Содержание

Сайты без 3D secure список 2018

3D-Secure (Three-Domain Secure)

защищенный протокол авторизации пользователей для CNP-операций (без присутствия карты). Данная технология разработана для безопасности оплаты товаров и услуг в Интернете. Изначально протокол был предложен платежной системой VISA, но потом с некоторыми изменениями был принят и другими. У VISA протокол называется Verified by Visa (VbV), у Masterсard — Masterсard SecureCode (MCC), а у JCB International — J/Secure.

Данный протокол добавляет дополнительный шаг авторизации пользователя при оплате покупки в интернет-магазине. На первом шаге используется: номер карты, срок ее действия, имя держателя карты и код проверки ее подлинности (например, CVC2). На втором шаге, используя протокол 3D-Secure, сайт магазина показывает страницу банка-эмитента карты, на которой предлагается ввести дополнительный защитный код. Его клиент банка может получить: посредством СМС-сообщения на свой мобильный телефон, с помощью карточки разовых кодов или специального устройства, а также код может быть постоянным, заранее установленным самим клиентом.

Собственно название метода Three-Domain Secure возникло из-за того, что в онлайн-транзакции в данном случае участвуют три домена — или торговой точки (мерчанта) или эквайрера, где вводятся данные платёжной карты, платёжной системы, которая прозводит переадресацию платежа страницу подтверждения паролем либо разовым кодом и домен эмитента карты или специализированного сервиса, где формируется страница подтверждения и проверяется правильность введённых защитных кодов.

Вся передаваемая подтверждающая информация от покупателя сохраняется на платежном сервере банка-эмитента, и интернет-магазин не имеет к ней никакого доступа (магазин может только сохранить часть информации по реквизитам платёжной карты, но в объёме не более чем это предписано в PCI DSS). Это защищает данные от хищения

Не все онлайновые магазины и банки поддерживают 3D-Secure. Эта технология не является обязательной и защищает в первую очередь торговую точку и банк от мошеннических операций. При возможности использования 3D-Secure, но не задействованном сервисе (например, карта клиента поддерживает данную технологию, а онлайн-магазин нет; или же наоборот платёжный сервис готов предоставить авторизацию по 3DS, а карта клиента не подключена к этому сервису), ответственность за несанкционированную транзакцию возлагается на сторону, по чьей вине не была использована технология 3DS. Узнать онлайн-магазины, поддерживающие технологию 3D-Secure, можно по размещенным на сайте или платёжной странице логотипам: Masterсard SecureCode и/или Verified by Visa .

3D-Secure: кто в защите?

Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.

О неправильном CVV: а был ли код?

Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?

CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции.

Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты.

Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.

Валидация CVV/CVC обязательна?

Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.

Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?

От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.

Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.

Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает.

Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?

Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.

Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.

А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?

Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.

Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?

Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.

(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»).

А какая выгода эквайеру не передавать CVV?

Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.

Но тут-то поле есть. И я всё равно ввожу код!

Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.

А почему эмитенты не отклоняют транзакции без CVV?

Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.

Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…

Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.

Может, это всё-таки стоит дополнительных денег?

Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.

Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?

Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.

Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?

Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.

Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.

О валидации имени кардхолдера: не нужна?

Отсутствие валидации имени держателя карты — это нормально?

Да, это нормально.

Имя вообще никто и никогда не проверяет?

Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.

А зачем тогда это поле?

С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.

Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».

О 3D Secure: почему им пренебрегают

О чём свидетельствует отсутствие СМС с динамическим паролем? О том, что карта или сервис не подключены к 3D Secure?

СМС с OTP (one time password), по идее, должен приходить клиенту от эмитента всякий раз, когда тот проходит проверку по 3D Secure. Отсутствие такой СМС не обязательно означает неучастие карты в программе 3D Secure. У эмитента может банально сбоить сервис проверки. Или может глючить оператор мобильной связи.

Проверка карты на участие в 3D Secure происходит в момент совершения платежа путём обращения к специальному серверу платежной системы, под брендом которой выпущена карта. МПС отвечает, участвует карта в программе 3D Secure или нет. Если участвует, в ответе указывается URL ACS (access control server) сервера эмитента, куда плательщик перенаправляется для ввода OTP. Если карта не участвует в программе 3D Secure или ACS-сервер недоступен, запрос на авторизацию передаётся эмитенту.

Если ACS-сервер доступен, но СМС не приходит из-за проблем с сотовой связи, то через 15 минут сессия закрывается и транзакция автоматически считается неуспешной.

А если карта участвует в 3D Secure, но СМС не приходит и платёж при этом успешен, значит, платёжный сервис не участвует в программе?

Да, бывает и такое. Это значит, что эквайер сервиса позволил мерчанту принимать платежи без проверки транзакций по 3D Secure. Почему он разрешил? Потому что мерчант каким-то образом гарантировал ему возмещение убытков по фрод-транзакциям. Вторая возможная причина — ACS-сервер в момент прохождения платежа был недоступен. В этом случае платёж тоже пропустят.

Почему некоторые сервисы не подключены к 3D Secure? Это сложно, дорого? Как и между кем происходят расчёты за эту услугу?

Трудно сказать почему, в каждом конкретном случае есть своя причина. Использование 3D Secure уже стало стандартом в платёжной индустрии. Международные платёжные системы создали такие условия, когда эмитенты стремятся включить все свои карты в программу 3D Secure. Дело в том, что если карта не участвует в этой программе, то ответственность за мошеннический платеж по такой карте, согласно правилам МПС, возлагается на эмитента. А кому хочется терять деньги?

Однако, если эквайер соглашается отправить эмитенту запрос на авторизацию по карте, участвующей в 3D Secure, без проверки транзакции по этому протоколу, ответственность за мошенническую транзакцию по такой карте переносится на эквайера. Если эквайер по каким-либо причинам готов принять на себя такую ответственность, он будет принимать и проводить платежи без 3D Secure.

Эквайер как-нибудь экономит, согласившись на отказ от 3D Secure? Кто платит за СМС с подтверждающим кодом?

За СМС платит эмитент, но мне кажется, что расходы там не такие уж большие. Эквайер за счёт отказа от 3D Secure никак не экономит — более того, он рискует.

Это просто, ничего не стоит, убирает риски — в чём тогда смысл отказа от защиты?

В том, чтобы клиентам мерчанта было удобнее и приятнее делать платежи, чтобы они не зависели от СМС. Как правило, отказ разрешается крупным мерчантам — мелким мерчантам такое не позволяется.

Для эквайера смысл в том, чтобы угодить крупному клиенту. Допустим, есть сервис, который обслуживает крупных мерчантов. Если крупный мерчант убеждается, что без 3D Secure объём платежей увеличивается на 5-10%, то он, конечно, захочет отказаться от защиты. Он подписывает допсоглашение с эквайером о том, что гарантирует покрытие всех убытков банка, связанных с мошенничеством. Если банк-эквайер ему откажет, есть вероятность, что мерчант пойдёт к другим банкам-эквайерам и весь оборот перейдёт к конкуренту.

Так как Белинвестбанк в описанном случае является и мерчантом, и эквайером (и эмитентом для некоторых транзакций), то понятно желание банка сделать пользование кошельком простым и приятным.

Но отсутствие проверки CVV и 3D Secure это, конечно, недосмотр. Он увеличивает риск того, что какой-нибудь жулик воспользуется приложением, соберёт ворованные карты и начнёт ездить в маршрутках налево и направо.

Это обычная история, мошенники в Беларуси склонны к странным поступкам: они воруют карты, платят ими в кафе и ресторанах, потом попадаются и идут в тюрьму.

В комментарии под материалом dev.by вы выразили мнение, что отсутствие проверки — зона ответственности банков, а не разработчика. Ответственности разработчика вообще нет?

