3D Secure платежен портал: Как 3DS2 защитава търговците от измами
3D Secure е протокол за удостоверяване, разработен от картовите схеми, добавящ слой за проверка на самоличността към онлайн картови транзакции. Когато клиент плаща чрез портал с активиран 3D Secure, издаващата банка проверява транзакцията преди нейното авторизиране, чрез безпроблемна фонова проверка или като подкани клиента за удостоверяване чрез банковото му приложение. За търговците 3D Secure предоставя две критични предимства: значително намалява загубите от измами при онлайн транзакции и прехвърля отговорността за чарджбекове при спорове за измами от търговеца към издаващата банка. Това ръководство обяснява как работи 3D Secure, как версия 2 се различава от версия 1 и как да се внедри 3DS2 чрез RoxPay.
Какво е 3D Secure и как работи
3D Secure (3DS) е XML-базиран протокол за удостоверяване за транзакции без присъствие на карта. Трите домейна в името се отнасят до домейна на търговеца, домейна на придобивача и домейна на оперативна съвместимост (мрежата на картовата схема и издаващата банка). Заедно тези три страни участват в проверката, че лицето, инициирало транзакцията, е упълномощеният картодържател.
Поток от транзакции с 3DS:
Клиентът въвежда данни за карта при checkout и изпраща плащането. Порталът на търговеца изпраща транзакцията с заявка за удостоверяване 3DS. Картовата схема насочва заявката към Сървъра за контрол на достъпа на издателя на картата. Издателят извършва оценка на риска на транзакцията. Ако оценката на риска показва нисък риск (безпроблемен поток), транзакцията се удостоверява без взаимодействие с клиента. Ако рискът е над прага за безпроблемно протичане, клиентът е подканен да се удостовери, обикновено чрез одобряване на push известие в банковото му приложение, въвеждане на еднократна парола или предоставяне на биометрично потвърждение. Резултатът от удостоверяването (удостоверен, опитен или неуспешен) се връща към портала на търговеца, който го включва в заявката за авторизация към придобивача.
Прехвърлянето на отговорност: Когато транзакция е успешно удостоверена чрез 3DS и картодържателят по-късно я оспорва като измамна, отговорността за чарджбека се прехвърля от търговеца към издаващата банка. Издаващата банка е одобрила удостоверената транзакция; тя не може след това да успее да я оспори като неоторизирана. Това прехвърляне на отговорност е основната търговска изгода от 3DS за търговците.
За търговци, работещи с high risk платежен портал, внедряването на 3DS2 е особено важно, тъй като high risk категориите са склонни да имат завишени нива на измами и приятелски измами, правейки защитата на отговорността търговски значима.
3DS1 срещу 3DS2: Какво се промени и защо е важно
Оригиналната спецификация 3D Secure (3DS1) е въведена в началото на 2000-те години. Въпреки че осигуряваше механизъм за прехвърляне на отговорност, тя имаше сериозни проблеми с използваемостта и конверсията, изпитвани от търговците като изоставяне на количката при стъпката на удостоверяване. 3DS2 (EMV 3DS) е разработена за справяне с тези проблеми.
Проблеми на 3DS1:
3DS1 изискваше пренасочване към страницата за удостоверяване на издателя, която често беше лошо проектирана и объркваща за клиентите. Статичният модел с парола, използван от много издатели (Verified by Visa, MasterCard SecureCode), лесно се забравяше и създаваше триене при всяка транзакция. На мобилни устройства потокът с пренасочване и изскачащи прозорци беше особено проблематичен.
Подобрения в 3DS2:
3DS2 въвежда богат модел за споделяне на данни. Порталът на търговеца изпраща до 150 точки от данни с заявката за удостоверяване, включително пръстов отпечатък на устройството, характеристики на браузъра, история на поръчките и поведенчески сигнали. Издателят използва тези данни за вземане на решение за риска. За нискорискови транзакции издателят може да предостави безпроблемно удостоверяване, което означава, че клиентът никога не е молен да прави нищо и транзакцията протича безпрепятствено.
Методи за удостоверяване в 3DS2: Когато се изисква удостоверяване, 3DS2 поддържа съвременни методи: push известия към банково приложение с биометрично потвърждение, еднократни пароли чрез SMS и вградено удостоверяване без пренасочване.
