Технология 3D Secure на защите ваших средств на карте.
3D Secure – это технология, которая защищает Вас при совершении покупок в интернете. Откуда и когда она появилась, как она работает и можно ли ее обмануть. Попробуем разобраться в этой статье.
Что это такое и откуда оно появилось.
C момента возникновения платежных карт идет поиск баланса между их удобством и безопасностью. Одним из этапов развития сервиса стала возможность продажи товаров через сеть интернет. Это было реализовано с помощью CNP (Card not present), то есть транзакций, в которых физическое присутствие карты не является необходимым. Развитие интернет торговли привело к росту количества мошеннических операций, что ставило под угрозу саму идею карты, как удобного и безопасного средства платежа. Значение CVV2 не могло обеспечить достаточную защищенность. Возникла необходимость перевести безопасность CNP транзакций на качественно новый уровень.
В 2011 году международная платежная система Visa запустила систему подтверждения транзакции, которая позволяет обратиться к банку-эмитенту карты. Технология получила название Verified-by-Visa и может считаться родоначальником протокола 3D Secure. Немногим позже, главный конкурент VISA, система MasterCard ввела аналогичный механизм проверки, назвав его SecureCode. Оценив эффект от внедрения такого способа защиты, подобные технологии стали применять American Express (SafeKey), JCB International (J/Secure) и ChinaUnionPay (CA Transaction Manager).
Идея технологии проста: при совершении CNP транзакции клиенту необходимо пройти дополнительный контроль.
Как подключить и сколько стоит?
Несмотря на требования платежных систем об обязательном подключении данного протокола, не все банки используют 3D Secure. Связано это с тем, что внедрить систему удовольствие недешевое. Маленькие финансовые учреждения зачастую просто не могут себе этого позволить, а подключить его на отдельную карту невозможно. При этом для держателя использование этого протокола бесплатно. Иногда это преподносится, как дополнительная услуга, которую необходимо активировать, обратившись в банк. Если же эмитент вашей карты не поддерживает эту технологию, то придется либо смириться с этим, либо менять финансовое учреждение.
Как оно работает?
Как же работает эта технология? В проведении транзакции участвуют держатель карты, магазин и банк-эмитент.
С клиентом все просто: оформив заказ, человек заполняет данные карты (номер, срок действия, имя держателя и CVV2 код) и подтверждает оплату. После чего перенаправляется на отдельную страницу, расположенную в домене эмитента, где вводит код, полученный по СМС.
Если код правильный, операция совершается. В противном случае – отклоняется.
Для магазина все намного сложнее. Дело в том, что далеко не все банки применяют протокол 3D Secure в своей работе. Возникает проблема выбора: предоставить возможность оплачивать всем, увеличив риски мошенничества или отказаться от части покупателей.
3D Secure для магазинов имеет три варианта настройки безопасности.
- Минимальный;
- Двухступенчатый;
- Полный (Full 3DS).
Минимальный позволяет провести операции по любой карте: подписанные на использование 3D Secure – с использованием данного протокола, не подписанные – с контролем по другим системам безопасности. Логика работы следующая:
- Если эмитент, по каким-то причинам, не подключил 3D Secure к карте, транзакция проходит без использования этого протокола;
- В случае использования трехдоменной системы – операция проводится с введением дополнительного кода;
- Если по каким-то причинам протокол 3D Secure не работает, решение принимается по ранее определенным для таких случаев алгоритмам.
Двухступенчатый. Промежуточный вариант между минимальным и полным. Характеризуется тем, что если при проведении транзакции по протоколу 3DS она отклоняется, то осуществляется повторная проверка карты с помощью иных средств.
Полный. Является рекомендованным платежными системами режимом работы. Логика такова:
- Все операции проходят с использованием протокола 3D Secure.
- Если указанный протокол не работает по каким-либо причинам – транзакция будет отклонена (за исключением отдельных случаев);
- Если имеется отдельное разрешение от банка эмитента, возможно прохождение транзакции, минуя протокол 3DS.
Настройка прохождения платежей выполняется индивидуально для каждого магазина. При этом учитывается масса параметров: от суммы среднего чека до географии совершения платежей.
Финансовое учреждение, эмитировавшее карту, при подключении описываемого протокола безопасности, может предложить несколько вариантов получения подтверждающего кода. Наиболее распространена на сегодняшний день отправка контрольного значения на сотовый телефон держателя посредством СМС. При этом код генерируется непосредственно перед отправкой и имеет ограниченное время жизни. Альтернативой является практика, когда клиенту при получении платежной карты выдаются специальные таблицы, в ячейках которых указаны значения. Проведение транзакции возможно только при последовательном применении таких одноразовых паролей. Повторное использование и ввод кода «через один» приводит к отказу в совершении операции.
Некоторые банки применяют устройства генерации одноразовых паролей. Работают такие приспособления только с чиповыми картами. Это небольшой прибор, чем-то напоминающий карманный ПИН-пад. В устройство вставляется карта, вводится ее ПИН и на экране высвечивается временный пароль. За его генерацию отвечает специальное приложение, размещенное на чипе карты.
Вышеописанные способы, хоть и являются относительно безопасными, все же существенно проигрывают в удобстве СМС сообщениям. Некоторые эмитенты практикуют способ, гораздо более удобный, и на порядок менее безопасный. Выглядит он как выдача одного, универсального сочетания символов для проведения транзакций по протоколу 3DS. Удобство неоспоримо: однажды запомнив пароль им можно пользоваться все время действия карты. Но и минусы такого способа очевидны: крайне низкая безопасность.
А у меня такое есть?
Понять, использует ли ваш банк протокол 3D Secure или нет можно:
- Уточнив эту информацию при получении или при заказе карты, задав вопрос специалисту отдела платежных карт.
- По косвенным признакам: если при совершении операций в интернете с вас требуют ввести дополнительный пароль после того, как вы указали данные карты и нажали кнопку подтверждения оплаты.
- Если при получении карты вам выдают таблицу значений для совершения платежей в интернете, или дополнительное устройство для их генерации.
- Если в ПИН-конверте к карте указан дополнительный код.
Неужели 3D Secure невозможно обмануть?
Несмотря на то, что на сегодняшний день, протокол 3D Secure это наиболее совершенная технология защиты, он не является панацеей. Его тоже возможно обойти: многое зависит от магазина, банка-эмитента и осторожности держателя карты. В погоне за удобством, магазины вынуждены делать уступки в безопасности. Многие моменты возлагаются на держателя карты. Каждая финансовая организация, эмитирующая карты, предоставляет правила безопасного использования карты в интернете. Соблюдая их, вы максимально обезопасите себя от возможных потерь.
Удачи вам, и безопасных покупок!
Прямой эфир
22.11.2024 00:50
22.11.2024 00:50
22.11.2024 00:50
22.11.2024 00:50
22.11.2024 00:50