Русская Википедия:3-D Secure

Шаблон:Стиль статьи

3-D Secure - протокол, используемый как дополнительный уровень безопасности онлайн-кредитных и дебетовых карт, для двухфакторной аутентификации пользователя.

Технология была разработана для платежной системы Visa с целью улучшения безопасности интернет-платежей в рамках услуги Verified by Visa (VbV). Услуги, основанные на данном протоколе, были приняты платежными системами Mastercard под названием Mastercard SecureCode (MSC) и JCB International как J/Secure, AmEx как SafeKey, Мир (НСПК) как Мир Accept. American Express добавили 3-D Secure 8 ноября 2010 года как American Express Safe Key на некоторых рынках и продолжает запускать его на дополнительных рынках. Платежная система «Мир» первоначально лицензировала реализацию первой версии протокола у VISA. В 2016 г. «Мир» самостоятельно реализовала поддержку 3D-Secure 2.0 и начала предоставлять её под названием MirAccept^[1].

3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей, позволяющий торговым точкам и банкам дополнительно убедиться, что платеж совершает именно держатель карты, чтобы защититься от мошеннических операций^[2].

3-D Secure code не следует путать с кодом CVV2 или CVC2, который напечатан на карте с обратной стороны.

3-D Secure не является абсолютной защитой денег на карте при CNP-операциях (Шаблон:Lang-en2), например, одноразовый код может быть перехвачен компьютерными вирусами. Также технологию 3-D Secure поддерживают не все банки, поэтому многие товары и услуги можно оплатить картой безо всякого кода подтверждения, что ограничивает эффективность данной технологии на переходном периоде^[3].

На июль 2016 года 3D-Secure поддерживали банки из 195 стран мираШаблон:Sfn.

Описание с точки зрения пользователя

Для держателя карты банка, поддерживающего 3-D Secure, в процессе оплаты онлайн к ранее необходимой информации добавляется дополнительный запрос на подтверждение использования карты, который, как правило, показывается путём перенаправления пользователя на новую страницу, расположенную либо на адресе банка-эмитента карты, либо выводимую в iframe^[4][5]. Показ этой страницы авторизации осуществляется компонентом ACS (access control server — сервер контроля доступа), который расположен на стороне банка-эмитента карты.

От держателя требуется ввести код подтверждения, предоставляемый банком для каждой операции чаще всего в sms-сообщении, отправленном на привязанный к карте номер сотового телефона^[6]Шаблон:Sfn. Возможны и другие варианты получения кода подтверждения платежа, такие как карты с микропроцессорами, с карточки одноразовых кодов; из специального устройства, которое генерирует обновляемые псевдослучайные коды^[6]Шаблон:Sfn. Ряд банков использует обычную систему постоянных паролей, то есть пользователь задаёт пароль один раз (при регистрации) и при совершении каждого интернет-платежа вводит именно его. Данный способ является менее надёжным, нежели одноразовый код подтверждения. Формат 3-D Secure code может варьироваться в зависимости от банка-эмитента. Обычно это 4—10 букв и цифр. Решения с одноразовым паролем состоят из 6—8 цифрШаблон:Sfn.

После проверки правильности введённого кода ACS (сервер контроля доступа) проверяет правильность введённого защитного кода^[7]Шаблон:Sfn, перенаправляет пользователя обратно на страницу платежного сервиса или торговой точки, с которой происходило первоначальное перенаправление и, одновременно с этим, передаёт через платёжную систему банку-эквайеру подтверждение того, что операция (не)авторизована. После этого банк-эквайер осуществляет операцию, списывая/блокируя денежные средства с карты покупателя или отказывает в операции.

В более поздних версиях протокола 3-D Secure 2.0^[8] процедура верификации была усовершенствована, и код запрашивается далеко не для всех операций. Часть транзакций проводится без попытки его запросить, выбор режима проведения транзакций осуществляется на базе собственного контроля риска банка и/или торгово-сервисного предприятия. Это увеличивает конверсию клиентов торговых точек, так как часть покупок не доводится до конца по причине сложностей с оплатой и постоянный запрос дополнительного секретного кода неизбежно увеличивает сложность процесса и вероятность его досрочного прерывания покупателем.

Проблемы с безопасностью

Держателю карты необходимо учитывать, что 3-D Secure может проводить платежи в интернете без подтверждения при помощи дополнительного шага аутентификации по СМС или логину и паролю, что порождает очень серьёзные проблемы с безопасностью денежных средств на банковской карте клиента.

Если интернет-магазин не поддерживает технологию 3-D Secure (на сайте интернет-магазина не размещены логотипы Verified by Visa и Mastercard SecureCode), для осуществления покупки по банковской карте будет необходимо выбрать покупку и оформить платеж, введя реквизиты карты, которые запрашивает интернет-магазин. При этом Ваш платеж не будет защищен технологией^[9].

Следовательно, это означает, что платеж в таком интернет-магазине пройдет без подтверждения по СМС или логину и паролю, а только лишь по введенным реквизитам карты, указанным на самой карте (тип, номер и срок карты, имя держателя и трехзначный CVV2, который напечатан на карте с обратной стороны).