Мы — сами разработчики и имеем опыт интеграций с сотней разных банков-эквайеров по всему миру. Разработчик делает то, что сказано в API, который он получает от эквайера. Сказано в API передавать значение CVV/CVC — разработчик будет запрашивать его у плательщика и передавать эквайеру. Но валидировать это значение может только эмитент, и никто другой. Соответственно разработчик за валидацию CVV/CVC отвечать никак не может. Решение о том, одобрять ли транзакцию с некорректным CVV/CVC, принимает эмитент. А решение о том, проводить ли такую транзакцию, принимает эквайер на основе ответа по валидации от эмитента. Так же, как и решение о том, передавать ли вообще CVV/CVC эмитенту. Как видите, разработчик здесь ни на что не влияет.

Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках) По теме Приложение от LWO пропускает платежи с липовыми CVV (скоро — в минских маршрутках)

Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».

Как могут украсть деньги?

В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.

Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.

Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.

Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.

AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.

Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.

Главная новость по теме

Примеры с :

1. Мошенники регистрируют в сервисах Booking.com или Airbnb недвижимость, причем неважно, существует ли она, и «бронируют» ее у самих себя, оплачивая покупку с помощью ворованного номера и кода карты жертвы. Сервис бронирования переводит деньги на счет мошенникам.
2. Получить чужие средства можно через сервисы доставки еды. Киберворы регистрируют предприятие или договариваются с владельцем кафе, работающего с сервисами доставки, и оплачивают заказы картой жертвы. Курьер, который ничего не подозревает, выполняет заявку, а затем блюда возвращают обратно в общепит. И так по кругу.

Фото: Архив 66.RU

Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.

Как защитить данные?

Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.

Вот несколько способов скомпрометировать данные карты:

  • Держать банковскую карту на виду, например, на рабочем столе. Или хранить ее в кошельке вместе с пин-кодом.
  • Хвастаться картой с необычным дизайном в соцсетях, публиковать ее фото.
  • Оплатить покупку на непроверенном поддельном ресурсе. Прежде чем вводить реквизиты, проверяйте данные магазина, свяжитесь с продавцом, почитайте отзывы в интернете, позвоните по указанному телефону и проверьте через 2ГИС, «Яндекс.Карты» или другой сервис, что за организации находятся по физическому адресу магазина.
  • Оплатить доставку товара по письму от «продавца». Если вы договорились о покупке и продавец прислал ссылку на сайт доставки — внимательно изучите адрес страницы, куда вы перешли, найдите номер телефона доставки через поисковую систему и сверьте с сотрудником правильность адреса. Киберворы пользуются сайтами-дублерами, очень похожими на оригинальные, где оплата доставки или покупки — это перевод с карты на карту, не более.
  • Сообщить номер карты и код «службе безопасности» банка. Если вам звонят из банка, обращаются по имени, называют последние операции и уверяют, что счет под угрозой — не верьте. Положите трубку, подумайте пять минут, вспомните новости об обманутых клиентах и перезвоните по номеру клиентской службы, указанному на обратной стороне банковской карты. Цифры нужно набрать самостоятельно.
  • Делиться данными карты с другими людьми.

Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.

Что делать, если деньги украли?

Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.

Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.

Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.

Сервис PAY4 предоставляет услугу мгновенных переводов c карты на карту между картами Visa и MasterCard любых банков Украины. Сервис работает круглосуточно в режиме 24/7. Для осуществления перевода на карту необходим доступ к Интернет и номер карты получателя.

Переводить деньги с карты на карту с помощью сервиса PAY4 быстро и удобно! Выбирая данный способ перевода, Вы экономите собственное время. Сервис использует автоматическую систему выбора расчетного банка, что практически всегда гарантирует успешный перевод между картами. Преимущества сервиса:

  • удобные, мгновенные и безопасные переводы;
  • сервис работает круглосуточно, перевод денег осуществляется онлайн;
  • зарегистрированные пользователи сервиса имеют возможность сохранять номера карт, как получателя, так и отправителя;
  • возможность осуществить перевод денег онлайн с карты на карту разных банков;
  • экономия времени на посещение банка для осуществления перевода на карту;
  • возможность отправить перевод с карты на карту онлайн с любой точки мира, используя смартфон или планшет.

Сервис переводов с карты на карту удобен для онлайн перевода денежных средств близким или друзьям, для отправки денег в другой город Украины, при необходимости погасить кредитную задолженность или перевести средства на другую карту, оплатить услуги или товары в Интернет.

Для осуществления перевода с карты на карту в онлайн-режиме необходимо:

1. Указать номер карты отправителя — 16 цифр на лицевой стороне карты.
2. Указать срок действия карты отправителя — две двузначные цифры через косую на лицевой стороне карты.
3. Ввести СVV-код — трехзначное число на обратной стороне карты.
4. Указать номер карты получателя

Плата за пользование сервисом:

Комиссия за перевод всегда рассчитывается автоматически и составляет 5 грн. за каждые 500 грн. перевода. Зарегистрированные пользователи получают бонусы и скидки, что позволяет отправить перевод на карту с минимальной комиссией, или же могут получить бонус на отправку перевода без комиссии. Комиссия всегда списывается с карты отправителя.

Приведем пример. Если Вам необходимо отправить перевод на карту 500 гривен, то комиссия составит 5 грн. и с Вашей карты будет списано 505 гривен. Получатель в течении нескольких минут получит 500 гривен. При этом, если у получателя к карте подключена услуга SMS информирования, он сразу получит уведомление о поступлении денежных средств на его карту.

Кому полезен сервис переводов с карты на карту: Срочно необходимо перевести средства на карту + Если кому-то из родных, друзей и близких срочно необходимо перебросить деньги, нет времени искать ближайшие пункты для осуществления и получения перевода. Предоставляете услуги или продаете товары + Если Вы не решились оформиться как предприниматель, не готовы официально выписывать акты и счета на оплату, фрилансер, работаете дистанционно, предоставляете услуги или продаете товары. Решили что-то купить на сайте объявлений OLX+ Сервис перевода между картами позволяет в онлайн режиме за несколько минут переслать деньги продавцу. Нет необходимости брать с собой на встречу наличные деньги, искать банкомат, тратить время на пересчет денег. Коллективные затраты + Вы отдохнули с коллегами в пабе, или ресторане и вопрос расчета заставляет постоянно искать наличность в своем кошельке. При этом кто-то один рассчитывается за всех картой, а другие остаются должны ему. С помощью перевода на карту вопрос решается в считанные минуты. Необходимо погасить задолженность + Нет времени идти в банк пополнить карту для погашения задолженности, а скоро конец месяца и кредитный лимит исчерпан. Сервис онлайн переводов на карту позволяет экономить время и в считанные минуты погасить задолженность по Вашей кредитной карте.

Мы гарантируем безопасность Ваших переводов

На нашем сервисе PAY4 используется эффективная защита безопасности для осуществления переводов. Мы выполняем и придерживаемся всех необходимых международных стандартов PCI DSS, прошли соответствующую сертификацию. Для осуществления онлайн перевода с карты на карту используются технология 3DSecure. В случае, если банк держатель карты отправителя не поддерживает технологию 3DSecure, операция перевода на карту подтверждается одноразовым проверочным кодом авторизации, который будет доставлен отправителю SMS сообщением.

Клиенты и партнеры доверяют нам

Вопрос доверия наших клиентов и партнеров – для нас является самым главным. Среди наших партнеров украинские банки, представители розничного бизнеса, логистические компании, финансовые компании, мобильные операторы, популярные СМИ.

Мы всегда предлагаем нашим партнерам гибкие условия сотрудничества. Наши решения являются инновационными и уникальными.

