Geekly articles weekly

تغييرات بروتوكول آمن ثلاثي الأبعاد: تلبية 3-D Secure 2.0


سنة بعد سنة ، التكنولوجيا تتقدم بسرعة في إنجازاتها وقدراتها. في المستقبل القريب جدًا ، سينقل بروتوكول 3D Secure 2.0 المحدث الأمان عبر الإنترنت في صناعة الدفع إلى مستوى جديد تمامًا. سيوفر البروتوكول فرصة لإنشاء قناة آمنة في الوقت الفعلي لتبادل البيانات ، والتي من خلالها سيتم إرسال المزيد من بيانات المعاملات من أجل مصادقة أكثر دقة للمشتري ، ستزداد سرعة الدفع ، حيث لن تمر جميع المعاملات بالمصادقة بكلمة مرور ، ولكن بعضها فقط جزء. دعونا نلقي نظرة على التغييرات الرئيسية في البروتوكول الجديد مقارنة بإصداره السابق.

ما هو تأمين 3D؟


3D Secure هو بروتوكول أمان تم تطويره في عام 1999 ويهدف إلى منع الاستخدام الاحتيالي لبطاقات الائتمان عن طريق التحقق من صحة حاملي البطاقات في المعاملات التي لا تتطلب التواجد الفعلي للبطاقة (عمليات CNP). "ثلاثي الأبعاد" يعني "المجالات الثلاثة" التي يعمل فيها البروتوكول والتي تشمل نطاق المصدر (نطاق البطاقة المصرفية المصدرة) ، ونطاق المستحوذ (نطاق البائع والبنك الذي تم تحويل الأموال إليه) ونطاق التوافق (المجال المقدم بواسطة الدفع 3D نظام دعم بروتوكول آمن). تم تطوير البروتوكول وإدارته من قبل EMVCo ، وهي منظمة مملوكة بشكل مشترك من العلامات التجارية الكبرى Visa و Mastercard و American Express و Discover و JCB و UnionPay.

تم تصميم الإصدار الأول من 3D Secure لزيادة ثقة المستهلك في المدفوعات عبر الإنترنت ، مما ساهم في نمو التجارة الإلكترونية. لحماية نفسك من المعاملات الاحتيالية ، يضيف 3D Secure خطوة مصادقة أخرى للمدفوعات عبر الإنترنت ، والتي تتيح للتجار والبنوك التأكد من أن حامل البطاقة يقوم بالدفع. عند استخدام 3D Secure 1 ، يعرض النظام إطارًا منبثقًا أو إطارًا مضمنًا ، مما يتطلب من المستخدم إدخال كلمة مرور حتى يتمكن البنك من مصادقة المستخدم. ومع ذلك ، لا يمكن مصادقة بيانات اعتماد كيان إنشاء نافذة منبثقة.


بالنسبة للأعمال التجارية ، تكون فوائد 3D Secure واضحة: يوفر طلب معلومات إضافية مستوى إضافيًا من الحماية ضد الاحتيال ، مما يضمن قبولك لمدفوعات البطاقات من العملاء الموثوق بهم فقط. أيضًا ، في حالة استخدام برنامج 3D Secure ، يحدث ما يسمى بـ "مسؤولية المسؤولية" ، حيث تنتقل مسؤولية الاحتيال أيضًا من البائع إلى مصدر البطاقة. وبالتالي ، إذا لم يتم تطبيق 3D Secure ، فعندما يعارض حامل البطاقة معاملة احتيالية:

  • البائع (التاجر) مسؤول عن المعاملة.
  • يجب على البائع (التاجر) إرجاع أموال المشتري (استرداد التكاليف)

ولكن إذا نفذ البائع خدمة 3D Secure ، فإن المسؤولية عن المعاملات الاحتيالية تنتقل إلى المصدر (البنك الذي أصدر البطاقة).

