Разработчики: | Visa International |
Отрасли: | Финансовые услуги, инвестиции и аудит |
Технологии: | ИБ - Аутентификация, ИБ - Система обнаружения мошенничества (фрод) |
3-D Secure - протокол обработки Интернет-транзакций, разработка компании Visa. Система 3D Secure при покупке через интернет верифицирует клиента с помощью динамического кода, который отправляется через SMS. Лицензией на использование этой технологии также обладает MasterCard, у которой есть свой сервис защиты SecureCode.
Назначение протокола - обеспечение безопасности Интернет-платежей, выполняемых с использованием кредитных или дебетовых карт. Другое его наименование Verified by Visa - в терминологии Visa, или SecureCode в терминологии MasterCard.
3-D Secure - торговая марка корпорации VISA.
Протокол 3D Secure, используется платежными системами под логотипами Verified by Visa и MasterCard SecureCode и обеспечивает держателям карт возможность аутентификации через свой банк-эмитент при совершении онлайн-покупок через веб-браузеры на персональных компьютерах.
Задачи
Цель использования 3-D Secure - упрощение обслуживания карточных транзакций через интернет с одновременным повышением безопасности их проведения.
Система трёх доменов
Модель 3-D Secure реализована на основе трёх доменов, в которых происходит порождение и проверка транзакций:
- домен Эмитента, в составе которого Держатель карты и Банк, выпускающий карты.
- домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
- домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими доменами. В его ведении сети и сервисы карточных ассоциаций.
Домены независимы в своих правах и являются важной составной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Каждому домену определена собственная сфера ответственности в проведении транзакций:
- В домене эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
- В домене эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
- В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.
Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:
- Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
- Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.
Компоненты архитектуры 3-D Secure
В архитектуре 3-D Secure реализован набор специальных серверов для обслуживания потока транзакций во время его жизненного цикла:
- В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
- В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
- В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
- В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.
2021: Visa и Mastercard введут комиссии за использование технологии 3D Secure
Международные платежные системы Visa и MasterCard сделают сервис по подтверждению транзакций 3D Secure платным для банков. Подробнее здесь.
2020: Переход российских банков на 3D Secure 2.0
В конце июля 2020 года стало известно о том, что банки в России внедрили новый стандарт безопасности 3D Secure 2.0, в связи с чем начали разрешать делать покупки в интернете без SMS-кода.
Как рассказали «Известиям» в Национальной системе платежных карт (НСПК), технологию 3D Secure 2.0 для карт «Мир» подключили 140 банков, а остальные кредитные организации проходят сертификацию. Новую систему также вводят для Visa и MasterCard.
Система 3D Secure 2.0 определяет часть операций как низкорисковые и не требует проверки. Она призвана улучшить и ускорить процесс совершения покупок — клиенту не придется ждать подтверждения сообщением. При этом, обещано сохранение должного уровня кибербезопасности.
Технология ориентирована на удобство и безопасность совершения платежей не только через web-браузер, но и непосредственно в приложениях различных сервисов в мобильном устройстве. В новой версии также реализована удобная поддержка аутентификации пользователей при оформлении регулярных платежей, подписок на различные сервисы, пояснил изданию представитель «Мира».[1]TAdviser Security 100: Крупнейшие ИБ-компании в России
Протокол безопасности нового уровня - это попытка найти разумный компромисс между безопасностью и удобством, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. С одной стороны, стандарт поддерживает несколько механизмов верификации плательщиков: наряду с паролями на усмотрение банка-эмитента могут использоваться биометрия и криптография. Но с другой, в некоторых регионах мира даже первая версия стандарта - с подтверждением только с помощью кода из SMS - привела к заметному снижению числа покупок.
Президент Национальной финансовой ассоциации Василий Заблоцкий говорит, что переход на 3D Secure 2.0 поможет банкам сэкономить до 30–80% расходов на SMS и направить сэкономленные средства на развитие бизнеса или в прибыль.
