Interested Article - 3-D Secure

3-D Secure - протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя.

Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет -платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, были приняты платежными системами Mastercard под названием Mastercard SecureCode (MSC) и JCB International как J/Secure , AmEx как SafeKey , Мир ( НСПК ) как Мир Accept . American Express добавили 3-D Secure 8 ноября 2010 года под названием American Express Safe Key и первоначально сделали ее доступной лишь на некоторых рынках. Платежная система «Мир» первоначально лицензировала реализацию первой версии протокола у VISA. В 2016 г. «Мир» самостоятельно реализовала поддержку 3D-Secure 2.0 и начала предоставлять её под названием MirAccept .

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций .

3-D Secure code не следует путать с кодом CVV2 или CVC2 , который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP-операциях ( card not present ), например, одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения, что ограничивает эффективность данной технологии на переходном периоде .

На июль 2016 года 3D-Secure поддерживали банки из 195 стран мира .

Описание с точки зрения пользователя

Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты, который, как правило, показывается путём перенаправления пользователя на новую страницу, расположенную либо на адресе банка- эмитента карты, либо выводимую в . Показ этой страницы авторизации осуществляется компонентом ACS (access control server — сервер контроля доступа), который расположен на стороне банка-эмитента карты.

От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона . Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами, с карточки одноразовых кодов; из специального устройства, которое генерирует обновляемые псевдослучайные коды . Ряд банков использует обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения. Формат 3-D Secure code может варьироваться в зависимости от банка-эмитента. Обычно это 4—10 букв и цифр. Решения с одноразовым паролем состоят из 6—8 цифр .

После проверки правильности введённого кода ACS (сервер контроля доступа) проверяет правильность введённого защитного кода , перенаправляет пользователя обратно на страницу платежного сервиса или торговой точки, с которой происходило первоначальное перенаправление и, одновременно с этим, передаёт через платёжную систему банку-эквайеру подтверждение того, что операция (не)авторизована. После этого банк-эквайер осуществляет операцию, списывая/блокируя денежные средства с карты покупателя или отказывает в операции.

В более поздних версиях протокола 3-D Secure 2.0 процедура верификации была усовершенствована, и код запрашивается далеко не для всех операций. Часть транзакций проводится без попытки его запросить, выбор режима проведения транзакций осуществляется на базе собственного контроля риска банка и/или торгово-сервисного предприятия. Это увеличивает конверсию клиентов торговых точек, так как часть покупок не доводится до конца по причине сложностей с оплатой и постоянный запрос дополнительного секретного кода неизбежно увеличивает сложность процесса и вероятность его досрочного прерывания покупателем.

Проблемы с безопасностью

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьёзные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и Mastercard SecureCode ), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией .

Следовательно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2 , который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure , то, несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты, которые напечатаны на самой банковской карте, может совершать платежи этой картой в интернет-магазинах, не поддерживающих 3-D Secure, и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.

Следует отметить, что проведение операции без дополнительного шага аутентификации (при наличии поддержки 3-D Secure ) свидетельствует о том, что по такой операции возможен «перенос ответственности» ( liability shift ), то есть банк-эмитент может оспорить операции и вернуть деньги держателю карты (при его своевременном обращении).

Основные аспекты протокола

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии) ^{[

источник не указан 3174 дня

]} :

Домен эквайера (домен продавца и банка, в который перечисляются деньги);
Домен эмитента (домен банка, выдавшего карту);
Домен совместимости (interoperability domain) (домен, предоставляемый платёжной системой ( Mastercard , Visa и т. д.) для поддержки протокола 3-D Secure).

Перенос ответственности

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «продавец» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по украденной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «перенос ответственности» ( liability shift ), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.

Примечания

PLUSworld ru-банковская розница, финансовое обслуживание и платежный рынок. (рус.) . Plusworld.ru: финтех, банковская розница, финансовое обслуживание и платежный рынок (18 июля 2016). Дата обращения: 21 октября 2021.
3D-Secure // По материалам (рус.) . / Банковская энциклопедия. 2013.
от 18 мая 2015 на Wayback Machine / Банки.ру, 2014.05.26
↑ .
(неопр.) . MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. 2 июля 2021 года.
Чуриков Л. (неопр.) Банки.ру (14 ноября 2012). Дата обращения: 24 апреля 2020. 18 мая 2021 года.
↑ Steven J. Murdoch, Ross Anderson. (англ.) // Financial Cryptography and Data Security / Radu Sion. — Berlin, Heidelberg: Springer, 2010. — P. 336–342 . — ISBN 978-3-642-14577-3 . — doi : . 21 января 2022 года.
, A-1.
Аблеков В., Мороз М. . 3-D Secure (неопр.) . cryptowiki.net (13 октября 2013). Дата обращения: 24 апреля 2020. 24 ноября 2020 года.
от 11 декабря 2016 на Wayback Machine EMV 3D Secure 2.0
Альфа-банк. (неопр.) . Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет . Альфа-банк. Дата обращения: 23 апреля 2015. 21 февраля 2014 года.

