Processing your 3 d secure transaction что это
Что такое 3D secure на банковской карте, как подключить/отключить услугу и как ей пользоваться
Чтобы злоумышленники не воспользовались потерянной картой владельца, была придумана функция 3D Secure. Что она из себя представляет, как ее подключить и как использовать – обо всем этом будет рассказано дальше.
Что такое 3D secure простыми словами
Для безопасности владельцев пластиковых карт были внедрены следующие степени защиты:
Технология основана на протоколе расширяемого языка разметки. Применяется для защиты онлайн-платежей с дебетовых и кредитных карт.
Она не защищает денежные ресурсы, лежащие на карте, как пин-код, вводимый при снятии денег с банкомата. Также технологию не следует путать с CVV-кодом на обороте карты.
Почему именно 3D
3D-Secure не означает, что оплата проводится в каком-то трехмерном пространстве. Этот термин произошел от общего сокращенного названия трех систем или доменов (англ. «3 D» – Three Domains, что переводится как «Три домена»), которые участвуют в процедуре обмена деньгами и обеспечивают защиту их перевода от владельца к продавцу. Ими являются:
Если технология подключена к карте ее держателя, то без ведома последнего провести платеж невозможно.
Как работает протокол
Работа протокола 3D Secure заключается в перенаправлении пользователя на страницу банка-эмитента, то есть банка, выпустившего карту. На этой странице пользователь должен будет ввести одноразовый код в специальное поле. Одноразовый пароль приходит по смс на номер телефона, привязанного к карте владельца.
Протокол будет задействован только в том случае, если услуга активирована.
Как подключить 3D Secure
Функция является бесплатной. Если у пользователя данная услуга не подключена, то он ее может активировать одним из способов:
- в офисе банка; по телефону; через банкомат; через онлайн-банкинг.
Примеры банков, которые подключают карты к 3D Secure:
| Наименование банка | Подключение | Стоимость подключения | Ежемесячная комиссия |
| Сбербанк | Автоматическое, при получении карты | Бесплатно | Нет |
| Тинькофф | Автоматическое, при получении карты | Бесплатно | Нет |
| ВТБ 24 | По заявлению владельца, через онлайн-банкинг | Бесплатно | Нет, взимается единоразовая плата за входящее смс с баланса телефона |
Обратившись в офис местного филиала банка
Подключение этой услуги осуществляется бесплатно. Владельцу карты необходимо сделать следующее:
- Прийти в банк с паспортом и картой. Написать заявление о подключении. Форму для заполнения выдаст сотрудник. Активация произойдет после совершения первого платежа.
По телефону
Подключить услугу можно по телефону, не выходя из дома. Например, для Сбербанка:
- Отправить Слово «Полный» в смс на номер 900. Дождаться сообщения с динамичным кодом (одноразовым паролем) из четырех цифр. Ввести эти цифры в ответном сообщении и отправить снова на номер 900. Дождаться смс с подтверждением о подключении. Теперь можно безопасно оплачивать услуги и товары по интернету.
Через банкомат
Чтобы осуществить подключение через банкомат, пользователю необходимо будет позвонить в банк и узнать о том, есть ли функция 3D на у его карты. Если ответ положительный, то владелец может смело отправляться в ближайший банкомат и подключать услугу.
- Вставить карту в банкомат именно того финансового учреждения, которое выпустило ее. Кликнуть по пункту «Другие операции». Найти и выбрать «3D Secure». Ввести номер мобильного, привязанного к карте.
Теперь динамичные коды для оплаты посредством технологии 3D Secure будут приходить на телефон при проведении платежа.
Через онлайн-банкинг
Подключить услугу можно в личном кабинете Сбербанка или любого банка, поддерживающего технологию. Будет показано на примере Сбербанка:
1 Открыть главную страницу банка и войти в личный кабинет.
2 Нажать на вкладку «Карты».
3 В выпавшем меню выбрать «Подключение 3D Secure».
Отключение 3D Secure
Вообще нежелательно отключать данную функцию, если она была подключена, потому что тогда владелец карты не сможет оплатить товар или услугу в интернет-магазине, оснащенном этой защитой.
Причины, по которым владельцу может быть нужно отключить защиту:
- переезд в другую страну; смена номера телефона; необходимость совершить покупку в тех магазинах, где 3D Secure не поддерживается.
