CarderPlanet
Professional
Теперь, когда в Великобритании истек крайний срок для обеспечения строгой аутентификации клиентов (SCA), начиная с 14 марта 2022 года, все транзакции, не соответствующие требованиям, будут отклонены.
Но на пути PSD2, когда торговцы и эмитенты путешествуют вместе, является ли производительность 3D Secure (3DS) уже такой, какой нам нужно? Гарантирует ли это безопасные онлайн-покупки, обеспечивая при этом плавный клиентский опыт и оптимизированную конверсию?
Давайте отправимся в путь и выясним.
Давайте оглянемся назад на несколько движущих факторов, которые в первую очередь привели к появлению PSD2.
Одним из этих решающих факторов является рост экономики API. Интерфейсы прикладного программирования (API) позволяют различным системам взаимодействовать друг с другом. API-интерфейсы имеют основополагающее значение для успеха таких компаний, как Amazon, Google, Stripe и т.д., И они способствовали созданию совершенно новых бизнес-моделей, включая финансовые технологии. API предоставляют средства для того, чтобы банковское дело и платежи стали более открытыми, и вместе с этим делают европейский рынок платежей более интегрированным и эффективным.
Затем возникает проблема работы с этими новыми бизнес-моделями – регулирование должно наверстать упущенное. Со времени PSD1 на рынке цифровых платежей наблюдается рост и инновации, на арену выходят новые игроки в сфере финтеха.
PSD2 призван обеспечить стандарты и структуру, позволяя этим новым компаниям получать доступ к банковским счетам клиентов. Благодаря этому они выровняют условия игры как для существующих, так и для новых поставщиков платежных услуг.
Несмотря на многочисленные задержки с внедрением SCA по всей Европе, 1 января 2021 года стало датой, рекомендованной официальным Европейским банковским управлением (EBA) для введения SCA в действие. Однако затем несколько стран опубликовали свои собственные планы внедрения с целым рядом окончательных сроков вплоть до последнего квартала 2021 года.
Из более ранней статьи AirPlus о том, как SCA повлияла на платежную индустрию, мы уже можем сделать вывод, что рост онлайн-платежей за последние пару лет потребовал, чтобы эти платежи без предъявления карты были такими же безопасными, как при традиционной аутентификации по чипу и PIN-коду с помощью пластиковых карт.
Таким образом, ни владельцы карт, ни продавцы не могли обойти эти требования безопасности. Держатели карт стремятся к плавному процессу аутентификации транзакций, в то время как продавцы стремятся поддерживать хороший коэффициент конверсии, не страдая от слишком частых отказов в транзакциях.
Несоблюдение требований подвергает как продавцов, так и поставщиков платежных услуг риску потери объема транзакций – это совершенно очевидно. Но для поставщиков платежных услуг несоблюдение требований влечет за собой более серьезные последствия. Национальные регулирующие органы имеют право налагать штрафы и даже отзывать лицензию поставщика платежных услуг. В отличие от GDPR, здесь не указаны штрафы, и поскольку разные члены ЕЭЗ находятся на разных стадиях внедрения, суммы штрафов также могут различаться.
Mastercard SecureCode, Verified by Visa (VBV), American Express SafeKey, Discover ProtectBuy, Безопасные онлайн-транзакции (SOT), EMV 3-D Secure и Mastercard Identity Check - это лишь некоторые из первых названий этого протокола безопасности с момента его создания в 1999 году.
Одно из самых больших заблуждений относительно оригинальной 3D Secure заключается в том, что она охватывает все типы транзакций электронной коммерции. Но, учитывая, что он был задуман до мобильных и голосовых транзакций, как он мог охватить все современные транзакции электронной коммерции? Вот почему 3D Secure 2.0 был (и остается) так необходим сегодня.
На самом базовом уровне 3D Secure расшифровывается как “Three Domain Secure”, что относится к трем сторонам, участвующим в любом безопасном платеже: эмитенту, получателю и сети, обрабатывающей транзакцию. Visa первой разработала и внедрила стандарты. Позже другие крупные глобальные сети также внедрили их для поддержки эффективной безопасности и аутентификации в растущем пространстве электронной коммерции.
