Что такое 3d secure как подключить
9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure
Российский рынок e-commerce живет в условиях кризиса, сейчас то время, когда одной из ключевых задач для успешного «выживания» является настройка всех «винтиков» механизма вашего сайта. Один из таких «винтиков» — это сервис приема онлайн-платежей на сайте. При правильном подходе он может стать фактором успеха, а при неверном использовании — привести к серьезным проблемам. В данном выпуске, первом из серии «9 секретов онлайн-платежей», содержащей восьмилетний опыт работы команды PayOnline, мы поделимся правилами настройки протокола 3-D Secure для успешной обработки платежей на вашем сайте.
Краткий экскурс в историю вопроса
Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.
Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.
Почему 3-D Secure так называется? В обработке платежа с использованием протокола 3DS участвует три домена (3D), на которых создаются и проверяются транзакции (платежные операции по банковским картам): домен эквайера, домен эмитента и домен взаимодействия.
Как это работает?
80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?
Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.
Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.
С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.
Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.
Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.
Компромисс между безопасностью и конверсией
Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.
Full 3DS
Full (полный) 3DS – это базовая настройка протокола 3DS, рекомендованная международными платежными системами. Эта настройка минимизирует риск возникновения мошеннических операций и, соответственно, вероятность чарджбэков и финансовых рисков для компании.
Как это работает? Очень просто. Платежи одобряются только после прохождения авторизации с помощью протокола 3DS. Действует для всех карт без исключения. Все транзакции проходят по протоколу 3DS.
Если проверка по 3DS на стороне эмитента не работает или карта не подписана на 3DS, транзакция пройдет только с согласия эмитента, в противном случае будет отклонена.
Такая настройка протокола соответствует международным стандартам безопасности и минимизирует уровень рисков возникновения мошеннических операций. В рамках нашего базового коробочного платежного решения Pay-Start (решение разработано для сайтов с оборотом до 30 тысяч рублей в сутки), используется только базовая, Full, настройка протокола 3DS. Это обеспечивает небольшим компаниям практически полную безопасность при приеме платежей. Платежный сервис несет ответственность за безопасность платежей и никогда не порекомендует клиенту «поставить себя под удар» мошенников.
Однако, в случае с крупным бизнесом, вопрос увеличения конверсии становится настолько критичным, что может заставить предпринимателя пойти на уступки в отношении безопасности. В этой ситуации часть или все платежи по банковским картам обрабатываются без проверки с помощью 3DS. Это касается минимальной и двухступенчатой настроек протокола.
Минимальный 3DS
Минимальные настройки протокола 3DS позволяют проверить карты, подписанные на 3DS, а остальные пропустить без проверки (точнее с проверкой – но с помощью других инструментов системы безопасности, так называемых фильтров безопасности).
Двухступенчатый 3DS
Эта настройка протокола 3DS похожа на минимальную, но имеет одно существенное отличие. В этом случае все запросы на одобрение транзакций направляются в банк-эмитент по протоколу 3DS. И банк-эмитент принимает решение о возможности проведения транзакции, если карта плательщика не подписана на протокол 3DS. Если банк отклоняет транзакцию, она направляется на проверку повторно, но уже не по протоколу 3DS.
Можно пойти дальше и выбрать один из трех возможных вариантов, настроив 3-D Secure ещё «тоньше», учитывая тип бизнеса и географию стран, в которых представлены интересы компании. Например, включить 3DS для определенных стран или заданного типа карт, а также в зависимости от различных параметров платежа — суммы, географии плательщика и т.д.
Нужно еще раз отметить, что минимальный и двухступенчатый 3DS при непрофессиональном использовании могут повысить уровень риска возникновения мошеннических операций и, соответственно, финансовых потерь. В общем, настройка 3DS – это совсем не игрушка.
Перед изменением настроек протокола проводится совместный анализ аудитории и специфики бизнеса компании (средний «по больнице» уровень рисков в данном сегменте, география приема платежей, размер среднего чека и т.д.). Анализ проводится специалистами платежного сервиса при участии представителей компании клиента. По результатам проведенного анализа предоставляются рекомендации по возможности изменения настроек и сопряженному с ними уровню рисков. Финальное решение принимает клиент, так как он берет на себя ответственность за возможность возникновения мошеннических операций. Стоит отметить, что изменения чаще всего внедряются в случае, если нет серьезных опасений о появлении фрода.
