Mastercard Identity Check: كل ما يحتاج التجار وجهات الإصدار إلى معرفته

يوجد في عالم التجارة الرقمية تحدٍ أساسي: كيف يمكن للشركات أن تقدم تجربة دفع سلسة وسهلة عبر الإنترنت، وفي نفس الوقت تحمي نفسها وعملاءها من تهديد الاحتيال المستمر؟ تفتقر معاملات "البطاقة غير موجودة" (CNP)، التي تعد العمود الفقري للتجارة الإلكترونية، إلى الأمان المتأصل في تقديم البطاقة فعليًا، مما يؤدي إلى معدلات احتيال أعلى بكثير. تاريخيًا، كانت معاملات CNP مسؤولة عن حصة غير متناسبة من خسائر الاحتيال مقارنة بحجمها. علاوة على ذلك، فإن تكلفة منع الاحتيال من خلال إجراءات صارمة للغاية، والتي تؤدي إلى رفض المعاملات المشروعة عن طريق الخطأ (الرفض الخاطئ أو "إهانة العملاء")، قد تتجاوز أحيانًا تكلفة الاحتيال نفسه، مما يؤدي إلى خسارة المبيعات وإحباط العملاء.

وهنا يأتي دور Mastercard Identity Check، وهو برنامج Mastercard الشامل المصمم لمواجهة هذا التحدي بشكل مباشر. يعتمد البرنامج على معيار EMV 3-D Secure العالمي، ويمثل تطورًا كبيرًا في مصادقة المدفوعات عبر الإنترنت. تتمثل مهمته الأساسية في تعزيز الأمان، ومكافحة الاحتيال، وزيادة معدلات الموافقة على المعاملات، وتبسيط رحلة الدفع لحاملي البطاقات، والبنوك المصدرة (جهات الإصدار)، والشركات (التجار) على حد سواء.

يجيب هذا المقال على أسئلة حيوية لجهات الإصدار، والتجار، ومزودي خدمات الدفع (PSPs)، ومطوري البرامج، ومديري المنتجات، ومحترفي الأمن الذين يتطلعون إلى فهم برنامج Mastercard Identity Check بعمق:

1. ما هو برنامج Mastercard Identity Check بالضبط، ولماذا تم تطويره؟

2. كيف يستفيد Mastercard Identity Check من تقنية EMV 3-D Secure للحد من الاحتيال والرفض الخاطئ للمعاملات؟

3. ما هو دور التقنيات المتقدمة، مثل القياسات الحيوية السلوكية من NuData، في تمكين مصادقة المستخدم السلسة؟

4. كيف يمكن للتجار ومزودي خدمات الدفع (PSPs) دمج Mastercard Identity Check بفعالية في عمليات الدفع الحالية لديهم؟

5. ما هي الفوائد الملموسة التي يمكن للشركات توقعها من اعتماد Mastercard Identity Check — من حيث معدلات الموافقة على المعاملات، وتجربة المستخدم، والحد من الاحتيال؟

بدأت رحلة الوصول إلى Mastercard Identity Check مع نقاط الضعف الكامنة في بدايات التجارة الإلكترونية. مع ازدياد التسوق عبر الإنترنت، استغل المحتالون عدم وجود البطاقة فعليًا، مما أدى إلى تصاعد معدلات الاحتيال في معاملات CNP. جاءت الاستجابة الأولية من القطاع في عام 1999 مع إطلاق بروتوكول 3-D Secure (3DS). كانت النسخة التي تحمل علامة Mastercard التجارية من هذا الإصدار الأول تُعرف باسم Mastercard SecureCode. ورغم أن SecureCode (3DS 1.0) كان يهدف إلى محاكاة أمان الدفع الفعلي بإضافة طبقة من مصادقة حامل البطاقة، وقدم ميزة حاسمة تتمثل في تحويل المسؤولية عن بعض عمليات استرداد المبالغ المدفوعة الاحتيالية بعيدًا عن التجار، إلا أنه عانى من عيوب كبيرة أعاقت فعاليته واعتماده:

• احتكاك عالٍ: تضمنت الطريقة الأكثر شيوعًا للتنفيذ كلمات مرور ثابتة أو أسئلة تحقق مرهقة، مما كان يتطلب غالبًا من المستخدمين التسجيل مسبقًا وتذكر بيانات اعتماد منفصلة. أضاف هذا احتكاكًا ملحوظًا إلى عملية الدفع.

