3D zabezpečení

3-D Secure je zabezpečený internetový platební protokol . Společnost Visa a MasterCard, vyvinutá pod obchodními názvy „Verified By Visa“ a „MasterCard SecureCode“, vyvinula společnost Visa a MasterCard s cílem omezit rizika internetových podvodů spojených s podvodným použitím čísel platebních karet. Jeho účelem je zajistit, aby při každé online platbě kartu používal její skutečný držitel.

V případě, že je vybavena jak obchodník, tak banka držitele karty, probíhá v okamžiku platby další krok. Kromě čísla bankovní karty, data vypršení platnosti karty a tří číslic bezpečnostního kódu (vytištěného na zadní straně karty) může být uživatel internetu povinen zadat heslo, datum narození nebo dynamický časový kód.

Popis

Základní koncepcí tohoto protokolu (na základě výměny zpráv XML ) je propojení procesu finanční autorizace s online autentizací. Toto ověřování je založeno na modelu skládajícím se ze tří domén (odtud zmínka „3D“), které jsou:

1. Obchodník a banka, která obdrží prostředky ( anglicky  : Acquirer Domain );
2. Banka, která vydala platební kartu (v angličtině  : Doména emitenta );
3. Systém bankovních karet ( anglicky  : Interoperability Domain ).

Protokol využívá zprávy XML odesílané prostřednictvím připojení SSL (které zaručují šifrování požadavků i ověřování serveru a klienta digitálními certifikáty).

Způsoby

V závislosti na bance, která kartu vydala, se způsoby ověřování liší.

Několik příkladů francouzských bank (protokol je ve Francii platný od roku 2006)1 st 10. 2008):

• Vzájemný kredit a CIC  : zákazník musí buď označit jeden z kódů zadaných na své „kartě osobního klíče“ (mřížka 64 čtyřmístných kódů, ve kterých je třeba nakreslit správný kód podle řádku a sloupce požadovaného webem) a kód přijatý e-mailem na adresu spojenou s jeho bankovním účtem, a to buď přímo prostřednictvím aplikace nainstalované v jeho smartphonu, která mu zašle upozornění, když je potřeba ověřit;
• Barclays , ING , HSBC a Axa Banque  : jednorázový kód je zaslán prostřednictvím SMS
• Spořitelna  : kód je zaslán prostřednictvím SMS . Pokud zákazník nechce tento systém používat, může použít krabičku, do které vloží svoji kartu do krabičky, která vypadá jako kalkulačka, zadá svůj PIN kód a objeví se jednorázový kód.
• BNP Paribas  : zákazník musí uvést své datum narození; od té dobyčervence 2009kód je zaslán pomocí SMS. Zákazník se může rozhodnout pro hardwarový autentizátor Digipass;
• Skupina Société Générale (včetně Boursorama , Crédit du Nord ): Kód je zaslán prostřednictvím SMS. Kromě toho může pomocí konkrétní aplikace pro smartphone ověřit operaci připojením ke své aplikaci;
• Crédit Agricole Group (včetně LCL ): od roku 2010 byl zaslán kód prostřednictvím SMS, v opačném případě musí zákazník uvést osobní heslo vytvořené při prvním použití;
• BRED Banque Populaire  : ověřovací klíč Ipab, kryptografický klíč ve formátu USB;
• Regionální Banques Populaires a dceřiné společnosti ( Crédit coopératif , Crédit maritime): zákazník vloží svoji kartu do krabice (dříve nakonfigurované zákazníkem), která vypadá jako kalkulačka a zadá svůj PIN kód. Objeví se jednorázový kód. Pokud zákazník nechce tento systém používat, může přijmout hovor prostřednictvím hlasového serveru nebo SMS na jeho mobilní telefon.
• Groupama Banque  : zákazník musí uvést své jméno, poštovní směrovací číslo svého bydliště a datum narození;
• Poštovní banka  : kód je odeslán pouze prostřednictvím SMS. Poštovní banka tento systém nazývá „Certicode“;
• Účet nikl (elektronické platby finanční): jednorázový kód je zákazníkovi zaslán při nákupu.

