3-D Secure - 3-D Secure

3-D Secure é um protocolo desenvolvido para ser uma camada de segurança adicional para transações on-line com cartão de crédito e débito . O nome se refere aos "três domínios" que interagem usando o protocolo: o domínio do comerciante / adquirente, o domínio do emissor e o domínio de interoperabilidade.

Foi originalmente desenvolvido pela Arcot Systems (agora CA Technologies ) e Visa Inc. com a intenção de melhorar a segurança dos pagamentos pela Internet e oferecido aos clientes com a marca Verified by Visa (posteriormente renomeada como Visa Secure ). Os serviços baseados no protocolo também foram adotados pela Mastercard como SecureCode , pela Discover como ProtectBuy, pela JCB International como J / Secure e pela American Express como American Express SafeKey . Revisões posteriores do protocolo foram produzidas pela EMVCo sob o nome EMV 3-D Secure . A versão 2 do protocolo foi publicada em 2016 com o objetivo de cumprir os novos requisitos de autenticação da UE e resolver algumas das deficiências do protocolo original.

A análise da primeira versão do protocolo pela academia mostrou que há muitos problemas de segurança que afetam o consumidor, incluindo uma área de superfície maior para phishing e uma mudança de responsabilidade no caso de pagamentos fraudulentos.

Descrição e aspectos básicos

O conceito básico do protocolo é vincular o processo de autorização financeira à autenticação online. Essa autenticação de segurança adicional é baseada em um modelo de três domínios (daí o 3-D no próprio nome). Os três domínios são:

• Domínio do adquirente (o banco e o comerciante para o qual o dinheiro está sendo pago).
• Domínio do emissor (o emissor do cartão que está sendo usado).
• Domínio de interoperabilidade (a infraestrutura fornecida pelo esquema de cartão, crédito, débito, pré-pago ou outros tipos de cartão de pagamento, para suportar o protocolo 3-D Secure). Inclui a Internet, o plug-in do comerciante, o servidor de controle de acesso e outros provedores de software

O protocolo usa mensagens XML enviadas por conexões SSL com autenticação de cliente (isso garante a autenticidade de ambos os pares, o servidor e o cliente, usando certificados digitais).

Uma transação usando Verified-by-Visa ou SecureCode iniciará um redirecionamento para o site do emissor do cartão para autorizar a transação. Cada emissor pode usar qualquer tipo de método de autenticação (o protocolo não cobre isso), mas normalmente, uma senha vinculada ao cartão é inserida ao fazer compras online. O protocolo Verified-by-Visa recomenda que a página de verificação do emissor do cartão carregue em uma sessão de frame inline . Desta forma, os sistemas do emissor do cartão podem ser responsabilizados pela maioria das violações de segurança. Hoje é fácil enviar uma senha de uso único como parte de uma mensagem de texto SMS para telefones celulares e e-mails dos usuários para autenticação, pelo menos durante a inscrição e para senhas esquecidas.

A principal diferença entre as implementações Visa e Mastercard está no método para gerar o UCAF (campo de autenticação universal do titular do cartão): o Mastercard usa AAV (valor de autenticação do titular da conta) e a Visa usa CAVV (valor de verificação da autenticação do titular do cartão).

Provedores ACS

No protocolo 3-D Secure, o ACS (servidor de controle de acesso) está no lado do emissor do cartão. Atualmente, a maioria dos emissores de cartões terceiriza a ACS para terceiros. Normalmente, o navegador do comprador mostra o nome de domínio do provedor ACS, em vez do nome de domínio do emissor do cartão; no entanto, isso não é exigido pelo protocolo. Dependendo do provedor ACS, é possível especificar um nome de domínio de propriedade do emissor do cartão para uso pelo ACS.

