Аутентификация 3DS – что это такое и как работает?
3DS является системой безопасности, которая защищает карту от доступа к ней мошенников. Её использование подразумевает введение одноразового пароля, и с этим действием иногда возникают сложности, приводящие к ошибке операции. В статье осветим тему 3DS аутентификации и причин её сбоев. Также ответим в общем на вопрос, что это за сервис – 3D Secure.
Что такое 3D Secure?
Что же такое аутентификация 3DS? Во-первых, это защищённый протокол, позволяющий безопасно оплачивать товары и услуги на просторах сети.
Во-вторых, это защитная технология, противодействующая мошенничеству.
Название 3DS расшифровывается как Three-Domain Secure. Наименование объясняется просто – проведение транзакций подразумевает использование трёх доменов:
Процесс оплаты
Кодовая комбинация может приходить на телефон в SMS (встречается чаще всего). В то же время она бывает и постоянной. Самый экзотичный вариант – использование карты разовых кодовых значений.
Важно! Если пользователь ввел неверный код безопасности банковской карты, операция может быть прервана системой.
Примечание 1. Сведения, указываемые пользователем внутри сервиса эмитента карточки, к интернет-магазину не уходит. Всё, что может торговая площадка, – сохранить некоторые реквизиты пластика.
Когда идентификация завершается, появляется доступ к оплате, которую и проводит покупатель.
Распространённость технологии
Не все банки и далеко не все торговые интернет-площадки работают с 3D Secure. Однако сервис постоянно расширяет ареал своего применения.
Существует такая информация: кредитно-финансовые учреждения 195 государств сегодня подключены к технологии.
Чтобы узнать, работает ли Ваша банковская компания с сервисом, зайдите на её сайт или позвоните на горячую линию и узнайте у оператора.
Плюсы и минусы
Чтобы лучше понять суть и характер работы технологии, следует уделить внимание её достоинствам и недостаткам.
Также нельзя не отметить, что часто процесс покупки срывается из-за усложнённой идентификации личности. Это приводит к явлению т.н. “брошенных корзин”: люди заходят на сайт, выбирают товар, отправляют его в корзину, переходят к оплате, сталкиваются с необходимостью указывать множество разных данных и завершают процесс, не доведя его до логичного конца.
Подключение карты к 3DS
Сегодня очень большая часть российских банков выпускает карты, которые уже имеют подключенную службу 3DS. Однако иногда пластик не имеет подобной услуги. Нередко бывает и так, что сам платёжный инструмент не новый, а потому возникает вопрос: можно ли подключить 3D Secure?
Ответ – да. Вариантов тут два:
Примечание 2. Названия разделов/опций в терминалах и АТМ могут разниться – причём даже у одних тех же банков. Однако при этом смысл их сохраняется. Ищите близкое по назначению действие.
Протокол, обеспечивающий безопасность онлайн-транзакций, активируется безвозмездно. Когда Вы впервые перейдёте к оплате какой-то покупки по карте, придёт SMS-сообщение по поводу эксплуатации 3D Secure.
Как отключить?
Если ввиду каких-либо причин клиент решил деактивировать 3DS, он может столкнуться с трудностями. Многие банки отказывают в этом, т.к. считается, что в результате будет сильно понижен уровень безопасности эксплуатации платёжного инструмента.
Можно проявить упорство и настоять на отключении 3D Secure. Для этого посетите банковский офис и обратитесь к сотруднику. Он даст бланк для написания соответствующего заявления. Дальше всё зависит от политики конкретного кредитно-финансового учреждения. Часто своему клиенту идут навстречу и отключают ненужный ему сервис.
Не пришёл одноразовый код – что делать?
Проведение мероприятий по идентификации клиента, при которых используются одноразовые пароли, время от времени сопровождаются некоторыми сложностями.
Наиболее распространённая внештатная ситуация – код не пришёл на телефон картодержателя. Что тогда нужно делать?
Первая мера – ввести и отправить одноразовую комбинацию ещё раз на странице со специально предназначенным для этого полем.
Вторая мера – проверить следующие обстоятельства:
При тщетности всех попыток определить причину отсутствия сообщения с одноразовым кодом обратитесь в Вашу кредитно-финансовую организацию. Для этого лучше всего позвонить на горячую линию.
