Открыть сервис

3-D Secure

3-D Secure — это протокол аутентификации держателя платежной карты при совершении онлайн-транзакций, реализующий многофакторную проверку личности владельца счета с помощью данных, передаваемых через дополнительный промежуточный сервер (сервер каталога — Directory Server). Протокол был разработан компанией Visa под названием «Verified by Visa» для карт Visa и «MasterCard SecureCode» для карт MasterCard (в настоящее время брендирование унифицировано как «Verified by Visa» и «MasterCard Identity Check»). Основная цель 3-D Secure — снижение риска мошенничества при оплате в интернете путем подтверждения, что инициатором списания средств является именно авторизованный держатель карты, а не третье лицо, завладевшее её реквизитами (PAN, срок действия, CVV2/CVC2).

История и развитие

Первая версия протокола (3-D Secure 1.0) была внедрена в начале 2000-х годов в ответ на резкий рост интернет-торговли и связанного с ней фальшивого использования данных банковских карт. Разработка велась под эгидой Visa и MasterCard, которые стремились создать единый стандарт безопасности для своих платёжных систем. Изначально протокол работал на основе переадресации пользователя на страницу банка-эмитента, где требовалось ввести статический пароль, полученный при регистрации в сервисе (Verified by Visa или SecureCode). Этот подход вызывал критику из-за неудобства и уязвимости к фишинговым атакам, когда злоумышленники подделывали страницу банка.

В ответ на эти недостатки, а также с учётом требований европейской директивы PSD2 (Revised Payment Services Directive), которая с 2019 года сделала обязательным сильную аутентификацию клиента (Strong Customer Authentication — SCA) для большинства онлайн-платежей в Европейской экономической зоне, платёжные системы разработали новую версию — 3-D Secure 2.0 (и её последующее обновление 2.1, 2.2, 2.3). Внедрение версии 2.0 началось массово с 2019–2020 годов. В России адаптация протокола регулируется прежде всего рекомендациями Центрального банка и правилами самих платёжных систем, а также общим законодательством о защите информации (Федеральный закон № 152-ФЗ «О персональных данных»).

Архитектура и участники

Название протокола отражает его трёхзвенную архитектуру. Участниками процесса являются три домена (три «D»):

Домен эмитента (Issuer Domain)

Это зона ответственности банка-эмитента (кредитной организации, выпустившей карту). Включает:

Домен приобретателя (Acquirer Domain)

Это зона ответственности банка-эквайера (банка, обслуживающего точку продажиинтернет-магазин, платёжный агрегатор) и самого торгового предприятия. Включает:

Домен взаимодействия (Interoperability Domain)

Это инфраструктура платёжных систем (Visa, MasterCard, Мир и др.). Включает:

Механизм работы (на примере версии 2.x)

Процесс аутентификации по протоколу 3-D Secure 2.0 происходит в несколько этапов, причём ключевое отличие от версии 1.0 заключается в том, что всё взаимодействие происходит между системами банков через платёжную инфраструктуру, а не через прямое перенаправление пользователя.