3D Secure 1.0 полагалась на такие функции, как статические пароли, всплывающие окна и регистрация пользователей для проверки подлинности владельцев карт. Однако это создавало барьеры для законных клиентов, приводя к разочарованию и отказу от корзины. Кредитные союзы и банки усилили свои стратегии мошенничества, но это привело к более высокому уровню ложных отказов, что только усилило разочарование клиентов.
Это также не остановило мошенников. Иногда у этих преступников даже хватало информации (и терпения), чтобы выдать себя за клиента и пройти регистрацию в 3D Secure.
Забегая на 20 лет вперед, вполне естественно, что необходимо разработать новый и улучшенный протокол. Если представить некоторые цифры того, насколько сильно 3DS влияет на платежи, то данные за 1 квартал 2019 года показали, что из миллионов платежей 22% отправленных в 3DS были утеряны. Дальнейший анализ показал, что аутентификация 3DS занимала в среднем 37 секунд. 91% платежей вызывали трудности, на аутентификацию уходило более 5 секунд, в то время как показатели принятия в 20 крупнейших мировых банках по объему колеблются в пределах 68-92%.[2]
С октября 2021 года 3DS1 начали выводить из эксплуатации карточными схемами. Продавцы потеряют преимущество переноса ответственности с 3DS1, поэтому важно как можно скорее перейти на более новые версии.
Еще одним ключевым отличием новой версии является объем данных, лежащих в основе каждого решения. С 3DS2 продавцы могут отправлять гораздо больше данных в банк-эмитент, чем с 3DS1. 3D Secure 2.0 извлекает такую информацию, как IP-адрес, адрес доставки, информацию об устройстве и больше информации о самих клиентах, что позволяет эмитентам повышать показатели риска и принимать более эффективные решения по аутентификации. Благодаря дополнительным данным эмитенты могут применять аутентификацию без затруднений для утверждения транзакции, не требуя ввода данных вручную от владельца карты - это называется "поток без затруднений". Эта аутентификация, основанная на риске, станет ключом к тому, чтобы процесс оформления заказа не вызывал затруднений при совершении большинства транзакций с низким уровнем риска от доверенных клиентов. [3]
На приведенном ниже рисунке представлен полный обзор основных стандартов и усовершенствований 3DS2:
Поскольку 3D Secure 2.0 продолжает добавлять новые функции, пользовательский интерфейс, без сомнения, станет еще более плавным и безопасным. Фактически, поскольку обе новые версии 3DS 2.1 и 3DS 2.2 отвечают требованиям соответствия требованиям SCA и защите от мошенничества со стороны продавцов (как и в случае с 3DS1), 3DS2 выделяется тем, что может обеспечить лучшее обслуживание клиентов за счет уменьшения трений.
Транзакции 3D Secure 2.2 уже осуществляются. В Дании был самый высокий процент - 6%, но до того, как эта версия станет доминирующей, еще далеко. Для 3DS 2.2 еще очень рано, но можно увидеть огромное увеличение количества транзакций в 3DS 2.1 по сравнению с 1 кварталом 2021 года. Во всех проанализированных регионах мира количество транзакций в 3DS 2.1 выросло с 16% до 65%. [4]
Показатели успешной аутентификации также значительно возросли. Это может означать, что клиенты становятся более удобными при аутентификации, но также может свидетельствовать о том, что мошенники разработали способы обхода 3DS.
Удивительно, что до сих пор успешно аутентифицированные платежи 3DS2 приводили к сбою авторизации с гораздо большей частотой, чем 3DS1. По словам продавцов, 3DS запускается для транзакций, оплаченных альтернативными способами оплаты, что указывает на то, что что-то пошло не так.[5]
Продавцы также упоминают, что работа по внедрению 3DS2 вызывает у них проблемы, а некоторые говорят, что это самая запутанная ситуация, которую они видели за последние годы. Это может быть причиной частоты отказов при транзакциях 3DS2, когда многие эмитенты спешат с подготовкой и вызывают массовую неразбериху на рынке.
Чтобы добраться до этого пункта назначения 3DS, оснащенного правильным сочетанием успешно внедренных мер безопасности при одновременном обеспечении бесперебойного обслуживания клиентов и максимизации конверсии, эмитентам и продавцам предстоит пройти вместе еще несколько миль.