Что же делать?
Здесь встает вопрос, по какой же схеме удобнее, выгоднее и безопаснее работать интернет-магазину или другому сервису, принимающему платежи онлайн?
Единственная слабость Full 3DS очевидна – платежи по картам, не подписанным на 3DS (в России их около 20% и их число постоянно уменьшается), будут отклоняться. Такие карты обычно эмитируются банками, не входящими в ТОП-50, зачастую региональными. Главным плюсом же является практически полная безопасность: в соответствии с установленными международными платежными системами правилам ответственность за операции, обработанные по протоколу 3DS, несет банк-эмитент (банк, выпустивший карту).
Выбирая двуступенчатый или минимальный 3DS, интернет-магазин берет на себя риски, связанные с возможностью возникновения фрода (мошеннических операций). Однако, при профессиональном анализе рисков, тонкой настройке системы фрод-мониторинга на стороне платежного партнера доля успешных транзакций заметно увеличивается, иногда на десятки процентов.
От теории к практике
Рассмотрим кейс одного из наших клиентов, авиабилетного агентства «Посошок» (pososhok.ru). Оборот компании в 2013 году составил 4,5 млрд. рублей, на сегодняшний день компания может похвастаться полутора миллионами обслуженных пассажиров.
В марте 2014 года компания столкнулась с проблемой: авторизация покупателей с помощью протокола 3-D Secure давала высокую степень защиты, но перед компанией стояла задача увеличить конверсию в оплаты: одобрялось лишь 79% транзакций.
На тот момент использовалась двустадийная авторизация платежей. Первая стадия авторизации проводилась по протоколу 3D-Secure. Если платеж совершался с карты, не подписанной на 3DS, на второй стадии авторизации проверка выполнялась системой мониторинга мошеннических операций PayOnline (о ней будет рассказано подробнее в следующих статьях) на основании настроек её фильтров.
Проанализировав аудиторию покупателей, ядро которой составляли россияне, специалисты «Посошка» совместно с консультантом PayOnline приняли решение об изменении настроек безопасности для платежей из России, совершаемых картами, эмитированными в России. Для таких платежных операций была отключена авторизация по протоколу 3DS. Их проверяла система мониторинга мошеннических операций PayOnline, каждый из 154 фильтров, которой был настроен в соответствии со спецификой бизнеса «Посошка». Для остальных типов транзакций продолжала применяться авторизация по 3DS.
Результат не заставил себя долго ждать: уже через полгода конверсия «взлетела» до 91%, и продолжала расти.
При этом количество «чистых» операций, отклоненных системой мониторинга за этот период, можно пересчитать по пальцам – и все они впоследствии были идентифицированы и проведены вручную. А благодаря профессионализму специалистов, занимавшихся настройкой протокола 3DS, изменения не сказались на уровне безопасности.
В следующем выпуске мы расскажем, как привязать клиента к своему сервису при помощи регулярных платежей, что это такое, какие вопросы на этапе подключения могут возникнуть у вас, а в процессе использования – у плательщиков, и какой «профит» ожидает в результате. Если вы хотите подключить и настроить платежи, обращайтесь, наши специалисты помогут вам в этом.
Зачем нужен 3D-Secure и как подключить?
Для чего нужна технология 3D-Secure, нужно ли подключать и как защитить себя от мошенников?
Что такое 3D-Secure?
Современное технологическое решение, позволяющее максимально обезопасить платежные операции через онлайн-ресурсы, называется 3D-Secure. Данная услуга разработана для международных платежных систем и является сертифицированным продуктом, помогающим владельцу банковской карты исключить риски мошенничества в сети Интернет. Программа безопасности осуществляется благодаря дополнительной идентификации для подтверждения платежа при помощи OTP-пароля (One Time Password).
Технология 3D-Secure – XML-протокол, применяемый в качестве дополнительного уровня защиты. Эффективность данного метода двухфакторной аутентификации помогает участникам банковской операции (эквайеру и эмитенту) убедиться, что оплата проводится именно владельцем карты. Суть технологии заключается в появлении третьего независимого домена для обеспечения работы системы безопасности и подтверждения транзакции.
