Безопасное подтверждение платежа

Безопасное подтверждение платежа (SPC) — это предлагаемый веб-стандарт , который позволяет клиентам проходить аутентификацию у эмитента кредитной карты, банка или другого поставщика платежных услуг с помощью аутентификатора платформы:

  • Функция разблокировки, включая Touch ID, на устройстве MacOS
  • Windows Hello на устройстве Windows

С помощью SPC продавцы могут позволить клиентам быстро и легко аутентифицировать свои покупки, а банки-эмитенты защищают своих клиентов от мошенничества.

SPC имеет два этапа: регистрацию и аутентификацию.

  • Регистрация : плательщик связывает свое устройство с проверяющей стороной (RP). Доверяющая сторона может быть эмитентом кредитной карты, банком или другим поставщиком платежных услуг.
  • Аутентификация : плательщик использует зарегистрированное устройство для подтверждения своей личности с помощью RP непосредственно с платформы продавца перед подтверждением платежей.

Аутентификация для предотвращения мошенничества

Аутентификация играет важную роль в предотвращении мошенничества с платежами. Однако этот процесс проверки часто опирается на слабые механизмы, такие как комбинация номера кредитной карты и имени владельца карты или дополнительный код CVC, который написан на обратной стороне карты. Эти механизмы легко взломать и выдать себя за другое лицо, если информация о карте утекла из-за нарушений безопасности данных, таких как взлом учетных записей или фишинговые атаки.

Были введены дополнительные механизмы предотвращения мошенничества, такие как EMV® 3-D Secure , где плательщику может быть предложено пройти аутентификацию у эмитента карты или банка. Для аутентификации пользователь входит в систему, используя имя пользователя и пароль или одноразовый пароль (OTP), доставленный на телефон плательщика через SMS. Это защищает клиентов от мошенничества, но может стать препятствием для некоторых действительных клиентов при совершении платежа. Целью SPC является снижение сложности аутентификации и, следовательно, сокращение количества оставленных корзин.

Тем временем развивается новый стандарт аутентификации под названием WebAuthn.

Что такое WebAuthn?

Веб-аутентификация (сокращенно WebAuthn) — это веб-стандарт , который позволяет серверам проверяющей стороны (RP) регистрировать и аутентифицировать пользователей в браузере, используя криптографию с открытым ключом вместо пароля.

RP полагаются на физические средства аутентификации, такие как ключ безопасности. RP запрашивают ключ безопасности для создания пары частного и открытого ключей, а затем сохраняют открытый ключ на сервере ( регистрация ). Эти сгенерированные ключи уникальны для устройства, что не позволяет злоумышленникам выдать себя за пользователя. Этот стандарт устойчив к фишингу, поскольку пара ключей привязана к источнику.

Альянс FIDO стандартизирует поведение аутентификаторов. Некоторые аутентификаторы поддерживают проверку локального пользователя с помощью биометрического фактора (например, отпечатка пальца или распознавания лица) или фактора знаний (например, PIN-кода). Многие из них интегрированы в вычислительные устройства, такие как ноутбуки или смартфоны, и называются аутентификаторами платформы . WebAuthn поддерживается во всех основных браузерах (настольных и мобильных) , а средства аутентификации доступны на миллиардах устройств . Пользователи могут зарегистрироваться и аутентифицировать себя, проверив свою личность локально на платформе.

SPC предназначен для работы с аутентификаторами платформы проверки пользователей (UVPA).

Примеры UVPA включают Apple Touch ID и камеру мобильного телефона.
Многие устройства оснащены биометрическим датчиком. Эти аутентификаторы называются аутентификаторами платформы проверки пользователей (UVPA).

Как работает безопасное подтверждение платежа?

Безопасное подтверждение платежа (SPC) основано на WebAuthn и разработано специально для целей оплаты. Поскольку учетные данные WebAuthn регистрируются для определенных доменов, эти учетные данные нельзя использовать для аутентификации на незарегистрированных сайтах, которые могут выдавать себя за продавца. Эта функция делает WebAuthn эффективным против фишинговых атак.