2019: Уязвимость при оплатах банковскими картами онлайн
20 сентября 2019 года компания ChronoPay предупредила о возможности подмены данных получателя платежа при некоторых операциях в процессе оплаты онлайн банковской картой из-за особенностей протокола 3D Secure (3DS). За счет уязвимости в запросе на аутентификацию плательщика (PAReq) злоумышленники могут ввести потребителя в заблуждение, подменив данные получателя платежа на странице подтверждения транзакции.
По информации компании, протокол 3DS используется при приеме онлайн-платежей по банковским картам. Для того, чтобы удостовериться, что оплату производит владелец счета, в дополнение к данным банковской карты необходим также код подтверждения, который приходит на привязанный к карте номер мобильного телефона в SMS. Покупатель вводит код подтверждения на отдельной странице, на которой мошенник может подделать данные о получателе. Метод 3DS был разработан для защиты от кражи данных пластиковых карт и не предусматривает противодействия онлайн-мошенничеству со стороны самих получателей платежей.
Как удалось выяснить специалистам ChronoPay, проблема заключается в отсутствии защиты запроса на аутентификацию плательщика PAReq. При оформлении заказа в интернет-магазине, оплате государственных пошлин или заказе услуг такой запрос передается в банк в виде простой адресной строки в браузере. В текущей версии 3DS она не шифруется криптографически и не проверяется платежной системой. Злоумышленникам не сложно подменить любые данные в строке запроса и ввести покупателя в заблуждение на странице подтверждения платежа.
В сети все больше мошеннических сайтов, которые выдают себя за известных поставщиков услуг, государственные службы или фирменные интернет-магазины. Уязвимость в запросах PAReq протокола 3DS позволяет убедить потребителя в том, что он проводит платеж в пользу определенной организации. Данные на странице подтверждения платежа могут быть подменены. Мошенники активно используют методы социальной инженерии, убеждая клиента как можно быстрее совершить платеж на их сайте. Мы рекомендуем пользователям быть предельно внимательными при проведении онлайн-платежей. рассказал Павел Врублевский, генеральный директор процессинговой компании ChronoPay |
Чтобы обезопасить себя от мошенничества потребителям стоит проявлять дополнительную бдительность. Эксперты по безопасности ChronoPay рекомендуют:
- Проверять адрес интернет-магазина, в котором вы собираетесь совершить покупку (мошенники часто выбирают похожие адреса). Особенно если сайт пестрит распродажами, которые заканчиваются через несколько минут.
- Не совершать покупки по ссылкам из писем электронной почты — вместо этого самостоятельно находить легитимный сайт в поисковой системе.
Информация о данной уязвимости была передана представителям ФинЦЕРТ. Специалисты рассчитывают, что уязвимость будет исправлена в версии 3DS 2.0, переход на которую ожидается в ближайшее время. Пока же эксперты из ChronoPay рекомендуют плательщикам быть внимательными при совершении операций онлайн-оплаты.
2016: 3D Secure версии 2.0
3D-Secure от международной платежной системы Visa, который требует дополнительного пароля при карточном онлайн-платеже, начал изживать себя. Развитие мобильных устройств и электронной коммерции требует повышенной скорости, удобства и безопасности онлайн-платежей. По этой причине, а также из желания избавиться от Visa, ряд крупнейших платежных систем, банков и компаний электронной коммерции, объединившиеся в международный консорциум EMVСо, в прошлом году объявили о планах разработать собственную версию технологии защиты карточных платежей — 3D-Secure 2.0.
Среда электронной коммерции существенно изменилась за годы её существования, и EMVco готовит 3D Secure версии 2.0, стремясь внести свой вклад в создание глобальной операционно-совместимой и максимально удобной среды для пользователей таких новых средств и способов оплаты, как мобильные телефоны и покупки из приложений.
Выпуск документации запланирован на первую половину 2017 года, при этом Visa сообщает, что со своей стороны уже предпринимает необходимые шаги к тому, чтобы Verified by Visa и служба аутентификации держателей карт была готова ещё до начала промышленного запуска к середине следующего года.
