3-D Сецуре

3-D Сецуре представља додатни ниво безбедности код трансакција на мрежи (кредитне и дебитне картице),заснован на XМЛ стандарду. Првобитно је био развијен од стране Арцот Сyстемс,Инц да би се побољшала сигурност Интернет плаћања а корисницима понуђен^[1] од стране Виса,Инц корпорације под именом Верифиед бy Виса. Сервиси базирани на овом протоколу су такође прихваћени од стране Мастер Цард,Инц под називом Мастер Цард Сецуре Цоде и ЈЦБ Интернатионал као Ј/Сецуре. Америцан Еxпресс је прихватио 3-D Сецуре, 8.Новембра 2010 год. као Америцан Еxпресс СафеКеy али само за одређена тржишта и клијенте.^[2] Анализа проблема који се јављају код трансакција на Интернету, од стране академске заједнице, је показала да постоје многи безбедности проблеми са којима се суочавају потрошачи при онлине трансакцијама, као што су пецање (енгл. phishing). и пребацивања одговорности у случају лажних плаћања.^[3]

Опис и основни концепт[уреди | уреди извор]

Основни концепт протокола је повезивање процеса ауторизације (давање овлашћања) са онлине аутентификацијом (провером идентитета). Аутентификација се базира на моделу 3 (три) Домена (3Д). Та три домена су:

Домен купца и банке која је издала његову платну картицу (енгл. Issuer Domain),
Домен продавца и банке код које продавац има отворен рачун (енгл. Acquirer Domain),
Интероперабилни домен (Интернет, МПИ, АЦС…) који повезује горе наведене банке у заједнички систем (енгл. Interoperability Domain).

Свака група домена преузима одређену одговорност за свој удео у спровођењу и комплетирању трансакције на Интернету.

Протокол користи поруке (XМЛ стандард), послате коришћењем ССЛ конекције са провером идентитета клијента (ово осигурава проверу обе стране, клијентске и серверске, помоћу дигиталних сертификата).

Код трансакција који користе Верифиед бy Виса или СецуреЦоде систем, потребна је ауторизација од стране банке издаваоца картице која се користи на веб сајту трговца. Сваки издавалац платне картице може користити различите методе за проверу идентитета (аутентификацију). Најчешће је у питању метода која се заснива на коришћењу платних картица са лозинкама (ПИН број). Банка издавалац има могућност да за утврђивање идентитета користи и напреднија технолошка решења као што су смарт картице, електронске сертификате и др. Основна разлика између коришћења Виса и МастерЦард платних картица је у пољу за креирање УЦАФ (енгл. Universal Cardholder Authentication Field): МастерЦард користи ААВ (енг. Аццоунтхолдер Аутхентицатион Валуе) а Виса користи ЦАВВ (енгл. Cardholder Authentication Verification Value).

Уградња система[уреди | уреди извор]

Тренутно је у употреби верзија 1.0.2 спецификација протокола. Претходне верзије 0.7 (коришћење од стране Виса УСА) и 1.0.1 су превазиђење и више се не користе. МастерЦард и ЈСБ су усвојиле верзију 1.0.2 самог протокола. Да би банке чланице Виса или МастерЦард могле да користе сервис 3-D Сецуре, морају да инсталирају одговарајући софтвер који подржава најновије спецификације протокола. Када је софтвер инсталиран од стране банке, прво се врши тестирање софтвера тј. његово усклађивање са сервером система плаћања пре него што се пусти званично у рад. Новије верзије 3Д Сецуре система, користе софтвер са јаком ауторизацијијом, заснован на лозинкама за једнократну употребу -ОТП шифра.

Контрола приступа серверу (АЦС)[уреди | уреди извор]

Код 3-D Сецуре протокола, Контрола приступа серверу (АЦС) је са стране емитента (банке). Обично, веб прегледач приказује име домена АЦС провајдера, него саме банке. Међутим то није неопходно по самом протоколу. У зависности од АЦС провајдера, могуће је одредити назив банке у имену домена за употребу од стране АЦС провајдера.

