3-D Secure

Продукт
Разработчики: Visa International
Отрасли: Финансовые услуги, инвестиции и аудит
Технологии: ИБ - Аутентификация,  ИБ - Система обнаружения мошенничества (фрод)

Содержание

3-D Secure - протокол обработки Интернет-транзакций, разработка компании Visa. Система 3D Secure при покупке через интернет верифицирует клиента с помощью динамического кода, который отправляется через SMS. Лицензией на использование этой технологии также обладает MasterCard, у которой есть свой сервис защиты SecureCode.

Назначение протокола - обеспечение безопасности Интернет-платежей, выполняемых с использованием кредитных или дебетовых карт. Другое его наименование Verified by Visa - в терминологии Visa, или SecureCode в терминологии MasterCard.

3-D Secure - торговая марка корпорации VISA.

Протокол 3D Secure, используется платежными системами под логотипами Verified by Visa и MasterCard SecureCode и обеспечивает держателям карт возможность аутентификации через свой банк-эмитент при совершении онлайн-покупок через веб-браузеры на персональных компьютерах.

Задачи

Цель использования 3-D Secure - упрощение обслуживания карточных транзакций через интернет с одновременным повышением безопасности их проведения.

Система трёх доменов

Модель 3-D Secure реализована на основе трёх доменов, в которых происходит порождение и проверка транзакций:

  • домен Эмитента, в составе которого Держатель карты и Банк, выпускающий карты.
  • домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
  • домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими доменами. В его ведении сети и сервисы карточных ассоциаций.


Домены независимы в своих правах и являются важной составной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Каждому домену определена собственная сфера ответственности в проведении транзакций:

  • В домене эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
  • В домене эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
  • В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.

Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:

  • Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
  • Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.

Компоненты архитектуры 3-D Secure

В архитектуре 3-D Secure реализован набор специальных серверов для обслуживания потока транзакций во время его жизненного цикла:

  • В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
  • В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
  • В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
  • В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.

2021: Visa и Mastercard введут комиссии за использование технологии 3D Secure

Международные платежные системы Visa и MasterCard сделают сервис по подтверждению транзакций 3D Secure платным для банков. Подробнее здесь.

2020: Переход российских банков на 3D Secure 2.0

В конце июля 2020 года стало известно о том, что банки в России внедрили новый стандарт безопасности 3D Secure 2.0, в связи с чем начали разрешать делать покупки в интернете без SMS-кода.

Как рассказали «Известиям» в Национальной системе платежных карт (НСПК), технологию 3D Secure 2.0 для карт «Мир» подключили 140 банков, а остальные кредитные организации проходят сертификацию. Новую систему также вводят для Visa и MasterCard.

Держателям карт «Мир» разрешили совершать покупки в интернете без СМС

Система 3D Secure 2.0 определяет часть операций как низкорисковые и не требует проверки. Она призвана улучшить и ускорить процесс совершения покупок — клиенту не придется ждать подтверждения сообщением. При этом, обещано сохранение должного уровня кибербезопасности

Технология ориентирована на удобство и безопасность совершения платежей не только через web-браузер, но и непосредственно в приложениях различных сервисов в мобильном устройстве. В новой версии также реализована удобная поддержка аутентификации пользователей при оформлении регулярных платежей, подписок на различные сервисы, пояснил изданию представитель «Мира».[1]TAdviser выпустил Гид по российским операционным системам 10.8 т

Протокол безопасности нового уровня - это попытка найти разумный компромисс между безопасностью и удобством, считает директор по методологии и стандартизации Positive Technologies Дмитрий Кузнецов. С одной стороны, стандарт поддерживает несколько механизмов верификации плательщиков: наряду с паролями на усмотрение банка-эмитента могут использоваться биометрия и криптография. Но с другой, в некоторых регионах мира даже первая версия стандарта - с подтверждением только с помощью кода из SMS - привела к заметному снижению числа покупок.

Президент Национальной финансовой ассоциации Василий Заблоцкий говорит, что переход на 3D Secure 2.0 поможет банкам сэкономить до 30–80% расходов на SMS и направить сэкономленные средства на развитие бизнеса или в прибыль.