Что такое 3D-Secure на банковской карте
Многие банки Российской Федерации используют данный тип защиты при расчетах в сети Интернет и подключают услугу автоматически. В некоторых случаях защиту нужно подключать самостоятельно, отправив запрос в банк и активировать автоматическое «SMS-информирование» на выбранный и подтвержденный вами номер.
Рассмотрим детальнее, что такое 3D-Secure на банковской карте и как она работает. Программа была разработана для защиты онлайн-платежей от несанкционированного снятия денежных средств с дебетовой или кредитной карты через Интернет. Банковская карта связана с номером мобильного телефона, на который в случае совершения покупок в Интернете, высылается код подтверждения. Без этого одноразового пароля карта защищена от снятия денег в онлайн-магазине.
Технология 3D-Secure Visa и MasterCard
Благодаря 3D-Secure каждая покупка в онлайн-магазинах в обязательном порядке должна быть подтверждена одноразовым кодом, который высылается на мобильный телефон. Такая система безопасности эффективна для расчетов только на сайтах, поддерживающих данную систему, о чем свидетельствуют соответствующие логотипы. На непроверенных ресурсах, которые не поддерживают сервис, данная программа не работает. Прежде чем совершать покупку, обратите внимание на наличие соответствующих логотипов, которые свидетельствуют о том, что сайт поддерживает безопасный протокол денежных платежей:
Данная технология проста, понятна и предельно эффективна. Применение трех-доменной защиты для каждой транзакции предполагает наличие дополнительной аутентификации владельца карты. Отсюда и появилось в названии 3D, обозначающие три домена защиты, которые участвуют в осуществлении платежа:
При подключенной защите карточки, каждая онлайн-покупка на сайтах, поддерживающих безопасный протокол перевода денег, происходит в несколько этапов, не требует особых знаний и не занимает лишнего времени:
Как подключить 3D-Secure?
Вся суть трех-доменной защиты основана на получении уникального пароля на мобильный номер телефона и дальнейшем введении его для подтверждения оплаты. Поэтому для активации двойной аутентификации при онлайн-платежах необходимо подключить в своем банке услугу «SMS-информирование». Как правило, в банках подключение 3D-Secure возможно двумя способами:
Активация защиты банковской карточки занимает минимум времени, а ее эффективность доказана и признана ведущими мировыми платежными системами. Всего несколько простых действий и ваши средства на карте надежно защищены самой современной и высокотехнологичной системой безопасности. Также обратите внимание, что номер мобильного телефона, который указан для отправки одноразового пароля, при необходимости можно сменить. Дополнительно стоит отметить, что рассылка сообщений уникальными паролями в роуминге не работает, поэтому во время путешествий за границей этот фактор нужно учесть.
Далее детально рассмотрим особенности, наиболее удобные варианты и этапы, как подключить 3D-Secure для своей банковской карты на примере Сбербанка и ВТБ 24.
Как подключить 3D-Secure в Сбербанке
Не во всех банках предоставляется данная услуга по защите банковской карточки, но в Сбербанке она абсолютно бесплатная и активируется автоматически без каких-либо требований со стороны клиента. Если у вас совсем новая карта, и еще не активирована защита 3D-Secure, Сбербанк как подключить эту услугу, подскажет в любом своем отделении и выполнит активацию сразу же после обращения. Для того, чтобы проверить, работает ли сервис, достаточно совершить любую мелкую покупку в Интернете или пополнить счет на мобильном телефоне.
Некоторые владельцы дебетовых или кредитных карт задают вопрос, можно ли отключить 3D-Secure? Сбербанк настоятельно рекомендует пользоваться трех-доменной защитой для денежных транзакций при онлайн-покупках и оплате услуг при помощи сети Интернет. Сервис 3D-Secure Сбербанк считает и называет дополнительной защитой от мошенников, поэтому отказываться от его использования нецелесообразно. Кроме того, при использовании шестизначного одноразового пароля, полную ответственность за неправомерное снятие денежных средств в интернет-магазине автоматически переносится на банк.
Службой безопасности рекомендуется к применению технология 3D-Secure, Сбербанк также напоминает, что нельзя пользоваться услугами сайтов, которые не поддерживают безопасный протокол оплаты при помощи дополнительной аутентификации. Доверять таким ресурсам нельзя и лучше воздержаться от покупок при отсутствии безопасной системы платежей.