  1. Инициация и передача данных. Покупатель на сайте магазина заполняет платёжную форму (номер карты, срок действия, CVV2/CVC2). Система магазина (MPI) отправляет запрос (Authentication Request — AReq) на сервер каталога (DS) платёжной системы. В запросе, помимо реквизитов карты, содержится информация о контексте: IP-адрес и геолокация устройства покупателя, данные его браузера (User-Agent, screen resolution, time zone), история предыдущих покупок на этом сайте, сумма транзакции. Эти данные ранее были недоступны в версии 1.0.
  1. Маршрутизация. DS анализирует BIN-номер карты (первые 6–8 цифр) и направляет запрос к соответствующему ACS банка-эмитента.
  1. Анализ рисков. ACS банка-эмитента оценивает риск транзакции на основе полученных контекстных данных и набора правил, заданных банком и клиентом. Если риски низкие (например, покупка с того же устройства, с которого обычно совершаются платежи, на сайте, где покупатель уже был), ACS может принять решение не требовать дополнительной интерактивной аутентификации. В этом случае запрос получает статус «Approve» без участия пользователя (бесшовная аутентификация — frictionless).
  1. Интерактивная аутентификация. Если риск высок или транзакция необычна (например, новый продавец, другое устройство, превышение лимита), ACS требует подтверждения. Он генерирует одноразовый код (обычно 6–8 цифр) и отправляет его держателю карты по выбранному каналу: SMS, push-уведомление в мобильное приложение банка, код из мобильного приложения-аутентификатора, биометрическая верификация (Face ID, Touch ID на телефоне) или стационарный пароль. Пользователь вводит этот код в специальное окно, которое может быть встроено в страницу магазина или открываться через мобильное приложение. Возможно отображение суммы и получателя.
  1. Формирование ответа. ACS формирует ответ (Authentication Response — ARes), который содержит криптографический токен (CAVV — Cardholder Authentication Verification Value или UCAF — Universal Cardholder Authentication Field), подтверждающий успешную аутентификацию. Этот ответ отправляется обратно в DS, который передаёт его в MPI.
  1. Авторизация. MPI передаёт код аутентификации (токен CAVV/UCAF) в авторизационный запрос к платёжной системе. Платёжная система сверяет токен и завершает транзакцию. Согласно правилам платёжных систем, в случае успешной аутентификации по протоколу 3-D Secure (версии 2.0 или 1.0), бремя ответственности за мошенничество (chargeback) перекладывается с торговой точки на банк-эмитент. Это является ключевым стимулом для продавцов внедрять протокол.
  1. Оповещение. ACS может отправить держателю карты итоговое push-уведомление об успешном платеже.

Версии протокола: 1.0 против 2.x

Параметр3-D Secure 1.03-D Secure 2.0 / 2.x
Метод аутентификацииСтатический пароль (заранее установленный) или пароль из SMSСтатический пароль, одноразовый код (SMS/push), биометрия, без запроса кода (frictionless)
Пользовательский опытОбязательная переадресация на страницу банка (фрейм), прерывание процесса покупкиВстроенное окно, push-уведомление, возможно бесшовное прохождение
Передаваемые данные о контекстеМинимальные (номер карты, сумма)Расширенные: IP, геолокация, дата/время, данные браузера, история покупок, идентификатор продавца
Уровень мошенничестваВысокий (фишинг, подделка страниц)Значительно ниже за счёт контекстного анализа и более современных методов аутентификации
Требование PSD2 (ЕС)Не соответствует требованиям SCAСоответствует требованиям SCA (при правильной настройке)
Время транзакцииДольше (из-за переадресации и ручного ввода пароля)Быстрее (в т.ч. за счёт frictionless сценария)

Преимущества и критика

Преимущества

Критика и недостатки

Применение и альтернативы

3-D Secure является наиболее распространённым протоколом для защиты интернет-платежей в мире. Он обязателен к использованию для транзакций в рамках PSD2 в Европе и активно поддерживается платёжной системой «Мир» (российский стандарт «Мир Accept» базируется на 3-D Secure). Альтернативой могут быть:

Интересные факты

Регулирование в России

В России использование 3-D Secure регулируется прежде всего нормативными актами Центрального банка РФ (Положение № 383-П «О правилах осуществления перевода денежных средств», рекомендации для кредитных организаций по кибербезопасности) и правилами платёжных систем (Visa, MasterCard, «Мир»). Для карт платёжной системы «Мир» обязательным является использование технологии «Мир Accept», которая является российской реализацией протокола 3-D Secure (построена на тех же принципах, но с использованием национальных криптографических алгоритмов ГОСТ). Российские банки активно мигрируют на версию 2.x для соответствия международным стандартам и снижения рисков.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →