3D Secure 2.0: особенности новой версии

  • Юлия
  • 10.12.2019 548

Те, кто на ежедневной основе совершает платежи в интернете и осведомлен о необходимости их обезопасить, наверняка знает о такой технологии как 3D Secure. 

И, несмотря на ее преимущества, долгий процесс аутентификации платежа отягощает как кардхолдеров, так и участников индустрии e-commerce. Ведь как известно, такие методы проверки как раз и приводят к снижению платежной конверсии на 5%- 20%. 

В условиях изменчивого платежного поведения покупателей и их желания упростить процесс оплаты появился повышенный спрос на обновление привычных технологий проверки безопасности. Они, что немаловажно, были изобретены более 17 лет назад и сейчас слабо соответствуют новым привычкам потребителей. 

Собственно, вместе с этим появление нового протокола 3D Secure 2.0 в полной мере оказывает влияние  на всю платежную индустрию и опыт потребителей в целом. В чем ключевые отличия обновленного протокола – давайте рассмотрим в этой статье. Но давайте по порядку.

Как работает 3D Secure 1.0? 

3D Secure 1.0 – это технический стандарт безопасности, разработанный Visa и MasterCard. По сути, является дополнительным шагом проверки личности покупателя в процессе совершения онлайн-платежа. Он был создан, чтобы помочь снизить риск мошенничества в Интернете и защитить транзакции по банковским картам.

EMV 3-D Secure Three-Domain Secure (3DS) – это протокол, разработанный EMVCo, который позволяет потребителям аутентифицироваться с банком-эмитентом своей карты при совершении транзакций при отсутствии физической карты (Card not present). “Три домена безопасности” состоят из домена эквайера, домена банка эмитента и домена взаимодействия международной платежной системы, который предоставляет поддержку протокола 3DS. 

Основная цель протокола заключается в защите потребителя путем предоставления дополнительного уровня аутентификации, то есть доказательства того, что именно владелец карты использовал свою карту во время транзакции. Это повышает защиту торговцев от мошеннических возвратов платежей. Эта защита также предоставляется в форме переноса ответственности с продавца на банк-эмитент карты( Liability Shift). 

Перенос ответственности – довольно спорный вопрос.Тут важно помнить, что этот слой защиты относится только к мошенническим платежным операциям, при условии что мерчант применил технологию 3D-Secure. То есть смещение ответственности за фрод-транзакцию с мерчанта на банк эмитент происходит только в случае, если продавец использовал данный протокол. В противном случае мерчант сам компенсирует возвратный платеж. 

Как и ожидалось, эмитенты карт по большей части выбирают подход, который перестрахует их от вероятности потенциального мошенничества. То есть в мерах предосторожности отклоняют все сомнительные транзакции. В 2018 году это привело к тому, что сумма по ложно отклоненным (false declined) транзакциям в США составила более 331 миллиарда долларов. Одна из причин – интернет-магазины и эмитенты карт стали настолько бояться мошенничества и его последствий, что слишком ужесточают свои правила противодействия мошенничеству. 

Впрочем, одним из последствий применения 3D Secure было увеличение запросов мерчантов на отключение этого метода проверки из-за отсутствия гибкости в технологии. Потому как использование 3DS-1 обязывало их применять протокол безопасности абсолютно для всех транзакций, даже там, где подозрений во фроде в принципе и нет. А это приводило к еще большему количеству “брошенных корзин” и снижению платежной конверсии. А учитывая, что 3D-Secure является дополнительным шагом в процессе оплаты, это часто приводило к отмене заказа.  

К слову, в 2017 году после внедрения протокола проверки уровень конверсии платежей в Бразилии упал на 55%, а в США и Китае в среднем наблюдалось снижение на 43%.

А если подробнее рассмотреть еще и пользовательский опыт, то тут найдется ряд других недостатков. Покупатель в процессе проверки переадресовывался на сторонний сайт, интерфейс которого, как правило, не был оптимизирован под мобильные устройства. 

Учитывая все вышеперечисленные недостатки, EMVCo выпустила новую версию 3DS: 3D Secure 2, также называемую как EMV 3-D Secure, 3D Secure 2.0 или 3DS2. 

В чем ключевые отличия новой версии протокола?

Обновленная версия протокола была разработана с целью снижения количества недостатков, которые отмечались во время использования 3DS 1.0. 

EMVCo утверждает, что ключевое отличие 3DS1 и 3DS2 – улучшение пользовательского опыта при одновременном снижении риска мошенничества. Вместо статического пароля пользователи могут аутентифицироваться при помощи токена банковской карты или на основе биометрических данных, таких как отпечаток большого пальца, распознавание лица или голоса. 

Также вместе с упрощенным процессом аутентификации компании могут обрабатывать потоки протокола 3DS2 для онлайн и мобильных платежей без необходимости переадресовывать пользователя на сторонний ресурс для завершения оплаты. Что вместе с омниканальной поддержкой протокола – от мобильного кошелька до мобильного приложения – в разы улучшает платежный опыт клиентов.