• تجربة مستخدم سيئة: أدت عمليات إعادة التوجيه إلى صفحات تحمل علامة جهة الإصدار التجارية للمصادقة إلى خلق تجربة مستخدم غير متسقة ومزعجة في كثير من الأحيان، مما أدى إلى الارتباك والشك بين المتسوقين. ساهم هذا الاحتكاك بشكل مباشر في ارتفاع معدلات التخلي عن عربة التسوق.

• تبادل بيانات محدود: سمح 3DS 1.0 فقط بتبادل حوالي 15 عنصرًا من البيانات بين التاجر وجهة الإصدار، مما يوفر سياقًا غير كافٍ لتقييم المخاطر بدقة.

• تصميم يركز على المتصفح: صُمم بشكل أساسي للمعاملات القائمة على المتصفح، مما جعله غير مناسب لعالم مدفوعات تطبيقات الهاتف المحمول سريع النمو وتجارة IoT الناشئة.

• تخفيف غير كافٍ للرفض الخاطئ: لم تعالج البيانات المحدودة والتركيز على التحديات الصريحة بشكل فعال مشكلة الرفض الخاطئ الكبيرة، حيث تم تصنيف المعاملات المشروعة بشكل غير صحيح على أنها احتيالية، مما أضر بالعلاقات مع العملاء وتسبب في خسارة الإيرادات.

أصبح من الواضح أن التأثير السلبي لتجربة المستخدم السيئة - الذي تجلى في التخلي عن عربة التسوق والرفض الخاطئ - يمثل في كثير من الأحيان خسارة مالية أكبر للشركات من تكاليف الاحتيال المباشرة. دفع هذا الواقع الاقتصادي، إلى جانب الحاجة إلى منع احتيال أقوى في عالم رقمي متزايد، إلى تطوير نهج حديث.

يهدف إطلاق Mastercard Identity Check، المبني على الجيل التالي من بروتوكول EMV 3-D Secure، إلى التغلب على هذه القيود بمجموعة واضحة من الأهداف:

1. تقليل احتيال CNP: استخدام تقنيات أكثر تطورًا لاكتشاف ومنع المعاملات غير المصرح بها.
2. تقليل الاحتكاك: إنشاء تدفقات مصادقة سلسة وأسرع للغالبية العظمى من المعاملات.
3. زيادة معدلات الموافقة: تقليل حالات الرفض الخاطئ من خلال تزويد جهات الإصدار ببيانات أغنى لتقييمات مخاطر أكثر دقة.
4. دعم القنوات الحديثة: دعم المصادقة أصلاً داخل تطبيقات الهاتف المحمول والمحافظ الرقمية والأجهزة المتصلة الأخرى.
5. تمكين تبادل البيانات الغني: تسهيل المشاركة الآمنة لكمية أكبر بكثير من بيانات المعاملات والبيانات السياقية.
6. الحفاظ على تحويل المسؤولية: الحفاظ على ميزة تحويل المسؤولية عن المعاملات الاحتيالية المصادق عليها بعيدًا عن التجار المشاركين.

Mastercard Identity Check - Early Adopter Program Learnings

من الضروري التمييز بين المعيار التكنولوجي الأساسي والتنفيذ المحدد من قبل Mastercard.

EMV 3DS هو مواصفة البروتوكول العالمية التي طورتها وتديرها EMVCo، وهي منظمة مملوكة بشكل مشترك لشبكات الدفع العالمية الكبرى بما في ذلك Mastercard وVisa وAmerican Express وDiscover وJCB وUnionPay. يحدد الإطار الفني للاتصال الآمن وتبادل البيانات بين المجالات الرئيسية الثلاثة المشاركة في مصادقة المعاملات عبر الإنترنت:

1. مجال المستحوذ (Acquirer Domain): يشمل التاجر، وبوابة الدفع الخاصة به، والبنك المستحوذ (بنك التاجر). يبدأ هذا المجال طلب المصادقة عبر مكون يسمى عادةً خادم 3DS (أو تاريخيًا، Merchant Plug-In/MPI).

2. مجال جهة الإصدار (Issuer Domain): يشمل البنك المصدر (بنك حامل البطاقة) وحامل البطاقة. هذا المجال مسؤول عن التحقق من هوية حامل البطاقة عبر مكون يسمى خادم التحكم في الوصول (ACS).

