تأكيد الدفع الآمن

Eiji Kitamura

تأكيد الدفع الآمن (SPC) هو معيار ويب مقترَح يتيح للعملاء المصادقة مع جهة إصدار بطاقة الائتمان أو المصرف أو مقدّم خدمة دفع آخر باستخدام معتمِد نظام أساسي:

  • ميزة فتح الجهاز، بما في ذلك ميزة Touch ID على جهاز macOS
  • ميزة Windows Hello على جهاز Windows

باستخدام ميزة "التحقق من صحة بيانات بطاقة الدفع"، يمكن للتجّار السماح للعملاء بمصادقة مشترياتهم بسرعة وسلاسة، بينما تحمي المصارف المُصدِرة عملائها من عمليات الاحتيال.

تتضمّن عملية SPC مرحلتين: التسجيل والمصادقة.

  • التسجيل: يربط المسؤول عن الدفع جهازه بجهة موثوق بها (RP). قد يكون الطرف المُعتمِد مُصدِر بطاقة ائتمان أو مصرفًا أو مقدّم خدمة دفع آخر.
  • المصادقة: يستخدم المدفِّع الجهاز المسجَّل لتأكيد هويته مع موفِّر خدمات الدفع مباشرةً من منصة التاجر قبل confirm payments (تأكيد الدفعات).

المصادقة لمنع الاحتيال

تؤدي المصادقة دورًا مهمًا في منع عمليات الاحتيال في الدفع. ومع ذلك، تعتمد عملية إثبات الهوية هذه غالبًا على آليات ضعيفة، مثل مزيج من رقم بطاقة الائتمان واسم مالك البطاقة، أو رمز CVC إضافي مكتوب على الجهة الخلفية من البطاقة. يمكن اختراق هذه الآليات بسهولة وانتحال هويتها في حال تسرُّب معلومات البطاقة بسبب عمليات اختراق أمان البيانات، مثل الاستيلاء على الحسابات أو هجمات التصيّد الاحتيالي.

تمّت إضافة آليات إضافية لمنع الاحتيال، مثل EMV® 3-D Secure، حيث قد يُطلب من المدفوع له مصادقة جهة إصدار البطاقة أو المصرف. للتحقّق من الهوية، يسجّل المستخدم الدخول باستخدام اسم مستخدم وكلمة مرور أو باستخدام كلمة مرور صالحة لمرة واحدة (OTP) يتم إرسالها إلى هاتف المدفِّع عبر رسالة قصيرة. ويساعد ذلك في حماية العملاء من عمليات الاحتيال، ولكن يمكن أن يشكّل عائقًا أمام بعض العميل ين الصالحين لإكمال عملية الدفع. تهدف ميزة "الدفع بدون إنترنت" إلى تقليل المشاكل المتعلّقة بالمصادقة، وبالتالي تقليل حالات إلغاء سلة التسوّق.

في الوقت نفسه، هناك معيار مصادقة جديد يزداد استخدامه يُعرف باسم WebAuthn.

ما هو WebAuthn؟

مصادقة الويب (WebAuthn اختصارًا) هي أحد معايير الويب التي تسمح لخوادم الطرف الموثوق فيه (RP) بتسجيل المستخدمين ومصادقتهم في المتصفّح باستخدام التشفير القائم على المفتاح العمومي بدلاً من كلمة المرور.

تعتمد جهات الإصدار على معرّفات الهوية المادية، مثل مفتاح الأمان. تطلب جهات الإصدار مفتاح الأمان لإنشاء زوج من مفاتيح التشفير العام والخاص، ثم تخزِّن المفتاح العام على الخادم (التسجيل). وهذه المفاتيح التي يتم إنشاؤها فريدة لجهاز العميل، ما يمنع المهاجمين من انتحال هوية العميل. هذا المعيار مقاوم للتصيّد الاحتيالي لأنّ مفتاحَي التشفير مرتبطَين بالمصدر.

يحدِّد تحالف FIDO سلوك مصادقة الهوية. تتيح بعض أدوات المصادقة إثبات هوية المستخدم محليًا باستخدام عامل حيوي (مثل بصمة الإصبع أو التعرّف على الوجه) أو عامل معرفة (مثل رقم التعريف الشخصي). ويتم دمج العديد منها في أجهزة الكمبيوتر، مثل أجهزة الكمبيوتر المحمول أو الهواتف الذكية، وتُعرف باسم مصادقات المنصات. تتوفّر WebAuthn على جميع المتصفحات الرئيسية (على أجهزة الكمبيوتر المكتبي والأجهزة الجوّالة)، وتعدّ أدوات المصادقة متاحة على مليارات الأجهزة. يمكن للمستخدمين التسجيل والمصادقة من خلال إثبات هويتهم على المنصة.

تم تصميم مبادرة SPC للعمل مع أدوات مصادقة منصّة التحقّق من المستخدمين (UVPA).

تشمل أمثلة أدوات التحقق من الهوية غير القابلة للاختراق كاميرا الهاتف الجوّال وApple Touch ID.
تُدمج العديد من الأجهزة أداة استشعار حيوية. ويُطلق على هذه المصادقة اسم مصادقة المستخدم التي تُجري التحقّق من النظام الأساسي (UVPA).

كيف تعمل ميزة "تأكيد الدفع الآمن"؟

يستند تأكيد الدفع الآمن (SPC) إلى WebAuthn وهو مصمّم خصيصًا لأغراض الدفع. بما أنّ بيانات اعتماد WebAuthn مسجّلة ل نطاقات معيّنة، لا يمكن استخدام هذه البيانات للمصادقة على المواقع الإلكترونية غير المسجّلة التي قد تنتحل هوية تاجر. تجعل هذه الميزة برمجية WebAuthn فعالة ضد هجمات التصيّد الاحتيالي.

