3-D Secure

Продукт
Разработчики: Visa International
Отрасли: Финансовые услуги, инвестиции и аудит
Технологии: ИБ - Аутентификация,  ИБ - Система обнаружения мошенничества (фрод)

Содержание

3-D Secure - протокол обработки Интернет-транзакций, разработка компании Visa. Система 3D Secure при покупке через интернет верифицирует клиента с помощью динамического кода, который отправляется через SMS. Лицензией на использование этой технологии также обладает MasterCard, у которой есть свой сервис защиты SecureCode.

Назначение протокола - обеспечение безопасности Интернет-платежей, выполняемых с использованием кредитных или дебетовых карт. Другое его наименование Verified by Visa - в терминологии Visa, или SecureCode в терминологии MasterCard.

3-D Secure - торговая марка корпорации VISA.

Протокол 3D Secure, используется платежными системами под логотипами Verified by Visa и MasterCard SecureCode и обеспечивает держателям карт возможность аутентификации через свой банк-эмитент при совершении онлайн-покупок через веб-браузеры на персональных компьютерах.

Задачи

Цель использования 3-D Secure - упрощение обслуживания карточных транзакций через интернет с одновременным повышением безопасности их проведения.

Система трёх доменов

Модель 3-D Secure реализована на основе трёх доменов, в которых происходит порождение и проверка транзакций:

  • домен Эмитента, в составе которого Держатель карты и Банк, выпускающий карты.
  • домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
  • домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими доменами. В его ведении сети и сервисы карточных ассоциаций.


Домены независимы в своих правах и являются важной составной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Каждому домену определена собственная сфера ответственности в проведении транзакций:

  • В домене эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
  • В домене эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
  • В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.

Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:

  • Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
  • Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.

Компоненты архитектуры 3-D Secure

В архитектуре 3-D Secure реализован набор специальных серверов для обслуживания потока транзакций во время его жизненного цикла:

  • В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
  • В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
  • В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
  • В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.

2021: Visa и Mastercard введут комиссии за использование технологии 3D Secure

Международные платежные системы Visa и MasterCard сделают сервис по подтверждению транзакций 3D Secure платным для банков. Подробнее здесь.

2020: Переход российских банков на 3D Secure 2.0

В конце июля 2020 года стало известно о том, что банки в России внедрили новый стандарт безопасности 3D Secure 2.0, в связи с чем начали разрешать делать покупки в интернете без SMS-кода.

Как рассказали «Известиям» в Национальной системе платежных карт (НСПК), технологию 3D Secure 2.0 для карт «Мир» подключили 140 банков, а остальные кредитные организации проходят сертификацию. Новую систему также вводят для Visa и MasterCard.

Держателям карт «Мир» разрешили совершать покупки в интернете без СМС

Система 3D Secure 2.0 определяет часть операций как низкорисковые и не требует проверки. Она призвана улучшить и ускорить процесс совершения покупок — клиенту не придется ждать подтверждения сообщением. При этом, обещано сохранение должного уровня кибербезопасности

Технология ориентирована на удобство и безопасность совершения платежей не только через web-браузер, но и непосредственно в приложениях различных сервисов в мобильном устройстве. В новой версии также реализована удобная поддержка аутентификации пользователей при оформлении регулярных платежей, подписок на различные сервисы, пояснил изданию представитель «Мира».[1]Метавселенная ВДНХ 4.8 т

Протокол безопасности нового уровня - это попытка найти разумный компромисс между безопасностью и удобством, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. С одной стороны, стандарт поддерживает несколько механизмов верификации плательщиков: наряду с паролями на усмотрение банка-эмитента могут использоваться биометрия и криптография. Но с другой, в некоторых регионах мира даже первая версия стандарта - с подтверждением только с помощью кода из SMS - привела к заметному снижению числа покупок.