3. مجال التشغيل البيني (Interoperability Domain): يتكون بشكل أساسي من خادم الدليل (DS)، الذي تديره شبكة البطاقات (مثل Mastercard). يعمل DS كموجه مركزي، حيث يوجه رسائل المصادقة بين خادم 3DS وACS الصحيحين بناءً على رقم البطاقة (تحديدًا، رقم تعريف البنك أو BIN).

أدخل بروتوكول EMV 3DS (الذي يشار إليه غالبًا باسم 3DS 2.0 أو 2.x) تحسينات كبيرة على 3DS 1.0 الأصلي:

• بيانات أكثر بـ 10 أضعاف: يدعم تبادل أكثر من 150 عنصرًا من البيانات (مقارنة بحوالي 15 في 3DS 1.0)، مما يوفر سياقًا أغنى لتقييم المخاطر، بما في ذلك معلومات الجهاز، وتاريخ المعاملات، وتفاصيل المتصفح، وبيانات التاجر.

• المصادقة القائمة على المخاطر (RBA): تتيح تدفقات المصادقة السلسة حيث تتم الموافقة على المعاملات منخفضة المخاطر بصمت في الخلفية بناءً على تحليل البيانات، دون الحاجة إلى تفاعل حامل البطاقة. تهدف إلى تحقيق معدلات مصادقة سلسة تتراوح بين 90-95%.

• دعم أصلي للهاتف المحمول/التطبيقات: يتضمن مجموعات تطوير البرامج (SDKs) للتكامل السلس داخل تدفقات الدفع في تطبيقات الهاتف المحمول، مما يلغي عمليات إعادة التوجيه المزعجة للمتصفح.

• طرق مصادقة محسنة: يدعم طرق المصادقة الحديثة مثل كلمات المرور لمرة واحدة (OTPs) التي يتم تسليمها عبر الرسائل القصيرة أو التطبيق، والقياسات الحيوية (بصمة الإصبع، التعرف على الوجه)، والمصادقة خارج النطاق، مبتعدًا عن كلمات المرور الثابتة.

• حالات استخدام أوسع: يمتد إلى ما هو أبعد من مصادقة الدفع البسيطة لدعم المصادقة غير المتعلقة بالدفع (مثل إضافة بطاقة إلى محفظة رقمية)، والمدفوعات المتكررة، والترميز.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check هو اسم برنامج Mastercard المحدد الذي ينفذ ويحكم استخدام بروتوكول EMV 3DS داخل شبكتها. وهو خليفة برنامج Mastercard SecureCode. على الرغم من أنه مبني على معيار EMV 3DS، إلا أن Mastercard Identity Check يدمج أصول وتقنيات Mastercard الفريدة لتعزيز الأداء والأمان. وهذا يشمل:

• الذكاء الاصطناعي والتعلم الآلي الخاصان بالشركة: الاستفادة من بيانات شبكة Mastercard الواسعة وقدرات الذكاء الاصطناعي لتحسين تقييم المخاطر واتخاذ القرارات.

• التحليلات السلوكية (NuData): دمج الرؤى من القياسات الحيوية السلوكية لـ NuData (التي نوقشت في القسم التالي) لفهم أنماط تفاعل المستخدم واكتشاف محاولات الاحتيال المتطورة.

• ذكاء الشبكة: استخدام الرؤى من مليارات المعاملات التي تتم معالجتها عالميًا لإبلاغ تقييمات المخاطر.

• حوكمة البرنامج: تضع Mastercard مؤشرات أداء رئيسية (KPIs) وقواعد محددة للمشاركين (جهات الإصدار، التجار، البنوك المستحوذة) ضمن برنامج Identity Check لضمان الأداء الأمثل وتجربة المستخدم عبر شبكتها.

لذلك، فإن Mastercard Identity Check ليس مجرد إعادة تسمية لبروتوكول EMV 3DS. إنه يمثل طبقة استراتيجية من Mastercard لذكائها الخاص وإطار حوكمتها على أساس البروتوكول الموحد. يهدف هذا التآزر إلى تقديم خدمة مصادقة قد تكون أكثر فعالية وتميزًا مقارنة بتنفيذ EMV 3DS الأساسي، مما يوفر اكتشافًا محسنًا للمخاطر وتحسينًا للأداء داخل نظام Mastercard البيئي.

