3DS (אבטחת מידע)
3DS (קיצור של 3D Secure) הוא פרוטוקול שמשמש כשכבת אבטחת מידע מידע נוספת בעסקאות מקוונות בכרטיסי אשראי ובכרטיסי חיוב. השם מרמז לשלושת התחומים הפועלים בעסקה כזו: תחום מקבל התשלום, תחום החברה שהנפיקה את כרטיס האשראי והתווך שבין שני אלה.[1] במימוש הנפוץ של הפרוטוקול נדרש המשלם לתת, בנוסף לפרטי כרטיס האשראי, סיסמה הידועה רק לו ולמנפיק כרטיס האשראי.
היסטוריה
הפרוטוקול פותח בשנת 1999 על ידי חברת Celo Communications (כיום חלק מקבוצת תאלס) עבור חברת ויזה. גרסה מעודכנת פותחה בשנים 2000–2001.
בשנת 2001 חברת Arcot Systems (כיום חלק מCA טכנולוגיות) וחברת ויזה הציעו ללקוחות שירות המבוסס על הפרוטוקול,[2] במותג Verified by Visa, שבהמשך שונה ל-Visa Secure. חברת מאסטרקארד הציעה אף היא שירות המבוסס על הפרוטוקול, במותג SecureCode, וכך גם חברות כרטיסי אשראי נוספות.
גרסה 2 של הפרוטוקול פורסמה בשנת 2016, לשם התאמה להוראות האיחוד האירופי בדבר אימות זהות ופתרון ליקויים בפרוטוקול המקורי.[3]
מאפיינים
הפרוטוקול משתמש בהודעות XML המשודרות בפרוטוקול SSL עם פרטי זיהוי הלקוח.[4]
במרבית היישומים של פרוטוקול 3DS נדרש המשלם להזדהות באמצעות סיסמה הידועה רק לו ולמנפיק כרטיס האשראי (או שרת בקרת הגישה שלו). הסיסמה אינה ידועה למקבל התשלום, ולכן מהווה הוכחה טובה לכך שהמשלם הוא אכן בעל הכרטיס. בגרסה 1 של הפרוטוקול מחזיק הכרטיס נרשם לשירות באתר מנפיק הכרטיס וקיבל סיסמה קבועה לשירות. בגרסה 2 מחזיק הכרטיס מקבל במסרון במהלך עסקה קוד זיהוי חד-פעמי לאותה עסקה. במהלך עסקה, לאחר שמחזיק הכרטיס הזין את פרטי כרטיס האשראי מוצג לו מסך אימות, בו עליו להזין את הסיסמה או את הקוד החד-פעמי. חברת האשראי בודקת את הסיסמה שהוזנה, ומאשרת למקבל התשלום להמשיך בעסקה. כך מאומתות זהות מחזיק הכרטיס וזהות מקבל התשלום. העסקה מסומנת כעסקה עם פרט אימות מוגבר, שלא ניתן להתכחש לה.
הפרוטוקול אינו מחייב יישום הכולל סיסמה, ומאפשר גם יישום באמצעות כרטיס חכם או אסימון אבטחה (אנ'). פתרונות אלה עשויים להיות נוחים יותר למשתמש, משום שהם פוטרים אותו מהשימוש בסיסמה.
היתרון למקבל התשלום בשיטה זו הוא צמצום מצבים של חיוב חוזר (אנ') בגין עסקה לא מאושרת. לחיבור בין מקבל התשלום לשרתי חברת האשראי יש עלות ניכרת (דמי התקנה, תשלום חודשי ותשלום לכל עסקה), והטרחה הנוספת המוטלת על המשלם עלולה להתבטא בנטישת תהליך המכירה על ידי הלקוח.[5]
קישורים חיצוניים
- כיצד מערכת סליקה בטוחה (3D Secure) עובדת?, באתר טרנזילה
- מיכל פלטי, רשויות ממשלתיות לא מטמיעות אבטחה באתרים שלהן – ואנחנו משלמים על זה, באתר TheMarker, 4 באפריל 2022
- הסבר על עסקאות בטוחות באינטרנט (3D Secure), באתר קרדיט גארד
הערות שוליים
- ^ EMV 3-D Secure - FAQs
- ^ John T. Mulqueen, Visa USA tightens security with Arcot, ZDNet, May 16, 2001
- ^ Ralph Dangelmaier, Merchants can't let 'PSD2' and 'SCA' be vague initials, PaymentsSource, June 12, 2019
- ^ Emre Kaplan, 3D Secure™ Security Protocol, May 23, 2008
- ^ Charles Nicholls, Are Verified by Visa and MasterCard SecureCode Conversion Killers?, PracticalEcommerce, June 14, 2013
364088793DS (אבטחת מידע)