3D-suojattu

3-D Secure on protokolla, jota käytetään ylimääräisenä suojakerroksena online-luotto- ja pankkikorteille kaksivaiheista käyttäjätodennusta varten .

Tekniikka kehitettiin Visa -maksujärjestelmää varten Verified by Visa (VbV) -palvelun verkkomaksujen turvallisuuden parantamiseksi . Mastercard -maksujärjestelmät ovat hyväksyneet tähän protokollaan perustuvat palvelut nimellä Mastercard SecureCode (MSC) ja JCB International nimellä J/Secure , AmEx nimellä SafeKey , Mir ( NSPK ) nimellä Mir Accept .. American Express lisäsi 3-D Securen 8. marraskuuta 2010 American Expressin turvaavaimeksi tietyillä markkinoilla ja jatkaa sen käyttöönottoa muilla markkinoilla. Mir-maksujärjestelmä lisensoi aluksi protokollan ensimmäisen version toteuttamista VISAlta. Vuonna 2016 Mir otti itsenäisesti käyttöön tuen 3D-Secure 2.0:lle ja alkoi tarjota sitä nimellä MirAccept [1] .

3-D Secure lisää verkkomaksuihin toisen todennusvaiheen, jonka avulla kauppiaat ja pankit voivat lisäksi varmistaa, että maksu on kortinhaltijan suorittama suojatakseen vilpillisiä tapahtumia [2] .

3-D Secure -koodia ei pidä sekoittaa CVV2- tai CVC2- koodiin , joka on painettu kortin takapuolelle.

3-D Secure ei ole ehdoton suoja kortilla oleville rahalle CNP-toimintojen aikana ( korttia ei ole ), esimerkiksi tietokonevirukset voivat siepata kertaluonteisen koodin. Kaikki pankit eivät myöskään tue 3-D Secure -teknologiaa, joten monet tuotteet ja palvelut voidaan maksaa kortilla ilman vahvistuskoodia, mikä rajoittaa tämän tekniikan tehokkuutta siirtymäkaudella [3] .

Heinäkuussa 2016 3D-Securea tukivat pankit 195 maasta [4] .

Kuvaus käyttäjän näkökulmasta

3-D Securea tukevan pankin kortinhaltijalle verkkomaksuprosessin aikana aiemmin vaadittuihin tietoihin lisätään lisävahvistuspyyntö kortin käytöstä, joka pääsääntöisesti näytetään ohjaamalla käyttäjää uudelle sivulle, joka sijaitsee joko kortin myöntäneen pankin osoitteessa tai näkyy iframe-kehyksessä [5] [6] . Tämän valtuutussivun näyttää ACS (access control server) -komponentti, joka sijaitsee kortin myöntäneen pankin sivulla.

Haltijan on syötettävä pankin antama vahvistuskoodi jokaiselle tapahtumalle, useimmiten tekstiviestillä, joka lähetetään korttiin liitettyyn matkapuhelinnumeroon [7] [4] . Myös muut vaihtoehdot maksuvahvistuskoodin saamiseksi ovat mahdollisia, kuten mikroprosessorilla varustetut kortit kertakoodikortilta; erikoislaitteesta, joka tuottaa päivitettyjä näennäissatunnaisia koodeja [7] [4] . Useat pankit käyttävät tavanomaista pysyvien salasanojen järjestelmää, eli käyttäjä asettaa salasanan kerran (rekisteröinnin yhteydessä) ja syöttää sen jokaisen Internet-maksun yhteydessä. Tämä menetelmä on vähemmän luotettava kuin kertaluonteinen vahvistuskoodi. 3-D Secure -koodin muoto voi vaihdella myöntäneen pankin mukaan. Yleensä se on 4-10 kirjainta ja numeroa. Kertakäyttöisellä salasanalla varustetut ratkaisut koostuvat 6-8 numerosta [8] .

Tarkastettuaan syötetyn koodin oikeellisuuden ACS (access control server) tarkistaa syötetyn suojakoodin oikeellisuuden [9] [4] , ohjaa käyttäjän takaisin sille maksupalvelun tai toimipisteen sivulle, jolta alkuperäinen uudelleenohjaus tuli. paikkaan ja samalla siirtää sen maksujärjestelmän kautta pankin vastaanottajalle vahvistukseksi siitä, että tapahtuma on (ei)luvattu. Tämän jälkeen vastaanottava pankki suorittaa toimenpiteen, veloittaa/sulkea varoja ostajan kortilta tai kieltäytyy toimimasta.

3-D Secure 2.0- ja 3.0 -protokollan myöhemmissä versioissa. [10] , varmennusmenettelyä on parannettu, eikä koodia vaadita kaikkiin toimiin. Osa liiketoimista suoritetaan ilman yritystä pyytää, tapahtumatavan valinta tapahtuu pankin oman riskienhallinnan ja/tai kauppa- ja palveluyrityksen perusteella. Tämä lisää kauppiasasiakkaiden konversioita, koska osa ostoksista jää toteuttamatta maksuvaikeuksien vuoksi ja jatkuva lisäsalaisen koodin pyyntö lisää väistämättä prosessin monimutkaisuutta ja ostajan varhaisen keskeytyksen todennäköisyyttä.