Mastercard Identity Check

يعتمد Mastercard Identity Check على تفاعل متطور بين عدة مكونات تكنولوجية أساسية لتحقيق أهدافه المتمثلة في الأمان والسلاسة. يعد فهم هذه المكونات أمرًا بالغ الأهمية لتقدير كيفية تقييم النظام للمخاطر ومصادقة المستخدمين.

تعد تقنية القياسات الحيوية السلوكية من NuData، التي استحوذت عليها Mastercard في عام 2017، حجر الزاوية في قدرات المصادقة المتقدمة لدى Mastercard. على عكس المصادقة التقليدية التي تركز على ما يعرفه المستخدم (كلمة المرور) أو ما يملكه (هاتف لـ OTP)، تحلل القياسات الحيوية السلوكية كيفية تفاعل المستخدم مع جهازه والتطبيق. تركز على القياسات الحيوية السلبية - أنماط التفاعل المتأصلة، وغالبًا ما تكون غير واعية.

• كيف تعمل: أثناء جلسة عبر الإنترنت (مثل الدفع أو حتى فتح حساب)، تجمع تقنية NuData بشكل سلبي وتحلل مئات الإشارات السلوكية الدقيقة. يمكن أن تشمل هذه:

  • ديناميكيات الكتابة (السرعة، الإيقاع، الضغط)

  • حركات الماوس (الأنماط، السرعة، النقرات)

  • التعامل مع الجهاز (الزاوية، بيانات مقياس التسارع)

  • التفاعل مع شاشة اللمس (الضغط، أنماط السحب)

  • أنماط التنقل (استخدام Tab مقابل النقر، التقدم في النموذج، سلوك "العودة للخلف")

  • سلوك الجلسة (الألفة مع النموذج، الوقت المستغرق، استخدام النسخ/اللصق، تبديل النوافذ)

• الغرض والتكامل: يتم إدخال هذه البيانات السلوكية في نماذج التعلم الآلي التي تبني ملفًا شخصيًا فريدًا لكل مستخدم شرعي. يحلل النظام مليارات نقاط البيانات سنويًا للتعلم المستمر وتحسين هذه الملفات الشخصية. وتتمثل وظيفته الأساسية ضمن Mastercard Identity Check في التمييز بين البشر الحقيقيين والروبوتات الآلية والمحتالين المتطورين، حتى عندما يمتلكون بيانات اعتماد مسروقة. يكتشف الحالات الشاذة والإشارات عالية المخاطر في الوقت الفعلي، مما يوفر مدخلاً حاسمًا لمحرك المصادقة القائمة على المخاطر.

تعد تقنية NuData جزءًا لا يتجزأ من استراتيجية الأمان متعددة الطبقات لدى Mastercard، حيث تدعم حلولًا مثل NuDetect وتساهم بشكل كبير في الذكاء وراء Mastercard Identity Check. وهي فعالة بشكل خاص ضد الهجمات الآلية مثل حشو بيانات الاعتماد ومحاولات الاستيلاء على الحسابات.

WSJ Mastercard Nudata

من خلال الاستفادة من قدرات تبادل البيانات الغنية لـ EMV 3DS 2.0، يدمج Mastercard Identity Check ذكاء الجهاز الشامل. يتضمن ذلك جمع وتحليل مجموعة واسعة من نقاط البيانات الخاصة بالجهاز الذي يبدأ المعاملة.

• نقاط البيانات: يسمح بروتوكول EMV 3DS بنقل أكثر من 150 متغيرًا. يشمل ذلك معلومات مثل:

  • نوع الجهاز وطرازه ونظام التشغيل

  • نوع المتصفح وإصداره ولغته والمكونات الإضافية المثبتة

  • عنوان IP وبيانات تحديد الموقع الجغرافي

  • نوع اتصال الشبكة والمنطقة الزمنية

  • معرفات الجهاز أو بصماته

  • دقة الشاشة وخصائص الجهاز الأخرى

  • قد تتعاون Mastercard أيضًا مع شركات مثل Ekata لزيادة إثراء بيانات التحقق من الجهاز والهوية

• الغرض: تساعد هذه الثروة من معلومات الجهاز في بناء ملف تعريف شامل للمخاطر. يسمح للنظام بالتعرف على الأجهزة الموثوقة، واكتشاف الحالات الشاذة مثل عدم تطابق الموقع أو محاولات انتحال معلومات الجهاز، وتحديد اتصالات الشبكة عالية المخاطر، والإبلاغ عن الأنشطة الاحتيالية المحتملة التي تنشأ من أجهزة غير مألوفة أو مخترقة. يعد ذكاء الجهاز مدخلاً حاسمًا آخر لمحرك RBA.

