Развитие систем платежей через интернет на протяжении многих лет тормозилось из-за отсутствия единого и надежного стандарта, который гарантировал бы соответствующий уровень безопасности как продавцу, так и покупателю. Но, похоже, технология под названием 3-D Secure способна объединить гигантов этого рынка и дать е-коммерции новую жизнь.
 |
Электронные платежи в интернете возникли и начали развиваться, когда Сеть перестала быть замкнутой средой для учёных и стала доступной для коммерческих компаний и обычных граждан. К этому времени уже осуществлялись платежи, при которых держатель карты не обязательно присутствовал в точке продажи товара или услуги. Такого рода платежные операции получили общее название MOTO-транзакций (MOTO — Mail Order /Telephone Order) в силу того, что наиболее распространенными каналами для удаленных покупок или заказа услуг в “доинтернетовскую” эпоху были телефон и обычная почта. С появлением нового дистанционного канала доставки заказа на покупку, MOTO-транзакции были перенесены в интернет. Впоследствии возникло и другое, более общее, определение такого рода транзакций — CNP (Cardholder Not Present). CNP-транзакция представляет собой операцию покупки с помощью пластиковой карты, в момент совершения которой клиент не присутствует лично в торговой точке. В этом случае клиент сообщает торговой точке реквизиты своей карты (обычно номер карты и срок ее действия), необходимые для проведения авторизации, заочно — письмом, по факсу или телефону, с использованием сети передачи данных и т.п. А под транзакцией электронной коммерции стала пониматься CNP-транзакция, при которой обмен данными о реквизитах карты между владельцем карты и торговой точкой происходит через интернет.
По мере зарождения и расширения электронного бизнеса обнаружились некоторые проблемы использования карт в интернете, в первую очередь в сфере безопасности электронных платежей. Главные из них:
• аутентификация личности покупателя не производится;
• простота отказа от сделки и высокий уровень мошенничества;
• хищение реквизитов карт в коммуникационных сетях;
• большие потери для банков, обслуживающих торговые предприятия (эквайреров);
• oпросы показывают, что более всего люди боятся потенциальной угрозы получения кем-либо их персональных данных при работе через интернет. По данным платежной системы VISA, от 20 до 50% транзакций электронной коммерции так и не производится из-за боязни клиента ввести запрашиваемую электронным магазином персональную информацию, включая реквизиты платежной карты.
С другой стороны, если говорить о развитии рынка онлайновых платежей, сложно сказать, какой из факторов, в силу их тесной взаимосвязи, является первичным — безопасность или неразвитая инфраструктура. Картина в целом имеет вид “порочного” круга, поскольку ограниченность рынка уменьшает его привлекательность для торговцев и финансовых институтов, снижая тем самым мотивацию для совершенствования схем электронных платежей. В то же время недостаточное развитие систем обслуживания платежей со стороны банков приводит к длительному закреплению этих ограничений и нежеланию вкладывать средства в повышение безопасности платежей.
Решение проблемы
Суть проблемы состояла в том, что медленное развитие рынка было обусловлено отсутствием надежного стандарта, гарантирующего проверку клиента, четкое распределение ответственности между участниками транзакции и безопасность персональных данных.
Попытки создать и внедрить такие стандарты и решения в последнее десятилетие предпринимались как ведущими платежными организациями, так и многими технологическими компаниями — достаточно вспомнить протокол SET (Secure Electronic Transactions) или систему одноразовых номеров карт компании Cyota. Однако эти решения не превратились в глобальные из-за сложности и высокой стоимости внедрения таких стандартов.
Но несколько лет назад на рынке появилась технология 3-D Secure, со временем ставшая основой спецификаций и маркетинговых программ двух ведущих платежных организаций (программ Verified by Visa и MasterCard SecureCode). Впоследствии к ним присоединилась платежная система JSB со своей программой J/Secure. В отличие от предыдущих попыток обезопасить электронные платежи от мошенничества и отказа от сделок, этот технологический стандарт смог, наконец, оптимально объединить в себе такие свойства, как безопасность, удобство использования и невысокая стоимость.
Аутентификация как основа
С целью обеспечения необходимого уровня безопасности, предотвращения мошеннических операции и финансовых потерь участниками электронных сделок в интернете, технологии, используемые платежными организациями, базируются на одном и том же основополагающем принципе — взаимной аутентификации участников платежа. Реализован этот принцип на основе использования модели трех доменов.