Provedores de MPI

Cada transação 3-D Secure versão 1 envolve dois pares de solicitação / resposta da Internet: VEReq / VERes e PAReq / PARes. Visa e Mastercard não permitem que os comerciantes enviem solicitações diretamente para seus servidores. Em vez disso, os comerciantes devem usar provedores de MPI ( plug-in de comerciante ).

Comerciantes

A vantagem para os comerciantes é a redução de estornos por "transações não autorizadas" . Uma desvantagem para os comerciantes é que eles precisam comprar um plug-in de comerciante (MPI) para se conectar ao servidor de diretório Visa ou Mastercard. Isso é caro (taxa de instalação, taxa mensal e taxa por transação); ao mesmo tempo, representa receita adicional para fornecedores de MPI. O suporte ao 3-D Secure é complicado e, às vezes, cria falhas de transação. Talvez a maior desvantagem para os comerciantes seja que muitos usuários veem a etapa de autenticação adicional como um incômodo ou obstáculo, o que resulta em um aumento substancial no abandono da transação e perda de receita.

Compradores e titulares de cartão de crédito

Na maioria das implementações atuais do 3-D Secure, o emissor do cartão ou seu provedor ACS solicita ao comprador uma senha que é conhecida apenas pelo emissor do cartão ou provedor ACS e pelo comprador. Como o estabelecimento comercial não conhece essa senha e não é responsável por capturá-la, ela pode ser usada pelo emissor do cartão como prova de que o comprador é realmente o titular do cartão. O objetivo é ajudar a diminuir o risco de duas maneiras:

1. Copiar detalhes do cartão, seja anotando os números no próprio cartão ou por meio de terminais modificados ou caixas eletrônicos, não resulta na capacidade de compra pela Internet devido à senha adicional, que não é armazenada ou escrita no cartão .
2. Como o comerciante não captura a senha, o risco de incidentes de segurança em comerciantes online é reduzido; embora um incidente ainda possa resultar na obtenção de outros detalhes do cartão por hackers, não há como eles obterem a senha associada.

O 3-D Secure não exige estritamente o uso de autenticação por senha. Diz-se que é possível usá-lo em conjunto com leitores de cartão inteligente , tokens de segurança e semelhantes. Esses tipos de dispositivos podem fornecer uma melhor experiência do usuário para os clientes, pois eles evitam que o comprador tenha que usar uma senha segura. Alguns emissores agora estão usando esses dispositivos como parte do Programa de autenticação de chip ou esquemas de autenticação de senha dinâmica.

Uma desvantagem significativa é que os titulares de cartão provavelmente verão seu navegador se conectar a nomes de domínio desconhecidos como resultado das implementações MPI dos fornecedores e do uso de implementações ACS terceirizadas por emissores de cartão, o que pode facilitar a realização de ataques de phishing aos titulares de cartão.

Crítica geral

Verificabilidade da identidade do site

O sistema envolve uma janela pop-up ou quadro em linha que aparece durante o processo de transação online, exigindo que o titular do cartão insira uma senha que, se a transação for legítima, o emissor do cartão poderá autenticar. O problema para o titular do cartão é determinar se a janela pop-up ou moldura é realmente do emissor do cartão, quando poderia ser de um site fraudulento tentando coletar os detalhes do titular do cartão. Essas janelas pop-up ou quadros baseados em script não têm acesso a nenhum certificado de segurança, eliminando qualquer forma de confirmar as credenciais da implementação do 3-DS.

