3D Secure (часто сокращенно 3DS) - это протокол безопасности, разработанный для защиты потребителей от мошенничества с платежными картами в Интернете.
За два с лишним десятилетия, прошедших с момента появления этой технологии, она доказала свою эффективность в борьбе с мошенничеством. Однако ранние версии технологии были подвержены жалобам на снижение конверсии и недовольство клиентов.
И все это на фоне быстро растущей глобальной проблемы мошенничества. Эти опасения привели к внедрению 3-D Secure 2.0, начавшемуся в 2016 году. В новом продукте были устранены многие проблемы оригинальной версии 3DS, а также появились новые функции.
В этой статье мы рассмотрим, как работает 3DS2, чем она лучше 3DS версии 1.0 и почему для некоторых продавцов и партнерских программ интернет-магазинов обновление является абсолютной необходимостью.
Что такое 3D Secure 2.0?
Проще говоря, 3D Secure 2.0 призван обеспечить дополнительный уровень безопасности при проведении операций с кредитными и дебетовыми картами в Интернете.
От своего предшественника 3DS2 отличается тем, что улучшает пользовательский опыт. 3DS2 использует биометрические средства аутентификации, такие как отпечатки пальцев и распознавание лиц, для идентификации покупателей. Кроме того, она предлагает более удобную интеграцию с различными устройствами, включая смартфоны и планшеты.
Благодаря сбору и обмену большим количеством данных между продавцом, эмитентом карты и платежным шлюзом, 3DS2 позволяет более точно и эффективно оценивать риски. Это снижает трение в процессе оформления заказа, что приводит к повышению конверсии и удовлетворенности клиентов.
В конечном итоге 3DS2 стремится найти баланс между укреплением безопасности и улучшением покупательского опыта.
Чем 3D Secure 2.0 отличается от 3D Secure 1.0?
Как упоминалось выше, 3-D Secure 2.0 был представлен в 2016 году. Новая версия - это не столько обновление, сколько совершенно новый продукт, разработанный при участии других крупных брендов кредитных карт.
Это сравнение бок о бок показывает некоторые ключевые отличия, которые вы увидите в 3DS2.
По сравнению с предыдущими версиями 3DS, новая 3D Secure 2.0 собирает в 10 раз больше данных в процессе аутентификации. Она учитывает комбинацию показателей с сайта или приложения продавца, а также данные с устройства покупателя.
Потенциальный уровень риска транзакции оценивается автоматически и в режиме реального времени. Некоторым пользователям будет предложено ввести код доступа для дополнительной идентификации.
Однако, по оценкам, 90-95 % транзакций проходят "без трения", что позволяет провести их без проблем. Другими словами, результат оценки риска обеспечивает достаточную аутентификацию для одобрения большинства покупок без дополнительных действий со стороны покупателя.
Другими словами: 3DS2 обеспечивает более плавный, быстрый и точный процесс оформления покупки, позволяя вам получать ответы 3DS и получать выгоду от увеличения конверсии и снижения оттока покупателей.
Требования 3D Secure 2.0 и SCA
Если мы говорим о 3DS2, нам также необходимо немного поговорить о строгой аутентификации клиентов, или SCA.
SCA - это требование к безопасности онлайн-платежей, установленное Директивой о платежных услугах (PSD2). Это правило касается всех, кто ведет бизнес в Европейской экономической зоне (ЕЭЗ).
Согласно SCA, многие платежные операции теперь требуют двухфакторной аутентификации. Проще говоря, клиенты должны быть в состоянии предоставить два из трех защищенных элементов:
1. То, что известно держателю карты:
• Одноразовый пароль;
• SMS-код;
• PIN-код;
• Секретный вопрос.
2. То, чем владеет держатель карты:
• Платежная карта;
• Брелок;
• Мобильное устройство;
• Токен.
3. То, кем является держатель карты:
• Биометрические данные: отпечатки пальцев, голос или распознавание лица.
Развертывание 3DS2 позволяет продавцам соответствовать требованиям SCA и при этом минимизировать количество сложностей, с которыми сталкиваются клиенты. Существует также несколько исключений из SCA.
Например, транзакции стоимостью менее определенного доллара или транзакции, в которых применяется анализ рисков, не должны соответствовать стандартам SCA. 3DS1 не поддерживала ни одно из этих исключений, но 3DS2 работает с любыми исключениями из SCA, которые могут применяться.
Как работает 3D Secure 2.0?
Статические коды, использовавшиеся в 3SD1, лучше, чем полное отсутствие аутентификации. Однако они обеспечивали минимальную безопасность. Потребители часто забывают пароли или используют пароли, которые легко обойти.
3-D Secure version 1.x
Однако при инициировании транзакции с использованием технологии 3DS2 3DS2 сначала проводит анализ рисков.
