SlideShare a Scribd company logo

Протокол 3-D Secure

Виктор Носов
Виктор Носов

Кратко о 3-D Secure и особенностях его применения в современной интернет-торговле

Economy & Finance
1 of 11
Download to read offline
Протокол 3-D Secure Безопасность в электронной коммерции Виктор Носов, Группа компаний «Интервэйл» Москва, 2 октября 2015
Группа компаний Интервэйл Основана в Москве в 1999 году Услуги: – мобильной и электронной коммерции – разработка решений для безопасных платежных транзакций – sms-услуги Партнеры: Mastercard, Сбербанк, МТС Клиенты – более 100 банков и операторов сотовой связи России, СНГ и Европы 3D Secure, PCI DSS, PA-DSS Центр разработки, контакт-центр, процессинговый центр, технологии работы с платежными системами, сотовыми операторами, банками, поставщиками услуг и агрегаторами
Общая информация 3-D Secure - XML-протокол дополнительного уровня безопасности операций онлайн-покупок. Двухфакторная аутентификация держателя карты. Разработана Visa (Verified by Visa) Принята MasterCard (MasterCard SecureCode) JCB International (J/Secure) AmEx (SafeKey)
Терминология  Аутентификация проверка подлинности (пользователя или платежного инструмента) Авторизация предоставление права или проверка наличия права пользователя на совершение какой-либо операции Аутентификация держателя карты Авторизация операции Спасибо за покупку!
Ввод данных 1 2
Базовые принципы 3-D Secure = «Трёхдоменная безопасность»: 1) Домен эмитента 2) Домен эквайрера 3) Домен взаимодействия 3-D Secure - протокол взаимодействия доменов Отношения внутри домена не изменяются: • Торговец и эквайрер - выбор способа проведения транзакций • Эмитенты – выбор механизмов аутентификации держателя 1 2 3
Как это работает Домен банка – эмитента карты Домен платежной системы (домен взаимодействия) Домен банка – эквайрера торговой точки Enrollment Server (ES) Сервер – «база данных» карт банка, которые участвуют в программе 3- D Sec Directory Server (DS) Сервер-маршрутизатор, направляет запрос в банк- эмитент Merchant plugin (MPI) Программный модуль для торговой точки для участия в процессе аутентификации Access Control Server (ACS) Сервер, который проводит аутентификацию держателя карты Authenticati on History Server (AHS) Сервер истории проведения операций аутентификации (нужен для проведения проверок) Аутентификация покупателя Информация об эмитенте (банк держателя карты, интернет-адрес эмитента), решение конфликтов Направление покупателя в банк- эмитент для верификации
Acquirer Domain Домен эквайрера Issuer Domain Домен эмитента Interoperability Domain Домен функциональной совместимости 1. Выбор покупки, ввод реквизитов карты 2. MPI направляет запрос возможности проверки держателя карты (VeReq) 3. Запрос о возможности аутентификации для данного PAN 4. Результаты проверки подписки клиента на сервис 3D Secure 5. Ответ сервера эмитента (ACS) возвращается в MPI. При этом Directory также сообщает IP-адрес ACS для проведения аутентификации держателя 6. Запрос на аутентификацию держателя карты 7. Запрос аутентифика ции 8. Аутентификация (например, ввод кода, отправленного по sms) 9. Результат аутентификации 10. Результат аутентификации держателя карты 9.1. Сохранение результата аутентификации на сервере истории (AHS) 11. Если аутентификация успешна - запуск процесса авторизации Запрос авторизацииЗапрос авторизации Результат авторизации Результат авторизации Результат авторизации Схема процесса
Перенос ответственности Операция без 3D-Secure: ответственность - на эквайрере Операция с 3D-Secure: ответственность переносится («liability shift») с торговой точки на эмитента. ВАЖНО: отвечает эмитент, даже если он не участвует в программе 3-DS, но эквайрер попытался провести аутентификацию по 3-DS
Как примененять Вариант участия Плюсы/минусы для сторон Что делать? Эмитент и эквайрер участвуют в программе «Full 3D» Снижается конверсия у торговой точки (до 30%) Применять 3-D выборочно (+ антифрод) В программе участвует только эквайрер «3-D Acquirer only» Для эмитента – принимает ответственность за фрод Отвергать операции с 3-D (запрещено МПС) Вступать в 3-D Secure Использовать антифрод Никто не участвует в 3-D Secure программе Card not present (CNP) Высокий риск мошеннических операций Вступать в 3-D Secure Использовать антифрод
Вопросы

