3D Secure Сбербанк
Платежные системы предложили свой вариант для проведения безопасных онлайн-покупок — защищенный протокол авторизации пользователя. Как действует защита? Если плательщик выполняет финансовую транзакцию, то на сайте магазина ему сначала потребуется ввести карточные данные (срок действия, номер, имя держателя и код на обратной стороне). Это первый шаг.
При использовании сервиса дистанционного обслуживания клиентов также может применяться защищенный протокол авторизации
После ввода нужной информации плательщик будет перенаправлен на сайт Сбербанка. 3D Secure — это технология, которая работает через одноразовые пароли. После того как плательщик будет перенаправлен на сайт банковского учреждения, ему потребуется ввести одноразовый пароль, который ему был выдан ранее. Ввод одноразового пароля нужен для того, чтобы удостовериться в том, что платежный инструмент находится в руках его хозяина. Пароль можно получить несколькими методами:
- Пароль будет выслан на номер владельца карты в том случае, если банковский продукт подключен к такой услуге как Мобильный банк. Данный метод является не только самым быстрым, но и самым простым.
- Если такая услуга как Мобильный банк не подключена, то можно использовать список одноразовых кодов для оплаты. Что представляет собой данный список паролей? Это распечатка, на которой указаны 20 паролей, а получить ее можно в любом банкомате банка. Для того чтобы подтвердить оплату, необходимо указать именно тот пароль, чей порядковый номер запрашивает сайт банка.
Вам может быть интересно:
Если код из СМС будет верен, то оплата будет произведена успешно.
Эксперты полагают, что внедрение защищенного протокола авторизации в несколько раз повышает уровень безопасности карточных счетов. Это не защитит владельца пластика от потери денег на 100%, однако сведет к минимуму попытки мошенников украсть ваши деньги.
При оплате услуг или покупок через интернет на некоторых ресурсах у вас потребуют ввести одноразовый пароль
В целях сохранности средств необходимо вникнуть во все тонкости использования 3D Secure, так как несоблюдение некоторых нюансов может спровоцировать и появление проблем. Для многих клиентов не всегда является удобным держать телефон все время включенным. Многие картодержатели часто выезжают за пределы страны, и тогда использование телефона становится менее доступным. Кроме того, телефон может в любой момент разрядиться. Даже если выбрать способ подтверждения оплаты кодом из списка паролей, то не все хотели бы носить этот список с собой вместе с пластиком. Можно конечно установить многоразовый пароль 3D Secure, но тогда этим могут воспользоваться злоумышленники.
3D Secure Сбербанк — что это, как подключить?
Зная это, многие владельцы пластиковых карт задаются вопросом, как подключить 3D Secure от Сбербанка. На данный момент, данная услуга входит в стандартный пакет и при оформлении карты происходит автоматическое подключение. Активация данной услуги происходит не при получении карты, а при осуществлении первого платежа.
Технология усложняет жизнь кибермошенникам — ведь полученный код для совершения транзакции есть только у владельца карты, поэтому риск кражи денежных средств даже по утерянной карте сводится к минимуму.
Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.
Финансовое учреждение заботится о безопасности транзакций, проводимых клиентами в сети интернет. Многие пользователи сервиса интересуются услугой 3D Secure Сбербанк, как подключить ее. Информационная технология обеспечивает клиентам защиту за счет дополнительной идентификации держателя платежного инструмента.
Банковские сервера защищены многоуровневыми сетевыми экранами с глубокой фильтрацией пакетов. При обращении к ним, проводится их предварительная идентификация с использованием облачных данных. Иными словами, далеко не с каждого компьютера и не каждый человек может обратиться к данным на банковском сервере. 3D Secure Сбербанка очень эффективно отсеивает злоумышленников.