Таким образом, клиенту банка важно понимать, что если на его карте разрешены платежи через интернет и даже если на карте включена дополнительная защита 3-D Secure, то, несмотря на это, абсолютно любой человек, кто имел возможность увидеть и запомнить реквизиты, которые напечатаны на самой банковской карте, может совершать платежи этой картой в интернет-магазинах, не поддерживающих 3-D Secure, и эти платежи будут проходить без подтверждения по СМС или логину и паролю. В ряде банков можно отдельно управлять лимитами транзакций, проводимых без 3-D Secure. Другим способом может быть управление общими лимитами с помощью приложений банк-клиент, в частности на телефонах.

Следует отметить, что проведение операции без дополнительного шага аутентификации (при наличии поддержки 3-D Secure) свидетельствует о том, что по такой операции возможен «перенос ответственности» (Шаблон:Lang-en2), то есть банк-эмитент может оспорить операции и вернуть деньги держателю карты (при его своевременном обращении).

Основные аспекты протокола

Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии)Шаблон:Нет АИ:

• Домен эквайера (домен продавца и банка, в который перечисляются деньги);
• Домен эмитента (домен банка, выдавшего карту);
• Домен совместимости (interoperability domain) (домен, предоставляемый платёжной системой (Mastercard, Visa и т. д.) для поддержки протокола 3-D Secure).

Перенос ответственности

В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным картам несёт «продавец» — торгово-сервисное предприятие, на сайте которого была произведена покупка товара/услуги по украденной карте, при условии, что он не поддерживает эту технологию.

В случае использования 3-D Secure происходит так называемый «перенос ответственности» (Шаблон:Lang-en2), когда ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.

Примечания

Шаблон:Примечания

Ссылки

• Verified by Visa Шаблон:WaybackШаблон:Ref-en
• Visa 3-D Secure Payment ProgramШаблон:Ref-en
• Visa 3-D Secure SpecificationsШаблон:Ref-en
• Mastercard SecureCode Шаблон:WaybackШаблон:Ref-en
• Принцип действия 3D-Secure Шаблон:Wayback
• Леонид ЧУРИКОВ. 3D-Secure: кто в защите? Шаблон:Wayback // Банки.ру, 14.11.2012
• 3D Secure 2.0 для безопасных интернет-покупок Шаблон:Wayback // Журнал ПЛАС, 05.03.2021
• Шаблон:Cite web

Стандарты и документация

• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web

Шаблон:Банковские карты

Шаблон:Rq

Партнерские ресурсы
Криптовалюты	Обмен криптовалют - www.bestchange.ru Криптовалютная биржа CoinEx Криптовалютная биржа Binance HIVE OS - операционная система для майнинга e4pool - Мультивалютный пул для майнинга.
Магазины	AliExpress — глобальная виртуальная (в Интернете) торговая площадка, предоставляющая возможность покупать товары производителей из КНР; computeruniverse.net - Интернет-магазин компьютеров(Промо код 5 Евро на первую покупку:FWWC3ZKQ);
Хостинг	DigitalOcean - американский провайдер облачных инфраструктур, с главным офисом в Нью-Йорке и с центрами обработки данных по всему миру;
Разное	Викиум - Онлайн-тренажер для мозга Like Центр - Центр поддержки и развития предпринимательства. Gamersbay - лучший магазин по бустингу для World of Warcraft. Ноотропы OmniMind N°1 - Усиливает мозговую активность. Повышает мотивацию. Улучшает память. Санкт-Петербургская школа телевидения - это федеральная сеть образовательных центров, которая имеет филиалы в 37 городах России. Lingualeo.com — интерактивный онлайн-сервис для изучения и практики английского языка в увлекательной игровой форме. Junyschool (Джунискул) – международная школа программирования и дизайна для детей и подростков от 5 до 17 лет, где ученики осваивают компьютерную грамотность, развивают алгоритмическое и креативное мышление, изучают основы программирования и компьютерной графики, создают собственные проекты: игры, сайты, программы, приложения, анимации, 3D-модели, монтируют видео. Умназия - Интерактивные онлайн-курсы и тренажеры для развития мышления детей 6-13 лет SkillBox - это один из лидеров российского рынка онлайн-образования. Среди партнеров Skillbox ведущий разработчик сервисного дизайна AIC, медиа-компания Yoola, первое и самое крупное русскоязычное аналитическое агентство Tagline, онлайн-школа дизайна и иллюстрации Bang! Bang! Education, оператор PR-рынка PACO, студия рисования Draw&Go, агентство performance-маркетинга Ingate, scrum-студия Sibirix, имидж-лаборатория Персона. «Нетология» — это университет по подготовке и дополнительному обучению специалистов в области интернет-маркетинга, управления проектами и продуктами, дизайна, Data Science и разработки. В рамках Нетологии студенты получают ценные теоретические знания от лучших экспертов Рунета, выполняют практические задания на отработку полученных навыков, общаются с экспертами и единомышленниками. Познакомиться со всеми продуктами подробнее можно на сайте https://netology.ru, линейка курсов и профессий постоянно обновляется. StudyBay Brazil – это онлайн биржа для португалоговорящих студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт. Автор24 — самая большая в России площадка по написанию учебных работ: контрольные и курсовые работы, дипломы, рефераты, решение задач, отчеты по практике, а так же любой другой вид работы. Сервис сотрудничает с более 70 000 авторов. Более 1 000 000 работ уже выполнено. StudyBay – это онлайн биржа для англоязычных студентов и авторов! Студент получает уникальную работу любого уровня сложности и больше свободного времени, в то время как у автора появляется дополнительный заработок и бесценный опыт.