Аутентификация 3‑D Secure

Общая информация

Обзор

Аутентификация пользователя с использованием протокола 3‑D Secure (Three-Domain Secure) предназначена для безопасного проведения интернет-оплат с использованием платёжных карт. Она может выполняться с применением различных методов проверки подлинности пользователя: например, через указание пользователем одноразового проверочного кода (One Time PIN, OTP), с помощью проверки отпечатка пальца пользователя на его мобильном устройстве или без каких-либо действий со стороны пользователя, на основе информации о платеже и пользователе. В разных случаях могут поддерживаться различные методы проверки.

Notice: В этой статье представлена информация о второй версии протокола — 3‑D Secure 2. Так как поддержка первой версии протокола платёжными системами American Express, Mastercard и Visa прекращена, в платёжной платформе больше не поддерживается аутентификация с использованием этой версии.

В аутентификации 3‑D Secure могут задействоваться три домена:

  • Домен эквайера. В рамках работы с платёжной платформой ecommpay к нему относятся веб-сервис мерчанта, платёжная платформа и связанный с ней 3DS-сервер.
  • Домен совместимости. К нему относятся серверы каталогов (Directory Servers, DS) международных платёжных систем.
  • Домен эмитента. К нему относятся серверы управления доступом (Access Control Servers, ACS) эмитента (и страницы аутентификации).

Между этими доменами осуществляется обмен сообщениями, необходимыми для аутентификации пользователя. К таким сообщениям относятся запрос на проверку возможности проведения аутентификации (Verifying Enrolment Request, VEReq) и ответ на него (Verifying Enrolment Response, VERes), а также запрос на аутентификацию пользователя (Challenge Request, CReq) и ответ с информацией о результате аутентификации (Challenge Response, CRes).

Следует учитывать, что информация о возможности аутентификации пользователя и о версии протокола, по которой необходимо выполнять аутентификацию, хранится на сервере управления доступом, и эту информацию можно получить только после отправки запроса на проведение платежа. Также со стороны веб-сервиса и платёжной платформы невозможно отслеживать действия пользователей на странице аутентификации — доступно только получение информации о результате аутентификации.

Варианты аутентификации

Аутентификация 3‑D Secure может выполняться в следующих вариантах:

  • Аутентификация без участия пользователя (frictionless flow). Выбор эмитентом этого варианта, как правило, способствует повышению проходимости и улучшению пользовательского опыта.
  • Аутентификация с подтверждением пользователем своей личности (challenge flow). Подтверждение личности может выполняться, например, с использованием одноразового кода или биометрических данных, если такая возможность поддерживается эмитентом.


Со стороны мерчанта выбрать требуемый вариант аутентификации нельзя, поддерживается только указание предпочтений по такому выбору, но итоговое решение принимается на стороне эмитента. Также, помимо указания предпочтений в запросах на проведение платежа можно передавать ряд других необязательных параметров, применение которых может повысить вероятность выбора варианта аутентификации frictionless flow.

Notice: К базовому минимуму таких параметров можно отнести платёжный адрес пользователя (параметры объекта billing) и HTTP-заголовок User-Agent, полученный со стороны браузера (параметр browser). Информация об этих и других параметрах представлена далее.

Схемы работы

В платёжной платформе ecommpay аутентификация 3‑D Secure может выполняться при проведении карточных одностадийных и двухстадийных оплат, а также при проверках действительности платёжных карт. При этом может использоваться одна из двух схем выполнения аутентификации: базовая (proxy) и расширенная (native).

Базовая схема (Proxy) Расширенная схема (Native)
  • Базируется на технической реализации протокола 3‑D Secure 1
  • Требует меньшего количества работ со стороны мерчанта
  • Требует дополнительных перенаправлений пользователя
  • Оптимизирована под особенности протокола 3‑D Secure 2
  • Требует большего количества работ со стороны мерчанта
  • Исключает промежуточные перенаправления пользователя
Notice: Со стороны мерчанта можно выбрать любую из этих схем, но рекомендуется использовать расширенную, так как она позволяет обеспечить лучший пользовательский опыт и может положительно влиять на проходимость платежей.

Перейти от использования базовой схемы к использованию расширенной можно в любое время, без дополнительных согласований со специалистами ecommpay. Для этого достаточно передать в запросе на проведение платежа параметры, обязательные для расширенной схемы. Эти параметры перечислены далее, в разделе Формат запросов на проведение платежей.

Пользовательские сценарии

В зависимости от используемой схемы, варианта аутентификации, выбранного эмитентом, и других факторов процесс аутентификации может выглядеть по-разному. Так, при аутентификации пользователю могут отображаться страница ожидания на стороне веб-сервиса или платформы и ACS-страница на стороне эмитента.

На примере расширенной схемы пользовательский сценарий может выглядеть следующим образом.

Рис. 1. Страница указания платёжных данных


Рис. 2. Страница ожидания


Рис. 3. Страница ACS


Рис. 4. Страница ожидания


Рис. 5. Итоговая страница


Схемы работы

Базовая схема

В платёжной платформе информирование мерчанта о необходимости аутентификации 3‑D Secure осуществляется через оповещения, при приёме которых, как обычно при работе с платформой, необходимо отправлять ответы.

В базовой схеме оповещения о необходимости аутентификации содержат объект acs, и в качестве реагирования на такие оповещения необходимо перенаправить пользователя на страницу эмитента, принять сведения о результате аутентификации и отправить эти сведения в запросе на продолжение платежа. Время ожидания в платформе такого запроса составляет, как правило, 30 минут и измеряется с момента выявления необходимости аутентификации и до получения запроса от веб-сервиса. Если время ожидания истекло и запрос не принят — платёж автоматически отклоняется.

После поступления в платёжную платформу информации о результате аутентификации проведение платежа продолжается. В случае, если подключено каскадное проведение платежей, может понадобиться принять одно или несколько дополнительных оповещений о необходимости аутентификации 3‑D Secure. Если полученное оповещение содержит параметр cascading_with_redirect со значением true, необходимо:

  • Отобразить пользователю страницу с сообщением об ошибке и получить его согласие на повторную аутентификацию.
  • Отреагировать на оповещение необходимым способом.