В таких ситуациях банки могут помочь пользователю следующим образом:
- Например, Альфа-банк дает возможность смены номера на иностранный, если так удобнее для клиента, без отключения защиты. Если пользователь все-таки настаивает на отключении, то он может обратиться в банк с письменным заявлением, (если финансовая организация не поддерживает услугу отключения функции защиты в личном кабинете пользователя). В онлайн-банкинге Сбербанка предусмотрена услуга отключения функции. Для этого пользователь должен в личном кабинете пройти во вкладку «Карты». В открывшемся списке под пунктом «Подключить 3D Secure» будет располагаться пункт «Отключить 3D Secure». Кликнуть по нему.
Как пользователю узнать о подключении карты к технологии защиты 3D Secure
Не все банки используют данную технологию, так как обслуживание этой функции – дорогостоящее. Финансовые организации, которые работают более 10 лет и имеют развитую розничную сеть (Сбербанк, Альфа-банк, ВТБ и другие известные банки), регулярно встраивают ее по умолчанию в выпускаемые карты.
Подключение к ней осуществляется сразу после получения и активации. По международным предписаниям карты Visa и Mastercard наделяются услугой по умолчанию.
Узнать, присутствует ли на карте пользователя эта функция или нет, владелец может двумя способами:
- совершить покупку в интернет-магазине. Если смс с динамичным кодом не пришло на номер телефона, то это значит, что услуга не подключена. Например, Альфа-банк подключает эту функцию по умолчанию только для некоторых видов платежей. Поэтому, чтобы использовать возможности услуги полностью, рекомендуется узнать о наличии технологии вторым способом; обратиться к сотрудникам банка, в котором была выпущена карта.
Карточки с 3D-Secure
Список популярных банков, поддерживающих услугу 3D Secure:
- Сбербанк; Альфа-банк; ВТБ; Бинбанк; «Русский Стандарт»; «Почта-банк»; «Тинькофф»; «Связной банк» с 2012 г.; «Уралсиб» с 06.2013; «Промсвязьбанк»; «Абсолют Банк» с 10.2013; МДМ с 11.2013; Ренессанс-кредит с 11.2013.
ДЛЯ СПРАВКИ: Карты, выпущенные ранее 2012 года, не поддерживают 3D Secure.
Интересные факты о безопасности
Интернет-магазин, который не поддерживает стандарт 3D Secure, не несет ответственность за безопасность платежа. Поэтому ответственность ложится на банк, выпустивший карту.
Однако, если пользователь подтвердил платеж динамичным кодом, пришедшим в смс, вся ответственность перекладывается на владельца. Если карта и пароль все-таки оказались в руках мошенника, законному владельцу не удастся доказать, что не он проводил платеж.
Все динамичные пароли, которые приходят по смс при проведении платежа, после введения в соответствующее поле и оплаты становятся недействительными. Они также имеют ограниченный срок действия: обычно это 5 минут. Эти коды не следует разглашать третьим лицам.
Например, владельцу карты приходит сообщение на почтовый ящик с предложением пройти по ссылке и забрать некий выигрыш. При этом он должен ввести данные своей карты, якобы чтобы получить деньги. Этого делать не стоит, так как компьютерная программа считает информацию карты пользователя, а потом использует в собственных целях.
Не рекомендуется оплачивать онлайн-покупки в общественных местах. В видеонаблюдении могут работать недобросовестные люди и следить за информацией, которую вводит держатель карты.
Преимущества и недостатки системы
К преимуществам можно отнести:
- Получение нового кода в смс при каждой покупке или оплате. Не нужно держать пароли в голове и менять их раз в месяц. Простота процедуры. Безопасность. Доступ к телефону есть только у владельца карты. Если же он украден, то мошеннику потребуется еще и карта.
- При плохой связи или при полном ее отсутствии смс-коды могут не прийти на телефон. О том, как решить проблему, если пользователь не дождался прихода динамичного пароля, будет рассказано в блоке «Ответы на вопросы». Возможность похищения кода с компьютера. Операционные системы, через которые проводится платеж, подвержены заражению вирусами. Последние умеют анализировать коды и отправлять их злоумышленникам.