Как уже говорилось выше, большинство покупателей можно проверить без дополнительного ввода данных. 3SD2 позволяет продавцу передавать гораздо больше данных, чем оригинальный протокол. К ним могут относиться:
• Установленные модели покупок покупателя;
• Геолокация покупателя;
• Идентификатор устройства и IP-адрес;
• Предыдущая история взаимодействия с продавцом;
• Адреса доставки, выставления счетов и электронной почты.
Если покупателю необходимо предоставить дополнительную информацию для подтверждения покупки, сайт или приложение продавца отправляет запрос эмитенту. После этого банк запускает процесс аутентификации.
3-D Secure version 2.x
Владелец карты может получить одноразовый пароль или SMS-код, ему может быть предложено использовать биометрический идентификатор, например отпечаток пальца или распознавание лица, или подтвердить операцию через защищенное приложение на своем мобильном устройстве.
Такой многоуровневый подход к обеспечению безопасности гарантирует, что только законный владелец карты может авторизовать транзакцию, что значительно снижает риск мошенничества. После успешной аутентификации транзакция проходит как обычно, обеспечивая покупателю беспрепятственный и безопасный процесс покупки.
Ценность 3DS2?
3D Secure 2.0 помогает обнаруживать и отклонять мошеннические транзакции. Но еще одной особенностью 3D Secure 2.0 является увеличение объема данных, которые она собирает и передает, а также то, как эмитенты могут использовать эту информацию для более точной настройки процесса аутентификации.
Чем больше данных передается между торговцами и эмитентами, тем лучше оценка мошенничества и тем ниже процент ложных отказов.
Собранные данные имеют ценность не только для одноразовой аутентификации. 3DS2 позволяет профилю клиента развиваться вместе с владельцем карты, динамически изменяясь с течением времени. Новая информация используется для машинного обучения, создавая более полное представление о владельце карты. Банки могут лучше определять отклонения от предыдущих моделей покупок.
Информация стандартизируется, и профиль клиента обновляется, поскольку в него включаются новые модели. Потенциально это может позволить владельцу карты пропустить этап вторичной аутентификации в будущих транзакциях.
Интеграция с родными мобильными устройствами и варианты оплаты
Оригинальный 3DS поддерживал только браузерные транзакции. Он не был рассчитан на работу с мобильной коммерцией.
При попытке использования протоколов 3DS на мобильных устройствах возникали проблемы со всплывающим окном, скоростью загрузки страниц и т. д. Некоторые пользователи обнаружили, что вообще не могут попасть на страницу аутентификации 3DS.
3D Secure 2.0 позволяет продавцам легко интегрировать интерфейс 3DS в уже существующие мобильные приложения. Встроенные экраны аутентификации помогают сохранить внешний вид и ощущение от всего процесса. Это, в свою очередь, убеждает держателя карты в том, что запрос на идентификацию является надежной мерой безопасности.
3DS 2.0 также работает с платежными инструментами мобильных кошельков, такими как Apple Pay или Google Pay. Они работают в дополнение к приему стандартных платежных карт.
Параметры перекладывания ответственности за мошенничество
Торговцы также получают выгоду от переноса ответственности за транзакции, отвечающие требованиям 3D Secure. При обычных обстоятельствах ответственность за мошеннические операции лежит на продавце. В конце концов, вы приняли покупку, значит, вы за нее и отвечаете.
Однако ситуация меняется, когда владелец карты становится участником 3DS2. Если эмитент успешно аутентифицирует клиента, ответственность переходит (или "перекладывается") на эмитента.
Даже если клиент утверждает, что торговая организация сняла с него деньги за несанкционированную транзакцию, ответственность за мошенничество почти всегда будет нести эмитент. Однако это не означает, что продавцы освобождаются от ответственности: если клиент оспаривает транзакцию, используя код причины, не связанный с мошенничеством, ответственность остается на продавце.
3DS2 также позволяет продавцам активировать режим "без оспаривания". В ситуациях, когда человек предпочитает использовать свой собственный механизм оценки рисков, он может отказаться от системы аутентификации. И в этом случае ответственность остается за продавцом, если транзакция окажется мошеннической.
Более полная стратегия
Если и есть недостаток у 3D Secure, то он заключается в том, что программа ничего не делает для предотвращения дружественного мошенничества.
Атаки дружественного мошенничества составляют большую часть возвратов платежей у большинства продавцов. А дружеское мошенничество происходит после совершения сделки; аутентификация клиента до покупки не поможет, если мошенничество произойдет только после ее совершения.
Метод аутентификации 3D Secure действительно обеспечивает надежную защиту от мошенничества. Однако для реального предотвращения возврата платежей большинству продавцов необходимо специализированное комплексное решение.
Они должны уметь разделять возвратные платежи по их источникам - преступное мошенничество, дружеское мошенничество и ошибка продавца - и затем применять наиболее эффективные инструменты там, где они принесут наибольшую пользу.
Автор: pimka21
Еще советуем:
