3D Biztonságos

A 3-D Secure egy protokoll, amelyet további biztonsági rétegként használnak az online hitel- és betéti kártyákhoz a kétfaktoros felhasználói hitelesítéshez .

A technológiát a Visa fizetési rendszerhez fejlesztették ki a Verified by Visa (VbV) szolgáltatáson belüli online fizetések biztonságának javítása érdekében . Az ezen a protokollon alapuló szolgáltatásokat a Mastercard fizetési rendszerek Mastercard SecureCode (MSC) néven, a JCB International pedig J/Secure néven , AmEx mint SafeKey , Mir ( NSPK ) Mir Accept néven fogadták el.. Az American Express 2010. november 8-án hozzáadta a 3-D Secure-t American Express biztonságos kulcsként bizonyos piacokon, és további piacokon folytatja a bevezetését. A Mir fizetési rendszer kezdetben a VISA-tól engedélyezte a protokoll első verziójának megvalósítását. 2016-ban a Mir önállóan bevezette a 3D-Secure 2.0 támogatását, és MirAccept néven megkezdte annak biztosítását [1] .

A 3-D Secure egy újabb hitelesítési lépést ad az online fizetésekhez, lehetővé téve a kereskedők és bankok számára, hogy a csalárd tranzakciók elleni védelem érdekében ellenőrizzék, hogy a kártyabirtokos fizet-e [2] .

A 3-D Secure kódot nem szabad összetéveszteni a kártya hátoldalára nyomtatott CVV2 vagy CVC2 kóddal.

A 3-D Secure nem jelenti a kártyán lévő pénz abszolút védelmét a CNP műveletek során ( kártya nincs jelen ), például egy egyszeri kódot elkaphatnak a számítógépes vírusok. Emellett nem minden bank támogatja a 3-D Secure technológiát, így sok áruért és szolgáltatásért minden visszaigazoló kód nélkül lehet kártyával fizetni, ami korlátozza ennek a technológiának a hatékonyságát az átmeneti időszakban [3] .

2016 júliusában a 3D-Secure-t 195 ország bankja támogatta [4] .

Leírás a felhasználó szemszögéből

A 3-D Secure-t támogató bank kártyabirtokosa számára az online fizetési folyamat során a korábban szükséges adatok mellé egy további kérés is hozzáadódik a kártyahasználat megerősítésére, amely általában a felhasználó átirányításával jelenik meg. egy új oldalra, amely vagy a kártyakibocsátó bank címén , vagy egy iframe-ben jelenik meg [5] [6] . Ezt az engedélyezési oldalt az ACS (access control server) komponens jeleníti meg, amely a kártyakibocsátó bank oldalán található.

A birtokosnak minden tranzakciónál meg kell adnia a bank által biztosított visszaigazoló kódot, leggyakrabban a kártyához kapcsolódó mobiltelefonszámra küldött SMS-ben [7] [4] . A fizetési visszaigazoló kód beszerzésének egyéb lehetőségei is lehetségesek, például mikroprocesszoros kártyák egyszeri kódkártyáról; egy speciális eszközről, amely frissített pszeudo-véletlen kódokat generál [7] [4] . Számos bank a szokásos állandó jelszavak rendszerét használja, vagyis a felhasználó egyszer (regisztráció során) állítja be a jelszót, és minden internetes fizetéskor adja meg. Ez a módszer kevésbé megbízható, mint az egyszeri megerősítő kód. A 3-D Secure kód formátuma a kibocsátó banktól függően változhat. Általában 4-10 betűből és számból áll. Az egyszeri jelszóval ellátott megoldások 6-8 számjegyből állnak [8] .

A beírt kód helyességének ellenőrzése után az ACS (access control server) ellenőrzi a beírt biztonsági kód helyességét [9] [4] , visszairányítja a felhasználót annak a fizetési szolgáltatásnak vagy üzletnek az oldalára, ahonnan a kezdeti átirányítás történt. helyen, és ezzel egyidejűleg a fizetési rendszeren keresztül továbbítja azt a banki visszaigazolásnak az elfogadó felé, hogy a tranzakció (nem)engedélyezett. Ezt követően az elfogadó bank végrehajtja a műveletet, a vevő kártyájáról pénzeszközöket von le / zárol, vagy megtagadja a műveletet.

A 3-D Secure 2.0 és 3.0 protokoll későbbi verzióiban. [10] , az ellenőrzési eljárást továbbfejlesztették, és nem minden művelethez kérik a kódot. Egyes tranzakciók kérési kísérlet nélkül valósulnak meg, a tranzakciós mód kiválasztása a bank saját kockázatkezelése és/vagy kereskedelmi és szolgáltató vállalkozása alapján történik. Ez növeli a kereskedő ügyfelek konverzióját, mivel egyes vásárlások fizetési nehézségek miatt nem fejeződnek be, és a további titkos kód folyamatos kérése elkerülhetetlenül növeli a folyamat bonyolultságát és a vevő korai megszakításának valószínűségét.