O sistema Verified-by-Visa atraiu algumas críticas, uma vez que é difícil para os usuários diferenciar entre a janela pop-up ou frame embutido do Verified-by-Visa e um site de phishing fraudulento. Isso ocorre porque a janela pop-up é servida por um domínio que é:

• Não é o site onde o usuário está comprando
• Não é o emissor do cartão
• Não visa.com ou mastercard.com

Em alguns casos, o sistema Verified-by-Visa foi confundido pelos usuários com um esquema de phishing e tornou-se ele próprio alvo de alguns esquemas de phishing. A recomendação mais recente de usar um frame embutido ( iframe ) em vez de um pop-up reduziu a confusão do usuário, ao custo de tornar mais difícil, senão impossível, para o usuário verificar se a página é genuína em primeiro lugar. A partir de 2011, a maioria dos navegadores da web não fornece uma maneira de verificar o certificado de segurança para o conteúdo de um iframe. Algumas dessas preocupações na validade do site para Verificado pelo Visa são atenuadas, no entanto, como sua implementação atual do processo de inscrição requer a inserção de uma mensagem pessoal que é exibida em pop-ups Verificados pelo Visa posteriores para fornecer alguma garantia ao usuário, os pop-ups são genuínos.

Alguns emissores de cartão também usam a ativação durante as compras (ADS), em que os titulares de cartões não registrados no esquema têm a oportunidade de se inscrever (ou forçados a se inscrever) durante o processo de compra. Isso normalmente os levará a um formulário no qual se espera que confirmem sua identidade respondendo a perguntas de segurança que devem ser do conhecimento do emissor do cartão. Novamente, isso é feito dentro do iframe, onde eles não podem verificar facilmente o site para o qual estão fornecendo essas informações - um site invadido ou comerciante ilegítimo poderia, dessa forma, reunir todos os detalhes de que precisam para se passar por cliente.

A implementação da inscrição 3-D Secure muitas vezes não permite que um usuário prossiga com a compra até que tenha concordado em se inscrever no 3-D Secure e seus termos e condições, não oferecendo nenhuma forma alternativa de navegar para fora da página a não ser fechá-lo, suspendendo assim a transação.

Os titulares de cartão que não desejam correr o risco de registrar seu cartão durante uma compra, com o site de comércio controlando o navegador até certo ponto, podem, em alguns casos, acessar o site do emissor do cartão em uma janela separada do navegador e se registrar a partir daí. Quando retornarem ao site de comércio e começarem de novo, deverão ver que seu cartão está registrado. A presença na página de senha da mensagem de garantia pessoal (PAM) que escolheram no momento do registro é a confirmação de que a página é proveniente do emissor do cartão. Isso ainda deixa alguma possibilidade de um ataque man-in-the-middle se o titular do cartão não puder verificar o certificado do servidor SSL para a página de senha. Alguns sites de comércio dedicam toda a página do navegador à autenticação, em vez de usar um quadro (não necessariamente um iFrame), que é um objeto menos seguro. Nesse caso, o ícone de cadeado no navegador deve mostrar a identidade do emissor do cartão ou do operador do site de verificação. O titular do cartão pode confirmar que se trata do mesmo domínio que visitou ao registrar seu cartão, se não for o domínio do emissor do cartão.

Os navegadores móveis apresentam problemas específicos para o 3-D Secure, devido à falta comum de certos recursos, como frames e pop-ups. Mesmo se o comerciante tiver um site para celular, a menos que o emissor também tenha conhecimento do celular, as páginas de autenticação podem não ser processadas corretamente, ou mesmo não funcionar. No final, muitos analistas concluíram que os protocolos de ativação durante a compra (ADS) convidam a mais riscos do que removem e, além disso, transferem esse risco aumentado para o consumidor.

Em alguns casos, o 3-D Secure acaba fornecendo pouca segurança ao titular do cartão e pode atuar como um dispositivo para passar a responsabilidade por transações fraudulentas do emissor ou varejista do cartão para o titular do cartão. As condições legais aplicadas ao serviço 3-D Secure são algumas vezes formuladas de uma forma que torna difícil para o titular do cartão escapar da responsabilidade de transações fraudulentas do tipo "titular do cartão ausente".

