3-D Secure


3-D Secure je protokol používaný jako další vrstva zabezpečení pro online kreditní a debetní karty pro dvoufaktorovou autentizaci uživatele .

Technologie byla vyvinuta pro platební systém Visa za účelem zlepšení bezpečnosti online plateb v rámci služby Verified by Visa (VbV). Služby založené na tomto protokolu byly akceptovány platebními systémy Mastercard pod názvem Mastercard SecureCode (MSC) a JCB International jako J/Secure , AmEx jako SafeKey , Mir ( NSPK ) jako Mir Accept . American Express přidal 3-D Secure 8. listopadu 2010 jako American Express Safe Key na vybraných trzích a pokračuje v jeho zavádění na dalších trzích. Platební systém Mir zpočátku licencoval implementaci první verze protokolu od společnosti VISA. V roce 2016 Mir samostatně implementoval podporu pro 3D-Secure 2.0 a začal ji poskytovat pod názvem MirAccept [1] .

3-D Secure přidává další autentizační krok pro online platby a umožňuje obchodníkům a bankám dodatečně ověřit, že platbu provedl držitel karty, aby se ochránili před podvodnými transakcemi [2] .

Kód 3-D Secure by se neměl zaměňovat s kódem CVV2 nebo CVC2 , který je vytištěn na zadní straně karty.

3-D Secure není absolutní ochranou peněz na kartě při operacích CNP ( karta není přítomna ), například jednorázový kód může být zachycen počítačovými viry. Ne všechny banky také podporují technologii 3-D Secure, takže mnoho zboží a služeb lze platit kartou bez potvrzovacího kódu, což omezuje účinnost této technologie v přechodném období [3] .

Od července 2016 byl 3D-Secure podporován bankami ze 195 zemí [4] .

Popis z pohledu uživatele

U držitele karty banky, která podporuje 3-D Secure, je během procesu online platby k dříve požadovaným údajům přidán další požadavek na potvrzení použití karty, který se zpravidla zobrazí přesměrováním uživatele. na novou stránku umístěnou buď na adrese banky, která kartu vydala , nebo zobrazenou v prvku iframe [5] [6] . Tato autorizační stránka je zobrazena komponentou ACS (access control server), která se nachází na straně banky, která kartu vydala.

Držitel je povinen zadat potvrzovací kód poskytnutý bankou pro každou transakci, nejčastěji do SMS zprávy zaslané na číslo mobilního telefonu spojeného s kartou [7] [4] . Možné jsou i další možnosti získání kódu potvrzení platby, např. karty s mikroprocesory z karty s jednorázovým kódem; ze speciálního zařízení, které generuje aktualizované pseudonáhodné kódy [7] [4] . Řada bank používá obvyklý systém trvalých hesel, to znamená, že uživatel si heslo nastaví jednou (při registraci) a zadá ho při každé internetové platbě. Tato metoda je méně spolehlivá než jednorázový potvrzovací kód. Formát kódu 3-D Secure se může lišit v závislosti na vystavující bance. Obvykle se jedná o 4-10 písmen a číslic. Řešení s jednorázovým heslem se skládají z 6-8 číslic [8] .

Po ověření správnosti zadaného kódu ACS (access control server) zkontroluje správnost zadaného bezpečnostního kódu [9] [4] , přesměruje uživatele zpět na stránku platební služby nebo provozovny, ze které došlo k původnímu přesměrování. místě a zároveň jej prostřednictvím platebního styku převede na bankovní potvrzení nabyvateli, že transakce je (ne)autorizována. Poté přijímající banka provede operaci, odečte / zablokuje prostředky z karty kupujícího nebo odmítne operaci.

V novějších verzích protokolu 3-D Secure 2.0 a 3.0. [10] byl vylepšen ověřovací postup a kód není vyžadován pro všechny operace. Některé transakce jsou prováděny bez pokusu o to požádat, výběr transakčního režimu se provádí na základě vlastní kontroly rizik banky a/nebo obchodu a služeb. To zvyšuje konverzi obchodních zákazníků, protože některé nákupy nejsou dokončeny kvůli platebním potížím a neustálé požadavky na další tajný kód nevyhnutelně zvyšují složitost procesu a pravděpodobnost předčasného přerušení ze strany kupujícího.

Bezpečnostní problémy

Držitel karty by měl vzít v úvahu, že 3-D Secure může provádět platby na internetu bez potvrzování pomocí dodatečného autentizačního kroku pomocí SMS nebo přihlašovacího jména a hesla, což vytváří velmi vážné problémy s bezpečností prostředků na bankovní kartě klienta.