Ссылки

от 15 февраля 2013 на Wayback Machine (англ.)
(англ.)
(англ.)
от 13 октября 2010 на Wayback Machine (англ.)
от 17 января 2013 на Wayback Machine
Леонид ЧУРИКОВ. от 16 декабря 2013 на Wayback Machine // Банки.ру, 14.11.2012
от 17 апреля 2021 на Wayback Machine // Журнал ПЛАС, 05.03.2021
(неопр.) . Банки.ру. Дата обращения: 24 апреля 2020. 7 августа 2020 года.

Стандарты и документация

(неопр.) . MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. 2 июля 2021 года.
(англ.) . usa.visa.com. Дата обращения: 24 апреля 2020. 4 мая 2020 года.
(англ.) . EMVCo. Дата обращения: 24 апреля 2020. 2 мая 2020 года.
(неопр.) . Secure Trading (4 июня 2019). Дата обращения: 24 апреля 2020.
(неопр.) . Braintree Developer . Дата обращения: 24 апреля 2020. 6 апреля 2020 года.
Christopher Rotsaert. (англ.) (7 мая 2019). Дата обращения: 24 апреля 2020. 3 июля 2020 года.

[1] PLUSworld ru-банковская розница, финансовое обслуживание и платежный рынок. (рус.) . Plusworld.ru: финтех, банковская розница, финансовое обслуживание и платежный рынок (18 июля 2016). Дата обращения: 21 октября 2021.

[2] 3D-Secure // По материалам (рус.) . / Банковская энциклопедия. 2013.

[3] от 18 мая 2015 на Wayback Machine / Банки.ру, 2014.05.26

[_cffd1b2388d35ac6-4] .

[MasterCard2014-5] (неопр.) . MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. 2 июля 2021 года.

[Чуриков2012-6] Чуриков Л. (неопр.) Банки.ру (14 ноября 2012). Дата обращения: 24 апреля 2020. 18 мая 2021 года.

[MurdochAnderson-7] Steven J. Murdoch, Ross Anderson. (англ.) // Financial Cryptography and Data Security / Radu Sion. — Berlin, Heidelberg: Springer, 2010. — P. 336–342 . — ISBN 978-3-642-14577-3 . — doi : . 21 января 2022 года.

[_c078f687a8b2a3e7-8] , A-1.

[9] Аблеков В., Мороз М. . 3-D Secure (неопр.) . cryptowiki.net (13 октября 2013). Дата обращения: 24 апреля 2020. 24 ноября 2020 года.

[10] от 11 декабря 2016 на Wayback Machine EMV 3D Secure 2.0

[11] Альфа-банк. (неопр.) . Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет . Альфа-банк. Дата обращения: 23 апреля 2015. 21 февраля 2014 года.

Банковские карты
Типы карт	Банковская платёжная карта кредитная карта дебетовая карта расчётная карта
Глобальные платёжные системы	Visa Mastercard American Express Cirrus JCB UnionPay
Локальные платёжные системы, в том числе закрытые	Алтын Асыр Белкарт Золотая корона Мир Приднестровье Простір Armenian Card Banelco BC Card Carte Bleue Diners Club Girocard HUMO Interac Meeza PayPak Qiwi RuPay Troy Uzcard V Pay Carte Blanche enRoute Eurocard Laser Solo STB Card Switch Union Card Shetab Про100
Основные кредитные карты	Мир Visa Mastercard JCB
Основные дебетовые карты	Мир Debit Mastercard Maestro Visa Debit Visa Electron
Выпуск банковских карт	Банк-эмитент Эмбосированная карта Карта с магнитной полосой Смарт-карта (с чипом) Бесконтактная карта ( MasterCard Contactless Visa payWave )
Приём банковских карт	Банкомат POS-терминал Импринтер mPOS Эквайринг
Связанные понятия	Банковская транзакция Системы расчётов по банковским картам Процессинговый центр Платёжная система Реестр операторов платёжных систем
Безопасность	CVV2 EMV Кардинг CNP-операции

Interested Article - 3-D Secure

Содержание

Описание с точки зрения пользователя

Проблемы с безопасностью

Основные аспекты протокола

Перенос ответственности

Примечания

Ссылки

Secure Digital

Secure Token

Same as 3-D Secure

Secure Digital

3-D Secure

Java Secure Socket Extension

Secure Digital

Secure Digital

Secure Digital

Secure Digital

Secure Digital

Secure Token

SecureList

The title for the last searches