Колонки

3D Secure 2.0: как переход на новую версию протокола безопасности поможет бизнесу увеличить продажи

Колонки
Артем Санников
Артем Санников

технический директор CloudPayments

Ольга Лисина

Сейчас безопасность платежей в индустрии онлайн-торговли сопряжена с определенными неудобствами. Если используется протокол защиты 3D Secure, покупателю обязательно нужно вводить одноразовый пароль, и этот шаг снижает конверсию в покупку. В то же время отказ от 3DS чреват фродом, разбираться с которым придется продавцу. 

Но к 2021 году весь мир должен будет перейти на новую, более совершенную версию протокола защиты платежей — 3D Secure 2.0. Артем Санников, технический директор CloudPayments, рассказывает, как это работает, в чем преимущества новой версии и как ее внедрение позволит бизнесу увеличить продажи.

3D Secure 2.0: как переход на новую версию протокола безопасности поможет бизнесу увеличить продажи

Проблемы 3DS 1.0

История 3DS началась больше 20 лет назад. В 1999 году Visa создала протокол безопасности 3D Secure, чтобы помочь продавцам и банкам-эмитентам подтверждать (аутентифицировать) личность держателей карт при совершении покупок в интернете. 

Аутентификация плательщика осуществляется с помощью ввода дополнительного кода подтверждения. Проверочный код формируется банком-эмитентом (банком, выпустившим карту) и направляется плательщику в процессе оплаты. Он может приходить в виде СМС или push-сообщения или выдаваться при получении карты.

Преимущество для продавца в случае использования 3DS заключается в так называемом «переносе ответственности».

Дело в том, что если операция проходила с использованием 3DS и была впоследствии признана мошеннической, отвечать за нее будет не продавец, а эмитент, так как именно он несет ответственность за аутентификацию плательщика. То есть если плательщик заявил, что он не совершал операцию, а в рамках процедуры оспаривания (чарджбэка) операция будет признана мошеннической, деньги не будут удержаны со счета продавца.

В то же время в использовании 3DS для продавца есть и негативные факторы, в частности — неминуемое снижение платежной конверсии по техническим причинам.

По нашим оценкам, основанным анализе данных более 6,5 тысяч партнеров (клиентов) компании, при использовании 3DS первой версии конверсия может снизится на 3–15%. 

Давайте разберемся, почему это происходит.

Первая версия протокола была разработана для аутентификации в браузере ПК, поскольку в то время смартфоны еще не были распространены и об оплате с помощью телефона и тем более умных часов никто не думал. Поэтому неудивительно, что у первой версии 3DS не самый удобный пользовательский опыт на мобильных устройствах (открытие браузера из мобильного приложения с редиректом, форма, не адаптированная под мобильные устройства для ввода кода из СМС и т.д.).

Но дело не только в неудобном интерфейсе, но и в дополнительном шаге для завершения платежа — вводе кода из СМС на странице банка-эмитента. Именно на этом этапе теряется большая часть конверсии. Проблемы могут быть самыми разными. Вот некоторые из них:

  • не пришла СМС с кодом (по вине банка-эмитента или из-за проблем у мобильного оператора);
  • не отобразилась форма эмитента, на которой необходимо ввести код из СМС;
  • пользователь перепутал цифры при вводе кода из СМС;
  • пользователь ввел код корректно, но эмитент его неправильно обработал;
  • не сработал редирект на платежную форму и т.д.

И продавец вынужден делать выбор: либо подключать 3DS, чтобы ответственность за чарджбеки нес банк-эмитент, но смириться с тем, что «режется» конверсия, либо проводить платежи без 3DS и самому нести ответственность по всем подобным операциям. 

Еще одним доводом не в пользу первой версии 3DS стал тот факт, что мошенники научились использовать ее уязвимость для собственного обогащения.