Pokud internetový obchod nepodporuje technologii 3-D Secure (webová stránka internetového obchodu nezobrazuje loga Verified by Visa a Mastercard SecureCode ), pro nákup pomocí bankovní karty budete muset vybrat nákup a provést platba zadáním údajů o kartě požadovaných internetovým obchodem skóre. V tomto případě nebude vaše platba chráněna technologií [11] .

Znamená to tedy, že platba v takovém internetovém obchodě proběhne bez potvrzování SMS nebo loginem a heslem, ale pouze zadanými údaji o kartě uvedenými na kartě samotné (typ, číslo a doba platnosti karty, jméno držitele a tři -číslice CVV2 , která je vytištěna na mapě na zadní straně).

Je tedy důležité, aby klient banky pochopil, že pokud jsou na jeho kartě povoleny platby přes internet, a i když je na kartě povolena dodatečná ochrana 3-D Secure , pak i přes to může naprosto každý, kdo měl možnost vidět a zapamatovat si údaje, které jsou vytištěny na samotné bankovní kartě, může provádět platby touto kartou v internetových obchodech, které nepodporují 3-D Secure, a tyto platby budou provedeny bez potvrzení pomocí SMS nebo přihlašovacího jména a hesla. V řadě bank můžete samostatně spravovat limity transakcí prováděných bez 3-D Secure. Dalším způsobem může být správa celkových limitů pomocí bankovních klientských aplikací, zejména na telefonech.

Je třeba poznamenat, že provedení operace bez dalšího ověřovacího kroku (pokud je podporováno 3-D Secure ) znamená, že taková operace podléhá „ posunu odpovědnosti “, tj. vydávající banka může operace zpochybnit a vrátit peníze držitel karty (pokud je uplatněna včas).

Základní aspekty protokolu

Základním konceptem protokolu je přidání online ověřování do procesu finanční autorizace. Tato autentizace je založena na principu tří domén (odtud 3-D v názvu) :

Převod odpovědnosti

V běžných transakcích (nechráněných 3-D Secure) je za operace s odcizenými kartami odpovědný „ obchodník “ – obchodní a servisní společnost, na jejímž webu byl nákup produktu/služby proveden pomocí odcizené karty, pokud tuto technologii nepodporuje.

V případě použití 3-D Secure dochází k tzv. „posun odpovědnosti“ ( posun odpovědnosti ), kdy se odpovědnost přenese na banku, která kartu vydala, nebo na samotného klienta.

Poznámky

  1. PLUSworld ru-banking maloobchod, finanční služby a platební trh. Karty Mir obdrží technologii 3D Secure 2.0 nezávislou na Visa » . Plusworld.ru: fintech, retailové bankovnictví, finanční služby a trh plateb (18. července 2016). Datum přístupu: 21. října 2021.
  2. 3D-Secure // Na základě materiálů . / Bankovní encyklopedie. 2013.
  3. Kam letí peníze Archivní kopie z 18. května 2015 na Wayback Machine / Banki.ru, 26.05.2014
  4. 1 2 3 4 Banki.ru .
  5. MasterCard SecureCode . MasterCard (17. června 2014). Získáno 24. dubna 2020. Archivováno z originálu dne 2. července 2021.
  6. Churikov L. 3D-Secure: kdo je v defenzivě? . Banki.ru (14. listopadu 2012). Získáno 24. dubna 2020. Archivováno z originálu dne 18. května 2021.
  7. 1 2 Steven J. Murdoch, Ross Anderson. Ověřeno Visa a MasterCard SecureCode: Aneb, jak nenavrhnout autentizaci  //  Finanční kryptografie a zabezpečení dat / Radu Sion. — Berlin, Heidelberg: Springer, 2010. — S. 336–342 . - ISBN 978-3-642-14577-3 . - doi : 10.1007/978-3-642-14577-3_27 . Archivováno z originálu 21. ledna 2022.
  8. MasterCard, 2014 , A-1.
  9. Ablekov V., Moroz M. Protokoly pro zajištění bezpečnosti platebních systémů . 3-D Secure . cryptowiki.net (13. října 2013) . Získáno 24. dubna 2020. Archivováno z originálu dne 24. listopadu 2020.
  10. [1] Archivováno 11. prosince 2016 na Wayback Machine EMV 3D Secure 2.0
  11. Alfa-banka. Jak provést nákup s kartou Visa/MasterCard, pokud internetový obchod nepodporuje technologii Verified by Visa/MasterCard SecureCode . Oznámení o používání karet vydaných ALFA-BANK OJSC k platbám za zboží a služby na internetu . Banka Alfa. Získáno 23. dubna 2015. Archivováno z originálu 21. února 2014.

Odkazy

Normy a dokumentace