3-D Secure (3D-Secure)
 

3-D Secure

Продукт
Разработчики: Visa International
Отрасли: Финансовые услуги, инвестиции и аудит
Технологии: ИБ - Аутентификация,  ИБ - Система обнаружения мошенничества (фрод),  ИБ - Средства шифрования

Содержание

3-D Secure - протокол обработки Интернет-транзакций, разработка компании Visa. Система 3D Secure при покупке через интернет верифицирует клиента с помощью динамического кода, который отправляется через SMS. Лицензией на использование этой технологии также обладает MasterCard, у которой есть свой сервис защиты SecureCode.

Назначение протокола - обеспечение безопасности Интернет-платежей, выполняемых с использованием кредитных или дебетовых карт. Другое его наименование Verified by Visa - в терминологии Visa, или SecureCode в терминологии MasterCard.

3-D Secure - торговая марка корпорации VISA.

Протокол 3D Secure, используется платежными системами под логотипами Verified by Visa и MasterCard SecureCode и обеспечивает держателям карт возможность аутентификации через свой банк-эмитент при совершении онлайн-покупок через веб-браузеры на персональных компьютерах.

Задачи

Цель использования 3-D Secure - упрощение обслуживания карточных транзакций через интернет с одновременным повышением безопасности их проведения.

Система трёх доменов

Модель 3-D Secure реализована на основе трёх доменов, в которых происходит порождение и проверка транзакций:

  • домен Эмитента, в составе которого Держатель карты и Банк, выпускающий карты.
  • домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
  • домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими доменами. В его ведении сети и сервисы карточных ассоциаций.


Домены независимы в своих правах и являются важной составной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Каждому домену определена собственная сфера ответственности в проведении транзакций:

  • В домене эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
  • В домене эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
  • В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.

Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:

  • Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
  • Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.

Компоненты архитектуры 3-D Secure

В архитектуре 3-D Secure реализован набор специальных серверов для обслуживания потока транзакций во время его жизненного цикла:

  • В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
  • В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
  • В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
  • В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.

2016: 3D Secure версии 2.0

3D-Secure от международной платежной системы Visa, который требует дополнительного пароля при карточном онлайн-платеже, начал изживать себя. Развитие мобильных устройств и электронной коммерции требует повышенной скорости, удобства и безопасности онлайн-платежей. По этой причине, а также из желания избавиться от Visa, ряд крупнейших платежных систем, банков и компаний электронной коммерции, объединившиеся в международный консорциум EMVСо, в прошлом году объявили о планах разработать собственную версию технологии защиты карточных платежей — 3D-Secure 2.0.

Среда электронной коммерции существенно изменилась за годы её существования, и EMVco готовит 3D Secure версии 2.0, стремясь внести свой вклад в создание глобальной операционно-совместимой и максимально удобной среды для пользователей таких новых средств и способов оплаты, как мобильные телефоны и покупки из приложений.

Выпуск документации запланирован на первую половину 2017 года, при этом Visa сообщает, что со своей стороны уже предпринимает необходимые шаги к тому, чтобы Verified by Visa и служба аутентификации держателей карт была готова ещё до начала промышленного запуска к середине следующего года.

Однако гигант индустрии пластиковых карт уточняет, что для предоставления всем заинтересованным организациям достаточного времени для внедрения новых продуктов и услуг, компания воздержится от применения определенных правил – таких, как защита от мошеннических возвратных платежей (чарджбэков) применительно к транзакциям 3D Secure 2.0 – до даты активации программы.

Даты активации будут варьироваться по регионам. В Европе, где 3D Secure первой версии работает уже практически повсеместно, внедрение версии 2.0, скорее всего, состоится в апреле 2018 года, но сроки для других рынков еще не определены.

Основное отличие 3D-Secure 2.0 от первой версии заключается в том, что решение о подтверждении платежной операции будет приниматься на основании новых параметров. В частности, в расчет будут браться данные устройства, с которого совершается платеж, настройки браузера, IP-адрес, e-mail и другие. Кроме того, для аутентификации будет использоваться интеллектуальный механизм принятия решения на основе анализа поведенческой активности пользователя

Смотрите также: «Мир» приступил к тестированию 3D-Secure 2.0

2014: Visa и MasterCard убирают пароли для 3D Secure

Visa и MasterCard объявили в ноябре 2014 года о планах устранить необходимость парольной аутентификации в платформах Verified by Visa и SecureCode, которые разработаны для того, чтобы добавить дополнительный уровень безопасности к онлайн-транзакциям[1].

