3-D Secure

Эту страницу предлагается объединить со страницей 3-D Secure code. Пояснение причин и обсуждение — на странице Википедия:К объединению/6 мая 2020. Обсуждение длится не менее недели (подробнее). Не удаляйте шаблон до подведения итога обсуждения.

Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка. Статью следует исправить согласно стилистическим правилам Википедии.

Логотип Verified by Visa

Логотип MasterCard SecureCode

3-D Secure является протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, двухфакторной аутентификации пользователя, но не гарантирует безопасности денежных средств на карте. Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты платежными системами Mastercard под названием Mastercard SecureCode (MCC) и JCB International как J/Secure, AmEx как SafeKey, Мир (НСПК) как Мир Accept. American Express добавили 3-D Secure 8 ноября 2010 года как American Express Safe Key на некоторых рынках и продолжает запускать его на дополнительных рынках. Платежная система «Мир» запустила свой сервис в 2016 г.

Анализ протокола научными кругами показал, что он помогает в решении многих вопросов безопасности, которые влияют на потребителя, в том числе на площадь для фишинга и переложение ответственности в случае мошеннических платежей.^{[источник не указан 734 дня]}

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций.^[1]

3-D Secure code не следует путать с кодом CVV2 или CVC2, который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP-операциях (card not present), например, одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения, что ограничивает эффективность данной технологии на переходном периоде^[2].

Описание[править | править код]

Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты. От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами.

Ряд банков использует обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения.

Следует отметить, что EMVCo анонсировала новую версию протокола 3-D Secure 2.0.^[3], в котором существенно меняется процедура верификации. Планируется, что код будет запрашиваться только в 5 % случаев, а прочие транзакции будут проверяться на основе встроенной системы рисков. Предполагается, что это увеличит активность клиентов в интернете, которые бросают покупки по причине сложностей с оплатой.

Проблемы с безопасностью[править | править код]

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьёзные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и Mastercard^® SecureCode™), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией.^[4]

Следовательно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то, несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты, напечатанные на самой банковской карте, может совершать платежи этой картой в интернет-магазинах, не поддерживающих 3-D Secure, и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.

Следует отметить, что проведение операции без дополнительного шага аутентификации (при наличии поддержки 3-D Secure) свидетельствует о том, что по такой операции возможен «Перенос ответственности» (Liability Shift), то есть банк-эмитент может оспорить операции и вернуть деньги держателю карты (при его своевременном обращении).

Основные аспекты протокола[править | править код]

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)^{[источник не указан 2165 дней]}:

• Домен эквайера (домен продавца и банка, в который перечисляются деньги);
• Домен эмитента (домен банка, выдавшего карту);
• Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой (Mastercard, Visa и т. д.) для поддержки протокола 3-D Secure).

Перенос ответственности[править | править код]

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.

Примечания[править | править код]

Ссылки[править | править код]

• Verified by Visa (англ.)
• Visa 3-D Secure Payment Program (англ.)
• Visa 3-D Secure Specifications (англ.)
• Mastercard SecureCode (англ.)
• Принцип действия 3D-Secure
• Леонид ЧУРИКОВ. 3D-Secure: кто в защите? // Банки.ру, 14.11.2012
• 3D Secure 2.0 для безопасных интернет-покупок // Журнал ПЛАС, 05.03.2021

Для улучшения этой статьи желательно: Исправить статью согласно стилистическим правилам Википедии. Проставив сноски, внести более точные указания на источники. Пожалуйста, после исправления проблемы исключите её из списка параметров. После устранения всех недостатков этот шаблон может быть удалён любым участником.