Безопасность на первом месте. Защита персональных данных при онлайн-платежах с помощью технологии 3-D Secure
Сегодня хакерские и фишинговые атаки, регулярные утечки личных данных стали частью нашей онлайн-реальности. Технология 3-D Secure играет важную роль в обеспечении безопасности онлайн-транзакций и защите персональных данных держателей карт. Код подтверждения из СМС, который пользователь вводит при оплате товаров и услуг – тоже часть этой технологии. Отсутствие протокола 3-D Secure оставляет покупателей и продавцов уязвимыми перед потенциальными случаями мошенничества. В статье разбираемся, что такое 3DS, и как именно он защищает ваши денежные средства, предостерегая от потенциальных угроз.
Что такое 3-D Secure?
Технология 3-D Secure представляет собой протокол, который разработан для обеспечения безопасности онлайн-платежей. В основе технологии лежит подтверждение личности владельца карты во время проведения оплаты. То есть пользователь совершает определенное действие, чтобы подтвердить, что он является держателем карты (ввод кода-подтверждения, отпечаток пальца). Этот метод аутентификации еще называют «challenge».
Когда появился 3-D Secure?
Первая версия протокола 3DS была разработана компанией Celo Communications AB в 1999 году для платежной системы Visa. С появлением возможности оплаты товаров и услуг через интернет (в то время, с помощью компьютера) встал вопрос о том, как предотвратить многочисленные мошеннические платежи, которые распространились из-за того, что онлайн-оплаты не предусматривали подтверждение личности владельца карты. Злоумышленник, завладев чужой банковской картой/данными (номер карты, год выпуска, CVC/СVV-код), мог беспрепятственно совершить покупку в интернете через свой персональный компьютер.
Эту проблему решила технология 3DS, которая не пропускает онлайн-платежи без дополнительной проверки пользователя посредством проверочного кода из СМС, стрейч-карты, статичного кода (метод «challenge»). С момента внедрения протокола 3DS, уровень мошенничества с банковскими картами ощутимо снизился, поскольку мошенникам помимо данных банковской карты теперь был необходим еще и проверочный код, который было сложно заполучить.
Обновленная версия – EMV® 3-D Secure
На смену первой версии 3DS в 2015 году пришла EMV® 3-D Secure – 3DSv2 от компании EMVCo. Одной из причин появления новой версии протокола стало развитие персональных устройств (мобильных телефонов, планшетов), первая версия протокола устарела, поскольку была адаптирована только под ПК. Совершать покупки в интернете с мобильных устройств стало неудобно.
Вторая версия 3-D Secure, в отличие от своего предшественника, адаптирована не только под ПК, но и под мобильные версии смартфонов и планшетов. Все элементы 3DS корректно отображаются даже на маленьких экранах мобильных устройств.
Стоит отметить, что значимым дополнением второй версии 3DS является также новый метод аутентификации пользователя, при котором используются современные алгоритмы машинного обучения для более эффективной борьбы с мошенничеством. Frictionless authentication (беспрепятственная аутентификация) позволяет банкам-эмитентам (выпустившим карту плательщика) подтверждать онлайн-платежи без участия владельца карты, в отличие от метода «challenge», когда пользователю необходимо совершить определенное действие для успешного завершения оплаты. Чтобы понять принцип работы метода frictionless аутентификации платежей, необходимо для начала разобраться, из каких элементов состоит сам 3DS.
Заглянем под капот 3-D Secure?
Архитектура 3DS основана на взаимодействии 3-х доменов, в которых работает протокол:
Домен эквайера (продавца или банковской организации, в которую поступают деньги клиента). В этом домене банк-эквайер отвечает за предоставление платежного интерфейса для онлайн-магазина (отображение формы для ввода карточных данных) и передачу этих данных в платежную систему.
Домен эмитента (банка, выдавшего карту владельцу). В этом домене банк-эмитент отвечает за аутентификацию пользователя и предоставление информации для корректного проведения платежа.
- Домен взаимодействия (необходим для успешного взаимодействия между доменом эмитента и доменом эквайера).
Определение сценария проведения аутентификации (challenge или frictionless) происходит в домене эмитента, состоящего из компонента Access Control Server или проще – ACS, который и проводит анализ данных об операциях и держателях карт для выявления риска мошенничества. Для простоты восприятия, рассмотрим на примере:
Допустим, держатель карты регулярно оплачивает покупки в одном и том же онлайн-магазине, на одну и ту же сумму. Данные о нем и его платежах собираются и отправляются в банк-эмитент, где ACS анализирует полученную информацию и выбирает вариант проведения платежа без дополнительной аутентификации. Почему в данном случае сервер выбрал проведение платежа по упрощенной схеме? Сравнив место, время, сумму покупки, устройство, с которого держатель карты пытается произвести оплату, а также некоторые другие данные, ACS определил, что оплату с большей вероятностью пытается произвести настоящий владелец карты.
Однако, в случае изменения его «паттерна покупок» (новое устройство для оплаты, изменилась сумма покупки, другая локация и т. д.), ACS может посчитать такую транзакцию подозрительной и выбрать вариант подтверждения оплаты пользователем (challenge).
Существуют и альтернативные способы, позволяющие держателям карт производить оплату безопасно и без дополнительных проверок. Например, решение 3DS SDK* от компании Right line с поддержкой версии 2.2.0 позволяет клиентам самим добавлять ТСП в белый список. Это означает, что пользователь может добавить в свой белый список магазин, в котором он ежедневно совершает покупки и ему больше не придется вводить код подтверждения при последующих оплатах.
*3DS SDK представляет собой программный модуль, встраиваемый в приложения торгово-сервисных предприятий (ТСП) на платформах Android и iOS.
С появлением протокола 3-D Secure уровень мошенничества с онлайн-платежами значительно снизился, что, в свою очередь, привело к повышению уровня доверия пользователей и увеличению количества покупок в интернете. Иногда дополнительные меры аутентификации, такие, как ввод кода из СМС, могут отвлекать, но важно помнить, что от них зависит безопасность ваших платежей. К тому же с новой версией 3DS в обозримом будущем большинство операций, скорее всего, будет проходить без прямого участия держателя карты (по сценарию frictionless), что заметно упростит процесс оплаты для клиентов и избавит банки от расходов на отправку СМС с проверочным кодом.