3-D seguro

3-D Secure es un protocolo utilizado como una capa adicional de seguridad para tarjetas de crédito y débito en línea para la autenticación de usuario de dos factores .

La tecnología fue desarrollada para el sistema de pagos de Visa con el fin de mejorar la seguridad de los pagos en línea dentro del servicio Verified by Visa (VbV). Los servicios basados ​​en este protocolo han sido aceptados por los sistemas de pago Mastercard bajo el nombre Mastercard SecureCode (MSC) y JCB International como J/Secure , AmEx como SafeKey , Mir ( NSPK ) como Mir Accept. American Express agregó 3-D Secure el 8 de noviembre de 2010 como American Express Safe Key en mercados selectos y continúa implementándolo en mercados adicionales. El sistema de pago Mir autorizó inicialmente la implementación de la primera versión del protocolo de VISA. En 2016, Mir implementó de forma independiente soporte para 3D-Secure 2.0 y comenzó a brindarlo con el nombre MirAccept [1] .

3-D Secure agrega otro paso de autenticación para los pagos en línea, lo que permite a los comerciantes y bancos verificar adicionalmente que el titular de la tarjeta realiza el pago para protegerse contra transacciones fraudulentas [2] .

El código 3-D Secure no debe confundirse con el código CVV2 o CVC2 que está impreso en el reverso de la tarjeta.

3-D Secure no es una protección absoluta del dinero en la tarjeta durante las operaciones CNP ( tarjeta no presente ), por ejemplo, un código de un solo uso puede ser interceptado por virus informáticos. Además, no todos los bancos admiten la tecnología 3-D Secure, por lo que muchos bienes y servicios se pueden pagar con tarjeta sin ningún código de confirmación, lo que limita la eficacia de esta tecnología en el período de transición [3] .

En julio de 2016, 3D-Secure contaba con el respaldo de bancos de 195 países [4] .

Descripción desde el punto de vista del usuario

Para un tarjetahabiente de un banco que soporta 3-D Secure, durante el proceso de pago en línea, se agrega una solicitud adicional de confirmación del uso de la tarjeta a la información requerida anteriormente, que, por regla general, se muestra redirigiendo al usuario a una nueva página ubicada en la dirección del banco emisor de la tarjeta o mostrada en un iframe [5] [6] . Esta página de autorización la muestra el componente ACS (servidor de control de acceso), que se encuentra en el costado del banco emisor de la tarjeta.

El titular debe ingresar el código de confirmación proporcionado por el banco para cada transacción, generalmente en un mensaje SMS enviado al número de teléfono celular vinculado a la tarjeta [7] [4] . También son posibles otras opciones para obtener un código de confirmación de pago, como tarjetas con microprocesadores a partir de una tarjeta de código de un solo uso; desde un dispositivo especial que genera códigos pseudoaleatorios actualizados [7] [4] . Varios bancos utilizan el sistema habitual de contraseñas permanentes, es decir, el usuario establece la contraseña una vez (durante el registro) y la ingresa al realizar cada pago por Internet. Este método es menos confiable que un código de confirmación único. El formato del código 3-D Secure puede variar según el banco emisor. Por lo general, son de 4 a 10 letras y números. Las soluciones con una contraseña de un solo uso constan de 6 a 8 dígitos [8] .

Después de verificar la exactitud del código ingresado, el ACS (servidor de control de acceso) verifica la exactitud del código de seguridad ingresado [9] [4] , redirige al usuario a la página del servicio de pago o punto de venta desde el cual se realizó la redirección inicial. lugar y, al mismo tiempo, lo transfiere a través del sistema de pago a la confirmación bancaria al adquirente de que la transacción está (no) autorizada. Posteriormente, el banco adquirente realiza la operación, debitando/bloqueando fondos de la tarjeta del comprador o negándose a operar.