Tietoturvaongelmat

Kortinhaltijan tulee ottaa huomioon, että 3-D Secure voi suorittaa maksuja Internetissä ilman vahvistusta käyttämällä lisätodennusvaihetta tekstiviestillä tai käyttäjätunnuksella ja salasanalla, mikä aiheuttaa erittäin vakavia ongelmia asiakkaan pankkikortin varojen turvallisuudessa.

Jos verkkokauppa ei tue 3-D Secure -tekniikkaa (verkkokaupan verkkosivuilla ei näy Verified by Visa- ja Mastercard SecureCode -logoja ), pankkikortilla ostoksen tekemiseksi sinun on valittava ostos ja tehtävä maksu syöttämällä verkkokaupan pyytämät korttitiedot. Tässä tapauksessa maksusi ei ole tekniikan suojaama [11] .

Tämä tarkoittaa siis sitä, että maksaminen tällaisessa verkkokaupassa tapahtuu ilman vahvistusta tekstiviestillä tai kirjautumistunnuksella ja salasanalla, vaan ainoastaan kortissa olevilla syötetyillä korttitiedoilla (kortin tyyppi, numero ja voimassaoloaika, haltijan nimi ja kolme -numeroinen CVV2 , joka on painettu takana olevaan karttaan).

Pankkiasiakkaan on siis tärkeää ymmärtää, että jos hänen kortilleen sallitaan Internetin kautta suoritettavat maksut ja vaikka kortilla olisi käytössä ylimääräinen 3-D Secure -suojaus , niin tästä huolimatta ehdottomasti kuka tahansa, jolla on ollut mahdollisuus nähdä ja muistaa tiedot, jotka on painettu itse pankkikorttiin, voi suorittaa maksuja tällä kortilla verkkokaupoissa, jotka eivät tue 3-D Securea, ja nämä maksut suoritetaan ilman vahvistusta tekstiviestillä tai sisäänkirjautumisella ja salasanalla. Useissa pankeissa voit hallita erikseen ilman 3-D Securea suoritettujen tapahtumien rajoja. Toinen tapa voi olla kokonaislimiittien hallinta pankki-asiakassovellusten avulla, erityisesti puhelimissa.

On huomattava, että toiminnon suorittaminen ilman ylimääräistä todennusvaihetta (jos 3-D Secure on tuettu ) osoittaa, että tällaiseen toimintoon liittyy " vastuun siirto ", eli liikkeeseenlaskijapankki voi kiistää toiminnot ja palauttaa rahat kortinhaltija (jos sitä sovelletaan ajoissa).

Protokollan perusnäkökohdat

Protokollan perusajatuksena on lisätä verkkotodennus taloudelliseen valtuutusprosessiin. Tämä todennus perustuu kolmen toimialueen periaatteeseen (siis 3-D nimessä) :

Acquirer domain (myyjän verkkotunnus ja pankki, jolle rahat siirretään);
Myöntäjän verkkotunnus (kortin myöntäneen pankin verkkotunnus);
Yhteentoimivuusalue (maksujärjestelmän ( Mastercard , Visa jne.) tarjoama verkkotunnus 3-D Secure -protokollan tukemiseksi).

Vastuun siirto

Tavallisissa (ei 3-D Securen suojassa) tapahtumissa varastettujen korttien toiminnasta vastaa ” kauppias ” - kauppa- ja palveluyritys, jonka verkkosivuilta tuotteen/palvelun osto on tehty varastetulla kortilla, mikäli ei tue tätä tekniikkaa.

3-D Securen käytössä tapahtuu ns. "vastuunsiirto" ( vastuunsiirto ), kun vastuu siirtyy kortin myöntäneelle pankille tai asiakkaalle itselleen.