Однако гигант индустрии пластиковых карт уточняет, что для предоставления всем заинтересованным организациям достаточного времени для внедрения новых продуктов и услуг, компания воздержится от применения определенных правил – таких, как защита от мошеннических возвратных платежей (чарджбэков) применительно к транзакциям 3D Secure 2.0 – до даты активации программы.
Даты активации будут варьироваться по регионам. В Европе, где 3D Secure первой версии работает уже практически повсеместно, внедрение версии 2.0, скорее всего, состоится в апреле 2018 года, но сроки для других рынков еще не определены.
Основное отличие 3D-Secure 2.0 от первой версии заключается в том, что решение о подтверждении платежной операции будет приниматься на основании новых параметров. В частности, в расчет будут браться данные устройства, с которого совершается платеж, настройки браузера, IP-адрес, e-mail и другие. Кроме того, для аутентификации будет использоваться интеллектуальный механизм принятия решения на основе анализа поведенческой активности пользователя
Смотрите также: «Мир» приступил к тестированию 3D-Secure 2.0
2014: Visa и MasterCard убирают пароли для 3D Secure
Visa и MasterCard объявили в ноябре 2014 года о планах устранить необходимость парольной аутентификации в платформах Verified by Visa и SecureCode, которые разработаны для того, чтобы добавить дополнительный уровень безопасности к онлайн-транзакциям[2].
В пресс-релизе MasterCard объявила, что особенностью обновленной системы 3D Secure, которая заменит текущую систему в этом году, будет работа с «более обширными данными о держателях карты», чтобы сократить парольные задержки в платежном процессе. В случае если требуется запрос аутентификации, MasterCard планирует заменить статический пароль одноразовыми паролями и биометрией по отпечатку пальца. MasterCard также проводит коммерческие испытания приложений распознавания лица и голоса для использования их в качестве аутентификаторов в будущем и браслетов для аутентификации по сердечному ритму.
Threatpost запросил у MasterCard разъяснение о том, что компания имела в виду под «более обширными данными держателя карты», но на время публикации ответа не получил.
3D Secure — платежный протокол без предъявления карты, разработанный Visa и внедренный рядом других платежных компаний. Он был разработан, чтобы решить растущую проблему мошеннических покупок, совершаемых онлайн. Когда пользователь Verified by Visa и SecureCode передает торговцу информацию о карте, торговец пересылает платежные данные Visa или MasterCard. Платежная компания отправляет iframe, который предъявляет пользователю дополнительную форму парольной аутентификации. Если клиент вводит корректный пароль, торговец получает авторизационный код для проведения транзакции.
При этом протокол 3D Secure подвергается критике из-за того, что требует от пользователей запоминания очередного сложного пароля, а также за свой интерфейс, который часто ошибочно принимают за фишинговую схему.
«Все мы хотим платежную процедуру, которая была бы безопасной и в то же время простой, а не одно из двух, — сказал Аджей Бхалла (Ajay Bhalla), президент MasterCard по вопросам безопасности. — Мы собираемся идентифицировать людей по тому, кем они являются, а не по тому, что они помнят. Мы должны помнить слишком много паролей, это создает дополнительные проблемы для клиентов и бизнеса».
Смотрите также
- Assist Antifraud - интеллектуальная система противодействия мошенничеству для использования в рамках интернет-магазина.