2019: Уязвимость при оплатах банковскими картами онлайн

20 сентября 2019 года компания ChronoPay предупредила о возможности подмены данных получателя платежа при некоторых операциях в процессе оплаты онлайн банковской картой из-за особенностей протокола 3D Secure (3DS). За счет уязвимости в запросе на аутентификацию плательщика (PAReq) злоумышленники могут ввести потребителя в заблуждение, подменив данные получателя платежа на странице подтверждения транзакции.

По информации компании, протокол 3DS используется при приеме онлайн-платежей по банковским картам. Для того, чтобы удостовериться, что оплату производит владелец счета, в дополнение к данным банковской карты необходим также код подтверждения, который приходит на привязанный к карте номер мобильного телефона в SMS. Покупатель вводит код подтверждения на отдельной странице, на которой мошенник может подделать данные о получателе. Метод 3DS был разработан для защиты от кражи данных пластиковых карт и не предусматривает противодействия онлайн-мошенничеству со стороны самих получателей платежей.

Как удалось выяснить специалистам ChronoPay, проблема заключается в отсутствии защиты запроса на аутентификацию плательщика PAReq. При оформлении заказа в интернет-магазине, оплате государственных пошлин или заказе услуг такой запрос передается в банк в виде простой адресной строки в браузере. В текущей версии 3DS она не шифруется криптографически и не проверяется платежной системой. Злоумышленникам не сложно подменить любые данные в строке запроса и ввести покупателя в заблуждение на странице подтверждения платежа.

«
В сети все больше мошеннических сайтов, которые выдают себя за известных поставщиков услуг, государственные службы или фирменные интернет-магазины. Уязвимость в запросах PAReq протокола 3DS позволяет убедить потребителя в том, что он проводит платеж в пользу определенной организации. Данные на странице подтверждения платежа могут быть подменены. Мошенники активно используют методы социальной инженерии, убеждая клиента как можно быстрее совершить платеж на их сайте. Мы рекомендуем пользователям быть предельно внимательными при проведении онлайн-платежей.

рассказал Павел Врублевский, генеральный директор процессинговой компании ChronoPay
»

Чтобы обезопасить себя от мошенничества потребителям стоит проявлять дополнительную бдительность. Эксперты по безопасности ChronoPay рекомендуют:

  • Проверять адрес интернет-магазина, в котором вы собираетесь совершить покупку (мошенники часто выбирают похожие адреса). Особенно если сайт пестрит распродажами, которые заканчиваются через несколько минут.
  • Не совершать покупки по ссылкам из писем электронной почты — вместо этого самостоятельно находить легитимный сайт в поисковой системе.

Информация о данной уязвимости была передана представителям ФинЦЕРТ. Специалисты рассчитывают, что уязвимость будет исправлена в версии 3DS 2.0, переход на которую ожидается в ближайшее время. Пока же эксперты из ChronoPay рекомендуют плательщикам быть внимательными при совершении операций онлайн-оплаты.

2016: 3D Secure версии 2.0

3D-Secure от международной платежной системы Visa, который требует дополнительного пароля при карточном онлайн-платеже, начал изживать себя. Развитие мобильных устройств и электронной коммерции требует повышенной скорости, удобства и безопасности онлайн-платежей. По этой причине, а также из желания избавиться от Visa, ряд крупнейших платежных систем, банков и компаний электронной коммерции, объединившиеся в международный консорциум EMVСо, в прошлом году объявили о планах разработать собственную версию технологии защиты карточных платежей — 3D-Secure 2.0.

Среда электронной коммерции существенно изменилась за годы её существования, и EMVco готовит 3D Secure версии 2.0, стремясь внести свой вклад в создание глобальной операционно-совместимой и максимально удобной среды для пользователей таких новых средств и способов оплаты, как мобильные телефоны и покупки из приложений.

Выпуск документации запланирован на первую половину 2017 года, при этом Visa сообщает, что со своей стороны уже предпринимает необходимые шаги к тому, чтобы Verified by Visa и служба аутентификации держателей карт была готова ещё до начала промышленного запуска к середине следующего года.

