3-d secure

Причины ошибки аутентификации

Описанные выше современные технологии повышают уровень безопасности совершаемых операций по карте. Однако и данная система дает сбои.

Ниже приведем основные факторы, которые могут привести к получению уведомления об ошибочной операции:

• отсутствие подключения к данной функции;
• введение некорректного кода;
• истечение периода действия кода (максимум – 10 минут);
• технические сбои со стороны банка-эмитента;
• проблемы с сервером;
• неподдерживаемая платежная система;
• проблемы с настройками в торговой точке;
• отсутствие достаточной суммы на счете держателя.

Для начала проверьте корректность введения номера счета. Если с этим все в порядке, то следует позвонить на горячую линию банка-эмитента для разъяснения ситуации. Сотрудник проверит корректность настроек, выявит возможные причины проблемы и поможет решить вопрос. Как правило, решение проблемы не занимает более 10 минут. Однако если речь идет о технических сбоях в самом банке или в платежной системе, то решение вопроса может затянуться.

Если же у вас нет возможности позвонить по телефону, то на помощь придут онлайн-консультанты. Решить любой вопрос можно в онлайн-чате на сайте банка.

Если вы привыкли во всем разбираться самостоятельно, то имеется и другой вариант. Для начала проверьте подключение нужной функции. Для этого потребуется.

1. Совершить вход в личный кабинет банка.
2. Открыть перечень карт.
3. Ознакомиться с подключенными услугами. Если функция 3DS аутентификации в списке отсутствует, то ее можно подключить онлайн или с помощью оператора.

Чтобы подключить 3D Secure, вам потребуется представить оператору следующие сведения:

• фамилию, имя и отчество;
• кодовое слово, которое вы придумали при регистрации;
• последние 4 цифры номера карты.

Как правило, функция будет подключена в течение одного-двух дней. Обычно ее подключение является платным, однако некоторые банки предоставляют ее бесплатно.

Таким образом, технология 3D Secure – это современный способ дополнительной защиты проводимых в Интернете операций. Пройти данную аутентификацию без самой карты и мобильного телефона довольно проблематично. Поэтому использование данной технологии уменьшает вероятность мошеннических действий.

Обычно данный этап используется в схеме оплаты покупок на сумму, превышающую 3000 рублей. Если ваш пластик не проходит аутентификацию, то проверьте наличие активных опций в своем личном кабинете. Также можно позвонить оператору.

Однако не стоит полагаться только на современные Интернет-технологии. Полностью обезопасить совершение покупок через Интернет они не в состоянии. Поэтому стоит придерживаться основных правил для совершения онлайн-платежей. Например, специалисты рекомендуют выделить для этих целей специальную Интернет-карту и держать на ней лишь необходимую для совершения покупки сумму.

Торговля через интернет становится все более популярной, как и инструменты онлайн платежей. Созданные механизмы обеспечивают надежность и безопасность проведения финансовых операций, но и в них возможны сбои. Все чаще при онлайн оплате пользователи получают сообщение “Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой”. Сбой возникает с картами Сбербанка, ВТБ24, Альфа банк. В статье мы расскажем что это за ошибка и почему она появляется.

3DS 2.0: биометрия, незаметная для пользователя аутентификация и высокая конверсия в платеж

Новая версия 3D Secure, в отличие от предыдущей, адаптирована как для ПК, так и для мобильных устройств. Кроме этого, в 3DS 2.0 принципиально изменился способ аутентификации плательщика: теперь это происходит не только с помощью редиректа на сайт эмитента для обязательного введения проверочного кода из СМС, но и посредством дополнительных методов аутентификации. 

Это стало возможным за счет использования RBA (risk-based authentication — аутентификации на основе рисков), основанной на том, что при проведении платежа собираются данные о держателе карты и передаются банку-эмитенту. Эти данные могут содержать более 100 элементов, включая информацию о держателе карты и устройстве, с которого совершается платеж (например, MAC-адрес), географическое положение плательщика, его предыдущие транзакции, адрес доставки оплачиваемого товара и т.д. 