Условия предоставления сервиса

Интересные темы:

Порядок оплаты картой без технологии 3D Secure

После того как вы нажмете кнопку «Все понятно, оплачиваю!»,
система перенаправит Вас на специальную «платежную
страницу UNITELLER»
для электронных платежей,
где потребуется ввести нижеуказанные данные:

1. Номер Вашей банковской карты (от 12 до 19 символов)

2. Cрок действия Вашей карты — месяц / год

3. Имя держателя карты — в точном соответствии с данными на Вашей карте

4. Код CVV2 / CVC2 — это три последние цифры, расположенные на полосе для подписи,
или рядом с полосой для подписи

Как правило, подтверждение оплаты
поступает немедленно, но Нам потребуется
небольшое время, чтобы обработать платеж.

После этого мы подготовим и вышлем Вам необходимые документы
и SMS-сообщения. Как правило, документы и сообщения (e-mail и SMS) доставляются получателю
в течение 3-4 минут.

После совершения платежа сообщать о факте оплаты не требуется. Платежная система автоматически проинформирует нас о завершении оплаты, а Вас отдельным электронным письмом обо всех существенных реквизитах платежа.

Дополнительная комиссия или какие-либо платежные сборы при платеже банковской картой не предусматриваются и не взимаются. Вы оплачиваете только итоговую сумму по заказу.

Справочно:

UNITELLER является одной из наиболее защищенных систем электронных платежей, прошла международную сертификацию, использует защищенный протокол SSL 3.0.

Это означает, что обработка данных, включая номер карты и другой информации, соответствует правилам конфиденциальности платежных систем Visa и MasterCard, и абсолютно защищена от несанкционированного использования.

Объясняем на пальцах. Почему одни площадки требуют 3D-Secure, а другие нет?

Сегодня самый популярный способ платежей в Интернете — оплата  с помощью банковской карты. Расплачиваясь на таких площадках как Amazon, AdWords и AliExpress, мы заметили, что некоторые сайты не запрашивают пароль 3D-Secure при оплате.
 
К примеру, при оплате через мобильное приложение покупок на AliExpress платежи проходят без 3D-Secure. Да, и сервис от Google под названием AdWords также требует только номер карты, имя держателя и CVV-код.
 
Сегодня мы выясним, почему так происходит, и насколько в этом случае защищены наши платежи?
 
Кажется уже аксиомой, что каждый раз, когда мы указываем реквизиты своей карты в Интернете, деньги на наших счетах подвергаются потенциальной опасности. К примеру, фишингу — популярному виду интернет — мошенничества. 
 
Напомним, при оплате покупок в Сети вам могут попасться «поддельные» сайты, на которых велика вероятность оставить реквизиты своей карты. Как только это произойдет, мошенник  сразу же может использовать эти данные на другом, настоящем, сайте, но предназначенном, к примеру, для перевода денег.
 

В безопасности платежей заинтересованы не только держатели карточек, но и банки, интернет-магазины и платежные системы, которые рискуют не только своими деньгами, но и репутацией


Как защищены наши платежи при оплате?

 
Сначала небольшой ликбез, если вы не хакер 🙂 
 
За безопасность интернет — операции отвечают все, кто принимает в ней участие. Чаще всего: банк-эмитент, выдавший вам карту, банк-эквайер, который «помогает» торговцу  принимать платеж, сам интернет-магазин и платёжная система.
 
Когда вы совершаете покупку в Интернете, при оплате используется ряд протоколов и правил. Среди них SSL— протокол шифрования, который безопасно передаёт информацию. Обнаружить SSL просто — адреса сайтов, которые используют этот протокол, начинаются с HTTPS. А эти пять букв — первое свидетельство того, что ваша конфиденциальная информация передаётся в зашифрованном виде, и как следствие — она защищена.
 
Также есть стандарты защиты, которые разработаны самими платёжными системами (PCIDSS). Любая компания, которая собирается осуществлять интернет — платежи, должна ежегодно проходить проверку на соответствие этим стандартам. Они позволяют исключить переход покупателя на сайт сторонней организации.
 
На защиту ваших платежей, в том числе становятся противомошеннические системы, которые называются «Антифрод». Они оценивают ваши финансовые операции в реальном времени и ищут аномальные и подозрительные. Система «изучает» операции, которые происходят не в той стране, где выпущена карта, отслеживают ограничения по сумме, лимиты, количество покупок и время их совершения, а также — «ведут» другую статистику.
 
Но и это далеко не вся защита.
 
Сегодня одной из самых надёжных систем защиты в Беларуси считается технология 3D-Secure. Она позволяет убедиться, что карточкой расплачивается именно владелец. Если ваша карта поддерживает эту технологию, то для оплаты на любом из сайтов понадобится пароль, который придет к вам на мобильный телефон через СМС. Естественно — угадать пароль преступник не сможет.
 
Кстати, вся информация, которую вы вводите, сохраняется на платежном сервере вашего банка, и интернет-магазин не имеет к ней доступа, поэтому стоит внимательно следить, где вы указываете свои данные. Некоторые сайты, конечно, могут сохранить часть информации по реквизитам платёжной карты, но в объёме не большем, чем разрешают протоколы  платёжных систем.
 

А теперь самое интересное. Дело в том, что в мире технология 3DSecure не является обязательной, и как следствие не все магазины, как и не все банки, её поддерживают

 
Другими словами, если ваша карта поддерживает 3D-Secure, а магазин нет (или — наоборот), то оплата пройдёт, а ответственность за несанкционированную транзакцию ляжет на ту сторону, по чьей вине не была использована технология 3D-Secure.
 
На AliExpress мы оплачивали покупки картой Беларусбанка, поэтому первым делом обратились именно туда. Оказалось, что оплачивать покупки мы  можем как на ресурсах, которые поддерживают технологию безопасности 3D-Secure, так и на тех, которые её не поддерживают.
 
Получается, если на сайте для оплаты нужны только реквизиты пластика — платёж пройдёт и без дополнительного пароля. По крайней мере, если ваша карта, как и наша, на AliExpress уже «привязана» — оплата пройдёт без подтверждения. 
 

 

 
А вот специалист поддержки AdWords (сервис Google) просто ответил, что на некоторых сервисах пароль 3D-Secure не требуется, а по вопросам  безопасности предложил обращаться в банк, который нас обслуживает.
 

 


Кстати, хоть такие платежи защищены и без дополнительно пароля, наши банки не уверены в их безопасности. Поэтому рекомендуют не пользоваться такими сервисами без дополнительной защиты!
 
Вот что нам рассказали в белорусских банках…
 

Белгазпромбанк
 


БПС-Сбербанк

 


СтатусБанк

 

 
Поэтому возникает вопрос, как в таком случае себя обезопасить?
 

Мы составили небольшую инструкцию по безопасности 

Нет времени объяснять, блокируй карту! Четыре способа снять ваши деньги без подтверждения по СМС

Треть россиян в возрасте до 25 лет постоянно пользуются бесконтактными платежами, а 2% граждан страны вообще отказались от наличных, свидетельствуют данные «Левада-центра». Картой удобно расплачиваться в продуктовых и в транспорте, ее можно привязать к медиасервисам и такси, запланировать платежи по коммуналке. Но есть и оборотная сторона медали. О ней 66.RU рассказал Артем Трофимов, специалист по безопасности карт в банке для предпринимателей «Точка».

Как могут украсть деньги?

В банковской сфере есть понятие «скомпрометированная карта». Это карта, полный номер которой, код CVV2 или CVC2 и другие данные стали общедоступны или попали в руки мошенников. Этих данных может быть достаточно, чтобы банк предоставил доступ к вашим деньгам. Узнать о том, что карта скомпрометирована, практически невозможно, пока ею не воспользовались без вашего ведома.

Как это может произойти? Если мошенник знает номер карты и CVV2 или CVC2, он способен совершать операции в интернет-сервисах, которые не поддерживают или намеренно не используют технологию 3D-Secure. Проще говоря, не отправляют вам одноразовый пароль, чтобы подтвердить, что покупку оплачивает именно владелец карты, а не кто-то другой.

