3-D Secure predstavlja dodatni nivo bezbednosti kod transakcija na mreži (kreditne i debitne kartice),zasnovan na XML standardu. Prvobitno je bio razvijen od strane Arcot Systems,Inc da bi se poboljšala sigurnost Internet plaćanja a korisnicima ponuđen[1] od strane Visa,Inc korporacije pod imenom Verified by Visa. Servisi bazirani na ovom protokolu su takođe prihvaćeni od strane Master Card,Inc pod nazivom Master Card Secure Code i JCB International kao J/Secure. American Express je prihvatio 3-D Secure, 8.Novembra 2010 god. kao American Express SafeKey ali samo za određena tržišta i klijente.[2] Analiza problema koji se javljaju kod transakcija na Internetu, od strane akademske zajednice, je pokazala da postoje mnogi bezbednosti problemi sa kojima se suočavaju potrošači pri online transakcijama, kao što su pecanje (engl. phishing). i prebacivanja odgovornosti u slučaju lažnih plaćanja.[3]

Opis i osnovni koncept

уреди

Osnovni koncept protokola je povezivanje procesa autorizacije (davanje ovlašćanja) sa online autentifikacijom (proverom identiteta). Autentifikacija se bazira na modelu 3 (tri) Domena (3D). Ta tri domena su:

  • Domen kupca i banke koja je izdala njegovu platnu karticu (engl. Issuer Domain),
  • Domen prodavca i banke kod koje prodavac ima otvoren račun (engl. Acquirer Domain),
  • Interoperabilni domen (Internet, MPI, ACS…) koji povezuje gore navedene banke u zajednički sistem (engl. Interoperability Domain).

Svaka grupa domena preuzima određenu odgovornost za svoj udeo u sprovođenju i kompletiranju transakcije na Internetu.

Protokol koristi poruke (XML standard), poslate korišćenjem SSL konekcije sa proverom identiteta klijenta (ovo osigurava proveru obe strane, klijentske i serverske, pomoću digitalnih sertifikata).

Kod transakcija koji koriste Verified by Visa ili SecureCode sistem, potrebna je autorizacija od strane banke izdavaoca kartice koja se koristi na veb sajtu trgovca. Svaki izdavalac platne kartice može koristiti različite metode za proveru identiteta (autentifikaciju). Najčešće je u pitanju metoda koja se zasniva na korišćenju platnih kartica sa lozinkama (PIN broj). Banka izdavalac ima mogućnost da za utvrđivanje identiteta koristi i naprednija tehnološka rešenja kao što su smart kartice, elektronske sertifikate i dr. Osnovna razlika između korišćenja Visa i MasterCard platnih kartica je u polju za kreiranje UCAF (engl. Universal Cardholder Authentication Field): MasterCard koristi AAV (eng. Accountholder Authentication Value) a Visa koristi CAVV (engl. Cardholder Authentication Verification Value).

Ugradnja sistema

уреди

Trenutno je u upotrebi verzija 1.0.2 specifikacija protokola. Prethodne verzije 0.7 (korišćenje od strane Visa USA) i 1.0.1 su prevaziđenje i više se ne koriste. MasterCard i JSB su usvojile verziju 1.0.2 samog protokola. Da bi banke članice Visa ili MasterCard mogle da koriste servis 3-D Secure, moraju da instaliraju odgovarajući softver koji podržava najnovije specifikacije protokola. Kada je softver instaliran od strane banke, prvo se vrši testiranje softvera tj. njegovo usklađivanje sa serverom sistema plaćanja pre nego što se pusti zvanično u rad. Novije verzije 3D Secure sistema, koriste softver sa jakom autorizacijijom, zasnovan na lozinkama za jednokratnu upotrebu -OTP šifra.

Kontrola pristupa serveru (ACS)

уреди

Kod 3-D Secure protokola, Kontrola pristupa serveru (ACS) je sa strane emitenta (banke). Obično, veb pregledač prikazuje ime domena ACS provajdera, nego same banke. Međutim to nije neophodno po samom protokolu. U zavisnosti od ACS provajdera, moguće je odrediti naziv banke u imenu domena za upotrebu od strane ACS provajdera.

Povezivanje trgovca (sajt-a) u 3-D Secure

уреди

Povezivanje trgovca tj. njegovog prodajnog sajta u 3-D Secure obavlja se preko odgovarajućeg softverskog modula- MPI (engl. merchant plug-in). Svaka transakcija na Internetu uključuje dva Zahtev/Odgovor para: (engl. VEReq/VERes) i (engl. PAReq/PARes). Visa i MasterCard ne omogućavaju trgovcu da šalje ove zahteve direktno ka njihovim serverima, već ugradnjom MPI na sajtu trgovca preuzimaju kontrolu tj slanje podataka ka svojim serverima.