Система аутентификации и авторизации банка-эмитента (Access Control Server — ACS), в свою очередь, сравнивает их с историческими данными об операциях данного пользователя, в результате чего определяется степень риска мошенничества для этой конкретной транзакции и банк-эмитент принимает решение о том, необходима ли дополнительная проверка пользователя.

Если операция признается банком-эмитентом безопасной, она проводится по упрощенной схеме аутентификации (Frictionless flow), при которой плательщик автоматически признается прошедшим проверку подлинности — и никаких дополнительных данных у него запрашивать не будут.

Если же транзакция определена как рисковая, она проходит дополнительную проверку. Для этого держателю карты предлагается подтвердить свою личность с помощью биометрических данных и/или двухфакторной аутентификации (одноразового пароля, отпечатка пальца и т.д.).

Как это выглядит на практике

Предположим, пользователь часто совершает покупки на сумму до 5 тыс. рублей и никаких проблем по таким покупкам не было. Это значит, что в новой версии 3DS подобные платежи этого клиента можно провести без дополнительной идентификации. 

Если же сумма покупки значительно выше обычной или, к примеру, для платежа используется не привычное устройство, а какой-то новый гаджет, банк-эмитент может дополнительно проверить этого пользователя, предложив ему, например, подтвердить операцию с помощью отпечатка пальца, который он уже оставлял ранее в мобильном приложении банка. 

При этом все же нужно иметь в виду, что результат проверки — всего лишь рекомендация. Окончательное решение о необходимости дополнительных мер по аутентификации пользователя в любом случае принимает банк-эмитент. 

Что это значит для бизнеса

Это значит, что в процессе совершения покупки дополнительное подтверждение будет требоваться намного реже: только для высокорискованных покупок с нетипичным поведением плательщика. Но даже в этом случае процедура аутентификации будет более простой и удобной.

Все это положительно скажется на росте платежной конверсии, при этом продавец не будет нести дополнительных рисков по мошенническим операциям.

Что в итоге

Насколько с помощью 3DS 2.0 удастся повысить платежную конверсию, нам еще только предстоит узнать. Понадобится время на повсеместное внедрение и отладку системы всеми участниками платежной инфраструктуры (платежных систем, эмитентов, эквайеров, сервис-провайдеров). 

Одно можно сказать точно: это прекрасный задел на будущее, который решает массу ранее практически неразрешимых проблем при проведении онлайн-платежей. И после 2021 года онлайн-продавцу не нужно будет нести дополнительные риски, отказываясь от 3DS.

Новая версия протокола позволит поддерживать необходимый уровень безопасности без существенного ущерба для платежной конверсии. 

3 полезных совета при оплате картой через Интернет

Во первых — заведите себе специальную карту. Не используйте для оплаты зарплатную карту, на которой у вас все деньги. Оптимально — кредитная карта. Она позволяет в отдельных случаях вернуть часть суммы покупки(CashBack). Обычно это сумма до 5 процентов от покупки. Будьте внимательны, некоторые сервисы при оплате катой берут комиссии. И конечно же адрес страницы оплаты всегда должен начинаться с https и рядом с адресом должен стоять значок в виде замка(Соединение https).

Во вторых — не держите много денег на карте. На карте должно быть немногим больше суммы, необходимой вам для покупки. Примерно плюс 10% от общей стоимости покупки. Логика проста — с нулевой карты ничего не могут снять.
Делаете покупку — просто пополняете карту в интернет банке и получаете нужную сумму.

Disputed payments and liability shift

Payments that have been successfully authenticated using 3D Secure are covered by a liability shift. Should a 3D Secure payment be disputed as fraudulent by the cardholder, the liability shifts from you to the card issuer. These types of disputes are handled internally, do not appear in the Dashboard, and do not result in funds being withdrawn from your Stripe account.