В пресс-релизе MasterCard объявила, что особенностью обновленной системы 3D Secure, которая заменит текущую систему в этом году, будет работа с «более обширными данными о держателях карты», чтобы сократить парольные задержки в платежном процессе. В случае если требуется запрос аутентификации, MasterCard планирует заменить статический пароль одноразовыми паролями и биометрией по отпечатку пальца. MasterCard также проводит коммерческие испытания приложений распознавания лица и голоса для использования их в качестве аутентификаторов в будущем и браслетов для аутентификации по сердечному ритму.

Threatpost запросил у MasterCard разъяснение о том, что компания имела в виду под «более обширными данными держателя карты», но на время публикации ответа не получил.

3D Secure — платежный протокол без предъявления карты, разработанный Visa и внедренный рядом других платежных компаний. Он был разработан, чтобы решить растущую проблему мошеннических покупок, совершаемых онлайн. Когда пользователь Verified by Visa и SecureCode передает торговцу информацию о карте, торговец пересылает платежные данные Visa или MasterCard. Платежная компания отправляет iframe, который предъявляет пользователю дополнительную форму парольной аутентификации. Если клиент вводит корректный пароль, торговец получает авторизационный код для проведения транзакции.

При этом протокол 3D Secure подвергается критике из-за того, что требует от пользователей запоминания очередного сложного пароля, а также за свой интерфейс, который часто ошибочно принимают за фишинговую схему.

«Все мы хотим платежную процедуру, которая была бы безопасной и в то же время простой, а не одно из двух, — сказал Аджей Бхалла (Ajay Bhalla), президент MasterCard по вопросам безопасности. — Мы собираемся идентифицировать людей по тому, кем они являются, а не по тому, что они помнят. Мы должны помнить слишком много паролей, это создает дополнительные проблемы для клиентов и бизнеса».

Смотрите также

  • Assist Antifraud - интеллектуальная система противодействия мошенничеству для использования в рамках интернет-магазина.

Примечания



ПРОЕКТЫ (23) ПРОЕКТЫ НА БАЗЕ (1) ИНТЕГРАТОРЫ (4)
РЕШЕНИЕ НА БАЗЕ (1) СМ. ТАКЖЕ (47) ОТРАСЛИ (4)
ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- Банк Открытие
Без привлечения консультанта или нет данных2016.09Описание проекта
- Приват-Трейд (KupiVIP.ru)
ChronoPay (Хронопэй)2016.05Описание проекта
- Интерактивный Банк (iBank)
МультиКарта2014.10Описание проекта
- ВТБ Украина
Без привлечения консультанта или нет данных2014.09Описание проекта
- Банк Гагаринский
Без привлечения консультанта или нет данных2014.07Описание проекта
- Cetelem (Сетелем Банк)
Без привлечения консультанта или нет данных2014.06Описание проекта
- Нордеа Банк
Без привлечения консультанта или нет данных2014.04Описание проекта
- ВымпелКом ПАО
Без привлечения консультанта или нет данных2014.04Описание проекта
- Банк Зенит
Без привлечения консультанта или нет данных2014.04Описание проекта
- Росавтобанк
Без привлечения консультанта или нет данных2014.02Описание проекта
- ИнвестТрастБанк - Банк ИТБ
Без привлечения консультанта или нет данных2014.02Описание проекта
- Уралсиб ФК
Без привлечения консультанта или нет данных2014.01Описание проекта
- МТС Банк
Без привлечения консультанта или нет данных2014.01Описание проекта
- ТРАСТ Национальный банк
Без привлечения консультанта или нет данных2013.11Описание проекта
- Ренессанс Кредит
Без привлечения консультанта или нет данных2013.11Описание проекта
- МДМ Банк
Без привлечения консультанта или нет данных2013.11Описание проекта
- Петрокарт (Petrocard)
Тието Россия (Tieto)2013.10Описание проекта
- Росбанк АКБ
Без привлечения консультанта или нет данных2013.03Описание проекта
- Уральский Банк Реконструкции и Развития (УБРиР)
Без привлечения консультанта или нет данных2013.01Описание проекта
- Промсвязьбанк (ПСБ)
Без привлечения консультанта или нет данных2011.05Описание проекта
- Балтийский банк
Без привлечения консультанта или нет данных2003.11Описание проекта
- Assist (Ассист)
Без привлечения консультанта или нет данных2003.05Описание проекта
- ФОРА-Банк
Без привлечения консультанта или нет данных---Описание проекта



Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2014 год
2015 год
2016 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2014 год
2015 год
2016 год
Текущий год

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2014 год
2015 год
2016 год
Текущий год

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2014 год
2015 год
2016 год
Текущий год