Общая информация

Обзор

3‑D Secure 2 — это новая версия протокола 3‑D Secure (Three-Domain Secure), который обеспечивает безопасное проведение интернет-оплат с использованием платёжных карт. К основным преимуществам 3‑D Secure 2 по сравнению с 3‑D Secure 1 относятся:

  • Расширение возможностей проведения платежей за счёт поддержки аутентификации в мобильных приложениях (без необходимости задействовать браузер).
  • Повышение безопасности платежей за счёт отказа от использования статических паролей (таких как пароли из списка, полученного от эмитента) и перехода к более надёжным методам аутентификации, например с использованием биометрических данных пользователя, а также за счёт расширения состава передаваемых при аутентификации данных.
  • Повышение удобства платежей за счёт добавления варианта аутентификации с подтверждением личности пользователя эмитентом, без каких-либо действий со стороны пользователя.

Вариант аутентификации без каких-либо действий пользователя называется frictionless flow. Другой вариант — challenge flow, с подтверждением пользователем своей личности, например с использованием одноразового кода (аналогично 3‑D Secure 1) или биометрических данных, если такая возможность поддерживается эмитентом.



Выбор между этими вариантами осуществляется на стороне эмитента. Для этого могут применяться интеллектуальные механизмы проверки подлинности с использованием разнообразной информации о пользователе и платеже, в том числе переданной со стороны мерчанта. Это может быть, например, информация об учётной записи пользователя на стороне веб-сервиса и об адресе доставки. Чтобы повысить вероятность выбора варианта frictionless flow, такую информацию рекомендуется передавать в запросах на проведение платежа.

Как и в случае с 3‑D Secure 1, при аутентификации 3‑D Secure 2 используются три домена:

  • Домен эквайера. В рамках работы с платёжной платформой ECommPay к нему относятся веб-сервис мерчанта, платёжная платформа и связанный с ней 3DS-сервер (3DS Server).
  • Домен совместимости. К нему относятся серверы каталогов (Directory Servers, DS) международных платёжных систем.
  • Домен эмитента. К нему относятся серверы управления доступом (Access Control Servers, ACS) эмитента (и, соответственно, страница аутентификации).

Следует учитывать, что информация о возможности проведения аутентификации пользователя хранится на 3DS-сервере, и следовательно эту информацию можно получить только после отправки запроса на проведение платежа. Также платёжная платформа не располагает информацией о действиях пользователей на странице аутентификации, а только получает результат прохождения аутентификации.

Более подробная информация о порядке взаимодействия между этими доменами представлена в разделах Схема работы через Payment Page и Схемы работы через Gate.

Вопросы и ответы

В этом разделе содержатся ответы на вопросы о протоколе 3‑D Secure 2, его поддержке и возможностях его использования.

Общие вопросы о протоколе:

Вопросы о переходе к использованию протокола:

Вопросы об использовании протокола:

Для получения дополнительной информации по этим и другим вопросам следует обращаться к курирующему менеджеру ECommPay.

Что меняется при переходе от 3‑D Secure 1 к 3‑D Secure 2?

К общим изменениям относятся:

  • Расширение возможностей проведения платежей за счёт поддержки аутентификации в мобильных приложениях (без необходимости задействовать браузер).
  • Повышение безопасности платежей за счёт перехода к более надёжным методам аутентификации и расширения состава передаваемых при аутентификации данных.
  • Повышение удобства платежей за счёт добавления варианта аутентификации, не требующего действий пользователя.

В пользовательском сценарии добавляется вариативность: с возможным промежуточным перенаправлением пользователя, с поддержкой двух вариантов аутентификации (frictionless flow и challenge flow) и с допустимыми нововведениями в способе подтверждения пользователем своей подлинности (например, с использованием биометрических данных).

К изменениям во взаимодействиях веб-сервисов с платёжной платформой ECommPay относятся поддержка новых параметров для запросов и изменения структур данных в оповещениях. Кроме того, при переходе к работе с 3‑D Secure 2 осуществляется регистрация мерчантов в программах аутентификации Visa Secure и Mastercard Identity Check и на платёжных страницах необходимо использовать логотипы этих программ.

Со стороны веб-сервиса допустимо не поддерживать изменения в запросах и оповещениях, но необходимо использовать новые логотипы.

Для получения информации о регистрации в программах Visa Secure и Mastercard Identity Check и о замене логотипов следует обращаться к курирующему менеджеру ECommPay.

Что меняется в пользовательском сценарии аутентификации?

Если при использовании протокола 3‑D Secure 1 аутентификация выполняется с перенаправлением пользователя от веб-сервиса к странице аутентификации (ACS) эмитента, то при использовании протокола 3‑D Secure 2 количество перенаправлений может варьироваться:

  • В зависимости от используемой на стороне веб-сервиса схемы аутентификации: при использовании схемы с тем же алгоритмом, что и в схеме для поддержки 3‑D Secure 1, перед перенаправлением на страницу аутентификации (ACS) выполняется промежуточное перенаправление пользователя на страницу ожидания платёжной платформы, а при использовании схемы с новым алгоритмом такое перенаправление не выполняется.
  • В зависимости от выбранного на стороне эмитента варианта аутентификации: при выборе варианта challenge flow пользователь перенаправляется на страницу аутентификации (ACS), а при выборе варианта frictionless flow такое перенаправление не выполняется.

