Двухфакторная аутентификация платежей (2FA)
Что такое двухфакторная аутентификация платежей (2FA) и как она нас защищает?
Двухфакторная аутентификация платежей (2FA) — это механизм безопасности, который требует подтверждения личности пользователя с помощью двух независимых факторов перед выполнением операции. В европейской платежной экосистеме этот процесс называется SCA (Усиленная аутентификация клиента) и является обязательным требованием Директивы PSD2 для электронных транзакций.
В отличие от простой аутентификации по паролю, 2FA сочетает два из трёх факторов: то, что пользователь знает (PIN или пароль), то, что он имеет (мобильное устройство или токен), и то, чем он является (отпечаток пальца или распознавание лица).
Как работает двухфакторная аутентификация в платежах
Когда держатель карты инициирует оплату в интернет‑магазине, двухэтапная проверка запускается через протокол 3‑D Secure (3DS):
- Покупатель вводит данные карты на странице checkout.
- Платёжный шлюз отправляет запрос эмитенту через платёжную сеть.
- Эмитент оценивает риск и при необходимости инициирует усиленную аутентификацию.
- Пользователь подтверждает личность вторым фактором: одноразовым кодом (OTP), биометрией лица или отпечатком пальца.
- После успешной проверки обоих факторов эмитент авторизует транзакцию.
Согласно PCI DSS v4.0, использование двух факторов одного типа (например, двух разных паролей) не считается корректной многофакторной аутентификацией. Каждый фактор должен относиться к разной категории, и с марта 2025 года MFA обязательна для доступа к среде данных держателей карт (CDE).
Нормативные требования и безопасность 2FA
Правовая база, регулирующая 2FA в Европе, многоуровневая.
PSD2 (Директива (ЕС) 2015/2366) в статье 97 требует применения SCA для электронных платежей, доступа к счетам и операций с риском мошенничества. EBA разработала технические стандарты (RTS), определяющие конкретные требования и возможные исключения.
PCI DSS v4.0 усиливает эти требования со стороны индустрии карт. Требование 8.4 обязывает внедрить MFA для любого доступа к CDE, а пункт 8.5.1 требует устойчивости MFA к атакам повторного воспроизведения.
Существуют исключения из SCA, которые может использовать торговец: операции малого размера (менее 30 €), транзакционный риск‑анализ (TRA) и регулярные списания (MIT), если сумма не меняется.
Преимущества и недостатки 2FA
Преимущества:
- Снижение мошенничества: аутентификация через 3DS переносит ответственность на эмитента в случае мошеннического чарджбэка, защищая оборот торговца.
- Рост одобрений: эмитенты охотнее одобряют операции, прошедшие аутентификацию. Передача расширенных данных (адрес, email, устройство) вместе с 2FA повышает вероятность авторизации.
- Баланс между конверсией и безопасностью: «умная» SCA позволяет освобождать операции низкого риска и запрашивать проверку только при необходимости.
Недостатки:
- Дополнительные шаги в checkout: каждый лишний экран увеличивает вероятность отказа, особенно на мобильных устройствах.
- Зависимость от эмитента: качество 3DS‑процесса зависит от банка клиента. Медленный интерфейс увеличивает процент отказов, и торговец не может на это повлиять.
- Техническая сложность: управление исключениями и адаптивными потоками 3DS требует продвинутой интеграции с платёжным шлюзом.
Регулярные списания по карте (MIT) освобождаются от 2FA после первой аутентифицированной транзакции (CIT), если сумма и получатель остаются неизменными. Это снижает трение в моделях подписки.
Был ли этот термин полезным?
Оставить комментарий