3-D Secure

3-D Secure - протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя.

Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, были приняты платежными системами Mastercard под названием Mastercard SecureCode (MSC) и JCB International как J/Secure, AmEx как SafeKey, Мир (НСПК) как Мир Accept. American Express добавили 3-D Secure 8 ноября 2010 года под названием American Express Safe Key и первоначально сделали ее доступной лишь на некоторых рынках. Платежная система «Мир» первоначально лицензировала реализацию первой версии протокола у VISA. В 2016 г. «Мир» самостоятельно реализовала поддержку 3D-Secure 2.0 и начала предоставлять её под названием MirAccept^[1].

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций^[2].

3-D Secure code не следует путать с кодом CVV2 или CVC2, который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP-операциях (card not present), например, одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения, что ограничивает эффективность данной технологии на переходном периоде^[3].

На июль 2016 года 3D-Secure поддерживали банки из 195 стран мира^[4].

Описание с точки зрения пользователя

Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты, который, как правило, показывается путём перенаправления пользователя на новую страницу, расположенную либо на адресе банка-эмитента карты, либо выводимую в iframe^[5]^[6]. Показ этой страницы авторизации осуществляется компонентом ACS (access control server — сервер контроля доступа), который расположен на стороне банка-эмитента карты.

От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона^[7]^[4]. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами, с карточки одноразовых кодов; из специального устройства, которое генерирует обновляемые псевдослучайные коды^[7]^[4]. Ряд банков использует обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения. Формат 3-D Secure code может варьироваться в зависимости от банка-эмитента. Обычно это 4—10 букв и цифр. Решения с одноразовым паролем состоят из 6—8 цифр^[8].

После проверки правильности введённого кода ACS (сервер контроля доступа) проверяет правильность введённого защитного кода^[9]^[4], перенаправляет пользователя обратно на страницу платежного сервиса или торговой точки, с которой происходило первоначальное перенаправление и, одновременно с этим, передаёт через платёжную систему банку-эквайеру подтверждение того, что операция (не)авторизована. После этого банк-эквайер осуществляет операцию, списывая/блокируя денежные средства с карты покупателя или отказывает в операции.

В более поздних версиях протокола 3-D Secure 2.0^[10] процедура верификации была усовершенствована, и код запрашивается далеко не для всех операций. Часть транзакций проводится без попытки его запросить, выбор режима проведения транзакций осуществляется на базе собственного контроля риска банка и/или торгово-сервисного предприятия. Это увеличивает конверсию клиентов торговых точек, так как часть покупок не доводится до конца по причине сложностей с оплатой и постоянный запрос дополнительного секретного кода неизбежно увеличивает сложность процесса и вероятность его досрочного прерывания покупателем.

Проблемы с безопасностью

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьёзные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и Mastercard SecureCode), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией^[11].

Следовательно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то, несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты, которые напечатаны на самой банковской карте, может совершать платежи этой картой в интернет-магазинах, не поддерживающих 3-D Secure, и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.

Следует отметить, что проведение операции без дополнительного шага аутентификации (при наличии поддержки 3-D Secure) свидетельствует о том, что по такой операции возможен «перенос ответственности» (liability shift), то есть банк-эмитент может оспорить операции и вернуть деньги держателю карты (при его своевременном обращении).

Основные аспекты протокола

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)^{[источник не указан 3293 дня]}:

Домен эквайера (домен продавца и банка, в который перечисляются деньги);
Домен эмитента (домен банка, выдавшего карту);
Домен совместимости (interoperability domain) (домен, предоставляемый платёжной системой (Mastercard, Visa и т. д.) для поддержки протокола 3-D Secure).

Перенос ответственности

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «продавец» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по украденной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «перенос ответственности» (liability shift), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.