Пользование услугой предполагает соблюдение определённых правил во избежание проблем
Важно следить, чтобы батарея телефона была заряжена. Некоторые клиенты не могут постоянно держать телефон включённым. При выезде за пределы России доступность телефонной связи может быть ограничена
Не всегда удобным оказывается ношение с собой карточки и чека с паролями
При выезде за пределы России доступность телефонной связи может быть ограничена. Не всегда удобным оказывается ношение с собой карточки и чека с паролями.
Пароль для подтверждения платежа можно получить двумя способами:
- На телефон. При условии подключения к карте мобильного банка придёт сообщение с восьмизначным одноразовым кодом. Срок действия пароля – 10 мин.
- Через банкомат – если СМС-информирования нет. В распечатке будет 20 разовых кодов. На сайте Сбербанка нужно ввести тот пароль, который будет запрошен сервисом (один из двадцати, по порядковому номеру).
Безопасны ли на 100% платежи с использованием двух-факторной защиты
С точки зрения ответственности, банк в данном случае выполнил свои обязательства перед клиентом. А значит, вернуть похищенные средства с карты сбербанка, будет очень проблематично.
Если у клиента не активирован «Мобильный банк», вряд ли удастся осуществить оплату с использованием защитной технологии.
Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.
ВАЖНО: в интернете пишут ошибочную информацию о том, что можно получить одноразовые пароли в банкомате в виде распечатанного чека. Некоторые держатели пластиковых карт даже не представляют, как такая система работает и что дает. Предлагаем разобраться в особенностях безопасных платежей с 3D-Secure
Предлагаем разобраться в особенностях безопасных платежей с 3D-Secure
Некоторые держатели пластиковых карт даже не представляют, как такая система работает и что дает. Предлагаем разобраться в особенностях безопасных платежей с 3D-Secure.
Для Сбербанка, который занимает лидирующие позиции в экономической сфере, важен процесс внедрения инновационных технологий защиты и срока ее действия. Это мероприятие повышает доверие к учреждению, позволяет увеличить количество эмитируемых карт и денежный оборот.
Многие держатели кредитных карт не представляют, как подключить эту функцию. Ведь не все банки автоматически ее включают, а в некоторых случаях даже взимают за свои услуги дополнительную плату. В Сбербанке вся карточная продукция имеет встроенную технологию, а активизация и подключение происходит бесплатно. При первой онлайн транзакции будет проведена автоматическая аутентификация.
Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.
Через 1 час запрет на выполнение операций по счету снимается автоматически без помощи сотрудников контактного центра. Дополнительная идентификация не осуществляется в случае, если сайт не поддерживает технологию 3D защиты. Для совершения платежа в этом случае требуется ввод информации, отмеченной на пластиковом носителе.
Сама технология 3D Secure разработана всемирной системой SWIFT и используется в VISA. Аппаратное оснащение — это обычные сервера на провайдерах и все оборудование сотовой сети. Общая безопасность достигается хранением данных пользователей карт на защищенных банковских серверах. Интеграция с сотовыми сетями используется для того, чтобы быстро блокировать карту в случае ее утери или кражи.
Через 1 час запрет на выполнение операций по счету снимается автоматически без помощи сотрудников контактного центра. Дополнительная идентификация не осуществляется в случае, если сайт не поддерживает технологию 3D защиты. Для совершения платежа в этом случае требуется ввод информации, отмеченной на пластиковом носителе.
Но далеко не все финучреждения страны её применяют ввиду немалой стоимости. Ведущие же отечественные банки уже давно внедрили такую защиту. Среди них – Сбербанк, ВТБ, Альфа-Банк, Русский Стандарт, Тинькофф, Банк Москвы и др.
3Ds аутентификация — то же самое, что и 3-D Secure
Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.
От обычной оплаты в «один клик» 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг — ввод кода на специальной странице вашего банка, который выпустил карту.
Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в SMS или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).
Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).
