CarderPlanet
Professional
Европейский срок строгой аутентификации клиентов наконец-то истек, поэтому вот краткое объяснение ключевых различий между версиями 3D Secure.
Трудно поверить, что прошло больше года с момента первоначального срока строгой аутентификации клиента (SCA). Чтобы освежить вашу память, Вторая европейская директива о платежных услугах (PSD2) требует SCA для большинства платежей - подробнее о правилах читайте здесь. 3D Secure - это метод двухфакторной аутентификации, признанный Европейским банковским управлением (EBA) соответствующим требованиям SCA. Теперь, наконец, истек срок исполнения измененного SCA EBA - 31 декабря 2020 года.
В целом 2020 год был непростым для продавцов, поскольку глобальная пандемия усилила нагрузку на онлайн-операции. После трудностей прошлого года аутентификация, возможно, отошла на второй план среди меняющихся приоритетов, но теперь пришло время обратить на это внимание. Как вы можете гарантировать, что у вас есть наилучшие шансы свести к минимуму ненужные трения и обратить клиентов?
Существуют существенные различия между версиями 3DS 1 и 2, а также некоторые незначительные различия между 2.1 и 2.2. Вот краткое напоминание о функциях, которые может поддерживать каждая версия…
Хотя он совместим, он непопулярен у потребителей, и это вызывает большие проблемы у продавцов. 3DS1 появился во времена, предшествовавшие появлению мобильных телефонов, поэтому пользовательский опыт в лучшем случае разнообразен, а в худшем - удручающе ужасен. Он часто основан на всплывающем окне, в котором клиент должен ввести свои данные, что может сделать страницу оформления заказа продавца еще менее безопасной и может стать уязвимой для киберпреступных атак.
3DS1 также не распознает мягкие отклонения. Эмитент может использовать мягкое отклонение, если он получает запрос от продавца на авторизацию платежа, но сначала хочет использовать аутентификацию. С 3DS1 эмитенту пришлось бы просто отклонить платеж, а продавцу пришлось бы повторить попытку и рисковать тем, что клиент откажется от оформления заказа.
Учитывая его возраст и ограничения, неудивительно, что срок его службы скоро подходит к концу. С октября 2021 года 3DS начнут выводить из эксплуатации карточными схемами, начиная с Mastercard. Даже если он по-прежнему доступен, продавцы потеряют преимущество переноса ответственности с 3DS1, поэтому важно как можно скорее перейти на более новые версии.
Как это работает? С 3DS2 продавцы имеют возможность отправлять гораздо больше данных в банк-эмитент, чем с 3DS1. Вместо того, чтобы полагаться только на статические пароли, 3DS2 позволяет использовать динамическую аутентификацию с помощью методов биометрии и аутентификации на основе токенов. С дополнительными данными эмитенты могут применять аутентификацию без проблем для подтверждения транзакции, не требуя ввода данных вручную от владельца карты - это называется "поток без проблем". Эта аутентификация, основанная на риске, будет ключом к обеспечению беспрепятственного процесса оформления заказа для большинства низкорисковых транзакций от доверенных клиентов.
3DS2 также может распознавать мягкие отклонения, которые 3DS1 не поддерживал. Например, если эмитент получает запрос на авторизацию транзакции, но хочет, чтобы аутентификация выполнялась заранее, 3DS2 может включить это. Это означает меньшую вероятность того, что эмитент полностью отклонит транзакцию, и меньший риск того, что клиент откажется от транзакции.
В отличие от 3DS1, 3DS2 можно использовать для настройки транзакций, инициируемых продавцом. Это полезно для продавца, которому необходимо настроить регулярные платежи от клиента, например. для подписки. Для первого платежа требуется SCA, но для последующих идентичных платежей этого не произойдет. Продавец может использовать 3DS2 для аутентификации первого платежа и настроить следующие платежи как транзакции, инициируемые продавцом.
3DS 2.2 также позволяет продавцам запрашивать исключения через своего покупателя. Это включает в себя, что продавец или поставщик платежных услуг может применить анализ рисков транзакций (TRA) и использовать эти данные для запроса исключения с низким уровнем риска. Это также позволяет продавцам запрашивать освобождение от ответственности в качестве надежного продавца.
Существуют некоторые различия между схемами, которые важно иметь в виду. Mastercard также объявила, что они предоставят исключение с низким уровнем риска на основе TRA. Это невозможно с Visa на версии 2.1, однако Visa предоставит исключение для безопасных корпоративных транзакций на версии 2.1.