محرك RBA هو مركز الذكاء المركزي لـ Mastercard Identity Check، وهو مسؤول عن تقييم المخاطر الإجمالية للمعاملة في الوقت الفعلي وتحديد مسار المصادقة المناسب.

كيف يعمل: يقوم المحرك بتجميع المعلومات من مصادر متعددة:

• حقول بيانات EMV 3DS (تفاصيل المعاملة، معلومات التاجر، ذكاء الجهاز)

• إشارات القياسات الحيوية السلوكية من NuData

• بيانات المعاملات التاريخية وملفات تعريف المستخدمين

• نماذج الذكاء الاصطناعي والتعلم الآلي الخاصة بـ Mastercard، المدربة على بيانات الشبكة العالمية

الغرض: بناءً على هذا التحليل الشامل، يحسب محرك RBA درجة مخاطر للمعاملة. تُعلم هذه النتيجة القرار بشأن المضي قدمًا في مصادقة سلسة (للمعاملات منخفضة المخاطر) أو بدء تحدٍ إضافي (للمعاملات عالية المخاطر) للتحقق من هوية حامل البطاقة. عادةً ما يتم إرسال النتيجة (درجة أو توصية) إلى ACS الخاص بجهة الإصدار للمساعدة في قرار المصادقة النهائي. تقدم Mastercard أيضًا خدمات Stand-In RBA لتوفير التغطية إذا كان ACS الخاص بجهة الإصدار غير متاح أو غير جاهز بعد لـ 3DS.

تكمن قوة Mastercard Identity Check في التآزر بين هذه المكونات. بينما توفر بيانات الجهاز والمعاملات الغنية من EMV 3DS سياقًا أساسيًا، فإن دمج القياسات الحيوية السلوكية من NuData يضيف طبقة دفاع حاسمة. يمكن لـ NuData غالبًا اكتشاف محاولات الاحتيال المتطورة، مثل الاستيلاء على الحسابات باستخدام بيانات اعتماد صالحة أو الروبوتات المصممة لتقليد التفاعل البشري، والتي قد تتجاوز الأنظمة التي تعتمد فقط على نقاط البيانات التقليدية. يتيح هذا النهج متعدد الأوجه لمحرك RBA إجراء تقييمات مخاطر أكثر دقة وثقة، مما يتيح معدلًا أعلى من الموافقات السلسة مع الحفاظ على أمان قوي.

Mastercard Identity Check Program

أحد الأهداف الأساسية لـ Mastercard Identity Check هو تقليل الاضطراب أثناء الدفع عبر الإنترنت من خلال تمكين تدفقات المصادقة السلسة كلما أمكن ذلك. تعتمد هذه التجربة السلسة، حيث تحدث المصادقة بصمت في الخلفية، بشكل كبير على الموافقات القائمة على البيانات، والاستخدام الذكي للإعفاءات، والفهم الواضح لآثار المسؤولية.

أساس التدفق السلس هو المصادقة القائمة على المخاطر (RBA). يسهل بروتوكول EMV 3DS تبادل كمية هائلة من البيانات (أكثر من 150 عنصرًا محتملاً) بين بيئة التاجر (عبر خادم 3DS) وبيئة جهة الإصدار (ACS). تعزز Mastercard هذه البيانات بذكاء شبكتها الخاص، وخوارزميات الذكاء الاصطناعي، ورؤى القياسات الحيوية السلوكية من NuData. يقوم ACS الخاص بجهة الإصدار (أو خدمة RBA من Mastercard) بتحليل هذه المجموعة الشاملة من البيانات في الوقت الفعلي. إذا أشار التحليل إلى احتمال منخفض للاحتيال - بناءً على عوامل مثل جهاز معروف، وسلوك شراء نموذجي، وموقع مألوف، وأنماط سلوكية متسقة، وأدلة سياقية أخرى - يمكن مصادقة المعاملة بشكل سلبي، دون مطالبة حامل البطاقة بأداء أي إجراء (مثل إدخال OTP أو استخدام بصمة الإصبع). هذا هو جوهر الموافقة القائمة على البيانات التي تمكن التدفق السلس، بهدف تغطية 90-95% من المصادقات.