Ошибка авторизации
Бывают ситуации, что при проведении платёжной операции в сети картодержатель получает сообщение вида “Ошибка авторизации” (не пройдена идентификация). Отчего это может происходить? Есть две проблемы, являющиеся причинами такой ситуации с окном информирования о сбое:
Как видно, ничего страшного под этой ошибкой не подразумевается, а неприятные последствия довольно просто преодолеть.
Примечание 3. Рекомендуется при появлении уведомления о сбое всю платёжную операцию начать с самого начала. Это нужно, чтобы одноразовый код можно было ввести сразу, как только система его отправит клиенту. При корректном указании комбинации и одобрении платежа со стороны банковской компании онлайн-операция успешно завершится.
Действия при переезде в другую страну
Сервис можно не отключать, если Вы переезжаете в другое государство. Даже если за границей происходит смена телефона, это не беда: многие банки дают возможность указывать иностранные телефонные контакты для получения паролей одноразового действия.
Проще всего заранее составить в офисе банка заявление на замену номера, с тем чтобы всё информирование приходило на актуальный телефон.
Риски
Главная угроза для 3D Secure – это вирусы. Вне зависимости от того, на какой операционной системе работает смартфон, рекомендуется скачать и установить антивирусное программное обеспечение.
Никогда не сохраняйте карточные данные на мобильном устройстве, в браузере и т.д. 3DS применяется не для всех операций, так что при таком раскладе злоумышленники способны заполучить реквизиты Вашего пластика, а одноразовые коды им и вовсе не потребуются для кражи средств!
Пример 1. Возможен такой сценарий: мошенники крадут карту и с её помощью проводят оплату. Когда дело доходит до этапа подтверждения транзакции с помощью кода из SMS, они звонят владельцу платёжного инструмента и представляются сотрудниками банка. Разумеется, сразу запрашивается пришедший пользователю пароль – многие наивно его сообщают, чего делать нельзя категорически. Итог один: деньги уводятся подчистую. Причём всё сильно хуже, если пластик – кредитный, ведь тогда банковские утерянные деньги придётся возвращать в любом случае.
Подытоживая, можно сказать следующее: на 3DS надейтесь, но сами не плошайте.
Заключение
3D Secure – это технология, созданная для защиты финансовых средств пользователя, хранящихся на его банковской карте. Бывает, что при эксплуатации сервиса возникает ошибка авторизации (аутентификации). Разумеется, это вызывает у владельца пластика некоторое непонимание. Однако тут нет ничего страшного, т.к. причин обычно две: ошибка в набранном коде или его истекший срок действия.
Изменения в протоколе 3D secure: встречаем 3-D Secure 2.0
Что такое 3D Secure?
3D Secure — это протокол безопасности, разработанный в 1999 году и направленный на предотвращение мошеннического использования кредитных карт путем проверки подлинности держателей карт в транзакциях, для совершения которых не нужно физическое присутствие карты (CNP-операции). «3D» означает «3 домена», в которых работает протокол, и которые включают в себя домен эмитента (домен банка, выдавшего карту), домен эквайера (домен продавца и банка, в который перечисляются деньги) и домен совместимости (домен, предоставляемый платёжной системой для поддержки протокола 3D Secure). Протокол разработан и управляется EMVCo, организацией, совместно принадлежащей крупным брендам Visa, Mastercard, American Express, Discover, JCB и UnionPay.
Первая версия 3D Secure была разработана для того, чтобы повысить доверие потребителей к онлайн-платежам, что поспособствовало росту электронной коммерции. Чтобы защититься от мошеннических операций, 3D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты. Во время использования 3D Secure 1 система отображает всплывающее окно или встроенный фрейм, требуя от пользователя ввода пароля, чтобы банк мог аутентифицировать пользователя. Однако учетные данные объекта, генерирующего всплывающее окно, не могут быть аутентифицированы.
Для бизнеса преимущества 3D Secure очевидны: запрос дополнительной информации обеспечивает дополнительный уровень защиты от мошенничества, гарантируя, что вы принимаете платежи по карте только от проверенных клиентов. Также в случае использования 3D Secure происходит так называемый «Перенос ответственности» (Liability Shift), при котором ответственность за мошенничество также переходит от продавца к эмитенту карты. Таким образом, если 3D Secure не применяется, то, когда владелец карты оспаривает мошенническую транзакцию:
Каковы основные изменения в протоколе 3D Secure 2.0?
