Краткий обзор технологии 3-D Secure 1. 3-D Secure. 2. Прохождение транзакций по технологии 3-D Secure. 3. Пример того, как проходит транзакция по технологии 3-D Secure в VTB (Azerbaijan). 1. 3-D Secure: 3-D Secure – протокол обработки интернет-транзакций, который используется как дополнительный уровень безопасности для онлайн-оплат по кредитным и дебетовым картам, двухфакторной аутентификации пользователя. Компания Visa разработала его с целью улучшения безопасности интернет-платежей и предложила клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты MasterCard под названием MasterCard SecureCode (MCC) и JCB International как J/Secure. 3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей. Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии): Домен эквайера (домен продавца и банка, в который перечисляются деньги); Домен эмитента (домен банка, выдавшего карту); Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой (MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола). Перенос ответственности В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по ворованной карте при условии, что он не поддерживает эту технологию. В случае 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента. 2.Прохождение транзакций по технологии 3-D Secure: 3-D Secure обеспечивает следующее: Проверка личности владельца карты в реальном времени. После ввода номера карты на платежной странице электронного магазина, покупатель перенаправляется на сервер своего банка-эмитента. Проверку подлинности владельца карты осуществляет банк, для этого используется пароль/OTP*, известный только владельцу карты и банку. Защита результатов проверки. По результатам проверки банк-эмитент формирует ответное сообщение с использованием цифровой подписи или смс-код с целью защиты информации от несанкционированных изменений. Защита конфиденциальной информации пользователя. Для ввода частной информации клиента, например, номера карты, используются защищенные страницы платежного сервера. Введенная информация сохраняется на платежном сервере, и получатель платежа (электронный магазин) не имеет доступа к этой информации, что наилучшим образом защищает от ее потери и похищения. *OTP - One Time Password (Одноразовый пароль). (Изображение №1 – упрощённое представление технологии 3-D secure) Как мы видим на изображении №1, клиент эмитента пришел в интернет-магазин за покупками и если карта клиента поддерживает технологию 3-D Secure, то мы должны ориентироваться по изображению и следовать пошагово с 1-го по 10-й шаг. Но если же карта клиента не поддерживает данную технологию, тогда мы пропускаем шаги с 3-го по 8-ой и следуем со 2-го шага к 9-му и 10-му, лишь потом возвращаемся ко 2-му и 1-му. 3. Пример того, как проходит транзакция по технологии 3-D Secure в банке VTB (Azerbaijan): Чтобы защитить себя от мошенничества и пользоваться технологией 3-D Secure, клиент для начала должен зарегистрировать карту на сайте процессинга Изображение №2: Далее переход по ссылке на страницу сервера: Если клиент подписан на услугу СМС-банкинга, то у него есть возможность получить одноразовый пароль посредством СМС. В противном случае, он должен приобрести одноразовые пароли в любом банкомате сети Azericard. Допустим, что клиент эмитента (VTB AZ) пришел в интернет-магазин www.***.com и пытается провести транзакцию картой, которая поддерживает технологию 3-D Secure на сумму 50 AZN. После того, как клиент выбрал нужный ему товар и попытается подтвердить свой заказ, введя правильно нужную информацию, он будет перенаправлен на страницу Azericard для выбора метода аутентификации c технологией 3-D Secure как показано на Изображение №3 ниже: Если клиент ввел данные удачно и страница 3-D secure отобразилась, то клиенту должно прийти SMS с OTP (одноразовый пароль) на мобильный номер (который он указал, когда заказывал карту и этот номер был прописан в процессинге на услугу SMS-банкинг). Введя OTP и нажав на кнопку подтверждения «Отправить», клиент подтверждает, что является держателем той самой карты, по которой пытался провести транзакцию и транзакция будет считаться успешной.