Краткий обзор технологии 3

Краткий обзор технологии 3-D Secure
1. 3-D Secure.
2. Прохождение транзакций по технологии 3-D Secure.
3. Пример того, как проходит транзакция по технологии 3-D Secure в VTB (Azerbaijan).
1. 3-D Secure:
3-D Secure – протокол обработки интернет-транзакций, который используется как дополнительный
уровень безопасности для онлайн-оплат по кредитным и дебетовым картам, двухфакторной
аутентификации пользователя. Компания Visa разработала его с целью улучшения безопасности
интернет-платежей и предложила клиентам услугу Verified by Visa (VbV). Услуги, основанные на
данном протоколе, также были приняты MasterCard под названием MasterCard SecureCode (MCC) и
JCB International как J/Secure.
3-D Secure добавляет ещё один шаг аутентификации для онлайн-платежей.
Основная концепция протокола — добавить к процессу финансовой авторизации онлайн-проверку
подлинности. Эта проверка подлинности основана на принципе трёх доменов (отсюда 3-D в названии):



Домен эквайера (домен продавца и банка, в который перечисляются деньги);
Домен эмитента (домен банка, выдавшего карту);
Домен совместимости (Interoperability Domain) (домен, предоставляемый платёжной системой
(MasterCard, Visa и т. д.) для поддержки 3-D Secure протокола).
Перенос ответственности
В обычных (не защищённых 3-D Secure) транзакциях ответственность за операции по украденным
картам несёт «мерчант» — торгово-сервисное предприятие, на сайте которого была произведена
покупка товара/услуги по ворованной карте при условии, что он не поддерживает эту технологию. В
случае 3-D Secure происходит так называемый «Перенос ответственности» (Liability Shift), когда
ответственность переносится на банк-эмитент, выпустивший карту, или на самого клиента.
2.Прохождение транзакций по технологии 3-D Secure:
3-D Secure обеспечивает следующее:
Проверка личности владельца карты в реальном времени. После ввода номера карты на платежной
странице электронного магазина, покупатель перенаправляется на сервер своего банка-эмитента.
Проверку подлинности владельца карты осуществляет банк, для этого используется пароль/OTP*,
известный только владельцу карты и банку.
Защита результатов проверки. По результатам проверки банк-эмитент формирует ответное
сообщение с использованием цифровой подписи или смс-код с целью защиты информации от
несанкционированных изменений.
Защита конфиденциальной информации пользователя. Для ввода частной информации клиента,
например, номера карты, используются защищенные страницы платежного сервера. Введенная
информация сохраняется на платежном сервере, и получатель платежа (электронный магазин) не имеет
доступа к этой информации, что наилучшим образом защищает от ее потери и похищения.
*OTP - One Time Password (Одноразовый пароль).
(Изображение №1 – упрощённое представление технологии 3-D secure)
Как мы видим на изображении №1, клиент эмитента пришел в интернет-магазин за покупками и если
карта клиента поддерживает технологию 3-D Secure, то мы должны ориентироваться по изображению и
следовать пошагово с 1-го по 10-й шаг. Но если же карта клиента не поддерживает данную технологию,
тогда мы пропускаем шаги с 3-го по 8-ой и следуем со 2-го шага к 9-му и 10-му, лишь потом возвращаемся
ко 2-му и 1-му.
3. Пример того, как проходит транзакция по технологии
3-D Secure в банке VTB (Azerbaijan):
Чтобы защитить себя от мошенничества и пользоваться технологией 3-D Secure, клиент для начала
должен зарегистрировать карту на сайте процессинга Изображение №2:
Далее переход по ссылке на страницу сервера:
Если клиент подписан на услугу СМС-банкинга, то у него есть возможность получить одноразовый пароль
посредством СМС. В противном случае, он должен приобрести одноразовые пароли в любом банкомате
сети Azericard.
Допустим, что клиент эмитента (VTB AZ) пришел в интернет-магазин www.***.com и пытается провести
транзакцию картой, которая поддерживает технологию 3-D Secure на сумму 50 AZN.
После того, как клиент выбрал нужный ему товар и попытается подтвердить свой заказ, введя правильно
нужную информацию, он будет перенаправлен на страницу Azericard для выбора метода
аутентификации c технологией 3-D Secure как показано на Изображение №3 ниже:
Если клиент ввел данные удачно и страница 3-D secure отобразилась, то клиенту должно прийти SMS с
OTP (одноразовый пароль) на мобильный номер (который он указал, когда заказывал карту и этот
номер был прописан в процессинге на услугу SMS-банкинг).
Введя OTP и нажав на кнопку подтверждения «Отправить», клиент подтверждает, что является
держателем той самой карты, по которой пытался провести транзакцию и транзакция будет считаться
успешной.