Как активировать 3-D Secure

Самой большой проблемой дематериализованных сделок, конечно же, является безопасность: уверенность в оплате продавца и уверенность в использовании учетных данных покупателем, который, безусловно, не хочет в конечном итоге платить за услуги, которые он не запрашивал, или, что еще хуже, быть ограбленным человеком, укравшим номер его кредитной карты. Эта проблема, по сути, родилась в основном с интернетом и распространением электронной коммерции, потому что раньше она была гораздо менее актуальной. Напротив, если Вы видели очень популярные фильмы, такие как «Крылья свободы» или «Призрак», снятые соответственно в начале и конце 20-го века, Вы заметили, что некоторые персонажи появляются в банке под вымышленным именем, и даже подписывают чеки или управляют банковскими счетами других людей: это могло произойти, помимо кинематографической фантастики, потому что у кредитных учреждений было меньше инструментов для установления личности людей, которые появлялись у прилавка; однако, и сегодня менеджер филиала может отказаться от выполнения определенных операций, таких как, например, «банк» банка. ликвидация чека в пользу лиц, которых он не знает лично, или, в качестве альтернативы, которые не были строго идентифицированы в обычном порядке, предусмотренном для клиентов банка.

В 1950 году занятой бизнесмен забыл дома о деньгах, необходимых для оплаты обеда, и задумал идею создания кредитной схемы, основанной на простом представлении документа: его звали Фрэнк Макнамара, и в тот день он задумал первую кредитную карту, названную Diners Club, т.е. «Компания обедов», как и тех, кто бы использовал ее — первоначально — для оплаты в ресторане. Поэтому кредитные карты умножили проблемы финансовой безопасности, потому что в реальности достаточно знать номер, чтобы совершить любую покупку, даже в Интернете. Банки и компании, предоставляющие финансовые услуги, выступают за прикрытие с помощью ряда более или менее эффективных решений, но только в последние годы де-факто был достигнут стандарт с технологией 3-D Secure (3DS). И в этом учебнике я расскажу вам, как активировать 3-D Secure, чтобы помочь вам защитить ваши цифровые транзакции.

Как активировать 3-D Secure

В этом руководстве я расскажу об основных особенностях технологии 3-D Secure, в том числе о том, как она работает на практике. Кроме того, насколько это возможно, я постараюсь проанализировать, как основные итальянские кредитные учреждения подошли к этой проблеме.

Однако информация, которую я вам предоставлю, является чисто информативной, не гарантирует ее правильности и не дополняет и не заменяет информацию, предоставленную вашим кредитным учреждением или компанией, выпустившей вашу кредитную/дебетовую карту, которой вы должны постоянно пользоваться в случае каких-либо сомнений. На самом деле, я напоминаю вам, что вы в первую очередь отвечаете за сохранность своих активов, и вы не должны относиться к подобным вопросам легкомысленно.

Индекс

Что такое технология 3-D Secure и как она работает?

Чтобы понять, как работает система 3DS, нам нужно сделать быстрый шаг назад, несколько лет назад, когда наиболее широко используемая система безопасности для онлайн-транзакций состояла из жетона, устройства размером с брелок, по крайней мере, с одну кнопку и небольшого жидкокристаллического экрана.

Это устройство содержало аккумулятор и карту, последняя запрограммирована только на две вещи: для поддержания определенной меры времени на протяжении всего срока службы аккумулятора, и для генерации псевдослучайного числа на основе секретного алгоритма, напрямую связанного со временем, отмеченным внутренними часами.

При выдаче токена, который был доставлен клиенту вместе с картой и PIN-кодом, банк синхронизировал его со своими системами, так что внутренние часы токена «бьются» независимо от времени референтного сервера.

Если клиент хотел использовать карточку для совершения операций по своему виртуальному счету, он вводил свои учетные данные, PIN-код и временный код, генерируемый токеном на сайте, нажимая его единственную кнопку; сервер банка одновременно выполнял ту же операцию, генерируя случайное число и сравнивая его с тем, что ввел клиент.

Так как токен и серверные часы были синхронизированы, будут созданы две одинаковые цифры, обе называемые OTP (одноразовый пароль). Имея ограниченную во времени продолжительность, фактически, они не (теоретически) клонируются/вычисляются злоумышленником.

Однако, эта система не позволяла Вам совершать безопасные покупки, а лишь обеспечивала безопасный доступ к Вашему счету на сервере банка. По этой причине была реализована система 3DS, которая позволяет вносить деньги непосредственно на счет продавца и использует (или может использовать) те же инструменты, что и прямой парольный контроль, т.е. OTP.