Biztonsági problémák

A kártyabirtokosnak figyelembe kell vennie, hogy a 3-D Secure további SMS-sel vagy bejelentkezési és jelszóval történő hitelesítési lépéssel visszaigazolás nélkül is tud fizetni az interneten, ami nagyon komoly problémákat okoz az ügyfél bankkártyáján lévő pénzeszközök biztonságával kapcsolatban.

Ha az online áruház nem támogatja a 3-D Secure technológiát (az online áruház honlapján nem jelenik meg a Verified by Visa és a Mastercard SecureCode logó ), bankkártyás vásárláshoz ki kell választania a vásárlást és fizetés az online áruház által kért kártyaadatok megadásával. Ebben az esetben fizetését nem védi a technológia [11] .

Ezért ez azt jelenti, hogy az ilyen online áruházban történő fizetés SMS-ben vagy bejelentkezési és jelszó megadása nélkül, csak a magán a kártyán feltüntetett megadott kártyaadatokkal (kártya típusa, száma és futamideje, a tulajdonos neve és három -számjegyű CVV2 , amely a hátoldalon lévő térképre van nyomtatva).

Fontos tehát, hogy a banki ügyfél megértse, hogy ha a kártyáján engedélyezett az interneten keresztüli fizetés, és még akkor is, ha a kártyán további 3-D Secure védelem is engedélyezve van , akkor ennek ellenére abszolút mindenki, akinek lehetősége volt rá, megtekintheti és emlékezhet a bankkártyára nyomtatott adatokra, fizethet ezzel a kártyával olyan online áruházakban, amelyek nem támogatják a 3-D Secure-t, és ezek a fizetések SMS-ben vagy bejelentkezési és jelszóval történő megerősítés nélkül történnek. Számos bankban külön kezelheti a 3-D Secure nélkül végrehajtott tranzakciók limitjét. Egy másik lehetőség a teljes limitek kezelése bank-kliens alkalmazások segítségével, különösen a telefonokon.

Meg kell jegyezni, hogy egy művelet további hitelesítési lépés nélküli végrehajtása (ha a 3-D Secure támogatott ) azt jelzi, hogy az ilyen műveletre „ felelősségváltás ” vonatkozik , azaz a kibocsátó bank vitathatja a műveleteket, és visszaküldheti a pénzt a banknak. kártyabirtokos (ha azt kellő időben alkalmazzák).

A protokoll alapvető szempontjai

A protokoll alapkoncepciója, hogy online hitelesítést adjon a pénzügyi engedélyezési folyamathoz. Ez a hitelesítés a három tartomány elvén alapul (ezért a névben a 3-D) :

Elfogadó domain (az eladó és a bank domainje, ahová a pénzt utalják);
Kibocsátó domain (a kártyát kibocsátó bank domainje);
Interoperabilitási tartomány (a fizetési rendszer által biztosított tartomány ( Mastercard , Visa stb.) a 3-D Secure protokoll támogatására).

Felelősség átruházása

A szokásos (a 3-D Secure által nem védett) tranzakciók során a „ kereskedő ” felelős az ellopott kártyákkal végzett műveletekért – az a kereskedelmi és szolgáltató cég, amelynek honlapján egy termék/szolgáltatás vásárlása lopott kártyával történt, feltéve, hogy nem támogatja ezt a technológiát.

A 3-D Secure használata esetén az úgynevezett „felelősségváltás” ( felelősségváltás ) történik, amikor a felelősség átszáll a kártyát kibocsátó bankra, vagy magára az ügyfélre.