Также для пользователя возможны изменения в способе подтверждения своей подлинности: например, со стороны эмитента может запрашиваться подтверждение с использованием биометрических данных.

Каким образом используются биометрические данные пользователя?

Протоколом аутентификации 3‑D Secure 2 предусмотрена возможность использования биометрических данных пользователя для подтверждения его личности. Для этого на стороне эмитента и на стороне устройства пользователя должны поддерживаться обработка и хранение биометрических данных. При этом порядок и варианты подтверждения личности с использованием таких данных регулируются эмитентом.

Примером использования биометрических данных может быть подтверждение личности пользователя с использованием сканера отпечатков пальцев или сканера объёмно-пространственной формы лица (такого как Face ID) на его мобильном устройстве.

Можно ли заранее узнать о необходимости аутентификации пользователя?

Нет, информация о возможности проведения аутентификации пользователя хранится на сервере управления доступом, и следовательно эту информацию можно получить только после отправки запроса на проведение платежа.

Есть ли такие виды платежей, при проведении которых не требуется аутентификация 3‑D Secure 2?

Да. К платежам, на которые не распространяются требования PSD2 к аутентификации, относятся:

  • Оплаты с использованием платёжных карт не из Европейской экономической зоны.
  • Оплаты с использованием анонимных предоплаченных платёжных карт, например с использованием подарочной карты.
  • Оплаты категории Mail Order/Telephone Order (MO/TO).
  • Оплаты, инициируемые мерчантом (Merchant-initiated transactions, MIT), в случаях, когда первоначальная операция выполнялась с аутентификацией 3‑D Secure 2 вне зависимости от её варианта: challenge flow или frictionless flow.

В платёжной платформе поддерживается определение этих видов платежей и аутентификация 3‑D Secure 2 для них не выполняется.

Кроме того, есть виды платежей, которые в соответствии с решениями эмитентов могут относиться к исключениям и проводиться без аутентификации 3‑D Secure 2. Это:

  • Платежи на суммы до 30 евро, в случаях, когда с момента последней успешной аутентификации проведено не более пяти платежей и общая сумма этих платежей не превышает 100 евро.
  • Платежи с низким уровнем риска, с учётом порогов, определяемых в соответствии с PSD2.
  • Платежи в пользу тех мерчантов, которые по инициативе или с согласия держателя карты занесены в список доверенных.
  • Платежи, инициируемые юридическими лицами с использованием процессов и протоколов, обеспечивающих высокий уровень защиты от мошенничества (так называемые безопасные корпоративные платежи).

Работа с такими исключениями в платёжной платформе пока не поддерживается.

Использование исключений гарантирует проведение платежа без аутентификации 3‑D Secure 2?

Нет. В случае проведения платежа, который относится к исключениям, решение о необходимости аутентификации 3‑D Secure 2 остаётся за эмитентом. С его стороны может быть направлен «мягкий отказ» (soft decline), означающий необходимость выполнения аутентификации 3‑D Secure 2. При получении такого отказа со стороны мерчанта следует повторно направить запрос на проведение платежа с теми же платёжными данными, которые были переданы в первоначальном запросе.

Что нужно сделать для поддержки 3‑D Secure 2?

Для поддержки 3‑D Secure 2 на стороне веб-сервиса необходимо:

  1. Согласовать с курирующим менеджером ECommPay возможность, порядок и сроки перехода к 3‑D Secure 2.
  2. Выполнить необходимые доработки (с учётом информации из раздела Обзор нововведений).
  3. Совместно со специалистами технической поддержки ECommPay провести тестирование и запуск новой функциональности (подробнее о данных для тестирования — в ответе на вопрос ниже).

Что необходимо изменить для работы с Gate?

При работе с Gate со стороны веб-сервиса может поддерживаться одна из следующих схем аутентификации 3‑D Secure 2:

  • Базовая схема — с алгоритмом, аналогичным применяемому для 3‑D Secure 1 (с теми же параметрами в запросах и оповещениях). При использовании этой схемы на платёжных страницах необходимо отображать новые логотипы программ аутентификации международных платёжных систем, а в остальном взаимодействие веб-сервиса с платёжной платформой остаётся прежним.
  • Расширенная схема — с новым алгоритмом, позволяющим избежать промежуточных перенаправлений пользователя. При использовании этой схемы на стороне веб-сервиса необходимо обеспечить приём оповещений с новыми параметрами и поддержку нового алгоритма перенаправления пользователя на страницу аутентификации (ACS). Дополнительно можно обеспечить приём уведомлений от сервера управления доступом и отправку запросов нового типа и использовать эту возможность для некоторых или для всех платежей (подробнее — в разделе Схемы работы через Gate).