Так как первыми компаниями, разработавшими эту технологию, были Visa и, вскоре после этого, MasterCard, вы можете найти название этих двух компаний, связанных с протоколом, по коммерческим соображениям. Однако используемый сегодня протокол 3DS был разработан консорциумом EMVCo (в равной степени контролируемым Visa, MasterCard, JCB, American Express, China UnionPay и Discover) и обеспечивает безопасную аутентификацию даже во время беспроводных транзакций (CNP).

Как работает технология EMV 3-D Secure

Сокращение EMV 3-D Secure Three-Domain Secure обозначает 3 защищенных домена, так как процедура, использующая возможности языка XML, на момент написания статьи основана на взаимодействии трех серверов:

  • Acquirer — сервер лица, запрашивающего оплату, как в интернет-магазине;
  • Эмитент — сервер компании, выпустившей карточку (это может быть банк, PosteItaliane или компания, оказывающая финансовые услуги);
  • Промежуточный домен (также называемый Directory Server) — это сердце протокола, которое «сортирует» данные, обмениваемые между эквайером и эмитентом, действуя в качестве фильтра и проверяя действительность сделки.

Обычно на определенном этапе процедуры — как мы увидим — пользователю предлагается ввести OTP, особенно если сделка считается рискованной. Это то, что обеспечивает система 3-D Secure 2.0.

В наше время, чтобы оптимизировать время и снизить навязчивые расходы на распространение токенов (объекты, более того, также загрязняющие, так как они оснащены аккумуляторными и невосстанавливаемыми электросварными цепями), эти временные коды, как правило, получают в цифровом виде. В этом случае смартфон используется для расчета OTP, через специальное приложение (разработанное эмитентом карты или банком), а также с помощью SMS сервиса.

В свою очередь, приложения могут быть защищены системой биометрической аутентификации (распознавание лиц или отпечатки пальцев), а также сложными буквенно-цифровыми паролями.

Какова цель включения 3-D Secure

Активация услуги 3DS в настоящее время имеет важное значение для осуществления онлайн-покупок, потому что многие компании кредитных / дебетовых карт наложить его на своих клиентов, не давая никакой альтернативы.

Этот выбор, являющийся результатом синергетического исследования многих профессионалов в области кибербезопасности, очевидно, не ограничивает свободу держателей карт, а служит существенной защитой всей системы электронной коммерции, которая может распространиться только в той степени, в которой клиенты чувствуют себя защищенными и с финансовой точки зрения. При этом следует иметь в виду, что среди покупателей кредитных карт есть не только пользователи, которые совершают покупки в Интернете, но и владельцы магазинов, которые, очевидно, не могут знать, кто покупает, и хотят получить гарантию, если последний, через некоторое время, узнает, что они лично не совершали сделку (например, владелец кредитной карты, который не является владельцем кредитной карты). В этом случае, 3DS протокол приходит на помощь, так как — в зависимости от заключенных договоров — купец возложит всю ответственность на эмитента (эмитента карты), который через OTP или другие системы является единственным, кто может идентифицировать своего клиента.

Таким образом, вся электронная торговля защищена как социально-экономический орган: эмитенты продолжают продавать финансовые услуги, владельцы магазинов защищены от любого запрета на расходование средств, а потребитель знает, что может рассчитывать на надежный инструмент, на который очень трудно клонировать и/или взломать. Я намеренно упускаю из виду дискурс, связанный с технологией NFC, который заслуживает специального углубленного изучения.

Наконец, следует отметить, что этот протокол безопасности может использоваться и для других цифровых сделок с высокой степенью риска, связанных с различного рода услугами. Примером может служить оплата счетов в режиме онлайн, которая может потребовать ввода конфиденциальных данных, таких как номера карт.

3-D Безопасные совместимые банковские схемы

Вы можете напрямую проверить, включил ли Ваш банк эту технологию и поддерживает ли он ее в выдаваемых им кредитных или предоплаченных картах.

В настоящее время услуга доступна, напрямую или с помощью программного обеспечения и технологий третьих сторон, для следующих итальянских кредитных учреждений:

  • ПостеИтальяне;
  • УбиБанка;
  • Монте деи Паски ди Сиена;
  • Интеза Сан Паоло;
  • Банко БПМ;
  • Юникредит.

Услуга также доступна в иностранных банках, таких как Союз швейцарских банков (UBS). Он также может быть включен через компании, выпускающие карты, связанные с Visa и Mastercard схемы, одними из первых использовать 3DS технологии, а также через поставщиков с их собственными схемами, таких как American Express (AMEX). Не стоит забывать и о Nexi, компании, созданной в результате слияния ICBPI и CartaSi, которая предлагает цифровую платежную инфраструктуру нескольким итальянским банкам.