Как избежать действий мошенников и обхода системы безопасности
Владелец карты может защитить себя от мошеннических действий следующими способами:
- регулярно обновлять антивирусную базу и пользоваться только лицензионным антивирусом на компьютере или смартфоне, с которых проводятся платежи; ничего не покупать на неизвестных или малознакомых сайтах; внимательно читать текст, который пришел в смс вместе с динамичным кодом; желательно установить дневной лимит на снятие денег с карты. Это обезопасит владельца от потери всей суммы в случае атаки злоумышленников; и самый редкий, но все же встречающийся ход от воров электронных денег – это перевыпуск сим-карты. Поэтому, если телефон владельца перестал ловить сеть даже в тех районах, где всегда хорошо ловил ее, держателю карты нужно будет как можно быстрее обратиться в банк для блокирования счета и к своему провайдеру – для замены номера.
Платеж с помощью 3D Secure (подробная инструкция)
Совершить платеж в магазинах, где предусмотрена эта система безопасности, можно следующим образом. Такие онлайн-магазины помечаются специальными логотипами:
Предположим, владелец карты желает купить сумку в интернет-магазине.
1 Он выбирает товар и переходит на страницу оплаты.
2 Вводит информацию со своей карты для проведения платежа.
3 Пользователя перенаправят на страницу для ввода специального кода. На странице дана краткая информация, окно для ввода динамичного кода и логотип банка-эмитента.
4 Теперь держателю карты предстоит ввести одноразовый код, который придет на номер телефона, привязанный к карте.
При совпадении динамичного кода, пришедшего на телефон, и введенного пользователем платеж поступит в обработку и произойдет снятие указанной суммы с карточки.
Динамичный код не следует показывать третьим лицам. Вводить его нужно тому человеку, которому он пришел на телефон. Об этом предупредит смс с кодом.
Вопрос – ответ
Какие плюсы получают от данной функции интернет-магазины и продавцы?
Подключение этой услуги дает им защиту от фрода. Фрод – это вид мошенничества. Заключается в требовании возврата денег после оплаты и получения товара. Злоумышленник, прикидывающийся владельцем карты, обосновывает это тем, что не давал согласия на оплату.
Разрешена и безопасна ли покупка в магазинах без 3D Secure?
Многие торговые площадки в сети, например, как AliExpress, не поддерживают такую функцию и продают без проблем, еще и спросом пользуются. Банк проведет операцию в любом случае, даже если данные были украдены с помощью вируса и введены мошенником. При покупке товара владельцем карты он и так знает, что покупает он сам. Поэтому ответ положительный, но в любом случае надо полагаться на свой или чужой опыт, если нет своего, и на совсем уж подозрительных сайтах не совершать покупок.
Что делать, если одноразовый код не пришел?
Нажать на кнопку «Отправить код еще раз». Но перед этим убедиться в том, что:
- смартфон включен, связь не заблокирована, тариф сотовой связи проплачен и действует; тарифный план предполагает получение СМС, если пользователь находится за рубежом; пользователь находится в зоне приема сети провайдера; телефон привязан к карте.
Что делать, если происходит ошибка авторизации 3D Secure?
Существует две причины, по которым приходит ошибка авторизации 3D Secure.
После этой ошибки желательно перезайти в браузер и провести платеж снова.
Можно ли отказаться от сервиса 3D Secure?
Данный сервис является обязательным. Многие магазины не работают с картами, на которых не задействована эта функция защиты.
Что такое 3-D Secure и как она защищает твою банковскую карту
Простота оплаты приложений, товаров и услуг сегодня позволяет нам расставаться с деньгами быстрее чем когда либо. Уважающий себя сервис сегодня должен иметь способ мгновенной оплаты своих услуг, иначе потребители уйдут к конкурентам.
К сожалению, такие технологии порождают новые возможности для мошенников. Доверия к приложениям и сайтам с каждым днем все меньше. Ты же знаешь, как могут увести данные твоей банковской карты.
Самое время вспомнить о проверенном временем способе защиты.
У клиента банка могут украсть карту или телефон, но вероятность, что в руках мошенников окажется и то и другое, гораздо меньше. Добавим к этому защиту на самом устройстве в виде пароля или биометрического сенсора и получаем довольно хороший уровень безопасности.
Как это работает
Изначально технология 3-D Secure была разработана для платежной системы Visa. Позже подобным протоколом обзавелись системы Masterсard, JCB International, AmEx, «Мир» (НСПК) и другие.
Сейчас практически все банки поддерживают 3-D Secure, но не всегда активируют защиту для клиентов по умолчанию.
Принцип работы технологии прост и знаком большинству из нас. При попытке совершения платежа от покупателя требуют не только данные карты, но и подтверждающий код, который приходит по СМС на привязанный мобильный номер.