Повезивање трговца (сајт-а) у 3-D Сецуре[уреди | уреди извор]

Повезивање трговца тј. његовог продајног сајта у 3-D Сецуре обавља се преко одговарајућег софтверског модула- МПИ (енгл. merchant plug-in). Свака трансакција на Интернету укључује два Захтев/Одговор пара: (енгл. VEReq/VERes) и (енгл. PAReq/PARes). Виса и МастерЦард не омогућавају трговцу да шаље ове захтеве директно ка њиховим серверима, већ уградњом МПИ на сајту трговца преузимају контролу тј слање података ка својим серверима.

Трговци[уреди | уреди извор]

Предност коришћења 3-D Сецуре за трговце се огледа у смањивању трошкова за оспоравања трансакције од стране купаца за неауторизоване куповине. Једна од мана је уградња неопходног софтвера-(енгл. plug in), која није јефтина и која укључује: наплаћивање уградње, месечно/годишње одржавање, наплаћивање провизије по трансакцији. Подршка за 3-D Сецуре је компликована и може некад довести до пропуста приликом извршења трансакције (њено отказивање). Можда и највећи недостатак представља већи број корака који купац мора да прође приликом обављање куповине што га може одвратити од куповине а самим тим и трговца ускратити за очекивана средства и повећати му трошкове одржавања система.^[4]

Купци-корисници платних картица[уреди | уреди извор]

Један од главних циљева 3-D Сецуре је смањивање ризика за кориснике платних картица-купаца од евентуалних злоупотреба од стране других лица код обављања куповине. Смањивање ризика од евентуалне злоупотребе је омогућено на два начина:

Поред броја картице и ПИН броја, уводи се и додатна лозинка коју купац сам генерише и која је позната само купцу, АЦС провајдеру и банци која је издала платну картицу и која се не складишти на картици.
Пошто трговац не складишти податке о броју картице и лозинкама на свом серверу, избегнута је могућност да подаци о платним картицама дођу у посед других лица која би их касније злоупотребила.3-D Сецуре не захтева стриктно коришћење лозинки при аутентификацији. Могуће је их је користити у комбинацији са смарт картицама, сигурносним токенима и сл. у циљу побољшања корисничког доживљаја при обављању куповине.

Опште критике Виса 3-D Сецуре[уреди | уреди извор]

Проблем лажних сајтова[уреди | уреди извор]

Систем укључује искачуће прозоре (енгл. pop-up), при утврђивању идентитета купца од стране банке која му је издала платну картицу. Искачући прозор најчешће садржи податке о износу трансакције, датуму куповине, броју платне картице, име трговине као и поље за унос лозинке коју купац треба да унесе. Проблем за купце може представљати што они не знају да ли је у питању искачучи прозор који припада њиховој банци или је у питању лажни сајт преко којег неко жели да дође до њихових података. Искачучи прозори не садрже никвакве безбедносне сертификате којима би се утврдила кредибилност 3-D Сецуре система. Виса 3-D Сецуре је била изложена критикама^[5]^[6]^[7]^[8] јер су искачући прозори долазили са сервера чији домен:

није исти као и сајта где се обавља куповина,
није домен банке која је издала платну картицу,
није виса.цом или мастерцард.цом.

Ограничена мобилност[уреди | уреди извор]

У случају када је потребан потврдни код, корисници 3Д Сецуре можда неће бити у могућности да га добију путем СМС поруке, јер неке мреже мобилне телефоније не прихватају СМС (зависи од земље се где купац тренутно налази). Систем такође није погодан за кориснике који често мењају број мобилног телефона.

Географска неравноправност[уреди | уреди извор]

Неке банке и трговци могу бити у неравноправном тржишном положају у односу на друге банке и трговце. На пр. Виса и МастерЦард у САД третирају територију Порторика као „домаћу“. Јавља се проблем преузимања надлежности у случају правних спорова проузроковане злоупотребама на Интернету.^[9]

Види још[уреди | уреди извор]

Референце[уреди | уреди извор]

