تأكيد الدفع الآمن

Eiji Kitamura

تأكيد الدفع الآمن (SPC) هو معيار ويب مقترَح يتيح للعملاء المصادقة مع جهة إصدار بطاقة الائتمان أو المصرف أو مقدّم خدمة دفع آخر باستخدام معتمِد نظام أساسي:

  • ميزة فتح الجهاز، بما في ذلك ميزة Touch ID على جهاز macOS
  • Windows Hello على جهاز Windows

باستخدام ميزة "التحقق من جهة إصدار البطاقة"، يمكن للتجّار السماح للعملاء بمصادقة مشترياتهم بسرعة وسلاسة، بينما تحمي المصارف المُصدِرة عملائها من الاحتيال.

تتضمّن عملية SPC مرحلتين: التسجيل والمصادقة.

  • التسجيل: يربط المسؤول عن الدفع جهازه بجهة موثوق بها (RP). قد يكون الطرف المُعتمِد مُصدِر بطاقة ائتمان أو مصرفًا أو مقدّم خدمة دفع آخر.
  • المصادقة: يستخدم المسؤول عن الدفع الجهاز المسجَّل لتأكيد هويته مع الجهة المحظورة مباشرةً من المنصّة الخاصة بالتاجر قبل تأكيد الدفعات.

المصادقة لمنع الاحتيال

تؤدي المصادقة دورًا مهمًا في منع عمليات الاحتيال في الدفع. مع ذلك، غالبًا ما تعتمد عملية التحقق هذه على آليات ضعيفة، مثل مجموعة من رقم بطاقة الائتمان واسم مالك البطاقة أو رمز CVC إضافي مكتوب على الجزء الخلفي من البطاقة. يمكن اختراق هذه الآليات بسهولة وانتحال هويتها في حال تسرُّب معلومات البطاقة بسبب عمليات اختراق أمان البيانات، مثل الاستيلاء على الحسابات أو هجمات التصيّد الاحتيالي.

تمّت إضافة آليات إضافية لمنع الاحتيال، مثل EMV® 3-D Secure، حيث قد يُطلب من المدفوع له مصادقة جهة إصدار البطاقة أو المصرف. للتحقّق من الهوية، يسجّل المستخدم الدخول باستخدام اسم مستخدم وكلمة مرور أو باستخدام كلمة مرور صالحة لمرة واحدة (OTP) يتم إرسالها إلى هاتف المدفوع له عبر رسالة قصيرة. ويساعد ذلك في حماية العملاء من عمليات الاحتيال، ولكن يمكن أن يشكّل عائقًا أمام بعض العميل ين الصالحين لإكمال عملية الدفع. تهدف SPC إلى تقليل مشكلات المصادقة، وبالتالي تقليل ترك سلة التسوق.

في الوقت نفسه، هناك معيار مصادقة جديد يزداد استخدامه يُسمّى WebAuthn.

ما هو WebAuthn؟

مصادقة الويب (اختصارها WebAuthn) هي معيار ويب يتيح لخوادم الجهة المعتمَدة (RP) تسجيل المستخدمين ومصادقتهم في المتصفِّح باستخدام تشفير المفتاح العام، بدلاً من كلمة المرور.

تعتمد جهات الاعتماد على معرّفات أمان فعلية، مثل مفتاح الأمان. تطلب جهات الإصدار مفتاح الأمان لإنشاء زوج من مفاتيح التشفير الخاصة والعامة، ثم تخزِّن المفتاح العام على الخادم (التسجيل). وهذه المفاتيح التي يتم إنشاؤها فريدة لجهاز العميل، ما يمنع المهاجمين من انتحال هويته. وهذا المعيار مقاوم للتصيّد الاحتيالي لأن مفتاحَي التشفير مرتبطَين بالمصدر.

يوحّد تحالف FIDO Alliance سلوك أداة المصادقة. تتيح بعض أدوات المصادقة إثبات هوية المستخدم محليًا باستخدام عامل حيوي (مثل بصمة الإصبع أو التعرّف على الوجوه) أو عامل معرفة (مثل رقم التعريف الشخصي). ويتم دمج العديد منها في أجهزة الحوسبة، مثل أجهزة الكمبيوتر المحمولة أو الهواتف الذكية، والمعروفة باسم أدوات المصادقة على الأنظمة الأساسية. تتوفّر WebAuthn على جميع المتصفحات الرئيسية (أجهزة الكمبيوتر المكتبي والأجهزة الجوّالة)، وتعدّ أدوات المصادقة متاحة على مليارات الأجهزة. يمكن للمستخدمين التسجيل والمصادقة بأنفسهم من خلال إثبات هويتهم محليًا على النظام الأساسي.

تم تصميم وحدة تحكّم الأمان (SPC) لتعمل مع أدوات المصادقة على النظام الأساسي للتحقق من هوية المستخدم (UVPA).

تشمل أمثلة أدوات التحقق من الهوية غير القابلة للاختراق كاميرا هاتف جوّال وApple Touch ID.
تتضمّن العديد من الأجهزة أداة استشعار للمقاييس الحيوية. ويُطلق على هذه المصادقة اسم مصادقة النظام الأساسي التي يُجريها المستخدم (UVPA).

كيف تعمل ميزة "تأكيد الدفع الآمن"؟

يستند تأكيد الدفع الآمن (SPC) إلى WebAuthn وهو مصمّم خصيصًا لأغراض الدفع. بما أنّ بيانات اعتماد WebAuthn مسجّلة ل نطاقات معيّنة، لا يمكن استخدام هذه البيانات للمصادقة على المواقع الإلكترونية غير المسجّلة التي قد تنتحل هوية تاجر. تجعل هذه الميزة برمجة WebAuthn فعالة ضد هجمات التصيّد الاحتيالي.

تضيف SPC طبقة معلومات الدفع إلى WebAuthn لكي يتمكّن جهة إصدار البطاقة أو المصرف من توفير تجربة دفع متّسقة. بعد أن يُسجِّل المدفِّع مثبّت مصادقة لدى الجهة المُعتمَدة، يمكن استخدامه للتحقّق من الهوية على مواقع التجّار المختلفة. يمكن للطرف الموثوق به أيضًا اختيار استخدام بيانات اعتماد الدفع بصفتها بيانات اعتماد WebAuthn عادية.

أجرى Stripe تجربة باستخدام SPC على بيئة الإنتاج، وذلك كجزء من مرحلة التجربة والتقييم في Chrome. من خلال هذه التجربة، حقّقت Stripe معدّل إحالات ناجحة أفضل بنسبة 8% وكان معدّل الدفع أسرع بثلاث مرات. يمكنك الاطّلاع على نتائجها في تقرير SPC في مجموعة عمل Web Payments في W3C.

كيف يواجه المستخدمون ميزة "الإعلانات على شبكة البحث"؟

تتألف الواجهة الأمامية لوحدة التحكم في الوصول (SPC) من مرحلتين: التسجيل والمصادقة.

على العميل أولاً تسجيل جهازه باستخدام ميزة "مصادقة منصّة التحقّق من المستخدم" (UVPA). وبعد تسجيل الجهاز، يمكن استخدامه لمصادقة المستخدم وتأكيد عمليات الدفع كلما تم تنفيذ SPC على الموقع الإلكتروني للتاجر.

تسجيل

يمكن للمستخدمين التسجيل في برنامج SPC بطريقتَين:

  • التسجيل مباشرةً على الموقع الإلكتروني لجهة التسجيل
  • التسجيل بشكل غير مباشر على الموقع الإلكتروني للتاجر

التسجيل على الموقع الإلكتروني لبرنامج RP

على الموقع الإلكتروني لمسؤول الربط، لا يختلف تسجيل موفِّر خدمات الربط عن تسجيل WebAuthn. ننصح بأن يطلب الجهة المحظورة من العميل تسجيل برنامج UVPA كجزء من عملية تسجيل الدخول.

قد يبدو السيناريو النموذجي على النحو التالي:

  1. يسجّل العميل الدخول إلى الموقع الإلكتروني للمصرف باستخدام اسم مستخدم وكلمة مرور وخطوة إضافية لإثبات الهوية (عادةً كلمة مرور صالحة لمرّة واحدة).
  2. بعد إجراء مصادقة ناجحة، اعرض طلب الحصول على إذن يطلب من العميل تسجيل جهازه (UVPA).
  3. بعد منح الإذن، يعرض المتصفّح مربّع حوار تسجيل WebAuthn.
  4. يوافق العميل على تسجيل الجهاز من خلال إجراء مصادقة بالمقاييس الحيوية.
  5. يمكن للعميل الآن تسجيل الدخول والدفع بأمان باستخدام جهازه.

في حال إعادة المصادقة، يكون المستخدم قد سجّل الدخول ولكن يُطلب منه مصادقة مرة أخرى للتأكّد من أنّ المستخدم نفسه لا يزال متصلاً. يظهر هذا التصميم عادةً في عملية مهمة من حيث الأمان، مثل طلب تغيير كلمة مرور أو عند إجراء عملية دفع. باستخدام بروتوكول WebAuthn UVPA، تتم إعادة المصادقة بشكل أسرع وأقوى بكثير من استخدام كلمات المرور.

تعرَّف على كيفية إنشاء عملية تسجيل مصادقة WebAuthn لإعادة المصادقة في مقالة إنشاء أول تطبيق WebAuthn.

التسجيل على موقع إلكتروني للتاجر أثناء الدفع

إذا لم يسجِّل عميلك جهازه على موقع إصدار بطاقة الدفع الإلكتروني، يمكنه إجراء ذلك مباشرةً على موقع تاجر إلكتروني. تبدو الواجهة متشابهة، ولكن يتم بدء تسجيل المستخدم من خلال رمز الجهة المحظورة.

يُعدّ هذا الخيار مثاليًا عندما لا يزور العملاء موقع RP الإلكتروني بشكل متكرّر، ولكن يريد RP توفير خيار المصادقة.

المصادقة (تأكيد الدفع)

تكون المصادقة مطلوبة عندما يقدّم المدفِّع بيانات اعتماد دفع أثناء معاملة دفع.

  1. توفّر الجهة المسدِّدة بيانات اعتماد الدفع (مثل معلومات بطاقة الائتمان).
  2. يتحقّق التاجر مما إذا كان المتصفّح يتيح تأكيد الدفع الآمن.
  3. إذا كان المتصفّح يتيح استخدام SPC، يمكنك طلب واجهة برمجة التطبيقات Payment Request API مع SPC كطريقة دفع. وبخلاف ذلك، يمكنك الرجوع إلى طريقة المصادقة الحالية.
  4. يؤكّد المسؤول عن الدفع تفاصيل المعاملة ويُكمل عملية المصادقة (مثلاً من خلال لمس أداة المصادقة على منصة المقاييس الحيوية).

المنصّات المعتمدة

يتوفّر تأكيد الدفع الآمن حاليًا في Google Chrome على نظامَي التشغيل macOS وWindows. اعتبارًا من أيار (مايو) 2022، لم تعُد الأنظمة الأساسية الأخرى، بما في ذلك Android وiOS وChromeOS، متوافقة.

الخطوات التالية