Povinnost silnějšího ověřování plateb, o které jsme informovali v předchozím článku, se nezadržitelně blíží.
Už za pět měsíců budou muset všechny platby probíhat v tzv. režimu silné autentizace kliena (SCA).
Seznamte se s 3D Secure 2.0
3D Secure 2.0 je nová, modernější verze technologie 3D Secure (3D Secure = známé potvrzení platby přes kód zaslaný na SMS).
Na rozdíl od svého předchůdce umožňuje 3DS 2.0 bohatší komunikaci mezi bankou, platební bránou a obchodníkem.
Díky tomu vpouští do hry při potvrzení platby biometrické údaje i moderní chytrá zařízení.
Jak souvisí 3DS 2.0 s SCA?
Zásadně. 3DS 2.0 je technologickým klíčem ke splnění toho, co SCA požaduje.
Háčkem je, že zatím není jasné, jak moc bude výklad požadavků na SCA striktní.
Podle ČNB například nebude stávající ověření přes SMS kód dostačující.
Co 3D Secure 2.0 znamená a jakou změnu v placení přinese?
JAK PROBÍHÁ SOUČASNÉ OVĚŘENÍ ONLINE PLATBY?
Současné ověření online plateb probíhá přes technologii 3D Secure. Jedná se o tří doménový (odtud název 3D) bezpečnostní protokol, který má za cíl snížit riziko podvodných plateb. Tyto tři domény jsou vydavatel karty (banka, která vydala kartu zákazníka), acquirer (zpracovatelská banka) a karetní asociace. Protokol používá zprávy ve formátu XML, které jsou zasílány pomocí šifrované SSL komunikace, která zajišťuje pravost obou účastníků transakce (server a klient) pomocí digitálních certifikátů. Údaje o transakci jsou tedy předávány v zašifrované podobě a nemůže se k nim dostat ani obchodník (e-shop), natož nějaký podvodník.
3D Secure původně vyvinula společnost Arcot Systems a poprvé jej využila karetní asociace Visa v roce 2001. Poté se přidaly i další asociace, jako Mastercard, JCB, American Express a další. Ověření se vztahuje na platby debetními a kreditními kartami a je analogií k PINu, který zadáváte při platbách kartou v offline světě, tedy např. kamenných prodejnách.
JAK KOMUNIKACE VYPADÁ PO TECHNICKÉ STRÁNCE?
Velmi zjednodušený model procesu 3D Secure vypadá takto:
- Zákazník zadá do rozhraní platební brány platební údaje (číslo karty, datum expirace, CVC kód)
- Platební brána pošle dotaz na ověřovací server a zeptá se, jestli je karta zapojená do systému 3D Secure (zda 3D Secure podporuje vydavatelská banka)
- Ověřovací server vrátí odpověď, že je karta zaregistrována do systému 3D Secure
- Platební brána na základě této odpovědi přesměruje platícího zákazníka na speciální stránku banky, kde dojde k zadání kódu poslaného v SMS na mobilní telefon zákazníka
- Platící zákazník zadá kód a tím pádem ověří, že je skutečně držitelem karty
- Výsledek tohoto ověření je vrácen platební bráně
- Platební brána odešle výsledek ověření acquirerovi, tedy zpracovatelské bance
- Zpracovatelská banka transakci autorizuje (díky komunikaci s karetní asociací a vydavatelskou bankou)
- Platební brána zobrazí zákazníkovi výsledek platby (zaplaceno, nezaplaceno, atd.)
V praxi to znamená, že poté, co platící zákazník vyplní platební údaje do formuláře platební brány, přijde mu na mobilní telefon SMS s unikátním číselným kódem. Zároveň jej platební brána přesměruje na speciální stránku banky, kde je zapotřebí daný kód zadat. Bez zadání správného kódu platba neproběhne.
3D SECURE ZVYŠUJE DŮVĚRYHODNOST E-SHOPU, A NAVÍC PŘENÁŠÍ ODPOVĚDNOST ZA PODVODNOU PLATBU NA BANKU
E-shop, který platby ověřené pomocí této technologie umožňuje, působí na zákazníky mnohem důvěryhodněji. To, že v e-shopu platba proběhne v režimu 3D Secure, zákazník pozná podle oficiálních log Verified by Visa a Mastercard Secure Code. Jako e-shopař tedy můžete tuto informaci komunikovat vašim zákazníkům a ukázat jim, že se platby kartou opravdu bát nemusí.
Existuje ale ještě jedna výhoda, kterou 3D Secure přináší, a tou je tzv. liability shift, tedy přenesení zodpovědnosti. Kdyby nedejbože k nějakému podvodu došlo, odpovědnost nenesete vy jakožto provozovatel e-shopu, ale vydavatelská banka.
SOUČASNÁ PODOBA 3D SECURE BRZY NEBUDE STAČIT
I když 3D Secure přináší bezpečnější placení, neobejde se bez určitých nevýhod. V současné době 3D Secure neumí nabídnout odpovídající komfort při placení na mobilu. Přece jen řešení bylo navrhnuto před 20 lety, kdy ještě nikdo nepoužíval chytrý telefon.