ما هي التغييرات الرئيسية في بروتوكول 3D Secure 2.0؟


لقد مرت أكثر من 17 عامًا منذ تطوير برنامج 3D Secure 1. على الرغم من أن صناعة الدفع في معظم البلدان قد اعتمدت طريقة المصادقة هذه جيدًا ، فقد تم الاعتراف بالحاجة إلى إنشاء بروتوكول جديد مع مراعاة متطلبات السوق الحالية والمستقبلية ، بما في ذلك إضافة دعم للمصادقة على الأجهزة المحمولة وتكامل المحافظ الرقمية. بالإضافة إلى ذلك ، لوحظ أن استخدام برنامج 3D Secure 1 له بعض العيوب:

  • الخطوة الإضافية اللازمة لإتمام عملية الدفع تزيد من تعقيد عملية تقديم الطلب وقد تؤدي إلى حقيقة أن العملاء يرفضون الشراء.
  • لا يزال هناك عدد من البنوك التي تطلب من حاملي بطاقاتهم إنشاء وتذكر كلمات المرور الثابتة الخاصة بهم لإكمال التحقق من Secure 3D. يسهل نسيان كلمات المرور هذه ، مما قد يؤدي أيضًا إلى زيادة احتمال رفض الشراء.
  • التأثير السلبي على تجربة المستخدم (UX) ملحوظ بشكل خاص في تطبيقات الهاتف المحمول. عندما قدمت فيزا لأول مرة معيار 3D الآمن ، كانت أجهزة الكمبيوتر الشخصية هي القناة الوحيدة المتاحة للمستهلكين للتسوق عبر الإنترنت. على الأجهزة المحمولة ، يمكن أن يؤدي استخدام 3D Secure إلى إعادة توجيه العملاء من تطبيقهم الخاص إلى موقع الويب الخاص بالبنك ، والذي لم يتم تحسينه للأجهزة المحمولة.

مع الأخذ في الاعتبار نقاط الألم الرئيسية في 3D Secure ، أصدرت EMVCo مؤخرًا نسخة محسنة جديدة من البروتوكول. يعالج EMV 3-D Secure (3D Secure 2 أو 3DS2) العديد من أوجه القصور في 3D Secure 1 ويوفر المزايا الرئيسية التالية:

1. جهاز مرنة وقناة الدعم.

يوفر تفاعلًا أكثر سلاسة واتساقًا مع المستخدم من خلال العديد من قنوات الدفع ، بما في ذلك الدفع في متصفح الهاتف المحمول ، والمدفوعات في التطبيقات والمدفوعات من خلال محفظة رقمية.

2. تحسين تجربة المستخدم.

يوفر للتجار الفرصة لدمج عملية المصادقة بشكل أفضل في عملية الشراء ، مما يوفر لحاملي البطاقات مصادقة سريعة وسهلة ومريحة مع مستوى عالٍ من الأمان. على عكس كلمات المرور الثابتة ، يستخدم 3D Secure 2 أساليب المصادقة الديناميكية مثل القياسات الحيوية والمصادقة المستندة إلى الرمز المميز. أيضًا ، سيسمح 3D Secure 2 للشركات بتدفق تدفق المكالمات مباشرة في شبكة الإنترنت وتدفقات الدفع عبر الهاتف المحمول - دون الحاجة إلى أي عمليات إعادة توجيه. باستخدام SDKs المحمول الجديد ، ستتمكن الشركات من تنفيذ عمليات البث الخاصة بها في تطبيقاتها ، والتي لن تتطلب من عملائها بعد الآن التبديل إلى البث عبر المتصفح لإكمال المعاملة.

3D Secure 1 (دليل 3D Secure 2 Stripe):

3D Secure 2 (دليل 3D Secure 2 Stripe):

3. تعزيز تبادل البيانات لإدارة الاحتيال وتقليل الاحتكاك (تحسين تبادل البيانات لمكافحة الاحتيال وتقليل العقبات). المصادقة المستندة إلى المخاطر (RBA ، المصادقة المستندة إلى المخاطر). مصادقة الاحتكاك.