Recommended

Возможности интернет эквайринга Uniteller
Возможности интернет эквайринга Uniteller Возможности интернет эквайринга Uniteller
Возможности интернет эквайринга Uniteller
it-park
 
Дмитрий Гусев | CloudPayments
Дмитрий Гусев | CloudPaymentsДмитрий Гусев | CloudPayments
Дмитрий Гусев | CloudPayments
rusbase
 
Мобильный кошелек (платформа)
Мобильный кошелек (платформа)Мобильный кошелек (платформа)
Мобильный кошелек (платформа)
Inna Rumiantseva
 
Аутентификация - поиск баланса
Аутентификация - поиск балансаАутентификация - поиск баланса
Аутентификация - поиск баланса
Aleksandrs Baranovs
 
Электронный кошелек Best Wallet презентация
Электронный кошелек Best Wallet презентацияЭлектронный кошелек Best Wallet презентация
Электронный кошелек Best Wallet презентация
Vitaly Belikov
 
Платежная система
Платежная системаПлатежная система
Платежная система
Inna Rumiantseva
 
Международные платежные системы
Международные платежные системыМеждународные платежные системы
Международные платежные системы
Veronica Narozhnaya
 
PayOkey
PayOkeyPayOkey
PayOkey
rusbase.vc
 

Recommended

Возможности интернет эквайринга Uniteller
Возможности интернет эквайринга Uniteller Возможности интернет эквайринга Uniteller
Возможности интернет эквайринга Uniteller
it-park
 
Дмитрий Гусев | CloudPayments
Дмитрий Гусев | CloudPaymentsДмитрий Гусев | CloudPayments
Дмитрий Гусев | CloudPayments
rusbase
 
Мобильный кошелек (платформа)
Мобильный кошелек (платформа)Мобильный кошелек (платформа)
Мобильный кошелек (платформа)
Inna Rumiantseva
 
Аутентификация - поиск баланса
Аутентификация - поиск балансаАутентификация - поиск баланса
Аутентификация - поиск баланса
Aleksandrs Baranovs
 
Электронный кошелек Best Wallet презентация
Электронный кошелек Best Wallet презентацияЭлектронный кошелек Best Wallet презентация
Электронный кошелек Best Wallet презентация
Vitaly Belikov
 
Платежная система
Платежная системаПлатежная система
Платежная система
Inna Rumiantseva
 
Международные платежные системы
Международные платежные системыМеждународные платежные системы
Международные платежные системы
Veronica Narozhnaya
 
PayOkey
PayOkeyPayOkey
PayOkey
rusbase.vc
 
Практика использования альтернативных платежных систем в интернет-коммерции
Практика использования альтернативных платежных систем в интернет-коммерцииПрактика использования альтернативных платежных систем в интернет-коммерции
Практика использования альтернативных платежных систем в интернет-коммерцииOWOX
 
Аутентификационный центр
Аутентификационный центрАутентификационный центр
Аутентификационный центр
КРОК
 
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS ConferenceПетр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS ConferenceProcontent.Ru Magazine
 
Finovate solutions (rus)
Finovate solutions (rus)Finovate solutions (rus)
Finovate solutions (rus)
Inna Rumiantseva
 
платежный шлюз от Bitmonsters
платежный шлюз от Bitmonstersплатежный шлюз от Bitmonsters
платежный шлюз от Bitmonsters
Александр Кондратюк
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Expolink
 
Стратегия развития цифрового банкинга 2016
Стратегия развития цифрового банкинга 2016Стратегия развития цифрового банкинга 2016
Стратегия развития цифрового банкинга 2016
Инфобанк бай
 
Комплексный сервис для клиентов банка.П.Стойкин
Комплексный сервис для клиентов банка.П.СтойкинКомплексный сервис для клиентов банка.П.Стойкин
Комплексный сервис для клиентов банка.П.СтойкинExpolink
 
Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО
Aleksandrs Baranovs
 
Процессинговые решения Platon для Банков
Процессинговые решения Platon для БанковПроцессинговые решения Platon для Банков
Процессинговые решения Platon для Банков
Гела Слюсарчук
 
Современный интегрированный подход Kofax к управлению бизнес-процессами
Современный интегрированный подход Kofax к управлению бизнес-процессамиСовременный интегрированный подход Kofax к управлению бизнес-процессами
Современный интегрированный подход Kofax к управлению бизнес-процессами
Aleksandrs Baranovs
 
эл факторинг
эл факторингэл факторинг
эл факторингSPIBA
 
Банковское обслуживание через сети розничных агентов
Банковское обслуживание через сети розничных агентовБанковское обслуживание через сети розничных агентов
Банковское обслуживание через сети розничных агентовdiachenko_max
 
процессинг онлайн платежей
процессинг онлайн платежейпроцессинг онлайн платежей
процессинг онлайн платежей
Nikita Sharonov
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBox
rusbase
 
БЭСТ Денежные переводы
БЭСТ Денежные переводыБЭСТ Денежные переводы
БЭСТ Денежные переводы
Vitaly Belikov
 
Epay suite
Epay suiteEpay suite
Epay suiteАндрей Чухланцев
 
Bitcoin - криптовалюта будущего
Bitcoin - криптовалюта будущегоBitcoin - криптовалюта будущего
Bitcoin - криптовалюта будущего
Lex Mosolov
 
Продукты корпоративного блока банка
Продукты корпоративного блока банкаПродукты корпоративного блока банка
Продукты корпоративного блока банкаITB-vladimir
 
Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Сергей Черничков: "Интеграция платежных систем в .Net приложения"Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Olga Lavrentieva
 
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
internet27
 

More Related Content

What's hot

Практика использования альтернативных платежных систем в интернет-коммерции
Практика использования альтернативных платежных систем в интернет-коммерцииПрактика использования альтернативных платежных систем в интернет-коммерции
Практика использования альтернативных платежных систем в интернет-коммерцииOWOX
 
Аутентификационный центр
Аутентификационный центрАутентификационный центр
Аутентификационный центр
КРОК
 
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS ConferenceПетр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS ConferenceProcontent.Ru Magazine
 
Finovate solutions (rus)
Finovate solutions (rus)Finovate solutions (rus)
Finovate solutions (rus)
Inna Rumiantseva
 
платежный шлюз от Bitmonsters
платежный шлюз от Bitmonstersплатежный шлюз от Bitmonsters
платежный шлюз от Bitmonsters
Александр Кондратюк
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Expolink
 
Стратегия развития цифрового банкинга 2016
Стратегия развития цифрового банкинга 2016Стратегия развития цифрового банкинга 2016
Стратегия развития цифрового банкинга 2016
Инфобанк бай
 
Комплексный сервис для клиентов банка.П.Стойкин
Комплексный сервис для клиентов банка.П.СтойкинКомплексный сервис для клиентов банка.П.Стойкин
Комплексный сервис для клиентов банка.П.СтойкинExpolink
 
Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО
Aleksandrs Baranovs
 
Процессинговые решения Platon для Банков
Процессинговые решения Platon для БанковПроцессинговые решения Platon для Банков
Процессинговые решения Platon для Банков
Гела Слюсарчук
 
Современный интегрированный подход Kofax к управлению бизнес-процессами
Современный интегрированный подход Kofax к управлению бизнес-процессамиСовременный интегрированный подход Kofax к управлению бизнес-процессами
Современный интегрированный подход Kofax к управлению бизнес-процессами
Aleksandrs Baranovs
 
эл факторинг
эл факторингэл факторинг
эл факторингSPIBA
 
Банковское обслуживание через сети розничных агентов
Банковское обслуживание через сети розничных агентовБанковское обслуживание через сети розничных агентов
Банковское обслуживание через сети розничных агентовdiachenko_max
 
процессинг онлайн платежей
процессинг онлайн платежейпроцессинг онлайн платежей
процессинг онлайн платежей
Nikita Sharonov
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBox
rusbase
 
