Шесть принципов 3D Secure 2.0

Как Web 2.0 и Mobile 2.0, 3D-Secure 2.0 также берет что-то, нуждающееся в обновлении, и делает это лучше. В этом случае, обновление касается протокола безопасности, предназначенного для увеличения уровня безопасности транзакций по кредитным картам при оплате онлайн, с момента создания, которого, 17 лет назад, мало что изменилось.

В то время, когда основная часть Европы в большинстве своих транзакций использует оригинал протокола 3DS, его некоторая неуклюжая репутация касательно пользовательского опыта при покупках онлайн, не позволила ему достичь такой же популярности в США. Фактически, только 18% американских транзакций используют этот протокол.

Конкуренция продавцов с отказом от корзины заказов из-за периодических проблем в процессе оформления, усугубленная глобальным переходом к мобильной торговле и общим недостатком информации, наконец-то привела EMVCo. и CA Technologies к решению, что пора провести капитальный ремонт. И под “капитальным ремонтом” мы понимаем “порвите его в клочья и создайте что-то новое”.
По словам Анкера Карера, директора стратегии глобальный решений CA Technologies, который разработал протокол 3DS 1.0 в начале 2000-х годов, это не просто обновление, это повторение с точки зрения обмена сообщениями.

По его мнению, эмитентам не придется сильно менять реализацию, 3DS 2.0 — это базовый протокол, который был преобразован. Ключевая часть изменений поступает от мерчантов, чтобы дать им возможность высказаться о том, как протокол должен работать. Теперь, когда они пришли к общему мнению, Карер ожидает гораздо меньше сопротивления к принятию по сравнению с оригинальным 3DS.

Разумеется, оптимизированный пользовательский опыт и подход, основанный на мобильности, также будут способствовать принятию. По словам Карера, основной целью 3DS 2.0 было сокращение количества отказов в корзине покупок, вызванных проблемами с проведением оплаты. Кроме того, адаптация протокола для совершения покупок не только в мобильных браузерах, но и шопинга, в том числе и приложениях – это показатель дальновидности и удовлетворения потребностей потребителей, когда те используют свои кредитные карты.

Карер изложил шесть основных аспектов пересмотра 3DS.

1. Ценные данные

Согласно старому протоколу данные, собранные по защищенным транзакциям, содержат только шесть или семь соответствующих полей, включая валюту, используемую в транзакции, и некоторую информацию о продавце. Это не давало эмитентам возможности работать в сфере аналитики, и это практически ничего не давало мерчантам, поскольку данные были собраны непосредственно из браузера владельца карты и даже не проходили через систему продавца.

По словам Карера, это наполненный черный ящик с 3DS, и ничего хорошего в этом не было. Цель заключалась в том, чтобы мерчанты могли собирать этот набор ценных данных, для их использования в последующем для оценки рисков.

В соответствии с новым протоколом процесс стал намного прозрачней. Продавцы будут предоставлять от 40 до 50 релевантных полей для эмитентов, включая такие элементы, как индикатор соответствия адресов и код категории мерчантов. В свою очередь, эмитенты будут отвечать взаимностью, делясь имеющимися данными с мерчантами.

2. Ранняя оценка риска

Совместное использование всех этих данных поможет мерчантам и эмитентам заранее выявить и предотвратить риски. Кроме того, упрощенный поток сообщений для обработки запроса на аутентификацию будет вытаскивать все необходимые данные в одно место за один раз, поэтому решение может быть принято немедленно, чтобы разрешить или оспорить транзакцию.

Карер подчеркнул, что все это происходит незаметно для покупателя, поэтому на стороне держателя карты никаких трений не возникает. Система беспокоит их только когда обращается за дополнительной информацией, когда ей что-то кажется неправильным. В идеале, сказал он, это будет происходить только в 10% случаев.

3. Бесконфликтные/динамичные технологии

Если возникала какая-то проблема, тогда клиент отправлял запрос и эта проблема решалась статическим паролем. Сегодня банки знают, что для защиты учетной записи недостаточно статического пароля. Минимальным стандартом сегодня является одноразовый пароль, который отправляется владельцу карты по SMS с использованием мобильного номера, привязного к его учетной записи.