Обычно аутентификация выполняется банком-эмитентом. Делегированная аутентификация означает, что эмитенты могут разрешить аутентификацию третьей стороне. Это может быть продавец, эквайер или поставщик цифровых кошельков.
Итак, как это работает? Примером может служить возможность продавца выполнять SCA при входе в систему с помощью аутентификации FIDO. Эта информация может быть передана эмитенту, чтобы он мог подтвердить личность клиента, и нет необходимости проходить аутентификацию. Это потребовало бы гораздо меньше сложностей и обеспечило бы лучший опыт для клиента, а также позволило бы продавцу лучше контролировать, как выполняется SCA. Вы можете прочитать о делегированных требованиях к аутентификации для Visa здесь (страница 530).
Несвязанная аутентификация
Хотя название похоже, это не следует путать с делегированной аутентификацией.
Несвязанная аутентификация - это когда пользователь проводит аутентификацию с помощью методологии, отдельной от основного потока аутентификации. Это может происходить, даже если владелец карты находится вне сети. Примером использования может быть, если клиент завершает SCA на своем смартфоне, чтобы разрешить авторизацию на другом устройстве, например, на настольном компьютере.
Если эмитент вообще не зарегистрирован в 3DS, то сервер попыток схемы карт будет выступать от имени эмитента.
Для получения подробной информации о том, где SCA будет применяться с 1 января 2021 года, ознакомьтесь с текущими обновлениями дат и крайних сроков на нашей глобальной карте. Важно отметить, что крайний срок не одинаков во всей Европейской экономической зоне, и некоторые страны внедряют поэтапный подход в течение 2021 года, например, Франция и Великобритания.
Трудно поверить, что прошло больше года с момента первоначального срока строгой аутентификации клиента (SCA). Чтобы освежить вашу память, Вторая европейская директива о платежных услугах (PSD2) требует SCA для большинства платежей - подробнее о правилах читайте здесь. 3D Secure - это метод двухфакторной аутентификации, признанный Европейским банковским управлением (EBA) соответствующим требованиям SCA. Теперь, наконец, истек срок исполнения измененного SCA EBA - 31 декабря 2020 года.
В целом 2020 год был непростым для продавцов, поскольку глобальная пандемия усилила нагрузку на онлайн-операции. После трудностей прошлого года аутентификация, возможно, отошла на второй план среди меняющихся приоритетов, но теперь пришло время обратить на это внимание. Как вы можете гарантировать, что у вас есть наилучшие шансы свести к минимуму ненужные трения и обратить клиентов?
Существуют существенные различия между версиями 3DS 1 и 2, а также некоторые незначительные различия между 2.1 и 2.2. Вот краткое напоминание о функциях, которые может поддерживать каждая версия…
3D Secure 1
Оригинальная версия 3DS1 может поддерживать соответствие SCA для PSD2. Она также может обеспечивать защиту от мошенничества со стороны продавцов, но только до октября 2021 года для Visa Secure - 3DS1.Хотя он совместим, он непопулярен у потребителей, и это вызывает большие проблемы у продавцов. 3DS1 появился во времена, предшествовавшие появлению мобильных телефонов, поэтому пользовательский опыт в лучшем случае разнообразен, а в худшем - удручающе ужасен. Он часто основан на всплывающем окне, в котором клиент должен ввести свои данные, что может сделать страницу оформления заказа продавца еще менее безопасной и может стать уязвимой для киберпреступных атак.
3DS1 также не распознает мягкие отклонения. Эмитент может использовать мягкое отклонение, если он получает запрос от продавца на авторизацию платежа, но сначала хочет использовать аутентификацию. С 3DS1 эмитенту пришлось бы просто отклонить платеж, а продавцу пришлось бы повторить попытку и рисковать тем, что клиент откажется от оформления заказа.
Учитывая его возраст и ограничения, неудивительно, что срок его службы скоро подходит к концу. С октября 2021 года 3DS начнут выводить из эксплуатации карточными схемами, начиная с Mastercard. Даже если он по-прежнему доступен, продавцы потеряют преимущество переноса ответственности с 3DS1, поэтому важно как можно скорее перейти на более новые версии.
