年复一年,技术的成就和能力正在迅速发展。 在不久的将来,更新的3D Secure 2.0协议将把支付行业的在线安全提升到一个全新的水平。 该协议将提供一个建立安全的实时数据交换通道的机会,通过该通道将传输更多的交易数据,以便对买方进行更准确的身份验证,付款速度将提高,因为并非所有交易都将通过带有密码的身份验证,但其中只有部分交易会通过部分。 让我们看一下新协议与以前版本相比的主要变化。
什么是3D安全?
3D Secure是一种安全协议,于1999年开发,旨在通过在不需要卡的实际存在的交易中(CNP操作)检查持卡人的真实性,从而防止欺诈性使用信用卡。 “ 3D”表示协议可在其中使用的“ 3个域”,其中包括发行者的域(发行银行卡的域),收单方的域(汇入资金的卖方和银行的域)和兼容域(由3D安全协议支持系统)。 该协议由EMVCo开发和管理,EMVCo是主要品牌Visa,Mastercard,American Express,Discover,JCB和UnionPay共同拥有的组织。
3D Secure的第一个版本旨在提高消费者对在线支付的信心,这促进了电子商务的增长。 为了保护自己免受欺诈性交易的侵害,3D Secure添加了另一个在线支付的身份验证步骤,该方法允许网点和银行额外确保持卡人进行支付。 使用3D Secure 1时,系统会显示一个弹出窗口或嵌入式框架,要求用户输入密码,以便银行可以对用户进行身份验证。 但是,弹出窗口生成实体的凭据无法通过身份验证。
对于企业而言,3D Secure的好处显而易见:请求更多信息可提供更高级别的保护,以防止欺诈,确保您仅接受可信赖客户的卡付款。 此外,在使用3D Secure的情况下,发生所谓的“责任转移”,其中欺诈的责任也从卖方转移到了发卡行。 因此,如果未应用3D Secure,则当持卡人对欺诈性交易提出异议时:
- 卖方(商人)对交易负责。
- 卖方(商人)必须退还买方款项(拒付)
但是,如果卖方实施3D Secure,则欺诈交易的责任将转移给发行方(发行卡的银行)。
3D Secure 2.0协议的主要变化是什么?
自3D Secure 1的开发以来已经过去了17年多的时间。尽管大多数国家/地区的支付行业都很好地采用了这种身份验证方法,但是考虑到当前和将来的市场需求,包括创建对基于移动设备的身份验证支持以及数字钱包集成的支持,人们公认创建新协议的需求。 此外,还注意到使用3D Secure 1有一些缺点:
- 完成付款所需的额外步骤增加了下订单过程的复杂性,并可能导致客户拒绝购买。
- 许多银行仍要求持卡人创建并记住自己的静态密码,以完成3D安全验证。 这些密码很容易忘记,这也可能导致拒绝购买的可能性更高。
- 在移动应用程序中,对用户体验(UX)的负面影响尤其明显。 当Visa首次引入3D Secure标准时,个人计算机是消费者在线购物的唯一渠道。 在移动设备上,使用3D Secure可以将客户从他们自己的应用程序重定向到银行的网站,而该网站并未针对移动设备进行优化。
考虑到3D Secure的主要痛点,EMVCo最近发布了该协议的新改进版本。 EMV 3-D Secure(3D Secure 2或3DS2)解决了3D Secure 1的许多缺点,并具有以下主要优点:
1.灵活的设备和渠道支持。它通过多个付款渠道(包括手机浏览器中的付款,应用程序中的付款和通过数字钱包的付款)提供了与用户更流畅,更一致的交互。
2.改善的用户体验。为商户提供了将身份验证过程更好地集成到购买过程中的机会,从而为持卡人提供了快速,轻松,便捷的身份验证以及高度的安全性。 与静态密码不同,3D Secure 2使用动态身份验证方法,例如生物识别和基于令牌的身份验证。 此外,3D Secure 2允许公司将呼叫流直接嵌入其Web和移动支付流中,而无需任何重定向。 使用新的移动SDK,公司将能够在其应用程序中实现自己的流,而不再需要其客户通过浏览器切换到流来完成交易。