Liability shift can also occur when 3D Secure 1 is required by the card network, but 3D Secure isn’t available for the card or issuer. This can happen if the issuer’s 3D Secure server is down or if the issuer does not support 3D Secure, despite the card network requiring 3D Secure support. During the payment process, the cardholder isn’t prompted to complete 3D Secure authentication, since the card is not enrolled. Although the cardholder did not complete 3D Secure authentication, liability still shifts to the issuer.

There are certain circumstances where payments that are successfully authenticated using 3D Secure do not experience a liability shift. This is rare and can happen, for example, if you have an excessive level of fraud on your account and are enrolled in a .

Although payments that have been successfully authenticated using 3D Secure cannot be disputed as fraudulent with an upfront financial chargeback, issuers may initiate a . This type of dispute is non-financial, and is basically a request for information.

It’s important to note that responding to retrieval requests is important for any charge, but is vital when a 3D Secure-authenticated charge is involved. Although the cardholder’s bank is not allowed to file an upfront financial chargeback for fraud, they are allowed to initiate a financial chargeback if the merchant does not respond to the retrieval request, known as a no-reply chargeback. To prevent no-reply chargebacks on 3D Secure charges, be sure to submit sufficient information about the charge. You should include information about what was ordered, how it was delivered and to whom it was delivered (whether merchandise or services, etc.).

Что это такое?

Не будем углубляться в технологические нюансы. Для рядового человека, расплачивающегося за покупки в интернете денежными средствами со своей пластиковой карты, достаточно будет наглядного примера.

Недолго думая, добавляете товар в корзину и оформляете платеж:

• вводите данные по своему адресу;
• номер карты и срок ее действия;
• код CVV2 на обратной стороне карточки.

Если сайт поддерживает указанную выше технологию, то вдобавок ко всем уже введенным данным потребуется ввести и пароль 3-D Secure. В противном случае банк отклонит запрос на списание денежных средств, и у вас не получится оплатить выбранную вами позицию.

Как получить 3D пароль Россельхозбанка

Держатель банковского пластика Россельхозбанка может получить код (3D- пароль) для подтверждения карточная транзакции несколькими способами.

По SMS

Для получения одноразового пароля в рамках услуги 3D-СМС необходимо:

• С номера телефона, для которого подключена услуга 3D-СМС отправить на номер +7 903 767 20 90 запрос вида 3DPASSХХХХ, где ХХХХ – четыре последние цифры номера карты, с которой выполняется транзакция.
• Получить ответное сообщение в котором указывается одноразовый 3D-пароль, дата и время отправки сообщения (генерации пароля), срок действия, четыре последние цифры номера карты для которой он действителен.

Использовать полученный пароль для подтверждения транзакций по другим картам не допускается.

В банкомате

Использование банкоматов или информационно-платежных терминалов многоразовые 3D-пароли с выбранным пользователям сроком действия.

Для выполнения операции необходимо:

• Вставить пластик в картоприемник и ввести ПИН-код для авторизации.
• В главном меню банкомата перейти в раздел «Услуги банка» (в терминале – «Другие»).
• Выбрать пункт «3D-пароль».
• Из доступных действий выбрать «3D-пароль».
• Указать необходимый срок действия (выбрать вариант 1 день, 3 дня, 5 дней).
• Подтвердить операцию вводом ПИН-кода.
• Получить чек с паролем.

На чеке указывается маскированный (видны 6 первых и 4 последних цифры) номер карты для которой действителен выданный код (невозможно использовать для подтверждения транзакции по другим картам), 3D-пароль (пароль для операций) и его срок действия.

В приложении «Мобильный банк»

В системе дистанционного банковского обслуживания сервисы «Интернет банк» и «Мобильный банк» позволяют сделать пароль для многократного использования при подтверждении карточных транзакций.

Для этого необходимо:

• В разделе «Карты» выбрать необходимый карточный продукт.
• Нажать на кнопку «Все действия».
• Выбрать в появившемся меню ссылку «Получить 3D-пароль».
• Подтвердить операцию выбранным в системе способом.