[1] Руководство кредитного союза по 3D Secure 2.0 - PaymentsJournal
[2] PSD2, надежная аутентификация клиентов и 3D Secure
[3] В чем разница между 3D Secure 1, 2.1 и 2.2?
[4] Отчет о глобальном регулировании платежей и аутентификации за 2022 год – Ravelin
[5] Обновление аутентификации в марте 2021 года: трудный старт для PSD2 по всей Европе
Но на пути PSD2, когда торговцы и эмитенты путешествуют вместе, является ли производительность 3D Secure (3DS) уже такой, какой нам нужно? Гарантирует ли это безопасные онлайн-покупки, обеспечивая при этом плавный клиентский опыт и оптимизированную конверсию?
Давайте отправимся в путь и выясним.
Отправная точка - PSD2
Когда мы говорим о Директиве о платежных услугах 2 (PSD2), мы имеем в виду свод законов и правил для платежных услуг в Европейском союзе (ЕС) и Европейской экономической зоне (ЕЭЗ). Он существует уже некоторое время - он был принят в 2015 году, - но наиболее важные аспекты онлайн-платежей вступали в силу поэтапно, начиная с 2019 года и вплоть до 2022 года.Давайте оглянемся назад на несколько движущих факторов, которые в первую очередь привели к появлению PSD2.
Одним из этих решающих факторов является рост экономики API. Интерфейсы прикладного программирования (API) позволяют различным системам взаимодействовать друг с другом. API-интерфейсы имеют основополагающее значение для успеха таких компаний, как Amazon, Google, Stripe и т.д., И они способствовали созданию совершенно новых бизнес-моделей, включая финансовые технологии. API предоставляют средства для того, чтобы банковское дело и платежи стали более открытыми, и вместе с этим делают европейский рынок платежей более интегрированным и эффективным.
Затем возникает проблема работы с этими новыми бизнес-моделями – регулирование должно наверстать упущенное. Со времени PSD1 на рынке цифровых платежей наблюдается рост и инновации, на арену выходят новые игроки в сфере финтеха.
PSD2 призван обеспечить стандарты и структуру, позволяя этим новым компаниям получать доступ к банковским счетам клиентов. Благодаря этому они выровняют условия игры как для существующих, так и для новых поставщиков платежных услуг.
Ландшафт многофакторной аутентификации
Важной целью PSD2 является обеспечение безопасных онлайн-платежей, и поэтому было введено требование SCA. SCA означает надежную аутентификацию клиента и требует многофакторной аутентификации при всех платежах, инициируемых плательщиком, включая по крайней мере два из следующих методов: что-то, что вы знаете (например, PIN-код или пароль), что-то, что у вас есть (например, телефон или устройство), кем вы являетесь (например, сканирование лица или отпечаток пальца).Несмотря на многочисленные задержки с внедрением SCA по всей Европе, 1 января 2021 года стало датой, рекомендованной официальным Европейским банковским управлением (EBA) для введения SCA в действие. Однако затем несколько стран опубликовали свои собственные планы внедрения с целым рядом окончательных сроков вплоть до последнего квартала 2021 года.
Из более ранней статьи AirPlus о том, как SCA повлияла на платежную индустрию, мы уже можем сделать вывод, что рост онлайн-платежей за последние пару лет потребовал, чтобы эти платежи без предъявления карты были такими же безопасными, как при традиционной аутентификации по чипу и PIN-коду с помощью пластиковых карт.
Таким образом, ни владельцы карт, ни продавцы не могли обойти эти требования безопасности. Держатели карт стремятся к плавному процессу аутентификации транзакций, в то время как продавцы стремятся поддерживать хороший коэффициент конверсии, не страдая от слишком частых отказов в транзакциях.
