Už za 6 měsíců vstupuje v platnost povinnost silného ověření klienta, které vychází z nové evropské směrnice o platebním styku PSD2.

Znamená to, že nejen platby zadávané na internetu, jako např. platba kartou apod., ale i přihlášení do internetového bankovnictví, bude muset projít silnějším způsobem ověření, než jak jsme dnes zvyklí.

Řešení, jak technicky vyhovět požadavkům silného ověření, spočívá v nové generaci technologie 3D Secure, tzv. 3D Secure 2.0.

Co 3D Secure 2.0 znamená a jakou změnu v placení přinese?

Jak probíhá současné ověření online platby?

Současné ověření online plateb probíhá přes technologii 3D Secure. Jedná se o tří doménový (odtud název 3D) bezpečnostní protokol, který má za cíl snížit riziko podvodných plateb. Tyto tři domény jsou vydavatel karty (banka, která vydala kartu zákazníka), acquirer (zpracovatelská banka) a karetní asociace. Protokol používá zprávy ve formátu XML, které jsou zasílány pomocí šifrované SSL komunikace, která zajišťuje pravost obou účastníků transakce (server a klient) pomocí digitálních certifikátů. Údaje o transakci jsou tedy předávány v zašifrované podobě a nemůže se k nim dostat ani obchodník (e-shop), natož nějaký podvodník.

3D Secure původně vyvinula společnost Arcot Systems a poprvé jej využila karetní asociace Visa v roce 2001. Poté se přidaly i další asociace, jako Mastercard, JCB, American Express a další. Ověření se vztahuje na platby debetními a kreditními kartami a je analogií k PINu, který zadáváte při platbách kartou v offline světě, tedy např. kamenných prodejnách.

Jak komunikace vypadá po technické stránce?

Velmi zjednodušený model procesu 3D Secure vypadá takto:

  1. Zákazník zadá do rozhraní platební brány platební údaje (číslo karty, datum expirace, CVC kód)
  2. Platební brána pošle dotaz na ověřovací server a zeptá se, jestli je karta zapojená do systému 3D Secure (zda 3D Secure podporuje vydavatelská banka)
  3. Ověřovací server vrátí odpověď, že je karta zaregistrována do systému 3D Secure
  4. Platební brána na základě této odpovědi přesměruje platícího zákazníka na speciální stránku banky, kde dojde k zadání kódu poslaného v SMS na mobilní telefon zákazníka
  5. Platící zákazník zadá kód a tím pádem ověří, že je skutečně držitelem karty
  6. Výsledek tohoto ověření je vrácen platební bráně
  7. Platební brána odešle výsledek ověření acquirerovi, tedy zpracovatelské bance
  8. Zpracovatelská banka transakci autorizuje (díky komunikaci s karetní asociací a vydavatelskou bankou)
  9. Platební brána zobrazí zákazníkovi výsledek platby (zaplaceno, nezaplaceno, atd.)

V praxi to znamená, že poté, co platící zákazník vyplní platební údaje do formuláře platební brány, přijde mu na mobilní telefon SMS s unikátním číselným kódem. Zároveň jej platební brána přesměruje na speciální stránku banky, kde je zapotřebí daný kód zadat. Bez zadání správného kódu platba neproběhne.

3D Secure zvyšuje důvěryhodnost e-shopu, a navíc přenáší odpovědnost za podvodnou platbu na banku

E-shop, který platby ověřené pomocí této technologie umožňuje, působí na zákazníky mnohem důvěryhodněji. To, že v e-shopu platba proběhne v režimu 3D Secure, zákazník pozná podle oficiálních log Verified by Visa a Mastercard Secure Code. Jako e-shopař tedy můžete tuto informaci komunikovat vašim zákazníkům a ukázat jim, že se platby kartou opravdu bát nemusí.

Existuje ale ještě jedna výhoda, kterou 3D Secure přináší, a tou je tzv. liability shift, tedy přenesení zodpovědnosti. Kdyby nedejbože k nějakému podvodu došlo, odpovědnost nenesete vy jakožto provozovatel e-shopu, ale vydavatelská banka.

současná podoba 3D Secure brzy nebude stačit

I když 3D Secure přináší bezpečnější placení, neobejde se bez určitých nevýhod. V současné době 3D Secure neumí nabídnout odpovídající komfort při placení na mobilu. Přece jen řešení bylo navrhnuto před 20 lety, kdy ještě nikdo nepoužíval chytrý telefon.

Dále není schopno vyhovět požadavkům silného ověření klienta, se kterým přichází evropská směrnice PSD2. Proto EMVCo, korporace sestávající z 6 hlavních karetních asociací (Visa, Mastercard, American Express, Discover, UnionPay a JCB) přichází s nástupcem v podobě 3D Secure 2.0.

Co je 3D Secure 2.0?

3D Secure 2.0 je nová a modernější verze stávajícího řešení 3D Secure 1. Vyznačuje se především tím, že značně rozšiřuje datový tok mezi vydavatelskou bankou, platební bránou, acquirerem i obchodníkem. Nově bude možné při každé transakci předávat přes 100 datových jednotek o platícím zákazníkovi. Jedná se například o platební historii zákazníka, z jakého zařízení nejčastěji platí, v jakou denní dobu, atd. Při ověřování plateb bude zapojená také biometrika a řešení počítá i s tím, že lidé dnes platí na jiných zařízeních, než jen na stolním počítači.

Výjimečnost 3D Secure 2.0 kromě toho spočívá i v tom, že technologicky je schopné naplnit požadavky silného ověření klienta (SCA). Díky rozšířenému množství dat i možnostem potvrzení plateb pomocí biometriky na chytrých telefonech a zařízeních mohou vzniknout nové platební scénáře, které SCA požaduje.