Проверять ли личность покупателя с помощью 3D-Secure или нет, решает онлайн-продавец, а не банк, выпустивший карту. Некоторые компании осознанно проводят часть операций без этой технологии, чтобы упростить покупки для клиентов.

Интернет-магазин AliExpress сознательно отказался от 3D-Secure. Первые несколько операций там будут подтверждаться одноразовым кодом. Когда в магазине убедятся, что учетная запись не мошенническая, вам позволят совершать сделки без 3D-Secure, чтобы покупатель не делал лишних движений и не передумал после того, как ему придет СМС с паролем для подтверждения операции. Таким образом, в AliExpress самостоятельно решают, когда использовать 3D-Secure, а когда нет.

AliExpress — лишь пример того, как можно оплачивать покупки без 3D-Secure, а не место, где реально воруют. Через него практически не крадут деньги.

Агрегаторы Uber и «Яндекс.Такси» тоже не используют 3D-Secure. Мы в «Точке» не видим всплеска мошенничества в Uber, по-моему, это разовые случаи в других банках. Схема, с помощью которой мошенники выводят деньги через сервис, может быть такой. Воры привязывают украденные реквизиты — номер карты и код к ней — к профилю пассажира. Затем создают виртуальный профиль таксиста и «оплачивают» его услуги украденной картой, то есть имитируют поездки, а потом получают возмещение реальными деньгами.

Мошенники крадут деньги у клиентов банков через Uber. Под угрозой счета даже тех, кто не пользуется такси

1. Мошенники регистрируют в сервисах Booking.com или Airbnb недвижимость, причем неважно, существует ли она, и «бронируют» ее у самих себя, оплачивая покупку с помощью ворованного номера и кода карты жертвы. Сервис бронирования переводит деньги на счет мошенникам.
2. Получить чужие средства можно через сервисы доставки еды. Киберворы регистрируют предприятие или договариваются с владельцем кафе, работающего с сервисами доставки, и оплачивают заказы картой жертвы. Курьер, который ничего не подозревает, выполняет заявку, а затем блюда возвращают обратно в общепит. И так по кругу.

Мошенники хотят получить деньги с карты, а не расплачиваться за услуги с помощью украденных данных. Тем более, Booking.com и Airbnb потребуют для такой оплаты документ, удостоверяющий личность. Поэтому найти того, кто жил за чужой счет, не составит труда.

Как защитить данные?

Бережно относиться к реквизитам карт и стараться не компрометировать их. Во-первых, пользуйтесь бесконтактной оплатой через Apple Pay, Google Pay, Samsung Pay и другие сервисы. Они меняют реквизиты пластиковой карты на виртуальные — токен. Токены помогают уберечь реквизиты от третьих лиц. Даже если информацию токена узнают, она будет бесполезна, потому что в каждой транзакции используются зашифрованные динамические данные. Не за горами использование таких же токенов и при оплатах в интернете по технологии EMV® Secure Remote Commerce.

Вот несколько способов скомпрометировать данные карты:

  • Держать банковскую карту на виду, например, на рабочем столе. Или хранить ее в кошельке вместе с пин-кодом.
  • Хвастаться картой с необычным дизайном в соцсетях, публиковать ее фото.
  • Оплатить покупку на непроверенном поддельном ресурсе. Прежде чем вводить реквизиты, проверяйте данные магазина, свяжитесь с продавцом, почитайте отзывы в интернете, позвоните по указанному телефону и проверьте через 2ГИС, «Яндекс.Карты» или другой сервис, что за организации находятся по физическому адресу магазина.
  • Оплатить доставку товара по письму от «продавца». Если вы договорились о покупке и продавец прислал ссылку на сайт доставки — внимательно изучите адрес страницы, куда вы перешли, найдите номер телефона доставки через поисковую систему и сверьте с сотрудником правильность адреса. Киберворы пользуются сайтами-дублерами, очень похожими на оригинальные, где оплата доставки или покупки — это перевод с карты на карту, не более.
  • Сообщить номер карты и код «службе безопасности» банка. Если вам звонят из банка, обращаются по имени, называют последние операции и уверяют, что счет под угрозой — не верьте. Положите трубку, подумайте пять минут, вспомните новости об обманутых клиентах и перезвоните по номеру клиентской службы, указанному на обратной стороне банковской карты. Цифры нужно набрать самостоятельно.
  • Делиться данными карты с другими людьми.

Если вы подозреваете, что карта скомпрометирована, сразу блокируйте ее с помощью звонка или письма в банк. После этого никто не сможет потратить деньги со счета, даже зная пин-код, CVV2 и другие данные.

Что делать, если деньги украли?

Срочно сообщите об этом банку. Тогда вы с большой вероятностью сможете опротестовать мошеннические операции, особенно когда 3D-Secure не использовался. Это плюс карт по сравнению с наличными, которые воры вам вряд ли вернут.

Даже если оспорить покупку или перевод не выйдет, есть возможность заморозить ваши деньги на счетах мошенников, чтобы впоследствии вернуть их по требованию правоохранителей.

Редакция 66.RU благодарит банк для предпринимателей «Точка» за помощь в подготовке материала.

За что не любят CVV и 3D Secure. И почему разработчик не виноват. Разбор

Случай с белорусским приложением О!плати, которое позволило нам провести платежи c неправильным CVV и без 3D Secure, породил много вопросов — как о работе конкретного сервиса, так и вообще о том, как устроена защита интернет-платежей. Комментарий относительно О!плати готовит сейчас банк-эквайер Белинвестбанк. С теоретическими вопросами dev.by обратился к основателю и директору по развитию бизнеса ООО «ИКомЧардж» Александру Михайловскому. Его компания известна в Беларуси как сервис приёма онлайн-платежей bePaid.

О неправильном CVV: а был ли код?

Александр, давайте начнём с азов: что такое CVV и зачем нужна его валидация?

CVV (card verification value) — название кода у Visa, СVC (card verification code) — название аналогичного кода у Mastercard, это дополнительная мера безопасности при приеме CNP-транзакций (card not present). Платёж в интернете — это пример CNP-транзакции. 

Как и в случае с PIN-кодом, предполагается, что CVV/CVC известен только держателю карты. 

Это своего рода пароль, подтверждающий эмитенту, что запрос на списание денег с карты его клиента действительно пришёл от клиента. Со временем, когда стало очевидно, что этот код уже не является достаточно надёжной гарантией аутентичности держателя карты, была придумана технология 3D Secure.

Валидация CVV/CVC обязательна?

Нет. Наличие этого кода не является обязательным условием для проведения CNP-транзакции.

Как вообще происходит валидация CVV/CVC? От чего она зависит — от разработчика, от банка-эквайера, от платежной системы?

От разработчика необходимость валидировать CVV/CVC вообще никак не зависит: разработчик делает то, что ему говорит заказчик. Валидация CVV/CVC зависит от конкретной ситуации, в которой формируется транзакционный запрос от эквайера к эмитенту.

Международные платёжные системы (МПС), заинтересованные в снижении мошеннических транзакций, настоятельно рекомендуют мерчантам запрашивать CVV/CVC у своих клиентов. И как правило, эквайеры требуют от мерчантов эти рекомендации выполнять.

Вместе с тем бывают ситуации, когда CVV/CVC не запрашивается и не передается — например, при рекуррентных (повторяющихся) платежах. И вообще говоря, если эквайер решит не передавать CVV/CVC в запросе эмитенту, ничто не помешает ему это сделать. Если же CVV/CVC был запрошен и передан, эмитент в своём ответе сообщает эквайеру, совпал ли переданный CVV/CVC с оригинальным кодом или нет. И это исключительное право эмитента решать, одобрять ли платёж, если CVV/CVC не совпадает. 

Почему некоторые сервисы не проверяют CVV? Может, это дорого или сложно в разработке?