Включение 3-D- secure
Самых частых причин, по которым карта не проходит и появляется статус «карта не прошла 3D-аутентификацию, либо отклонена платежной системой», всего три:
- Банальная — на карте недостаточно средств
- Тоже распространенная — для вашей карты не активирована услуга «3ds-авторизация»
- И третья причина — неправильной пароль для этапа 3ds-authentication Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно — вход в интернет-банк и т.д.
Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля — еще раз вводит пароль для интернет-банка. Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:
- зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
- держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)
Если же решение не найдено — стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.
Лишь немногие пользователи знают, что такое 3d secure на банковской карте Сбербанка. Речь идет о новой технологии, позволяющей защитить банковский пластик от возможного хищения денег мошенниками. Несмотря на то, что клиенты нередко слышат данное название, принцип работы опции не вполне ясен.
Раньше, для подключения сервиса к сбербанковской карте, достаточно было подать стандартное заявление в отделение компании.
Сегодня таких действий выполнять не требуется, поскольку все пластики типа «классик» и выше изначально оснащены дополнительным уровнем защиты. Услуга оказывается полностью без оплаты. Рассмотрим действующий порядок пользования функции и преимущества сервиса в 2019 году.
Что такое 3D Secure?
Что же такое аутентификация 3DS? Во-первых, это защищённый протокол, позволяющий безопасно оплачивать товары и услуги на просторах сети.
Во-вторых, это защитная технология, противодействующая мошенничеству.
Название 3DS расшифровывается как Three-Domain Secure. Наименование объясняется просто – проведение транзакций подразумевает использование трёх доменов:
- 1-ый относится к той торговой площадке, на которой пользователь решил сделать приобретение;
- 2-ой относится к электронной платёжной системе (с неё идёт переадресация на страницу, где указывается одноразовый код);
- наконец, 3-ий имеет отношение, как нетрудно догадаться, к банку-эмитенту (здесь указанная клиентом информация проверяется, а также происходит идентификация личности).
Процесс оплаты
- Введение разных данных (и их проверка)– номера пластика, его срока действия, фамилии и имени владельца, кода CVC/CVV или CVC2/CVV2 и пр.
- Переход на страницу банка – там вводится защитный пароль.
Кодовая комбинация может приходить на телефон в SMS (встречается чаще всего). В то же время она бывает и постоянной. Самый экзотичный вариант – использование карты разовых кодовых значений.
Важно! Если пользователь ввел неверный код безопасности банковской карты, операция может быть прервана системой. Когда идентификация завершается, появляется доступ к оплате, которую и проводит покупатель. Когда идентификация завершается, появляется доступ к оплате, которую и проводит покупатель
Когда идентификация завершается, появляется доступ к оплате, которую и проводит покупатель.
Распространённость технологии
Не все банки и далеко не все торговые интернет-площадки работают с 3D Secure. Однако сервис постоянно расширяет ареал своего применения.
Существует такая информация: кредитно-финансовые учреждения 195 государств сегодня подключены к технологии.
Чтобы узнать, работает ли Ваша банковская компания с сервисом, зайдите на её сайт или позвоните на горячую линию и узнайте у оператора.
Плюсы и минусы
Чтобы лучше понять суть и характер работы технологии, следует уделить внимание её достоинствам и недостаткам
- Безопасность. Любой пользователь хочет, чтобы доступ к его карте имел только он сам – в отдельных случаях ещё и члены семьи. 3DS гарантирует такой расклад благодаря одноразовым паролям, которые подходят только для единичного подтверждения операций.
- Доступность. Оперативность и элементарность производимых действий – немаловажные требования клиентов. Система подтверждения платежей через СМС удовлетворяет обоим моментам.
- Распространённость. Не все торговые площадки поддерживают технологию, однако работающих с ней всё больше и больше. Сегодня большая часть веб-магазинов приходит к использованию 3DS, что и не мудрено, ведь это вопрос финансовой безопасности не только покупателя, но и продавца.
- Удобство. Одноразовые пароли исключают необходимость запоминать море информации для осуществления транзакций в сети.