3D Secure 1(3D Secure 2 Stripe指南):3D Secure 2(3D Secure 2 Stripe指南):3.增强了数据交换以管理欺诈并减少摩擦(改进了数据交换以打击欺诈并减少障碍)。 基于风险的身份验证(RBA,基于风险的身份验证)。 无摩擦认证。无摩擦流允许发卡行批准交易,而无需从持卡人手动输入数据。 这是通过所谓的基于风险的身份验证(RBA)实现的。 RBA的工作方式是在交易过程中收集持卡人的一组数据,并将其传输到发卡银行及其访问控制服务器(ACS),然后将收集到的数据与先前(历史)的持卡人交易数据进行比较,以显示与新持卡人相对应的欺诈风险值。交易。 3D Secure 2将允许公司及其支付提供商将每笔交易的100多个数据元素安全地发送到持卡人的银行。 这包括与付款相关的数据(例如交货地址)以及上下文数据(例如客户端设备标识符或先前交易的历史记录)。
持卡人的银行可以使用此信息来评估交易的风险级别并选择适当的答案。 如果欺诈风险值低于预定阈值,则应用无摩擦流。 换句话说,如果欺诈风险足够低,发卡银行将不会要求持卡人进行额外的验证,并认为持卡人已通过身份验证。 这消除了3D Secure 1中持卡人始终需要进行的手动验证步骤:
1)如果有足够的数据可以使银行相信真实的持卡人正在购物,则交易满足无摩擦流程的要求,并且身份验证已完成而不会影响用户交互-持卡人永远不会看到任何迹象3D Secure已应用。 换句话说,如果欺诈风险足够低,发卡银行将不会要求持卡人进行额外的验证,并认为持卡人已通过身份验证。 这消除了3D Secure 1中持卡人始终需要的手动验证步骤。
2)例如,在欺诈风险值高于预定阈值的情况下,银行决定需要其他证据,则以``挑战''模式进行交易,并要求客户提供其他数据以验证付款的真实性。
4.发生欺诈时卖方(商人)的责任变更PSD2的重大差异还包括在欺诈事件中卖方(商人)责任的变化。 发行人显然是3DS 2.0所需的更广泛的数据交换的受益者,因为它们负责任何退款。 他们拥有的数据越多,他们评估交易风险的准确性就越高。
但是,商人也将从中受益,特别是如果他们尚未收集参与3DS所需的足够交易数据时,这是因为商人可以使用此数据来改进自己的发现欺诈行为的努力。 但是,即使卖方已经制定了完善的欺诈预防程序,也不应忽视发行人进行自身风险评估所提供的额外保护。 发行人使用的ACS提供者通常可以访问单个卖方不可用的欺诈数据源,这通常使他们可以提供对欺诈风险的更可靠评估。
支付系统何时支持3-D Secure 2.0?
3D Secure 2的广泛可用性将取决于支持新标准的各个发卡机构。 预计第一批银行将在2019年初开始为其持卡人提供3D Secure 2支持,可能更广泛的实施将是渐进的,并且需要几个月的时间。 例如,Visa 3DS 2.0平台现已可用,并且可以处理3DS 2.0身份验证请求:ACS和3DS Server提供商必须在加入2.0之前通过EMVCo和Visa的测试。 提供商只有在收到确认函,确认已成功完成EMVCo的测试后,才能开始使用Visa进行测试。 为了使感兴趣的各方有足够的时间实施3-D Secure,直到以下所示的程序激活日期,整套程序规则才会生效:
- 2019年4月:对欧洲有效
- 2019年8月:加拿大,拉丁美洲和美国的激活日期。
- 2020年4月:亚太地区,中东和非洲的启用日期。
还假设3D Secure 1和3D Secure 2将至少在2020年之前共存。
对于欧洲企业而言,一项称为强客户认证(SCA)的新规定将于2019年9月生效,该规定将适用于持卡人的银行和支付服务提供商所在的欧洲经济区(EEA)的在线支付在EEA上,使3D Secure 2变得更加重要。 由于新规则将要求对欧洲支付应用更多身份验证,因此3D Secure 2将提供最佳的UX(用户体验),以最大程度地减少对网站转换的影响。
尽管3D Secure 2将是遵守SCA卡付款的主要方法,但无摩擦流不会被视为一种强大的客户端身份验证形式。 这意味着在SCA在欧洲运行后,无摩擦流只能用于例外情况下的付款(而所有需要SCA的付款都需要使用Challenge流进行身份验证)。