Передача CVV/CVC — это стандартная процедура. Добавление ещё одного поля в запросе и обработка ответа для этого поля — это недорого и несложно. Правильнее говорить не о сервисах, а о ситуациях или типах транзакций, когда CVV/CVC не требуется или можно обойтись без него. По стандартам безопасности, принятым в платежной индустрии, введённый держателем карты CVV/CVC нельзя хранить ни на стороне процессора платежей, ни на стороне эквайера. Отсюда возникают ситуации, когда CVV/CVC можно не передавать (рекуррентные платежи) или когда он не нужен.

Если эмитент имеет возможность другими способами убедиться в том, что транзакция инициирована держателем карты, то ни CVV/CVC, ни 3D Secure ему не нужны.

А как ещё эмитент может убедиться, если не с помощью CVV/CVC и 3D Secure?

Бывают ситуации, когда эквайер и эмитент — это один и тот же банк, который к тому же проводит идентификацию клиента. Например, в О!плати при регистрации кошелька пользователь проходит идентификацию, следовательно, Белинвестбанк знает, что Иван Иванов, зарегистрировавшийся в приложении — это действительно Иван Иванов. Далее, если Иван Иванов пытается пополнить свой счет в О!плати картой Белинвестбанка, последний и без CVV/CVC и 3D Secure может проверить, действительно ли именно эта карта была выдана им Ивану Иванову.

Да, в такой ситуации отсутствие проверки понятно. Но в случае с О!плати платежи проходили без проверки CVV c карт других банков. Как такое может быть? Белорусские банки-эмитенты не запрашивают CVV/CVC?

Сложно сказать, этот вопрос надо адресовать банкам-эмитентам. Я могу сказать только одно: CVV/CVC известен лишь эмитенту, ни эквайер, ни разработчик ничего о нём не знает. Задача разработчика — принять код от клиента и отправить его на шлюз эквайера. Задача эквайера — сформировать запрос по протоколам Visa и Mastercard и передать в сети МПС. А уже эмитент, знающий, какой CVV/CVC на самом деле, даёт ответ: совпали цифры или нет. Почему проходят платежи с неправильными CVV/CVC? У меня две версии. Либо эмитент разрешил транзакции с неправильными CVV/CVC, и тогда это на совести эмитента. Либо эквайер CVV/CVC не отправляет.

(Вторая догадка Александра оказалась правильной. Наш сотрудник обратился в банк-эмитент карты, участвовавшей в тестировании, с вопросом о некорректном CVV. Пришёл такой ответ: «Банк, обслуживающий данную платформу, не передал нам поле, содержащее значение CVV-кода, введёного вами, соответственно проверки CVV-кода на нашей стороне не было. Согласно правилам международной платёжной системы, авторизовать операцию, мы как эмитент можем и без CVV-кода. По этой причине операция прошла успешно»). 

А какая выгода эквайеру не передавать CVV?

Это может быть забота об удобстве плательщиков. Приём платежей в электронной коммерции — это вечный поиск баланса между защитой информации и удобством для клиентов. Например, во многих приложениях карточку можно ввести путём фотографирования — данные распознаются автоматом, но CVV/CVC в этих случаях не считается, так как он указан на обратной стороне карты. Такая практика не так уж и редка. Например, магазин Amazon тоже не запрашивает CVV/CVC — у них просто нет такого поля.

Но тут-то поле есть. И я всё равно ввожу код!

Можно предположить, что в целях упрощения платежей эквайер отказался от CVV/CVC, но разработчики не успели убрать это поле: оно есть, но данные никуда не передаются. Но это всего лишь моё предположение. Точный ответ знает только Белинвестбанк.

А почему эмитенты не отклоняют транзакции без CVV?

Трудно сказать. Для эмитентов тоже важно найти баланс между защитой своих клиентов от мошенничества и удобством карточных платежей для них же. CVV/CVC — это один из способов верификации держателя карты. Но если этот код не передан, верифицировать нечего. Однако отсутствие кода не обязательно означает, что транзакция — мошенническая.

Вот если бы код был передан и не совпал, это был бы сильный аргумент в пользу отклонения платежа. А если кода просто нет…

Принимая решение о том, одобрить или нет платёжную транзакцию, эмитент смотрит не только на наличие-отсутствие CVV/CVC, но и на другие параметры транзакции.

Может, это всё-таки стоит дополнительных денег?

Нет. По крайней мере, здесь нет расходов, которые бы делали экономически целесообразным отказ от CVV/CVC. Это стандартные протоколы, формированием запросов и обработкой ответов занимается специализированное ПО, которое само по себе дорогое, но CVV/CVC входит в его базовый функционал. Для разработчиков добавление поля тоже не представляет никакой сложности.

Давайте резюмируем эту часть: отсутствие валидации CVV/CVC — это нормально?

Это отличается от общепринятых подходов проверки пользователя, которые практикуют другие системы электронных кошельков. Обычно сперва к кошельку привязывается карта с валидацией CVV/CVC и проверкой по 3D Secure, а потом все последующие платежи идут как рекурренты, без каких-либо дополнительных проверок.

Как отсутствие валидации CVV влияет на безопасность платежей? А на риск мошеннических действий с картами?

Конечно же, отсутствие CVV/CVC при CNP-транзакции обычно увеличивает риск того, что кто-то заплатит не своей картой. Номер карты и срок её действия легко подсмотреть, запомнить, украсть. Увидеть CVV/CVC, которые расположены на обратной стороне карты — сложнее. Именно поэтому эмитенты, как правило, отклоняют транзакции, в которых CVV/CVC не совпадает с оригинальным.

Исключение в плане рисков — если банк является и эмитентом, и эквайером для собственных карт, плюс к этому он заранее идентифицировал пользователя как своего клиента — в этом случае проверка CVV/CVC уже не играет роли.

О валидации имени кардхолдера: не нужна?

Отсутствие валидации имени держателя карты — это нормально?

Да, это нормально.

Имя вообще никто и никогда не проверяет?

Я могу ошибаться, но, по-моему, имя держателя обычно не проверяется. Опять же, если кто-то и может его верифицировать, то только эмитент.

А зачем тогда это поле?

С точки зрения процессинговой компании, я бы сказал, что это поле является своего рода источником статистических данных. Если наша система фрод-мониторинга засекает две транзакции с одним номером карты, но разным именем держателя карты, для нас это сигнал о том, что одна из этих транзакций, возможно, мошенническая. Или обе. Обычно настоящие держатели карт пишут свои настоящие имена. Если эмитент решит проверять присылаемые имена и по результатам проверки будет принимать решение одобрять или отклонять транзакцию, это его право.

Опять же, как и в случае с CVV/CVC, если эмитент имеет какой-то иной способ убедиться, что транзакция действительно была инициирована его клиентом, то ему всё равно, что написано в поле «имя держателя карты».

О 3D Secure: почему им пренебрегают

О чём свидетельствует отсутствие СМС с динамическим паролем? О том, что карта или сервис не подключены к 3D Secure?

СМС с OTP (one time password), по идее, должен приходить клиенту от эмитента всякий раз, когда тот проходит проверку по 3D Secure. Отсутствие такой СМС не обязательно означает неучастие карты в программе 3D Secure. У эмитента может банально сбоить сервис проверки. Или может глючить оператор мобильной связи.

Проверка карты на участие в 3D Secure происходит в момент совершения платежа путём обращения к специальному серверу платежной системы, под брендом которой выпущена карта. МПС отвечает, участвует карта в программе 3D Secure или нет. Если участвует, в ответе указывается URL ACS (access control server) сервера эмитента, куда плательщик перенаправляется для ввода OTP. Если карта не участвует в программе 3D Secure или ACS-сервер недоступен, запрос на авторизацию передаётся эмитенту. 