- Существует мнение, что 3DS в большей степени работает для продавца, нежели для покупателя, в том, что касается защиты финансов.
- Использование защитного протокола увеличивает время, уходящее на реализацию платежа.
- Подключение к 3DS позволяет магазинам перекладывать всю ответственность в случае акта мошенничества на банк.
Также нельзя не отметить, что часто процесс покупки срывается из-за усложнённой идентификации личности. Это приводит к явлению т.н. “брошенных корзин”: люди заходят на сайт, выбирают товар, отправляют его в корзину, переходят к оплате, сталкиваются с необходимостью указывать множество разных данных и завершают процесс, не доведя его до логичного конца.
Описание и основные аспекты
Основная концепция протокола — связать процесс финансовой авторизации с онлайн-аутентификацией. Эта дополнительная аутентификация безопасности основана на трехдоменной модели (отсюда трехмерность в самом имени). Эти три области:
- Домен эквайера (банк и продавец, которому выплачиваются деньги).
- Домен эмитента (банк, выпустивший используемую карту).
- Домен взаимодействия (инфраструктура, предоставляемая схемой карты, кредитной, дебетовой, предоплаченной или другими типами платежных карт, для поддержки протокола 3-D Secure). Он включает в себя Интернет, плагин продавца, сервер контроля доступа и других поставщиков программного обеспечения.
Протокол использует сообщения XML, отправляемые через SSL- соединения с аутентификацией клиента (это обеспечивает аутентичность обоих партнеров, сервера и клиента, с использованием цифровых сертификатов).
Транзакция с использованием Verified-by-Visa или SecureCode инициирует перенаправление на веб-сайт банка-эмитента карты для авторизации транзакции. Каждый эмитент может использовать любой метод аутентификации (протокол не покрывает это), но обычно пароль, привязанный к карте, вводится при совершении покупок в Интернете. Протокол Verified-by-Visa рекомендует загружать страницу верификации банка во время сеанса встроенного фрейма . Таким образом, системы банка могут нести ответственность за большинство нарушений безопасности. Сегодня легко отправить одноразовый пароль в составе текстового SMS-сообщения на мобильные телефоны и электронные письма пользователей для аутентификации, по крайней мере, во время регистрации и в случае забытых паролей.
Основное различие между реализациями Visa и Mastercard заключается в методе создания UCAF (универсального поля аутентификации держателя карты): Mastercard использует AAV (значение аутентификации держателя карты), а Visa использует CAVV (значение проверки подлинности держателя карты).
3-D Secure Flow
Провайдеры ACS
В протоколе 3-D Secure ACS (сервер контроля доступа) находится на стороне эмитента (банки). В настоящее время большинство банков передают ACS на аутсорсинг третьей стороне. Обычно в веб-браузере покупателя отображается доменное имя поставщика ACS, а не доменное имя банка; однако этого протокол не требует. В зависимости от поставщика ACS можно указать принадлежащее банку доменное имя для использования ACS.
Провайдеры MPI
Каждая транзакция 3-D Secure версии 1 включает две пары Интернет-запрос / ответ: VEReq / VERes и PAReq / PARes. Visa и Mastercard не разрешают продавцам отправлять запросы непосредственно на их серверы. Вместо этого продавцы должны использовать поставщиков MPI ( подключаемых модулей ).
Можно ли покупать в интернет магазинах без таких логотипов и без 3D Secure? И безопасно ли это?
На многих ресурсах утверждается, что лучше не покупать. Но я считаю, что можно. И вот почему:
- Использование технологии требуется и выгодно скорее банкам и продавцу. Так как помогает доказать, что именно покупатель дал указание на совершение платежа. В случае, если покупаем мы сами, у нас самих таких проблем не возникает. Мы точно знаем что мы это мы.