En versiones posteriores del protocolo 3-D Secure 2.0 y 3.0. [10] , se ha mejorado el procedimiento de verificación y no se solicita el código para todas las operaciones. Algunas transacciones se realizan sin intentar solicitarlo, la elección del modo de transacción se realiza sobre la base del propio control de riesgos del banco y/o de la empresa comercial y de servicios. Esto aumenta la conversión de clientes comerciantes, ya que algunas compras no se completan debido a dificultades de pago y la solicitud constante de un código secreto adicional aumenta inevitablemente la complejidad del proceso y la probabilidad de interrupción anticipada por parte del comprador.

Problemas de seguridad

El titular de la tarjeta debe tener en cuenta que 3-D Secure puede realizar pagos en Internet sin confirmación mediante un paso de autenticación adicional por SMS o usuario y contraseña, lo que crea problemas muy serios con la seguridad de los fondos en la tarjeta bancaria del cliente.

Si la tienda en línea no es compatible con la tecnología 3-D Secure (el sitio web de la tienda en línea no muestra los logotipos Verified by Visa y Mastercard SecureCode ), para realizar una compra con una tarjeta bancaria, deberá seleccionar una compra y realizar un pago introduciendo los datos de la tarjeta solicitados por la tienda online. En este caso, su pago no estará protegido por la tecnología [11] .

Por lo tanto, esto significa que el pago en dicha tienda en línea se realizará sin confirmación por SMS o inicio de sesión y contraseña, pero solo mediante los datos de la tarjeta ingresados ​​que se indican en la propia tarjeta (tipo, número y plazo de la tarjeta, nombre del titular y tres -dígito CVV2 , que está impreso en el mapa al dorso).

Por lo tanto, es importante que un cliente bancario comprenda que si los pagos a través de Internet están permitidos en su tarjeta, e incluso si la protección 3-D Secure adicional está habilitada en la tarjeta , entonces, a pesar de esto, absolutamente cualquier persona que tuvo la oportunidad de ver y recordar los datos que están impresos en la propia tarjeta bancaria, puede realizar pagos con esta tarjeta en tiendas online que no soporten 3-D Secure, y estos pagos se realizarán sin confirmación por SMS ni usuario y contraseña. En varios bancos, puede administrar por separado los límites de las transacciones realizadas sin 3-D Secure. Otra forma puede ser administrar los límites totales utilizando aplicaciones de banco-cliente, en particular en los teléfonos.

Cabe señalar que realizar una operación sin un paso de autenticación adicional (si se admite 3-D Secure ) indica que dicha operación está sujeta a " cambio de responsabilidad ", es decir, el banco emisor puede disputar las operaciones y devolver el dinero al tarjetahabiente (si se aplica en tiempo y forma).

Aspectos básicos del protocolo

El concepto básico del protocolo es agregar la autenticación en línea al proceso de autorización financiera. Esta autenticación se basa en el principio de tres dominios (de ahí el 3-D en el nombre) :

• Dominio del adquirente (dominio del vendedor y del banco al que se transfiere el dinero);
• Dominio del emisor (dominio del banco que emitió la tarjeta);
• Dominio de interoperabilidad (dominio proporcionado por el sistema de pago ( Mastercard , Visa , etc.) para soportar el protocolo 3-D Secure).

Transferencia de responsabilidad

En las transacciones ordinarias (no protegidas por 3-D Secure) , el " comerciante " es responsable de las operaciones con tarjetas robadas : una empresa comercial y de servicios en cuyo sitio web se realizó la compra de un producto / servicio con una tarjeta robada, siempre que no es compatible con esta tecnología.

En el caso de utilizar 3-D Secure, se produce el denominado "responsibility shift" ( desplazamiento de la responsabilidad ), cuando la responsabilidad se transfiere al banco emisor que emitió la tarjeta, o al propio cliente.