Как подключить 3D-Secure в ВТБ 24
В ВТБ 24 3D-Secure подключается автоматически и является абсолютно бесплатной услугой, предоставляемой всем клиентам банка, имеющим карты выпущенные с 12 декабря 2016 года и новее. Всем остальным владельцам банковских карточек защитную функцию необходимо подключать самостоятельно. Есть два способа, как подключить 3D-Secure, ВТБ 24 на своем сайте детально разъясняет поэтапно процедуру активации услуги.
В первом варианте предлагается посетить любое отделение банка и, написав заявление, предоставить номер карты и номер мобильного телефона, которые будут совместно использоваться для аутентификации во время онлайн-платежей.
Второй вариант подключения предусматривает использование сервиса банкомата для самообслуживания. Для этого нужно войти в меню банкомата:
В ответ на вашу заявку о подключении защитной услуги, банк отправит подтверждающее SMS, в котором будет указано, что услуга для карточки активирована и связана с вашим номером мобильного телефона.
Если возникла необходимость сменить номер телефона, привязанный к карточке, можно его сменить при помощи меню банкомата. После отправки заявки о смене номера телефона для 3D-Secure, ВТБ отправит вам SMS с уведомлением об изменениях. Это является дополнительной мерой безопасности, и в случае, если вы не вносили изменения, рекомендуется незамедлительно посетить отделение банка и выяснить вопрос.
Рекомендации
Защитная технология 3D-Secure является наиболее оптимальным способом защиты при оплате товаров или услуг в режиме онлайн через Интернет-ресурсы. Данная услуга абсолютно бесплатна, активно используется крупнейшими платежными системами в мире и не имеет недостатков. Банки, использующие данный тип защиты для карточек, рекомендуют не отключать услугу, так как при ее использовании можно получить:
Если у вас уже подключена функция 3D-Secure на карточке, будьте уверены, что ваши покупки в Интернете надежно защищены современной системой, и отключать ее не рекомендуется. В случае же отсутствия данной защиты, стоит задуматься о ее активации, так как повышение уровня безопасности без лишних затрат и сложностей, является не просто удобной функцией, но средством эффективной защиты денежных средств и платежных операций.
Что такое 3D secure на банковской карте
Ежегодно число держателей дебетовых и кредитных карт растет. Но появляются и новые способы мошенничества, которые могут списать деньги без ведома владельца. Для защиты личных данных и сохранности средств придумали технологию 3D secure.
Что такое 3D secure простыми словами
Ежедневно мы совершаем операции с нашими банковскими носителями — оплачиваем покупки в магазинах у дома и онлайн, переводим деньги, совершаем транзакции между своими счетами.
Пластиковые носители подвергаются опасности: без нашего согласия и ведома мошенники могут украсть деньги со счета. Чтобы минимизировать риски в банковской сфере были введены несколько степеней защиты.
Код нужен для подтверждения платежа в интернет-магазинах. Ни в коем случае нельзя сообщать эти цифры посторонним, даже если они представляются сотрудниками банка.
Пин-код защищает от несанкционированного снятия наличных средств через банкомат. Например, если карточка попала в руки третьих лиц.
Технология двухшагового подтверждения. Увеличивает безопасность проведения платежей с кредитных и дебетовых карт, которые мы совершаем в интернете.
3D secure — что это такое? Дополнительная ступень сохранности денег.
Например, на сайте онлайн-магазина нужно произвести оплату. Вы вводите данные и CVV код, после чего всплывает страница, на которой вы вводите код, отправленный на ваш номер телефона. Это и есть подтверждение, что вы являетесь владельцем карточки. Ведь номер телефона привязан именно к этому пластику.
Название 3D secure не имеет отношения к дополненной реальности, а происходит от словосочетания Three Domains, или Три домена.
В операции участвуют три адреса — банк (откуда будут списаны деньги), магазин (кому средства отправятся) и домен совместимости, или платежной системы, которая обеспечивает техническую сторону транзакции.
Как это работает: вы вводите номер карты для оплаты товара, в этот момент списывается определенная сумма и замораживается на время на домене платежной системы, ожидая подтверждения из СМС. Если проверочный код не был введен, то деньги через какое-то время возвращаются на карту, так и не дойдя до адреса магазина.
В случае, если 3D secure-технология применяется при операциях интернет-магазина, на сайте можно найти специальные обозначения Verified by Visa (обозначается как VbV) или SecureCode от MasterCard.