Однако гигант индустрии пластиковых карт уточняет, что для предоставления всем заинтересованным организациям достаточного времени для внедрения новых продуктов и услуг, компания воздержится от применения определенных правил – таких, как защита от мошеннических возвратных платежей (чарджбэков) применительно к транзакциям 3D Secure 2.0 – до даты активации программы.

Даты активации будут варьироваться по регионам. В Европе, где 3D Secure первой версии работает уже практически повсеместно, внедрение версии 2.0, скорее всего, состоится в апреле 2018 года, но сроки для других рынков еще не определены.

Основное отличие 3D-Secure 2.0 от первой версии заключается в том, что решение о подтверждении платежной операции будет приниматься на основании новых параметров. В частности, в расчет будут браться данные устройства, с которого совершается платеж, настройки браузера, IP-адрес, e-mail и другие. Кроме того, для аутентификации будет использоваться интеллектуальный механизм принятия решения на основе анализа поведенческой активности пользователя

Смотрите также: «Мир» приступил к тестированию 3D-Secure 2.0

2014: Visa и MasterCard убирают пароли для 3D Secure

Visa и MasterCard объявили в ноябре 2014 года о планах устранить необходимость парольной аутентификации в платформах Verified by Visa и SecureCode, которые разработаны для того, чтобы добавить дополнительный уровень безопасности к онлайн-транзакциям[2].

В пресс-релизе MasterCard объявила, что особенностью обновленной системы 3D Secure, которая заменит текущую систему в этом году, будет работа с «более обширными данными о держателях карты», чтобы сократить парольные задержки в платежном процессе. В случае если требуется запрос аутентификации, MasterCard планирует заменить статический пароль одноразовыми паролями и биометрией по отпечатку пальца. MasterCard также проводит коммерческие испытания приложений распознавания лица и голоса для использования их в качестве аутентификаторов в будущем и браслетов для аутентификации по сердечному ритму.

Threatpost запросил у MasterCard разъяснение о том, что компания имела в виду под «более обширными данными держателя карты», но на время публикации ответа не получил.

3D Secure — платежный протокол без предъявления карты, разработанный Visa и внедренный рядом других платежных компаний. Он был разработан, чтобы решить растущую проблему мошеннических покупок, совершаемых онлайн. Когда пользователь Verified by Visa и SecureCode передает торговцу информацию о карте, торговец пересылает платежные данные Visa или MasterCard. Платежная компания отправляет iframe, который предъявляет пользователю дополнительную форму парольной аутентификации. Если клиент вводит корректный пароль, торговец получает авторизационный код для проведения транзакции.

При этом протокол 3D Secure подвергается критике из-за того, что требует от пользователей запоминания очередного сложного пароля, а также за свой интерфейс, который часто ошибочно принимают за фишинговую схему.

«Все мы хотим платежную процедуру, которая была бы безопасной и в то же время простой, а не одно из двух, — сказал Аджей Бхалла (Ajay Bhalla), президент MasterCard по вопросам безопасности. — Мы собираемся идентифицировать людей по тому, кем они являются, а не по тому, что они помнят. Мы должны помнить слишком много паролей, это создает дополнительные проблемы для клиентов и бизнеса».

Смотрите также

  • Assist Antifraud - интеллектуальная система противодействия мошенничеству для использования в рамках интернет-магазина.