Информацию о каскадном проведении платежей можно получить в соответствующей статье или у специалистов технической поддержки .

Рис. 6. Выполнение аутентификации 3‑D Secure по базовой схеме. Описание шагов
  1. В платёжной платформе выполняется обработка запроса и выявляется необходимость аутентификации 3‑D Secure.
  2. От платёжной платформы к 3DS‑серверу, связанному с платёжной платформой, передаётся запрос на проверку возможности аутентификации.
  3. На стороне 3DS‑сервера проверяется возможность аутентификации.
  4. От 3DS‑сервера к платёжной платформе направляются данные для перенаправления пользователя.
  5. От платёжной платформы к веб-сервису направляется оповещение с данными для перенаправления пользователя.
  6. От веб-сервиса к платёжной платформе направляется ответ о приёме данных.
  7. Со стороны веб-сервиса выполняется перенаправление пользователя на страницу ожидания платёжной платформы.
  8. Пользователю отображается страница ожидания платёжной платформы.
  9. Со стороны платёжной платформы выполняется открытие объекта iframe.
  10. С помощью объекта iframe выполняются сбор данных об устройстве пользователя и отправка этих данных к серверу управления доступом (Access Control Server) эмитента.
  11. От сервера управления доступом к платёжной платформе направляется уведомление о приёме этих данных.
  12. От платёжной платформы к 3DS-серверу передаётся запрос на аутентификацию пользователя.
  13. Запрос передаётся от 3DS‑сервера к серверу каталогов международной платёжной системы (Directory Server).
  14. Запрос передаётся от сервера каталогов к серверу управления доступом.
  15. На стороне эмитента выполняется аутентификация пользователя. При этом в случае выбора эмитентом варианта аутентификации frictionless flow от сервера управления доступом к платёжной платформе (через сервер каталогов и 3DS-сервер) передаётся информация о результате аутентификации и пользователь перенаправляется к веб-сервису, а в случае выбора варианта аутентификации challenge flow выполняются следующие шаги:
    • От сервера управления доступом к серверу каталогов и далее к 3DS-серверу и платёжной платформе передаются данные для перенаправления пользователя на страницу аутентификации (ACS URL).
    • Со стороны платёжной платформы выполняется перенаправление пользователя на страницу аутентификации.
    • Пользователю отображается страница аутентификации, после чего он осуществляет требуемые действия.
    • На стороне эмитента выполняется проверка подлинности пользователя.
    • От сервера управления доступом к серверу каталогов и далее к 3DS-серверу передаётся информация о результате проверки.
    • От 3DS‑сервера к серверу каталогов и далее к серверу управления доступом передаётся ответ о приёме этой информации.
    • От сервера управления доступом выполняется перенаправление пользователя на страницу ожидания платёжной платформы.
    • Пользователю отображается страница ожидания платёжной платформы.
    • Со стороны платёжной платформы выполняется перенаправление пользователя к веб-сервису с передачей данных о результате аутентификации.
    • Пользователю отображается страница ожидания веб-сервиса.
  16. От веб-сервиса на заданный URL ecommpay передаётся запрос на продолжение проведения платежа с учётом результата аутентификации.
  17. Запрос поступает в платёжную платформу.
  18. В платёжной платформе выполняется приём запроса с проверкой его корректности.
  19. От платёжной платформы к веб-сервису направляется ответ с информацией о получении запроса и его корректности.

Информация о форматах запросов и оповещений приведена далее; общая информация о работе с API — в разделе Организация взаимодействия.

Расширенная схема

В платёжной платформе информирование о необходимости аутентификации 3‑D Secure осуществляется через оповещения, при приёме которых необходимо отправлять ответы. Такое информирование не осуществляется только в тех случаях, когда со стороны эмитента принято решение об аутентификации пользователя без предоставления дополнительных сведений. В этих случаях со стороны веб-сервиса не требуется действий, отличных от стандартных при проведении платежа, а информация о результате аутентификации передаётся в итоговом оповещении.

При использовании расширенной схемы оповещение о необходимости аутентификации содержит объект iframe (в объекте threeds2). В качестве реагирования на это оповещение необходимо:

  1. Отобразить пользователю элемента iframe с использованием данных из оповещения.
  2. Принять от сервера управления доступом (ACS) эмитента уведомление о приёме данных и отправить в платёжную платформу запрос на инициирование аутентификации.
  3. В случае выбора эмитентом варианта аутентификации frictionless flow — принять информацию о результате аутентификации, а в случае выбора варианта аутентификации challenge flow выполнить следущие действия:
    • принять от платёжной платформы оповещение с объектом redirect (в объекте threeds2) и отправить ответ о приёме этого оповещения;
    • перенаправить пользователя на страницу аутентификации в течение 30 секунд после приёма оповещения;
    • принять от эмитента данных о результате аутентификации;
    • отправить в платформу запрос на продолжение проведение платежа с учётом результата аутентификации (3ds_result) в течение 30 минут после выявления необходимости аутентификации.

После поступления в платёжную платформу информации о результате аутентификации проведение платежа продолжается. В случае, если подключено каскадное проведение платежей, может понадобиться принять одно или несколько дополнительных оповещений с объектом redirect. Если такое оповещение содержит параметр cascading_with_redirect со значением true, необходимо:

  • Отобразить пользователю страницу с сообщением об ошибке и получить его согласие на повторную аутентификацию.
  • Отреагировать на оповещение необходимым способом.

Информацию о каскадном проведении платежей можно получить в соответствующей статье или у специалистов технической поддержки support@ecommpay.com.