Платежные системы и сервисы
- Facebook Pay
- Apple Pay, Apple Card
- Amazon Pay
- Samsung Pay, Samsung Card
- Alipay
- WeChat Pay
- PayPal и PayPal_Россия
- Android Pay + Google Wallet = Google Pay
- Huawei Pay, Huawei Card, Huawei Digital Payment Cloud Solution
- Garmin Pay
- BitPay Card
- Mir Pay
- VK Pay
- Chase Pay
- Binance Pay
- TransferGo
- Hyundai Pay
- SWIFT, SWIFT gpi Instant
- Европейская платёжная инициатива (EPI, The European payments initiative)
- Project Icebreaker
- CIPS - Трансграничная межбанковская платежная система
- Visa International, Fold Rewards Card, Visa Secure, 3-D Secure
- 3-D Secure 2.0 (3D-Secure 3DS) - EMVCo
- MasterCard
- UnionPay
- JCB Платежная система
- Western Union
- Corda R3 Платежная система на блокчейне
- LG CNS: Платежная система с распознаванием лиц
- Worldpay
- American Express
- Payment Card Industry Security Standards Council
- BitPay
- Square
- MoneyGram
- Биткоин (Bitcoin) Криптовалюта
- Биткоин (Bitcoin) в России
- Криптовалюты в России
- Криптовалюты на Украине, FacePay24
- Криптовалюты в Эстонии
- Национальные криптовалюты
- Восточноазиатская цифровая валюта
- Цифровой юань (DCEP)
- Цифровой евро
- Цифровой доллар
- Цифровая вона Южной Кореи
- Цифровой бат Таиланда
- Цифровая шведская крона (e-krona)
- Facebook Libra криптовалюта
- El Petro (криптовалюта)
- Эфир (Ether, криптовалюта Ethereum)
- Ethereum (криптовалюта)
- JPM Coin (криптовалюта)
- Gram (криптовалюта)
- MUFG Coin (криптовалюта)
- Tcoin (криптовалюта)
- Venus (криптовалюта)
- MobiCoin (криптовалюта)
- Stablecoin (криптовалюта)
- BitTorrent (криптовалюта)
- Wells Fargo Digital Cash (криптовалюта)
- Kodakcoin (криптовалюта)
- Bitcoen Кошерная криптовалюта
- Barca Fan Tokens ($BAR)
- Система Быстрых Платежей (СБП)
- НСПК МИР, СБПэй
- Sberbank Pay, Платежная система Сбербанка, Сбербанк: Система оплаты по улыбке
- Uniteller
- Tinkoff Pay
- Платежная система АО Россельхозбанк
- GazpromPay
- PosTransfer
- United Card Services
- SelfieToPay
- ISBC Pay Сервис бесконтактной оплаты брелоком
- Сервис по передаче финансовых сообщений (СПФС)
- ECommPay ECommPay: Conversion +
- Про100 (платежная система)
- Рапида (Rapida)
- ChronoPay (Хронопэй)
- КиберПлат (CyberPlat)
- CloudPayments
- Эвотор Пэй (Evotor Pay)
- Золотая Корона, KoronaPay
- Элекснет
- Лидер - система денежных переводов НКО
- Деньги.Мэйл.Ру
- Yandex Pay
- ЮMoney
- Webmoney
- Ckassa (Центральная касса), Ckassa Start, Ckassa.terminal
- RBK Money
- Кошелек МТС Деньги, МТС Pay
- Qiwi Кошелек - Группа Qiwi
- LIfe Pay
- MandarinLab, MandarinPay
- МультиКарта
- Мультисервисная платежная система (МПС)
- Кампэй (Comepay) Платежная система
- Contact (платежная система)
- Magnit Pay
- PayMaster (сервис)
- Pay.Travel
- Blizko платежная система
- PayBox.money
- Fondy
- УПТ: IDpay Денежные переводы
- Универсальная электронная карта (УЭК)
- Онлайн-обмен данными между торговыми точками и налоговой службой (контрольно-кассовая техника, ККТ, POS-терминалы)
- POS-терминалы и другое торговое оборудование (мировой рынок)
- Сервисы мобильных платежей
- Бесконтактные NFC-платежи, NFC
- Безопасность электронных платежей
- Безопасность бесконтактных платежей
- Основные тренды в сфере защиты банковских платежей
- Терминалы оплаты (системы моментальных платежей)
- Платежная карта
- Карточные платежные системы
- Дебетовые карты (рынок России)
- Кредитные карты (рынок России)
- Эквайринг (процессинг)
- Оплата по биометрии
- Безналичные платежи в России
- Электронные платежные системы в России
- Политика ЦБ в сфере защиты информации (кибербезопасности)