3D Secure 2
Как и в 3DS1, в 3DS 2.1 и 3DS 2.2 установлены флажки для соответствия требованиям SCA и защиты от мошенничества со стороны продавцов. В отличие от 3DS2, он может улучшить качество обслуживания клиентов за счет уменьшения трений.Как это работает? С 3DS2 продавцы имеют возможность отправлять гораздо больше данных в банк-эмитент, чем с 3DS1. Вместо того, чтобы полагаться только на статические пароли, 3DS2 позволяет использовать динамическую аутентификацию с помощью методов биометрии и аутентификации на основе токенов. С дополнительными данными эмитенты могут применять аутентификацию без проблем для подтверждения транзакции, не требуя ввода данных вручную от владельца карты - это называется "поток без проблем". Эта аутентификация, основанная на риске, будет ключом к обеспечению беспрепятственного процесса оформления заказа для большинства низкорисковых транзакций от доверенных клиентов.
3DS2 также может распознавать мягкие отклонения, которые 3DS1 не поддерживал. Например, если эмитент получает запрос на авторизацию транзакции, но хочет, чтобы аутентификация выполнялась заранее, 3DS2 может включить это. Это означает меньшую вероятность того, что эмитент полностью отклонит транзакцию, и меньший риск того, что клиент откажется от транзакции.
В отличие от 3DS1, 3DS2 можно использовать для настройки транзакций, инициируемых продавцом. Это полезно для продавца, которому необходимо настроить регулярные платежи от клиента, например. для подписки. Для первого платежа требуется SCA, но для последующих идентичных платежей этого не произойдет. Продавец может использовать 3DS2 для аутентификации первого платежа и настроить следующие платежи как транзакции, инициируемые продавцом.
Различия между 3D Secure 2.1 и 2.2
Одним из ключевых различий между 3DS 2.1 и 2.2 является возможность поддержки исключений.
Обе версии поддерживают исключения эмитента посредством аутентификации на основе риска, например. упомянутый выше процесс без затруднений.3DS 2.2 также позволяет продавцам запрашивать исключения через своего покупателя. Это включает в себя, что продавец или поставщик платежных услуг может применить анализ рисков транзакций (TRA) и использовать эти данные для запроса исключения с низким уровнем риска. Это также позволяет продавцам запрашивать освобождение от ответственности в качестве надежного продавца.
Существуют некоторые различия между схемами, которые важно иметь в виду. Mastercard также объявила, что они предоставят исключение с низким уровнем риска на основе TRA. Это невозможно с Visa на версии 2.1, однако Visa предоставит исключение для безопасных корпоративных транзакций на версии 2.1.
3DS 2.2 также поддерживает делегированную аутентификацию и несвязанную аутентификацию.
Делегированная аутентификацияОбычно аутентификация выполняется банком-эмитентом. Делегированная аутентификация означает, что эмитенты могут разрешить аутентификацию третьей стороне. Это может быть продавец, эквайер или поставщик цифровых кошельков.
Итак, как это работает? Примером может служить возможность продавца выполнять SCA при входе в систему с помощью аутентификации FIDO. Эта информация может быть передана эмитенту, чтобы он мог подтвердить личность клиента, и нет необходимости проходить аутентификацию. Это потребовало бы гораздо меньше сложностей и обеспечило бы лучший опыт для клиента, а также позволило бы продавцу лучше контролировать, как выполняется SCA. Вы можете прочитать о делегированных требованиях к аутентификации для Visa здесь (страница 530).
Несвязанная аутентификация
Хотя название похоже, это не следует путать с делегированной аутентификацией.
Несвязанная аутентификация - это когда пользователь проводит аутентификацию с помощью методологии, отдельной от основного потока аутентификации. Это может происходить, даже если владелец карты находится вне сети. Примером использования может быть, если клиент завершает SCA на своем смартфоне, чтобы разрешить авторизацию на другом устройстве, например, на настольном компьютере.
Что произойдет, если будет предпринята попытка 3DS, но эмитент не зарегистрирован в запрошенной версии?
Итак, давайте представим, что клиент производит платеж, и вы запрашиваете 3DS 2.2, но эмитент клиента зарегистрирован только в версии 2.1. В этом случае вместо этого будет использоваться 2.1. Если эмитент не зарегистрирован в версии 2, то будет использоваться 3DS1.Если эмитент вообще не зарегистрирован в 3DS, то сервер попыток схемы карт будет выступать от имени эмитента.
Для получения подробной информации о том, где SCA будет применяться с 1 января 2021 года, ознакомьтесь с текущими обновлениями дат и крайних сроков на нашей глобальной карте. Важно отметить, что крайний срок не одинаков во всей Европейской экономической зоне, и некоторые страны внедряют поэтапный подход в течение 2021 года, например, Франция и Великобритания.
