиях протокола 3-D Secure 2.0[10] процедура верификации была усовершенствована, и код запрашивается далеко не для всех операций. Часть транзакций проводится без попытки его запросить, выбор режима проведения транзакций осуществляется на базе собственного контроля риска банка и/или торгово-сервисного предприятия. Это увеличивает конверсию клиентов торговых точек, так как часть покупок не доводится до конца по причине сложностей с оплатой и постоянный запрос дополнительного секретного кода неизбежно увеличивает сложность процесса и вероятность его досрочного прерывания покупателем.
Проблемы с безопасностью
Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьёзные проблемы с безопасностью денежных средств на банковской карте клиента.
Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и Mastercard SecureCode), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией[11].
Следовательно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).
Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то, несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты, которые напечатаны на самой банковской карте, может совершать платежи этой картой в интернет-магазинах, не поддерживающих 3-D Secure, и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.
Следует отметить, что проведение операции без дополнительного шага аутентификации (при наличии поддержки 3-D Secure) свидетельствует о том, что по такой операции возможен «перенос ответственности» (liability shift), то есть банк-эмитент может оспорить операции и вернуть деньги держателю карты (при его своевременном обращении).
Основные аспекты протокола
Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)[]:
- Домен эквайера (домен продавца и банка, в который перечисляются деньги);
- Домен эмитента (домен банка, выдавшего карту);
- Домен совместимости (interoperability domain) (домен, предоставляемый платёжной системой (Mastercard, Visa и т. д.) для поддержки протокола 3-D Secure).
Перенос ответственности
В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «продавец» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по украденной карте, при условии, что он не поддерживает эту технологию.
В случае использования 3-D Secure происходит так называемый «перенос ответственности» (liability shift), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.
Примечания
- ↑ PLUSworld ru-банковская розница, финансовое обслуживание и платежный рынок. Карты "Мир" получат технологию 3D Secure 2.0, не зависящую от Visa » . Plusworld.ru: финтех, банковская розница, финансовое обслуживание и платежный рынок (18 июля 2016). Дата обращения: 21 октября 2021.
- ↑ 3D-Secure // По материалам . / Банковская энциклопедия. 2013.
- ↑ Куда улетают деньги Архивная копия от 18 мая 2015 на Wayback Machine / Банки.ру, 2014.05.26
- ↑ 1 2 3 4 Банки.ру.
- ↑ MasterCard SecureCode . MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. Архивировано 2 июля 2021 года.
- ↑ Чуриков Л. 3D-Secure: кто в защите? Банки.ру (14 ноября 2012). Дата обращения: 24 апреля 2020. Архивировано 18 мая 2021 года.
- ↑ 1 2 Steven J. Murdoch, Ross Anderson. Verified by Visa and MasterCard SecureCode: Or, How Not to Design Authentication (англ.) // Financial Cryptography and Data Security / Radu Sion. — Berlin, Heidelberg: Springer, 2010. — P. 336–342. — ISBN 978-3-642-14577-3. — doi:10.1007/978-3-642-14577-3_27. Архивировано 21 января 2022 года.
- ↑ MasterCard, 2014, A-1.
- ↑ Аблеков В., Мороз М. Протоколы обеспечения безопасности платёжных систем. 3-D Secure . cryptowiki.net (13 октября 2013). Дата обращения: 24 апреля 2020. Архивировано 24 ноября 2020 года.
- ↑ [1] Архивная копия от 11 декабря 2016 на Wayback Machine EMV 3D Secure 2.0
- ↑ Альфа-банк. Как совершить покупку по карте Visa/MasterCard, если интернет-магазин не поддерживает технологию Verified by Visa/MasterCard SecureCode . Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет. Альфа-банк. Дата обращения: 23 апреля 2015. Архивировано 21 февраля 2014 года.
Ссылки
- Verified by Visa Архивная копия от 15 февраля 2013 на Wayback Machine (англ.)
- Visa 3-D Secure Payment Program (англ.)
- Visa 3-D Secure Specifications (англ.)
- Mastercard SecureCode Архивная копия от 13 октября 2010 на Wayback Machine (англ.)
- Принцип действия 3D-Secure Архивная копия от 17 января 2013 на Wayback Machine
- Леонид ЧУРИКОВ. 3D-Secure: кто в защите? Архивная копия от 16 декабря 2013 на Wayback Machine // Банки.ру, 14.11.2012
- 3D Secure 2.0 для безопасных интернет-покупок Архивная копия от 17 апреля 2021 на Wayback Machine // Журнал ПЛАС, 05.03.2021
- 3D Secure, протокол авторизации для оплаты картой через Интернет . Банки.ру. Дата обращения: 24 апреля 2020. Архивировано 7 августа 2020 года.
- Стандарты и документация
- MasterCard SecureCode . MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. Архивировано 2 июля 2021 года.
- 3-D Secure by Visa (англ.). usa.visa.com. Дата обращения: 24 апреля 2020. Архивировано 4 мая 2020 года.
- EMV® 3-D Secure (англ.). EMVCo. Дата обращения: 24 апреля 2020. Архивировано 2 мая 2020 года.
- XML Specification: 3-D Secure . Secure Trading (4 июня 2019). Дата обращения: 24 апреля 2020.
- 3D Secure : Overview . Braintree Developer. Дата обращения: 24 апреля 2020. Архивировано 6 апреля 2020 года.
- Christopher Rotsaert. Method for managing a transaction, corresponding server, computer program product and storage medium (англ.) (7 мая 2019). Дата обращения: 24 апреля 2020. Архивировано 3 июля 2020 года.