Примечания

↑ PLUSworld ru-банковская розница, финансовое обслуживание и платежный рынок. Карты "Мир" получат технологию 3D Secure 2.0, не зависящую от Visa » (рус.). Plusworld.ru: финтех, банковская розница, финансовое обслуживание и платежный рынок (18 июля 2016). Дата обращения: 21 октября 2021.
↑ 3D-Secure // По материалам (рус.). / Банковская энциклопедия. 2013.
↑ Куда улетают деньги Архивная копия от 18 мая 2015 на Wayback Machine / Банки.ру, 2014.05.26
↑ ¹ ² ³ ⁴ Банки.ру.
↑ MasterCard SecureCode (неопр.). MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. Архивировано 2 июля 2021 года.
↑ Чуриков Л. 3D-Secure: кто в защите? (неопр.) Банки.ру (14 ноября 2012). Дата обращения: 24 апреля 2020. Архивировано 18 мая 2021 года.
↑ ¹ ² Steven J. Murdoch, Ross Anderson. Verified by Visa and MasterCard SecureCode: Or, How Not to Design Authentication (англ.) // Financial Cryptography and Data Security / Radu Sion. — Berlin, Heidelberg: Springer, 2010. — P. 336–342. — ISBN 978-3-642-14577-3. — doi:10.1007/978-3-642-14577-3_27. Архивировано 21 января 2022 года.
↑ MasterCard, 2014, A-1.
↑ Аблеков В., Мороз М. Протоколы обеспечения безопасности платёжных систем. 3-D Secure (неопр.). cryptowiki.net (13 октября 2013). Дата обращения: 24 апреля 2020. Архивировано 24 ноября 2020 года.
↑ [1] Архивная копия от 11 декабря 2016 на Wayback Machine EMV 3D Secure 2.0
↑ Альфа-банк. Как совершить покупку по карте Visa/MasterCard, если интернет-магазин не поддерживает технологию Verified by Visa/MasterCard SecureCode (неопр.). Памятка по использованию карт, выпущенных ОАО «АЛЬФА-БАНК», для оплаты товаров и услуг в сети интернет. Альфа-банк. Дата обращения: 23 апреля 2015. Архивировано 21 февраля 2014 года.

Ссылки

Verified by Visa Архивная копия от 15 февраля 2013 на Wayback Machine (англ.)
Visa 3-D Secure Payment Program (англ.)
Visa 3-D Secure Specifications (англ.)
Mastercard SecureCode Архивная копия от 13 октября 2010 на Wayback Machine (англ.)
Принцип действия 3D-Secure Архивная копия от 17 января 2013 на Wayback Machine
Леонид ЧУРИКОВ. 3D-Secure: кто в защите? Архивная копия от 16 декабря 2013 на Wayback Machine // Банки.ру, 14.11.2012
3D Secure 2.0 для безопасных интернет-покупок Архивная копия от 17 апреля 2021 на Wayback Machine // Журнал ПЛАС, 05.03.2021
3D Secure, протокол авторизации для оплаты картой через Интернет (неопр.). Банки.ру. Дата обращения: 24 апреля 2020. Архивировано 7 августа 2020 года.

Стандарты и документация

MasterCard SecureCode (неопр.). MasterCard (17 июня 2014). Дата обращения: 24 апреля 2020. Архивировано 2 июля 2021 года.
3-D Secure by Visa (англ.). usa.visa.com. Дата обращения: 24 апреля 2020. Архивировано 4 мая 2020 года.
EMV® 3-D Secure (англ.). EMVCo. Дата обращения: 24 апреля 2020. Архивировано 2 мая 2020 года.
XML Specification: 3-D Secure (неопр.). Secure Trading (4 июня 2019). Дата обращения: 24 апреля 2020.
3D Secure : Overview (неопр.). Braintree Developer. Дата обращения: 24 апреля 2020. Архивировано 6 апреля 2020 года.
Christopher Rotsaert. Method for managing a transaction, corresponding server, computer program product and storage medium (англ.) (7 мая 2019). Дата обращения: 24 апреля 2020. Архивировано 3 июля 2020 года.

Банковские карты
Типы карт	Банковская платёжная карта кредитная карта дебетовая карта расчётная карта
Глобальные платёжные системы	Visa Mastercard American Express Diners Club Discover Cirrus JCB UnionPay Мир
Локальные платёжные системы, в том числе закрытые	Алтын Асыр Белкарт Золотая корона Приднестровье Корти Милли Простір Элкарт Armenian Card AzeriCard Banelco BC Card Carte Bleue Dankort Elo Gh-link Girocard HUMO Interac Meeza PayPak Qi Card Qiwi RuPay Shetab Troy Uzcard V Pay Verve Access Bankcard Choice Carte Blanche enRoute Eurocard Laser Mondex Everything Solo STB Card Switch Union Card Isracard^[англ.] Про100
Основные кредитные карты	Мир Visa Mastercard JCB
Основные дебетовые карты	Мир Debit Mastercard Maestro Visa Debit Visa Electron
Выпуск банковских карт	Банк-эмитент Эмбосированная карта Карта с магнитной полосой Смарт-карта (с чипом) Бесконтактная карта (MasterCard Contactless Visa payWave)
Приём банковских карт	Банкомат POS-терминал (mPOS) Импринтер Эквайринг
Связанные понятия	Банковская транзакция Системы расчётов по банковским картам Процессинговый центр Платёжная система Реестр операторов платёжных систем
Безопасность	CVV2 3-D Secure EMV Кардинг CNP-операции