Президент Национальной финансовой ассоциации Василий Заблоцкий говорит, что переход на 3D Secure 2.0 поможет банкам сэкономить до 30–80% расходов на SMS и направить сэкономленные средства на развитие бизнеса или в прибыль.

2019: Уязвимость при оплатах банковскими картами онлайн

20 сентября 2019 года компания ChronoPay предупредила о возможности подмены данных получателя платежа при некоторых операциях в процессе оплаты онлайн банковской картой из-за особенностей протокола 3D Secure (3DS). За счет уязвимости в запросе на аутентификацию плательщика (PAReq) злоумышленники могут ввести потребителя в заблуждение, подменив данные получателя платежа на странице подтверждения транзакции.

По информации компании, протокол 3DS используется при приеме онлайн-платежей по банковским картам. Для того, чтобы удостовериться, что оплату производит владелец счета, в дополнение к данным банковской карты необходим также код подтверждения, который приходит на привязанный к карте номер мобильного телефона в SMS. Покупатель вводит код подтверждения на отдельной странице, на которой мошенник может подделать данные о получателе. Метод 3DS был разработан для защиты от кражи данных пластиковых карт и не предусматривает противодействия онлайн-мошенничеству со стороны самих получателей платежей.

Как удалось выяснить специалистам ChronoPay, проблема заключается в отсутствии защиты запроса на аутентификацию плательщика PAReq. При оформлении заказа в интернет-магазине, оплате государственных пошлин или заказе услуг такой запрос передается в банк в виде простой адресной строки в браузере. В текущей версии 3DS она не шифруется криптографически и не проверяется платежной системой. Злоумышленникам не сложно подменить любые данные в строке запроса и ввести покупателя в заблуждение на странице подтверждения платежа.

«
В сети все больше мошеннических сайтов, которые выдают себя за известных поставщиков услуг, государственные службы или фирменные интернет-магазины. Уязвимость в запросах PAReq протокола 3DS позволяет убедить потребителя в том, что он проводит платеж в пользу определенной организации. Данные на странице подтверждения платежа могут быть подменены. Мошенники активно используют методы социальной инженерии, убеждая клиента как можно быстрее совершить платеж на их сайте. Мы рекомендуем пользователям быть предельно внимательными при проведении онлайн-платежей.

рассказал Павел Врублевский, генеральный директор процессинговой компании ChronoPay
»

Чтобы обезопасить себя от мошенничества потребителям стоит проявлять дополнительную бдительность. Эксперты по безопасности ChronoPay рекомендуют:

  • Проверять адрес интернет-магазина, в котором вы собираетесь совершить покупку (мошенники часто выбирают похожие адреса). Особенно если сайт пестрит распродажами, которые заканчиваются через несколько минут.
  • Не совершать покупки по ссылкам из писем электронной почты — вместо этого самостоятельно находить легитимный сайт в поисковой системе.

Информация о данной уязвимости была передана представителям ФинЦЕРТ. Специалисты рассчитывают, что уязвимость будет исправлена в версии 3DS 2.0, переход на которую ожидается в ближайшее время. Пока же эксперты из ChronoPay рекомендуют плательщикам быть внимательными при совершении операций онлайн-оплаты.

2016: 3D Secure версии 2.0

3D-Secure от международной платежной системы Visa, который требует дополнительного пароля при карточном онлайн-платеже, начал изживать себя. Развитие мобильных устройств и электронной коммерции требует повышенной скорости, удобства и безопасности онлайн-платежей. По этой причине, а также из желания избавиться от Visa, ряд крупнейших платежных систем, банков и компаний электронной коммерции, объединившиеся в международный консорциум EMVСо, в прошлом году объявили о планах разработать собственную версию технологии защиты карточных платежей — 3D-Secure 2.0.

Среда электронной коммерции существенно изменилась за годы её существования, и EMVco готовит 3D Secure версии 2.0, стремясь внести свой вклад в создание глобальной операционно-совместимой и максимально удобной среды для пользователей таких новых средств и способов оплаты, как мобильные телефоны и покупки из приложений.

