Протокол 3-D Secure

3-D Secure это протокол обработки Интернет-транзакций, разработанный Visa и одобренный MasterCard. Он предназначен для обеспечения безопасности Интернет платежей, выполняемых с использованием кредитных или дебетовых карт. Данный протокол иначе именуется Verified by Visa в терминологии Visa и SecureCode в терминологии MasterCard.

3-D Secure™ является торговой маркой корпорации VISA.

Целью 3-D Secure является упрощение обслуживания карточных транзакций через интернет с одновременным повышением безопасности проведения транзакций. Это в свою очередь должно привести к росту онлайновых покупок, повышению конфиденциальности данных и, как следствие, увеличению использования карт через Интернет.

Система 3х доменов

Модель 3-D Secure реализована на основе 3х доменов, в которых происходит порождение и проверка транзакций:

• Домен Эмитента, который включает в себя Держателя карты и Банк, выпускающий карты.
• Домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
• Домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими домена. Он, главным образом, содержит сети и сервисы карточных ассоциаций.

Домены независимы в своих правах и являются важной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Для каждого домена определена собственная сфера ответственности в проведении транзакций:

• В домене Эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
• В домене Эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене Эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
• В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.

Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:

• Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
• Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.

Элементы архитектуры 3-D Secure

В архитектуре 3-D Secure реализован набор специальных серверов для обслуживания потока транзакций во время его жизненного цикла (Рис. 1):

• В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
• В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
• В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
• В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.

В соответствии с протоколом 3-D Secure эмитенты теперь несут ответственность за аутентификацию владельцев карточек!

Пример проведения онлайновой покупки

На рисунке 2 показаны основные шаги передачи информации по транзакции в случае совершения покупки через Интернет.

1. Покупатель выбирает соответствующую страницу на сайте Продавца и вводит необходимую для оформления покупки информацию.
2. MPI посылает в платежную систему Transaction Verification Request (VeReq), содержащий PAN держателя карты (и информацию о типе устройства, если есть).
3. Платежная система находит соответствующего ACS эмитента карты и определяет возможность аутентификации для данного PAN и типа устройства.
4. ACS проверяет, подписан ли данный клиент на сервисе 3D Secure, и передаёт результат в платежную систему.
5. Сервер-Директорий возвращает ответ ACS в MPI.
6. MPI отсылает Запрос на Аутентификацию Плательщика (PAReq) на ACS через устройство Покупателя.
7. ACS получает PAReq.
8. ACS производит аутентификацию Покупателя с помощью процедур, применимых для номера карты (пароль, chip, PIN и т.д.). Далее ACS формирует ответное сообщение (PARes ) и подписывает его.
9. ACS возвращает PARes в MPI через устройство покупателя. Также ACS посылает соответствующие данные на Сервер Аутентификации Истории (AHS).
10. MPI получает PARes.
11. MPI проверяет подпись PARes (либо выполняя проверку самостоятельно, либо перенаправляя сообщение в отдельные Серверы Проверки (Validation Servers).
12. Продавец приступает к авторизации через Эквайера.

Thales e-Security в системе 3-D Secure

Для облегчения развёртывания 3-D Secure™ и, в частности, для разработки, интеграции и внедрения Сервера Управления Доступом Thales e-Security представляет специальный криптографический модуль 3D-Security .

Модуль 3D-Security это полнофункциональное аппаратное решение для ACS. С помощью 3D-SM ACS имеют доступ к безопасной аппаратной платформе для защиты всех криптографических ключей и операций.

3D-SM обеспечивает:

• Оптимизированные криптографические вычисления для всех операций 3-D Secure.
• Комплексное решение, которое включает средства для управления криптографическими ключами, взаимодействие с платежными ассоциациями и банковскими системами бэк-офиса.
• Финансово эффективную, широко масштабируемую аппаратную архитектуру, поддерживающую от нескольких тысяч до миллионов владельцев карточек.

к началу раздела