Рис. 7. Выполнение аутентификации 3‑D Secure по расширенной схеме. Описание шагов
  1. В платёжной платформе выполняется обработка запроса и выявляется необходимость аутентификации 3‑D Secure.
  2. От платёжной платформы к 3DS‑серверу, связанному с платёжной платформой, передаётся запрос на проверку возможности аутентификации.
  3. На стороне 3DS‑сервера проверяется возможность аутентификации.
  4. От 3DS‑сервера к платёжной платформе направляются данные для формирования объекта iframe.
  5. От платёжной платформы к веб-сервису направляется оповещение с данными для формирования объекта iframe.
  6. От веб-сервиса к платёжной платформе направляется ответ о приёме данных.
  7. На стороне веб-сервиса выполняется открытие объекта iframe.
  8. С помощью объекта iframe выполняются сбор данных об устройстве пользователя и отправка этих данных к серверу управления доступом (Access Control Server) эмитента.
  9. От эмитента к веб-сервису передаётся уведомление о приёме данных.
  10. От веб-сервиса на заданный URL ecommpay передаётся запрос на инициирование аутентификации пользователя.
  11. Запрос поступает в платёжную платформу.
  12. В платёжной платформе выполняется приём запроса с проверкой его корректности.
  13. От платёжной платформы к веб-сервису направляется ответ с информацией о получении запроса и его корректности.
  14. От платёжной платформы к 3DS-серверу передаётся запрос на аутентификацию пользователя.
  15. Запрос передаётся от 3DS‑сервера к серверу каталогов международной платёжной системы (Directory Server).
  16. Запрос передаётся от сервера каталогов к серверу управления доступом.
  17. На стороне эмитента выполняется аутентификация пользователя. При этом в случае выбора эмитентом варианта аутентификации frictionless flow от сервера управления доступом к платёжной платформе (через сервер каталогов и 3DS-сервер) передаётся информация о результате аутентификации, а в случае выбора варианта аутентификации challenge flow выполняются следующие шаги:
    • От сервера управления доступом к серверу каталогов и далее к 3DS-серверу и платёжной платформе передаются данные для перенаправления пользователя на страницу аутентификации (ACS URL).
    • От платёжной платформы к веб-сервису направляется оповещения с данными для перенаправления.
    • Со стороны веб-сервиса выполняется перенаправление пользователя на страницу аутентификации.
    • Пользователю отображается страница аутентификации, после чего он осуществляет требуемые действия.
    • На стороне эмитента выполняется аутентификация пользователя.
    • От сервера контроля доступа к серверу каталогов и далее к 3DS-серверу передаётся информация о результате проверки.
    • От 3DS‑сервера к серверу каталогов и далее к серверу управления доступом передаётся ответ о приёме этой информации.
    • Со стороны сервера управления доступом выполняется перенаправление пользователя к веб-сервису с передачей данных о результате аутентификации.
    • Пользователю отображается страница ожидания веб-сервиса.
    • От веб-сервиса на заданный URL ecommpay передаётся запрос на продолжение проведения платежа с учётом результата аутентификации.
    • Запрос поступает в платёжную платформу.
    • В платёжной платформе выполняется приём запроса с проверкой его корректности.
    • От платёжной платформы к веб-сервису направляется ответ с информацией о получении запроса и его корректности.

Информация о форматах оповещений и запросов, используемых в этой схеме, приведена в разделе Форматы промежуточных сообщений для расширенной схемы; общая информация о работе с Gate API — в разделе Организация взаимодействия.

Формат запросов на проведение платежей

Общая информация

Формат запроса на проведение платежа не влияет на возможность выполнения аутентификации 3‑D Secure и должен соответствовать описанному в статье Организация взаимодействия. Набор параметров, обязательных для этого платежа, должен соответствовать набору, описанному в статье про соответствующий тип платежа, включая разрешение экрана пользователя (параметр screen_res), его адрес электронной почты и номер его телефона (параметры email и phone соответственно) для оплат, и дополняться, в случае использования расширенной схемы, объектом acs_return_url с адресами веб-сервиса для перенаправления к нему пользователя и для получения уведомления от эмитента.

Вместе с тем, в числе необязательных параметров рекомендуется передавать информацию о платеже (такую как предпочтительный вариант аутентификации и выбранный способ доставки) и о пользователе (такую как платёжный адрес пользователя) — это может повысить вероятность выбора варианта аутентификации frictionless flow, то есть варианта аутентификации пользователя без каких-либо действий с его стороны. Со стороны веб-сервиса мерчанта можно передавать как все, так и только некоторые из этих параметров. К базовому минимуму можно отнести платёжный адрес пользователя (параметры объекта billing) и значение HTTP-заголовка User-Agent, полученного со стороны его браузера (параметр browser).

Обязательные параметры

При использовании расширенной схемы в запросах на проведение платежей необходимо передавать объект acs_return_url со следующими параметрами.

Параметр Описание

return_url
string

 Адрес веб-сервиса для перенаправления пользователя после аутентификации, является обязательным при использовании расширенной схемы

3ds_notification_url
string

 Адрес веб-сервиса для получения уведомления о том, что данные приняты сервером управления доступом. Является обязательным при использовании расширенной схемы

Рекомендуемые параметры

При использовании базовой и расширенной схем в запросах на проведение платежей рекомендуется передавать следующую информацию о платеже и пользователе.

Параметр Описание

customer
object

 Объект с информацией о пользователе 2

accept_header
string

 Значение HTTP-заголовка Accept, полученного со стороны браузера пользователя 2-12

browser
string

 Значение HTTP-заголовка User-Agent, полученного со стороны браузера пользователя 2-22

color_depth
integer

 Глубина цвета браузера пользователя в битах на пиксель 2-32

java_enabled
boolean

 Индикатор поддержки сценариев Java браузером пользователя 2-42

js_enabled
boolean

 Индикатор поддержки сценариев JavaScript браузером пользователя 2-52

language
string

 Код языка, установленного в браузере пользователя 2-62

screen_res
string

 Разрешение экрана устройства пользователя, в пикселях и с символом x в качестве разделителя (например, 360x640) 2-72

timezone_name
string

 Название часового пояса браузера пользователя (например, Europe/London) 2-82

timezone_offset
string

 Разница между временем браузера пользователя и UTC, указывается в минутах (например, -120) 2-92

address_match
boolean

Указатель совпадения платёжного адреса пользователя с адресом доставки, указанным в объекте shipping.

