3-D Secure

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
Логотип Verified by Visa
Логотип MasterCard SecureCode

3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, двухфакторной аутентификации пользователя, но не гарантирует безопасность денежных средств на карте. Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты платежными системами MasterCard под названием MasterCard SecureCode (MCC) и JCB International как J/Secure, AmEx как SafeKey.

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций.[1]

3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP (card not present) операциях, например одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3D secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения.[2]

Описание[править | править вики-текст]

Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты. От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами.

Ряд банков используют обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения.

Проблемы с безопасностью[править | править вики-текст]

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьезные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и MasterCard® SecureCode™), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией.[3]

Соответственно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты напечатанные на самой банковской карте может совершать платежи этой картой в интернет-магазинах не поддерживающих 3-D Secure и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.

Основные аспекты протокола[править | править вики-текст]

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)[источник не указан 384 дня]:

  • Домен эквайера (домен продавца и банка, в который перечисляются деньги);
  • Домен эмитента (домен банка, выдавшего карту);
  • Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой (MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола).

Перенос ответственности[править | править вики-текст]

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту или на самого клиента.

Примечания[править | править вики-текст]

  1. [1] / Банковская энциклопедия. 2013.
  2. Куда улетают деньги / Банки.ру, 2014.05.26
  3. Альфа-банк. Как совершить покупку по карте Visa/MasterCard, если интернет-магазин не поддерживает технологию Verified by Visa/MasterCard SecureCode. Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет. Альфа-банк.

Ссылки[править | править вики-текст]