3-D Secure

3-D Secure (även 3D Secure, 3D Secure 1.0, 3D Secure 2.0, 3DS) är ett säkerhetssteg för e-handelsköp med kort. När en kund går igenom 3D Secure förflyttats ansvaret från handlaren till den kortutgivande banken.

Utvecklades ursprungligen under hösten 1999 av Celo Communications AB (senare Gemplus, Gemalto och nu Thales Group) för Visa Inc i ett projekt kallat "p42" ("p" från Pole vault (stavhopp) då projektet var en stor utmaning och "42" som svaret från boken Liftarens guide till galaxen). En ny uppdaterad version utvecklades av Gemplus mellan 2000 och 2001.^{[källa behövs]}

3-D Secure är ett XML-baserat protokoll som ursprungligen utvecklats av Arcot Systems (nu CA Technologies ). Det användes första gången ^[1] av Visa för att förbättra säkerheten för Internetbetalningar och erbjuds kunder under namnet Verified by Visa. Tjänster baserade på protokollet har också antagits av Mastercard som Mastercard SecureCode, och av JCB International som J / Secure. American Express lade till 3-D Secure på utvalda marknader den 8 november 2010 som American Express SafeKey, och fortsätter utrullningen på ytterligare marknader.^[2]

Den första versionen av 3D Secure har visat sig he flera brister när det kommer till säkerhet och användarvänlighet.

I samband med Andra betaltjänstdirektivet (PSD2) har kortnätverkens beslutsorgan EMVCo släppt ett nytt protokoll som kallas för 3D Secure 2.0. Den nya versionen är bättre anpassad för mobil handel och standardiserar alternativen för hur kunden ska legitimera sig. I augusti 2018 genomförde betaltjänstföretaget Adyen den första transaktion som autentiserats med 3D Secure 2.^[3]

Beskrivning och grundläggande aspekter redigera

Protokollets grundläggande koncept är skapa ett säkerhetssteg för e-handelsköp som kan liknas vid en digital pinkod. Denna extra säkerhetsautentisering baseras på en tre-domänmodell (därav 3-D i namnet). De tre domänerna är:

Inlösendomän (banken och handlaren till vilken pengarna betalas).
Kortutgivardomän (den bank som utfärdat kortet som används).
Interoperabilitetsdomän (den infrastruktur som tillhandahålls av kortordningen, kredit-, betalkort, förbetalda eller andra typer av betalkort, för att stödja 3-D Säkert protokoll). Det inkluderar Internet, e-handelsplattformen, åtkomstkontrollservern och andra mjukvareleverantörer

Protokollet använder XML-meddelanden som skickas över SSL-anslutningar med klientautentisering.^[4]

En transaktion som använder Verified-by-Visa eller SecureCode initierar en omdirigering till den kortutgivande bankens hemsida där kunden ombeds legitimera sig och godkänna transaktionen. Det är upp till kortutgivaren att erbjuda alternativ för kunden att legitimera sig. Det vanligaste alternativet är att korutgivaren skickar ett lösenord till kunden. I Sverige är det även standard att kunden kan legitimera sig med Bank-ID.

Huvudskillnaden mellan Visa- och Mastercard-implementeringar ligger i metoden för att generera UCAF (Universal Cardholder Authentication Field): Mastercard använder AAV (Accountholder Authentication Value) och Visa använder CAVV (Cardholder Authentication Verification Value).

Ansvarsförskjutning redigera

Fördelen för handlare som använder 3-D Secure 1.0 är minskningen av återkrav . En nackdel för handlare är att de måste köpa en köpoptionsplugg (MPI) för att ansluta till Visa eller Mastercard-katalogservern. Detta är dyrt (inställningsavgift, månadsavgift och transaktionsavgift) samtidigt som det representerar ytterligare intäkter för MPI-leverantörer.

Att stötta 3-D Secure 1.0 kan orsaka komplikationer för e-handlaren och leda till färre godkända transaktioner.

Kunder och kreditkortsinnehavare redigera

Syftet med systemet är att minska risken för kortstöld vid e-handelsköp.

3-D Secure 1.0 implementeras oftast så att den kortutgivande banken ber kunden om ett lösenord som endast banken och konsumenten känner till.

Eftersom handlaren inte känner till lösenorder och inte är ansvarig för att spara det kan den kortutgivande banken använda lösenordet för att säkerställa kundens identitet. Detta minskar risken för bedrägerier på två sätt:

Det blir svårare att använda stulna kortuppgifter för att genomföra köp på nätet.
Eftersom det blir svårare att använda stulna kortuppgifter på nätet så minskar hotbilden mot handlarna.

3-D Secure 1.0 kräver inte att legitimeringen utförs med ett lösenord. Andra alternativ är att kunden använder sig av sin kortläsare eller andra metoder.

En nackdel med användandet av 3-D Secure 1.0 är att kunden dirigeras om till en ny domän, där köpet genomförs. Detta gör det enklare att utföra phishing-attacker mot kortinnehavare och kan sänka konverteringen.

American Express SafeKey redigera

American Express SafeKey finns på följande marknader: Algeriet, Australien, Österrike, Bahrain, Bangladesh, Kina, Cypern, Egypten, Finland, Frankrike, Tyskland, Grekland, Hong Kong, Indien, Irak, Italien, Japan, Jordanien, Kenya, Kuwait Libanon, Lesotho, Libyen, Malaysia, Mauretanien, Mongoliet, Marocko, Namibia, Nederländerna, Nya Zeeland, Oman, Peru, Filippinerna, Qatar, Ryssland, San Marino, Singapore, Somalia, Sydafrika, Spanien, Sri Lanka, Sverige, Schweiz, Tanzania, Tunisien, Turkiet, UAE, Uganda, Storbritannien, Vatikanstaten, Vietnam, Jemen.^[5]

Kritik mot 3-D Secure 1.0 redigera

Risk för phishing redigera

Eftersom 3-D Secure 1.0 kräver att kunden dirigeras om till ett nytt fönster finns det risk för att kunden utsätts för phishing. Kortinnehavaren behöver avgöra om sidan verkligen är från deras kortutgivare när det kan vara från en bedräglig webbplats som försöker stjäla kortuppgifterna.