Если ACS-сервер доступен, но СМС не приходит из-за проблем с сотовой связи, то через 15 минут сессия закрывается и транзакция автоматически считается неуспешной.

А если карта участвует в 3D Secure, но СМС не приходит и платёж при этом успешен, значит, платёжный сервис не участвует в программе?

Да, бывает и такое. Это значит, что эквайер сервиса позволил мерчанту принимать платежи без проверки транзакций по 3D Secure. Почему он разрешил? Потому что мерчант каким-то образом гарантировал ему возмещение убытков по фрод-транзакциям. Вторая возможная причина — ACS-сервер в момент прохождения платежа был недоступен. В этом случае платёж тоже пропустят.

Почему некоторые сервисы не подключены к 3D Secure? Это сложно, дорого? Как и между кем происходят расчёты за эту услугу?

Трудно сказать почему, в каждом конкретном случае есть своя причина. Использование 3D Secure уже стало стандартом в платёжной индустрии. Международные платёжные системы создали такие условия, когда эмитенты стремятся включить все свои карты в программу 3D Secure. Дело в том, что если карта не участвует в этой программе, то ответственность за мошеннический платеж по такой карте, согласно правилам МПС, возлагается на эмитента. А кому хочется терять деньги?

Однако, если эквайер соглашается отправить эмитенту запрос на авторизацию по карте, участвующей в 3D Secure, без проверки транзакции по этому протоколу, ответственность за мошенническую транзакцию по такой карте переносится на эквайера. Если эквайер по каким-либо причинам готов принять на себя такую ответственность, он будет принимать и проводить платежи без 3D Secure.

Эквайер как-нибудь экономит, согласившись на отказ от 3D Secure? Кто платит за СМС с подтверждающим кодом?

За СМС платит эмитент, но мне кажется, что расходы там не такие уж большие. Эквайер за счёт отказа от 3D Secure никак не экономит — более того, он рискует.

Это просто, ничего не стоит, убирает риски — в чём тогда смысл отказа от защиты?

В том, чтобы клиентам мерчанта было удобнее и приятнее делать платежи, чтобы они не зависели от СМС. Как правило, отказ разрешается крупным мерчантам — мелким мерчантам такое не позволяется. 

Для эквайера смысл в том, чтобы угодить крупному клиенту. Допустим, есть сервис, который обслуживает крупных мерчантов. Если крупный мерчант убеждается, что без 3D Secure объём платежей увеличивается на 5-10%, то он, конечно, захочет отказаться от защиты. Он подписывает допсоглашение с эквайером о том, что гарантирует покрытие всех убытков банка, связанных с мошенничеством. Если банк-эквайер ему откажет, есть вероятность, что мерчант пойдёт к другим банкам-эквайерам и весь оборот перейдёт к конкуренту. 

Так как Белинвестбанк в описанном случае является и мерчантом, и эквайером (и эмитентом для некоторых транзакций), то понятно желание банка сделать пользование кошельком простым и приятным.

Но отсутствие проверки CVV и 3D Secure это, конечно, недосмотр. Он увеличивает риск того, что какой-нибудь жулик воспользуется приложением, соберёт ворованные карты и начнёт ездить в маршрутках налево и направо.

Это обычная история, мошенники в Беларуси склонны к странным поступкам: они воруют карты, платят ими в кафе и ресторанах, потом попадаются и идут в тюрьму.

В комментарии под материалом dev.by вы выразили мнение, что отсутствие проверки  — зона ответственности банков, а не разработчика. Ответственности разработчика вообще нет?

Мы — сами разработчики и имеем опыт интеграций с сотней разных банков-эквайеров по всему миру. Разработчик делает то, что сказано в API, который он получает от эквайера. Сказано в API передавать значение CVV/CVC — разработчик будет запрашивать его у плательщика и передавать эквайеру. Но валидировать это значение может только эмитент, и никто другой. Соответственно разработчик за валидацию CVV/CVC отвечать никак не может. Решение о том, одобрять ли транзакцию с некорректным CVV/CVC, принимает эмитент. А решение о том, проводить ли такую транзакцию, принимает эквайер на основе ответа по валидации от эмитента. Так же, как и решение о том, передавать ли вообще  CVV/CVC эмитенту. Как видите, разработчик здесь ни на что не влияет.

3D Secure

Оплата покупок и услуг в Интернете под защитой

3D Secure — система обеспечения безопасности платежей в сети Интернет, основанная на технологии проверки подлинности держателя карты.

Система 3D Secure является частью глобальной программы Verified by Visa и MasterCard SecureCode и объединяет тысячи Интернет-магазинов по всему миру.

Зачем нужен 3D Secure?

3D Secure позволяет Вам удостоверить свою личность во время проведения платежа в сети Интернет путем введения пароля. Проверка подлинности основана на принципе трех доменов.

Домен 1: Вы можете быть твердо уверены, что карта не будет использована в сети Интернет без Вашего ведома.

Домен 2: В свою очередь, Продавец также защищен от мошенничества и может предоставить Вам свои продукты и услуги без промедления и дополнительных затрат.

Домен 3: Банк, со своей стороны, может удостовериться в том, что платеж был проведен с соблюдением всех требований безопасности.

Как подключить 3D Secure?

В момент Вашей первой покупки в Интернет-магазине, участвующем в программе, Вам будет предложено активировать сервис 3D Secure для Вашей дебетовой или кредитной карты.

Сервис в обязательном порядке предоставляется всем клиентам Кредит Европа Банка, использующим карты для расчетов в сети Интернет.

Сколько стоит 3D Secure?

Сервис 3D Secure предоставляется бесплатно (включая SMS-сообщения, отправляемые банком).

Как 3D Secure защитит мою карту от мошенников?

После активации сервиса, каждый раз при совершении покупки в Интернет-магазинах, участвующих в программе, Вам будет предлагаться ввести пароль.

Пароль является одноразовым (действует для одной покупки) и направляется на номер Вашего мобильного телефона в SMS-сообщении.

После успешного ввода пароля Ваш платеж будет одобрен.

Как это работает?

  1. Вы вводите данные карты.
  2. Вы вводите одноразовый пароль.
    ВАЖНО: одноразовый пароль действителен в течение пяти минут.
  3. После ввода пароля и подтверждения его подлинности со стороны Visa или MasterCard Ваш платеж будет проведен!

Что мне делать, если я не получил SMS-сообщение с паролем?

  • повторно проведите операцию;
  • убедитесь в том, что Кредит Европа Банк располагает актуальным номером Вашего мобильного телефона;
  • убедитесь в том, что Вы находитесь в зоне приема сигнала Вашего мобильного оператора;
  • убедитесь в том, что в Вашем телефоне достаточно свободной памяти для получения SMS-сообщения;
  • убедитесь в том, что у Вас подключен роуминг (в случае, если Вы находитесь за пределами домашней сети), Ваш тарифный план предполагает получение SMS-сообщений и Ваш счет не заблокирован.

Могу ли я совершать покупки в Интернет-магазинах, не участвующих в программе Verified by Visa / MasterCard SecureCode?

Да, но в таком случае платеж не будет защищен технологией 3D Secure. Интернет-магазины, участвующие в программе, можно установить по наличию логотипов Verified by Visa / MasterCard SecureCode на веб-странице.

Что такое 3D Secure? Принцип работы технологии

В тех местах, где люди тратят деньги, всегда есть риск нарваться на мошенников. Интернет не исключение. Скорее, наоборот: здесь жуликов значительно больше.

Прожженные аферисты, сидя за решеткой, находят способы подключиться к сети, чтобы украсть деньги добропорядочных обывателей. Даже школьники, которых не научили уважать закон, пользуясь мнимой анонимностью, рады обмануть в интернете.

Поэтому безопасность платежей с помощью банковской карты в виртуальном пространстве находится на высоком уровне. Если пользователь сам не сообщит мошенникам конфиденциальную информацию, у них не будет ни единого шанса.