Jegyzetek

↑ PLUSworld ru-banking lakossági, pénzügyi szolgáltatások és fizetési piac. A Mir kártyák a Visától független 3D Secure 2.0 technológiát kapnak » . Plusworld.ru: fintech, lakossági banki szolgáltatások, pénzügyi szolgáltatások és fizetési piac (2016. július 18.). Hozzáférés időpontja: 2021. október 21. (Orosz)
↑ 3D-Secure // Anyagok alapján . (Orosz)/ Bank Encyclopedia. 2013.
↑ Hová repül a pénz 2015. május 18-i archív példány a Wayback Machine -en / Banki.ru, 2014.05.26.
↑ 1 2 3 4 Banki.ru .
↑ MasterCard SecureCode . MasterCard (2014. június 17.). Letöltve: 2020. április 24. Az eredetiből archiválva : 2021. július 2. (határozatlan)
↑ Churikov L. 3D-Secure: ki védekezik? . Banki.ru (2012. november 14.). Letöltve: 2020. április 24. Az eredetiből archiválva : 2021. május 18. (határozatlan)
↑ 1 2 Steven J. Murdoch, Ross Anderson. Verified by Visa és MasterCard SecureCode: Vagy, Hogyan ne tervezzünk hitelesítést // Pénzügyi kriptográfia és adatbiztonság / Radu Sion. – Berlin, Heidelberg: Springer, 2010. – P. 336–342 . - ISBN 978-3-642-14577-3 . - doi : 10.1007/978-3-642-14577-3_27 . Az eredetiből archiválva : 2022. január 21.
↑ MasterCard, 2014 , A-1.
↑ Ablekov V., Moroz M. Protokollok a fizetési rendszerek biztonságának biztosítására . 3D Biztonságos . cryptowiki.net (2013. október 13.) . Letöltve: 2020. április 24. Az eredetiből archiválva : 2020. november 24. (határozatlan)
↑ [1] Archiválva : 2016. december 11. a Wayback Machine EMV 3D Secure 2.0 -ban
↑ Alfa-bank. Vásárlás Visa/MasterCard kártyával, ha az online áruház nem támogatja a Verified by Visa/MasterCard SecureCode technológiát . Feljegyzés az ALFA-BANK OJSC által kibocsátott kártyák használatáról áruk és szolgáltatások internetes fizetésére . Alfa Bank. Letöltve: 2015. április 23. Az eredetiből archiválva : 2014. február 21.. (határozatlan)

Linkek

Verified by Visa Archiválva : 2013. február 15. a Wayback Machine -nél
Visa 3-D biztonságos fizetési program
A Visa 3-D Secure specifikációi
Mastercard SecureCode archiválva : 2010. október 13. a Wayback Machine -nél
Hogyan működik a 3D-Secure? Archivált : 2013. január 17. a Wayback Machine -nél
Leonyid CSURIKOV. 3D-Secure: ki védekezik? Archív másolat 2013. december 16-án a Wayback Machine -nél // Banki.ru, 2012.11.14.
3D Secure 2.0 a biztonságos online vásárláshoz
3D Secure, az interneten keresztüli kártyás fizetések engedélyezési protokollja . Banki.ru Letöltve: 2020. április 24. Az eredetiből archiválva : 2020. augusztus 7.. (határozatlan)

Szabványok és dokumentáció

MasterCard SecureCode . MasterCard (2014. június 17.). Letöltve: 2020. április 24. Az eredetiből archiválva : 2021. július 2. (határozatlan)
3D Secure by Visa . usa.visa.com. Letöltve: 2020. április 24. Az eredetiből archiválva : 2020. május 4.
EMV® 3-D Secure (angol) . EMV Zrt. Letöltve: 2020. április 24. Az eredetiből archiválva : 2020. május 2.
XML specifikáció: 3D Secure . Biztonságos kereskedés (2019. június 4.). Hozzáférés időpontja: 2020. április 24. (határozatlan)
3D Secure: Áttekintés . Braintree fejlesztő . Letöltve: 2020. április 24. Az eredetiből archiválva : 2020. április 6.. (határozatlan)
Christopher Rotsaert. Tranzakció kezelésének módja, a megfelelő szerver, számítógépes programtermék és adathordozó (Mag.) (2019. május 7.). Letöltve: 2020. április 24. Az eredetiből archiválva : 2020. július 3.

Bankkártyák
Kártyatípusok	Banki fizetési kártya ( hitelkártya betéti kártya elszámolási kártya )
Globális fizetési rendszerek	Vízum MasterCard American Express cirrus JCB UnionPay
Helyi fizetési rendszerek, beleértve a zártakat is	Altyn Asyr Belkart Arany Korona Világ Transznisztria Kiterjedés Örmény kártya Banelco BC kártya Carte Blue Dankort Diners Club Felfedez Girocard HUMO Interac Qiwi RuPay Uzcard V Fizetés Hozzáférés Bank kártya Választás Korlátozás nélküli felhatalmazás útvonalon Eurocard Lézer Minden Szóló STB kártya kapcsoló szakszervezeti kártya Korti Milli Shetab Isracard Pro100
Főbb hitelkártyák	Világ Vízum MasterCard JCB
Főbb betéti kártyák	Világ Betéti Mastercard Mester Visa Debit Visa Electron
Bankkártyák kibocsátása	Kibocsátó bank Dombornyomott kártya Mágnescsíkos kártya Intelligens kártya (chippel) Érintés nélküli kártya ( MasterCard Contactless Visa payWave )
Bankkártyák elfogadása	ATM POS terminál Imprinter mPOS Megszerzése
Kapcsolódó fogalmak	Banki tranzakció Bankkártyás fizetési rendszerek Feldolgozó központ Fizetési rendszer A fizetési rendszer üzemeltetőinek nyilvántartása
Biztonság	CVV2 3D Biztonságos EMV Kártolás CNP műveletek