3-D Secure

Логотип Verified by Visa

Логотип MasterCard SecureCode

3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, двухфакторной аутентификации пользователя, но не гарантирует безопасности денежных средств на карте. Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты платежными системами Mastercard под названием Mastercard SecureCode (MCC) и JCB International как J/Secure, AmEx как SafeKey, Мир (НСПК) как Мир Accept. American Express добавили 3-D Secure 8 ноября 2010 года как American Express SafeKey на некоторых рынках и продолжает запускать его на дополнительных рынках. Платежная система «Мир» запустила свой сервис в 2016 г. Анализ протокола научными кругами показал, что он помогает в решении многих вопросов безопасности, которые влияют на потребителя, в том числе на площадь для фишинга и переложение ответственности в случае мошеннических платежей.

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций.^[1]

3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP- (card not present) операциях, например, одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения, что ограничивает эффективность данной технологии на переходном периоде.^[2]

Описание[править | править код]

Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты. От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами.

Ряд банков использует обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения.

Следует отметить, что EMVCo анонсировала новую версию протокола 3-D Secure 2.0.^[3], в котором существенно меняется процедура верификации. Планируется, что код будет запрашиваться только в 5 % случаев, а прочие транзакции будут проверяться на основе встроенной системы рисков. Предполагается, что это увеличит активность клиентов в интернете, которые бросают покупки по причине сложностей с оплатой.

Проблемы с безопасностью[править | править код]

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьёзные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и Mastercard^® SecureCode™), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией.^[4]

Соответственно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то, несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты, напечатанные на самой банковской карте, может совершать платежи этой картой в интернет-магазинах, не поддерживающих 3-D Secure, и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.

Следует отметить, что проведение операции без дополнительного шага аутентификации (при наличии поддержки 3-D Secure) свидетельствует о том, что по такой операции возможен «Перенос ответственности» (Liability Shift), то есть банк-эмитент может оспорить операции и вернуть деньги держателю карты (при его своевременном обращении).

Основные аспекты протокола[править | править код]

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)^{[источник не указан 1302 дня]}:

Домен эквайера (домен продавца и банка, в который перечисляются деньги);
Домен эмитента (домен банка, выдавшего карту);
Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой (Mastercard, Visa и т. д.) для поддержки протокола 3-D Secure).

Перенос ответственности[править | править код]

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.

Примечания[править | править код]

↑ [1] / Банковская энциклопедия. 2013.
↑ Куда улетают деньги / Банки.ру, 2014.05.26
↑ [2] EMV 3D Secure 2.0
↑ Альфа-банк. Как совершить покупку по карте Visa/MasterCard, если интернет-магазин не поддерживает технологию Verified by Visa/MasterCard SecureCode. Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет. Альфа-банк.

Ссылки[править | править код]

Verified by Visa (англ.)
Visa 3-D Secure Payment Program (англ.)
Visa 3-D Secure Specifications (недоступная ссылка) (англ.)
Mastercard SecureCode (англ.)
Принцип действия 3D-Secure
Леонид ЧУРИКОВ. 3D-Secure: кто в защите? // Банки.ру, 14.11.2012.

[1] [1] / Банковская энциклопедия. 2013.

[2] Куда улетают деньги / Банки.ру, 2014.05.26

[3] [2] EMV 3D Secure 2.0

[4] Альфа-банк. Как совершить покупку по карте Visa/MasterCard, если интернет-магазин не поддерживает технологию Verified by Visa/MasterCard SecureCode. Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет. Альфа-банк.

[1]

[2]

[3]

[4]

Банковские карты
Типы карт	Банковская платёжная карта (кредитная карта дебетовая карта)
Глобальные платёжные системы	Visa MasterCard American Express Cirrus Diners Club JCB China UnionPay
Локальные платёжные системы, в том числе закрытые	Мир Золотая корона Union Card Алтын Асыр Armenian Card Белкарт Простір STB Card Banelco BC Card Carte Bleue Dankort Discover Girocard Interac Laser Qiwi V Pay Приднестровье Access Bankcard Choice Carte Blanche enRoute Eurocard Everything Solo Switch Uzcard Корти Милли
Основные кредитные карты	Visa MasterCard JCB
Основные дебетовые карты	Debit MasterCard Maestro Visa Debit Visa Electron
Платёжные карты	American Express Diners Club Простір
Выпуск банковских карт	Банк-эмитент Эмбосированная карта Карта с магнитной полосой Смарт-карта (с чипом) Бесконтактная карта (MasterCard Contactless Visa payWave)
Приём банковских карт	Банкомат POS-терминал Импринтер mPOS Эквайринг
Связанные понятия	Банковская транзакция Системы расчётов по банковским картам Процессинговый центр Платёжная система Реестр операторов платёжных систем
Безопасность	CVV2 3-D Secure EMV Кардинг CNP-операции

3-D Secure

Содержание

Описание[править | править код]

Проблемы с безопасностью[править | править код]

Основные аспекты протокола[править | править код]

Перенос ответственности[править | править код]

Примечания[править | править код]

Ссылки[править | править код]

Навигация

Персональные инструменты

Пространства имён

Варианты

Просмотры

Ещё

Поиск

Навигация

Участие

Инструменты

Печать/экспорт

На других языках