Выпуск документации запланирован на первую половину 2017 года, при этом Visa сообщает, что со своей стороны уже предпринимает необходимые шаги к тому, чтобы Verified by Visa и служба аутентификации держателей карт была готова ещё до начала промышленного запуска к середине следующего года.

Однако гигант индустрии пластиковых карт уточняет, что для предоставления всем заинтересованным организациям достаточного времени для внедрения новых продуктов и услуг, компания воздержится от применения определенных правил – таких, как защита от мошеннических возвратных платежей (чарджбэков) применительно к транзакциям 3D Secure 2.0 – до даты активации программы.

Даты активации будут варьироваться по регионам. В Европе, где 3D Secure первой версии работает уже практически повсеместно, внедрение версии 2.0, скорее всего, состоится в апреле 2018 года, но сроки для других рынков еще не определены.

Основное отличие 3D-Secure 2.0 от первой версии заключается в том, что решение о подтверждении платежной операции будет приниматься на основании новых параметров. В частности, в расчет будут браться данные устройства, с которого совершается платеж, настройки браузера, IP-адрес, e-mail и другие. Кроме того, для аутентификации будет использоваться интеллектуальный механизм принятия решения на основе анализа поведенческой активности пользователя

Смотрите также: «Мир» приступил к тестированию 3D-Secure 2.0

2014: Visa и MasterCard убирают пароли для 3D Secure

Visa и MasterCard объявили в ноябре 2014 года о планах устранить необходимость парольной аутентификации в платформах Verified by Visa и SecureCode, которые разработаны для того, чтобы добавить дополнительный уровень безопасности к онлайн-транзакциям[2].

В пресс-релизе MasterCard объявила, что особенностью обновленной системы 3D Secure, которая заменит текущую систему в этом году, будет работа с «более обширными данными о держателях карты», чтобы сократить парольные задержки в платежном процессе. В случае если требуется запрос аутентификации, MasterCard планирует заменить статический пароль одноразовыми паролями и биометрией по отпечатку пальца. MasterCard также проводит коммерческие испытания приложений распознавания лица и голоса для использования их в качестве аутентификаторов в будущем и браслетов для аутентификации по сердечному ритму.

Threatpost запросил у MasterCard разъяснение о том, что компания имела в виду под «более обширными данными держателя карты», но на время публикации ответа не получил.

3D Secure — платежный протокол без предъявления карты, разработанный Visa и внедренный рядом других платежных компаний. Он был разработан, чтобы решить растущую проблему мошеннических покупок, совершаемых онлайн. Когда пользователь Verified by Visa и SecureCode передает торговцу информацию о карте, торговец пересылает платежные данные Visa или MasterCard. Платежная компания отправляет iframe, который предъявляет пользователю дополнительную форму парольной аутентификации. Если клиент вводит корректный пароль, торговец получает авторизационный код для проведения транзакции.

При этом протокол 3D Secure подвергается критике из-за того, что требует от пользователей запоминания очередного сложного пароля, а также за свой интерфейс, который часто ошибочно принимают за фишинговую схему.

«Все мы хотим платежную процедуру, которая была бы безопасной и в то же время простой, а не одно из двух, — сказал Аджей Бхалла (Ajay Bhalla), президент MasterCard по вопросам безопасности. — Мы собираемся идентифицировать людей по тому, кем они являются, а не по тому, что они помнят. Мы должны помнить слишком много паролей, это создает дополнительные проблемы для клиентов и бизнеса».

Смотрите также

  • Assist Antifraud - интеллектуальная система противодействия мошенничеству для использования в рамках интернет-магазина.

