Открыть сервис

3D Secure

3D Secure — это протокол аутентификации держателя банковской карты при совершении онлайн-платежа, разработанный платёжными системами Visa (Verified by Visa) и Mastercard (Mastercard SecureCode) для повышения безопасности транзакций в интернете. Основная цель протокола — подтверждение того, что операцию проводит именно законный владелец карты, а не злоумышленник, завладевший её данными. Технология предполагает перенаправление пользователя на страницу банка-эмитента (банка, выпустившего карту) для ввода дополнительного кода подтверждения, который может быть получен через SMS, push-уведомление, в мобильном приложении или сгенерирован специальным устройством.

История

Протокол 3D Secure был разработан компанией Visa в 2001 году под названием «Verified by Visa». В 2002 году к инициативе присоединилась Mastercard, запустив собственную реализацию — «Mastercard SecureCode». Название «3D Secure» происходит от трёх доменов (Three Domains), участвующих в процессе аутентификации: домен эмитента (банк-эмитент), домен эквайера (банк продавца) и домен платёжной системы (инфраструктура Visa или Mastercard).

Первоначально технология вызывала критику со стороны пользователей из-за неудобства: необходимость вводить статический пароль или одноразовый код, получаемый по SMS, увеличивала время оформления заказа и создавала дополнительные барьеры. В ответ на это в 2016 году была внедрена версия протокола 3D Secure 2.0 (3DS2), которая кардинально изменила подход к аутентификации.

Принцип работы

Протокол 3D Secure функционирует как дополнительный слой проверки между держателем карты, продавцом и банком-эмитентом. Процесс аутентификации в классической версии (1.0) выглядит следующим образом:

  1. Покупатель выбирает товар или услугу на сайте продавца и переходит к оплате, вводя данные карты (номер, срок действия, CVV-код).
  2. Сервер продавца (через платёжный шлюз) отправляет запрос в платёжную систему, которая проверяет, поддерживает ли банк-эмитент протокол 3D Secure.
  3. Если поддержка есть, платёжная система генерирует запрос на аутентификацию и перенаправляет покупателя на страницу банка-эмитента.
  4. На странице банка покупатель вводит код подтверждения, полученный по SMS, push-уведомлению или сгенерированный в приложении.
  5. Банк-эмитент проверяет код и отправляет результат (успех или отказ) обратно в платёжную систему, которая передаёт его продавцу.
  6. При успешной аутентификации продавец завершает транзакцию; при неудаче — отказывает в оплате.

В версии 3D Secure 2.0 (3DS2) процесс стал более гибким. Вместо обязательного ввода кода банк-эмитент может принять решение об аутентификации на основе анализа рисков: проверки устройства, геолокации, истории покупок, поведения пользователя. Если риск низкий, транзакция может быть подтверждена без активного участия держателя карты (фрикционная аутентификация). Если риск высокий, пользователю предлагается подтвердить операцию через биометрию (отпечаток пальца, Face ID) или ввод одноразового кода.

Версии протокола

3D Secure 1.0 (3DS1)

Первая версия протокола, внедрённая в начале 2000-х годов. Основные характеристики:

  • Обязательный ввод статического пароля или одноразового кода из SMS.
  • Перенаправление на отдельную страницу банка-эмитента.
  • Высокий уровень отказов в транзакциях (до 30% в некоторых категориях) из-за неудобства и технических сбоев.
  • Уязвимость к фишинговым атакам (поддельные страницы банков).

3D Secure 2.0 (3DS2)

Вторая версия, стандартизированная в 2016 году и внедрённая в 2018–2020 годах. Ключевые отличия:

  • Передача в платёжную систему и банк-эмитент более 100 параметров транзакции (данные об устройстве, IP-адрес, история покупок, время суток).
  • Возможность бесшовной аутентификации (без участия пользователя) для низкорисковых операций.
  • Поддержка биометрической аутентификации (Touch ID, Face ID, сканер отпечатка пальца).
  • Встраивание процесса аутентификации в интерфейс продавца (без перенаправления на отдельную страницу).
  • Снижение доли ложных отказов (false declines) до 2–5%.

3D Secure 2.1 и 2.2

Промежуточные обновления, выпущенные в 2019 и 2020 годах соответственно. В них были улучшены механизмы обработки ошибок, добавлена поддержка новых типов устройств (носимые гаджеты, автомобильные системы) и расширены возможности для аутентификации в приложениях.

