3-D Secure

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск
Логотип Verified by Visa
Логотип MasterCard SecureCode

3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебетовых карт, двухфакторной аутентификации пользователя, но не гарантирует безопасность денежных средств на карте. Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты платежными системами MasterCard под названием MasterCard SecureCode (MCC) и JCB International как J/Secure, AmEx как SafeKey.

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций. [1]

3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP операциях, например одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3D secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения.[2]


Описание[править | править вики-текст]

Для владельца карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение владения картой. От владельца требуется ввести код подтверждения, чаще всего предоставляемый банком для каждой операции в sms-сообщении, отправленном на привязанный к карте номер сотового телефона. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами.

Ряд банков используют обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения.

Проблемы с безопасностью[править | править вики-текст]

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьезные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и MasterCard® SecureCode™), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией.[3]

Соответственно, это означает, что платеж в таком интернет магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты напечатанные на самой банковской карте может совершать платежи этой картой в интернет магазинах не поддерживающих 3-D Secure и эти платежи будут проходить без подтверждения по СМС или логину и паролю.

У данной проблемы существует решение. Можно использовать банковские карты технологичных банков, которые имеют мобильный банк-клиент в виде android или iphone приложений, который позволяет мгновенно менять лимит по карте. Таким образом, выставив лимит по карте равным нулю, можно блокировать все несанкционированные клиентом операции по карте. А в случае, когда клиенту необходимо провести платеж или снятие наличных, он может мгновенно выставить нужный лимит по карте, через приложение в своем телефоне и провести операцию. По завершении которой опять мгновенно вернуть через приложение лимит по карте равным нулю, тем самым снова заблокировав свою карту, от проведения несанкционированных им платежей. В этом случае, вам вообще не понадобится использовать технологию 3-D Secure, т.к. она окажется избыточной.[источник не указан 20 дней][1]


Основные аспекты протокола[править | править вики-текст]

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)[источник не указан 20 дней]:

  • Домен эквайера (домен продавца и банка, в который перечисляются деньги);
  • Домен эмитента (домен банка, выдавшего карту);
  • Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой (MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола).

Перенос ответственности[править | править вики-текст]

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте при условии что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту или на самого клиента.

Примечания[править | править вики-текст]

  1. [2] / Банковская энциклопедия. 2013.
  2. Куда улетают деньги / Банки.ру, 2014.05.26
  3. Альфа-банк. Как совершить покупку по карте Visa/MasterCard, если интернет-магазин не поддерживает технологию Verified by Visa/MasterCard SecureCode. Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет. Альфа-банк.

Ссылки[править | править вики-текст]