Возможные значения:
  • Y—совпадает
  • N—не совпадает
 2-102

home_phone
string

 Номер домашнего телефона пользователя, может содержать только цифры, от четырёх до двадцати четырёх (например, 44991234567) 2-112

work_phone
string

 Номер рабочего телефона пользователя, может содержать только цифры, от четырёх до двадцати четырёх (например, 44997654321) 2-122

account
object

 Объект, содержащий информацию об учётной записи пользователя на стороне мерчанта 2-132

additional
string

 Дополнительная информация об учётной записи пользователя, например её идентификатор; в произвольном формате с использованием до шестидесяти четырёх символов 2-13-12-13

activity_day
integer

 Количество попыток проведения оплаты за последние 24 часа, не более трёх символов (999) 2-13-22-13

activity_year
integer

 Количество попыток проведения оплаты за последние 365 дней, не более трёх символов (999) 2-13-32-13

age_indicator
string

 Количество дней с момента создания учётной записи пользователя. Возможные значения:
  • 01 — платёж проводится без использования учётной записи
  • 02 — 0 дней (учётная запись создана в день проведения платежа)
  • 03 — менее 30 дней
  • 04 — от 30 до 60 дней
  • 05 — более 60 дней
 2-13-42-13

auth_data
string

 Дополнительная информация об аутентификации на стороне веб-сервиса в произвольном формате. Параметр может содержать не более 255 символов 2-13-52-13

auth_method
string

 Указатель способа последней аутентификации пользователя на стороне веб-сервиса. Возможные значения:
  • 01 — доступ без аутентификации
  • 02 — аутентификация с использованием данных, сохранённых на стороне мерчанта
  • 03 — аутентификация с использованием Federated Identity (например, Google Account или Facebook)
  • 04 — аутентификация с использованием аутентификатора, соответствующего стандартам Fast IDentity Online (FIDO)
 2-13-62-13

auth_time
string

 Дата и время последней аутентификации пользователя на стороне веб-сервиса в формате ДД-ММ-ГГГГчч:мм 2-13-72-13

date
string

 Дата создания учётной записи в формате ДД-ММ-ГГГГ 2-13-82-13

change_date
string

 Дата последних изменений в учётной записи, за исключением изменения или сброса пароля, в формате ДД-ММ-ГГГГ 2-13-92-13

change_indicator
string

 Количество дней с момента последних изменений в учётной записи, за исключением изменения или сброса пароля. Возможные значения:
  • 01 — 0 дней (изменения в день проведения платежа)
  • 02 — менее 30 дней
  • 03 — от 30 до 60 дней
  • 04 — более 60 дней
 2-13-102-13

pass_change_date
string

 Дата последнего изменения или сброса пароля в формате ДД-ММ-ГГГГ 2-13-112-13

pass_change_indicator
string

 Количество дней с момента последнего изменения или сброса пароля. Возможные значения:
  • 01 — пароль не был изменён или сброшен
  • 02 — 0 дней (пароль был изменён или сброшен в день проведения платежа)
  • 03 — менее 30 дней
  • 04 — от 30 до 60 дней
  • 05 — более 60 дней
 2-13-122-13

payment_age
string

 Дата добавления платёжных данных карты в формате ДД-ММ-ГГГГ 2-13-132-13

payment_age_indicator
string

 Количество дней с момента сохранения данных платёжной карты, используемой для проведения платежа, в учётной записи пользователя. Возможные значения:
  • 01 — платёж проводится без аутентификации в учётной записи
  • 02 — 0 дней (данные карты сохранены в день проведения платежа)
  • 03 — менее 30 дней
  • 04 — от 30 до 60 дней
  • 05 — более 60 дней
 2-13-142-13

provision_attempts
integer

 Количество попыток сохранения новых платёжных данных карты за последние 24 часа, не более трёх символов (999) 2-13-152-13

purchase_number
integer

 Количество покупок, совершённых через эту учётную запись за последние 6 месяцев, не более четырёх символов (9999) 2-13-162-13

suspicious_activity
string

 Индикатор подозрительной активности. Возможные значения:
  • 01 — без подозрений
  • 02 — с подозрительной активностью
 2-13-172-13

email
string

 Адрес электронной почты пользователя 2-142

phone
string

 Номер телефона пользователя, может содержать только цифры, от четырёх до двадцати четырёх 2-152

billing
object

 Объект с информацией о платёжном адресе пользователя 2-162

address
string

 Улица платёжного адреса пользователя 2-16-12-16

city
string

 Город платёжного адреса пользователя 2-16-22-16

country
string

 Страна платёжного адреса пользователя в формате ISO 3166-1 alpha-2 2-16-32-16

postal
string

 Почтовый индекс платёжного адреса пользователя 2-16-42-16

region_code
string

 Код штата, провинции или региона страны в формате ISO 3166-2, например DEV для графства Девон.

При указании значения этого параметра также необходимо указать значение параметра billing_country

 2-16-52-16

shipping
object

 Объект, содержащий информацию о доставке 2-172

address
string

 Адрес доставки, не более ста пятидесяти символов 2-17-12-17

address_usage
string

 Дата первого использования адреса доставки, указанного в параметрах этого объекта, в формате ДД-ММ-ГГГГ 2-17-22-17

address_usage_indicator
string

 Количество дней с момента первого использования адреса доставки, указанного в параметрах этого объекта. Возможные значения:
  • 01 — указанный адрес используется впервые
  • 02 — менее 30 дней назад
  • 03 — от 30 до 60 дней назад
  • 04 — более 60 дней назад
 2-17-32-17

city
string

 Название города доставки, не более пятидесяти символов 2-17-42-17

country
string

 Код страны доставки в формате ISO 3166-1 alpha-2 (например, GB) 2-17-52-17

delivery_email
string

 Адрес электронной почты в случае доставки на этот адрес. Может содержать не более 255 символов 2-17-62-17

delivery_time
string

 Срок доставки. Возможные значения:
  • 01 — электронная доставка в день покупки
  • 02 — доставка в день покупки
  • 03 — доставка на следующий день после покупки
  • 04 — доставка более чем через один день после покупки
 2-17-72-17

name_indicator
string

 Индикатор совпадения имени пользователя с именем получателя. Возможные значения:
  • 01 — имена совпадают
  • 02 — имена не совпадают
 2-17-82-17

postal
string

 Почтовый индекс доставки, не более шестнадцати символов 2-17-92-17

region_code
string

 Код штата, провинции или региона страны в формате ISO 3166-2, например DOR для графства Дорсет.