في مناطق مثل أوروبا التي يحكمها توجيه خدمات الدفع (PSD2)، غالبًا ما تكون المصادقة القوية للعملاء (SCA) - التي تتطلب عادةً عاملين مستقلين للمصادقة - إلزامية للمدفوعات عبر الإنترنت. ومع ذلك، يسمح التنظيم وبروتوكول EMV 3DS بإعفاءات محددة حيث لا تكون SCA مطلوبة، مما يسهل التجارب السلسة. يدعم Mastercard Identity Check تطبيق هذه الإعفاءات. تشمل الإعفاءات الرئيسية ما يلي:

• تحليل مخاطر المعاملات (TRA): إذا قام البنك المستحوذ أو جهة الإصدار بإجراء تحليل للمخاطر في الوقت الفعلي واعتبر المعاملة منخفضة المخاطر، وكان مبلغ المعاملة أقل من عتبات معينة مرتبطة بمعدل الاحتيال الإجمالي للكيان، فيمكن إعفاء المعاملة من SCA.

• المدفوعات منخفضة القيمة: يمكن إعفاء المعاملات التي تقل عن قيمة محددة (على سبيل المثال، 30 يورو في أوروبا)، على الرغم من تطبيق حدود تراكمية (على سبيل المثال، المبلغ الإجمالي أو عدد المعاملات منذ آخر SCA).

• المستفيدون الموثوق بهم (القائمة البيضاء للتجار): يمكن لحاملي البطاقات تحديد تجار معينين على أنهم "موثوق بهم" لدى جهة الإصدار الخاصة بهم. قد تكون المعاملات اللاحقة مع هؤلاء التجار المدرجين في القائمة البيضاء معفاة من SCA.

• المدفوعات المتكررة والمعاملات التي يبدأها التاجر (MITs): بينما يتطلب الإعداد الأولي للدفع المتكرر أو اتفاقية البطاقة المحفوظة عادةً SCA، قد تعتبر المدفوعات اللاحقة التي يبدأها التاجر باستخدام بيانات الاعتماد هذه خارج النطاق أو معفاة في ظل ظروف معينة. توفر إصدارات EMV 3DS 2.2 والإصدارات الأحدث دعمًا محددًا لهذه المعاملات 3RI (3DS Requestor Initiated).

• المدفوعات الآمنة للشركات: قد تنطبق إعفاءات محددة على مدفوعات الشركات التي تتم باستخدام بروتوكولات آمنة مخصصة.

يمكن للتجار ومزودي خدمات الدفع (PSPs) الإشارة إلى طلبهم للحصول على إعفاء ضمن رسالة مصادقة EMV 3DS.

Corbado Outcome Based SCA Passkey

كانت إحدى الفوائد الهامة لاستخدام 3-D Secure دائمًا هي التحويل المحتمل للمسؤولية عن أنواع معينة من عمليات استرداد المبالغ المدفوعة الاحتيالية.

• المعاملات المصادق عليها بنجاح: عندما تتم مصادقة معاملة بنجاح من خلال Mastercard Identity Check (سواء عبر تدفق سلس أو تحدٍ)، فإن المسؤولية عن عمليات استرداد المبالغ المدفوعة التي يُدعى أنها "غير مصرح بها" تنتقل عمومًا من التاجر إلى جهة إصدار البطاقة. تنطبق هذه الحماية حتى لو كانت المصادقة سلسة، على الرغم من أن قواعد وسيناريوهات شبكة البطاقات المحددة قد تنطبق.

• تأثير الإعفاءات: هذه نقطة حاسمة: إذا طلب تاجر أو مزود خدمة الدفع (PSP) الخاص به إعفاءً من SCA (مثل TRA أو القيمة المنخفضة) ومنحته جهة الإصدار، فإن المسؤولية عن الاحتيال تظل عادةً مع التاجر. يحصل التاجر على فائدة تجربة دفع أكثر سلاسة ولكنه يحتفظ بالمخاطر المالية للاحتيال. ومع ذلك، إذا قررت جهة الإصدار من جانب واحد تطبيق إعفاء (على سبيل المثال، بناءً على تقييم المخاطر الخاص بها)، فقد تنتقل المسؤولية إلى جهة الإصدار.