Назначение каждого из упомянутых доменов следующее:
Issuer Domain (Выпускающий домен): перед тем как выполнить авторизацию, т.е. проверку платежеспособности карты, банк-эмитент, выпустивший данную карту, производит аутентификацию покупателя — держателя этой карты, тем самым подтверждая подлинность личности покупателя. В итоге — вся ответственность за аутентификацию и за подлинность транзакции в целом ложиться на банк-эмитент;
Acquirer Domain (Домен покупателя): обслуживающий банк производит аутентификацию своей торговой точки на основе правил и методов, установленных самим обслуживающим банком (т.е. в этом случае вся ответственность за аутентификацию электронного магазина ложиться на обслуживающий банк торговой точки);
Interoperability Domain (Домен взаимодействия): определяет правила и процедуры обмена информацией между доменами Issuer Domain и Acquirer Domain, гарантирующие этим доменам взаимную аутентификацию друг друга.
Держатель карты находится в домене Issuer, а торговое предприятие находится в домене Acquirer, которые, в свою очередь, взаимодействуют между собой через домен Interoperability.
Таким образом, модель трех доменов (3-D), разбивая процесс аутентификации участников транзакции на отдельные зоны, ограничивает множество всех протоколов электронной коммерции, определяя лишь некоторое подмножество всех возможных алгоритмов взаимодействия участников транзакции.
Процедуры аутентификации внутри Issuer Domain и Acquirer Domain определяются соответственно банком-эмитентом и обслуживающим банком. Платежная система устанавливает лишь правила работы в домене Interoperability, через который происходит взаимодействие между клиентом и торговой точкой, т.е. модель трех доменов ясно определяет ответственность всех участников транзакции в процессе их аутентификации.
Главным преимуществом этой модели является возможность для эмитента производить аутентификацию своих клиентов любым удобным ему способом.
 |
3-D Secure. Как это работает
Для осуществления платежей по технологии 3-D Secure (здесь и далее платежная система VISA упоминается в качестве примера) держателю карты необходимо зарегистрироваться в соответствующей системе аутентификации банка-эмитента, называемой ACS (Access Control Server, сервер контроля доступа), и получить личный пароль, который будет известен только держателю карты и банку-эмитенту.
Во время покупки в интернет-магазине покупатель выбирает товары, которые он желает приобрести. Затем покупатель перенаправляется на защищенную страницу платежного шлюза, размещенного на стороне банка-эквайрера, где покупателю предлагается ввести реквизиты его карты (1).
Эквайрер использует Merchant Server Plug-In (MPI) для запроса Visa Directory об участии карты в программе безопасных интернет-платежей (2).
Затем MPI посылает запрос на аутентификацию держателя карты через браузер покупателя (3).
ACS запрашивает у покупателя пароль и проверяет его (4).
После проверки ACS возвращает результат аутентификации компоненту MPI через браузер держателя карты (5).
Если аутентификация была успешной, банк-эквайрер продолжает обработку транзакции обычным образом (6).
Благодаря этой схеме магазины защищены от такого явления, как потребительские споры и отказы от совершения сделки.
Практическая реализация
С точки зрения интернет-магазина требования платежных систем VISA и MasterCard относительно организации данного сервиса несколько различаются. В общем случае использование технологии 3-D Secure предполагает наличие у интернет-магазина специального модуля — Merchant Plug-In. Этот модуль представляет собой дополнительный программный компонент, “стыкуемый” с системой торговца для выполнения дополнительных шагов обработки транзакции в соответствии со спецификацией 3-D Secure. На практике такой подход оказался весьма неудобным и малоэффективным. Распространение “индивидуальных” Merchant Plug-In'ов, их интеграция с разнородным программным обеспечением интернет-магазинов, тестирование и сертификация, решение вопросов безопасности, технических проблем и сбоев, авторизация персонала торговых предприятий для того, чтобы обмениваться с платежной системой регистрационными данными и электронными сертификатами, — весьма неудобные и проблематичные процессы. В особенности в условиях мало развитых рынков с недостаточной подготовкой персонала у торговцев.
Во многих странах и регионах преимущественное распространение получила так называемая “серверная модель”, при которой компонент (Merchant Plug-In), реализующий формирование и обработку специфичных для протокола 3-D Secure сообщений, является дополнением к типовому платежному шлюзу, а не к серверу торговца. Платежный шлюз, оперируемый банком-эквайрером или отдельным провайдером (как правило процессинговой компанией), позволяет существенно упростить процедуру интеграции торговца в аутентификационный стандарт 3-D Secure. Кроме того, только такая “серверная модель” позволяет эффективно, за счет ввода реквизитов платежных карт в одной, защищенной и специально контролируемой точке, реализовать требование платежных систем о недоступности этих реквизитов для систем и персонала торговцев.