Несоблюдение требований - это не вариант
Платежные провайдеры и банки также уже некоторое время не могут игнорировать требования SCA. Фактически, они по закону обязаны обеспечивать соблюдение PSD2. Онлайн-компании, которые не выполняют требования SCA, столкнутся с резким снижением ставок и коэффициентов конверсии, поскольку банки-клиенты начнут отклонять платежи без проверки подлинности.Несоблюдение требований подвергает как продавцов, так и поставщиков платежных услуг риску потери объема транзакций – это совершенно очевидно. Но для поставщиков платежных услуг несоблюдение требований влечет за собой более серьезные последствия. Национальные регулирующие органы имеют право налагать штрафы и даже отзывать лицензию поставщика платежных услуг. В отличие от GDPR, здесь не указаны штрафы, и поскольку разные члены ЕЭЗ находятся на разных стадиях внедрения, суммы штрафов также могут различаться.
Впереди выездные дороги – исключения из правил
К счастью, здесь предлагается небольшое облегчение среди всех этих правил. Оно проявляется в виде четырех ключевых исключений из строгой аутентификации клиентов: надежные продавцы, периодические платежи, платежи на сумму менее 30 евро и платежи с низким уровнем риска. Последний метод чаще всего используется в случаях, когда у платежного провайдера низкий уровень мошенничества в пределах установленных лимитов мошенничества PSD2. Они смогут использовать анализ рисков транзакций в режиме реального времени, чтобы подать заявку на освобождение от ответственности от имени своих продавцов для всех платежей с низким уровнем риска до 500 евро.Пристегните ремни безопасности с 3D Secure
3D Secure (3DS) - это дополнительный протокол безопасности для онлайн-платежей по кредитным и дебетовым картам. На самом деле он существует с 1999 года и был разработан задолго до того, как были применены стандарты, ориентированные на мобильные устройства. Протокол впервые появился на свет до того, как объем покупок в приложениях вырос до канала стоимостью 37 миллиардов долларов, до того, как такие устройства, как Amazon Alexa, научились совершать покупки за потребителей и до того, как вообще появилась мобильная коммерция. 1999 год – это еще до появления самого смартфона. [1]Mastercard SecureCode, Verified by Visa (VBV), American Express SafeKey, Discover ProtectBuy, Безопасные онлайн-транзакции (SOT), EMV 3-D Secure и Mastercard Identity Check - это лишь некоторые из первых названий этого протокола безопасности с момента его создания в 1999 году.
Одно из самых больших заблуждений относительно оригинальной 3D Secure заключается в том, что она охватывает все типы транзакций электронной коммерции. Но, учитывая, что он был задуман до мобильных и голосовых транзакций, как он мог охватить все современные транзакции электронной коммерции? Вот почему 3D Secure 2.0 был (и остается) так необходим сегодня.
На самом базовом уровне 3D Secure расшифровывается как “Three Domain Secure”, что относится к трем сторонам, участвующим в любом безопасном платеже: эмитенту, получателю и сети, обрабатывающей транзакцию. Visa первой разработала и внедрила стандарты. Позже другие крупные глобальные сети также внедрили их для поддержки эффективной безопасности и аутентификации в растущем пространстве электронной коммерции.
3D Secure 1.0 полагалась на такие функции, как статические пароли, всплывающие окна и регистрация пользователей для проверки подлинности владельцев карт. Однако это создавало барьеры для законных клиентов, приводя к разочарованию и отказу от корзины. Кредитные союзы и банки усилили свои стратегии мошенничества, но это привело к более высокому уровню ложных отказов, что только усилило разочарование клиентов.
Это также не остановило мошенников. Иногда у этих преступников даже хватало информации (и терпения), чтобы выдать себя за клиента и пройти регистрацию в 3D Secure.
Забегая на 20 лет вперед, вполне естественно, что необходимо разработать новый и улучшенный протокол. Если представить некоторые цифры того, насколько сильно 3DS влияет на платежи, то данные за 1 квартал 2019 года показали, что из миллионов платежей 22% отправленных в 3DS были утеряны. Дальнейший анализ показал, что аутентификация 3DS занимала в среднем 37 секунд. 91% платежей вызывали трудности, на аутентификацию уходило более 5 секунд, в то время как показатели принятия в 20 крупнейших мировых банках по объему колеблются в пределах 68-92%.[2]
С октября 2021 года 3DS1 начали выводить из эксплуатации карточными схемами. Продавцы потеряют преимущество переноса ответственности с 3DS1, поэтому важно как можно скорее перейти на более новые версии.
3D Secure 2: улучшенное качество обслуживания клиентов?
