Мы занимаемся информационной безопасностью

Решения

3-D Secure

  1. Решения
  2. Безопасность онлайн-платежей

3-D Secure

Задача

Стремительный рост электронной коммерции и постоянное увеличение потоков средств в онлайн-платежах стимулирует не только экономику, но и мошенников, которые с завидным упорством придумывают все новые методы обмана, от которых страдают покупатели, что сказывается на их доверии к онлайн-продавцам и, опосредованно, к банку. А потому, задачи по повышению уровня безопасности транзакций, являются одним из важных направлений работы банков во всем мире.

Решение

Рынок ИБ предлагает достаточно большое количество решений, которые позволяют повысить безопасность онлайн-платежей, но одним из самых эффективных и, что немаловажно, признанных рынком решений, остается 3-D Secure – технология разработанная компанией VISA и в данный момент используемая не только ей (под брендом Verified by VISA), но также MasterCard (Secure Code) и American Express (SafeKey).

Основная идея 3-D Secure – это добавление к процессу финансовой авторизации онлайн-проверки подлинности, основанную на принципе трех доменов – домена банка эквайера, домена банка эмитента и домена платежной системы, обеспечивающего поддержку 3-D Security. С точки зрения пользователя добавление 3-D Secure незначительно меняет процесс оплаты покупки, добавляя лишь один шаг с запросом дополнительного пароля на всплывающей странице банка выдавшего карту (это может быть статичный пароль, либо одноразовый пароль, сгенерированный OTP-токеном или присылаемый по СМС).

3-D Secure

Для использования 3-D Secure требуется набор специализированных серверов для обслуживания транзакций:

  • Access Control Server (ACS) в домене банка эмитента, в задачи которого входит управление процессами аутентификации покупателя и проведения платежных транзакций;
  • Merchant Plug-In (MPI) в домене банка эквайера, который управляет транзакциями между инфраструктурой держателей карты, платежной инфраструктурой эквайера и платежной системой (VISA, MasterCard, American Express).
  • Authentication History Server платежной системы (VISA, MasterCard, American Express) в домене платежной системы, , который собирает и хранит информацию о проводимых транзакциях и гарантирует ее доступность в случае возникновения конфликтных ситуаций.
  • Directory Server платежной системы, ведущий информацию обо всех участниках процесса и координирующий их действия.

В доменах эквайера и эмитента задействуются и другие системы, используемые для проведения транзакций. Кроме того, для хранения критически важных данных, используемых для работы 3-D Secure, должны использоваться специализированные Аппаратные модули безопасности (HSM). В данный момент такие модели есть в продуктовых линейках HSM компании Thales.

Преимущества

Внедрение 3-D Secure является позитивным шагом для всех сторон задействованных в оформлении покупок:

  • Снижает риск мошенничества и проведения незаконных операций с использованием похищенных данных платежных карт.
  • Обеспечивает большую безопасность данных карты, так как они не передаются непосредственно продавцу.
  • Обеспечивает дополнительную идентификацию владельца карточки посредством дополнительного пароля, одноразового пароля или СМС-сообщения.
  • Разграничение рисков всех участников транзакции за счет четкого разделения функций.
  • Использование 3-D Secure не делает онлайн-покупки заметно более сложными, но при этом заметно повышает уровень безопасности оплаты.
  • Внедрение 3-D Secure никак не сказывается на возможности провести оплату в магазинах, которые пока не поддерживают эту технологию.
  • Благодаря 3-D Secure с торговых организаций снимается ответственность за проверку подлинности карты, что, несомненно, выгодно и удобно для продавцов.