Платежные системы и сервисы





ПРОЕКТЫ (23) ПРОЕКТЫ НА БАЗЕ (4) ИНТЕГРАТОРЫ (4)
РЕШЕНИЕ НА БАЗЕ (2) СМ. ТАКЖЕ (53) ОТРАСЛИ (4)
ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- Assist (Ассист)
Без привлечения консультанта или нет данных2019.11Описание проекта
- Банк Открытие (ФК Открытие)
Без привлечения консультанта или нет данных2016.09Описание проекта
- Приват-Трейд (KupiVIP.ru)
ChronoPay (Хронопэй)2016.05Описание проекта
- Интерактивный Банк (iBank)
МультиКарта2014.10Описание проекта
- ВТБ Украина
Без привлечения консультанта или нет данных2014.09Описание проекта
- Банк Гагаринский
Без привлечения консультанта или нет данных2014.07Описание проекта
- Драйв Клик Банк (ранее Сетелем Банк)
Без привлечения консультанта или нет данных2014.06Описание проекта
- ВымпелКом ПАО
Без привлечения консультанта или нет данных2014.04Описание проекта
- Банк Зенит
Без привлечения консультанта или нет данных2014.04Описание проекта
- Нордеа Банк (Nordea)
Без привлечения консультанта или нет данных2014.04Описание проекта
- ИнвестТрастБанк - Банк ИТБ
Без привлечения консультанта или нет данных2014.02Описание проекта
- Росавтобанк
Без привлечения консультанта или нет данных2014.02Описание проекта
- Уралсиб ФК
Без привлечения консультанта или нет данных2014.01Описание проекта
- МТС Банк
Без привлечения консультанта или нет данных2014.01Описание проекта
- Ренессанс Кредит
Без привлечения консультанта или нет данных2013.11Описание проекта
- Траст Банк непрофильных активов (Национальный банк Траст)
Без привлечения консультанта или нет данных2013.11Описание проекта
- МДМ Банк
Без привлечения консультанта или нет данных2013.11Описание проекта
- Петрокарт (Petrocard)
Iiii Tech (Форайз) ранее TietoEvry Россия, Tieto Россия2013.10Описание проекта
- Росбанк
Без привлечения консультанта или нет данных2013.03Описание проекта
- Уральский Банк Реконструкции и Развития (УБРиР)
Без привлечения консультанта или нет данных2013.01Описание проекта
- Промсвязьбанк (ПСБ)
Без привлечения консультанта или нет данных2011.05Описание проекта
- Балтийский банк
Без привлечения консультанта или нет данных2003.11Описание проекта
- ФОРА-Банк
Без привлечения консультанта или нет данных---Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (55)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (32)
  Другие (848)

  Card Security (Кард Сек) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  СэйфТек (SafeTech) (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Солар (ранее Ростелеком-Солар) (2)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (3)
  ОКТРОН (3)
  Другие (54)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (2)
  СэйфТек (SafeTech) (2)
  МСС Международная служба сертификации (2)
  Другие (39)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 56)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (470, 229)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Konica Minolta (Коника Минолта) (1, 1)
  Shenzhen Chainway Information Technology (1, 1)
  ГК ОТР (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  СэйфТек (SafeTech) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  IT-Lite (АйТи Лайт) (1, 1)
  Другие (2, 2)

  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  1IDM (АйТи Солюшнз) (1, 1)
  Right line (Райт лайн) (1, 1)
  VK (ранее Mail.ru Group) (1, 1)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  PayControl - 23
  3-D Secure (3D-Secure) - 23
  Avanpost IDM Access System - 20
  Другие 270

  PayControl - 3
  МегаФон Мобильный ID - 2
  Shenzhen Chainway C-серия RFID-считывателей - 1
  Konica Minolta Dispatcher Suite - 1
  ОТР.Опора - 1
  Другие 3

  Indeed Access Manager (Indeed AM) - 6
  Indeed PAM - Indeed Privileged Access Manager - 2
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Solar webProxy Шлюз веб-безопасности - 1
  PayControl - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Aladdin 2FA - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Другие 7

  PayControl - 3
  Shenzhen Chainway C-серия RFID-считывателей - 2
  Indeed Access Manager (Indeed AM) - 1
  Multifactor Сервис многофакторной аутентификации - 1
  EPlat4m Security GRC - 1
  Другие 7