Еще лучший вариант, когда владелец карты может быть перенаправлен в мобильное приложение своего банка, чтобы принять или отклонить данную транзакцию. Нажимая кнопку “принять” он отправляет сообщение продавцу, после чего владелец карты перенаправляется без проблем обратно в пункт продажи, чтобы закончить проверку.

Однако с появлением биометрической верификации открылись новые методы, такие как распознавание отпечатков пальцев Touch ID, распознавание лица через селфи и распознавание голоса, все это стало новыми способами идентификации потребителей. Эти методы имеют естественное принятие в растущей мобильной среде, хотя они также успешно могут применяться и в варианте шопинга со стационарного компьютера.

4. Покупки в приложениях

По словам Карера, это путь в будущее. Поэтому недостаточно просто улучшить безопасность и работу пользователей в мобильных браузерах, потому что скоро мобильные приложения будут опережать их по числу и объему транзакций.

Однако сегодня в приложениях нет 3DS. В некоторых локациях онлайн мерчантам приходилось находить способы увести владельца карты от приложения, аутентифицировать и вернуть его назад — то, что сейчас делают Uber и Amazon в Индии.

По мнению Карера, пользователей не следует уводить от приложения, потому что это создает ощущение, что что-то не так, и процесс становится сложным и обременительным. Для сравнения, вызов в приложении, такой как запрос, на отпечаток пальца или лицевое сканирование, просто будет восприниматься как мера безопасности из самого приложения и не будет вызывать беспокойство и мысли о том, что что-то пошло не так.

Во всем этом важна стандартизация, считает Карер, поэтому бренды должны обеспечивать согласованное взаимодействие через различные каналы, избегая риска ввести в заблуждение своих пользователей.

5. Новые функции браузера

На рабочем столе экран оплаты часто отображается в виде встроенного окна на сайте продавца. Полосы прокрутки могут быть видны, и на различных устройствах сайт может отображаться неправильно. Новые спецификации браузера будут отображать эту же информацию по-новому, например, показывая окно проверки подлинности спереди и в центре, одновременно размывая информацию о продавце в фоновом режиме.

Если требуется аутентификация, которая должна повторяться только в 10% случаев, можно использовать те же самые методы. Сайт может направить пользователей на “Нажмите Да или Нет в мобильном приложении” или выполните другое проверочное действие.

6. Идентификация и проверка

В этой области пока мало понимания, так как спецификации еще недоступны. Другие области по-прежнему развиваются, включая двойную аутентификацию, в том числе в одноранговом переводе денег и применение этого протокола к устройствам, поддерживающим Интернет Вещей (IoT). Карер ожидает, что протокол будет сертифицирован и начнет обкатку к октябрю, причем до середины 2018 года, масштабное внедрение не планируется. Поэтому еще есть время, чтобы сгладить проблемные моменты.

Вывод

Несмотря на то, что 3DS все еще в процессе запуска, нет причин по которым эмитенты должны отказываться от внедрения уже реализованных инструментов, таких как проверка подлинности на основе рисков. Устаревшие технологии необходимо обновлять уже сейчас, и не ждать тех, кто все еще использует статический пароль для проверки личности.

Подключение 3DS 2.0 это простой процесс. Протокол — это просто набор средств разработки программного обеспечения (SDK), который мерчанты могут включать в свои приложения, копируя и вставляя простой фрагмент кода. Еще лучше, если компании на стороне экваера, могут, и даже должны, обеспечить переход на это обновление для своих мерчантов.

Хотя Карер сомневается, что 3DS 2.0 станет глобально санкционированным сетями, он сказал, что любому, кто внедрил версию 1.0, в течение следующих нескольких лет, будет поручено перейти на 2.0. Разумеется, поручение поручению рознь. Visa назначили дату на 12 апреля 2019 года для перехода на глобальную ответственность за транзакции “мерчант-неудавшаяся попытка” для 3DS 2.0.