- Политика ЦБ в сфере развития инноваций и финансовых технологий
- ФинЦЕРТ
- Денежные переводы (рынок России)
- Электронные платежные системы в Азербайджане
- Электронные платежные системы в Казахстане
- Электронные платежные системы в Узбекистане
- Электронные платежные системы на Украине
- Электронные платежные системы в Белоруссии
- Денежные переводы (мировой рынок)
- Денежные переводы (рынок Грузии)
- [[Электронные платежные системы в Индии}}
- Потери банков от киберпреступности
- Информационная безопасность в банках
- Мошенничество с банковскими картами
- Взлом банкоматов
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (56)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (33)
Другие (854)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Национальный аттестационный центр (НАЦ) (2)
TUV Austria (2)
Солар (ранее Ростелеком-Солар) (2)
Информзащита (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 57)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (473, 231)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
Индид, Indeed (ранее Indeed ID) (2, 3)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
АТ бюро (ESMART) (1, 1)
КИТ (EPlat4m) (1, 1)
Другие (9, 9)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 274
PayControl - 3
МегаФон Мобильный ID - 2
Shenzhen Chainway C-серия RFID-считывателей - 1
Konica Minolta Dispatcher Suite - 1
ОТР.Опора - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed PAM - Indeed Privileged Access Manager - 2
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Solar webProxy Шлюз веб-безопасности - 1
PayControl - 1
Другие 1
Подрядчики-лидеры по количеству проектов
Солар (ранее Ростелеком-Солар) (18)
SearchInform (СёрчИнформ) (16)
Национальное бюро кредитных историй (НБКИ) (16)
Инфосистемы Джет (9)
Experian (8)
Другие (159)
Центр Финансовых Технологий (ЦФТ) (2)
Инфосекьюрити (Infosecurity) (1)
Инфосистемы Джет (1)
Корп Софт (CorpSoft24) (1)
Сбербанк (1)
Другие (6)
Солар (ранее Ростелеком-Солар) (3)
SearchInform (СёрчИнформ) (2)
VisionLabs (ВижнЛабс) (1)
Диасофт (Diasoft) (1)
Динамика (Dynamika) Новосибирск (1)
Другие (0)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Visa International (4, 27)
Инфосистемы Джет (5, 25)
Солар (ранее Ростелеком-Солар) (2, 20)
FICO (4, 18)
SearchInform (СёрчИнформ) (2, 17)
Другие (185, 142)
Центр Финансовых Технологий (ЦФТ) (2, 2)
Сбербанк (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
SearchInform (СёрчИнформ) (1, 1)
Инфосистемы Джет (1, 1)
Другие (5, 5)
Солар (ранее Ростелеком-Солар) (1, 3)
SearchInform (СёрчИнформ) (1, 2)
Диасофт (Diasoft) (1, 1)
VisionLabs (ВижнЛабс) (1, 1)
Динамика (Dynamika) Новосибирск (1, 1)
Другие (0, 0)
SearchInform (СёрчИнформ) (1, 3)
Positive Technologies (Позитив Текнолоджиз) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
Другие (1, 1)
SearchInform (СёрчИнформ) (1, 9)
Positive Technologies (Позитив Текнолоджиз) (1, 3)
БПС Инновационные программные решения (ранее БПЦ Банковские технологии) (1, 2)
Лаборатория Касперского (Kaspersky) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
3-D Secure (3D-Secure) - 23
Solar JSOC - 19
СёрчИнформ SIEM - 17
НБКИ-AFS (Anti-Fraud Service) - 12
FICO Capstone Decision Accelerator (CDA) - 9
Другие 137
Сбер: Антифрод-система - 1
SAS Anti-Money Laundering (SAS AML) - 1
Jet Detective - 1
Diasoft Digital Q.Risk&Compliance - 1
ЦФТ FRAMOS - 1
Другие 6
Solar JSOC - 3
СёрчИнформ SIEM - 2
Dynamika-Финансовый мониторинг - 1
Diasoft Digital Q.Risk&Compliance - 1
VisionLabs Luna Pass - 1
Другие 0