При использовании любой из этих схем рекомендуется отправлять дополнительные параметры в запросах на проведение платежей, чтобы повысить вероятность выбора варианта аутентификации frictionless flow.

После подключения базовой схемы возможен упрощённый переход к использованию расширенной схемы, без обращения к курирующему менеджеру и специалистам технической поддержки. Для такого перехода достаточно начать передавать в запросах на проведение платежей объект acs_return_url с параметром return_url (подробнее о параметре — в разделе Формат запросов на проведение платежей через Gate). В этом случае платежи, в запросах на проведение которых передаётся return_url, проводятся по расширенной схеме, а остальные — по базовой.

Что необходимо изменить для работы с Payment Page?

Для поддержки аутентификации 3‑D Secure 2 со стороны веб-сервиса допустимо не вносить изменения во взаимодействия с платёжной платформой, но для повышения вероятности выбора варианта аутентификации frictionless flow рекомендуется отправлять дополнительные параметры в запросах на открытие Payment Page и обеспечить приём оповещений с новыми параметрами.

Что меняется при выполнении операций через Dashboard (Old Dashboard)?

Для получения доступа к интерфейсу Dashboard (Old Dashboard) теперь необходимо проходить обязательную двухфакторную аутентификацию с использованием приложения Google Authenticator, а для подтверждения выполнения любых финансовых операций — с использованием кодов, получаемых от ECommPay в SMS-сообщениях.

Какие данные следует использовать для тестирования изменений?

Для проведения тестовых платежей необходимо использовать данные платёжных карт, перечисленные ниже.

Данные платёжных карт Visa:

  • с выбором варианта аутентификации frictionless flow:
    • 4477000000000006 — успешный платёж (статус платежа success);
    • 4012000000020063 — отказ в проведении платежа (статус платежа decline);
  • с выбором варианта аутентификации challenge flow:
    • 4314220000000056 — успешный платёж (статус платежа success);
    • 4012000000020089 — отказ в проведении платежа (статус платежа decline);

Данные платёжных карт Mastercard:

  • с выбором варианта аутентификации frictionless flow:
    • 5252000000000004 — успешный платёж (статус платежа success);
    • 5544330000000029 — отказ в проведении платежа (статус платежа decline);
  • с выбором варианта аутентификации challenge flow:
    • 5413330000000019 — успешный платёж (статус платежа success);
    • 5544330000000045 — отказ в проведении платежа (статус платежа decline);

По вопросам, связанными с проведением тестовых платежей, следует обращаться к специалистам технической поддержки — support@ecommpay.com.

Можно ли использовать 3‑D Secure 2 для всех оплат картами Visa, Mastercard и Maestro?

Нет, возможность использования нового протокола для конкретной оплаты зависит от готовности эмитента и провайдеров, участвующих в её проведении. Эмитенты Европейской экономической зоны должны поддерживать 3‑D Secure 2 с 14 сентября 2019-го года, а эмитенты других регионов — к концу 2020-го года.

Нужно ли поддерживать 3‑D Secure 1 при переходе к 3‑D Secure 2?

В связи с тем, что аутентификация с использованием протокола 3‑D Secure 2 необходима и возможна не во всех случаях, при переходе к 3‑D Secure 2 на стороне веб-сервиса нужно поддерживать и 3‑D Secure 1. В частности, в соответствии с рекомендацией международной платёжной системы Mastercard, если аутентификация с использованием протокола 3‑D Secure 2 не выполнена из-за сбоя на стороне платёжной системы или эмитента либо из-за того, что эмитент не поддерживает протокол 3‑D Secure 2, со стороны платёжной платформы выполняется попытка аутентификации с использованием протокола 3‑D Secure 1.

Можно ли мерчанту выбрать аутентификацию 3‑D Secure 1 вместо 3‑D Secure 2?

Нет, необходимость использования того или иного протокола определяется на стороне 3DS-сервера и зависит от возможностей эмитента. Мерчант не может повлиять на этот выбор.

Как узнать какая аутентификация выполнялась?

Информация о протоколе аутентификации, который был использован при проведении платежа, передаётся в оповещении о результате платежа, а также отображается в интерфейсе Dashboard (Old Dashboard).

Можно ли проводить платежи без выполнения аутентификации 3‑D Secure (non-3DS)?

Со стороны мерчанта допустим отказ от аутентификации. При этом необходимо учитывать следующее:

  • С 1 февраля 2020-го года эмитенты, действующие на территории Европейской экономической зоны, должны отклонять все платежи без аутентификации 3‑D Secure 2, кроме платежей двух видов: не подпадающих под действие PSD2 и отнесённых в соответствии с PSD2 к допустимым исключениям (подробнее — в ответе на вопрос об этих видах платежей). Отказ от аутентификации при проведении платежей с использованием карт, эмитированных в Европейской экономической зоне, возможен только для платежей, не подпадающих под действие PSD2.
  • В случае отказа от аутентификации ответственность за мошеннические платежи полностью перекладывается на мерчанта.

Для уточнения условий отказа следует обращаться к курирующему менеджеру ECommPay.