Технология 3D Secure как раз об этом. Авторизация платежей происходит максимально надежно, и беспокоиться стоит только о собственной внимательности в интернет-магазинах, где пользователь вводит данные карты.

3D Secure: что это

3D Secure – это протокол защиты при авторизации, без присутствия карты, когда происходит оплата товара или услуг. Впервые он был задействован международной платежной системой Visa, затем, с небольшими изменениями, был принят и другими МПС.

Протокол добавляет дополнительную ступень аутентификации пользователя при совершении сделки онлайн. Это позволяет банку или торговой точке убедиться, что операцию проводит держатель карты, а не мошенники.

3D в этом случае означает, конечно, не спецэффекты, как в кинотеатре. Это система, когда в процессе оплаты происходит проверка трех доменов: домена банка, сотрудничающего с интернет-магазином, домена банка владельца карты и домена платежной системы.

Как работает технология 3D Secure

Чаще всего, с помощью СМС.

Клиент, совершая покупку на сайте, перенаправляется на страницу банка, выпустившего карту. Здесь, в специальном поле, надо ввести одноразовый код, который пришел в сообщении на телефон, привязанный к карте. Срок действия кода не превышает 5 минут, затем придется запросить новый пароль.

Не сообщайте пароль из СМС посторонним людям, даже сотрудникам банка. Эта информация только для вас.

Некоторые банки не используют одноразовые коды, а требуют только пароль, который пользователь задал при регистрации, что не так надежно.

Функция бесплатна и является стандартной для карт Visa и MasterCard. Если она не подключена, есть четыре способа исправить ситуацию:

  1. Через интернет банкинг, в личном кабинете.
  2. В банкомате, принадлежащем финансовому учреждению, выпустившему карту.
  3. Совершив звонок в банк.
  4. Сделав заявку менеджеру в офисе.

Не все интернет-магазины поддерживают технологию 3D Secure. На таких ресурсах для покупки необходимо знать только реквизиты: номер и код CVV2/CVC2. Любой, кто обладает этой информацией, может воспользоваться картой, так как платежи пройдут без подтверждения по СМС или логину и паролю.

Если торговая площадка поддерживает безопасные платежи, это отмечается надписью: Verified by Visa (VbV) или MasterCard Secure Code.

Иногда возникает необходимость отключить услугу, например, за границей или сменив номер телефона. Если такой возможности нет в личном кабинете онлайн-банкинга, придется обращаться в банк с письменным заявлением. Некоторые банки дают возможность изменить номер телефона без отключения защиты.

Еще немного о безопасности

Технологии сделали все возможное для повышения безопасности онлайн-платежей. Сохранность сбережений зависит, в основном, от действий пользователя.

  • Игнорируйте звонки и сообщения с вопросами о личных данных и реквизитах карты. Это конфиденциальная информация.
  • Проверяйте остаток средств на карте. Если подозреваете несанкционированное списывание денег со счета – свяжитесь с банком.
  • Запомните номер банка, с которого приходят СМС с информацией. Не доверяйте другим коротким номерам.
  • Контролируйте документы с реквизитами карты: выписки, чеки и тому подобные. Если они не нужны, лучше их уничтожить.
  • Проверяйте надежность сайта, где вводите данные карты. Это можно увидеть в адресной строке: защищенный протокол https://.
  • Проверяйте на вирусы программное обеспечение на компьютере и смартфоне.

В случае, если и телефон и карта утеряны владельцем, стоит немедленно связаться с сотрудниками банка и заблокировать движения по счету.

Non 3D Secure Sites

3D Secure — это система безопасности, в которой на личный номер телефона владельца карты отправляется «код» для обеспечения безопасности карты в случае покупок, совершаемых в Интернете с помощью кредитной карты или банковской карты. Код вставлен на страницу перенаправления, и покупка завершена. Это означает, что код на самом деле является разрешением. Следовательно, без 3D Secure будет нарушение безопасности. Однако, даже если у нас есть безопасная оплата, наступит момент, когда нашего телефона не будет рядом с нами.В такие моменты вы можете совершить покупку на веб-сайтах без 3D Secure без каких-либо проблем. Если вы знаете об этих веб-сайтах, вы можете делать покупки без 3D Secure по своему усмотрению.

О незащищенных веб-сайтах

Чтобы покупать что-либо в Интернете, не обязательно иметь код 3D Secure. Некоторые веб-сайты позволяют делать покупки без этого метода безопасности. Этот метод — лишь одна из мер безопасности. Сайты без 3D secure не оставляют пользователей полностью беззащитными.Большинство из них имеют собственные методы оплаты и внимательно следят за незаконными платежами. Однако рекомендуется соблюдать осторожность при совершении покупок на этих веб-сайтах. Вам необходимо как можно чаще использовать 3D Secure, чтобы не допустить кражи карты. Добавьте к этому, что покупки на упомянутых веб-сайтах появляются на вашем банковском счете. В случае кражи карты доказать это можно без проблем.

Сайты без 3D Secure

На указанных ниже сайтах 3D Secure не используется.Они безопасны и качественно обслуживаются на протяжении многих лет в индустрии интернет-магазинов.

  • Steam не использует 3D Secure. Это всемирно признанная платформа для распространения цифровых игр, созданная в 2003 году корпорацией Valve. Вы можете купить любую игру в Steam с помощью кредитной или банковской карты.
  • Amazon не использует 3D Secure. Amazon — компания, начинающая с продажи книг, компания, которая за короткое время стала центром мировой онлайн-торговли. На Amazon можно купить практически все, что угодно, например DVD-диски, книги, электронные книги, предметы домашнего обихода или предметы личного пользования.
  • Trendyol не использует 3D Secure. Trendyol — это зона безопасных покупок в Интернете, где вы можете найти тысячи товаров различных категорий, таких как женщины, мужчины, дети, дом и быт, супермаркет, косметика, обувь, сумки, часы и аксессуары, а также электроника.

Аутентификация карты и 3D Secure

Что такое 3D Secure?

Для дополнительной защиты от мошенничества 3D Secure требует от клиентов выполнения дополнительных этапов проверки у эмитента карты при оплате.Обычно вы направляете клиента на страницу аутентификации на веб-сайте его банка, и он вводит пароль, связанный с картой, или код, отправленный на его телефон. Этот процесс знаком клиентам по торговым маркам карточных сетей, таким как Visa Secure и Mastercard Identity Check. Посмотрите наше видео, чтобы увидеть пример процесса оформления заказа с аутентификацией.

Правила строгой аутентификации клиентов в Европе требуют использования 3D Secure для платежей по картам. 3D Secure не является обязательным в других регионах, но все же может использоваться в качестве инструмента для уменьшения мошенничества.

Stripe поддерживает 3D Secure 2. Ваша интеграция запускает 3D Secure 2, если поддерживается банком клиента, и возвращается к 3D Secure 1 в противном случае.

Хотите использовать службу Stripe 3D Secure с другими процессорами? Контактная поддержка.

Спорные платежи и смена ответственности

Платежи, которые были успешно аутентифицированы с помощью 3D Secure, покрываются смещением ответственности . Если платеж 3D Secure будет оспорен держателем карты как мошеннический, ответственность переходит от вас к эмитенту карты.Эти типы споров обрабатываются внутри компании, не отображаются в Личном кабинете и не приводят к снятию средств с вашей учетной записи Stripe.

Если покупатель оспаривает платеж по любой другой причине (например, продукт не получен), применяется стандартный процесс оспаривания. Таким образом, вы должны принимать соответствующие решения в отношении своего бизнеса и того, как вы управляете спорами, если они возникают, и как полностью их избежать.