БЭСТ Денежные переводы
БЭСТ Денежные переводыБЭСТ Денежные переводы
БЭСТ Денежные переводы
Vitaly Belikov
 
Bitcoin - криптовалюта будущего
Bitcoin - криптовалюта будущегоBitcoin - криптовалюта будущего
Bitcoin - криптовалюта будущего
Lex Mosolov
 
Продукты корпоративного блока банка
Продукты корпоративного блока банкаПродукты корпоративного блока банка
Продукты корпоративного блока банкаITB-vladimir
 

What's hot (20)

Практика использования альтернативных платежных систем в интернет-коммерции
Практика использования альтернативных платежных систем в интернет-коммерцииПрактика использования альтернативных платежных систем в интернет-коммерции
Практика использования альтернативных платежных систем в интернет-коммерции
 
Аутентификационный центр
Аутентификационный центрАутентификационный центр
Аутентификационный центр
 
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS ConferenceПетр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
Петр Дарахвелидзе, WebMoney, презентация для VI Mobile VAS Conference
 
Finovate solutions (rus)
Finovate solutions (rus)Finovate solutions (rus)
Finovate solutions (rus)
 
платежный шлюз от Bitmonsters
платежный шлюз от Bitmonstersплатежный шлюз от Bitmonsters
платежный шлюз от Bitmonsters
 
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...Trust screen и mac токен как элементы доверенной среды для противодействия хи...
Trust screen и mac токен как элементы доверенной среды для противодействия хи...
 
Стратегия развития цифрового банкинга 2016
Стратегия развития цифрового банкинга 2016Стратегия развития цифрового банкинга 2016
Стратегия развития цифрового банкинга 2016
 
Комплексный сервис для клиентов банка.П.Стойкин
Комплексный сервис для клиентов банка.П.СтойкинКомплексный сервис для клиентов банка.П.Стойкин
Комплексный сервис для клиентов банка.П.Стойкин
 
Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО Новый подход к аутентификации клиентов для каналов ДБО
Новый подход к аутентификации клиентов для каналов ДБО
 
Процессинговые решения Platon для Банков
Процессинговые решения Platon для БанковПроцессинговые решения Platon для Банков
Процессинговые решения Platon для Банков
 
Современный интегрированный подход Kofax к управлению бизнес-процессами
Современный интегрированный подход Kofax к управлению бизнес-процессамиСовременный интегрированный подход Kofax к управлению бизнес-процессами
Современный интегрированный подход Kofax к управлению бизнес-процессами
 
эл факторинг
эл факторингэл факторинг
эл факторинг
 
Банковское обслуживание через сети розничных агентов
Банковское обслуживание через сети розничных агентовБанковское обслуживание через сети розничных агентов
Банковское обслуживание через сети розничных агентов
 
процессинг онлайн платежей
процессинг онлайн платежейпроцессинг онлайн платежей
процессинг онлайн платежей
 
2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS2can получил сертификат безопасности PCI DSS
2can получил сертификат безопасности PCI DSS
 
Вячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBoxВячеслав Семенихин | 2Can & iBox
Вячеслав Семенихин | 2Can & iBox
 
БЭСТ Денежные переводы
БЭСТ Денежные переводыБЭСТ Денежные переводы
БЭСТ Денежные переводы
 
Epay suite
Epay suiteEpay suite
Epay suite
 
Bitcoin - криптовалюта будущего
Bitcoin - криптовалюта будущегоBitcoin - криптовалюта будущего
Bitcoin - криптовалюта будущего
 
Продукты корпоративного блока банка
Продукты корпоративного блока банкаПродукты корпоративного блока банка
Продукты корпоративного блока банка
 

Similar to Протокол 3-D Secure

Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Сергей Черничков: "Интеграция платежных систем в .Net приложения"Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Olga Lavrentieva
 
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
internet27
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dssInformzaschita
 
Цапко Денис
Цапко ДенисЦапко Денис
Цапко Денис
Innovation House
 
Fondy 2016 retail v.1.9
Fondy 2016 retail v.1.9Fondy 2016 retail v.1.9
Fondy 2016 retail v.1.9
Dima Miroshnikov
 
Платежная система (процессинг электронных денег)
Платежная система (процессинг электронных денег)Платежная система (процессинг электронных денег)
Платежная система (процессинг электронных денег)
Mikhail Miroshnichenko
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"
Artem Polyanskiy
 
Payler. Общая презентация
Payler. Общая презентацияPayler. Общая презентация
Payler. Общая презентация
Payler_
 
Payler - Общая презентация
Payler - Общая презентацияPayler - Общая презентация
Payler - Общая презентация
Payler_
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...
Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...
Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...
Sociality Rocks!
 
Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет Assem Maratova
 
Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет Игорь Рыбкин
 
Auth methods lomalkin
Auth methods lomalkinAuth methods lomalkin
Auth methods lomalkin
Lesha Lomalkin
 
Решение для систем дистанционного банковского обслуживания
Решение для систем дистанционного банковского обслуживанияРешение для систем дистанционного банковского обслуживания
Решение для систем дистанционного банковского обслуживанияPavel
 
Приложение MyPay (KZ)
Приложение MyPay (KZ)Приложение MyPay (KZ)
Приложение MyPay (KZ)
Виктор Носов
 
Mac токены и agses-карты. Р. Мустафаев.
Mac токены и agses-карты. Р. Мустафаев.Mac токены и agses-карты. Р. Мустафаев.
Mac токены и agses-карты. Р. Мустафаев.Expolink
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Решение ОТР по SMS
Решение ОТР по SMSРешение ОТР по SMS
Решение ОТР по SMS
КРОК
 

Similar to Протокол 3-D Secure (20)

Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Сергей Черничков: "Интеграция платежных систем в .Net приложения"Сергей Черничков: "Интеграция платежных систем в .Net приложения"
Сергей Черничков: "Интеграция платежных систем в .Net приложения"
 
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
Доверяй, но проверяй. Как заслужить доверие пользователей. SSL-сертификаты. (...
 
введение в проблематику Pa dss
введение в проблематику Pa dssвведение в проблематику Pa dss
введение в проблематику Pa dss
 
Цапко Денис
Цапко ДенисЦапко Денис
Цапко Денис
 
Fondy 2016 retail v.1.9
Fondy 2016 retail v.1.9Fondy 2016 retail v.1.9
Fondy 2016 retail v.1.9
 
Платежная система (процессинг электронных денег)
Платежная система (процессинг электронных денег)Платежная система (процессинг электронных денег)
Платежная система (процессинг электронных денег)
 
Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"Игорь Ивченко "Деньги Онлайн"
Игорь Ивченко "Деньги Онлайн"
 
Payler. Общая презентация
Payler. Общая презентацияPayler. Общая презентация
Payler. Общая презентация
 
Payler - Общая презентация
Payler - Общая презентацияPayler - Общая презентация
Payler - Общая презентация
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
28949ip
28949ip28949ip
28949ip
 
Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...
Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...
Социальные деньги и платежи в социальных сетях. Способы монетизации игрового ...
 
Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет
 
Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет Прием платежей с использованием платежных карт через Интернет
Прием платежей с использованием платежных карт через Интернет
 
Auth methods lomalkin
Auth methods lomalkinAuth methods lomalkin
Auth methods lomalkin
 
Решение для систем дистанционного банковского обслуживания
Решение для систем дистанционного банковского обслуживанияРешение для систем дистанционного банковского обслуживания
Решение для систем дистанционного банковского обслуживания
 
Приложение MyPay (KZ)
Приложение MyPay (KZ)Приложение MyPay (KZ)
Приложение MyPay (KZ)
 
Mac токены и agses-карты. Р. Мустафаев.
Mac токены и agses-карты. Р. Мустафаев.Mac токены и agses-карты. Р. Мустафаев.
Mac токены и agses-карты. Р. Мустафаев.
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Решение ОТР по SMS
Решение ОТР по SMSРешение ОТР по SMS
Решение ОТР по SMS
 

