3-D Secure (Three-Domain Secure) – технология безопасных онлайн-платежей

03.07.2025

Что такое 3-D Secure и как она работает

3-D Secure (3DS) – это протокол аутентификации, часто использующий двухфакторную проверку. Он используется как на дебетовых, так и на кредитных картах.

Название технологии происходит от концепции "Three Domains" (Три домена).

В процессе оплаты участвуют три ключевых компонента:

Домен банка-эмитента – финансовое учреждение, выпустившее вашу карту.
Домен торговой точки – интернет-магазин или сервис, где совершается покупка.
Домен платежной системы – обеспечивает взаимодействие между участниками транзакции.

Принцип работы:

Покупатель вводит данные карты на сайте магазина.
Платежная система перенаправляет его на страницу банка-эмитента.
Банк отправляет одноразовый код подтверждения (обычно через SMS).
Только после ввода правильного кода происходит завершение транзакции.

Если код не введен в течение определенного времени (обычно 5-10 минут), блокировка временно приостанавливает доступ к средствам, а окончательное списание не происходит. В случае подтверждения кода покупателем, сделка проходит, а продавец получает переведенные средства.

Подключение 3DS

Для современных банковских карт подключение происходит автоматически при выпуске карты банком-эмитентом:

Все карты, выпущенные после 2016 года, по умолчанию поддерживают протокол.
Для активации не требуется дополнительных действий со стороны клиента.
Технология бесплатна для пользователей.

Как проверить подключение:

Совершите тестовый платеж в интернет-магазине
Если система запрашивает SMS-код – протокол активен
Альтернативно можно уточнить статус в мобильном приложении банка или через колл-центр

Как отключить 3-D Secure

Начиная с 2016 года технология де-факто стала обязательным стандартом безопасности:

Отключение по инициативе клиента часто невозможно, потому что отключение увеличит риск незаконных списываний средств с карты клиента. Некоторые эмитенты могут отключать 3DS для определенных карт (например, корпоративных).
Это требование платежных систем и регуляторов.
Исключения делаются только для корпоративных карт с особыми условиями обслуживания.

Почему нельзя отказаться от защиты:

Банки несут финансовые потери при мошеннических операциях.
Платежные системы требуют соблюдения стандартов безопасности.
Технология защищает финансовые организации.

Преимущества и недостатки технологии

Преимущества	Недостатки
Существенное снижение случаев мошенничества (по данным Visa – до 76%)	Зависимость от мобильной связи (проблемы при отсутствии сигнала)
Возможность отмены платежа при неподтверждении операции	Теоретическая возможность перехвата кодов (через вирусы или фишинг)
Не поддерживается некоторыми старыми картами	Необходимость дополнительного действия при оплате
Широкая поддержка большинством интернет-магазинов	Не поддерживается некоторыми старыми картами

Необходимые меры защиты при использовании 3-D Secure

Несмотря на защиту, злоумышленники разрабатывают схемы обхода системы. Основные меры предосторожности:

Никому не сообщайте коды из SMS – даже «сотрудникам банка».
Используйте антивирусное ПО на всех устройствах.
Проверяйте адрес сайта перед вводом данных (должен быть https:// и значок замка).
Активируйте push-уведомления вместо SMS (в настройках банковского приложения).
Установите лимиты на онлайн-платежи через мобильное приложение.
Используйте виртуальные карты с ограниченным балансом для интернет-покупок.

Перспективы развития технологии

Хотя 3-D Secure — весьма надежная система, мошенники пытаются найти лазейки. Кроме того, чем сложнее процесс оплаты, тем больше людей отказываются от покупок. Поэтому современная защита должна быть не только максимально надежной, но и незаметной для пользователя.

Платежные системы работают на опережение и постоянно совершенствуют защиту.

Новые методы защиты включают:

Переход на биометрическую аутентификацию (Face ID, отпечаток пальца).
Внедрение бескодового подтверждения через мобильные приложения.
Использование искусственного интеллекта для анализа подозрительных операций.

Не стоит на месте и протокол 3-D Secure. Следующим его этапом развития стала версия 2.0.

Далее рассмотрим их особенности.

	3-D Secure 1.0	3-D Secure 1.0
Принцип работы	Основан на перенаправлении пользователя на страницу банка-эмитента, где нужно было ввести секретный код (обычно пароль или одноразовый код из SMS). Этот процесс был безопасным, но часто вызывал неудобства у пользователей, особенно на мобильных устройствах.	Новая версия значительно улучшила пользовательский опыт. Она позволяет использовать методы фрикционной аутентификации, когда пользователю не нужно ничего вводить — система определяет легитимность операции на основе данных об устройстве, местоположении, истории транзакций и других факторов.
Уровни безопасности	Использует простое подтверждение через ввод статического или SMS-пароля. Подвержен риску перехвата кода или социальной инженерии.	Поддерживает двухфакторную аутентификацию (2FA) и использует передовые методы анализа рисков (Risk-Based Authentication). Это позволяет минимизировать случаи мошенничества и повысить уровень доверия к транзакциям
Адаптация под мобильные устройства и приложения	Не оптимизирован для мобильных устройств. Перенаправление в браузер приводило к плохому UX, медленной загрузке и частым ошибкам.	Полностью адаптирован для работы в мобильных приложениях и браузерах. Поддерживает современные интерфейсы и встроенную аутентификацию (например, через fingerprint или Face ID).
Влияние на конверсию	Часто снижал конверсию из-за сложного и долгого процесса подтверждения платежа.	Благодаря более гибкой аутентификации и возможности "тихой" проверки не мешает пользователю, поэтому конверсия остается высокой.

Альтернативные технологии

3-D Secure — постепенно заменяется или дополняется более современными решениями. Ниже приведены ключевые альтернативные технологии, предлагающие улучшенную безопасность.

EMV Secure Remote Commerce (SRC)

Технология EMV SRC предназначена для защиты транзакций по кредитным картам в удаленных кассовых средах через веб-сайты, приложения, мобильные платежи и другие подключенные устройства.

Это своего рода универсальное хранилище для платежных данных, которое работает одинаково на всех сайтах и приложениях. После регистрации в системе пользователю больше не нужно каждый раз вводить данные карты, личные данные или адрес доставки — вся информация хранится в защищенном виде на платформе SRC и автоматически подставляется при оплате.

FIDO2 (Fast Identity Online)

Стандарт FIDO2 для passwordless-аутентификации, поддерживаемый W3C и FIDO Alliance.

Использует WebAuthn API для верификации через аппаратные ключи или биометрию.

Применяется в некоторых платежных системах.

Публично-приватные графы (PPG) и ML-анализ

Это технологии на основе машинного обучения для фрод-детекции без активного участия пользователя:

Список решений:

IBM® Financial Crimes Insight for Claims Fraud;

PayPal’s fraud detection with machine learning.

Токенизация (PCI DSS-совместимые решения)

Многие Pay-методы заменяют PAN-данные одноразовыми токенами. Иногда технологии могут дополнять друг друга.

Заключение

Технология 3-D Secure уже доказала свою эффективность в борьбе с мошенничеством, но индустрия платежей не стоит на месте.

В прошлый раз мы разбирали токенизацию банковских карт — технологию, которая скрывает реальные реквизиты карты за одноразовыми токенами. А в следующих статьях вас ждет еще больше полезной информации о безопасности данных, новых методах защиты и трендах в мире цифровых платежей.

С Robokassa ваши транзакции под надежной защитой — сегодня и в будущем!

#безопасность #защитаданных #онлайноплата