Gateway cu 3D Secure: Cum 3DS2 Protejeaza Comerciantii de Frauda
3D Secure este un protocol de autentificare dezvoltat de circuitele de card care adauga un strat de verificare a identitatii la tranzactiile online cu card. Cand un client plateste printr-un gateway 3D Secure activat, banca emitenta verifica tranzactia inainte de a fi autorizata, fie printr-o verificare discreta in fundal, fie solicitand clientului sa se autentifice prin aplicatia sa bancara. Pentru comercianti, 3D Secure ofera doua beneficii critice: reduce semnificativ pierderile din frauda la tranzactiile online si transfera raspunderea pentru disputele de frauda de la comerciant la banca emitenta. Acest ghid explica cum functioneaza 3D Secure, cum versiunea 2 difera de versiunea 1 si cum sa implementezi 3DS2 prin RoxPay.
Ce Este 3D Secure si Cum Functioneaza
3D Secure (3DS) este un protocol de autentificare bazat pe XML pentru tranzactii card-not-present. Cele trei domenii din denumire se refera la domeniul comerciantului, domeniul achizitorului si domeniul de interoperabilitate (reteaua circuitului de card si banca emitenta). Impreuna, aceste trei parti participa la verificarea faptului ca persoana care initiaza tranzactia este titularul autorizat al cardului.
Fluxul tranzactiei cu 3DS:
Clientul introduce detaliile cardului la checkout si trimite plata. Gateway-ul comerciantului trimite tranzactia cu o cerere de autentificare 3DS. Circuitul de card redirectioneaza cererea catre Serverul de Control al Accesului al emitentului. Emitentul efectueaza o evaluare de risc a tranzactiei. Daca evaluarea de risc indica risc scazut (flux fara frecare), tranzactia este autentificata fara interactiunea clientului. Daca riscul depaseste pragul pentru fluxul fara frecare, clientul este solicitat sa se autentifice, de obicei prin aprobarea unei notificari push in aplicatia sa bancara, introducerea unei parole de unica folosinta sau furnizarea confirmarii biometrice. Rezultatul autentificarii este returnat gateway-ului comerciantului, care il include in cererea de autorizare.
Transferul de raspundere: Cand o tranzactie este autentificata cu succes prin 3DS, iar titularul cardului o contesta ulterior ca frauduloasa, raspunderea pentru chargeback se transfera de la comerciant la banca emitenta. Acesta este principalul beneficiu comercial al 3DS pentru comercianti.
Pentru comerciantii care opereaza un gateway de plata high risk, implementarea 3DS2 este deosebit de importanta deoarece categoriile high risk tind sa aiba rate ridicate de frauda si frauda amicala, facand protectia de raspundere semnificativa din punct de vedere comercial.
3DS1 vs 3DS2: Ce S-a Schimbat si De Ce Conteaza
Specificatia originala 3D Secure (3DS1) a fost introdusa la inceputul anilor 2000. Desi a oferit un mecanism de transfer al raspunderii, a avut probleme serioase de utilizabilitate si conversie pe care comerciantii le-au experimentat ca abandonare a cosului la etapa de autentificare. 3DS2 (EMV 3DS) a fost dezvoltat pentru a aborda aceste probleme.
Probleme 3DS1:
3DS1 necesita o redirectionare catre pagina de autentificare a emitentului, care era adesea slab conceputa si confuza pentru clienti. Modelul de parola statica folosit de multi emitenti era usor de uitat si crea frecare la fiecare tranzactie. Pe dispozitivele mobile, fluxul bazat pe redirectionare si ferestre pop-up era deosebit de problematic.
Imbunatatiri 3DS2:
3DS2 introduce un model bogat de partajare a datelor. Gateway-ul comerciantului trimite pana la 150 de puncte de date cu cererea de autentificare, inclusiv amprenta dispozitivului, caracteristicile browserului, istoricul comenzilor si semnalele comportamentale. Emitentul foloseste aceste date pentru a lua o decizie de risc. Pentru tranzactiile cu risc scazut, emitentul poate acorda o autentificare fara frecare, ceea ce inseamna ca clientul nu trebuie sa faca nimic.