3D Secure 2.0 устраняет эти неудобные требования пользователей. Попрощайтесь со всплывающими окнами и поприветствуйте аутентификацию на основе риска. Статические ключи безопасности заменяются одноразовыми паролями (OTP) и динамической аутентификацией с помощью методов аутентификации на основе биометрии и токенов. И больше законные клиенты не будут нести бремя регистрации своей карты в Visa или Mastercard, чтобы получить преимущества протокола безопасности.Еще одним ключевым отличием новой версии является объем данных, лежащих в основе каждого решения. С 3DS2 продавцы могут отправлять гораздо больше данных в банк-эмитент, чем с 3DS1. 3D Secure 2.0 извлекает такую информацию, как IP-адрес, адрес доставки, информацию об устройстве и больше информации о самих клиентах, что позволяет эмитентам повышать показатели риска и принимать более эффективные решения по аутентификации. Благодаря дополнительным данным эмитенты могут применять аутентификацию без затруднений для утверждения транзакции, не требуя ввода данных вручную от владельца карты - это называется "поток без затруднений". Эта аутентификация, основанная на риске, станет ключом к тому, чтобы процесс оформления заказа не вызывал затруднений при совершении большинства транзакций с низким уровнем риска от доверенных клиентов. [3]
На приведенном ниже рисунке представлен полный обзор основных стандартов и усовершенствований 3DS2:
Поскольку 3D Secure 2.0 продолжает добавлять новые функции, пользовательский интерфейс, без сомнения, станет еще более плавным и безопасным. Фактически, поскольку обе новые версии 3DS 2.1 и 3DS 2.2 отвечают требованиям соответствия требованиям SCA и защите от мошенничества со стороны продавцов (как и в случае с 3DS1), 3DS2 выделяется тем, что может обеспечить лучшее обслуживание клиентов за счет уменьшения трений.
Куда это путешествие привело нас так далеко?
Продолжая наш путь ко второй половине 2021 года, мы должны спросить: как выглядит производительность 3DS в глобальном масштабе?Транзакции 3D Secure 2.2 уже осуществляются. В Дании был самый высокий процент - 6%, но до того, как эта версия станет доминирующей, еще далеко. Для 3DS 2.2 еще очень рано, но можно увидеть огромное увеличение количества транзакций в 3DS 2.1 по сравнению с 1 кварталом 2021 года. Во всех проанализированных регионах мира количество транзакций в 3DS 2.1 выросло с 16% до 65%. [4]
Показатели успешной аутентификации также значительно возросли. Это может означать, что клиенты становятся более удобными при аутентификации, но также может свидетельствовать о том, что мошенники разработали способы обхода 3DS.
Удивительно, что до сих пор успешно аутентифицированные платежи 3DS2 приводили к сбою авторизации с гораздо большей частотой, чем 3DS1. По словам продавцов, 3DS запускается для транзакций, оплаченных альтернативными способами оплаты, что указывает на то, что что-то пошло не так.[5]
Продавцы также упоминают, что работа по внедрению 3DS2 вызывает у них проблемы, а некоторые говорят, что это самая запутанная ситуация, которую они видели за последние годы. Это может быть причиной частоты отказов при транзакциях 3DS2, когда многие эмитенты спешат с подготовкой и вызывают массовую неразбериху на рынке.
Предстоящий путь
Пока что 3DS2, похоже, еще не готов выполнить свои обещания по улучшению качества обслуживания клиентов и повышению скорости авторизации.Чтобы добраться до этого пункта назначения 3DS, оснащенного правильным сочетанием успешно внедренных мер безопасности при одновременном обеспечении бесперебойного обслуживания клиентов и максимизации конверсии, эмитентам и продавцам предстоит пройти вместе еще несколько миль.
[1] Руководство кредитного союза по 3D Secure 2.0 - PaymentsJournal
[2] PSD2, надежная аутентификация клиентов и 3D Secure
[3] В чем разница между 3D Secure 1, 2.1 и 2.2?
[4] Отчет о глобальном регулировании платежей и аутентификации за 2022 год – Ravelin
[5] Обновление аутентификации в марте 2021 года: трудный старт для PSD2 по всей Европе