При указании значения этого параметра также необходимо указать значение параметра country в объекте shipping

 2-17-102-17

type
string

 Способ доставки, выбранный пользователем. Возможные значения:
  • 01 — доставка на платёжный адрес держателя карты
  • 02 — доставка на другой подтверждённый адрес
  • 03 — доставка на адрес, не совпадающий с платёжным и не являющийся подтверждённым
  • 04 — доставка в магазин
  • 05 — электронная доставка
  • 06 — без доставки (например, в случае покупки билетов на мероприятие)
  • 07 — другое
 2-17-112-17

mpi_result
object

 Объект с данными о предыдущей аутентификации пользователя 2-182

acs_operation_id
string

 Идентификатор предыдущей операции пользователя на стороне эмитента, не более тридцати шести символов. В качестве этого идентификатора необходимо использовать значение, полученное в параметре acs_operation_id оповещения о результате проведения предыдущего платежа 2-18-12-18

authentication_flow
string

Указатель варианта предыдущего прохождения аутентификации пользователем, полученное в параметре authentication_flow оповещения о результате проведения предыдущего платежа.

Возможные значения:

  • 01 — frictionless flow
  • 02 — challenge flow
 2-18-22-18

authentication_timestamp
string

 Дата и время предыдущей успешной аутентификации пользователя. В качестве значения необходимо использовать данные, полученные в параметре mpi_timestamp оповещения о результате проведения предыдущего платежа 2-18-32-18

payment
object

 Объект со сведениями о платеже 3

challenge_indicator
string

 Указатель предпочтения по использованию варианта аутентификации challenge flow. Возможные значения:
  • 01 — без предпочтений
  • 02 — предпочтительно не использовать
  • 03 — предпочтительно использовать
  • 04 — обязательно использовать
  • 05 — не использовать, анализ рисков выполнен на стороне мерчанта
  • 06 — не использовать, применить сценарий Data Only
  • 07 — не использовать, Strong Customer Authentication уже выполнена иным способом
  • 08 — не использовать, мерчант включен в список доверенных для этого пользователя
  • 09 — обязательно использовать, предпочтительно предложить пользователю добавить мерчанта в список доверенных
 3-13

challenge_window
string

 Размер окна для открытия страницы аутентификации. Возможные значения:
  • 01 — 250 x 400 пикселей
  • 02 — 390 x 400 пикселей
  • 03 — 500 x 600 пикселей
  • 04 — 600 x 400 пикселей
  • 05 — полноэкранный режим
 3-23

preorder_date
string

 Планируемая дата поступления товара или услуги в формате ДД-ММ-ГГГГ 3-33

preorder_purchase
string

 Индикатор предварительного заказа. Возможные значения:
  • 01 — не является предварительным заказом
  • 02 — является предварительным заказом
 3-43

reorder
string

 Индикатор первичной или повторной покупки данного товара или услуги пользователем. Возможные значения:
  • 01 — первичная покупка
  • 02 — повторная покупка
 3-53

gift_card
object

 Объект с информацией об оплате предоплаченными или подарочными картами 3-63

amount
integer

 Общая сумма оплаты предоплаченными или подарочными картами в минорных единицах валюты 3-6-13-6

currency
string

 Код валюты оплаты предоплаченными или подарочными картами в формате ISO 4217 alpha-3 (например, GBP) 3-6-23-6

count
integer

 Количество предоплаченных или подарочных карт, использованных для оплаты 3-6-33-6

Форматы промежуточных сообщений для базовой схемы

Формат оповещения о необходимости аутентификации

При использовании базовой схемы аутентификации от платёжной платформы к веб-сервису передаётся оповещение с данными для перенаправления пользователя. Оповещение передаётся в стандартном формате, описание которого представлено в разделе Оповещения.

Данные для перенаправления пользователя передаются в объекте acs. К таким данным относятся: сообщение CReq (в параметре pa_req) для направления запроса на прохождение аутентификации 3‑D Secure эмитенту, адрес страницы аутентификации (acs_url) и данные мерчанта в платёжной системе — Merchant Data (md).

Рис. 8. Пример данных для перенаправления
"acs":{  
  "pa_req":"inLgICAiYWNzVHIDAtMDAwMDAwMDAwNHv5hu", // Сообщение CReq
  "acs_url":"https://example.com/ACS", // Адрес страницы для перенаправления
  "md":"eyJwdXJjaGFzZV9vcGVyYXRpb25faWRfaWJ9" // Данные мерчанта в платёжной системе
}

Формат запроса на перенаправление

Для перенаправления пользователя на страницу аутентификации или страницу провайдера необходимо направить запрос на адрес, полученный в оповещении о необходимости аутентификации. Это должен быть POST-запрос со следующими объектами и параметрами:

  • action — адрес страницы, на которую необходимо перенаправить пользователя, полученный в параметре acs_url оповещения;
  • PaReq — сообщение CReq, полученное в параметре pa_req оповещения;
  • TermUrl — адрес для перенаправления пользователя к веб-сервису после аутентификации;
  • MD — данные мерчанта в международной платёжной системе (Merchant Data), полученные в параметре md оповещения.
Рис. 9. Пример HTML-формы с данными из объекта acs
<form id="3dsform" action="https://example.com/ACS" method="post" enctype="application/
x-www-form-urlencoded">
    <input type="hidden" name="PaReq" value="inLgICAiYWNzVHIDAtMDAwMDAwMDAwNHv5hu" />
    <input type="hidden" name="TermUrl" value="http://example.com/termurl" />
    <input type="hidden" name="MD" value="eyJwdXJjaGFzZV9vcGVyYXRpb25faWRfaWJ9" />
</form>
<script type="text/javascript">
    setTimeout(function() {
        document.getElementById("3dsform").submit();
    }, 1000);
</script>

Для удобства можно воспользоваться готовым примером — Пример HTML-формы, — заменив параметры на актуальные для платежа.