Протокол 3-D Secure

  • 1. Протокол 3-D Secure Безопасность в электронной коммерции Виктор Носов, Группа компаний «Интервэйл» Москва, 2 октября 2015
  • 2. Группа компаний Интервэйл Основана в Москве в 1999 году Услуги: – мобильной и электронной коммерции – разработка решений для безопасных платежных транзакций – sms-услуги Партнеры: Mastercard, Сбербанк, МТС Клиенты – более 100 банков и операторов сотовой связи России, СНГ и Европы 3D Secure, PCI DSS, PA-DSS Центр разработки, контакт-центр, процессинговый центр, технологии работы с платежными системами, сотовыми операторами, банками, поставщиками услуг и агрегаторами
  • 3. Общая информация 3-D Secure - XML-протокол дополнительного уровня безопасности операций онлайн-покупок. Двухфакторная аутентификация держателя карты. Разработана Visa (Verified by Visa) Принята MasterCard (MasterCard SecureCode) JCB International (J/Secure) AmEx (SafeKey)
  • 4. Терминология  Аутентификация проверка подлинности (пользователя или платежного инструмента) Авторизация предоставление права или проверка наличия права пользователя на совершение какой-либо операции Аутентификация держателя карты Авторизация операции Спасибо за покупку!
  • 6. Базовые принципы 3-D Secure = «Трёхдоменная безопасность»: 1) Домен эмитента 2) Домен эквайрера 3) Домен взаимодействия 3-D Secure - протокол взаимодействия доменов Отношения внутри домена не изменяются: • Торговец и эквайрер - выбор способа проведения транзакций • Эмитенты – выбор механизмов аутентификации держателя 1 2 3
  • 7. Как это работает Домен банка – эмитента карты Домен платежной системы (домен взаимодействия) Домен банка – эквайрера торговой точки Enrollment Server (ES) Сервер – «база данных» карт банка, которые участвуют в программе 3- D Sec Directory Server (DS) Сервер-маршрутизатор, направляет запрос в банк- эмитент Merchant plugin (MPI) Программный модуль для торговой точки для участия в процессе аутентификации Access Control Server (ACS) Сервер, который проводит аутентификацию держателя карты Authenticati on History Server (AHS) Сервер истории проведения операций аутентификации (нужен для проведения проверок) Аутентификация покупателя Информация об эмитенте (банк держателя карты, интернет-адрес эмитента), решение конфликтов Направление покупателя в банк- эмитент для верификации
  • 8. Acquirer Domain Домен эквайрера Issuer Domain Домен эмитента Interoperability Domain Домен функциональной совместимости 1. Выбор покупки, ввод реквизитов карты 2. MPI направляет запрос возможности проверки держателя карты (VeReq) 3. Запрос о возможности аутентификации для данного PAN 4. Результаты проверки подписки клиента на сервис 3D Secure 5. Ответ сервера эмитента (ACS) возвращается в MPI. При этом Directory также сообщает IP-адрес ACS для проведения аутентификации держателя 6. Запрос на аутентификацию держателя карты 7. Запрос аутентифика ции 8. Аутентификация (например, ввод кода, отправленного по sms) 9. Результат аутентификации 10. Результат аутентификации держателя карты 9.1. Сохранение результата аутентификации на сервере истории (AHS) 11. Если аутентификация успешна - запуск процесса авторизации Запрос авторизацииЗапрос авторизации Результат авторизации Результат авторизации Результат авторизации Схема процесса
  • 9. Перенос ответственности Операция без 3D-Secure: ответственность - на эквайрере Операция с 3D-Secure: ответственность переносится («liability shift») с торговой точки на эмитента. ВАЖНО: отвечает эмитент, даже если он не участвует в программе 3-DS, но эквайрер попытался провести аутентификацию по 3-DS
  • 10. Как примененять Вариант участия Плюсы/минусы для сторон Что делать? Эмитент и эквайрер участвуют в программе «Full 3D» Снижается конверсия у торговой точки (до 30%) Применять 3-D выборочно (+ антифрод) В программе участвует только эквайрер «3-D Acquirer only» Для эмитента – принимает ответственность за фрод Отвергать операции с 3-D (запрещено МПС) Вступать в 3-D Secure Использовать антифрод Никто не участвует в 3-D Secure программе Card not present (CNP) Высокий риск мошеннических операций Вступать в 3-D Secure Использовать антифрод