在线支付彻底改变了我们购物和做生意的方式。
但它们也为新型犯罪打开了大门。据估计,今年全球电子商务欺诈的年收入将达到 480 亿美元。
3D Secure 2.0 是最好的防御手段之一。
让我们来看看它是什么,它的前身(也是当代的 3D Secure)是什么,以及更多。我们还将解释它与客户身份验证的关系。
什么是 3D Secure?
3D Secure(3DS) 是一种用于在线支付和移动支付的身份验证协议。
它的最早版本出现在 1999 年。它为持卡人和商家提供了先进的额外安全保障。
3D"指的是认证过程中涉及的"三个领域"。这三个领域是发卡机构、商家和3D 安全基础设施:
- 发卡机构是向客户发行借记卡或信用卡的金融机构,即持卡人的银行
- 商家 是接收付款的企业
- 3D Secure 基础设施是通过发卡机构在客户和商家之间增加的一层安全保障。
3D Secure 的实施是为了防止和减少欺诈。它主要通过在交易过程中加入额外的验证因素来实现这一目的。
是否必须实施 3D Secure?
金融行为监管局的 "强客户身份验证"(SCA)法规要求在欧洲经济区(EEA)的所有在线交易中使用 3D Secure。
在其他国际地区,这是可选项,但非常值得鼓励。
客户如何看待 3D 安全流程?
当持卡人输入银行卡信息确认付款时,他们可能会被重定向到一个验证页面或门户网站。
在这种情况下,发卡银行会要求客户使用静态密码进行额外验证。
身份验证页面通常由指定的银行卡网络联合制作。这些通常是主要银行卡计划中熟悉和值得信赖的品牌名称,如 Visa Secure、美国运通卡的 SafeKey 和万事达卡的 Identity Check。
完成验证后,客户将被重定向到结账页面。客户和商家将看到验证结果。
什么是 3D Secure 2.0?
3D Secure 2.0 是一种用于在线交易的安全协议,可提供比标准 3D Secure 更高级别的身份验证信息。
它由一些主要的银行卡网络设计,旨在解决 2016 年发布的原始版本的一些不足之处。
与原始版本相比,它的验证过程干扰更少,用户体验更好,安全级别更高,从而降低了风险。
在消费者转向使用移动设备和网上购物的同时,它也得到了大规模采用。
3D Secure 2.0 身份验证协议如何工作?
1.初步评估
它在访问控制服务器(ACS)上执行基于高风险的身份验证,ACS是一种先进的服务器,可以验证凭证并控制对资源的访问。
使用 3D Secure 2.0,持卡人的发卡银行可以快速评估交易的风险等级。它可以查看大量丰富的数据,包括商户的背景数据、持卡人以前的交易等。
2.1.立即授权认证
如果符合每项认证标准,则无需持卡人额外输入,即可完成初始交易流程。
2.2.附加客户身份验证
如果协议出现红旗,表明存在高风险而非正常交易风险,则会要求试图进行交易的人提供高级安全层。
在结账时,他们将被送入一个 "挑战流程"。这将是一个 iframe(html 页面中的一个元素),使用现有的整个或部分浏览器窗口。在这里,客户需要提供更多信息进行验证。
3D Secure 和 3D Secure 2.0 有哪些区别?
1.客户体验
与最初的 3D Secure 相比,2.0 版的部分目的是提供一个无痛的结账流程 。
它是通过将验证流程直接嵌入浏览器和移动结账流程而实现的,不需要任何页面重定向。而使用 3D Secure 验证支付则需要重定向。
2.无摩擦认证
3D Secure 2.0 支付比 3D Secure 支付提供更无摩擦的身份验证体验。
在支付领域,"无摩擦"是指支付过程简单、快捷、方便。
在这种情况下,身份验证请求可被视为一种摩擦,因为它会使交易复杂化并减慢交易速度。这有可能导致用户放弃在销售点(POS)进行在线银行卡支付。
3D Secure需要双因素验证措施,如静态密码和弹出窗口。而 3D Secure 2.0 则在相同的数字位置对交易进行验证,持卡人输入的信息更少(见下文 "验证方法")。
这种差异会对销售产生影响。根据 Visa 的数据,使用3D Secure 2.0协议可减少 70% 的弃卡率和 85% 的结账时间。
3.移动一体化
3D Secure 2.0 增加了移动SDK(软件开发工具包)组件。它允许商家建立应用内身份验证流程,避免浏览器重定向。
该功能使移动结账体验更快、更无缝。
4.不付款认证
与 3D Secure 不同,3D secure 2.0 不仅仅可用于验证在线购买和交易。它的非支付验证功能使发卡银行能够在持卡人没有进行网上购物的情况下对其进行验证。
例如,这可用于将借记卡或信用卡添加到移动钱包中。发卡银行通过无摩擦流程验证持卡人和设备信息,以防欺诈。
5.认证方法
3D 安全身份验证依靠手动输入密码或 PIN 码来验证客户身份。
3D Secure 2.0 提供不同的客户身份验证方法,如生物识别身份验证(指纹或面部识别)、一次性密码或 PIN 码。
减少支持,降低成本
人们经常忘记密码。谷歌在 2019 年进行的一项研究发现,75% 的受访者表示对记录密码感到沮丧。
其负面影响之一是,24% 的人选择了普通易记的密码,如 "密码"、abc123、111111 等。这显然不是有效的防欺诈措施。
另一个负面结果是需要客户支持或系统来帮助合法客户找回或重置密码。
3D Secure 和 3D Secure 2.0 可以协同工作
许多支付服务提供商都向客户提供这两种版本的 3D Secure 作为选项。
它们可以协同工作,提供更安全、更灵活的身份验证流程。
这取决于交易的风险程度和客户发卡银行的能力。
例如,身份验证过程可以从 3D Secure 2.0 开始,然后重定向到 3D Secure,通过标准密码或 PIN 输入进行额外身份验证。
Nuvei 的 3D Secure 2.0 解决方案
使用 Nuvei,您的业务将受到高性能欺诈检测和预防功能的保护。
我们的软件可让您在电子商务业务的客户身份验证(SCA)、安全性和转换率之间取得平衡。
您可以根据豁免、规则和个人风险评估,通过我们先进的验证流程自动引导任何支付流程。
我们提供与收单银行无关的解决方案,帮助您管理市场法律限制和 PSD2 SCA 法规所要求的 3D 安全 2.0 复杂性。
摘要
3D Secure 是一种用于验证在线支付的安全协议。自 1999 年以来,它一直通过增加验证因素来防止和减少支付欺诈。
其认证过程包括重定向到一个认证页面或门户网站,在那里发卡银行会要求进行额外的验证,如输入注册密码。
3D Secure 2.0是该协议的下一代版本。它解决了原始版本的一些缺陷,具有干扰性更小的验证过程、更好的用户体验和更高的安全级别。
3D Secure 和 3D Secure 2.0 的主要区别包括客户体验增强、无摩擦认证、移动设备集成、非支付认证、认证方法和成本降低。
两者都能使持卡人受益,甚至可以无缝协作。