Prednost korišćenja 3-D Secure za trgovce se ogleda u smanjivanju troškova za osporavanja transakcije od strane kupaca za neautorizovane kupovine. Jedna od mana je ugradnja neophodnog softvera-(engl. plug in), koja nije jeftina i koja uključuje: naplaćivanje ugradnje, mesečno/godišnje održavanje, naplaćivanje provizije po transakciji. Podrška za 3-D Secure je komplikovana i može nekad dovesti do propusta prilikom izvršenja transakcije (njeno otkazivanje). Možda i najveći nedostatak predstavlja veći broj koraka koji kupac mora da prođe prilikom obavljanje kupovine što ga može odvratiti od kupovine a samim tim i trgovca uskratiti za očekivana sredstva i povećati mu troškove održavanja sistema.[4]

Kupci-korisnici platnih kartica

уреди

Jedan od glavnih ciljeva 3-D Secure je smanjivanje rizika za korisnike platnih kartica-kupaca od eventualnih zloupotreba od strane drugih lica kod obavljanja kupovine. Smanjivanje rizika od eventualne zloupotrebe je omogućeno na dva načina:

  1. Pored broja kartice i PIN broja, uvodi se i dodatna lozinka koju kupac sam generiše i koja je poznata samo kupcu, ACS provajderu i banci koja je izdala platnu karticu i koja se ne skladišti na kartici.
  2. Pošto trgovac ne skladišti podatke o broju kartice i lozinkama na svom serveru, izbegnuta je mogućnost da podaci o platnim karticama dođu u posed drugih lica koja bi ih kasnije zloupotrebila.3-D Secure ne zahteva striktno korišćenje lozinki pri autentifikaciji. Moguće je ih je koristiti u kombinaciji sa smart karticama, sigurnosnim tokenima i sl. u cilju poboljšanja korisničkog doživljaja pri obavljanju kupovine.

Opšte kritike Visa 3-D Secure

уреди

Problem lažnih sajtova

уреди

Sistem uključuje iskačuće prozore (engl. pop-up), pri utvrđivanju identiteta kupca od strane banke koja mu je izdala platnu karticu. Iskačući prozor najčešće sadrži podatke o iznosu transakcije, datumu kupovine, broju platne kartice, ime trgovine kao i polje za unos lozinke koju kupac treba da unese. Problem za kupce može predstavljati što oni ne znaju da li je u pitanju iskačuči prozor koji pripada njihovoj banci ili je u pitanju lažni sajt preko kojeg neko želi da dođe do njihovih podataka. Iskačuči prozori ne sadrže nikvakve bezbednosne sertifikate kojima bi se utvrdila kredibilnost 3-D Secure sistema. Visa 3-D Secure je bila izložena kritikama[5][6][7][8] jer su iskačući prozori dolazili sa servera čiji domen:

  • nije isti kao i sajta gde se obavlja kupovina,
  • nije domen banke koja je izdala platnu karticu,
  • nije visa.com ili mastercard.com.

Ograničena mobilnost

уреди

U slučaju kada je potreban potvrdni kod, korisnici 3D Secure možda neće biti u mogućnosti da ga dobiju putem SMS poruke, jer neke mreže mobilne telefonije ne prihvataju SMS (zavisi od zemlje se gde kupac trenutno nalazi). Sistem takođe nije pogodan za korisnike koji često menjaju broj mobilnog telefona.

Geografska neravnopravnost

уреди

Neke banke i trgovci mogu biti u neravnopravnom tržišnom položaju u odnosu na druge banke i trgovce. Na pr. Visa i MasterCard u SAD tretiraju teritoriju Portorika kao „domaću“. Javlja se problem preuzimanja nadležnosti u slučaju pravnih sporova prouzrokovane zloupotrebama na Internetu.[9]

Vidi još

уреди


Reference

уреди
  1. ^ „Visa USA tightens security with Arcot” (на језику: енглески). ZDnet. 
  2. ^ „SafeKey” (на језику: енглески). AmericanExpress.com. Архивирано из оригинала 07. 08. 2011. г. Приступљено 11. 8. 2010. 
  3. ^ „Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication” (PDF) (на језику: енглески). 
  4. ^ „Are Verified by Visa and MasterCard SecureCode Conversion Killers?” (на језику: енглески). practicalecommerce.com. Приступљено 30. 7. 2013. „This 2010 study documented increases in the number of abandoned transactions of 10% to 12% for merchants newly joining the program. 
  5. ^ „Antiworm: Verified by Visa (Veriphied Phishing?)” (на језику: енглески). Antiworm.blogspot.com. 2. 2. 2006. Приступљено 11. 8. 2010. 
  6. ^ Muncaster, Phil. „Industry lays into 3-D Secure - 11 Apr 2008” (на језику: енглески). IT Week. Архивирано из оригинала 07. 10. 2008. г. Приступљено 11. 8. 2010. 
  7. ^ Brignall, Miles (21. 4. 2007). „Verified by Visa scheme confuses thousands of internet shoppers”. The Guardian (на језику: енглески). London. Архивирано из оригинала 6. 5. 2010. г. Приступљено 23. 4. 2010. 
  8. ^ „Verified by Visa and MasterCard SecureCode: or, How Not to Design Authentication” (PDF) (на језику: енглески). Приступљено 11. 8. 2010. 
  9. ^ „daco.pr.gov”. daco.pr.gov. Архивирано из оригинала 12. 08. 2014. г. Приступљено 17. 7. 2014. шп.

Spoljašnje veze

уреди