- Банк и так проведет операцию без 3D Secure, если ее инициирует мошенник. К покупке в конкретном магазине это не имеет никакого отношения. В этом случае придется обращаться в банк, который направит владельца карты в полицию писать заявление;
- Множество крупных магазинов не тратятся на использование этой технологии. Среди них, например, AliExpress, Amazon, Steam и другие. И все они живут без проблем, закладывая в свои бизнес-процессы возможный ущерб от фрода, но зато получая возможность списывать деньги со счета клиента самым простым способом — по его распоряжению. И даже взимать ежемесячные платежи без участия клиента — например за подписки на свои сервисы.
3DS 2.0: биометрия, незаметная для пользователя аутентификация и высокая конверсия в платеж
Новая версия 3D Secure, в отличие от предыдущей, адаптирована как для ПК, так и для мобильных устройств. Кроме этого, в 3DS 2.0 принципиально изменился способ аутентификации плательщика: теперь это происходит не только с помощью редиректа на сайт эмитента для обязательного введения проверочного кода из СМС, но и посредством дополнительных методов аутентификации.
Это стало возможным за счет использования RBA (risk-based authentication — аутентификации на основе рисков), основанной на том, что при проведении платежа собираются данные о держателе карты и передаются банку-эмитенту. Эти данные могут содержать более 100 элементов, включая информацию о держателе карты и устройстве, с которого совершается платеж (например, MAC-адрес), географическое положение плательщика, его предыдущие транзакции, адрес доставки оплачиваемого товара и т.д.
Система аутентификации и авторизации банка-эмитента (Access Control Server — ACS), в свою очередь, сравнивает их с историческими данными об операциях данного пользователя, в результате чего определяется степень риска мошенничества для этой конкретной транзакции и банк-эмитент принимает решение о том, необходима ли дополнительная проверка пользователя.
Если операция признается банком-эмитентом безопасной, она проводится по упрощенной схеме аутентификации (Frictionless flow), при которой плательщик автоматически признается прошедшим проверку подлинности — и никаких дополнительных данных у него запрашивать не будут.
Если же транзакция определена как рисковая, она проходит дополнительную проверку. Для этого держателю карты предлагается подтвердить свою личность с помощью биометрических данных и/или двухфакторной аутентификации (одноразового пароля, отпечатка пальца и т.д.).
Как это выглядит на практике
Предположим, пользователь часто совершает покупки на сумму до 5 тыс. рублей и никаких проблем по таким покупкам не было. Это значит, что в новой версии 3DS подобные платежи этого клиента можно провести без дополнительной идентификации.
Если же сумма покупки значительно выше обычной или, к примеру, для платежа используется не привычное устройство, а какой-то новый гаджет, банк-эмитент может дополнительно проверить этого пользователя, предложив ему, например, подтвердить операцию с помощью отпечатка пальца, который он уже оставлял ранее в мобильном приложении банка.
При этом все же нужно иметь в виду, что результат проверки — всего лишь рекомендация. Окончательное решение о необходимости дополнительных мер по аутентификации пользователя в любом случае принимает банк-эмитент.
Что это значит для бизнеса
Это значит, что в процессе совершения покупки дополнительное подтверждение будет требоваться намного реже: только для высокорискованных покупок с нетипичным поведением плательщика. Но даже в этом случае процедура аутентификации будет более простой и удобной.
Все это положительно скажется на росте платежной конверсии, при этом продавец не будет нести дополнительных рисков по мошенническим операциям.
Что в итоге
Насколько с помощью 3DS 2.0 удастся повысить платежную конверсию, нам еще только предстоит узнать. Понадобится время на повсеместное внедрение и отладку системы всеми участниками платежной инфраструктуры (платежных систем, эмитентов, эквайеров, сервис-провайдеров).
Одно можно сказать точно: это прекрасный задел на будущее, который решает массу ранее практически неразрешимых проблем при проведении онлайн-платежей. И после 2021 года онлайн-продавцу не нужно будет нести дополнительные риски, отказываясь от 3DS.