يسمح Frictionless Flow للمصدرين بالموافقة على الصفقة دون الحاجة إلى الإدخال اليدوي للبيانات من حامل البطاقة. يتم تحقيق ذلك من خلال ما يعرف بالمصادقة المستندة إلى المخاطر (RBA). يعمل بنك الاحتياطي الأسترالي (RBA) من خلال جمع مجموعة من البيانات حول حاملي البطاقات خلال إحدى المعاملات وإرسالها إلى البنك المُصدر وخوادم التحكم في الوصول (ACS) ، والتي تقوم بعد ذلك بمقارنة البيانات التي تم جمعها ببيانات معاملات حامل البطاقة السابقة (السابقة) لعرض قيمة مخاطر الاحتيال المقابلة للقيمة الجديدة صفقة. سيسمح تطبيق 3D Secure 2 للشركات ومقدمي خدمات الدفع الخاصة بهم بإرسال أكثر من 100 عنصر بيانات بأمان لكل معاملة إلى بنك حامل البطاقة. يتضمن هذا البيانات المتعلقة بالدفع ، مثل عنوان التسليم ، وكذلك البيانات السياقية ، مثل معرف جهاز العميل أو تاريخ المعاملات السابقة.



يمكن لبنك حامل البطاقة استخدام هذه المعلومات لتقييم مستوى مخاطر المعاملة وتحديد الإجابة المناسبة. إذا كانت قيمة مخاطر الاحتيال أقل من قيمة الحد المحدد مسبقًا ، يتم تطبيق تدفق بدون احتكاك. بمعنى آخر ، إذا كان خطر الاحتيال منخفضًا بدرجة كافية ، فلن يطلب البنك المُصدر إصدار مزيد من التحقق من حامل البطاقة ويعتبر أن حامل البطاقة قد اجتاز المصادقة. هذا يلغي خطوة التحقق اليدوي التي كانت مطلوبة دائمًا من حاملي البطاقات في تطبيق 3D Secure 1:

1) إذا كانت هناك بيانات كافية حتى يتمكن البنك من تصديق أن حامل البطاقة الحقيقي يقوم بعملية شراء ، فإن الصفقة تلبي متطلبات التدفق بدون احتكاك ، ويكتمل المصادقة دون التأثير على تفاعل المستخدم - لا يرى حامل البطاقة أي علامات أبدًا تم تطبيق 3D Secure. بمعنى آخر ، إذا كان خطر الاحتيال منخفضًا بدرجة كافية ، فلن يطلب البنك المُصدر إصدار مزيد من التحقق من حامل البطاقة ويعتبر أن حامل البطاقة قد اجتاز المصادقة. يؤدي هذا إلى إلغاء خطوة التحقق اليدوي التي كانت مطلوبة دائمًا من حاملي البطاقات في 3D Secure 1.

2) في حالة ارتفاع قيمة مخاطر الاحتيال عن الحد المحدد مسبقًا ، على سبيل المثال ، يقرر البنك أنه يحتاج إلى أدلة إضافية ، ويتم تنفيذ المعاملة في وضع التحدي ، ويُطلب من العميل تقديم بيانات إضافية للتحقق من صحة الدفع.


4. تغيير مسؤولية البائعين (التجار) في حالة الاحتيال

تتضمن الاختلافات الهامة في PSD2 أيضًا تغييرات في مسؤولية البائعين (التجار) في حالة الاحتيال. المُصدرون هم المستفيدون الواضحون من تبادل البيانات الأوسع نطاقًا المطلوب لـ 3DS 2.0 ، لأنهم مسؤولون عن أي عمليات رد تكاليف. كلما زاد عدد البيانات المتوفرة لديهم ، زادت دقة تقييم مخاطر المعاملة.

