При оплате через интернет карту никуда не вставляешь, а платеж совершается. И для подтверждения платежа мы уже привычно вводим код из СМС. Все это - благодаря технологии 3-D Secure, о которой сегодня поговорим.
3-D здесь значит не умопомрачительные моделированные визуальные спецэффекты, а некую концепцию "трёх доменов". Придумано все это для того, чтобы радикально улучшить безопасность при совершении платежей через сеть. Вообще говоря, речь идет о транзакциях CNP, Card-Not-Present, о бескарточных транзакциях. Почему же это бескарточная транзакция, ведь при оплате мы вводим все ее реквизиты?
Дело в том, что реально никакого чтения карты не происходит, ведь мы не вставляем ее ни в POS-терминал, ни в считыватель карт. Все, что мы можем сделать - это ввести в форму на сайте реквизиты карты. А самой карты под рукой может совсем при этом не быть. Потому такие транзакции и называются бескарточными. И именно поэтому возникает вопрос о безопасности. Будем считать, что у вас чиповая карта, а не карта с магнитной полосой. Потому что для карты с магнитной полосой про безопасность даже с присутствием карты говорить особенно не приходится. Хотя в любом случае, поддержка 3-D Secure серьезно повышает защищенность CNP-транзакций.
Какие же три домена имеются подразумеваются под симолвами "3-D"? Это домен эквайера, домен эмитента и домен совместимости (платежной системы). Так, чувствую, стало непонятно. Ничего, сейчас разберемся без этой канцелярщины.
Вообще в информационных технологиях становится многовато разных понятий, а отдельных терминов для них уже не хватает. Приходится использовать всякие абстрактные названия для этого. Слово "домен" в этой ситуации под раздачу попадает весьма часто. Означает оно "область данных, элемент структуры". Т.е., это максимально размазанное слово и может подразумевать что угодно. Но нас доменами не запутаешь. Я сам-то их здесь упомнил только потому, что они входят в название технологии.
На самом деле смысл технологии таков
До появления 3-D Secure оплата выглядела следующим образом. Покупатель вводил данные своей карты в форму на сайте, а сайт использовал ее для того, чтобы передать данные в банк-эквайер, который оказывает услуги интернет-эквайринга этому магазину.
Если вдруг путаетесь, что это за представители фауны - эквайеры и эмитенты, то посмотрите цикл статей об этом, часть 1, часть 2 и часть 3.
Банк-эквайер через платежную систему проводит карточную транзакцию по данным карты. Ответственность за транзакции по украденным картам в этой схеме несет продавец. А технология 3-D Secure во-первых, добавляет дополнительную проверку покупателя, а во-вторых, производит перенос ответственности с продавца (часто вместо "продавец" используется калька с английского "мерчант") на банк-эмитент. Что, вообще говоря, выглядит более логичным. Задача безопасности платежа, по идее, лежит на том, кто предоставляет сервис "работы с деньгами", в данном случае - банк-эмитент. А продавец (мерчант) ведет свой собственный бизнес, связанный с продажей товаров и услуг, и нехорошо на него наваливать ответственность за технологию, к которой он не имеет отношения.
Процедура совершения платежа
Когда вы нажимаете на ссылку "Оплатить пластиковой картой", продавец (ООО "Альпы", реализующий в розницу альпийский воздух) начинает взаимодействовать с неким виртуальным (e-commerce) терминалом. По аналогии с POS-терминалом, этот электронный терминал обычно не является собственностью торговца (мерчанта). По крайней мере, программное обеспечение на этом терминале разрабатывается не торговцем. А банком (или сторонним производителем, который свои программы сертифицирует). Так вот, торговец обращается к внешней системе, чтобы сформировать запрос на оплату. С этой внешней системой у него есть договор, доступ на выполнение задач по формированию запросов на оплату и т.д. Чаще всего этой внешней системой является банк (пусть будет ЖадиБанк), предоставляющий услуги интернет-эквайринга. Изредка бывают и другие финансовые институты, не банки. Вообще в рамках технологии программа, с которой взаимодействует торговец, называется не терминал и даже не платежный шлюз, а MPI - Merchant Plug In, точка подключения продавца. Это для любознательных.