Новая версия протокола позволит поддерживать необходимый уровень безопасности без существенного ущерба для платежной конверсии.
Manually request 3D Secure with the API
The default method to trigger 3D Secure is based on risk level and other requirements. Triggering 3D Secure manually is for advanced users integrating Stripe with their own fraud engine.
To trigger 3D Secure manually, set to when creating or confirming a or . This process is the same for one-time payments or future off-session payments. When this parameter is provided, Stripe attempts to perform 3D Secure and overrides any on the PaymentIntent or SetupIntent.
When to provide this parameter depends on when your fraud engine detects risk. For example, if your fraud engine only inspects card details, you know whether to request 3D Secure before you create the PaymentIntent or SetupIntent. If your fraud engine inspects both card and transaction details, provide the parameter during confirmation—once you have more information. Then pass the resulting PaymentIntent or SetupIntent to your client to complete the process.
Explore the parameter’s usage for each case in the API reference:
When you set to , Stripe requires your customer to
perform authentication to complete the payment successfully if 3D Secure authentication is available for a card. If 3D
Secure is not available for the given card, the payment proceeds normally.
Технология 3-D Secure. Что это, её суть и преимущества
Новая технология 3-D Secure – это дополнительный уровень защиты платежей в интернет, призванный значительно уменьшить мошенничество с банковскими картами.
Протокол изначально разрабатывался для карточек Visa, и получил название Verified by Visa (VbV). Позже его признали и стали использовать другие платежные системы, но с другими названиями и в слегка преобразованном виде:
- MasterCard в виде MasterCard SecureCode (MCC);
- American Express под «именем» Safekey;
- JCB International как J/Secure.
Почему именно «3-D»? Дело в том, что для проведения любой операции используются 3 домена:
1. Домен банка-эмитента, выпустившего карту;
2. Домен банка-эквайера, в котором обслуживается счет продавца;
3. Домен совместимости – это посредник, обеспечивающий передачу информации между первыми двумя участниками (платежная система).
Суть технологии 3-D Secure заключается в использовании дополнительной аутентификации держателя карты (т.е. проверки подлинности пользователя по определённому признаку, например, по введённому паролю) при подтверждении расходной операции с его картой. Во время осуществления оплаты вы направляетесь на специальную защищённую страницу, где вам будет предложено выслать на ваш номер код подтверждения (или пароль) в виде sms-сообщения. Номер сотового должен быть зарегистрирован в банке, выпустившем вашу карту (к нему привязывается карта). Этот пароль вводится в соответствующее поле на странице, и при совпадении высланной вам и введённой вами последовательности цифр, платёж будет завершён.
Встречаются и другие варианты подтверждения, менее надёжные, когда пароль можно распечатать в терминалах того банка, который эмитировал карту. Тогда вы их получите сразу несколько на одном чеке. Может использоваться и ненадёжный постоянный пароль, установленный на сайте банка единожды, или карта с микропроцессором (скретч-карта), генерирующая пароли при каждой транзакции.
Основное преимущество протокола 3-D Secure – существенное повышение уровня безопасности онлайн-платежей при небольших затратах времени для держателя банковской карты.
Еще один важный момент – ответственность банка-эмитента. Если в результате расходной транзакции с использованием 3-D Secure были похищены средства с вашей карты, ответственность за допущенное мошенничество будет лежать на банке-эмитенте, выпустившем вашу платежную карточку, или на вас. Это так называемое правило «Переноса ответственности», установленное платёжными системами.
В том случае, если продавец (в лице банка-эквайера) не поддерживает эту услугу проверки подлинности карты, то вся ответственность ложиться на него. Таким образом, если реквизиты вашей карты своровали и попытались «слить» с неё деньги через банки, дополнительно не защищающие транзакции, то по идее, с держателя карты (т.е. с вас) ответственность должна быть снята, и все деньги вам должны вернуть!
Эта тема закрыта для публикации ответов.