Стоит отметить, это эта технология не гарантирует полнейшую безопасность денег: есть небольшая вероятность того, что проверочные коды могут перехватить вирусные боты и передать их злоумышленникам.
Карта «Халва» оснащена всеми возможными степенями защиты. В то же время это понятный и надежный банковский инструмент, который можно использовать для всего:
Оформите «Халву» прямо сейчас и начинайте покупки незамедлительно! Наш курьер привезет карту в удобное время в указанное место, вам останется только выбрать из 250 000 магазинов-партнеров лучший для себя.
Как подключить
Технология 3D secure довольно молодая — она стала активно внедряться в продукты банков с 2016 года, и сегодня является практически обязательной, поэтому предустановлена на большинстве современных карт.
Эта услуга абсолютно бесплатна. Но если вдруг протокол 3D secure не подключен на пластиковом носителе, активировать его можно самостоятельно при условии поддержания этой функции.
Следует обратиться с паспортом и картой к сотруднику, который поможет составить заявление и подключить функционал.
Протокол можно подключить при помощи вкладки «Прочие операции», предварительно привязав к номеру своего телефона.
Для этого нужно авторизоваться, в личном кабинете активировать протокол.
Нужно позвонить или написать в чат своей кредитной организации и попросить включить 3D secure.
Можно методом проб и ошибок узнать, подключена ли эта проверочная функция к вашему носителю. Для этого оформите любую покупку в интернет-магазине и введите данные. Выбирайте только проверенные площадки!
Далее ждите проверочного кода, который вам отправит банк в виде СМС. Сообщение не пришло? Значит, функция дополнительной защиты недоступна.
Как отключить
Начиная с 2016 года, практически каждый новый носитель оснащен протоколом 3D secure. Его использование абсолютно бесплатно, но и отключить функцию по требованию клиента невозможно.
Финансовые организации не заинтересованы в полном отказе от 3D secure.
Впрочем, всегда можно договориться. Например, если вы переезжаете в другую страну, но продолжаете пользоваться карточкой, банк может предложить привязать ее к заграничному номеру телефона.
Преимущества и недостатки
Совершенных технологий не существует, и 3D secure – не исключение. При всех ее плюсах есть и минусы, на которые тоже нужно обратить внимание.
| Положительные стороны | Отрицательные стороны |
| Гарантия повышенного контроля и защиты: если носитель утерян, оплату без подтверждения невозможно осуществить | Есть уязвимые места: мошенники могут получить доступ к паролям с помощью вредоносных программ |
| Каждый раз генерируется новый пароль, который не нужно запоминать | |
| Протокол проводит аутентификацию самостоятельно без участия владельца карты | Уведомления приходят, если телефонный аппарат находится в зоне доступа сети |
| Система предоставляет услуги бесплатно | Без доступа к интернету невозможно ввести проверочный код и совершить покупку |
Почему эта функция интересна онлайн-магазинам, и они не заинтересованы в ее отключении? Дело в том, что протокол 3D secure защищает продавцов от определенного вида обмана — фрода. Часто случается, что покупатель требует вернуть деньги за товар после оплаты, мотивируя это тем, что не соглашался на транзакцию. 3D secure как раз доказывает факт согласия и намеренной оплаты путем подтверждения через одноразовый пароль.
Как мошенники могут обойти 3D secure
Примечательно, что торговые площадки, которые не поддерживают этот протокол, полностью снимают с себя ответственность за действия злоумышленников, поэтому обезопасить платеж в этом случае обязан банк, выпустивший карту.
Но если владелец карты введет СМС-пароль для подтверждения, все обязательства ложатся на его плечи, и доказать, что покупку совершили мошенники, будет практически невозможно.
Часто злоумышленники рассылают фейковые письма, в которых говорят о выигрыше, который можно получить, введя данные своей карты. Ни в коем случае не открывайте такие сообщения: в них наверняка находится вирус, который считает информацию и передаст третьим лицам, а вы, конечно, не получите никакой выигрыш.
Как обезопасить себя:
Банковский мир развивается и предлагает все новые и новые продукты. Кто знает, что ждет нас завтра? Возможно, финансовые учреждения придумают, как полностью обезопаситься от мошенников. В любом случае, ответственность за сбережения несем мы сами, а в этом нам помогает 3D secure.