Реже вместо СМС могут использоваться постоянные или одноразовые коды, которые известны лишь держателю карты.
Для ввода таких кодов всегда используется защищенный интерфейс банковской системы, что само по себе гарантирует безопасность оплаты.
Преимущества и недостатки
Такая двухфакторная авторизация призвана повысить защиту средств клиента, но имеет как положительные, так и отрицательные стороны.
Дополнительная защита никогда не бывает лишней, при краже карты или телефона снять деньги со счета практически невозможно. Даже если в руках злоумышленника окажется и то и другое – потребуется взломать еще и защиту смартфона.
3-D Secure снижает оперативность покупателя. СМС с паролем приходят не так быстро, как хотелось бы. Оператор может и вовсе «потерять» нужное сообщение, а если находишься в зоне неуверенного приема, проклинаешь эту защиту через пять минут.
Как еще можно защититься
Система 3-D Secure не гарантирует 100% защиту средств на карте. Для большей надежности следует придерживаться определенных правил:
Некоторые банки дополнительно предлагают застраховаться от потери денег с карты. За дополнительный процент или фиксированный ежемесячный платеж можно обезопасить себя от мошенников.
9 секретов онлайн-платежей. Часть 1: настройка 3-D Secure
Российский рынок e-commerce живет в условиях кризиса, сейчас то время, когда одной из ключевых задач для успешного «выживания» является настройка всех «винтиков» механизма вашего сайта. Один из таких «винтиков» — это сервис приема онлайн-платежей на сайте. При правильном подходе он может стать фактором успеха, а при неверном использовании — привести к серьезным проблемам. В данном выпуске, первом из серии «9 секретов онлайн-платежей», содержащей восьмилетний опыт работы команды PayOnline, мы поделимся правилами настройки протокола 3-D Secure для успешной обработки платежей на вашем сайте.
Краткий экскурс в историю вопроса
Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.
Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.
Почему 3-D Secure так называется? В обработке платежа с использованием протокола 3DS участвует три домена (3D), на которых создаются и проверяются транзакции (платежные операции по банковским картам): домен эквайера, домен эмитента и домен взаимодействия.
Как это работает?
80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?
Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.
Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.
С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.
Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.
Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.
Компромисс между безопасностью и конверсией
Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.
Full 3DS
Full (полный) 3DS – это базовая настройка протокола 3DS, рекомендованная международными платежными системами. Эта настройка минимизирует риск возникновения мошеннических операций и, соответственно, вероятность чарджбэков и финансовых рисков для компании.
Как это работает? Очень просто. Платежи одобряются только после прохождения авторизации с помощью протокола 3DS. Действует для всех карт без исключения. Все транзакции проходят по протоколу 3DS.
Если проверка по 3DS на стороне эмитента не работает или карта не подписана на 3DS, транзакция пройдет только с согласия эмитента, в противном случае будет отклонена.
Такая настройка протокола соответствует международным стандартам безопасности и минимизирует уровень рисков возникновения мошеннических операций. В рамках нашего базового коробочного платежного решения Pay-Start (решение разработано для сайтов с оборотом до 30 тысяч рублей в сутки), используется только базовая, Full, настройка протокола 3DS. Это обеспечивает небольшим компаниям практически полную безопасность при приеме платежей. Платежный сервис несет ответственность за безопасность платежей и никогда не порекомендует клиенту «поставить себя под удар» мошенников.
Однако, в случае с крупным бизнесом, вопрос увеличения конверсии становится настолько критичным, что может заставить предпринимателя пойти на уступки в отношении безопасности. В этой ситуации часть или все платежи по банковским картам обрабатываются без проверки с помощью 3DS. Это касается минимальной и двухступенчатой настроек протокола.
Минимальный 3DS
Минимальные настройки протокола 3DS позволяют проверить карты, подписанные на 3DS, а остальные пропустить без проверки (точнее с проверкой – но с помощью других инструментов системы безопасности, так называемых фильтров безопасности).
Двухступенчатый 3DS
Эта настройка протокола 3DS похожа на минимальную, но имеет одно существенное отличие. В этом случае все запросы на одобрение транзакций направляются в банк-эмитент по протоколу 3DS. И банк-эмитент принимает решение о возможности проведения транзакции, если карта плательщика не подписана на протокол 3DS. Если банк отклоняет транзакцию, она направляется на проверку повторно, но уже не по протоколу 3DS.