Прошло более 17 лет с момента разработки 3D Secure 1. Хотя платежная индустрия в большинстве стран довольно хорошо приняла этот метод аутентификации, признавалась необходимость создания нового протокола с учетом текущих и будущих требований рынка, включая добавление поддержки аутентификации на основе мобильных устройств и интеграции цифровых кошельков. Кроме того, отмечалось, что использование 3D Secure 1 имеет некоторые недостатки:
1. Flexible Device & Channel Support (Гибкая поддержка различных устройств и каналов).
Обеспечивает более плавное и последовательное взаимодействие с пользователем по нескольким каналам оплаты, включая оплату в браузере мобильного телефона, платежи в приложениях и платежи через цифровой кошелек.
2. Improved User Experience (Улучшенный пользовательский опыт).
3D Secure 1 (3D Secure 2 Stripe guide):
3. Enhanced Data Exchange to Manage Fraud and Reduce Friction (Улучшенный обмен данными для борьбы с мошенничеством и снижения препятствий). Risk-based authentication (RBA, Аутентификации на основе рисков). Frictionless authentication (Беспрепятственная аутентификация).
Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты. Это достигается с помощью так называемой «аутентификации на основе рисков» (RBA). RBA работает, собирая набор данных о держателях карт во время транзакции и передавая их банку-эмитенту и его Access Control Servers (ACS), который затем сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции. 3D Secure 2 позволит компаниям и их поставщикам платежей безопасно отправлять более 100 элементов данных по каждой транзакции в банк держателя карты. Сюда входят данные, относящиеся к оплате, такие как адрес доставки, а также контекстные данные, такие как идентификатор устройства клиента или история предыдущих транзакций.
Банк держателя карты может использовать эту информацию для оценки уровня риска транзакции и выбора подходящего ответа. Если значение риска мошенничества ниже заданного порогового значения, применяется Frictionless flow (беспрепятственный поток). Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1:
1) Если данных достаточно для того, чтобы банк мог поверить в то, что реальный владелец карты совершает покупку, транзакция удовлетворяет требованиям Frictionless flow (беспрепятственного потока), и аутентификация завершается без влияния на взаимодействие с пользователем — владелец карты никогда не видит никаких признаков того, что 3D Secure был применен. Другими словами, если риск мошенничества достаточно низок, то банк-эмитент не будет запрашивать дополнительную проверку у держателя карты и считает, что владелец карты прошел проверку подлинности. Это исключает этап ручной проверки, который всегда требовался от владельцев карт в 3D Secure 1.
2) В случае, когда значение риска мошенничества выше предварительно определенного порога, например, банк решит, что ему нужны дополнительные доказательства, транзакция выполняется в режиме Challenge, и клиента просят предоставить дополнительные данные для проверки подлинности платежа.
4. Изменение ответственности продавцов (merchants) в случае мошенничества
Также значительные различия в PSD2 включают изменение ответственности продавцов (merchants) в случае мошенничества. Эмитенты являются явными бенефициарами более широкого обмена данными, необходимыми для 3DS 2.0, поскольку они несут ответственность за любые возвратные платежи (chargebacks). Чем больше данных у них есть, тем точнее они могут оценить риск транзакции.
Тем не менее, продавцы (merchants) также получают выгоду, особенно если они еще не собирают достаточное количество данных по транзакции, которые потребуются для участия в 3DS, потому что тогда они могут использовать эти данные для улучшения своих собственных усилий для обнаружения мошенничества. Но даже если у продавца уже есть сложная программа предотвращения мошенничества, не следует упускать из виду дополнительный уровень защиты, предоставляемый эмитентом, проводящим собственную оценку риска. Поставщики ACS, используемые эмитентами, обычно имеют доступ к источникам данных о мошенничестве, которых нет у отдельных продавцов, что часто позволяет им предоставлять более надежную оценку риска мошенничества.
Когда платежные системы будут поддерживать 3-D Secure 2.0?
