Сьогоднішню серію блогу про прийом платежів через веб-сайт команда Finance Business Service хоче присвятити одному з важливих аспектів процесу безпечного еквайрингу платіжних карт – 3-D Secure. Ми глибоко переконані, що кожен із нас, хто хоча б раз у своєму житті здійснював оплату товарів і послуг в мережі Інтернет, вже заочно знайомий з цим механізмом. Проте, для кращого розуміння схеми його роботи і необхідності практичного використання, вашій увазі пропонується наступний матеріал. Він буде корисний не тільки для власників банківських карт (покупців), але і для власників онлайн-бізнесу.
Що таке 3-D Secure?
3-D Secure (Three-Domain Secure) – це протокол захисту, який використовується для авторизації платіжного засобу (банківської карти) при здійсненні CNP-оплати (Card Not Present Payment) за товари і послуги. Вперше даний механізм був задіяний оператором платіжних карт Visa, внаслідок чого з’явилася система безпеки Verified by Visa. Наслідуючи приклад Visa, MasterCard також впровадив свій власний протокол MasterCard Secure Code. Для того, щоб зрозуміти, чи гарантує той чи інший веб-сайт додатковий рівень захисту інтернет-платежів, необхідно звернути увагу на наявність спеціальних логотипів операторів Visa і MasterCard на його сторінках.
Оскільки технологія 3-D Secure є технологією підвищеної безпеки, вона створює додатковий щабель автентифікації користувачів для підтвердження онлайн-платежів, здійснюваних за допомогою платіжних карт. У свою чергу, це дозволяє бізнесу (наприклад, інтернет-магазину) і його еквайр-банку переконатися в тому, що операції дійсно проводяться власниками карт, а не шахраями.
Схема роботи 3-D Secure
Для того, аби зрозуміти, як працює 3-D Secure, потрібно згадати алгоритм дій звичайного покупця, наприклад, при оплаті онлайн-замовлення на веб-сайті.
- У більшості випадків покупець формує своє замовлення в «Кошику» і вибирає спосіб оплати «Банківської картою Visa або MasterCard», після чого система переправляє його на форму для заповнення реквізитів платіжної картки.
- У цій формі зазвичай потрібне внесення таких даних: номер банківської карти, термін її дії, CVV2/СVC2-код та ім’я власника.
- Після заповнення платіжних реквізитів, підключається протокол безпеки 3-D Secure, за допомогою якого покупцеві відправляється SMS-оповіщення з унікальним паролем для підтвердження операції. Цей пароль завжди одноразовий і діє досить короткий проміжок часу (від 30 секунд до 5 хвилин). Особливість подібного SMS-оповіщення полягає в тому, що покупець отримує повідомлення на свій мобільний телефон, який прив’язаний до банківської картки, або ж в додатку мобільного банкінгу, для входу в який також потрібна авторизуватися за допомогою пароля, відбитку пальця (Touch ID) або фейс-сканування (Face ID).
- Коректне і своєчасне введення пароля з SMS-оповіщення у формі оплати на веб-сайті дозволяє банку безпечно списувати грошові кошти з рахунку покупця.
Варто зазначити, що 3-D Secure автентифікація проходить за трьома доменами:
- доменом еквайр-банку, що обслуговує інтернет-магазин;
- доменом банку-емітента, який випустив платіжну карту покупця;
- доменом платіжної системи.
Звідси, власне кажучи, і виникла назва Three-Domain Secure. Вся інформація про платіж, що передається, зберігається на домені банку-емітента, а інтернет-магазин не має до неї ніякого доступу. Проте, інтернет-магазин може зберігати частину інформації за реквізитами банківської карти, якщо покупець дає на те свою згоду. Зазвичай це відбувається після натискання кнопки «Запам’ятати картку» на веб-сайті для прискореного проведення транзакцій у подальшому.
Необхідність практичного використання 3-D Secure
Незважаючи на очевидну перевагу 3-D Secure, не всі інтернет-торговці та банки підтримують таку технологію, оскільки вона не є обов’язковою. Результати досліджень, проведених в США, показують, що у зв’язку із застосуванням 3-D Secure автентифікації, кількість «покинутих кошиків» в онлайн-магазинах істотно зростає. Це зупиняє шахраїв на шляху здійснення fraud-платежів. Тим не менш, досить часто покупці критикують пропонований механізм безпеки через певні незручності і необхідність заповнення додаткової форми з кодом авторизації.
На нашу думку, у використанні 3-D Secure вбачається реальна практична необхідність, оскільки пароль з SMS-оповіщення є своєрідною гарантією належного володіння банківською картою. Крім цього, підтримка стандарту 3-D Secure продавцем (онлайн-магазином) нівелює його відповідальність в разі спроби проведення несанкціонованого платежу. Таким чином бізнес перекладає тягар відповідальності на банк-емітент, який випустив ту чи іншу платіжну картку.
Разом з тим, механізм 3-D Secure поступово втрачає свою ефективність. Недобросовісні покупці (шахраї) вже пристосувалися перехоплювати SMS-оповіщення банків, тим самим отримуючи доступ до чужих кодів автентифікації. У свою чергу, це наштовхує на думку про те, що існуючі протоколи безпеки вимагають істотної модернізації.