近日消息,3DS 2.0於2019年4月13日在歐洲(主要針對髮卡機構)全面強制執行,交易受PSD2(Payment Service Directive 2.0,即歐盟支付服務修訂法案第二版)監管的商戶必須在2019年9月14日前支持3DS 2.0版本以上認證方式。
什麼是3DS?
3DS,即3-Domain Secure,是一種針對在線交易場景的身份驗證協議,使髮卡行可以率先驗證持卡人的身份信息,通過基於數據的風險評估決定最終授權,是在線交易的一層額外安全保障。顧名思義,它涉及到三個不同“域(Domain)”的信息聯動,三個域分別指收單域、髮卡域以及交互域。通過這三個域之間的信息交換與確認,持卡人的身份得到驗證,防止了銀行卡在未經授權的情況下被盜用,提高了在線交易的安全性。
簡單一點理解,3DS是卡組織與髮卡行向持卡人推出的一種在線交易身份驗證的報文傳輸協議,通過這項支付驗證協議可以降低無卡交易風險,有效防止盜刷。
3DS的發展史
2001年,Visa開發出了3DS協議,這個協議最初是為了保障商戶、髮卡機構及銀行卡交易的安全。
2003年,Visa提出3DS第一代版本(3DS 1.0)。後續各個卡組織也分別推出了自己體系標準下的3DS協議。
最終,Visa、MasterCard、美國運通等卡組織意識到標準化規則帶來的互通性便利,聯合成立了EMVCo——一個致力於推動全球普及更為安全支付方式的國際技術組織,同時負責繼續迭代3DS安全協議。
3DS 1.0版本在推行中遇到了許多問題,一方面消費者質疑彈出式驗證窗口的安全性,認為被要求輸入短信驗證碼的操作非常繁瑣。另一方面,商戶也不斷抱怨由於該協議支付成功率受到了影響。而到了2008年以後,隨著移動支付的發展,3DS 1.0逐漸無法適應移動端應用的支持。
2016年,EMVCo發佈了3DS的第二代版本(EMV®3DS)。第二代3DS的升級也帶來一些革命性的變化,比如支持了移動互聯網平臺、引入了交易風險決策機制、提高了擴展性和兼容性、更加安全和靈活等。
2017年初,銀聯基於EMVCo 3DS 2.0標準正式推出了3DS 2.0標準的立項及評審發佈。
2018年,EMVCo發佈了EMV®3DS測試平臺,並開始正式發放認證證書。眾多3DS方案提供方陸續啟動測試申請。
目前,據瞭解EMVCo加快了版本的更新速度,不斷迭代升級,如今2.1、2.2和2.3版本即將問世。而就國內而言,據相關人士向移動支付網透露,銀聯與相關銀行基本完成了3DS 2.0標準的改造和認證工作。
3DS對國內的影響
由於3DS的協議涉及傳統的四方模式,在改造和實施上需要卡組織、銀行、商戶都加入其中,只有這樣持卡人才能夠享受到該驗證服務的保護。也正是因此,3DS的改造時間相對較長,也較為嚴格。
但是如此重要的安全認證協議,在國內市場並未得到大範圍地實施和推廣,原因為何呢?
一位銀行業人士向移動支付網表示,“3DS對於國內市場而言,有點多餘。因為,國內的線上支付四方模式還沒有來得及佔據主流,就已經被二維碼快捷支付給佔領了。”
現實情況也的確如此。國內移動支付市場發展迅速,第三方支付過於強大,導致國內的移動支付直接跳過了信用卡時代,走向了基於二維碼的快捷支付時代。而支付機構作為收單方,其安全風控的主動權在支付機構手上,銀行只提供快捷支付的簽約和交易通道從而實現免密支付,支付時不再需要銀行授權進行持卡人驗證。不用髮卡行去驗證身份信息了,3DS便也失去了意義。
對於國內的金融機構而言,移動支付的發展讓銀行逐漸管道化,主動權越來越喪失,這也是為何金融機構迫切渴望轉型的原因。
不過,儘管3DS對於國內市場而言影響甚微,但是對於銀聯和國內銀行而言,3DS 2.0的跟進有利於其拓展境外商戶和市場,另外對於一些有跨境支付業務的機構可能也會有相應的需求。
而對於國外市場尤其是歐洲而言,3DS 2.0的強制執行將要求商戶端和收單機構必須轉變原有的運營模式,一方面需要進行後臺系統調整適應變化,加大與髮卡行的數據共享;另一方面需要優化支付流程以適應新的無縫驗證交互方式。
移動支付網安全討論群,歡迎添加群主微信:13798509971備註:公司+姓名+職務+安全入群。
本文為作者授權發佈,不代表移動支付網立場,轉載請註明作者及來源,未按照規範轉載者,移動支付網保留追究相應責任的權利。
閱讀更多 移動支付網 的文章