Формат уведомления о результате аутентификации

Данные о результате аутентификации передаются к веб-сервису в параметре pares.

Рис. 10. Пример данных об успешном прохождении аутентификации по базовой схеме
pares=eyJ4aWQiOiJNREF3TURBd01EQXdNREF5TkRBd01ERXhNVFU9IiwibWRTdGF0dXMiOjEsIm1kRXJyb3JNc2ciOiJBdXRoZW50aWNhdGVkIiwiZW5yb2xsbWVuU3RhdHVzIjpudWxsLCJhdXRoZW50aWNhdGlvblN0YXR1cyI6IlkiLCJjYXZ2IjoiUVVOVFJVMVZLMkI5UFV4MWFXRXBhMlJpTjJVPSIsImVjaSI6IjA1In0=
Рис. 11. Пример данных об ошибке при прохождении аутентификации по базовой схеме
pares=eyJ4aWQiOiJNREF3TURBd01EQXdNREF5TkRBd01ERXhNVFk9IiwibWRTdGF0dXMiOjAsIm1kRXJyb3JNc2ciOiJOb3QgYXV0aGVudGljYXRlZCIsImVucm9sbG1lblN0YXR1cyI6bnVsbCwiYXV0aGVudGljYXRpb25TdGF0dXMiOiJOIiwiY2F2diI6IiIsImVjaSI6IiJ9

Формат запроса на продолжение платежа

Для продолжения проведения платежа с учётом результата аутентификации необходимо отправить в платёжную платформу POST-запрос к конечной точке /v2/payment/card/3ds_result. В этом запросе должны использоваться следующие объекты и параметры:

  • general — объект, содержащий основные идентификационные сведения запроса:
    • project_id — идентификатор проекта, полученный от ecommpay при интеграции;
    • payment_id — идентификатор платежа, уникальный в рамках проекта;
    • signature — подпись к данным запроса, составленная после указания целевых параметров (подробнее — в разделе Работа с подписью).
  • pares — сведения о результате аутентификации 3‑D Secure, полученные в уведомлении.

Таким образом, корректный запрос на продолжение проведения платежа с учётом результата аутентификации 3‑D Secure должен содержать идентификаторы проекта и платежа, подпись и данные о результате аутентификации.

Рис. 12. Пример набора данных в запросе на продолжение проведения платежа
{
   "general": {
   "project_id": 42,
   "payment_id": "456789",
   "signature": "v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
   },
   "pares": "ewogICJhY3NUcmFuc0lEIiA6ICJkYTIyNjY0Mi1hYzJhLTQ0N2ItYWFiYS1lNWI2Nzc2MjdmZmMi
LAogICJtZXNzYWdlVHlwZSIgOiAiQ1JlcyIsCiAgIm1lc3NhZ2VWZXJzaW9uIiA6ICIyLjEuMCIsCiAgInRocmVlR
FNTZXJ2ZXJUcmFuc0lEIiA6ICI5ZjE3OWM0My02NjA2LTU3YWUtODAwMC0wMDAwMDAwMDA3ZGQiLAogICJ0cmFuc1
N0YXR1cyIgOiAiWSIKfQ"
  // Сведения о результате аутентификации
}

Форматы промежуточных сообщений для расширенной схемы

Формат оповещения с данными для объекта iframe

При расширенной схеме аутентификации через Gate от платёжной платформы к веб-сервису могут передаваться оповещения с данными для формирования объекта iframe. Для этих оповещений используется стандартный формат, описание которого представлено в разделе Оповещения.

Оповещения с данными для формирования объекта iframe не передаются, если со стороны эмитента без использования данных об устройстве пользователя принято одно из следующих решений:

  • Выполнить проверку пользователя с перенаправлением на страницу аутентификации (вариант challenge flow). В этом случае со стороны веб-сервиса необходимо принять и обработать оповещение с данными для перенаправления (подробнее — ниже).
  • Аутентифицировать пользователя (вариант frictionless flow). В этом случае со стороны веб-сервиса необходимо принять и обработать оповещение о результате проведения платежа.

Следующий пример содержит данные для формирования объекта iframe. Эти данные необходимо использовать следующим образом: адрес из параметра url — в атрибуте action, а данные из других параметров — в тегах input.

Рис. 13. Пример данных для формирования объекта iframe
{ 
  "threeds2":{ 
    "iframe":{ 
      "url":"https://example.com",
      "params":{
        "3DSMethodData":"eyAidGhyZWVNrkthelJSUFQwaWZYMCUzQ",
        "threeDSMethodData":"eyAidGhjNjMGQ4YWU4LTA2u0wyWmtObGRdwR"
      }
    }
  }
}
Рис. 14. Пример разметки HTML-страницы для объекта iframe
<iframe id="tdsMmethodTgtFrame" name="tdsMmethodTgtFrame" style="width: 1px; height: 1px; 
display: none;" src="javascript:false;" xmlns="http://example.com/xhtml"> <!--.--> </iframe>
<form id="tdsMmethodForm" name="tdsMmethodForm" action="https://example.com" method="post" 
target="tdsMmethodTgtFrame" xmlns="http://example.com/xhtml">
    <input type="hidden" name="3DSMethodData" value="eyAidGhyZWVNrkthelJSUFQwaWZYMCUzQ"
    />
    <input type="hidden" name="threeDSMethodData" value="eyAidGhjNjMGQ4YWU4LTA2u0wyWmtObGRdwR"
    />
</form>
<script type="text/javascript" xmlns="http://example.com/xhtml">
    document.getElementById("tdsMmethodForm").submit();
</script>

Формат оповещения о необходимости аутентификации

При использовании расширенной схемы аутентификации через Gate от платёжной платформы к веб-сервису могут передаваться оповещения с данными для перенаправления пользователя на страницу аутентификации (ACS URL) эмитента. Оповещения передаются в стандартном формате, описание которого представлено в разделе Оповещения. Оповещения с данными для перенаправления пользователя на страницу аутентификации не передаются в случаях, если на стороне эмитента выбран вариант аутентификации frictionless flow. Вместо такого оповещения со стороны веб-сервиса необходимо принять и обработать оповещение о результате проведения платежа.