Co znamená silné ověření klienta (SCA)?
Silné ověření klienta je bezpečnostní mechanismus, který si klade za cíl zásadním způsobem snížit riziko vzniku podvodů v důsledku zneužitého hesla, nebo platebních údajů. SCA spočívá v použití kombinace dvou ze tří bezpečnostních faktorů, díky kterým dojde k ověření identity platícího zákazníka. Bezpečnostní faktory, které se budou u dvoufaktorového ověření využívat, patří do těchto kategorií: Znalost (heslo, PIN), Vlastnictví (telefon, chytré hodinky), a Jedinečnost (biologické prvky, jako je otisk prstu, sken duhovky, fotka obličeje). Silné ověření klienta bude od 14. září 2019 povinné.

Kdy se s 3D Secure 2.0. začneme potkávat všude?

3D Secure 2.0 se postupně stane standardem v ověřování plateb a vytlačí stávající 3D Secure 1.0. Předběžný časový plán vypadá takto:

  • Duben 2019 – české a evropské banky začínají 3D Secure 2.0 podporovat
  • Září 2019 – začíná platit SCA, tedy silné ověření klienta se stává povinné
  • Rok 2020 – ukončení stávajícího 3D Secure 1.0, nové 3D Secure 2.0 se stává běžným standardem

přinese 3D Secure 2.0 revoluci online placení?

Skutečně to vypadá tak, že 3D Secure 2.0 přinese evoluční změnu. Jenže všechno má svůj háček.

Zatím totiž není jasné, jak konkrétně by mohlo 3D Secure 2.0 na českém trhu fungovat, aby odpovídalo představám a výkladu regulátora, v tomto případě České národní banky (ČNB). Podle nejstriktnějšího výkladu se může stát, že silné ověřování plateb bude sice bezpečné, ale za cenu snížení komfortu při placení, což rozhodně není v zájmu obchodníků, ani platících zákazníků.

V tuto chvíli se vedou diskuze o tom, do jaké konkrétní kategorie ověření bude konkrétní faktor spadat, nebo jak bude fungovat požadavek na vzájemnou nezávislost kanálů, pomocí kterých by ověření mělo probíhat (mobil, stolní počítač, chytré hodinky, atd.).

Co už se ale nyní ví, je to, že podle výkladu ČNB stávající ověření přes SMS kód nebude stačit. ČNB se odvolává na Evropskou bankovní asociaci (EBA), která pokládá kód zaslaný přes SMS za faktor držení, a tak samo do této kategorie zařazuje platební kartu. Tím pádem nedochází k dvoufaktorové autentizaci a požadavek na vzájemnou nezávislost kanálů není naplněn.

Jak tedy bude řešení 3D Secure 2.0 vypadat?

Ideální bude samozřejmě takové řešení, které bude uživatelsky příjemné a zároveň v souladu s SCA, přesněji řečeno s výkladem ČNB.

Jednodušší, příjemnější a hlavně bezpečné placení je koneckonců prioritou i cílem samotných karetních asociací, které stojí na vrcholku pomyslné pyramidy platebního světa. Mastercard připomíná, že SCA může fungovat jen tehdy, pokud bude zkombinované s tou nejlepší uživatelskou zkušeností a že pohodlí platícího zákazníka by mělo být na prvním místě. Visa zase ve svém centru pro developery ukazuje příklady, jakou cestou se 3DS 2.0 může vydat.

 

3d secure 2

Zdroj: Visa Developer Center

Nejjednodušší řešení samozřejmě přinese biometrika, tedy možnost, kdy bude možné identitu zákazníka ověřit otiskem prstu, fotografií obličeje, atd. Problémem je, že ne každé mobilní zařízení biometrické prvky podporuje, ale to už by bylo zase na jinou debatu.

Dále se hovoří také o e-PINu, unikátním číslem, které by bylo přiřazené ke každé platební kartě. Jednalo by se o obdobu klasického PINu s tím rozdílem, že by kód byl zadáván při online placení. Protože e-PIN by znal výhradně uživatel, byl by tím pádem naplněn faktor Znalosti. Alternativou k faktoru Znalosti by mohly být i zjišťovací otázky typu „kde jste vyrůstali, co nejraději snídáte, apod.“ Odpovědi na tyto otázky by si uživatel předem vyplnil ve svém internetovém bankovnictví a při online placení by se mu zobrazila náhodně vybraná otázka.

Jak se k SCA a 3D Secure 2.0 stavíme v GoPay?

SCA zcela jistě přinese úpravu platebního procesu. 3DS 2.0 je pro nás cestou, jak požadavkům SCA dostát a zajistit, aby změna byla pro koncové zákazníky i e-shopy co nejpříjemnější.

Nejjednodušší placení bude zejména na těch zařízeních, které umožňují pracovat s biometrickými prvky, jako je otisk prstu, sken obličeje, duhovky, apod. Zajímavé možnosti přináší i návrh bank na přidělení unikátních e-PINů nebo doplňující otázky, na které ví odpověď pouze uživatel.

Co nahradí klasické ověření přes SMS zprávu zatím nedokážeme předpovědět. Situaci ohledně silné autentizace a 3D Secure 2.0 každopádně intenzivně sledujeme a řešíme.

O novinkách vás budeme informovat na tomto blogu a sociálních sítích.

O čem jsme ještě psali

Karin Hambalíková

Karin je obsahová duše, která se podílí na psaní příběhů v GoPay.