Notas

1. ↑ PLUSworld ru-banca minorista, servicios financieros y mercado de pagos. Las tarjetas Mir recibirán tecnología 3D Secure 2.0 independiente de Visa» . Plusworld.ru: fintech, banca minorista, servicios financieros y el mercado de pagos (18 de julio de 2016). Fecha de acceso: 21 de octubre de 2021. (Ruso)
2. ↑ 3D-Secure // Basado en materiales .  (Ruso)/ Enciclopedia Bancaria. 2013.
3. ↑ ¿Adónde vuela el dinero ? Copia de archivo del 18 de mayo de 2015 en Wayback Machine / Banki.ru, 26 de mayo de 2014
4. ↑ 1 2 3 4 Banki.ru .
5. ↑ Código de seguridad de MasterCard . MasterCard (17 de junio de 2014). Consultado el 24 de abril de 2020. Archivado desde el original el 2 de julio de 2021. (indefinido)
6. ↑ Churikov L. 3D-Secure: ¿quién está a la defensiva? . Banki.ru (14 de noviembre de 2012). Consultado el 24 de abril de 2020. Archivado desde el original el 18 de mayo de 2021. (indefinido)
7. ↑ 1 2 Steven J. Murdoch, Ross Anderson. Verificado por Visa y MasterCard SecureCode: o cómo no diseñar la autenticación  //  Criptografía financiera y seguridad de datos / Radu Sion. — Berlín, Heidelberg: Springer, 2010. — P. 336–342 . - ISBN 978-3-642-14577-3 . -doi : 10.1007 / 978-3-642-14577-3_27 . Archivado desde el original el 21 de enero de 2022.
8. ↑ MasterCard, 2014 , A-1.
9. ↑ Ablekov V., Moroz M. Protocolos para garantizar la seguridad de los sistemas de pago . 3-D seguro . cryptowiki.net (13 de octubre de 2013) . Consultado el 24 de abril de 2020. Archivado desde el original el 24 de noviembre de 2020. (indefinido)
10. ↑ [1] Archivado el 11 de diciembre de 2016 en Wayback Machine EMV 3D Secure 2.0
11. ↑ Alfabank. Cómo realizar una compra con una tarjeta Visa/MasterCard si la tienda en línea no admite la tecnología Verified by Visa/MasterCard SecureCode . Memorándum sobre el uso de tarjetas emitidas por ALFA-BANK OJSC para el pago de bienes y servicios en Internet . Banco Alfa. Consultado el 23 de abril de 2015. Archivado desde el original el 21 de febrero de 2014. (indefinido)

Enlaces

• Verificado por Visa Archivado el 15 de febrero de 2013 en Wayback Machine . 
•  Programa de Pago Seguro 3-D de Visa
•  Especificaciones de Visa 3-D Secure
• Mastercard SecureCode Archivado el 13 de octubre de 2010 en Wayback Machine . 
• Cómo funciona 3D-Secure Archivado el 17 de enero de 2013 en Wayback Machine .
• Leonid CHURIKOV. 3D-Secure: ¿quién está a la defensiva? Copia de archivo fechada el 16 de diciembre de 2013 en Wayback Machine // Banki.ru, 14/11/2012
• 3D Secure 2.0 para compras seguras en línea
• 3D Secure, un protocolo de autorización para pagos con tarjeta a través de Internet . Banki.ru Consultado el 24 de abril de 2020. Archivado desde el original el 7 de agosto de 2020. (indefinido)

• MasterCard SecureCode . MasterCard (17 de junio de 2014). Consultado el 24 de abril de 2020. Archivado desde el original el 2 de julio de 2021. (indefinido)
•  3-D seguro por Visa . usa.visa.com. Consultado el 24 de abril de 2020. Archivado desde el original el 4 de mayo de 2020.
• EMV® 3-D Secure  (inglés) . Compañía EMV Consultado el 24 de abril de 2020. Archivado desde el original el 2 de mayo de 2020.
• Especificación XML: 3-D Secure . Comercio seguro (4 de junio de 2019). Fecha de acceso: 24 de abril de 2020. (indefinido)
• 3D Secure: descripción general . Desarrollador Braintree . Consultado el 24 de abril de 2020. Archivado desde el original el 6 de abril de 2020. (indefinido)
• Christopher Rotsaert. Método para administrar una transacción, servidor correspondiente, producto de programa informático y medio de almacenamiento  (ing.) (7 de mayo de 2019). Consultado el 24 de abril de 2020. Archivado desde el original el 3 de julio de 2020.