Применение

Протокол 3D Secure используется в следующих сценариях:

  • Онлайн-покупки — оплата товаров и услуг на сайтах и в мобильных приложениях.
  • Переводы между картами — при отправке денег через сервисы денежных переводов.
  • Пополнение электронных кошельков — при зачислении средств на счёт в платёжных системах.
  • Оплата подписок — ежемесячные списания за сервисы (стриминг, облачные хранилища).
  • Бронирование услуг — отели, авиабилеты, аренда автомобилей.

В ряде юрисдикций использование 3D Secure является обязательным для определённых типов транзакций. В Европейском союзе с 2019 года действует директива PSD2 (Payment Services Directive 2), которая требует применения строгой аутентификации клиента (Strong Customer Authentication, SCA) для большинства онлайн-платежей. 3D Secure 2.0 является одним из основных способов выполнения требований SCA.

Преимущества и недостатки

Преимущества

  • Снижение мошенничества — злоумышленник, завладевший данными карты, не может завершить транзакцию без прохождения аутентификации.
  • Снятие ответственности с продавца — при успешной аутентификации по 3D Secure ответственность за спорную транзакцию (chargeback) переходит на банк-эмитент, если операция была совершена без согласия держателя карты.
  • Улучшение пользовательского опыта — в версии 2.0 большинство транзакций подтверждается без дополнительных действий со стороны пользователя.
  • Соответствие регуляторным требованиям — выполнение норм PSD2 и аналогичных законов в других странах.

Недостатки

  • Дополнительные технические сложности — интеграция 3DS2 требует модернизации платёжных систем и сайтов продавцов.
  • Рост времени транзакции — даже при бесшовной аутентификации процесс занимает на 1–3 секунды больше, чем без неё.
  • Возможные ошибки аутентификации — при сбоях в работе банков-эмитентов или мобильных операторов пользователь может не получить код подтверждения.
  • Необходимость поддержки со стороны банка — не все банки внедрили 3DS2, что приводит к использованию устаревшей версии 1.0 или отсутствию аутентификации вовсе.
  • Проблемы с доступностью — пользователи с ограниченными возможностями могут испытывать трудности при вводе кодов или использовании биометрии.

Критика

Основные претензии к протоколу 3D Secure связаны с его первой версией. Пользователи жаловались на неудобство: необходимость каждый раз вводить код из SMS, который мог приходить с задержкой или не приходить вовсе. Продавцы отмечали рост числа брошенных корзин (до 30% в некоторых категориях) из-за дополнительного шага аутентификации. Кроме того, статический пароль в 3DS1 был уязвим для фишинга — злоумышленники могли создать поддельную страницу банка, на которой пользователь вводил свой пароль.

Версия 2.0 решила большинство этих проблем, но породила новые. Например, бесшовная аутентификация на основе анализа рисков иногда ошибочно блокирует легитимные транзакции (false positives), что приводит к отказам в оплате для законных владельцев карт. Также критикуется зависимость от качества данных, передаваемых продавцом: если продавец не передаёт достаточную информацию о транзакции, банк-эмитент может принять неверное решение.

Будущее технологии

Развитие 3D Secure связано с внедрением методов искусственного интеллекта для анализа поведения пользователей в реальном времени. Планируется дальнейшее сокращение доли транзакций, требующих активного участия держателя карты, за счёт более точных моделей оценки риска. Также ожидается интеграция с новыми способами аутентификации: голосовая биометрия, анализ походки, распознавание лица. В перспективе протокол может быть заменён на более современные решения, такие как FIDO2 (Fast Identity Online) или токенизация, но на текущий момент 3D Secure остаётся основным стандартом безопасности онлайн-платежей в мире.

Источники

  • Visa. «3D Secure 2.0 Specification». 2016.
  • Mastercard. «Mastercard Identity Check: 3D Secure 2.0 Implementation Guide». 2018.
  • European Banking Authority. «Guidelines on Strong Customer Authentication». 2019.
  • EMVCo. «3D Secure Protocol and Core Functions Specification». 2020.
  • Федеральный закон «О национальной платёжной системе» № 161-ФЗ (Российская Федерация).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →