Протокол 3D Secure
Что такое Протокол 3D Secure?
Протокол 3D Secure (Three‑Domain Secure protocol на англ.) — это протокол аутентификации, разработанный EMVCo для проверки личности держателя карты при онлайн‑платежах. В процессе участвуют три домена: эмитент (банк покупателя), эквайер (банк, обрабатывающий платёж) и инфраструктура интероперабельности платёжных схем.
Это механизм, который обеспечивает выполнение требований усиленной аутентификации клиента (SCA), обязательной в Европейской экономической зоне согласно Директиве PSD2. Каждая платёжная сеть использует собственную реализацию: Защита Visa, Проверка личности Mastercard и American Express SafeKey.
Как работает Протокол 3D Secure
Актуальная версия, 3DS2, работает нативно в checkout без перенаправлений. Процесс занимает миллисекунды:
- Покупатель вводит данные карты на странице оплаты.
- Платёжный шлюз обращается к Directory Server схемы, чтобы проверить, подключена ли карта к протоколу.
- Эмитент получает запрос вместе с более чем 100 контекстными параметрами (IP, устройство, история, геолокация).
- Сервер контроля доступа (ACS) эмитента выполняет RBA — анализ риска в реальном времени. Если риск низкий, операция проходит без трения. Если есть аномалии, запускается челлендж: OTP, подтверждение в банковском приложении или биометрия.
- Результат возвращается эквайеру, который продолжает процесс авторизации.
С 3DS2 до 95% операций проходят без видимого челленджа благодаря контекстному анализу риска, что значительно снижает отказ от покупки по сравнению со старым 3DS1.
Нормативные требования и безопасность Протокола 3D Secure
Правовая база 3D Secure в Европе опирается на три ключевых элемента.
PSD2 и RTS Европейского банковского управления. Статья 97 Директивы (ЕС) 2015/2366 требует применения SCA для электронных платежей. Делегированный регламент (ЕС) 2018/389 определяет допустимые исключения:
- Операции низкой суммы (менее 30 €, с накопительными лимитами 100 € или 5 последовательных операций).
- TRA — анализ риска транзакции, если уровень мошенничества провайдера ниже порогов EBA.
- Доверенные получатели, когда держатель добавляет торговца в список доверенных.
Real Decreto‑ley 19/2018. Имплементирует PSD2 в Испании и ограничивает ответственность держателя 50€ по несанкционированным операциям.
PCI DSS v4.0 требует шифрования, контроля доступа и постоянного мониторинга всех компонентов 3DS‑потока (ACS, Directory Server, 3DS Server).
Преимущества и недостатки 3D Secure
| Преимущества | Недостатки |
|---|---|
| Снижение мошенничества в операциях CNP | Трение, если эмитент запускает челлендж |
| Ответственность: после аутентификации чарджбэк переходит на эмитента | Зависимость от доступности ACS |
| Полное соответствие требованиям SCA/PSD2 | Сложная интеграция в устаревшие платёжные шлюзы |
| Более высокая одобряемость с 3DS2 и RBA | Эмитенты вне ЕЭЗ могут не поддерживать 3DS2 |
Для ecommerce оптимальная стратегия — умная аутентификация клиента (SCA): включать 3D Secure по умолчанию и использовать исключения (TRA, низкая сумма) в координации с эквайером, чтобы защитить конверсию.
Был ли этот термин полезным?
Оставить комментарий