تضيف SPC طبقة معلومات الدفع على WebAuthn حتى يتمكّن مُصدر البطاقة أو المصرف من تقديم تجربة دفع متّسقة. بعد أن يُسجِّل المدفِّع مثبّت مصادقة لدى الجهة المُعتمَدة، يمكن استخدامه للتحقّق من الهوية على مواقع التجّار المختلفة. يمكن للطرف الموثوق به أيضًا اختيار استخدام بيانات اعتماد الدفع بصفتها بيانات اعتماد WebAuthn عادية.

أجرت شركة Stripe تجربة باستخدام واجهة برمجة التطبيقات SPC في بيئة الإنتاج، وذلك في إطار مراحل التجربة والتقييم في Chrome. في هذه التجربة، حقّقت Stripe معدّل إحالات ناجحة أفضل بنسبة% 8 وكان معدّل الدفع أسرع ثلاث مرات. يمكنك الاطّلاع على نتائجها في تقرير SPC في مجموعة عمل Web Payments في W3C.

كيف يتفاعل المستخدمون مع ميزة "الإعلانات على شبكة البحث"؟

تتألف الواجهة الأمامية لبرنامج SPC من مرحلتين: التسجيل والمصادقة.

على العميل أولاً تسجيل جهازه باستخدام ميزة "مصادقة منصّة التحقّق من المستخدم" (UVPA). بعد تسجيل الجهاز، يمكن استخدامه لمصادقة المستخدم وتأكيد الدفعات عند إجراء عملية الدفع بدون تلامس على موقع التاجر الإلكتروني.

التسجيل

يمكن للمستخدمين التسجيل في برنامج SPC بطريقتَين:

  • التسجيل مباشرةً على الموقع الإلكتروني لجهة التسجيل
  • التسجيل بشكل غير مباشر على موقع إلكتروني للتاجر

التسجيل على الموقع الإلكتروني لبرنامج "المسؤول عن المراجعة"

على الموقع الإلكتروني لمسؤول الربط، لا يختلف تسجيل موفِّر خدمات الربط عن تسجيل WebAuthn. ننصح بأن يطلب مقدّم الخدمة من العميل تسجيل ملفه الشخصي على Universal Value Pass كجزء من عملية تسجيل الدخول.

قد يبدو السيناريو النموذجي على النحو التالي:

  1. يسجّل العميل الدخول إلى الموقع الإلكتروني للمصرف باستخدام اسم مستخدم وكلمة مرور وخطوة إضافية لإثبات الهوية (عادةً كلمة مرور صالحة لمرّة واحدة).
  2. بعد المصادقة بنجاح، يجب عرض طلب للحصول على إذن يطلب من العميل تسجيل جهازه (UVPA).
  3. بعد منح الإذن، يعرض المتصفّح مربّع حوار تسجيل WebAuthn.
  4. يوافق العميل على تسجيل الجهاز من خلال إجراء مصادقة بالمقاييس الحيوية.
  5. يمكن للعميل الآن تسجيل الدخول والدفع بأمان باستخدام جهازه.

في حال إعادة المصادقة، يكون المستخدم قد سجّل الدخول ولكن يُطلب منه مصادقة مرة أخرى للتأكّد من أنّ المستخدم نفسه لا يزال متصلاً. يظهر هذا التصميم عادةً في عملية مهمة من حيث الأمان، مثل طلب تغيير كلمة مرور أو عند إجراء عملية دفع. باستخدام بروتوكول WebAuthn UVPA، تتم إعادة المصادقة بشكل أسرع وأكثر أمانًا من استخدام كلمات المرور.

تعرَّف على كيفية إنشاء عملية تسجيل مصادقة WebAuthn لإعادة المصادقة في مقالة إنشاء أول تطبيق WebAuthn.

التسجيل على موقع إلكتروني للتاجر أثناء الدفع

إذا لم يسجِّل عميلك جهازه على موقع إصدار بطاقة الدفع الإلكتروني، يمكنه إجراء ذلك مباشرةً على موقع تاجر إلكتروني. تبدو الواجهة بالطريقة نفسها، ولكن يبدأ تسجيل المستخدم من خلال رمز موفِّر المحتوى.

يُعدّ هذا الخيار مثاليًا عندما لا يزور العملاء موقع RP الإلكتروني بشكل متكرّر، ولكنّ RP يريد توفير خيار المصادقة.

المصادقة (تأكيد الدفع)

تكون المصادقة مطلوبة عندما يقدّم المدفِّع بيانات اعتماد دفع أثناء معاملة دفع.

  1. يقدّم المسؤول عن الدفع بيانات اعتماد الدفع (مثل معلومات بطاقة الائتمان).
  2. يتحقّق التاجر ممّا إذا كان المتصفّح يتيح تأكيد الدفع الآمن.
  3. إذا كان المتصفّح متوافقًا مع مبادرة SPC، استخدِم واجهة برمجة التطبيقات Payment Request API مع SPC كأحد methods methods. وبخلاف ذلك، يمكنك الرجوع إلى طريقة المصادقة الحالية.
  4. يؤكّد المدفِّع تفاصيل المعاملة ويُكمل عملية المصادقة (مثلاً من خلال لمس معتمِد المنصة البيومتري).

المنصّات المعتمدة

يتوفّر تأكيد الدفع الآمن حاليًا في Google Chrome على نظامَي التشغيل macOS وWindows. اعتبارًا من أيار (مايو) 2022، لم تعُد الأنظمة الأساسية الأخرى، بما في ذلك Android وiOS وChromeOS، متوافقة.

الخطوات التالية