Metode de autentificare in 3DS2: Cand autentificarea este necesara, 3DS2 suporta metode moderne: notificari push catre o aplicatie bancara cu confirmare biometrica, parole de unica folosinta prin SMS si autentificare in aplicatie fara redirectionare.
PSD2 si Autentificarea Puternica a Clientului: Directiva Revizuita privind Serviciile de Plata (PSD2) a UE impune Autentificarea Puternica a Clientului (SCA) pentru majoritatea tranzactiilor europene card-not-present. 3DS2 este mecanismul principal pentru conformitatea SCA.
Cum 3D Secure Reduce Raspunderea pentru Chargeback-uri a Comerciantilor
Transferul de raspundere furnizat de autentificarea 3D Secure este mecanismul prin care comerciantii reduc pierderile din chargeback-uri la disputele de frauda.
Cum functioneaza transferul de raspundere in practica: Un client finalizeaza o achizitie si se autentifica prin 3DS2 (de exemplu, aproband o notificare push in aplicatia sa bancara). Tranzactia este procesata si bunurile sunt livrate. O luna mai tarziu, clientul contacteaza banca emitenta sustinand ca tranzactia a fost neautorizata. Banca initiaza un chargeback.
Cand gateway-ul comerciantului trimite respingerea, include inregistrarea de autentificare 3DS2: ID-ul Tranzactiei de Autentificare, statusul de autentificare si valoarea ECI indicand autentificarea completa. Aceasta inregistrare demonstreaza ca insasi banca emitenta a autentificat tranzactia. In practica, aceasta duce la anularea chargeback-ului in marea majoritate a cazurilor.
Tranzactii care nu beneficiaza de transferul de raspundere: Nu toate rezultatele 3DS2 ofera transfer de raspundere. O tranzactie care trece prin procesul de autentificare dar rezulta intr-un status de autentificare "incercat" (cardul nu suporta autentificarea completa) ofera protectie limitata comparativ cu un rezultat pe deplin autentificat.
Exceptii si raspundere: Anumite exceptii 3DS2 (tranzactii de valoare mica sub 30 de euro, listarile de beneficiari de incredere, tranzactiile recurente) permit tranzactiilor sa continue fara SCA. Pozitia de raspundere pentru tranzactiile bazate pe exceptii variaza in functie de tipul de exceptie.
Cand 3D Secure Este Obligatoriu vs Optional
In conformitate cu mandatul SCA al PSD2, 3D Secure este necesar pentru majoritatea tranzactiilor europene card-not-present, dar o serie de exceptii si scenarii in afara domeniului de aplicare definesc cand SCA nu se aplica.
Cand 3DS este obligatoriu (SCA se aplica):
Toate platile standard card-not-present initiate de client pentru sume de peste pragul de valoare mica sunt supuse SCA. Pozitia implicita este ca SCA este necesara; exceptiile sunt exceptiile.
Exceptii care permit tranzactii fara 3DS:
Tranzactii de valoare mica: Tranzactiile sub 30 de euro pot beneficia de o exceptie de valoare mica. Totusi, emitentii urmaresc sumele cumulative si numarul tranzactiilor.
Analiza riscului tranzactiei (TRA): Emitentii si achizitorii pot aplica exceptii TRA la tranzactiile pe care le evalueaza ca risc scazut.
Tranzactii recurente: Plata initiala dintr-o serie recurenta necesita SCA. Tranzactiile ulterioare initiate de comerciant pot continua fara SCA, cu conditia ca tranzactia initiala sa fi fost autentificata.
Beneficiar de incredere: Titularii de carduri pot adauga comerciantii pe o lista alba cu emitentul lor.
In afara domeniului de aplicare pentru SCA: Tranzactiile initiate de comerciant fara interactiunea clientului, tranzactiile in care una dintre parti se afla in afara SEE si tranzactiile cu carduri corporative sunt in afara domeniului de aplicare al PSD2 SCA in anumite circumstante.
Implementarea 3DS2 cu RoxPay
Gateway-ul de plata RoxPay suporta 3DS2 nativ. Implementarea este gestionata in arhitectura de integrare existenta, fara a fi necesara un furnizor 3DS separat.
