Menu

3D Secure 2.0: идеальный баланс между безопасностью и удобством

В платежной индустрии клиентский опыт складывается из множества факторов, главными из которых являются удобство и безопасность совершения платежей. Достичь баланса между этими двумя критериями сложно, и порой кажется, что невозможно. Но так ли это?

С момента разработки протокола 3D Secure 1.0 прошло более 17 лет, и сегодня платежной индустрии потребовался новый стандарт безопасности. Необходимо было учесть не только текущие, но и будущие требования рынка, например, протокол должен был включать поддержку аутентификации на основе мобильных устройств. Кроме того, он призван был устранить некоторые пробелы в защите, которыми нередко пользовались мошенники, и в то же время нейтрализовать проблемы, связанные с CNP-платежами (так называют операции по карте, осуществляемые без ее физического присутствия). Учитывая все эти узкие места, в 2019 году EMVCo выпустила новую, улучшенную версию протокола – 3D Secure 2.0 (3DS2), и в апреле 2020 года он наконец вступил в силу и на последних из неохваченных им крупнейших рынков мира – в странах Азиатско-Тихоокеанского региона, Ближнего Востока и Африки. На текущий момент 3DS2 претендует на пальму первенства среди технических стандартов безопасности с точки зрения баланса между удобством совершения платежей и их защищенностью.

Но что в новом протоколе такого особенного? Для ответа на этот вопрос остановимся чуть подробнее на CNP-платежах. Одним из самых болезненных моментов для мерчантов, помимо мошенничества, является отказ от покупки. Проблема заключается в том, что чем больше ступеней аутентификации необходимо пройти покупателю, тем меньше вероятность того, что он завершит сделку. С такой проблемой столкнулись европейские банки, вынужденные соблюдать требования платежной директивы PSD2, отвечающей за регулирование платежных услуг и принципов взаимодействия участников платежного рынка в странах ЕС. Внедрив PSD2 в январе 2018 года, Европейский союз стремился объединить свой финансовый рынок, создать условия для инноваций в финансовом секторе и предоставить дополнительную защиту клиентам.  В связи с этим в части аутентификации клиенты европейских банков теперь вынуждены проходить двухфакторную проверку, известную как Strong Customer Authentication (SCA), согласно которой для совершения покупки необходимо выполнить два из трех действий:

1)     предоставить физическое подтверждение того, что это действительно вы (биометрия),

2)     предоставить информацию о физическом носителе (номер карты или эквивалентный ему идентификатор),

3)     сообщить данные, которые знаете только вы (пароль или PIN-код).

В отличие от платежной директивы PSD2, протокол 3DS2 позволяет исключить лишние этапы аутентификации и обеспечить безопасную оплату при меньшем количестве действий со стороны покупателя. Теперь в момент покупки мерчанты и эмитенты могут свободно делиться такими контекстными данными, как история транзакций, адрес доставки, данные об платежном устройстве и т. д., для проверки личности покупателя без его участия. Такая модель аутентификации называется риск-ориентированной (Risk-based authentication), и согласно ее требованиям покупатели будут проходить дополнительную проверку только в том случае, если выявлен определенный уровень риска. Благодаря этой новой модели 3DS2 обеспечивает бесперебойное и безопасное взаимодействие с клиентами, снижая количество ложных отказов в проведении транзакций и мошенническую активность.

Платежные сервисы сделали гигантский шаг вперед – к новым, бесшовным технологиям на основе клиентского опыта. Мерчанты и покупатели больше не нуждаются в компромиссных решениях, и теперь, когда практически во всех странах мира внедрен протокол 3DS2, этого и не требуется.