Следующий пример содержит данные для перенаправления пользователя на страницу аутентификации. Эти данные необходимо использовать следующим образом: адрес из параметра url — в атрибуте action, а данные из других параметров — в тегах input.

Рис. 15. Пример данных для перенаправления пользователя
{ 
  "threeds2":{ 
    "redirect":{ 
      "url":"https://example.com/ACS",
      "params":{
        "creq":"ewogICAiYWNzVHJhbnNJCIDAtMDAwMDAwMDAwN2Q5Ip9",
        "threeDSSessionData":"240000549"
      }
    }
  }
}
Рис. 16. Пример разметки HTML-страницы для перенаправления пользователя
<!DOCTYPE html SYSTEM "about:legacy-compat">
<html class="no-js" lang="en" xmlns="http://example.com/xhtml">
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta charset="utf-8" />
    <title>3D Secure Processing</title>
    <link href="https://example.com/mpi.css" rel="stylesheet" type="text/css" />
  </head>
  <body>
    <div id="main">
      <div id="content">
        <div id="order">
          <h2>3D Secure Processing</h2>
          <img src="https://example.com/preloader.gif" alt="Please wait.." /> <img src="https://
example.com/verifiedbyvisa.png" alt="Verified by VISA" />
          <div id="formdiv">
            <script type="text/javascript">
              function hideAndSubmitTimed(formid) { timer=setTimeout("hideAndSubmit('"+formid+"');",
100);} function hideAndSubmit(formid) { var formx=document.getElementById(formid); tif (formx!=null)
{ formx.style.visibility="hidden"; formx.submit(); } }
            </script>
            <div>
              <form id="webform0" name="red2ACSv2" method="POST" action="https://
example.com/ACS" accept_charset="UTF-8"> 
<input type="hidden" name="_charset_" value="UTF-8" /> 
<input type="hidden" name="creq" value="ewogICAiYWNzVHJhbnNJCIDAtMDAwMDAwMDAwN2Q5Ip9" /> 
<input type="hidden" name="threeDSSessionData" value="240000476" /> 
<input type="submit" name="submitBtn" value="Please click here to continue" /> 
              </form>
            </div>
          </div>
          <script type="text/javascript">
           thideAndSubmitTimed('webform0');
          </script>
          <noscript>
            <div align="center"> <b>Javascript is turned off or not supported!</b> <br/> </div>
          </noscript>
        </div>
      </div>
    </div>
  </body>
</html>

Формат уведомления о приёме данных об устройстве пользователя

При расширенной схеме аутентификации от сервера управления доступом (ACS) эмитента на URL веб-сервиса, указанный в запросе на проведение платежа (в параметре 3ds_notification_url), передаётся уведомление о приёме данных об устройстве пользователя. Это уведомление передаётся в формате эмитента.

Рис. 17. Пример идентификатора операции на стороне 3DS-сервера
threeDSServerTransID=3abd37b3-afa6-53cf-8000-000000006455

Формат запроса на инициирование аутентификации

При расширенной схеме аутентификации для инициирования аутентификации необходимо отправить в платёжную платформу POST-запрос к конечной точке /v2/payment/card/3ds_check_iframe. В запросе к этой конечной точке должны использоваться следующие объекты и параметры:

  • general — объект, содержащий основные идентификационные сведения запроса:
    • project_id — идентификатор проекта, полученный от ecommpay;
    • payment_id — идентификатор платежа, уникальный в рамках проекта;
    • signature — подпись к данным запроса, составленная после указания целевых параметров (подробнее — в разделе Работа с подписью).
  • threeds_completion_indicator — указатель получения уведомления о приёме данных в течение десяти секунд после открытия объекта iframe. Необходимо передать значение true при получении уведомления и значение false при его отсутствии в заданный период.

Таким образом, корректный запрос на инициирование аутентификации 3‑D Secure должен содержать идентификаторы проекта и платежа и подпись.

Рис. 18. Пример набора данных в запросе на инициирование аутентификации
{ 
  "general":{ 
    "project_id":42,
    "payment_id":"456789",
    "signature":"v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
  },
  "threeds_completion_indicator":true
}

Формат уведомления о результате аутентификации

При использовании расширенной схемы аутентификации через Gate данные о результате аутентификации передаются к веб-сервису в формате эмитента. Эти данные передаются в параметре cres уведомления.

Рис. 19. Пример данных об успешном прохождении аутентификации по расширенной схеме
cres=ewogICJhY3NUcmFuc0lEIiA6ICJkYTIyNjY0Mi1hYzJhLTQ0N2ItYWFiYS1lNWI2Nzc2MjdmZmMiLAogICJtZXNzYWdlVHlwZSIgOiAiQ1JlcyIsCiAgIm1lc3NhZ2VWZXJzaW9uIiA6ICIyLjEuMCIsCiAgInRocmVlRFNTZXJ2ZXJUcmFuc0lEIiA6ICI5ZjE3OWM0My02NjA2LTU3YWUtODAwMC0wMDAwMDAwMDA3ZGQiLAogICJ0cmFuc1N0YXR1cyIgOiAiWSIKfQ&threeDSSessionData=240000554
Рис. 20. Пример данных об ошибке при прохождении аутентификации по расширенной схеме
cres=ewogICAiYWNzUmVmZXJlbmNlTnVtYmVyIiA6ICJBQ1NFbXUyIiwKICAgImFjc1RyYW5zSUQiIDog%0D%0AIjAwMDAwMDAwLTAwMDUtNWE1YS04MDAwLTAxNmQzZTI2ZWU2YyIsCiAgICJtZXNzYWdlVHlwZSIg%0D%0AOiAiQ1JlcyIsCiAgICJtZXNzYWdlVmVyc2lvbiIgOiAiMi4xLjAiLAogICAidGhyZWVEU1NlcnZl%0D%0AclRyYW5zSUQiIDogIjhiMjM0Y2ZmLTkzNjAtNTc5Yy04MDAwLTAwMDAwMDAwMDlhNiIsCiAgICJ0%0D%0AcmFuc1N0YXR1cyIgOiAiTiIKfQ==&threeDSSessionData=240000622