Abordarea UI drop-in: Daca folosesti UI-ul drop-in al RoxPay (introducere de card bazata pe JavaScript), 3DS2 este gestionat automat. Cand emitentul necesita autentificare, biblioteca gestioneaza redirectionarea catre mediul de autentificare al emitentului, gestioneaza raspunsul si continua fluxul de plata fara cod suplimentar pe partea comerciantului.
Abordarea integrarii API: Pentru comerciantii care folosesc o integrare directa prin API, datele de autentificare 3DS2 sunt transmise prin parametrii intentiei de plata. API-ul returneaza rezultatul autentificarii si actiunea necesara pe care frontend-ul comerciantului trebuie sa o gestioneze, urmand fluxul standard de provocare 3DS2. Documentatia completa este disponibila la app.roxpay.eu/api/v4/docs.
Optimizarea ratei fara frecare: RoxPay transmite datele disponibile maxime in cererea de autentificare 3DS2 pentru a sprijini rate ridicate fara frecare. Autentificarea fara frecare inseamna ca clientul nu este niciodata rugat sa confirme nimic; emitentul aproba tranzactia in fundal.
Testare in sandbox: Sandbox-ul RoxPay ofera scenarii de test pentru fiecare rezultat 3DS2: autentificare fara frecare, autentificare cu provocare, esec de autentificare si card neinregistrat.
Pentru a incepe aplicatia RoxPay si a incepe testarea 3DS2 in sandbox, inregistrarea dureaza mai putin de zece minute si credentialele sandbox sunt emise imediat. RoxPay este certificat PCI DSS Level 1 (QS83A47X629) si certificat ISO 27001.
Întrebări frecvente
3D Secure reduce ratele de conversie?
3DS2 cu implementare corespunzatoare are un impact minim asupra conversiei comparativ cu 3DS1. Fluxul de autentificare fara frecare, in care emitentul autentifica tranzactia in fundal fara actiunea clientului, reprezinta 80-90% din tranzactiile autentificate pentru comerciantii bine configurati. Tranzactiile ramase care necesita o provocare (de obicei notificare push in aplicatia bancara sau OTP) inregistreaza o scadere, dar aceasta este semnificativ mai mica decat scaderea experimentata cu modelul de redirectionare si parola statica al 3DS1.
Ce este valoarea ECI in autentificarea 3DS?
Valoarea Electronic Commerce Indicator (ECI) intr-un raspuns de autentificare 3DS indica nivelul de autentificare atins. ECI 05 (Visa) sau 02 (Mastercard) inseamna ca autentificarea completa a fost finalizata si ofera transferul complet al raspunderii. ECI 06 sau 01 inseamna ca cardul a incercat autentificarea, dar emitentul nu a suportat-o, oferind un transfer limitat al raspunderii. ECI 07 inseamna ca autentificarea nu a fost efectuata; nu se aplica niciun transfer de raspundere.
Ce se intampla daca un client esueaza autentificarea 3D Secure?
Daca clientul nu reuseste sa finalizeze provocarea 3DS2 (anuleaza push-ul aplicatiei bancare, introduce OTP-ul gresit sau lasa sesiunea sa expire), autentificarea esueaza si plata nu este procesata. Gateway-ul tau ar trebui sa afiseze un mesaj de eroare clar si sa permita clientului sa reincerce sau sa foloseasca o alta metoda de plata. Autentificarea esuata nu este un chargeback; tranzactia pur si simplu nu este autorizata.
S-ar putea să vă placă și
Gateway de plată pentru industrie cu risc ridicat
Procesare sigură pentru industrii cu risc ridicat, cu rutare multi-acquirer și protecție împotriva chargeback.
Soluții de plată pentru întreprinderi mici
Prețuri IC++ transparente, terminal Smart POS inclus și activare în 24 de ore pentru afaceri mici.
Integrări de plată pentru e-commerce
Pluginuri rapide pentru Shopify, WooCommerce, Magento și PrestaShop, cu acces complet la API.
Optimizează-ți plățile astăzi
RoxPay suporta 3DS2 nativ cu optimizarea ratei fara frecare, transferul raspunderii pentru tranzactiile autentificate si testare completa in sandbox. Certificat PCI DSS Level 1, preturi IC++ de la 0,45%.
✓ Niciun cost fix lunar · ✓ Activare în 24 de ore · ✓ Suport tehnic dedicat
