3D Secure
Bezpečnostní standard, který u online plateb kartou ověří, že platbu provádí skutečně držitel karty, a ne jen ten, kdo zná údaje na ní.
Definice
3D Secure (zkracováno také 3DS) je technický standard pro ověřování držitele platební karty při online platbách. Jméno odkazuje na tři „domény“, které se procesu účastní: doménu vydavatele karty (banka, která kartu vydala), doménu obchodníka (resp. jeho akceptační banky) a doménu interoperability — tedy infrastrukturu karetní asociace, která obě strany propojuje. Pro plátce má 3D Secure jediný viditelný projev: při platbě se otevře okno banky a požaduje další ověření — typicky potvrzení v mobilní aplikaci, kód z SMS, nebo biometrii.
Proč 3D Secure existuje
U platby v kamenném obchodě je držitel karty fyzicky přítomen, vkládá kartu do POS terminálu a ověřuje se PINem nebo biometrií. U online platby je riziko jiné — obchodník vidí jen číslo karty, datum platnosti a CVV kód. Pokud někdo tyto údaje získá (únikem dat z e-shopu, phishingem, ofocením karty), mohl by je do pozdního zavedení 3D Secure zneužít k platbě bez jakékoli další obrany. 3D Secure přidává druhý ověřovací faktor přímo na straně banky, takže samotná znalost čísla karty k provedení platby nestačí.
Verze 1 a verze 2
První verze (3DS 1.0) fungovala přes přesměrování plátce na webovou stránku banky, kde se typicky zadávalo statické heslo nebo kód z SMS. Vyšší verze 3DS 2 (a její podverze) přesouvá ověření do mobilní aplikace banky, podporuje biometrii a hlavně přenáší mezi obchodníkem, bankou obchodníka a vydavatelskou bankou desítky datových polí o transakci — adresu plátce, typ zařízení, historii nákupů. Tyto kontextové signály umožňují provést takzvané frictionless flow — banka u nízkorizikové transakce neobtěžuje plátce ověřením a transakci propustí na základě risk skóre.
Výjimky podle PSD2 a SCA
Evropská směrnice PSD2 zavedla pojem Strong Customer Authentication (SCA), který říká, že u většiny online plateb v EU je nutné ověřit plátce dvěma nezávislými faktory ze tří kategorií (něco, co znám — heslo, něco, co mám — telefon, něco, čím jsem — biometrie). 3D Secure 2 je v praxi nejčastějším nástrojem, jak SCA splnit. Existují však výjimky — opakované platby, malé částky, důvěryhodný obchodník, transakce mimo EU. Banky výjimky používají, aby plátce zbytečně nepřerušovaly u rutinních plateb.
Co dělat, když 3D Secure selže
Nejčastější příčiny: chybný kód z SMS, vypršený časový limit, špatně nastavená mobilní aplikace banky, nebo blokace ze strany banky kvůli podezřelé transakci. Pokud platba opakovaně selhává, ověřte v aplikaci banky, zda nemáte zablokované online platby, zda máte správné telefonní číslo pro SMS, a zda máte aktivovanou mobilní autorizaci. U cest do zahraničí někdy SMS nedoručí — pak je rozumné mít nastavenou autorizaci přes aplikaci, která funguje přes datové připojení nebo Wi-Fi.
3D Secure z pohledu obchodníka
Pro obchodníka je 3D Secure nejen bezpečnostní vrstvou, ale i způsobem, jak přenést odpovědnost za případný podvod na vydavatelskou banku. Pokud transakce proběhne s úspěšným 3D Secure ověřením a později se ukáže jako podvodná, ztrátu nese obvykle banka, ne obchodník. Bez 3D Secure ověření je situace opačná. Proto velká část e-shopů standardně 3D Secure vyžaduje a malá část (například některé zahraniční portály, předplatné, opakované platby) ho obchází tam, kde to legislativa dovolí.
Související pojmy
- CVV / CVC — bezpečnostní kód karty pro online platby
- Chargeback — reklamační proces u sporné transakce
- PIN — osobní kód pro autorizaci v terminálu
- Bezpečná platba online — hlavní článek