3-D Secure může být aktivní také na platebních / kreditních kartách (odepsání hotovosti nebo kreditu na klasickém běžném účtu):

• PASS karty (od Groupe Carrefour ): zákazník musí zadat své jméno a jméno, své datum narození a obdrží kód prostřednictvím SMS na svůj mobilní telefon (číslo bude uvedeno poprvé).
• Karty ONEY (dceřiná společnost Auchan Holding ): zákazník obdrží kód prostřednictvím SMS na svůj mobilní telefon.
• Banque Casino karty: zákazník obdrží kód prostřednictvím SMS na svůj mobilní telefon

Recenze

Štítek „Verified by Visa“ byl předmětem kritiky, protože je těžké poznat rozdíl mezi autentickým vyskakovacím oknem a tím, které by vygeneroval podvodný web. Vyskakovací okno skutečně pochází z domény, která nemusí nutně být doménou webu, kde byl proveden nákup, ani doménou banky, ze které karta pochází, a nikoli ani doméně visa.com. Ve výsledku byl samotný systém „Verified by Visa“ terčem phishingu .

V zahraničí může být příjem SMS problém. Je také nemožné provést nákup na dálku, když se zákazník nachází v oblasti, která není pokryta sítí mobilních telefonů (krajina, hory nebo dokonce na určitých místech ve velkých městech). Některé banky nabízejí, pokud není možné obdržet kód prostřednictvím SMS, alternativní metodu, často e-mailem, která však má nižší úroveň zabezpečení.

Transakce 3-D Secure nesmí být nikdy upravována, de facto, jakmile obchodník provede částečný debet nebo duplikaci požadavku na vyšší debet, ochrana 3-D Secure již není zaručena .

Počet selhání transakcí s 3D Secure je relativně vysoký: SMS nebyla přijata, připojení k webu nemožné ...

Pokles prodeje

Průměrný pokles obratu se pohybuje mezi 10% a 15% u objednávek od online obchodníků Použití 3-D Secure, případně kompenzované skutečností, že v případě webů 3-D Secure s použitím karty spojené nebo nikoli s 3-D Secure je váha podvodu nese banka vydávající kartu a ne obchodník. karta (přenos odpovědnosti).

3D Secure 2.0

Online platby byly původně založeny na používání počítačů a prohlížečů. Nyní je však lze provést také pomocí mobilních webů a aplikací dostupných na zařízeních Android, iOS a Windows. Specifikace 3D Secure 2.0 byly napsány tak, aby poskytovaly podporu pro mobilní platby, integraci s prohlížeči a mobilními aplikacemi, zabezpečení založené na riziku, vícefaktorovou autentizaci a elektronické peněženky. Postup ověřování 3D Secure je také dokončen použitím ověřovacích tokenů nebo „tokenů“: čísel kreditních karet na jedno použití. Ačkoli nejsou oficiálně součástí standardu, poskytují účinnější ochranu držitelů karet před padělky, podvodným používáním účtů a jinými formami podvodu.

Jednou z hlavních výhod 3DS 2.0 je možnost aktivace autentizace na širší škále terminálů včetně mobilních telefonů, herních konzolí, hodinek a připojených televizorů. To umožňuje ověřování z aplikace poskytované prodejcem při zahájení transakce na mobilním zařízení, z prohlížeče při zahájení transakce na webu nebo z konzoly pro herní konzole, které nejsou založeny ani na webovém prohlížeči. aplikace. Tímto způsobem je ověření možné prakticky na jakémkoli připojeném zařízení, na kterém lze nakupovat. Tento přístup nezávislý na zařízení umožňuje prodejcům nabídnout rozšířenou prodejní platformu a zároveň zajistit bezpečný proces nákupu napříč připojenými zařízeními a systémy.

Poznámky a odkazy

(fr) Tento článek je částečně nebo zcela převzat z článku Wikipedie v angličtině s názvem „  3-D Secure  “ ( viz seznam autorů ) .

1. Placení kreditní kartou na internetu pomocí 3D Secure - finance pro každého
2. Selhání 3D Secure ve Francii: chyba bank podle Ogone - Jean Pierre Blettner, Reseaux-Telecoms.net, 30. září 2009
3. (in) Verified by Visa scheme confused Tisíce internetových nakupujících - The Guardian , 21. dubna 2007
4. (in) Verified by Visa Activation: Scam Report - MillerSmiles.co.uk, 22. srpna 2006
5. 3-D Secure Visa - Crédit Agricole
6. „  E-mail, slabý článek v zabezpečení počítače  “ , Le Point / AFP ,1 st 10. 2015
7. (en) „  Platební ověřovací protokoly v roce 2017  “ , na gpayments.com

Související články

• Vizuální kryptogram
• Elektronický obchod
• Platba přes internet
• Zabezpečená elektronická transakce (SET)