年々、技術はその成果と能力において急速に進歩しています。 近い将来、更新された3D Secure 2.0プロトコルは、決済業界のオンラインセキュリティをまったく新しいレベルに引き上げます。 このプロトコルは、安全なリアルタイムデータ交換チャネルを確立する機会を提供します。これにより、より多くのトランザクションデータが送信され、バイヤーのより正確な認証が行われます。すべてのトランザクションがパスワードによる認証をパスするわけではなく、一部のみ一部。 以前のバージョンと比較した新しいプロトコルの主な変更点を見てみましょう。
3Dセキュアとは何ですか?
3D Secureは、1999年に開発されたセキュリティプロトコルで、カードの物理的な存在を必要としないトランザクション(CNP操作)でカード所有者の信頼性をチェックすることにより、クレジットカードの不正使用を防止することを目的としています。 「3D」とは、プロトコルが機能する「3つのドメイン」を意味し、発行者のドメイン(発行銀行カードのドメイン)、取得者ドメイン(送金先の販売者および銀行のドメイン)、および互換性ドメイン(支払いによって提供されるドメイン) 3Dセキュアプロトコルサポートシステム)。 プロトコルは、主要ブランドVisa、Mastercard、American Express、Discover、JCB、UnionPayが共同所有する組織であるEMVCoによって開発および管理されました。
3Dセキュアの最初のバージョンは、オンライン決済に対する消費者の信頼を高めるように設計されており、これが電子商取引の成長に貢献しています。 不正な取引から身を守るために、3D Secureはオンライン支払いに別の認証ステップを追加します。これにより、加盟店と銀行はカード所有者が支払いを行うことをさらに確認できます。 3D Secure 1を使用する場合、システムはポップアップウィンドウまたは埋め込みフレームを表示し、銀行がユーザーを認証できるようにユーザーにパスワードの入力を要求します。 ただし、エンティティを生成するポップアップウィンドウの資格情報は認証できません。
企業にとって、3Dセキュアの利点は明らかです。追加情報を要求すると、不正に対する追加のレベルの保護が提供され、信頼できる顧客からのみカード支払いを受け入れることが保証されます。 また、3Dセキュアを使用する場合、いわゆる「責任シフト」が発生します。この場合、不正に対する責任も売り手からカード発行者に移ります。 したがって、3Dセキュアが適用されていない場合、カード所有者が不正な取引に異議を唱えた場合:
- 販売者(販売者)が取引の責任を負います。
- 販売者(販売者)は購入者に返金する必要があります(チャージバック)
ただし、売り手が3Dセキュアを実装している場合、不正取引の責任は発行者(カードを発行した銀行)に移ります。
3D Secure 2.0プロトコルの主な変更点は何ですか?
3D Secure 1の開発から17年以上が経過しました。ほとんどの国の決済業界はこの認証方法をかなり受け入れましたが、モバイルデバイスに基づく認証のサポートやデジタルウォレットの統合など、現在および将来の市場要件を考慮して、新しいプロトコルを作成する必要性が認識されました。 さらに、3D Secure 1の使用にはいくつかの欠点があることに注意してください。
- 支払いを完了するために必要な追加の手順により、注文プロセスの複雑さが増し、顧客が購入を拒否するという事実につながる可能性があります。
- 多くの銀行では、3Dセキュア検証を完了するために、カード所有者が独自の静的パスワードを作成して記憶する必要があります。 これらのパスワードは忘れやすいため、購入を拒否する可能性が高くなります。
- ユーザーエクスペリエンス(UX)への悪影響は、モバイルアプリケーションで特に顕著です。 Visaが最初に3Dセキュア標準を導入したとき、消費者がオンラインショッピングを利用できる唯一のチャネルはパーソナルコンピューターでした。 モバイルデバイスでは、3D Secureを使用すると、クライアントを独自のアプリケーションから銀行のWebサイトにリダイレクトできますが、モバイルデバイス用に最適化されていません。
3D Secureの主な問題点を考慮して、EMVCoは最近、プロトコルの新しい改良バージョンをリリースしました。 EMV 3-D Secure(3D Secure 2または3DS2)は、3D Secure 1の多くの欠点に対処し、次の主要な利点を提供します。
1.柔軟なデバイスとチャネルのサポート。
携帯電話のブラウザでの支払い、アプリケーションでの支払い、デジタルウォレットでの支払いなど、複数の支払いチャネルを通じて、ユーザーとのスムーズで一貫性のあるやり取りを実現します。
2.ユーザーエクスペリエンスの向上。
認証プロセスを購入プロセスによりよく統合する機会を商人に提供し、カード所有者に高レベルのセキュリティを備えた迅速、簡単、便利な認証を提供します。 静的パスワードとは異なり、3D Secure 2は生体認証やトークンベースの認証などの動的認証方法を使用します。 また、3D Secure 2により、企業はリダイレクトを必要とせずに、コールフローをWebおよびモバイルの支払いストリームに直接埋め込むことができます。 新しいモバイルSDKを使用すると、企業はアプリケーションに独自のストリームを実装できます。これにより、顧客はブラウザーを介してストリームに切り替えてトランザクションを完了する必要がなくなります。
3Dセキュア1(3Dセキュア2ストライプガイド):
