Организация коммерческой сертификации Генерирует сертификаты для участников 3-D Secure , включая клиентские и серверные сертификаты SSL.

Центр сертификации Visa Генерирует необходимые сертификаты для использования участниками 3D-secure, включая сертификаты для подписей и (visa root) сертификаты.

Сервер истории аутентификаций Данный сервер находится под управлением Виза. Его основные функции таковы: - получить сообщение от сервера контроля доступа для каждой попытки аутентификации (независимо от успешности попытки) - Сохраняет полученные записи

Копия данных, сохраняемых сервером истории аутентификаций, может быть передана эквайрам и эмитентам для решения спорных вопросов.

VisaNet

Относительно аутентификации платежей VisaNet выполняет свою традиционную роль: - Получает запросы на авторизацию от эквайра - Пересылает их эмитенту - Пересылает ответы эмитента к эквайру - Предоставляет эквайрам и эмитентам прочие сервисы (клиринг, установка и т п)

Как работает аутентификация платежа

Владелец карты совершает покупку

Когда владелец кредитной карты намеревается совершить покупку, он либо должен предоставить информацию о своем счете (карте), либо использует специальное программное обеспечение (например, цифровой кошелек), чтобы это сделать. Когда владелец карты подтверждает свое желание сделать покупку, запускается плагин сервера мерчанта (ПСМ) Merchant Server Plug-in (MPI). Программа ПСМ может находиться на сайте интернет-магазина, у эквайера или у процессингового центра третьей стороны. Запрос к Виза Директори

ПСМ посылает сообщение к серверу Виза Директори, чтобы определить, возможно ли провести аутентификацию для данной кредитной карты. Если ПСМ получает ответ, что держатель карты зарегистрировался предварительно (заявка на возможность участия в 3-D Secure отправляется держателем карты банку-эмитенту) и возможно провести аутентификацию, ответное сообщение к ПСМ будет содержать инструкции, как связаться с сервером контроля доступа соответствующего эмитента. Если номер счета клиента находится за пределами интервала, в котором расположены номера допущенных к 3-D Secure карт, сервер Виза Директори возвращает транзакцию к серверу мерчанта через ПСМ, после чего мерчант может отправлять стандартный запрос на авторизацию.

Аутентификация владельца карты

ПСМ посылает запрос на аутентификацию к серверу контроля доступа. Обычно эта отсылка производится с помощью броузера покупателя. Сервер контроля доступа производит аутентификацию – путем вывода на компьютер покупателя диалогового окна, в которое необходимо ввести пароль, или использует другой метод аутентификации сообразно типу кредитной карты (например, в случае чип-карты) Сервер контроля доступа формирует ответ и заверяет его цифровой подписью, затем возвращает его к ПСМ.

Процессинг платежа

Если полученный ответ подтверждает аутентификацию, мерчант пересылает запрос на автотризацию с необходимыми данными своему эквайру или процессинговому центру эквайра, для отправки в VisaNet.

Поток сообщений при онлайновой транзакции

Рис. 3 На рисунке 3 изображены базовые цепочки сообщений, отправляемых в то время, пока покупатель обращается к сайту продавца через Интернет со своего компьютера.

Поток сообщений при онлайн транзакции (рис. 3)

1) Покупатель выбирает товары на сайте продавца (мерчанта) и подтверждает желание совершить покупку. 2) ПСМ посылает запрос на аутентификацию серверу Виза Директори. 3) Сервер Виза Директори запрашивает соответствующий Сервер контроля доступа, чтобы определить, возможна ли аутентификация для данной карты. Если соответствующий сервер контроля доступа недоступен, Виза Директори формирует соответствующий ответ и переходит к шагу 5. 4) Сервер контроля доступа отвечает серверу Виза Директори, сообщая, возможно ли провести аутентификацию данного номера кредитной карты. 5) Виза Директори пересылает ответ сервера конторля доступа (или свой ответ) к ПСМ. Если аутентификация возможна, эквайер или процессинговый центр отпраавляет стандартный запрос на авторизацию. 6) ПСМ посылает запрос плательщика на аутентификацию (Payer Authentication Request (PAReq)) к ACS через компьютер или иное устройство, которое использует покупатель для совершения онлайн-покупки. 7) ACS получает вышеуказанный запрос. 8) ACS аутентифицирует покупателя, используя процесс соответствующий номеру кредитной карты (пароль, PIN и т п). Затем формируется сообщение PARes – Payer Authentification Response (аутентификационный ответ покупателю с соответствующими значениями, и заверяет его цифровой подписью) 9) ACS пересылает PARes к ПСМ через компьютер покупателя. Также ACS отправляет необходимые данные на сервер историии аутентификаций (Authentication History Server (AHS)) 10) ПСМ получает PARes. 11) ПСМ проверяет цифровую подпись полученного PAREs (осуществляет проверку сам или отправляет соответствующий запрос к отдельному серверу валидации) 12) Если аутентификация прошла успешно, мерчант начинает процесс авторизации, соответственно взаимодействуя со своим эквайером. После шага 12, эквайер обрабатывает запрос на авторизацию и пересылает ответ к мерчанту. Примерная процедура регистрации держателя карты для использования 3D-Secure

Примерное взаимодействие держателя карты с эмитентом показано на рисунке 4.

Пример взаимодействия держателя карты с эмитентом (рис. 4)

Поскольку разработка процедуры заявки и регистрации находится на ответственности эмитента, схема достаточно условна и варьирует у разных банков.

1 - Владелец карты посещает сайт для регистрации, созданный банком эмитентом 3 - Эмитент удостоверяет личность владельца карты 2 - Владелец карты сообщает необходимые данные заявки и устанавливает секретный пароль 4 - Информация сохраняется для дальнейшего использования в аутентификациях по протоколу 3D-Secure

Cервер посылает ответ владельцу карты об успехе или неуспехе регистрации.

5. Заключение.

В работе Интернет-магазина решающую роль играет не столько удобство интерфейса и скорость доступа, сколько устойчивая работа всех бизнес-процессов, начиная от поставки товаров на склад магазина и заканчивая расчетом с покупателем. Даже используя современнейшие информационные технологии, магазин с плохо поставленной логистикой не сможет справиться с наплывом клиентов в канун праздников. Магазин с самым замечательным визуальным дизайном, обновляющий свой товарный ассортимент раз в полгода, не может быть хорошей приманкой для покупателей. Товар магазина, поддерживающего все известные типы кредитных карточек, не будет пользоваться спросом, если каждую неделю 13-летние хакеры будут воровать списки этих самых карточек и выкладывать их на общедоступный ftp-сервер.

Грамотно используя техническую и юридическую базу платежных систем, можно построить Интернет-магазин с меньшими затратами и лучшим качеством обслуживания. Вместе с тем, пренебрежение малейшими нюансами сведет всю эффективность использования внешней платежной системы на нет. Например, если выписки приходят из банка в Интернет-магазин по почте, и обрабатываются вручную в течение недели, клиенту не за чем использовать технологии, позволяющие переводить деньги за 5 минут. Если сервер магазина работает под UNIX, вряд ли стоит подключаться к оператору, предлагающему "маленькую удобную программу на Delphi для управления вашим счетом в платежной системе". Если все клиенты магазина - физические лица, вряд ли следует вкладывать деньги в интеграцию российских систем шифрования и электронно-цифровой подписи, можно воспользоваться стандартными средствами иностранного производства.