ومع ذلك ، يستفيد التجار أيضًا ، خاصةً إذا لم يجمعوا بعد بيانات المعاملة الكافية المطلوبة للمشاركة في 3DS ، لأنه بعد ذلك يمكنهم استخدام هذه البيانات لتحسين جهودهم الخاصة للكشف عن الاحتيال. ولكن حتى إذا كان لدى البائع بالفعل برنامج متطور لمنع الاحتيال ، فلا ينبغي لأحد أن يغفل مستوى الحماية الإضافي الذي يوفره المصدر الذي يجري تقييم المخاطر الخاص به. عادةً ما يكون لمقدمي ACS الذين يستخدمهم المصدرون حق الوصول إلى مصادر بيانات الاحتيال غير المتاحة للبائعين الأفراد ، مما يتيح لهم في كثير من الأحيان تقديم تقييم أكثر موثوقية لخطر الاحتيال.

متى ستدعم أنظمة الدفع 3-D Secure 2.0؟


يعتمد التوافر الواسع لـ 3D Secure 2 على جهات إصدار البطاقات الفردية التي تدعم المعيار الجديد. من المتوقع أن تبدأ البنوك الأولى في دعم برنامج 3D Secure 2 لحاملي بطاقاتهم في أوائل عام 2019 ، ومن المحتمل أن يكون التنفيذ الأوسع تدريجياً ويستغرق عدة أشهر. على سبيل المثال ، أصبح النظام الأساسي Visa 3DS 2.0 متاحًا وجاهزًا للتعامل مع طلبات مصادقة 3DS 2.0: يجب أن يجتاز موفرو ACS و 3DS Server الاختبار مع كل من EMVCo و Visa قبل المشاركة في 2.0. لا يمكن لمقدمي الخدمة بدء الاختبار باستخدام Visa إلا بعد تلقي خطاب تأكيد يؤكد إكمال الاختبار بنجاح مع EMVCo. لكي يتوفر للأطراف المهتمة الوقت الكافي لتنفيذ 3-D Secure ، لن تصبح المجموعة الكاملة من قواعد البرنامج نافذة المفعول حتى تواريخ تنشيط البرنامج المبينة أدناه:

  • أبريل 2019: صالح لأوروبا
  • أغسطس 2019: تاريخ التنشيط لكل من كندا وأمريكا اللاتينية والولايات المتحدة.
  • أبريل 2020: تاريخ التفعيل لآسيا والمحيط الهادئ والشرق الأوسط وأفريقيا.

من المفترض أيضًا أن 3D Secure 1 و 3D Secure 2 سوف يتعايشان على الأقل حتى عام 2020.

بالنسبة للشركات الأوروبية ، يتم بدء سريان اللائحة الجديدة في سبتمبر 2019 والتي تُعرف باسم مصادقة العميل القوية (SCA) ، والتي سيتم تطبيقها على عمليات الدفع عبر الإنترنت في المنطقة الاقتصادية الأوروبية (EEA) ، حيث يوجد البنك ومقدم خدمة حامل البطاقة. في EEA ، يجعل 3D Secure 2 أكثر أهمية. نظرًا لأن القاعدة الجديدة ستتطلب المزيد من المصادقة ليتم تطبيقها على المدفوعات الأوروبية ، فإن 3D Secure 2 ستوفر أفضل UX (تجربة المستخدم) لتقليل التأثير على تحويل الموقع.

على الرغم من أن 3D Secure 2 ستكون الطريقة الأساسية للالتزام بمتطلبات دفع بطاقة SCA ، فمن المتوقع ألا يُنظر إلى التدفق بدون احتكاك على أنه شكل من أشكال مصادقة العميل القوية. هذا يعني أنه بعد تشغيل SCA في أوروبا ، لا يمكن استخدام التدفق بدون احتكاك إلا للمدفوعات الخاضعة للاستثناء (في حين أن جميع المدفوعات التي تتطلب SCA ستحتاج إلى مصادقة باستخدام ساحة التحدي).

Source: https://habr.com/ru/post/ar445394/

More articles:


All Articles