PSD2 и Силно удостоверяване на клиента: Преразгледаната Директива за платежни услуги на ЕС (PSD2) задължава Силно удостоверяване на клиента (SCA) за повечето европейски транзакции без присъствие на карта. 3DS2 е основният механизъм за съответствие с SCA. Търговци, неподдържащи 3DS2, установяват, че транзакциите се отхвърлят от издатели, изискващи SCA, но не могат да я завършат, тъй като порталът не предава данни за удостоверяване 3DS2.
Как 3D Secure намалява отговорността за чарджбекове за търговците
Прехвърлянето на отговорност, осигурено от удостоверяването 3D Secure, е механизмът, чрез който търговците намаляват загубите от чарджбекове при спорове за измами.
Как работи прехвърлянето на отговорност на практика: Клиент завършва покупка и се удостоверява чрез 3DS2 (например чрез одобряване на push известие в банковото му приложение). Транзакцията се обработва и стоките са доставени. Месец по-късно клиентът се свързва с издаващата банка, твърдейки, че транзакцията е неоторизирана. Банката инициира чарджбек под код за причина за измама.
Когато порталът на търговеца изпраща опровержението, той включва записа за удостоверяване 3DS2: Идентификатора на транзакцията за удостоверяване, статуса на удостоверяването (удостоверен) и стойността на ECI, показваща пълно удостоверяване. Този запис демонстрира, че собствената издаваща банка на картодържателя е удостоверила транзакцията. На практика това води до обръщане на чарджбека в огромното мнозинство от случаите.
Транзакции, от които не се възползват от прехвърляне на отговорност: Не всички резултати от 3DS2 осигуряват прехвърляне на отговорност. Транзакция, преминаваща процеса на удостоверяване, но завършваща с "опитан" статус на удостоверяване, осигурява ограничена защита в сравнение с напълно удостоверен резултат.
Освобождавания и отговорност: Определени освобождавания от 3DS2 (транзакции с ниска стойност под 30 евро, доверени бенефициери, повтарящи се транзакции) позволяват транзакции да протичат без SCA. Позицията на отговорност за транзакции, базирани на освобождаване, варира в зависимост от вида на освобождаването.
Кога 3D Secure е задължителен срещу незадължителен
Съгласно мандата за Силно удостоверяване на клиента на PSD2, 3D Secure е задължителен за повечето европейски транзакции без присъствие на карта, но редица освобождавания и сценарии извън обхвата определят кога SCA не се прилага.
Кога 3DS е задължителен (SCA се прилага):
Всички стандартни плащания без присъствие на карта, инициирани от клиента (транзакции, инициирани от клиента, или CIT) за суми над прага с ниска стойност, са предмет на SCA. По подразбиране SCA е задължително; освобождаванията са изключенията.
Освобождавания, позволяващи транзакции без 3DS:
Транзакции с ниска стойност: транзакции под 30 евро могат да се квалифицират за освобождаване за ниска стойност. Обаче издателите проследяват кумулативни суми и брой транзакции; веднъж щом са приложени пет последователни освобождавания за ниска стойност или кумулативната сума надвиши 100 евро, SCA се изисква за следващата транзакция.
Анализ на риска на транзакцията (TRA): Издателите и придобивачите могат да прилагат освобождавания TRA към транзакции, оценявани като нискорискови въз основа на показатели за процент на измами.
Повтарящи се транзакции: Началното плащане в повтаряща се серия изисква SCA. Последващите транзакции, инициирани от търговеца (MIT), в рамките на същия повтарящ се мандат могат да протичат без SCA.
Доверен бенефициер: Картодържателите могат да добавят търговци в бял списък при своя издател, прилагайки освобождаване за доверен бенефициер към бъдещи транзакции с този търговец.
Извън обхвата на SCA: Транзакции, инициирани от търговеца без взаимодействие с клиента (MIT), транзакции, при които едната страна е извън ЕИП (транзакции с един крак навън), и транзакции с корпоративна карта са извън обхвата на PSD2 SCA при конкретни обстоятелства.
Внедряване на 3DS2 с RoxPay
Платежният портал на RoxPay поддържа 3DS2 нативно. Внедряването се обработва в рамките на съществуващата архитектура на интеграция, без изискване за отделен доставчик на 3DS или допълнителен договор.