Mobila betalningar

3-D Secure 1.0 fungerar dåligt på mobila webbläsare på grund av den vanliga bristen på vissa funktioner som omdirigeringar och popup-fönster. Detta skapar en sämre användarupplevelse.

Begränsad mobilitet redigera

I fall där banken kräver att kunden legitimerar sig med en sms-kod i mobilen sänks konverteringen ibland av att kunden inte har mobiltäckning.

3D Säker som stark kundautentisering redigera

Den nyaste versionen av 3-D Secure, som innehåller engångslösenord, är en form av programvarubaserad stark kundautentisering . Den äldre varianten med statiska lösenord uppfyller emellertid inte Europeiska centralbankens (ECB) januari 2013-krav.

3D Secure 2.0 (EMV® 3DS) redigera

EMVCo är sedan januari 2015 ansvarig för utvecklingen av EMV 3-D Secure 2.0 Specification.^[6] Det är ett företag som ägs gemensamt av American Express, Discover, JCB, Mastercard, UnionPay och Visa och ses som kortnätverkens beslutsorgan.

I oktober 2016 publicerade EMVCo specifikationerna för 3D Secure 2.0.^[7] Skillnaderna mellan den nya versionen och den ursprungliga 3D Secure 2.0 innehåller: ^[8]

Förbättrade dataflöden med kompletterande information för bättre beslut om autentisering
Autentisering av betalningsanvändare,
Icke-standardiserade tillägg för att uppfylla specifika regler och krav, inklusive egna autentiseringslösningar utanför bandet, som används av kortutgivare
Bättre prestanda för end-to-end databehandling
Förbättrade dataset för riskbaserad autentisering
Förebyggande av oautentiserad betalning, även om kortinnehavarens kortnummer är stulen eller klonat
Förbättrar funktionalitet som gör det möjligt för grossister att integrera autentiseringsprocessen i sina checkout-erfarenheter, både för app- och webbläsarbaserade implementeringar.
Aktiverar kontoinriktad kontoverifiering.
Stödjer specifika appbaserade inköp på mobila och andra konsumentenheter.

3D Secure 2.0 förbättrar användarupplevelsen för betalningar på nätet och i mobilen.

Se även redigera

E-handel
Säker elektronisk transaktion (SET)
Merchant plug-in (MPI)
Stark kundgodkännande

Referenser redigera

”Why 3-D Secure is Primed For Ignition”. ca.com. https://www.ca.com/content/dam/ca/us/files/ebook/why-3d-secure-is-primed-for-ignition.pdf. ”How to make online payments both convenient and secure”. https://www.youtube.com/watch?v=Y9Zb_hF2sV4&t=2240s.

^ ”Visa USA tightens security with Arcot”. ZDnet. http://www.zdnet.com/article/visa-usa-tightens-security-with-arcot/.
^ ”SafeKey”. AmericanExpress.com. Arkiverad från originalet den 7 augusti 2011. https://web.archive.org/web/20110807121352/http://about.americanexpress.com/news/pr/2010/safekey.aspx. Läst 13 maj 2019.
^ ”Premiär för nytt 3D Secure - räcker med fingeravtryck”. Ehandel. 30 augusti 2018. https://www.ehandel.se/Premiar-for-nytt-3D-Secure-racker-med-fingeravtryck,13246.html. Läst 6 februari 2020.
^ http://people.sabanciuniv.edu/levi/cs432/xxspring%202008%20fsdfgsd/3D_Secure_Emre_Kaplan.pdf
^ ”Home | American Express SafeKey”. Network.americanexpress.com. https://network.americanexpress.com/uk/en/safekey/index.aspx?linknav=UK-mer-merchant-SafeKey-home. Läst 2 mars 2015.
^ ”3D Secure 2.0”. 3dsecure2.com. https://3dsecure2.com/frictionless-flow/.
^ . https://www.emvco.com/emv-technologies/3d-secure/.
^ https://www.emvco.com/media-centre/emv-3ds-press-kit/

Externa länkar redigera

[1] ”Visa USA tightens security with Arcot”. ZDnet. http://www.zdnet.com/article/visa-usa-tightens-security-with-arcot/.

[2] ”SafeKey”. AmericanExpress.com. Arkiverad från originalet den 7 augusti 2011. https://web.archive.org/web/20110807121352/http://about.americanexpress.com/news/pr/2010/safekey.aspx. Läst 13 maj 2019.

[3] ”Premiär för nytt 3D Secure - räcker med fingeravtryck”. Ehandel. 30 augusti 2018. https://www.ehandel.se/Premiar-for-nytt-3D-Secure-racker-med-fingeravtryck,13246.html. Läst 6 februari 2020.

[4] ttp://people.sabanciuniv.edu/levi/cs432/xxspring%202008%20fsdfgsd/3D_Secure_Emre_Kaplan.pdf

[5] ”Home | American Express SafeKey”. Network.americanexpress.com. https://network.americanexpress.com/uk/en/safekey/index.aspx?linknav=UK-mer-merchant-SafeKey-home. Läst 2 mars 2015.

[6] ”3D Secure 2.0”. 3dsecure2.com. https://3dsecure2.com/frictionless-flow/.

[7] . https://www.emvco.com/emv-technologies/3d-secure/.

[8] ttps://www.emvco.com/media-centre/emv-3ds-press-kit/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]