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (18)
  SearchInform (СёрчИнформ) (16)
  Национальное бюро кредитных историй (НБКИ) (16)
  Инфосистемы Джет (9)
  Experian (8)
  Другие (158)

  Центр Финансовых Технологий (ЦФТ) (2)
  Солар (ранее Ростелеком-Солар) (1)
  F.A.C.C.T. (ранее Group-IB в России) (1)
  GlowByte, ГлоуБайт (ранее Glowbyte Consulting, ГлоуБайт Консалтинг) (1)
  SAS Россия (САС Институт) (1)
  Другие (6)

  Солар (ранее Ростелеком-Солар) (3)
  SearchInform (СёрчИнформ) (2)
  VisionLabs (ВижнЛабс) (1)
  Диасофт (Diasoft) (1)
  Динамика (Dynamika) Новосибирск (1)
  Другие (0)

  SearchInform (СёрчИнформ) (3)
  Positive Technologies (Позитив Текнолоджиз) (1)
  R-Vision (Р-Вижн) (1)
  RBK Money (1)
  Группа компаний ЦРТ (Центр речевых технологий) (1)
  Другие (3)

  SearchInform (СёрчИнформ) (8)
  Positive Technologies (Позитив Текнолоджиз) (3)
  БПС Инновационные программные решения (ранее БПЦ Банковские технологии) (2)
  Softline (Софтлайн) (1)
  Лаборатория Касперского (Kaspersky) (1)
  Другие (1)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Visa International (4, 27)
  Инфосистемы Джет (5, 25)
  Солар (ранее Ростелеком-Солар) (2, 20)
  FICO (4, 18)
  SearchInform (СёрчИнформ) (2, 17)
  Другие (184, 141)

  Центр Финансовых Технологий (ЦФТ) (2, 2)
  SAS Institute Inc (1, 1)
  Диасофт (Diasoft) (1, 1)
  Корп Софт (CorpSoft24) (1, 1)
  Сбербанк (1, 1)
  Другие (5, 5)

  Солар (ранее Ростелеком-Солар) (1, 3)
  SearchInform (СёрчИнформ) (1, 2)
  VisionLabs (ВижнЛабс) (1, 1)
  Динамика (Dynamika) Новосибирск (1, 1)
  Диасофт (Diasoft) (1, 1)
  Другие (0, 0)

  SearchInform (СёрчИнформ) (1, 3)
  R-Vision (Р-Вижн) (1, 1)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  Positive Technologies (Позитив Текнолоджиз) (1, 1)
  Другие (1, 1)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (1, 3)
  БПС Инновационные программные решения (ранее БПЦ Банковские технологии) (1, 2)
  Лаборатория Касперского (Kaspersky) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  3-D Secure (3D-Secure) - 23
  Solar JSOC - 19
  СёрчИнформ SIEM - 17
  НБКИ-AFS (Anti-Fraud Service) - 12
  FICO Capstone Decision Accelerator (CDA) - 9
  Другие 136

  Сбер: Антифрод-система - 1
  SAS Anti-Money Laundering (SAS AML) - 1
  Jet Detective - 1
  Diasoft Digital Q.Risk&Compliance - 1
  ЦФТ FRAMOS - 1
  Другие 6

  Solar JSOC - 3
  СёрчИнформ SIEM - 2
  Dynamika-Финансовый мониторинг - 1
  Diasoft Digital Q.Risk&Compliance - 1
  VisionLabs Luna Pass - 1
  Другие 0

  СёрчИнформ SIEM - 3
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 1
  Solar AURA (Audit & Risk Assessment) - 1
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  R-Vision Threat Intelligence Platform (TIP) - 1
  Другие 1

  СёрчИнформ SIEM - 9
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  БПС: СмартВиста Система предотвращения мошенничества - 2
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  Другие 0