Discriminação geográfica

Os emissores de cartão e comerciantes podem usar sistemas 3-D Secure de forma desigual em relação aos emissores de cartão que emitem cartões em várias localizações geográficas, criando diferenciação, por exemplo, entre os cartões nacionais emitidos nos EUA e não nos EUA. Por exemplo, visto que a Visa e a Mastercard tratam o território não incorporado dos Estados Unidos de Porto Rico como um país internacional não americano, em vez de uma localização interna dos Estados Unidos, os portadores de cartão podem enfrentar uma incidência maior de consultas 3-D Secure do que os portadores de cartão nos cinquenta estados. Queixas nesse sentido foram recebidas pelo site de discriminação econômica de "tratamento igual" do Departamento de Assuntos do Consumidor de Porto Rico .

3-D Secure como autenticação forte do cliente

A versão 2 do 3-D Secure, que incorpora senhas de uso único, é uma forma de autenticação forte do cliente baseada em software, conforme definido pela Diretiva Revisada da UE sobre Serviços de Pagamento (PSD2) ; as variantes anteriores usavam senhas estáticas, que não são suficientes para atender aos requisitos da diretiva.

A 3-D Secure depende do envolvimento ativo do emissor e da garantia de que qualquer cartão emitido seja registrado pelo titular do cartão; como tal, os adquirentes devem aceitar cartões não registrados sem executar autenticação forte do cliente ou rejeitar tais transações, incluindo aquelas de esquemas de cartões menores que não possuem implementações 3-D Secure.

Abordagens alternativas realizam autenticação no lado adquirente, sem exigir inscrição prévia com o emissor. Por exemplo, a 'verificação' patenteada do PayPal usa uma ou mais transações fictícias direcionadas a um cartão de crédito, e o titular do cartão deve confirmar o valor dessas transações, embora a autenticação resultante não possa estar diretamente relacionada a uma transação específica entre o comerciante e o titular do cartão . Um sistema patenteado chamado iSignthis divide o valor da transação acordado em dois (ou mais) valores aleatórios, com o portador do cartão provando que é o dono da conta, confirmando os valores em seu extrato.

ACCC bloqueia proposta 3-D Secure

Uma proposta para tornar o 3-D Secure obrigatório na Austrália foi bloqueado pela Comissão Australiana de Concorrência e Consumidores (ACCC) depois que várias objeções e submissões relacionadas a falhas foram recebidas.

Índia

Alguns países como a Índia usaram não apenas o CVV2, mas também o 3-D Secure obrigatório, um código SMS enviado de um emissor do cartão e digitado no navegador quando você é redirecionado ao clicar em "comprar" para o sistema de pagamento ou site do sistema do emissor do cartão onde você digite esse código e só então a operação será aceita. No entanto, a Amazon ainda pode fazer transações de outros países com o 3-D Secure ativado.

3-D Secure 2.0

Em outubro de 2016, a EMVCo publicou a especificação para 3-D Secure 2.0; ele é projetado para ser menos intrusivo do que a primeira versão da especificação, permitindo que mais dados contextuais sejam enviados ao emissor do cartão do cliente (incluindo endereços de correspondência e histórico de transações) para verificar e avaliar o risco da transação. O cliente só precisaria passar por um desafio de autenticação se sua transação for considerada de alto risco. Além disso, o fluxo de trabalho para autenticação é projetado de forma que não exija mais redirecionamentos para uma página separada e também pode ativar a autenticação fora de banda por meio de um aplicativo móvel da instituição (que, por sua vez, também pode ser usado com autenticação biométrica ) . 3-D Secure 2.0 é compatível com os mandatos de " autenticação forte do cliente " da UE .

Veja também

• Transação eletrônica segura (SET)
• Plug-in do comerciante (MPI)

Referências

links externos

• American Express SafeKey (site do consumidor)
• American Express SafeKey (site de parceiro global)
• Verificado pela Visa
• Ativando Verificado pelo Visa
• Verificado pela Visa Partner Network
• Página inicial do Mastercard SecureCode
• usa.visa.com
• Descubra a Global Network ProtectBuy