3DS (אבטחת מידע)

3DS (קיצור של 3D Secure) הוא פרוטוקול שמשמש כשכבת אבטחת מידע נוספת בעסקאות מקוונות בכרטיסי אשראי ובכרטיסי חיוב. השם מרמז לשלושת התחומים (3D - 3 dimensions) הפועלים בעסקה כזו: מקבל התשלום, מנפיק הכרטיס והתווך ביניהם.[1] במימוש הנפוץ של הפרוטוקול נדרש המשלם לתת, בנוסף לפרטי כרטיס האשראי, סיסמה הידועה רק לו ולמנפיק כרטיס האשראי. (לרוב מדובר בקוד בן 4 ספרות) אפשרויות נוספות הוא שליחת הודעת SMS לבעל הכרטיס עם קוד סודי, או התראה בדחיפה (Push notification) לאפליקציה של המנפיק.

הפרוטוקול פותח בשנת 1999 על ידי חברת Celo Communications (כיום חלק מקבוצת תאלס) עבור חברת ויזה. גרסה מעודכנת פותחה בשנים 2000–2001.

בשנת 2001 הציעו חברת Arcot Systems (כיום חלק מCA טכנולוגיות) וחברת ויזה ללקוחות שירות המבוסס על הפרוטוקול,[2] במותג Verified by Visa, שבהמשך שונה ל-Visa Secure. חברת מאסטרקארד הציעה אף היא שירות המבוסס על הפרוטוקול, אשר מותג SecureCode, וכך גם חברות כרטיסי אשראי נוספות.

גרסה 2 של הפרוטוקול פורסמה בשנת 2016, לשם התאמה להוראות האיחוד האירופי בדבר אימות זהות ופתרון ליקויים בפרוטוקול המקורי.[3]

הפרוטוקול משתמש בהודעות XML המשודרות בפרוטוקול SSL עם פרטי זיהוי הלקוח.[4]

במרבית היישומים של פרוטוקול 3DS נדרש המשלם להזדהות באמצעות סיסמה הידועה רק לו ולמנפיק כרטיס האשראי (או שרת בקרת הגישה שלו). הסיסמה אינה ידועה למקבל התשלום, ולכן מהווה הוכחה טובה לכך שהמשלם הוא אכן בעל הכרטיס. בגרסה 1 של הפרוטוקול מחזיק הכרטיס נרשם לשירות באתר מנפיק הכרטיס וקיבל סיסמה קבועה לשירות. בגרסה 2 מחזיק הכרטיס מקבל במסרון במהלך עסקה קוד זיהוי חד-פעמי לאותה עסקה. במהלך עסקה, לאחר שמחזיק הכרטיס הזין את פרטי כרטיס האשראי מוצג לו מסך אימות, בו עליו להזין את הסיסמה או את הקוד החד-פעמי. חברת האשראי בודקת את הסיסמה שהוזנה, ומאשרת למקבל התשלום להמשיך בעסקה. כך מאומתות זהות מחזיק הכרטיס וזהות מקבל התשלום. העסקה מסומנת כעסקה עם פרט אימות מוגבר, שלא ניתן להתכחש לה. (כן ניתן, עם זאת, לבקש החזר מסיבות אחרות - כשל תמורה למשל)

הפרוטוקול אינו מחייב יישום הכולל סיסמה, ומאפשר גם שימוש בכרטיס חכם או אסימון אבטחה. פתרונות אלה עשויים להיות נוחים יותר למשתמש, משום שהם פוטרים אותו מהשימוש בסיסמה.

היתרון למקבל התשלום בשיטה זו הוא מניעת אפשרות הכחשת עסקה מצד הלקוח. (כן נותרת ללקוח אפשרות להתלונן על כשל תמורה, ולבקש החזר מהעסק, עם זאת) חסרונה הוא עלות גבוהה יותר לעסק (על מנת לפצות את חברת האשראי על הסיכון הנוסף), והעובדה שהסיבוך הנוסף מגבירים את הסיכון לנטישת העסקה מצד הלקוח.[5]

זרימת הנתונים בפרוטוקול 3DS

קישורים חיצוניים

[עריכת קוד מקור | עריכה]

הערות שוליים

[עריכת קוד מקור | עריכה]
  1. ^ EMV 3-D Secure - FAQs
  2. ^ John T. Mulqueen, Visa USA tightens security with Arcot, ZDNet, May 16, 2001
  3. ^ Ralph Dangelmaier, Merchants can't let 'PSD2' and 'SCA' be vague initials, PaymentsSource, June 12, 2019
  4. ^ Emre Kaplan, 3D Secure™ Security Protocol, May 23, 2008
  5. ^ Charles Nicholls, Are Verified by Visa and MasterCard SecureCode Conversion Killers?, PracticalEcommerce, June 14, 2013