Можно пойти дальше и выбрать один из трех возможных вариантов, настроив 3-D Secure ещё «тоньше», учитывая тип бизнеса и географию стран, в которых представлены интересы компании. Например, включить 3DS для определенных стран или заданного типа карт, а также в зависимости от различных параметров платежа — суммы, географии плательщика и т.д.
Нужно еще раз отметить, что минимальный и двухступенчатый 3DS при непрофессиональном использовании могут повысить уровень риска возникновения мошеннических операций и, соответственно, финансовых потерь. В общем, настройка 3DS – это совсем не игрушка.
Перед изменением настроек протокола проводится совместный анализ аудитории и специфики бизнеса компании (средний «по больнице» уровень рисков в данном сегменте, география приема платежей, размер среднего чека и т.д.). Анализ проводится специалистами платежного сервиса при участии представителей компании клиента. По результатам проведенного анализа предоставляются рекомендации по возможности изменения настроек и сопряженному с ними уровню рисков. Финальное решение принимает клиент, так как он берет на себя ответственность за возможность возникновения мошеннических операций. Стоит отметить, что изменения чаще всего внедряются в случае, если нет серьезных опасений о появлении фрода.
Что же делать?
Здесь встает вопрос, по какой же схеме удобнее, выгоднее и безопаснее работать интернет-магазину или другому сервису, принимающему платежи онлайн?
Единственная слабость Full 3DS очевидна – платежи по картам, не подписанным на 3DS (в России их около 20% и их число постоянно уменьшается), будут отклоняться. Такие карты обычно эмитируются банками, не входящими в ТОП-50, зачастую региональными. Главным плюсом же является практически полная безопасность: в соответствии с установленными международными платежными системами правилам ответственность за операции, обработанные по протоколу 3DS, несет банк-эмитент (банк, выпустивший карту).
Выбирая двуступенчатый или минимальный 3DS, интернет-магазин берет на себя риски, связанные с возможностью возникновения фрода (мошеннических операций). Однако, при профессиональном анализе рисков, тонкой настройке системы фрод-мониторинга на стороне платежного партнера доля успешных транзакций заметно увеличивается, иногда на десятки процентов.
От теории к практике
Рассмотрим кейс одного из наших клиентов, авиабилетного агентства «Посошок» (pososhok.ru). Оборот компании в 2013 году составил 4,5 млрд. рублей, на сегодняшний день компания может похвастаться полутора миллионами обслуженных пассажиров.
В марте 2014 года компания столкнулась с проблемой: авторизация покупателей с помощью протокола 3-D Secure давала высокую степень защиты, но перед компанией стояла задача увеличить конверсию в оплаты: одобрялось лишь 79% транзакций.
На тот момент использовалась двустадийная авторизация платежей. Первая стадия авторизации проводилась по протоколу 3D-Secure. Если платеж совершался с карты, не подписанной на 3DS, на второй стадии авторизации проверка выполнялась системой мониторинга мошеннических операций PayOnline (о ней будет рассказано подробнее в следующих статьях) на основании настроек её фильтров.
Проанализировав аудиторию покупателей, ядро которой составляли россияне, специалисты «Посошка» совместно с консультантом PayOnline приняли решение об изменении настроек безопасности для платежей из России, совершаемых картами, эмитированными в России. Для таких платежных операций была отключена авторизация по протоколу 3DS. Их проверяла система мониторинга мошеннических операций PayOnline, каждый из 154 фильтров, которой был настроен в соответствии со спецификой бизнеса «Посошка». Для остальных типов транзакций продолжала применяться авторизация по 3DS.
Результат не заставил себя долго ждать: уже через полгода конверсия «взлетела» до 91%, и продолжала расти.
При этом количество «чистых» операций, отклоненных системой мониторинга за этот период, можно пересчитать по пальцам – и все они впоследствии были идентифицированы и проведены вручную. А благодаря профессионализму специалистов, занимавшихся настройкой протокола 3DS, изменения не сказались на уровне безопасности.
В следующем выпуске мы расскажем, как привязать клиента к своему сервису при помощи регулярных платежей, что это такое, какие вопросы на этапе подключения могут возникнуть у вас, а в процессе использования – у плательщиков, и какой «профит» ожидает в результате. Если вы хотите подключить и настроить платежи, обращайтесь, наши специалисты помогут вам в этом.