Muistiinpanot

↑ PLUSworld ru-banking vähittäis-, rahoitus- ja maksumarkkinat. Mir-kortit saavat Visasta riippumattoman 3D Secure 2.0 -tekniikan » . Plusworld.ru: fintech, vähittäispankkitoiminta, rahoituspalvelut ja maksumarkkinat (18. heinäkuuta 2016). Käyttöönottopäivä: 21.10.2021. (Venäjän kieli)
↑ 3D-Secure // Perustuu materiaaleihin . (Venäjän kieli)/ Pankkitietosanakirja. 2013.
↑ Minne rahat lentää Arkistokopio 18.5.2015 Wayback Machinessa / Banki.ru, 26.05.2014
↑ 1 2 3 4 Banki.ru .
↑ MasterCard SecureCode . MasterCard (17. kesäkuuta 2014). Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 2. heinäkuuta 2021. (määrätön)
↑ Churikov L. 3D-Secure: kuka puolustaa? . Banki.ru (14. marraskuuta 2012). Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 18. toukokuuta 2021. (määrätön)
↑ 1 2 Steven J. Murdoch, Ross Anderson. Verified by Visa ja MasterCard SecureCode: Tai, kuinka ei suunnitella todennusta // Taloudellinen kryptografia ja tietoturva / Radu Sion. — Berlin, Heidelberg: Springer, 2010. — S. 336–342 . - ISBN 978-3-642-14577-3 . - doi : 10.1007/978-3-642-14577-3_27 . Arkistoitu alkuperäisestä 21. tammikuuta 2022.
↑ MasterCard, 2014 , A-1.
↑ Ablekov V., Moroz M. Protokollat maksujärjestelmien turvallisuuden takaamiseksi . 3-D-suojattu . cryptowiki.net (13. lokakuuta 2013) . Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 24. marraskuuta 2020. (määrätön)
↑ [1] Arkistoitu 11. joulukuuta 2016 Wayback Machine EMV 3D Secure 2.0 :ssa
↑ Alfa-pankki. Ostoksen tekeminen Visa/MasterCard-kortilla, jos verkkokauppa ei tue Verified by Visa/MasterCard SecureCode -tekniikkaa . Muistio ALFA-BANK OJSC:n myöntämien korttien käytöstä tavaroiden ja palveluiden maksamiseen Internetissä . Alfa Pankki. Haettu 23. huhtikuuta 2015. Arkistoitu alkuperäisestä 21. helmikuuta 2014. (määrätön)

Linkit

Verified by Visa Arkistoitu 15. helmikuuta 2013 Wayback Machinessa
Visa 3-D Secure Payment -ohjelma
Visa 3-D Securen tekniset tiedot
Mastercard SecureCode Arkistoitu 13. lokakuuta 2010 Wayback Machinessa
Kuinka 3D-Secure toimii Arkistoitu 17. tammikuuta 2013 Wayback Machinessa
Leonid TŠURIKOV. 3D-Secure: kuka puolustaa? Arkistokopio 16. joulukuuta 2013 Wayback Machinessa // Banki.ru, 14.11.2012
3D Secure 2.0 turvalliseen verkkokauppaan
3D Secure, valtuutusprotokolla korttimaksuille Internetissä . Banki.ru Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 7. elokuuta 2020. (määrätön)

Standardit ja dokumentaatio

MasterCard SecureCode . MasterCard (17. kesäkuuta 2014). Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 2. heinäkuuta 2021. (määrätön)
3 - D Secure Visalla . usa.visa.com. Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 4. toukokuuta 2020.
EMV® 3-D Secure (englanniksi) . EMV Co. Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 2. toukokuuta 2020.
XML-määritys: 3-D Secure . Turvallinen kaupankäynti (4.6.2019). Käyttöönottopäivä: 24.4.2020. (määrätön)
3D Secure: Yleiskatsaus . Braintree -kehittäjä . Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 6. huhtikuuta 2020. (määrätön)
Christopher Rotsaert. Tapa tapahtuman hallintaan, vastaava palvelin, tietokoneohjelmatuote ja tallennusväline (suomi) (7.5.2019). Haettu 24. huhtikuuta 2020. Arkistoitu alkuperäisestä 3. heinäkuuta 2020.

Pankkikortit
Korttityypit	Pankkimaksukortti ( luottokortti luottokortti selvityskortti )
Globaalit maksujärjestelmät	Visa mastercard American Express cirrus JCB UnionPay
Paikalliset maksujärjestelmät, mukaan lukien suljetut	Altyn Asyr Belkart Kultainen kruunu Maailman Transnistria Lakeus Armenian kortti Banelco BC-kortti Carte Blue Dankort Diners Club Tutustu Girocard HUMO Interac Qiwi RuPay Uzcard V Maksa Pääsy Pankkikortti Valinta Carte blanche matkalla Eurocard Laser Kaikki Yksin STB-kortti vaihtaa liiton kortti Korti Milli Shetab Isracard Pro100
Tärkeimmät luottokortit	Maailman Visa mastercard JCB
Tärkeimmät pankkikortit	Maailman Debit Mastercard Maestro Visa Debit Visa Electron
Pankkikorttien liikkeeseenlasku	Liikkeeseenlaskeva pankki Kohokuvioitu kortti Magneettiraitakortti Älykortti (sirulla) Kontaktiton kortti ( MasterCard Contactless Visa payWave )
Pankkikorttien hyväksyminen	Pankkiautomaatti kassapääte Imprinter mPOS Hankinta
Liittyvät käsitteet	Pankkitapahtuma Pankkikorttimaksujärjestelmät Käsittelykeskus Maksujärjestelmä Maksujärjestelmän ylläpitäjien rekisteri
Turvallisuus	CVV2 3D-suojattu EMV Karttaus CNP-operaatiot