Подход с drop-in UI: Ако използвате drop-in UI на RoxPay (базирано на JavaScript въвеждане на карта), 3DS2 се обработва автоматично. Когато издателят изисква удостоверяване, библиотеката управлява пренасочването към средата за удостоверяване на издателя, обработва отговора и продължава платежния поток без допълнителен код от страна на търговеца.
Подход с API интеграция: За търговци, използващи директна API интеграция, данните за удостоверяване 3DS2 се предават чрез параметрите на payment intent. API-то връща резултата от удостоверяването и необходимото действие за frontend-а на търговеца, следвайки стандартния поток на предизвикателство 3DS2. Пълна документация е достъпна на app.roxpay.eu/api/v4/docs.
Оптимизация на безпроблемния процент: RoxPay предава максимално налични данни в заявката за удостоверяване 3DS2, за да поддържа висок безпроблемен процент. Безпроблемното удостоверяване означава, че клиентът никога не е молен да потвърди нищо; издателят одобрява транзакцията на заден план. Колкото по-висок е безпроблемният процент, толкова по-добро е въздействието на 3DS2 върху конверсията.
Тестване в sandbox: RoxPay sandbox предоставя тестови сценарии за всеки резултат от 3DS2: безпроблемно удостоверяване, удостоверяване с предизвикателство, неуспешно удостоверяване и карта, неподдържаща 3DS. Тествайте всички сценарии преди да отидете на живо.
За да стартирате вашето RoxPay заявление и да започнете тестване на 3DS2 в sandbox, регистрацията отнема по-малко от десет минути и sandbox идентификационните данни се издават незабавно. RoxPay е сертифициран по PCI DSS Level 1 (QS83A47X629) и ISO 27001.
Често задавани въпроси
Намалява ли 3D Secure процентите на конверсия?
3DS2 с правилно внедряване има минимално въздействие върху конверсията в сравнение с 3DS1. Безпроблемният поток на удостоверяване, при който издателят удостоверява транзакцията на заден план без действие от страна на клиента, представлява 80-90% от удостоверените транзакции за добре конфигурирани търговци. Останалите транзакции, изискващи предизвикателство (обикновено push известие от банково приложение или OTP), показват известен отпад, но той е значително по-нисък от отпада при 3DS1.
Какво е стойността ECI при удостоверяване 3DS?
Стойността на Индикатора за електронна търговия (ECI) в отговор на удостоверяване 3DS показва постигнатото ниво на удостоверяване. ECI 05 (Visa) или 02 (Mastercard) означава, че е завършено пълно удостоверяване и осигурява пълно прехвърляне на отговорност. ECI 06 или 01 означава, че картата е опитала удостоверяване, но издателят не го е поддържал, осигурявайки ограничено прехвърляне на отговорност. ECI 07 означава, че удостоверяване не е извършено; не се прилага прехвърляне на отговорност.
Какво се случва, ако клиент не успее да завърши удостоверяването 3D Secure?
Ако клиентът не успее да завърши предизвикателството 3DS2 (анулира push известието от банковото приложение, въведе грешната OTP или изтече сесията), удостоверяването е неуспешно и плащането не се обработва. Вашият портал трябва да показва ясно съобщение за грешка и да позволява на клиента да опита отново или да използва различен метод за плащане. Неуспешното удостоверяване не е чарджбек; транзакцията просто не е авторизирана.
Може да ви хареса и
Платежен гейтуей за висок риск
Сигурна обработка на плащания за рискови индустрии с мулти-acquirer маршрутизация и защита от chargeback.
Платежни решения за малки бизнеси
Прозрачно IC++ ценообразуване, безплатен Smart POS терминал и активиране за 24 ч. за малки бизнеси
Интеграции за електронна търговия
Плъгини с един клик за Shopify, WooCommerce, Magento и PrestaShop с пълен API достъп.
Оптимизирайте плащанията си днес
RoxPay поддържа нативен 3DS2 с оптимизация на безпроблемния процент, прехвърляне на отговорност за удостоверени транзакции и пълно тестване в sandbox. Сертифициран по PCI DSS Level 1, IC++ ценообразуване от 0,45%.
✓ No monthly fixed costs · ✓ Activation in 24 hours · ✓ Dedicated technical support
