4.5. 3-D Secure (протокол трех доменов).

Архитектура 3-D Secure

Виза разработала протокол 3-D Secure™ (так называемый протокол трех доменов), чтобы увеличить эффективность онлайновых транзакций и ускорить рост электронной коммерции.

Развитие и внедрение этого протокола должно принести выгоду всем участникам онлайновой транзакции, предоставив банкам-эмитентам возможность аутентифицировать держателей карт во время онлайновой покупки. Это повысит надежность и безопасность транзакций и уменьшит возможность мошеннического использования кредитных карт в Интернете – если покупки будут совершаться с использованием технологии 3D-secure.

Преимущества данного протокола состоят в следующем:

- использование 3-D Secure уменьшает возможные потери денег всеми участниками транзакции, поскольку существенно уменьшает количество чарджбэков, инициированных держателями карт по причине того, что карта была использована мошенниками. - Чтобы использовать протокол, клиентам не обязательно приобретать новое аппаратное или программное обеспечение - Протокол может быть расширен и дополнен банком-эмитентом, чтобы наилучшим образом соответствовать требованиям клиентов без необходимости банкам-эквайрам и мерчантам вводить дополнения в протокол со своей стороны. - Протокол может использоваться на таких перспективных для развития электронной коммерции платформах, как мобильные телефоны, карманные компьютеры, цифровые телевизоры. - Он основан на широко применяющихся технических стандартах, поддерживаемых международными организациями. - Предоставляет возможность ведения (и доступа к) централизованному архиву аутентификаций, который будет полезен для принятия решения по спорным транзакциям.

Архитектура 3-D Secure:

Виза разработала модель трех доменов как основу новых решений для платежных систем. Основная идея модели в том, что весь процесс аутентификации, обеспечивающий безопасность транзакций, разбивается на три домена (или другими словами области):

Issuer Domain (Домен эмитента)– его назначение в том, что обслуживающий банк производит аутентификацию своей торговой точки на основе правил и методов, установленных самим обслуживающим банком (т. е. в этом случае вся ответственность за аутентификацию ложиться на обслуживающий банк торговой точки);

Acquirer Domain (Домен эквайра)– его назначение в том, чтобы определить правила и процедуры обмена информацией между доменами эмитента и эквайра, гарантирующие этим доменам взаимную аутентификацию друг друга.

Владелец карты находится в домене эмитента, а торговое предприятие (мерчант) находится в домене эквайра, которые в свою очередь взаимодействуют между собой через домен Interoperability (Межоперационный).

Рис.1 представляет собой простую иллюстрацию модели трех доменов. Эта модель позволяет банкам-эмитентам аутентифицировать владельцев карт во время онлайновых покупок. Эквайрам и мерчантам предоставлена гибкая система, которая может включать в себя различные технические разработки. Возможность взаимодействия между эмитентом и эквайром достигается через использование общего протокола и сервисов Visa.

Модель 3-х доменов (рис. 1)

Риc. 2 иллюстрирует основные функции 3-D Secure - Сообщения запросов и получений результатов аутентификационных потоков между Доменами Эквайера и Эмитента в пределах межоперационного домена через интернет - Сообщения об создании владельцем карты аутентификационных потоков в пределах Домена Эмитента между владельцем карты и эмитентом. - Сообщения о запросе на авторизацию и потоке совершения платежей в пределах Домена Эквайеа между мерчантом и эквайером - Сообщения о запросе на авторизацию и потоке совершения платежей в пределах Межоперационного Домена между эквайером и эмитентом.

Обеспечение безопасности в моделе 3-х доменов (рис. 2) Домен эмитента

Рассмотрим подробно структуру доменов и что в них входит.

Владелец карты Владелец карты (выданной эмитентом) для совершения онлайновых покупок указывает имя держателя счета, номер карты и время окончания срока действия, либо напрямую, либо с помощью програмного обеспечения. Броузер владельца карты действует как средство обмена сообщениями между плагином сервера мерчанта (относящемуся к домену эквайра) и сервером контроля доступа (относящемуся к домену эмитента).

Дополнительные компоненты, доступные владельцу карты Дополнительные программные и аппаратные компоненты могут расширять возможности броузера. Например, при наличии карточного чипа от владельца карты потребуется дополнительное программное обеспечение, а так же считыватель карт. Реализации, которые аутентифицируют владельцев карты с помощью паролей не должны требовать дополнительного программного или аппаратного обеспечения.

Эмитент Член финансового сообщества Визы -Входит в договорные отношения с владельцем карты (выдает одну или больше кредитных карт Visa клиенту) -Определяет допустимость участия владельца карты в сервисе 3-D Secure -Определяет ограничения на номера карт, допустимые для участия в сервисе 3-D Secure-Предоставляет данные об этих ограничениях на номер карты серверу Виза Дирректори -Производит (enroll) владельца карты при каждом доступе к карте для платежа(через Сервер контроля доступа, отдельные сервер учета или вручную)

Сервер контроля доступа (Access control server - ACS) Сервер контроля доступа выполняет две функции: 1. Проверка возможности 3-D Secure аутентификации для номера карты 2. Аутентификация владельца карты для конкретной транзакции или обеспечение подтверждения попытки аутентификации в случае, если аутентификация недоступна (невозможна). Хотя эти функции и описаны, как осуществляемые одиночным логическим ACS, физических серверов, обеспечивающих реализацию функций ACS, может быть много. Например каждый из этих серверов «обслуживает» определенный диапазон номеров карт.

Домен эквайра

Мерчант (Интернет-магазин, торговая точка) Программное обеспечение мерчанта получает номер карты, и затем вызывает Плагин Сервера Мерчанта, чтобы провести аутентификацию платежа. После аутентификации платежа, программное обеспечение на стороне мерчанта может отправить запрос на авторизацию эквайеру в зависимости от результата аутентификации.

Плагин сервера мерчанта (ПСМ) Плагин сервера мерчанта создает и обрабатывает сообщения аутентификации платежа, затем передает контроль программному обеспечению мерчанта. ПСМ может удостоверить подлинность цифровой подписи в сообщении; как альтернативный вариант, отдельный сервер, принадлежащий эквайеру или третьей стороне, может выполнять эту функцию.

Эквайер: Это финансовое учреждение, входящее в финансовое сообщество Виза, которое: - Заключает контракт с мерчантом для обеспечения приема к оплате кредитных карт Visa - Определяет право и возможность мерчанта участвовать в сервисе 3-D Secure - Получает запросы на авторизацию от мерчанта - Пересылает их к авторизующей системе (такой как VisaNet) - Передает мерчанту ответы об авторизации - Пересылает завершенную транзакцию в VisaNet