Чтобы убедиться, что вы нашли 3-D Secure совместимую платежную систему, я предлагаю вам проконсультироваться:

Активация технологии 3DS

В настоящее время почти все компании, которые я перечислил выше, автоматически предусмотрели активацию этой технологии.

Обычно его внедрению, для клиентов, которые еще не активировали его, предшествует отправка письма, с которым эмитент подробно разъясняет процедуру, которую необходимо принять, что в некоторых случаях может потребовать физического присутствия в филиале для сообщения номера мобильного телефона, который будет ассоциироваться с картой.

Если этого никогда не происходило, вы должны связаться с эмитентом напрямую для получения любой необходимой информации. В данном случае невозможно привести практический пример.

Как использовать 3-D Secure для оплаты в интернете

Процедура использования системы 3DS онлайн может варьироваться в зависимости от выбора эмитента. Однако, обычно это работает таким образом:

  1. На сайте онлайн продавца, в момент оплаты, вы найдете форму, в которую вам нужно будет войти:
    1. Имя и фамилия владельца карты;
    2. Номер карты;
    3. Код верификации (CVC/CVV), обычно — но не всегда — помещается на обратной стороне карты (это старый способ убедиться, что он у вас с собой и не использует, например, фотографию карты, украденную у кого-то);
    4. Срок действия карты;
    5. Адрес для выставления счета (в некоторых случаях это может не потребоваться).
  2. После того, как вы ввели свои данные, вам нужно будет подтвердить ввод, нажав кнопку авторизации, которая направит вас (в большинстве случаев) на сводный экран, где вам напомнят об окончательной цене, которую нужно будет заплатить;
  3. В некоторых случаях по банковским причинам (например, если Вы используете карточку, выданную партнером провайдера, но не связанную напрямую с ней), Вы можете найти небольшую дополнительную плату;
  4. Если вы дали разрешение на продолжение, вы будете перенаправлены (в зависимости от обстоятельств) на сервер эмитента, который попросит вас войти в OTP. Если эмитент использует SMS, в течение нескольких секунд вы получите сообщение, содержащее вводимый PIN-код; если эмитент использует приложение для смартфона (которое заменяет маркер), вас могут попросить нажать кнопку подтверждения непосредственно на маркере. В этом случае, конечно, ваш смартфон должен быть подключен к Интернету;
  5. После завершения проверки личности, как описано выше, сервер вернет сообщение о положительном платеже или, возможно, сообщение об ошибке, которое вы должны немедленно сообщить своему поставщику финансовых услуг. В некоторых случаях эмитент также может предоставить вам дополнительную услугу, состоящую из SMS, подтверждающего сделку.

Отмена активации 3-D Secure

Существует никаких веских причин, чтобы отключить использование системы 3DS в одиночку, и во многих случаях это не вариант: если вы потеряли вашу карту, мобильный телефон, или хотите изменить свой номер, вам придется пойти непосредственно к эмитенту карты для проведения любых необходимых операций по восстановлению.

Если вас интересует, как отключить эту услугу, потому что вы не можете совершать онлайн-платежи, я предлагаю вам обратиться в контакт-центр эмитента карты, который может не принадлежать вашему банку (например, MasterCard или контакт-центр Visa).

Альтернативные технологии 3-D Secure

Конечно, 3DS — не единственный протокол, используемый для обеспечения онлайн-безопасности. Альтернативной, но не очень распространенной системой, по крайней мере в Италии, является Динамическое CVV, которое концептуально очень похоже на старую систему, основанную на OTP через токен: на самом деле, кредитная карта имеет экран e-ink на задней стороне (как и многие другие программы для чтения электронных книг), который заменяет статический CVC/CVVV код, и будет меняться при каждой транзакции, обеспечивая — по крайней мере, до тех пор, пока вы не потеряете карту — больший контроль над личностью пользователя.

Полностью отключенной от этих технологий — и концептуально автономной от них — является услуга, предлагаемая PayPal, которая не использует посредников, гарантирует защиту счета и покупок, а также управляет платежами покупателя посредством аутентификации.


Лоренцо Ренцетти — эксперт в области компьютерных технологий, специализирующийся на службах мгновенных сообщений и социальных сетях. Он сотрудничал с несколькими успешными итальянскими газетами, внося свой вклад в публикацию технологических справочников. Он делится своими советами на своем блоге WordSmart.it, с помощью которого помогает пользователям решать проблемы, связанные с компьютером.