Широкое распространение 3D Secure 2 будет зависеть от отдельных эмитентов карт, поддерживающих новый стандарт. Ожидается, что первые банки начнут поддерживать 3D Secure 2 для своих владельцев карт в начале 2019 года, вполне вероятно, что более широкое внедрение будет постепенным и займет несколько месяцев. Например, платформа Visa 3DS 2.0 теперь доступна и готова обрабатывать запросы аутентификации 3DS 2.0: прежде чем участвовать в программе 2.0, поставщики услуг ACS и 3DS Server должны пройти тестирование как с EMVCo, так и с Visa. Провайдеры могут начать тестирование с Visa только после получения письма-подтверждения, подтверждающего успешное завершение тестирования с EMVCo. Чтобы у заинтересованных сторон было достаточно времени для внедрения 3-D Secure, полный набор правил программы не вступит в силу до дат активации программы, указанных ниже:
Для европейского бизнеса вступление в силу в сентябре 2019 года нового регламента, известного как строгая аутентификация клиентов (Strong Customer Authentication, SCA), который будет применяться к онлайн-платежам в Европейском экономическом пространстве (EEA), где банк держателя карты и провайдер платежных услуг находятся в EEA, делает 3D Secure 2 еще более важным. Поскольку новое правило потребует применять больше аутентификации к европейским платежам, 3D Secure 2 предложит лучший UX (пользовательский опыт), чтобы минимизировать влияние на конверсию сайта.
Хотя 3D Secure 2 будет основным методом соблюдения требований SCA к платежам по картам, ожидается, что Frictionless flow (беспрепятственный поток) не будет рассматриваться как форма строгой аутентификации клиентов. Это будет означать, что после введения в действие SCA в Европе Frictionless flow может использоваться только для платежей, которые подпадают под исключение (в то время как все платежи, требующие SCA, должны будут аутентифицироваться с использованием потока Challenge).
9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure
Российский рынок e-commerce живет в условиях кризиса, сейчас то время, когда одной из ключевых задач для успешного «выживания» является настройка всех «винтиков» механизма вашего сайта. Один из таких «винтиков» — это сервис приема онлайн-платежей на сайте. При правильном подходе он может стать фактором успеха, а при неверном использовании — привести к серьезным проблемам. В данном выпуске, первом из серии «9 секретов онлайн-платежей», содержащей восьмилетний опыт работы команды PayOnline, мы поделимся правилами настройки протокола 3-D Secure для успешной обработки платежей на вашем сайте.
Краткий экскурс в историю вопроса
Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.
Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.
Почему 3-D Secure так называется? В обработке платежа с использованием протокола 3DS участвует три домена (3D), на которых создаются и проверяются транзакции (платежные операции по банковским картам): домен эквайера, домен эмитента и домен взаимодействия.
Как это работает?
80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?
Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.
Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.
С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.
Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.
Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.
Компромисс между безопасностью и конверсией
Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.
Full 3DS
Full (полный) 3DS – это базовая настройка протокола 3DS, рекомендованная международными платежными системами. Эта настройка минимизирует риск возникновения мошеннических операций и, соответственно, вероятность чарджбэков и финансовых рисков для компании.
Как это работает? Очень просто. Платежи одобряются только после прохождения авторизации с помощью протокола 3DS. Действует для всех карт без исключения. Все транзакции проходят по протоколу 3DS.
Если проверка по 3DS на стороне эмитента не работает или карта не подписана на 3DS, транзакция пройдет только с согласия эмитента, в противном случае будет отклонена.
Такая настройка протокола соответствует международным стандартам безопасности и минимизирует уровень рисков возникновения мошеннических операций. В рамках нашего базового коробочного платежного решения Pay-Start (решение разработано для сайтов с оборотом до 30 тысяч рублей в сутки), используется только базовая, Full, настройка протокола 3DS. Это обеспечивает небольшим компаниям практически полную безопасность при приеме платежей. Платежный сервис несет ответственность за безопасность платежей и никогда не порекомендует клиенту «поставить себя под удар» мошенников.
Однако, в случае с крупным бизнесом, вопрос увеличения конверсии становится настолько критичным, что может заставить предпринимателя пойти на уступки в отношении безопасности. В этой ситуации часть или все платежи по банковским картам обрабатываются без проверки с помощью 3DS. Это касается минимальной и двухступенчатой настроек протокола.
Минимальный 3DS
Минимальные настройки протокола 3DS позволяют проверить карты, подписанные на 3DS, а остальные пропустить без проверки (точнее с проверкой – но с помощью других инструментов системы безопасности, так называемых фильтров безопасности).
Двухступенчатый 3DS
Эта настройка протокола 3DS похожа на минимальную, но имеет одно существенное отличие. В этом случае все запросы на одобрение транзакций направляются в банк-эмитент по протоколу 3DS. И банк-эмитент принимает решение о возможности проведения транзакции, если карта плательщика не подписана на протокол 3DS. Если банк отклоняет транзакцию, она направляется на проверку повторно, но уже не по протоколу 3DS.