Формат запроса на продолжение платежа

При базовой и расширенной схемах аутентификации через Gate для продолжения проведения платежа с учётом результата аутентификации необходимо отправить в платёжную платформу POST-запрос к конечной точке /v2/payment/card/3ds_result. В этом запросе должны использоваться следующие объекты и параметры:

  • general — объект, содержащий основные идентификационные сведения запроса:
    • project_id — идентификатор проекта, полученный от ecommpay;
    • payment_id — идентификатор платежа, уникальный в рамках проекта;
    • signature — подпись к данным запроса, составленная после указания целевых параметров (подробнее — в разделе Работа с подписью).
  • cres — данные о результате аутентификации 3‑D Secure, полученные в уведомлении от сервера управления доступом.

Таким образом, корректный запрос на продолжение проведения платежа с учётом результата аутентификации 3‑D Secure должен содержать идентификаторы проекта и платежа, подпись и данные о результате аутентификации.

Рис. 21. Пример набора данных в запросе на продолжение проведения платежа
{
   "general": {
   "project_id": 42,
   "payment_id": "456789",
   "signature": "v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
   },
   "cres": "ewogICJhY3NUcmFuc0lEIiA6ICJkYTIyNjY0Mi1hYzJhLTQ0N2ItYWFiYS1lNWI2Nzc2MjdmZmMi
LAogICJtZXNzYWdlVHlwZSIgOiAiQ1JlcyIsCiAgIm1lc3NhZ2VWZXJzaW9uIiA6ICIyLjEuMCIsCiAgInRocmVlR
FNTZXJ2ZXJUcmFuc0lEIiA6ICI5ZjE3OWM0My02NjA2LTU3YWUtODAwMC0wMDAwMDAwMDA3ZGQiLAogICJ0cmFuc1
N0YXR1cyIgOiAiWSIKfQ"
  // Данные о результате аутентификации
}

Формат оповещений о результатах платежей

Информация о результате платежа передаётся от платёжной платформы к веб-сервису в оповещении стандартного формата, описание которого представлено в разделе Оповещения.

В случае выполнения аутентификации 3‑D Secure при проведении платежа в объекте mpi_result оповещения дополнительно могут передаваться следующие параметры:

  • mpi_operation_id — идентификатор операции на стороне 3DS‑сервера;
  • ds_operation_id — идентификатор операции на стороне cервера каталогов международной платёжной системы;
  • acs_operation_id — идентификатор операции на стороне сервера управления доступом эмитента;
  • mpi_timestamp — дата и время аутентификации;
  • cardholder_info — информация об аутентификации, которую рекомендуется отобразить пользователю при уведомлении о результате проведения платежа;
  • authentication_flow — указатель использованного варианта аутентификации: 01 для frictionless flow или 02 для challenge flow.

По умолчанию эти параметры не передаются. Для того, чтобы получать их в оповещениях, необходимо обратиться в службу технической поддержки support@ecommpay.com.

Рис. 22. Пример данных из оповещения о результате оплаты с аутентификацией 3‑D Secure
{  
  "account":{  
    "number":"431422******0056",
    "token":"f365bb1729f9b72fd9c09703a751c979f3becc679f29c3e35c91d18070d15654",
    "type":"visa",
    "card_holder":"JOHN SMITH",
    "id":45678,
    "expiry_month":"08",
    "expiry_year":"2025"
  },
  "customer":{  
    "id":"customer_12",
    "phone":"44991234567"
  },
  "payment":{  
    "date":"2019-01-11T13:02:42+0000",
    "id":"456789",
    "method":"card",
    "status":"success",
    "sum":{  
      "amount":400000,
      "currency":"USD"
    },
    "type":"purchase",
    "description":""
  },
  "project_id":42,
  "operation":{  
    "id":969000002636,
    "type":"sale",
    "status":"success",
    "date":"2019-01-11T13:02:42+0000",
    "created_date":"2019-01-11T13:01:45+0000",
    "request_id":"c6eed1eb14c629b4ef20b3b8086d...d04132c34b0088cbc0be4667c",
    "sum_initial":{  
      "amount":400000,
      "currency":"USD"
    },
    "sum_converted":{  
      "amount":400000,
      "currency":"USD"
    },
    "provider":{  
      "id":408,
      "payment_id":"330157196",
      "date":"2019-01-11T13:02:32+0000",
      "auth_code":"",
      "endpoint_id":"612266625"
    },
    "mpi_result":{
      "mpi_operation_id":"",
      // Идентификатор операции на стороне 3DS‑сервера
      "ds_operation_id":"",
      // Идентификатор операции на стороне сервера каталогов международной платёжной системы
      "acs_operation_id":"",
      // Идентификатор операции на стороне сервера управления доступом эмитента
      "mpi_timestamp":"YYYYMMDDHHMM",
      // Дата и время выполнения аутентификации
      "cardholder_info":"Additional authentication is needed for this transaction",
      // Информация об аутентификации, которую рекомендуется отобразить пользователю
      "authentication_flow":"02"
      // Информация о варианте аутентификации
    },
    "code":"0",
    "message":"Success",
    "eci":"07"
  },
  "signature":"v7KNMpfogAxwRIL9tVftZ1ZZ5D/aZAeb0VMdeR+CqGrNxYyilUwSm...=="
}