Итак, "оплатить" нажато, запрос на оплату сформирован, и вас перебрасывает на специальную страницу ЖадиБанка. Адрес в браузере изменился, сайт другой, а в протоколе появилась буквочка "s", если ее до этого не было, и стало "https". Хотя современные браузеры часто скрывают протокол, чтобы не пугать пользователя. Но факт подключения по шифрованному каналу (SSL) как-то обязательно показан. Зеленым замочком, названием сертификата и т.д. И на этой странице есть поля для ввода данных карты. Вообще говоря, это выглядит так, что вызывает больше доверия. Был сайт какого-то ООО "Альпы", а при оплате вы оказываетесь на платежном шлюзе ЖадиБанка, с которым, может быть, уже даже имели дело и доверяете ему. Карточные реквизиты своей карты СохраниБанка вы вводите не на сайте продавца! А на шлюзе ЖадиБанка.
Дальше происходит немного магии. ЖадиБанк обращается ко второму домену безопасности, который называется Interoperability (и является платежной системой). Платежная система Жиза находит вашего эмитента (пусть будет СохраниБанк), который в данной технологией является третьим доменом безопасности - эмитентским, и спрашивает, подписана ли эта карта на услугу 3-D Secure. Если нет, то в оплате могут и отказать. А могут принять по "старой технологии".
Теперь мы знаем, что карта подписана на 3-D Secure. И теперь MPI ЖадиБанка формирует запрос на платеж и отправляет его СохраниБанку. СохраниБанк возвращает подтверждение приема запроса и говорит, куда перебросить пользователя (вас).
И вот на этом шаге вас перебрасывает на страницу вашего родного СохраниБанка, сайт и логотип которого вы воспринимаете с любовью и доверием. На этой странице вас просят ввести что-то дополнительное. Чаще всего это код из СМС на вашем телефоне, но возможны варианты с криптокалькулятором и прочими фокусами. Ради вот этого шага все и затевалось.
В прежние времена вы были один на один с незнакомым ООО "Альпы" и чужим и холодным ЖадиБанком. А тут, в процессе покупки, вы оказываетесь на теплом сайте родного СохраниБанка, который, помимо прочего, знает еще и ваш телефон, и потому может воспользоваться этим каналом для того, чтобы убедиться, что это действительно вы. Без этого шага с вашей карты денег никто не снимет. А вас на этой страничке и по имени-отчеству назовут, и сумму укажут, и про магазин напомнят, и могут еще картинку вам показать, которую вы сами загрузили в вашем интернет-банке (т.н. security-avatar). И вам легко, надежно и комфортно: вы в любящих руках дорогого вам банка. Ну не вы, а ваши деньги, и в данном случае еще не ясно, что приятнее.
Если вы ввели правильный код, то СохраниБанк, а точнее, программа на его сайте, которая в рамках этой технологии называется ACS, Access Control Server, формирует положительный ответ и перебрасывает вас на один из трех адресов, который ему сообщил эквайрерский MPI (платежный шлюз ЖадиБанка). Один адрес - для успешного ответа, один - для неуспешного и один - для случая, когда вы отменили оплату. Все эти адреса просто ведут к разным страницам сайт ЖадиБанка, который показывает вам соответствующую информацию.
И вот вы снова оказываетесь на платежном шлюзе ЖадиБанка, который обслуживает вас в интересах ООО "Альпы" (ну и в своих инетерсах, конечно же). В этот момент, собственно, происходит обычная транзакция как бы с POS-терминала, но со специальным флажком, что она происходит в рамках транзакции 3-D Secure. И вам показывают результат оплаты на странице.
Все, опера окончена, все участники натужно поют финальный тонический аккорд, занавес закрывается. Ах, да, вам еще покажут ссылку "вернуться на сайт продавца" или перебросят туда автоматически.
Главное в этой технологии - тот шаг, в котором вы оказываетесь на сайте вашего СохраниБанка, где от вас вежливо примут какой-то второй фактор аутентификации (чаще всего это СМС). Вообще смс - далеко не самая надежная штука, но для повседневных применений сойдет.
А еще одно из достижений 3-D Secure в том, что происходит "сдвиг ответственности" с торговца на банк-эмитент, который теперь ответственен за то, чтобы транзакция была безопасна. Что, в целом, вполне логично.
Эта технология не самая надежная, конечно же, но с ее появлением количество мошенничеств для бескарточных транзакций снизился на порядки. Так что - любим, жалуем, и активируем 3-D Secure на наших карточках. Будьте богаты и в безопасности!
Подписывайтесь на канал "Технологии Денег" в Яндекс.Дзен и в Телеграм! У меня много интересного материала!