Платежные системы и сервисы





ПРОЕКТЫ (23) ПРОЕКТЫ НА БАЗЕ (4) ИНТЕГРАТОРЫ (4)
РЕШЕНИЕ НА БАЗЕ (2) СМ. ТАКЖЕ (53) ОТРАСЛИ (4)
ГЕОГРАФИЯ

ЗаказчикИнтеграторГодПроект
- Assist (Ассист)
Без привлечения консультанта или нет данных2019.11Описание проекта
- Банк Открытие (ФК Открытие)
Без привлечения консультанта или нет данных2016.09Описание проекта
- Приват-Трейд (KupiVIP.ru)
ChronoPay (Хронопэй)2016.05Описание проекта
- Интерактивный Банк (iBank)
МультиКарта2014.10Описание проекта
- ВТБ Украина
Без привлечения консультанта или нет данных2014.09Описание проекта
- Банк Гагаринский
Без привлечения консультанта или нет данных2014.07Описание проекта
- Драйв Клик Банк (ранее Сетелем Банк)
Без привлечения консультанта или нет данных2014.06Описание проекта
- Нордеа Банк (Nordea)
Без привлечения консультанта или нет данных2014.04Описание проекта
- ВымпелКом ПАО
Без привлечения консультанта или нет данных2014.04Описание проекта
- Банк Зенит
Без привлечения консультанта или нет данных2014.04Описание проекта
- ИнвестТрастБанк - Банк ИТБ
Без привлечения консультанта или нет данных2014.02Описание проекта
- Росавтобанк
Без привлечения консультанта или нет данных2014.02Описание проекта
- МТС Банк
Без привлечения консультанта или нет данных2014.01Описание проекта
- Уралсиб ФК
Без привлечения консультанта или нет данных2014.01Описание проекта
- МДМ Банк
Без привлечения консультанта или нет данных2013.11Описание проекта
- Ренессанс Кредит
Без привлечения консультанта или нет данных2013.11Описание проекта
- Траст Банк непрофильных активов (Национальный банк Траст)
Без привлечения консультанта или нет данных2013.11Описание проекта
- Петрокарт (Petrocard)
Iiii Tech (Форайз) ранее TietoEvry Россия, Tieto Россия2013.10Описание проекта
- Росбанк
Без привлечения консультанта или нет данных2013.03Описание проекта
- Уральский Банк Реконструкции и Развития (УБРиР)
Без привлечения консультанта или нет данных2013.01Описание проекта
- Промсвязьбанк (ПСБ)
Без привлечения консультанта или нет данных2011.05Описание проекта
- Балтийский банк
Без привлечения консультанта или нет данных2003.11Описание проекта
- ФОРА-Банк
Без привлечения консультанта или нет данных---Описание проекта



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (55)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (36)
  Информзащита (32)
  Другие (848)

  Национальный аттестационный центр (НАЦ) (4)
  Card Security (Кард Сек) (4)
  СэйфТек (SafeTech) (3)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (52)

  Индид, Indeed (ранее Indeed ID) (8)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  TUV Austria (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Уральский центр систем безопасности (УЦСБ) (3)
  Inspect (3)
  Другие (53)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  СэйфТек (SafeTech) (2)
  МСС Международная служба сертификации (2)
  Сканпорт АйДи (Scanport) (2)
  Другие (40)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 56)
  СэйфТек (SafeTech) (6, 38)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (471, 229)

  СэйфТек (SafeTech) (1, 3)
  МегаФон (1, 2)
  Samsung Electronics (1, 1)
  Аладдин Р.Д. (Aladdin R.D.) (1, 1)
  Konica Minolta (Коника Минолта) (1, 1)
  Другие (3, 3)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  СэйфТек (SafeTech) (1, 1)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  RooX Solutions (Рукс Солюшенс) (1, 1)
  Другие (2, 2)

  СэйфТек (SafeTech) (1, 3)
  Shenzhen Chainway Information Technology (1, 2)
  Спейсбит (Spacebit) (1, 1)
  IT-Lite (АйТи Лайт) (1, 1)
  АТ бюро (ESMART) (1, 1)
  Другие (7, 7)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  PayControl - 23
  3-D Secure (3D-Secure) - 23
  Avanpost IDM Access System - 20
  Другие 270

  PayControl - 3
  МегаФон Мобильный ID - 2
  JaCarta Authentication Server (JAS) - 1
  ОТР.Опора - 1
  Multifactor Сервис многофакторной аутентификации - 1
  Другие 3

  Indeed Access Manager (Indeed AM) - 6
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Indeed PAM - Indeed Privileged Access Manager - 2
  Avanpost IDM Access System - 1
  Solar webProxy Шлюз веб-безопасности - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Aladdin 2FA - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Другие 7

  PayControl - 3
  Shenzhen Chainway C-серия RFID-считывателей - 2
  МТС ID - 1
  1IDM - Управление учетными записями и правами доступа - 1
  Spacebit X-Control АОКЗ (Система автоматизации органов криптографической защиты) - 1
  Другие 7