В результате в окне приложения будет выведено информационное сообщение с 3D-паролем для расчетов в интернет, сроком его действия и маркированным (видны первые шесть и последние четыре цифры) номером карты, для которой он действителен (для других карт использовать невозможно).

При подключённой услуге 3D-СМС генерация пароля невозможна (ссылка будет неактивной).

• https://myrouble.ru/3d-secure/
• https://finbelarus.com/3d-secure-belarusbank/
• https://rosscards.info/ispolzovanie/rosselhozbank-3d-secure-sms-parol.html
• https://brobank.ru/chto-takoe-3d-secure/
• https://mtblog.mtbank.by/tryohstoronnyaya-zashhita-3d-secure-na-strazhe-bezopasnosti-vashih-deneg/
• https://ibanking.by/3d-secure-belarusbank

3Ds аутентификация — то же самое, что и 3-D Secure

Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.

От обычной оплаты в «один клик» 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг — ввод кода на специальной странице вашего банка, который выпустил карту.

Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в SMS или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).

Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).

Включение 3-D- secure

Самых частых причин, по которым карта не проходит и появляется статус «карта не прошла 3D-аутентификацию, либо отклонена платежной системой», всего три:

1. Банальная — на карте недостаточно средств
2. Тоже распространенная — для вашей карты не активирована услуга «3ds-авторизация»
3. И третья причина — неправильной пароль для этапа 3ds-authentication Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно — вход в интернет-банк и т.д.

Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля — еще раз вводит пароль для интернет-банка. Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:

• зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
• держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)

Если же решение не найдено — стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.

Лишь немногие пользователи знают, что такое 3d secure на банковской карте Сбербанка. Речь идет о новой технологии, позволяющей защитить банковский пластик от возможного хищения денег мошенниками. Несмотря на то, что клиенты нередко слышат данное название, принцип работы опции не вполне ясен.

Раньше, для подключения сервиса к сбербанковской карте, достаточно было подать стандартное заявление в отделение компании.

Сегодня таких действий выполнять не требуется, поскольку все пластики типа «классик» и выше изначально оснащены дополнительным уровнем защиты. Услуга оказывается полностью без оплаты. Рассмотрим действующий порядок пользования функции и преимущества сервиса в 2019 году.

Таблица с кодами ошибок при оплате.

Немногие знают, что при оплате картой система обычно выдает код ошибки. Например, E00 при оплате. Иногда по ошибке можно понять, в чем проблема

Варианты подключения услуги

Если это новая карточка Сбербанка, то защита уже включена. Не надо ничего активировать либо выполнять дополнительные действия. Если карточка не поддерживает защиту, нужно обратиться в банковский филиал, где необходимо составить заявление на активацию услуги. Чтобы не тратить время на поход в банк несколько раз, можно дома с помощью Сбербанка Онлайн или с помощью сотового телефона отправить запрос на перевыпуск карты либо же подключить услугу напрямую.

Через персональный кабинет Сбербанка-Онлайн

Иногда бывают случаи, когда подключить 3DS требуется срочно и времени на поход в банк нет. Вероятно, необходимо что-то срочно купить в магазине. Также определенные интернет-ресурсы иногда принимают платежи лишь с карточек, поддерживающих 3DS. Если необходимо совершить оплату, нужно уточнить, какие карты принимает конкретный сайт. Инструкция, как подключить 3D-Secure Сбербанк через интернет:

• зайти в Сбербанк Онлайн;
• затем появится окно с полем, где потребуется набрать полученный до этого пароль и логин. Набрав соответствующую комбинацию нужно нажать «Войти»;
• после успешного входа открывается окно кабинета. Если в наличие несколько пластиковых карточек от Сбербанка, то из появившегося списка нужно выбрать ту, к которой необходимо подключить защиту. Кликните «Операции по карточке», в появившемся окне отыщите «Подключиться к 3D-Secure». После чего можно производить оплату через СМС-оповещение.