^ „Виса УСА тигхтенс сецуритy wитх Арцот” (на језику: енглески). ЗДнет.
^ „СафеКеy” (на језику: енглески). АмерицанЕxпресс.цом. Архивирано из оригинала 07. 08. 2011. г. Приступљено 11. 8. 2010.
^ „Верифиед бy Виса анд МастерЦард СецуреЦоде: ор, Хоw Нот то Десигн Аутхентицатион” (ПДФ) (на језику: енглески).
^ „Аре Верифиед бy Виса анд МастерЦард СецуреЦоде Цонверсион Киллерс?” (на језику: енглески). працтицалецоммерце.цом. Приступљено 30. 7. 2013. „Тхис 2010 студy доцументед инцреасес ин тхе нумбер оф абандонед трансацтионс оф 10% то 12% фор мерцхантс неwлy јоининг тхе програм.”
^ „Антиwорм: Верифиед бy Виса (Верипхиед Пхисхинг?)” (на језику: енглески). Антиwорм.блогспот.цом. 2. 2. 2006. Приступљено 11. 8. 2010.
^ Мунцастер, Пхил. „Индустрy лаyс инто 3-D Сецуре - 11 Апр 2008” (на језику: енглески). ИТ Wеек. Архивирано из оригинала 07. 10. 2008. г. Приступљено 11. 8. 2010.
^ Бригналл, Милес (21. 4. 2007). „Верифиед бy Виса сцхеме цонфусес тхоусандс оф интернет схопперс”. Тхе Гуардиан (на језику: енглески). Лондон. Архивирано из оригинала 6. 5. 2010. г. Приступљено 23. 4. 2010.
^ „Верифиед бy Виса анд МастерЦард СецуреЦоде: ор, Хоw Нот то Десигн Аутхентицатион” (ПДФ) (на језику: енглески). Приступљено 11. 8. 2010.
^ „дацо.пр.гов”. дацо.пр.гов. Архивирано из оригинала 12. 08. 2014. г. Приступљено 17. 7. 2014. шп.

Спољашње везе[уреди | уреди извор]

Америцан Еxпресс Унитед Кингдом Иссуер Цардмембер СафеКеy Информатион сите (језик: енглески)
Верифиед бy Виса (језик: енглески)
Ацтиватинг Верифиед бy Виса (језик: енглески)
МастерЦард СецуреЦоде хоме паге (језик: енглески)
ЦЕРИАС дисцуссес Верифиед бy Виса схортцомингс (језик: енглески)
уса.виса.цом (језик: енглески)
абоут.америцанеxпресс.цом (језик: енглески)
официјелни сајт виса-србија
официјелни сајт мастерцард-србија
официјелни америцанеxпресс-србија Архивирано на сајту Wayback Machine (1. мај 2015)

[1] „Виса УСА тигхтенс сецуритy wитх Арцот” (на језику: енглески). ЗДнет.

[2] „СафеКеy” (на језику: енглески). АмерицанЕxпресс.цом. Архивирано из оригинала 07. 08. 2011. г. Приступљено 11. 8. 2010.

[3] „Верифиед бy Виса анд МастерЦард СецуреЦоде: ор, Хоw Нот то Десигн Аутхентицатион” (ПДФ) (на језику: енглески).

[4] „Аре Верифиед бy Виса анд МастерЦард СецуреЦоде Цонверсион Киллерс?” (на језику: енглески). працтицалецоммерце.цом. Приступљено 30. 7. 2013. „Тхис 2010 студy доцументед инцреасес ин тхе нумбер оф абандонед трансацтионс оф 10% то 12% фор мерцхантс неwлy јоининг тхе програм.”

[5] „Антиwорм: Верифиед бy Виса (Верипхиед Пхисхинг?)” (на језику: енглески). Антиwорм.блогспот.цом. 2. 2. 2006. Приступљено 11. 8. 2010.

[6] Мунцастер, Пхил. „Индустрy лаyс инто 3-D Сецуре - 11 Апр 2008” (на језику: енглески). ИТ Wеек. Архивирано из оригинала 07. 10. 2008. г. Приступљено 11. 8. 2010.

[7] Бригналл, Милес (21. 4. 2007). „Верифиед бy Виса сцхеме цонфусес тхоусандс оф интернет схопперс”. Тхе Гуардиан (на језику: енглески). Лондон. Архивирано из оригинала 6. 5. 2010. г. Приступљено 23. 4. 2010.

[8] „Верифиед бy Виса анд МастерЦард СецуреЦоде: ор, Хоw Нот то Десигн Аутхентицатион” (ПДФ) (на језику: енглески). Приступљено 11. 8. 2010.

[9] „дацо.пр.гов”. дацо.пр.гов. Архивирано из оригинала 12. 08. 2014. г. Приступљено 17. 7. 2014. шп.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]