Можно пойти дальше и выбрать один из трех возможных вариантов, настроив 3-D Secure ещё «тоньше», учитывая тип бизнеса и географию стран, в которых представлены интересы компании. Например, включить 3DS для определенных стран или заданного типа карт, а также в зависимости от различных параметров платежа — суммы, географии плательщика и т.д.
Нужно еще раз отметить, что минимальный и двухступенчатый 3DS при непрофессиональном использовании могут повысить уровень риска возникновения мошеннических операций и, соответственно, финансовых потерь. В общем, настройка 3DS – это совсем не игрушка.
Перед изменением настроек протокола проводится совместный анализ аудитории и специфики бизнеса компании (средний «по больнице» уровень рисков в данном сегменте, география приема платежей, размер среднего чека и т.д.). Анализ проводится специалистами платежного сервиса при участии представителей компании клиента. По результатам проведенного анализа предоставляются рекомендации по возможности изменения настроек и сопряженному с ними уровню рисков. Финальное решение принимает клиент, так как он берет на себя ответственность за возможность возникновения мошеннических операций. Стоит отметить, что изменения чаще всего внедряются в случае, если нет серьезных опасений о появлении фрода.
Что же делать?
Здесь встает вопрос, по какой же схеме удобнее, выгоднее и безопаснее работать интернет-магазину или другому сервису, принимающему платежи онлайн?
Единственная слабость Full 3DS очевидна – платежи по картам, не подписанным на 3DS (в России их около 20% и их число постоянно уменьшается), будут отклоняться. Такие карты обычно эмитируются банками, не входящими в ТОП-50, зачастую региональными. Главным плюсом же является практически полная безопасность: в соответствии с установленными международными платежными системами правилам ответственность за операции, обработанные по протоколу 3DS, несет банк-эмитент (банк, выпустивший карту).
Выбирая двуступенчатый или минимальный 3DS, интернет-магазин берет на себя риски, связанные с возможностью возникновения фрода (мошеннических операций). Однако, при профессиональном анализе рисков, тонкой настройке системы фрод-мониторинга на стороне платежного партнера доля успешных транзакций заметно увеличивается, иногда на десятки процентов.
От теории к практике
Рассмотрим кейс одного из наших клиентов, авиабилетного агентства «Посошок» (pososhok.ru). Оборот компании в 2013 году составил 4,5 млрд. рублей, на сегодняшний день компания может похвастаться полутора миллионами обслуженных пассажиров.
В марте 2014 года компания столкнулась с проблемой: авторизация покупателей с помощью протокола 3-D Secure давала высокую степень защиты, но перед компанией стояла задача увеличить конверсию в оплаты: одобрялось лишь 79% транзакций.
На тот момент использовалась двустадийная авторизация платежей. Первая стадия авторизации проводилась по протоколу 3D-Secure. Если платеж совершался с карты, не подписанной на 3DS, на второй стадии авторизации проверка выполнялась системой мониторинга мошеннических операций PayOnline (о ней будет рассказано подробнее в следующих статьях) на основании настроек её фильтров.
Проанализировав аудиторию покупателей, ядро которой составляли россияне, специалисты «Посошка» совместно с консультантом PayOnline приняли решение об изменении настроек безопасности для платежей из России, совершаемых картами, эмитированными в России. Для таких платежных операций была отключена авторизация по протоколу 3DS. Их проверяла система мониторинга мошеннических операций PayOnline, каждый из 154 фильтров, которой был настроен в соответствии со спецификой бизнеса «Посошка». Для остальных типов транзакций продолжала применяться авторизация по 3DS.
Результат не заставил себя долго ждать: уже через полгода конверсия «взлетела» до 91%, и продолжала расти.
При этом количество «чистых» операций, отклоненных системой мониторинга за этот период, можно пересчитать по пальцам – и все они впоследствии были идентифицированы и проведены вручную. А благодаря профессионализму специалистов, занимавшихся настройкой протокола 3DS, изменения не сказались на уровне безопасности.
В следующем выпуске мы расскажем, как привязать клиента к своему сервису при помощи регулярных платежей, что это такое, какие вопросы на этапе подключения могут возникнуть у вас, а в процессе использования – у плательщиков, и какой «профит» ожидает в результате. Если вы хотите подключить и настроить платежи, обращайтесь, наши специалисты помогут вам в этом.