Одним из примеров такого решения является платежный сервер eCommerceConnect Gateway, введенный в рабочую эксплуатацию в Украинском процессинговом центре в первом квартале 2005 года. Он разработан на основе описанной выше “серверной модели” и содержит в качестве одного из архитектурных компонентов Merchant Plug-In. С учетом особенностей использования в процессинговой компании платежный сервер обладает рядом дополнительных возможностей, среди которых:
• поддержка нескольких прикладных протоколов для одновременного взаимодействия с различными авторизационными хостами;
• поддержка неограниченного количества банков-эквайреров;
• поддержка неограниченного количества интернет-магазинов;
• высокая пропускная способность и возможность многопоточной обработки транзакций.
Благодаря этому решению украинские интернет-торговцы имеют возможность без больших сложностей и с минимумом усилий организовать прием платежных карт в качестве инструмента оплаты товаров и услуг, став при этом участником программ Verified by Visa и MasterCard SecureCode. Помимо повышения своей привлекательности для покупателей интернет-магазин не будет нести ответственности и материальных потерь, связанных с отказом от транзакций и другими видами мошенничества, — данная ответственность автоматически переносится на банк-эмитент и держателя карты.
Новые аутентификационные стандарты и развитие рынка электронной коммерции
Само по себе внедрение технологий на основе 3-D Secure не сможет в ближайшее время вызвать бум на рынке электронной коммерции. Одной только технологии, даже очень хорошей, недостаточно. Многое будет зависеть от роста предложения реальных товаров и услуг. А на это трудно влиять непосредственно, как при внедрении перспективных технологических решений для электронных платежей. Однако существенное повышение безопасности использования платежных карточек при совершении онлайновых покупок позволит отменить многие ограничения в этой области. Поэтому в ближайшее время можно ожидать роста на рынке электронной коммерции. Уже сейчас существует целый ряд товаров и услуг, для которых онлайновый способ оплаты является не просто удобным, а попросту предпочтительным. Это, в первую очередь, “цифровые” товары и услуги — программное обеспечение, коды пополнения для мобильных телефонов, плата за интернет-доступ и многие другие.
Автор текста является директором по развитию технологий ЗАО “Украин-ский процессинговый центр”
| Основные этапы обработки транзакции по технологии 3-D Secure | |
| 1 | Покупатель выбирает необходимые товары в электронном интернет-магазине продавца и формирует “корзину” заказа. |
| 2 | После того как покупатель соберет в “корзину” все необходимые товары, интернет-магазин автоматически направляет клиента на платежный сервер процессингового центра для заполнения формы на оплату (AuthRequest). При этом магазин передает платежному шлюзу ряд реквизитов покупки, таких как сумма, номер заказа, дата и время, учетный номер магазина и ряд других. |
| 3 | Сервер запрашивает у покупателя информацию о платежной карточке: тип карты, номер карты и срок ее действия. Эти данные необходимы для проведения платежа (рис.3). |
| 4 | Платежный сервер, используя данные, полученные от интернет-магазина и от покупателя, производит запрос Сервера каталога (Directory Server) на предмет выяснения, зарегистрирована ли данная карта для выполнения операций в интернете (VEReq — запрос верификации). |
| 5 | Directory Server выясняет это у системы аутентификации банка-эмитента (ACS). |
| 6 | ACS банка-эмитента возвращает ответ верификации (VERes) на Directory Server. |
| 7 | Directory Server возвращает ответ верификации Платежному серверу. При этом данный ответ содержит в себе URL системы аутентификации банка-эмитента. |
| 8 | Платежный сервер формирует запрос аутентификации покупателя. |
| 9 | Далее Платежный сервер перенаправляет покупателя на систему аутентификации банка-эмитента (используя полученный ранее URL), передавая сформированный запрос аутентификации через браузер покупателя. |
| 10 | ACS банка-эмитента производит аутентификацию покупателя. |
| 11 | Формируется и подписывается результат аутентификации. |
| 12 | ACS банка-эмитента перенаправляет покупателя обратно на платежный сервер, передавая результат аутентификации через браузер покупателя. |
| 13 | Платежный сервер формирует авторизационный запрос, включающий в себя результат аутенти-фикации. Авторизационный запрос направляется хосту банка-эквайрера. |
| 14 | Хост банка-эквайрера через сеть платежной системы контактирует с хостом банка-эмитента и при наличии средств на карте получает от него авторизационный ответ, т.е. подтверждение платежеспособности карты. |
| 15 | Авторизационный ответ направляется Платежному серверу. |
| 16 | Платежный сервер формирует для интернет-магазина ответ, содержащий результат авторизации. |
| 17 | Результат авторизации направляется одновременно магазину и покупателю. |
| 18 | Исходя из результатов авторизации, магазин либо организует доставку товара по назначению, либо аннулирует заказ, извещая об этом покупателя. |
