Короткий обзор технологии 3-D Secure

1. 3-D Secure.
2. Регистрация карты по технологии 3-D Secure
3. Прохождение транзакций по технологии 3-D Secure.
4. Пример того, как проходит транзакция по технологии 3-D Secure в VTB (Azerbaijan).

1. 3-D Secure:

3-D Secure – протокол обработки интернет-транзакций, который используется как дополнительный уровень безопасности для онлайн-оплат по кредитным и дебетовым картам, двухфакторной аутентификации пользователя. Компания Visa разработала его с целью улучшения безопасности интернет-платежей и предложила клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты MasterCard под названием MasterCard SecureCode (MCC) и JCB International как J/Secure.

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей.

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии):

  • Домен эквайера (домен продавца и банка, в который перечисляются деньги);
  • Домен эмитента (домен банка, выдавшего карту);
  • Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой (MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола).

Перенос ответственности

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте при условии, что он не поддерживает эту технологию. В случае 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.

2. Регистрация карты по технологии 3-D Secure:

Для того, чтобы зарегистрировать карту по технологии 3-D Secure достаточно перейти по данной ссылке https://acs.3dsecure.az/way4acs/enroll

 

3.Прохождение транзакций по технологии 3-D Secure:

3-D Secure обеспечивает следующее:

Проверка личности владельца карты в реальном времени. После ввода номера карты на платежной странице электронного магазина, покупатель перенаправляется на сервер своего банка-эмитента. Проверку подлинности владельца карты осуществляет банк, для этого используется пароль/OTP*, известный только владельцу карты и банку.

Защита результатов проверки. По результатам проверки банк-эмитент формирует ответное сообщение с использованием цифровой подписи или смс-код с целью защиты информации от несанкционированных изменений.

Защита конфиденциальной информации пользователя. Для ввода частной информации клиента, например, номера карты, используются защищенные страницы платежного сервера. Введенная информация сохраняется на платежном сервере, и получатель платежа (электронный магазин) не имеет доступа к этой информации, что наилучшим образом защищает от ее потери и похищения.

*OTP - One Time Password (Одноразовый пароль).



(Изображение №1 – упрощённое представление технологии 3-D secure)

Как мы видим на изображении №1, клиент эмитента пришел в интернет-магазин за покупками и если карта клиента поддерживает технологию 3-D Secure, то мы должны ориентироваться по изображению и следовать пошагово с 1-го по 10-й шаг. Но если же карта клиента не поддерживает данную технологию, тогда мы пропускаем шаги с 3-го по 8-ой и следуем со 2-го шага к 9-му и 10-му, лишь потом возвращаемся ко 2-му и 1-му.


4. Пример того, как проходит транзакция по технологии 3-D Secure в банке VTB (Azerbaijan):

Чтобы защитить себя от мошенничества и пользоваться технологией 3-D Secure, клиент для начала должен зарегистрировать карту на сайте процессинга Изображение №2:



Далее переход по ссылке на страницу сервера:



Если клиент подписан на услугу СМС-банкинга, то у него есть возможность получить одноразовый пароль посредством СМС. В противном случае, он должен приобрести одноразовые пароли в любом банкомате сети Azericard.

Допустим, что клиент эмитента (VTB AZ) пришел в интернет-магазин www.***.com и пытается провести транзакцию картой, которая поддерживает технологию 3-D Secure на сумму 50 AZN.

После того, как клиент выбрал нужный ему товар и попытается подтвердить свой заказ, введя правильно нужную информацию, он будет перенаправлен на страницу Azericard для выбора метода аутентификации c технологией 3-D Secure как показано на Изображение №3 ниже:

Если клиент ввел данные удачно и страница 3-D secure отобразилась, то клиенту должно прийти SMS с OTP (одноразовый пароль) на мобильный номер (который он указал, когда заказывал карту и этот номер был прописан в процессинге на услугу SMS-банкинг).

Введя OTP и нажав на кнопку подтверждения «Отправить», клиент подтверждает, что является держателем той самой карты, по которой пытался провести транзакцию и транзакция будет считаться успешной.