Закрыть известные уязвимости и избавить предпринимателей от нелегкого выбора между фродом и снижением платежной конверсии призвана новая версия протокола — 3D Secure 2.0.


mrmohock/Shutterstock


3DS 2.0: биометрия, незаметная для пользователя аутентификация и высокая конверсия в платеж 

Новая версия 3D Secure, в отличие от предыдущей, адаптирована как для ПК, так и для мобильных устройств. Кроме этого, в 3DS 2.0 принципиально изменился способ аутентификации плательщика: теперь это происходит не только с помощью редиректа на сайт эмитента для обязательного введения проверочного кода из СМС, но и посредством дополнительных методов аутентификации. 

Это стало возможным за счет использования RBA (risk-based authentication — аутентификации на основе рисков), основанной на том, что при проведении платежа собираются данные о держателе карты и передаются банку-эмитенту. Эти данные могут содержать более 100 элементов, включая информацию о держателе карты и устройстве, с которого совершается платеж (например, MAC-адрес), географическое положение плательщика, его предыдущие транзакции, адрес доставки оплачиваемого товара и т.д. 

Система аутентификации и авторизации банка-эмитента (Access Control Server — ACS), в свою очередь, сравнивает их с историческими данными об операциях данного пользователя, в результате чего определяется степень риска мошенничества для этой конкретной транзакции и банк-эмитент принимает решение о том, необходима ли дополнительная проверка пользователя.

  • Если операция признается банком-эмитентом безопасной, она проводится по упрощенной схеме аутентификации (Frictionless flow), при которой плательщик автоматически признается прошедшим проверку подлинности — и никаких дополнительных данных у него запрашивать не будут.

В этом случае пользователь даже не замечает того, что его проверяли. 

  • Если же транзакция определена как рисковая, она проходит дополнительную проверку. Для этого держателю карты предлагается подтвердить свою личность с помощью биометрических данных и/или двухфакторной аутентификации (одноразового пароля, отпечатка пальца и т.д.).


Как это выглядит на практике

Предположим, пользователь часто совершает покупки на сумму до 5 тыс. рублей и никаких проблем по таким покупкам не было. Это значит, что в новой версии 3DS подобные платежи этого клиента можно провести без дополнительной идентификации. 

Если же сумма покупки значительно выше обычной или, к примеру, для платежа используется не привычное устройство, а какой-то новый гаджет, банк-эмитент может дополнительно проверить этого пользователя, предложив ему, например, подтвердить операцию с помощью отпечатка пальца, который он уже оставлял ранее в мобильном приложении банка. 

При этом все же нужно иметь в виду, что результат проверки — всего лишь рекомендация. Окончательное решение о необходимости дополнительных мер по аутентификации пользователя в любом случае принимает банк-эмитент. 


Что это значит для бизнеса

Это значит, что в процессе совершения покупки дополнительное подтверждение будет требоваться намного реже: только для высокорискованных покупок с нетипичным поведением плательщика. Но даже в этом случае процедура аутентификации будет более простой и удобной.

Все это положительно скажется на росте платежной конверсии, при этом продавец не будет нести дополнительных рисков по мошенническим операциям.


Что в итоге

Насколько с помощью 3DS 2.0 удастся повысить платежную конверсию, нам еще только предстоит узнать. Понадобится время на повсеместное внедрение и отладку системы всеми участниками платежной инфраструктуры (платежных систем, эмитентов, эквайеров, сервис-провайдеров). 

Полный переход с 3D Secure 1.0 на 3D Secure 2.0 должен завершится до 2021 года. 

Одно можно сказать точно: это прекрасный задел на будущее, который решает массу ранее практически неразрешимых проблем при проведении онлайн-платежей. И после 2021 года онлайн-продавцу не нужно будет нести дополнительные риски, отказываясь от 3DS.

Новая версия протокола позволит поддерживать необходимый уровень безопасности без существенного ущерба для платежной конверсии. 


Фото на обложке: Surasak_Ch/Shutterstock

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Реальный кардинг: как сделать онлайн-платежи безопасными

Актуальные материалы —
в Telegram-канале @Rusbase

ВОЗМОЖНОСТИ

20 октября 2020

20 октября 2020