3D Secure 2(3D Secure 2 Stripeガイド):
3.不正を管理して摩擦を減らすためのデータ交換の強化(不正と戦い、障害を減らすためのデータ交換が改善されました)。 リスクベース認証(RBA、リスクベース認証)。 摩擦のない認証。
摩擦のないフローにより、発行者はカード所有者からのデータの手動入力を必要とせずにトランザクションを承認できます。 これは、リスクベース認証(RBA)と呼ばれる方法で実現されます。 RBAは、取引中にカード保有者に関する一連のデータを収集し、それを発行銀行とそのアクセス制御サーバー(ACS)に送信し、収集されたデータを以前の(履歴)カード保有者の取引データと比較して、新しいに対応する不正リスク値を表示することにより機能しますトランザクション。 3D Secure 2を使用すると、企業とその支払いプロバイダーは、取引ごとに100を超えるデータ項目をカード所有者の銀行に安全に送信できます。 これには、配送先住所などの支払い関連データ、およびクライアントデバイス識別子や以前のトランザクションの履歴などのコンテキストデータが含まれます。
カード所有者の銀行はこの情報を使用して、取引のリスクのレベルを評価し、適切な回答を選択できます。 不正リスク値が所定のしきい値を下回る場合、摩擦のないフローが適用されます。 つまり、詐欺のリスクが十分に低い場合、発行銀行はカード所有者に追加の確認を求めず、カード所有者が認証に合格したとみなします。 これにより、3D Secure 1のカード所有者から常に必要とされていた手動確認手順が不要になります。
1)銀行が実際のカード所有者が購入を行っていると信じることができるほど十分なデータがある場合、トランザクションは摩擦のないフローの要件を満たし、ユーザーとの対話に影響を与えることなく認証が完了します-カード所有者は兆候を見ませんその3Dセキュアが適用されています。 つまり、詐欺のリスクが十分に低い場合、発行銀行はカード所有者に追加の確認を求めず、カード所有者が認証に合格したとみなします。 これにより、3D Secure 1のカード所有者から常に必要とされていた手動検証手順が不要になります。
2)詐欺リスク値が所定のしきい値を超えている場合、たとえば、銀行は追加の証拠が必要であると判断し、取引はチャレンジモードで実行され、クライアントは支払いが本物であることを確認するために追加データを提供するよう求められます。
4.詐欺の場合の売り手(商人)の責任の変更
PSD2の重要な違いには、詐欺の場合の売り手(商人)の責任の変化も含まれます。 発行者は、チャージバックの責任があるため、3DS 2.0に必要なより広範なデータ交換の明確な受益者です。 データが多いほど、トランザクションのリスクをより正確に評価できます。
ただし、商人は、特に3DSに参加するために必要な十分な取引データをまだ収集していない場合、利益を得ることができます。 ただし、売り手がすでに高度な不正防止プログラムを持っている場合でも、発行者が独自のリスク評価を行うことによって提供される追加の保護レベルを見失うことはありません。 発行者が使用するACSプロバイダーは通常、個々の売り手が利用できない不正データソースにアクセスできるため、多くの場合、詐欺リスクのより信頼性の高い評価を提供できます。
支払いシステムはいつ3-D Secure 2.0をサポートしますか?
3D Secure 2の広範な利用可能性は、新しい標準をサポートする個々のカード発行会社に依存します。 最初の銀行は、2019年初頭にカード所有者向けに3D Secure 2のサポートを開始する予定です。より広範な実装は徐々に行われ、数か月かかる可能性があります。 たとえば、Visa 3DS 2.0プラットフォームが利用可能になり、3DS 2.0認証要求を処理する準備が整いました。ACSおよび3DSサーバープロバイダーは、2.0に参加する前にEMVCoとVisaの両方でテストに合格する必要があります。 プロバイダーは、EMVCoでのテストが正常に完了したことを確認する確認書を受け取った後にのみ、Visaでテストを開始できます。 関係者が3-Dセキュアを実装するのに十分な時間を確保するために、プログラムルールの完全なセットは、以下に示すプログラムの有効化日まで有効になりません。
- 2019年4月:ヨーロッパで有効
- 2019年8月:カナダ、ラテンアメリカ、および米国のアクティベーション日。
- 2020年4月:アジア太平洋、中東、アフリカのアクティベーション日。
また、3D Secure 1と3D Secure 2は少なくとも2020年まで共存することを前提としています。
ヨーロッパのビジネスでは、2019年9月に、強力な顧客認証(SCA)として知られる新しい規制が発効します。これは、カード所有者の銀行と決済サービスプロバイダーが所在する欧州経済地域(EEA)でのオンライン決済に適用されますEEAでは、3D Secure 2がさらに重要になります。 新しいルールでは、ヨーロッパの支払いに適用される認証がより多く必要になるため、3D Secure 2はサイト変換への影響を最小限に抑えるための最高のUX(ユーザーエクスペリエンス)を提供します。
3D Secure 2はSCAカードの支払い要件に準拠するための主要な方法ですが、摩擦のないフローは強力なクライアント認証の一形態とは見なされないことが予想されます。 これは、SCAがヨーロッパで運用可能になった後、摩擦のないフローは例外の対象となる支払いにのみ使用できることを意味します(SCAを必要とするすべての支払いはチャレンジストリームを使用して認証する必要があります)。