По телефону

Инструкция, как подключить 3D-Secure Сбербанк через телефон:

• нужно набрать слово «Полный» в поле отправки сообщения на смартфоне;
• отправить его, указав номер 900;
• должно прийти сообщение: «Для изменения тарифа на «Полный» карточки «VISA****» отправьте пароль «****»;
• после ввести полученный пароль;
• придет СМС с подтверждением активации услуги.

После этого при оплате в онлайн-магазине будет приходить одноразовый SMS-код.

Является ли использование технологии 3D Secure для владельца карты гарантией защиты от мошенничества?

Однозначно нет! Для банков эта технология потому и является привлекательной, что перекладывает всю ответственность на клиента.

Да, в случае, если что-то в процессе обработки пойдет неверно, например введенный неправильно код будет воспринят как правильный, то виноват будет банк или процессинговый центр. Но вероятность такого события практически равна нулю.

Другое дело, что клиент может иметь, например, зараженный вирусом сотовый телефон, который будет читать его SMS и отправлять верные коды. Или доверить кому-то постороннему код, который будет введен вместо владельца карты (в чистом виде социальная инженерия). Или просто забыть, что он хотел заплатить ту или иную сумму в магазин. Но в любом случае ответственность за платеж будет лежать на клиенте. Банк существенно экономит средства и силы на разборе спорных транзакций, просто напросто отказывая клиентам.

Следует, однако, иметь в виду, что общий объем мошенничества с применением пластиковых карт снижается. Еще одной потенциальной «дырой» может являться готовность банка выполнять транзакций без отправки кода на телефон. В этом случае клиент должен добиваться своих прав и требовать возврата денег, так как операция была проведена без использования 3D Secure.

When is SCA required?

SCA applies to customer-initiated payments, meaning most online card payments and bank transfers. However, specific low-risk payments fall outside its scope or are exempt.

Out of scope 

Merchant-initiated payments

Payments of a fixed or variable amount originating from the merchant, where the payment is made with a saved card, such as direct debits, recurring payments and subscriptions, are out of scope. However, this must be agreed between you and the cardholder, and addressed in the terms and conditions.

One leg out payments

One leg out (OLO) payments are transactions where the merchant, acquirer or issuer are based outside the European Economic Area (EEA).

Possible scenarios of OLO payments which are considered as out of scope for SCA:

Exemptions 

If there is an SCA exemption that may be applicable to a payment, the relevant exemption may be requested in either the authentication or payment authorization. The customer’s bank will then assess the risk of the payment and decide whether to accept the exemption or request strong customer authentication if they still think it is necessary.

These exemptions include:

Low-risk payments

The payment may be exempted if the acquirer’s and/or issuer’s average fraud levels for card payments and the amount do not exceed the following thresholds:

• Below 0.13% and the payment is less than €100
• Below 0.06% and the payment is less than €250
• Below 0.01% and the payment is less than €500

Low-value payments

Payments below €30 are considered low-value and may be exempt. However, the bank may still trigger strong authentication if, within a 24-hour period, this exemption has been used five times since the customer’s last successful authentication or the total value spent on the card without SCA exceeds €100.

Payments to a trusted business

The customer may add a merchant to a whitelist after the initial strong customer authentication, meaning all subsequent payments to that business will be exempt.

Corporate payments

Corporate payments made with virtual and lodge cards (typically used for business travel expenses) or from central travel accounts are exempt.

How 3D Secure 2 works

With 3DS2, you can embed the authentication process in your checkout flow, making for a better user experience compared to the original 3DS.

Whenever a customer makes a payment, 3DS2 allows the merchant and a payment provider like us to send over 100 data elements (like the customer’s shipping address, device ID and payment history) to the cardholder’s bank to assess its risk level. And this all takes place behind the scenes within your web or mobile checkout flow.

Based on this data, the customer’s bank will then choose to immediately authenticate the payment () or ask for more information before authenticating the payment ().