3D-Secure Плащане

up arrow
24/01/2012

Въведение

Основната цел на  3-D Secure картово он-лайн плащане (3-D Secure) е да се потвърди самоличността на картодържателя, за да може да бъде защитен от измамно плащане с неговата/нейната карта. При он-лайн покупка картодържателя ще бъде помолен да въведе своята 3-D Secure парола, за да може да бъде потвърдено, че именно легитимния картодържател иницира транзакцията, а не трето лице, което е имало достъп до данните от картата на картодържателя. 3-D Secure паролата на картодържателя се съхранява разделно от данните за картата и системите на търговеца извършващ он-лайн транзакцията, т.е. разглежда се като допълнителен фактор засилващ нивото на сигурност при плащането. 

Названието 3-D Secure произлиза от 3-Domain, т.е. модел на взаимодействие между три независими домейна (страни):

  1. Домейн на издателя (issuer) - това са банката издател на картата, с която се извършва плащането и картодържателя. В домейна на издателя, издателя управлява регистрацията на картодържателя за 3-D Secure както и аутентикацията на картодържателя по време на 3-D Secure он-лайн плащане;
  2. Домейн на получателя (acquirer) - това за банката на търговеца и търговеца. Получателят осъществява процесирането на транзакцията и наблюдава спазването от страна на търговеца на изискванията свързани с 3-D Secure
  3. Свързващ домейн - представлява концептуален домейн, който осъществява “свързването” между домейните на издателя и получателя
Фигура 1 - Схема независими домейни и взаимодействия между тях

Технологията зад плащането

За да бъде осъществено 3D-Secure плащане трябва да са налични три фактора:

  • Банката издател на картата да е имплементирала ACS (Access Control Server - Сървър за контрол на достъпа);
  • Търговецът да се е включил в схемита на VISA и MasterCard за 3D-Secure плащане, т.е. търговецът да е имплементирал MPI (Merchant Plug-in) - компонент, който позволява проверка, дали дадена карта е включена в програма за 3D-Secure плащане;
  • Картодържателят да е включил своята карта в програма за 3D-Secure плащане, т.е картодържателят да е регистрирал в ACS сървъра на Банката издател на неговата/нейната карта; Регистрацията в програма за 3D-Secure плащане обикновено включва определянето на парола за авторизация на он-лайн плащания и контролен въпрос като част от процедура за подновяване на забравени пароли.
На Фигура 1, по-горе са демонстрирани и етапите, през които преминава 3D-Secure картова транзакция:
  1. Картодържателят заявява желанието си да извърши плащане на сайта на Търговеца;
  2. Разполагайки с PAN номера на картата, Търговеца се обръща към директорийнта услуга (DS - Directory Service), предоставяна от оргнизацията на бранда на картата (Visa или MasterCard), за да провери дали карта е включена в програма за 3D-Secure плащане;
  3. Директорийната услуга на организация на бранда се обръща към ACS сървъра на Банката издател на картата, за да провери, дали картата е включена в програма за 3D-Secure плащане;
  4. Банката издател връща отговор за 3D-Secure статуса на картата;
  5. Директорийната услуга (свързващия домейн) на бранда връща отговор за 3D-Secure статуса на картата на Търговеца, в случай че картата е включена в схема за 3D-Secure плащане, в отговора ще се съдържа и URL адрес на ACS сървъра на Банката издател;
  6. Търговеца препраща към браузера на клиента URL адреса на ACS сървъра на Банката издател получен на предходната стъпка;
  7. Клиента се аутентикира с парола пред ACS сървъра на своята Банка издател - при тази аутентикация на ACS сървара освен паролата на картодържателя се предават данни и от MPI компонента на сайта на Търговеца;
  8. При успешна аутентикация на картодържателя, ACS сървъра подготвя насрещно съобщение за аутентикация на картодържателя, което се пренасочва към сайта на Търговеца
  9. С предаването на съобщението за аутентикация на картодържателя на сайта на Търговеца, плащането завършва.

Отвъд теорията

Разбираемо, картите ми са в Fibank. От моя гледна точка процеса изглежда по следния начин:

  • Регистрацията на карти за 3D-Secure плащане се извършва на сайта http://my.fibank.bg на Банката издател; това е информационен сайт (пасивно банкиране), с възможност за извършване на комунални плащания, достъп до информация за сметките ми, он-лайн извлечения, извлечения по и-мейл и др.; в случай, че нямате регистрация, можете да се регистрирате он-лай (без да ходите до офис на банката), като се автентикирате с лични данни и картова транзакция с карта, изадена от Fibank:

  • Регистрацията за 3D-Secure плащане се състои от въведение по темата:

  • и екран за въвеждане на парола за картата:

  • може да се види и текущ статус:

  • В процеса на он-лайн плащане ще бъдете прехвърлени към сайта на Acess Control Server на Fibank за да въведете своята парола за 3D-Secure плащане:

Заключение

3D-Secure плащането представлява съществено подобрение в посока сигурност по отношение на картовите разплащания в Интернет. Независимо усилията ни да не позволяваме достъп до данните от картите ни, вероятносстта същите да попаднат в недоброжелателни ръце не е за пренебрегване. С въвеждането на парола, която знае само картодържателя, риска от измамни транзакции съществено намалява, защото освен с данните от картата, извършителя на измамната транзакция, трябва да знае и вашата парола за 3D-Secure плащане.