SPC добавляет уровень платежной информации поверх WebAuthn, чтобы эмитент карты или банк могли обеспечить единообразный процесс оплаты. После того как плательщик зарегистрирует аутентификатор у проверяющей стороны, его можно будет использовать для аутентификации на различных торговых сайтах. Доверяющая сторона также может использовать платежные учетные данные в качестве обычных учетных данных WebAuthn.

Stripe провела эксперимент с SPC в своей производственной среде в рамках исходных испытаний Chrome . В этом эксперименте Stripe добился повышения коэффициента конверсии на 8%, а скорость оформления заказов увеличилась в три раза. Об их результатах читайте в отчете SPC в рабочей группе W3C Web Payments .

Как пользователи относятся к SPC?

Интерфейс SPC состоит из двух этапов: регистрация и аутентификация.

Клиент должен сначала зарегистрировать свое устройство с помощью аутентификатора платформы проверки пользователя (UVPA). После регистрации устройства его можно использовать для аутентификации пользователя и подтверждения платежей при каждом выполнении SPC на сайте продавца.

Регистрация

Пользователи могут зарегистрироваться в SPC двумя способами:

  • Зарегистрируйтесь прямо на сайте РП.
  • Зарегистрируйтесь косвенно на сайте продавца.

Регистрация на сайте РП

На сайте RP регистрация SPC ничем не отличается от регистрации WebAuthn. Мы рекомендуем, чтобы RP просил клиента зарегистрировать свой UVPA в рамках процесса входа.

Типичный сценарий может выглядеть так:

  1. Клиент входит на веб-сайт вашего банка, используя имя пользователя, пароль и дополнительный этап проверки (обычно одноразовый пароль или OTP).
  2. После успешной аутентификации отобразите запрос на разрешение, в котором клиенту предлагается зарегистрировать свое устройство (UVPA).
  3. После получения разрешения браузер отображает диалоговое окно регистрации WebAuthn.
  4. Клиент соглашается зарегистрировать устройство, выполнив биометрическую аутентификацию.
  5. Теперь клиент может безопасно войти в систему и оплатить, используя свое устройство.

При повторной аутентификации пользователь уже вошел в систему, но ему предлагается пройти аутентификацию еще раз, чтобы убедиться, что тот же пользователь все еще присутствует. Такая конструкция обычно встречается в критически важных для безопасности операциях, таких как запрос на смену пароля или при совершении платежа. С помощью WebAuthn UVPA повторная аутентификация происходит намного быстрее и надежнее, чем с использованием паролей.

Узнайте, как создать процесс регистрации и аутентификации WebAuthn для повторной аутентификации, в разделе Создание первого приложения WebAuthn .

Регистрация на сайте мерчанта во время оплаты

Если ваш клиент не регистрирует свое устройство на веб-сайте эмитента платежа, он может сделать это непосредственно на веб-сайте продавца. Интерфейс выглядит прежним, но регистрация пользователя инициируется кодом RP.

Это идеально, когда клиенты не часто посещают веб-сайт RP, но RP все равно хочет предложить опцию аутентификации.

Аутентификация (подтверждение платежа)

Аутентификация требуется, когда плательщик предоставляет платежные учетные данные во время платежной транзакции.

  1. Плательщик предоставляет платежные учетные данные (например, данные кредитной карты).
  2. Продавец проверяет, поддерживает ли браузер безопасное подтверждение платежа.
  3. Если браузер поддерживает SPC, вызовите API запроса платежа, указав SPC в качестве метода оплаты. В противном случае вернитесь к существующему методу аутентификации.
  4. Плательщик подтверждает детали транзакции и завершает аутентификацию (например, прикасаясь к аутентификатору своей биометрической платформы).

Поддерживаемые платформы

Безопасное подтверждение платежа в настоящее время поддерживается Google Chrome на macOS и Windows. Другие платформы, включая Android, iOS и ChromeOS, не поддерживаются с мая 2022 г.

Следующие шаги