Безопасное подтверждение платежа на Chrome Android

Стивен МакГрюэр
Stephen McGruer

Обзор

Безопасное подтверждение платежа (SPC) — это предлагаемый веб-стандарт , который позволяет клиентам проходить аутентификацию у эмитента кредитной карты, банка или другого поставщика платежных услуг с помощью аутентификатора платформы, который обычно активируется с помощью функции разблокировки экрана устройства, такой как датчик отпечатков пальцев. Обычно это происходит во время протокола аутентификации платежей, такого как EMV 3-D Secure или Open Banking . Например, EMV 3-D Secure имеет поддержку SPC в своей спецификации v2.3 . Ранее мы объявили , что SPC был запущен для Google Chrome на macOS и Windows, а также предоставили руководства для разработчиков по регистрации и аутентификации .

Начиная с M109 (в настоящее время на бета-канале), SPC также будет доступен в Google Chrome на Android. Пользователи смогут использовать блокировку экрана своего устройства для завершения процесса проверки платежа на сайтах продавцов, использующих SPC.

Пользователь платит в Chrome, используя безопасное подтверждение платежа.

Если вы хотите поэкспериментировать с SPC, опробуйте его на нашем демонстрационном веб-сайте или спросите у своего поставщика платежных услуг, планируют ли они поддерживать его для аутентификации пользовательских платежей.

Надежная аутентификация для платежей

Аутентификация играет важную роль в предотвращении мошенничества с платежами. Однако сегодня для аутентификации платежей часто используются либо слабые (например, код CVC), либо сложные (например, SMS OTP) методы проверки. Эти методы аутентификации могут либо сделать пользователей уязвимыми для мошенничества, либо привести к отказу от корзины из-за проблем.

SPC построен на основе веб-аутентификации (WebAuthn) и обеспечивает надежную аутентификацию платежных транзакций с использованием аутентификаторов платформы , встроенных в устройства пользователей. Аутентифицирующая сторона (известная как проверяющая сторона в WebAuthn), например банк-эмитент или поставщик платежных услуг, регистрирует пользователя в ходе однократного процесса либо на своем веб-сайте, либо во время транзакции с традиционной аутентификацией. Затем они могут использовать регистрацию для аутентификации пользователя в последующих потоках платежей.

Пока проверяющая сторона одна и та же (например, один и тот же банк-эмитент), пользователь должен иметь возможность использовать одну регистрацию для всех будущих платежей с этой проверяющей стороной в любом продавце, который интегрирует SPC.

Изменения API

Разработчики могут воспользоваться существующим руководством по реализации, написанным для интеграции с настольными системами, чтобы узнать, как работает API.

navigator.credentials.create({  
  publicKey: {  
    ...,  
    authenticatorSelection: {  
      residentKey: 'preferred',  
      ...,  
    },
    extensions: {
      payment: {  
        isPayment: true,  
      } 
    },
  }  
});

Свойство payment указывает, что это учетные данные SPC. См. предыдущее руководство по регистрации, чтобы узнать, как его использовать.

В настоящее время этот код создает недоступные для обнаружения учетные данные, которые работают для SPC. Как только обнаруживаемые учетные данные будут поддерживаться SPC для Google Chrome на Android, этот код вместо этого автоматически переключится на создание обнаруживаемых учетных данных.

Ресурсы

Узнайте, как внедрить безопасное подтверждение платежей

Фото Франка на Unsplash