Сдвиг ответственности может также произойти, если для сети карты требуется 3D Secure 1, но 3D Secure недоступен для карты или эмитента.Это может произойти, если сервер 3D Secure эмитента не работает или если эмитент не поддерживает 3D Secure, несмотря на то, что сеть карт требует поддержки 3D Secure. В процессе оплаты держателю карты не предлагается пройти аутентификацию 3D Secure, поскольку карта не зарегистрирована. Хотя владелец карты не выполнил аутентификацию 3D Secure, ответственность по-прежнему перекладывается на эмитента.

Существуют определенные обстоятельства, при которых платежи, успешно аутентифицированные с помощью 3D Secure, не претерпевают изменения ответственности.Это редко и может произойти, например, если в вашей учетной записи наблюдается чрезмерный уровень мошенничества и вы участвуете в программе мониторинга мошенничества.

Несмотря на то, что платежи, которые были успешно аутентифицированы с помощью 3D Secure, не могут быть оспорены как мошеннические с помощью авансового финансового платежа, эмитенты могут инициировать запрос на извлечение. Этот тип спора не является финансовым и в основном представляет собой запрос информации.

Важно отметить, что ответ на запросы извлечения важен для любой платы, но жизненно важен , когда речь идет об оплате с проверкой подлинности 3D Secure.Хотя банку держателя карты не разрешается подавать авансовый финансовый платеж за мошенничество, ему разрешается инициировать финансовый возвратный платеж, если продавец не отвечает на запрос извлечения, известный как возвратный платеж без ответа . Чтобы предотвратить возвратные платежи по платежам 3D Secure без ответа, не забудьте предоставить достаточную информацию о платежах. Вы должны включить информацию о том, что было заказано, как это было доставлено и кому было доставлено (будь то товары или услуги и т. Д.).

Контроль времени представления потока 3D Secure

Stripe запускает 3D Secure автоматически, если это требуется нормативными требованиями, такими как строгая проверка подлинности клиентов. Вы также можете использовать правила Radar или API, чтобы контролировать, когда клиентам предлагается завершить аутентификацию 3D Secure, делая определение для каждого пользователя на основе желаемых параметров.

Чтобы отследить, применялась ли 3D Secure к платежу по карте, прочтите свойство three_d_secure информации о карте в разделе payment_method_details начисления.Stripe заполняет свойство three_d_secure , когда клиент пытается аутентифицировать карту — three_d_secure.succeeded указывает, прошла ли аутентификация успешно.

Когда вы запускаете 3D Secure, Stripe требует, чтобы ваш клиент выполнил аутентификацию для завершения платежа, если аутентификация 3D Secure доступна для карты. Если 3D Secure не поддерживается картой или во время аутентификации возникает ошибка, платеж проходит нормально. Когда это происходит, ответственность обычно не перекладывается на эмитента, поскольку успешная аутентификация 3D Secure не состоялась.

Использование правил радара на панели инструментов

Stripe предоставляет три правила по умолчанию для динамического запроса 3D Secure при создании или подтверждении PaymentIntent или SetupIntent. Вы можете настроить эти правила 3D Secure Radar на панели инструментов Stripe. На следующем снимке экрана показаны эти правила Radar, которые запрашивают дополнительную аутентификацию от клиентов, когда эмитент их карты требует 3D Secure:

Первое правило включено по умолчанию, но вы можете отключить его.

Если у вас есть Radar for Fraud Teams, вы можете добавить собственные правила 3D Secure, используя синтаксис, описанный в нашем справочнике по правилам. Radar запрашивает аутентификацию 3D Secure для платежей, соответствующих этим правилам. В приведенном ниже примере включенное правило запрашивает аутентификацию 3D Secure для попыток платежа, когда сумма платежа превышает 500 долларов США, а уровень риска не считается нормальным.

Запросить 3D Secure вручную с помощью API

Методом по умолчанию для запуска 3D Secure является использование Radar для динамического запроса 3D Secure на основе уровня риска и других требований.Запуск 3D Secure вручную предназначен для опытных пользователей, интегрирующих Stripe со своим собственным механизмом защиты от мошенничества.

Чтобы запустить 3D Secure вручную, установите payment_method_options [card] [request_three_d_secure] с на любой при создании или подтверждении PaymentIntent или SetupIntent. Этот процесс аналогичен единовременным платежам или будущим внесезонным платежам. Если указан этот параметр, Stripe пытается выполнить 3D Secure и отменяет любые динамические правила 3D Secure Radar в PaymentIntent или SetupIntent.

Когда предоставлять этот параметр, зависит от того, когда ваша система защиты от мошенничества обнаруживает риск. Например, если ваша система защиты от мошенничества проверяет только данные карты, вы знаете, следует ли запрашивать 3D Secure, прежде чем создавать PaymentIntent или SetupIntent. Если ваша система защиты от мошенничества проверяет и данные карты, и транзакции, укажите этот параметр во время подтверждения — как только у вас появится дополнительная информация. Затем передайте полученный PaymentIntent или SetupIntent своему клиенту, чтобы завершить процесс.

Изучите использование параметра request_three_d_secure для каждого случая в справке по API:

Когда вы устанавливаете request_three_d_secure на любой , Stripe требует, чтобы ваш клиент выполнил аутентификацию для успешного завершения платежа, если аутентификация 3D Secure доступна для карта.Если 3D Secure недоступен для данной карты, оплата происходит в обычном режиме.

Правила SCA Stripe запускаются автоматически, независимо от того, запрашиваете ли вы 3D Secure вручную. Любые запросы 3D Secure от вас являются дополнительными и не требуются для SCA.

Отображение 3D Secure Flow

Stripe автоматически отображает пользовательский интерфейс аутентификации во всплывающем модальном окне при вызове confirmCardPayment и handleCardAction . Вы также можете выбрать перенаправление на веб-сайт банка или использовать iframe.

Stripe.js собирает основную информацию об устройстве во время аутентификации 3D Secure 2 и отправляет ее в банк-эмитент для анализа рисков.

Перенаправление на веб-сайт банка

Чтобы перенаправить вашего клиента на страницу аутентификации 3DS, передайте return_url в PaymentIntent при подтверждении на сервере или на клиенте. Вы также можете установить return_url при создании PaymentIntent.

После подтверждения, если PaymentIntent имеет статус requires_action, проверьте значение next_action для PaymentIntent.Если это redirect_to_url, это означает, что требуется 3D Secure.

 

next_action: { тип: 'redirect_to_url', redirect_to_url: { url: 'https: //hooks.stripe.com / ...', return_url: 'https://mysite.com' } }

В браузере перенаправьте клиента на url в хэше redirect_to_url для завершения аутентификации.

 

var action = intent.next_action; if (action && action.type === 'redirect_to_url') { окно.location = action.redirect_to_url.url; }

Когда клиент завершает процесс аутентификации, перенаправление отправляет его обратно на return_url , который вы указали при создании или подтверждении PaymentIntent. Перенаправление также добавляет параметры запроса URL payment_intent и payment_intent_client_secret , которые ваше приложение может использовать для идентификации PaymentIntent, связанного с покупкой клиента.

Отображение в iframe

Вы не можете настроить пользовательский интерфейс аутентификации в Интернете в соответствии с дизайном вашего веб-сайта — банк, выпустивший карту, контролирует шрифты и цвета интерфейса.

Однако вы можете выбрать , как и , где отображается пользовательский интерфейс 3D Secure. Большинство продавцов показывают его в модальном диалоговом окне над своей платежной страницей. Если у вас есть собственный модальный компонент, вы можете разместить внутри него рамку 3D Secure. Вы также можете показать содержимое аутентификации в форме оплаты.

1 Подтверждение PaymentIntent на стороне сервера

Когда ваш клиент готов завершить свою покупку, вы подтверждаете PaymentIntent, чтобы начать процесс сбора его платежа.

Если вы хотите контролировать отображение 3D Secure, укажите return_url , куда будет перенаправляться 3D Secure