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Солар (ранее Ростелеком-Солар) (18)
  SearchInform (СёрчИнформ) (16)
  Национальное бюро кредитных историй (НБКИ) (16)
  Инфосистемы Джет (9)
  Experian (8)
  Другие (158)

  Центр Финансовых Технологий (ЦФТ) (2)
  SAS Россия (САС Институт) (1)
  SearchInform (СёрчИнформ) (1)
  Диасофт (Diasoft) (1)
  Инфосекьюрити (Infosecurity) (1)
  Другие (6)

  Солар (ранее Ростелеком-Солар) (3)
  SearchInform (СёрчИнформ) (2)
  Диасофт (Diasoft) (1)
  Динамика (Dynamika) Новосибирск (1)
  VisionLabs (ВижнЛабс) (1)
  Другие (0)

  SearchInform (СёрчИнформ) (3)
  RBK Money (1)
  Группа компаний ЦРТ (Центр речевых технологий) (1)
  Лаборатория Касперского (Kaspersky) (1)
  Ростелеком (1)
  Другие (3)

  SearchInform (СёрчИнформ) (8)
  Positive Technologies (Позитив Текнолоджиз) (3)
  БПС Инновационные программные решения (ранее БПЦ Банковские технологии) (2)
  Softline (Софтлайн) (1)
  Лаборатория Касперского (Kaspersky) (1)
  Другие (1)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Visa International (4, 27)
  Инфосистемы Джет (5, 25)
  Солар (ранее Ростелеком-Солар) (2, 20)
  FICO (4, 18)
  SearchInform (СёрчИнформ) (2, 17)
  Другие (184, 141)

  Центр Финансовых Технологий (ЦФТ) (2, 2)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  SearchInform (СёрчИнформ) (1, 1)
  Инфосистемы Джет (1, 1)
  Лаборатория Касперского (Kaspersky) (1, 1)
  Другие (5, 5)

  Солар (ранее Ростелеком-Солар) (1, 3)
  SearchInform (СёрчИнформ) (1, 2)
  Диасофт (Diasoft) (1, 1)
  VisionLabs (ВижнЛабс) (1, 1)
  Динамика (Dynamika) Новосибирск (1, 1)
  Другие (0, 0)

  SearchInform (СёрчИнформ) (1, 3)
  Positive Technologies (Позитив Текнолоджиз) (1, 1)
  Лаборатория Касперского (Kaspersky) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 1)
  Другие (1, 1)

  SearchInform (СёрчИнформ) (1, 9)
  Positive Technologies (Позитив Текнолоджиз) (1, 3)
  БПС Инновационные программные решения (ранее БПЦ Банковские технологии) (1, 2)
  Лаборатория Касперского (Kaspersky) (1, 1)
  Другие (0, 0)

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2021 год
2022 год
2023 год
Текущий год

  3-D Secure (3D-Secure) - 23
  Solar JSOC - 19
  СёрчИнформ SIEM - 17
  НБКИ-AFS (Anti-Fraud Service) - 12
  FICO Capstone Decision Accelerator (CDA) - 9
  Другие 136

  ЦФТ-AML (Anti-money laundering) - 1
  СёрчИнформ SIEM - 1
  Solar JSOC - 1
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  Diasoft Digital Q.Risk&Compliance - 1
  Другие 6

  Solar JSOC - 3
  СёрчИнформ SIEM - 2
  Dynamika-Финансовый мониторинг - 1
  Diasoft Digital Q.Risk&Compliance - 1
  VisionLabs Luna Pass - 1
  Другие 0

  СёрчИнформ SIEM - 3
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 1
  Solar AURA (Audit & Risk Assessment) - 1
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  R-Vision Threat Intelligence Platform (TIP) - 1
  Другие 1

  СёрчИнформ SIEM - 9
  Positive Technologies: MaxPatrol VM (Vulnerability Management) - 3
  БПС: СмартВиста Система предотвращения мошенничества - 2
  Kaspersky Anti Targeted Attack Platform (KATA) - 1
  Другие 0