Dále není schopno vyhovět požadavkům silného ověření klienta, se kterým přichází evropská směrnice PSD2. Proto EMVCo, korporace sestávající z 6 hlavních karetních asociací (Visa, Mastercard, American Express, Discover, UnionPay a JCB) přichází s nástupcem v podobě 3D Secure 2.0.
CO JE 3D SECURE 2.0?
3D Secure 2.0 je nová a modernější verze stávajícího řešení 3D Secure 1. Vyznačuje se především tím, že značně rozšiřuje datový tok mezi vydavatelskou bankou, platební bránou, acquirerem i obchodníkem. Nově bude možné při každé transakci předávat přes 100 datových jednotek o platícím zákazníkovi. Jedná se například o platební historii zákazníka, z jakého zařízení nejčastěji platí, v jakou denní dobu, atd. Při ověřování plateb bude zapojená také biometrika a řešení počítá i s tím, že lidé dnes platí na jiných zařízeních, než jen na stolním počítači.
Výjimečnost 3D Secure 2.0 kromě toho spočívá i v tom, že technologicky je schopné naplnit požadavky silného ověření klienta (SCA). Díky rozšířenému množství dat i možnostem potvrzení plateb pomocí biometriky na chytrých telefonech a zařízeních mohou vzniknout nové platební scénáře, které SCA požaduje.
KDY SE S 3D SECURE 2.0. ZAČNEME POTKÁVAT VŠUDE?
3D Secure 2.0 se postupně stane standardem v ověřování plateb a vytlačí stávající 3D Secure 1.0. Předběžný časový plán vypadá takto:
- Duben 2019 – české a evropské banky začínají 3D Secure 2.0 podporovat
- Září 2019 – začíná platit SCA, tedy silné ověření klienta se stává povinné
- Rok 2020 – ukončení stávajícího 3D Secure 1.0, nové 3D Secure 2.0 se stává běžným standardem
PŘINESE 3D SECURE 2.0 REVOLUCI ONLINE PLACENÍ?
Skutečně to vypadá tak, že 3D Secure 2.0 přinese evoluční změnu. Jenže všechno má svůj háček.
Zatím totiž není jasné, jak konkrétně by mohlo 3D Secure 2.0 na českém trhu fungovat, aby odpovídalo představám a výkladu regulátora, v tomto případě České národní banky (ČNB). Podle nejstriktnějšího výkladu se může stát, že silné ověřování plateb bude sice bezpečné, ale za cenu snížení komfortu při placení, což rozhodně není v zájmu obchodníků, ani platících zákazníků.
V tuto chvíli se vedou diskuze o tom, do jaké konkrétní kategorie ověření bude konkrétní faktor spadat, nebo jak bude fungovat požadavek na vzájemnou nezávislost kanálů, pomocí kterých by ověření mělo probíhat (mobil, stolní počítač, chytré hodinky, atd.).
Co už se ale nyní ví, je to, že podle výkladu ČNB stávající ověření přes SMS kód nebude stačit. ČNB se odvolává na Evropskou bankovní asociaci (EBA), která pokládá kód zaslaný přes SMS za faktor držení, a tak samo do této kategorie zařazuje platební kartu. Tím pádem nedochází k dvoufaktorové autentizaci a požadavek na vzájemnou nezávislost kanálů není naplněn.
JAK TEDY BUDE ŘEŠENÍ 3D SECURE 2.0 VYPADAT?
Ideální bude samozřejmě takové řešení, které bude uživatelsky příjemné a zároveň v souladu s SCA, přesněji řečeno s výkladem ČNB.
Jednodušší, příjemnější a hlavně bezpečné placení je koneckonců prioritou i cílem samotných karetních asociací, které stojí na vrcholku pomyslné pyramidy platebního světa. Mastercard připomíná, že SCA může fungovat jen tehdy, pokud bude zkombinované s tou nejlepší uživatelskou zkušeností a že pohodlí platícího zákazníka by mělo být na prvním místě. Visa zase ve svém centru pro developery ukazuje příklady, jakou cestou se 3DS 2.0 může vydat.
Zdroj: Visa Developer Center
Nejjednodušší řešení samozřejmě přinese biometrika, tedy možnost, kdy bude možné identitu zákazníka ověřit otiskem prstu, fotografií obličeje, atd. Problémem je, že ne každé mobilní zařízení biometrické prvky podporuje, ale to už by bylo zase na jinou debatu.
Dále se hovoří také o e-PINu, unikátním číslem, které by bylo přiřazené ke každé platební kartě. Jednalo by se o obdobu klasického PINu s tím rozdílem, že by kód byl zadáván při online placení. Protože e-PIN by znal výhradně uživatel, byl by tím pádem naplněn faktor Znalosti. Alternativou k faktoru Znalosti by mohly být i zjišťovací otázky typu „kde jste vyrůstali, co nejraději snídáte, apod.“ Odpovědi na tyto otázky by si uživatel předem vyplnil ve svém internetovém bankovnictví a při online placení by se mu zobrazila náhodně vybraná otázka.
Zdroj: https://www.gopay.com