Что наиболее важно, 3DS 2.0 значительно улучшает качество обслуживания клиентов, внедряя Frictionless Flow посредством Risk Based Authentication (аутентификации на основе рисков). 

Frictionless 3D-Secure 2.0 позволяет мерчантам и эквайерам проверять транзакции от банка-эмитента  без переадресации клиента на сторонние страницы, при этом ему не нужно запоминать PIN-код. А это, в свою очередь, упрощает оплату для кардхолдеров: клиенты тратят на 85% меньше времени в процессе оформления заказа. 

3-D Secure 2.0 на основе RBA обрабатывает данные картодержателей во время проведения транзакций, передавая их банку-эмитенту и ACS (Access Control Servers). Далее проводится оценка риска операции на основе анализа более 150 исторических и фактических элементов данных о транзакциях. После чего выводится конечное решение о необходимости процедуры аутентификации. 

Также по рекомендациям SCA (Strong Customer Authentication) был разработан ряд исключений по транзакциям, что позволило им беспрепятственно проходить анализ риска Transaction Risk Analysis (TRA). Под категорию транзакций с низким уровнем риска попадают операции в диапазоне от 30 до 500 евро. Чтобы применить исключения для них, общие коэффициенты фрода для эквайеров не могут превышать установленные пороговые значения – 0,13% для транзакций ниже 100 евро, причем определенные уровни мошенничества уменьшаются по мере увеличения стоимости операции. 

То есть, если банк после обмена данными о платеже получил достаточно доказательств, что риск мошенничества минимальный и не достигает порогового значения – банк запрашивает дополнительное подтверждение от картодержателя и пропускает платеж. В противном случае – пользователь обязан аутентифицироваться, а сам платеж будет проходить в режиме Challenge до момента ввода пароля покупателя. Но важно отметить, что по данным Statista, большинство сделок, по мнению банков-эмитентов, относятся к группе низкого риска (95%).

Как мы уже обсудили выше, перенос ответственности с мерчантов на эмитентов карт было одним из преимуществ 3DS1, когда дело касалось чарджбеков. 

Новые правила ответственности за чарджбек

Использование 3DS может привести к 5 сценариям для Visa и Mastercard: “аутентификация успешна”, “аутентификация предпринята”, “аутентификация не пройдена”, “аутентификация недоступна” и “ошибка”. Ответственность за чарджбек перекладывается с мерчанта на банк-эмитент только тогда, когда аутентификация прошла успешно. Если аутентификация не удалась, произошла ошибка или если аутентификация недоступна, ответственность за возврат средств несет продавец.

Существует также различие в правилах Liability Shift в зависимости от того, с какой платежной системой работает торговец. Если конкретная карта не зарегистрирована в 3DS, Visa берет на себя ответственность за любые возвратные платежи. С Mastercard ответственность остается за продавцом. 

С обновлениями 3DS 2.0 мерчант может получить большее количество данных при взаимодействии с банками-эмитентами и платежными шлюзами, чем это было в 3DS1. Сейчас у него есть возможность собирать ценные данные по транзакциям после оформления заказа, которые обрабатываются с помощью 3DS2. Данные о том, сколько раз покупатель был перенаправлен на страницу проверки 3DS, а также процент аутентифицированных платежей может дать более полное представление о поведении клиентов. Это свою очередь предоставит фрод-аналитикам важную статистику по мошенническим действиям и поможет улучшить собственную систему защиты. 

Тем не менее, торговцам не стоит отказываться от дополнительного слоя защиты, который предоставляют ACS и банки-эмитенты. Поскольку, при анализе транзакции непосредственно банком, у которого есть доступ к большему объему исторических данных, есть большая вероятность получить точную оценку после анализа риска операции. 

Итоги внедрения 3DS 2.0

В целом, вторая версия протокола 3DS – серьезное  улучшение для всех участников. Она позволяет торговцам использовать все преимущества протокола и обеспечивать защиту на нескольких платформах, включая мобильные приложения, с простой интеграцией в их системы. Предполагается также, что количество оставленных корзин после применения 3DS 2.0 будет постепенно снижаться – мерчанты увидят примерно 70%-е снижение, а процесс покупок сократится почти на 85%. 

Банки-эмитенты смогут обмениваться большим количеством данных с торговцами, что позволит им лучше понять платежный путь клиента, с большей точностью определять риск и, следовательно, улучшить процесс аутентификации. 

Для клиентов обновления, пожалуй, самые выгодные. Теперь они могут  осуществлять безопасные транзакции на большем количестве платформ. Транзакции будут более защищенными благодаря внедрению усовершенствованных методов защиты, таких как двухфакторная аутентификация. А пользовательский опыт будет значительно улучшен за счет беспрепятственных потоков протокола благодаря аутентификации на основе рисков.

Читайте також

На нашому сайті використовуються файли cookie для збору інформації в маркетингових цілях. Детально про збір інформації ви можете ознайомитися в «Політиці конфіденційності».