• المصادقة التي تمت محاولتها/فشلت: يمكن أن تكون القواعد المحيطة بالمسؤولية عندما تتم محاولة المصادقة ولكنها تفشل أو لا يمكن إكمالها (على سبيل المثال، ACS الخاص بجهة الإصدار غير متاح) معقدة وتعتمد على الظروف المحددة وقواعد شبكة البطاقات. قد توفر قواعد Mastercard حماية للتاجر في سيناريوهات معينة، حتى لو لم تكن جهة الإصدار قد هاجرت بالكامل.

• التدفقات القائمة على البيانات فقط: التدفقات المحددة مثل "Identity Check Insights" من Mastercard، والتي تتضمن مشاركة البيانات لتقييم المخاطر دون إجراء محاولة مصادقة كاملة، لا تمنح صراحةً تحويل المسؤولية إلى التاجر.

يخلق هذا نقطة قرار استراتيجية مهمة للتجار ومزودي خدمات الدفع (PSPs). يمكن أن يؤدي طلب الإعفاءات إلى تحسين معدلات التحويل من خلال ضمان تجربة سلسة، ولكنه يأتي على حساب الاحتفاظ بمسؤولية الاحتيال. على العكس من ذلك، قد يؤمن فرض المصادقة (حتى لو نتج عنه تدفق سلس وافقت عليه جهة الإصدار) تحويل المسؤولية ولكنه قد يؤدي إلى احتكاك إذا كان التحدي مطلوبًا. لذلك، هناك حاجة إلى استراتيجية متطورة لإدارة المخاطر لتحديد النهج الأمثل على أساس كل معاملة، مع الموازنة بين أهداف التحويل وتحمل مخاطر الاحتيال.

علاوة على ذلك، يعتمد نجاح التدفق السلس، ودقة قرار RBA، بشكل كبير على جودة واكتمال البيانات التي يقدمها التاجر ومزود خدمة الدفع (PSP) الخاص به من خلال رسائل EMV 3DS. تعيق البيانات غير المكتملة أو غير الدقيقة قدرة جهة الإصدار على إجراء تقييمات موثوقة للمخاطر، مما قد يؤدي إلى المزيد من التحديات أو حتى الرفض، وبالتالي تقويض فوائد النظام. يتطلب تحقيق الأداء السلس الأمثل جهدًا تعاونيًا يتطلب إدارة بيانات دؤوبة من جانب الاستحواذ.

Mastercard Identity Check Program

Mastercard Frictionless Future

بالنسبة لجهات إصدار البطاقات، يعد التكامل مع برنامج Mastercard Identity Check أمرًا ضروريًا للاستفادة من مزاياه الأمنية وتجربة المستخدم. يتضمن ذلك تمكين محافظ بطاقاتهم (المحددة بأرقام تعريف البنك، أو BINs) والاتصال بالبنية التحتية للمصادقة، بشكل أساسي من خلال خادم التحكم في الوصول (ACS).

يقع ACS ضمن مجال جهة الإصدار وهو القلب التكنولوجي لعملية المصادقة من منظور جهة الإصدار. تشمل مسؤولياته الرئيسية ما يلي:

• استلام طلبات المصادقة (رسائل AReq) الموجهة من التاجر عبر خادم دليل Mastercard (DS)

• التحقق مما إذا كان رقم البطاقة المحدد مسجلاً ومؤهلاً لـ Mastercard Identity Check

• إجراء تقييم للمخاطر (غالبًا ما يستفيد من محركات RBA وبيانات مثل درجة Mastercard Smart Authentication)

• تحديد ما إذا كان سيتم المصادقة بسلاسة أو بدء تحدٍ

• إدارة عملية التحدي إذا لزم الأمر (على سبيل المثال، إرسال OTP عبر الرسائل القصيرة، المطالبة بالتحقق البيومتري عبر تطبيق بنكي)

• إنشاء وإرجاع استجابة المصادقة (رسالة ARes)، بما في ذلك قيمة مصادقة حامل الحساب (AAV) الحاسمة للمعاملات المصادق عليها بنجاح، مرة أخرى إلى DS

لدى جهات الإصدار عدة مسارات لتنفيذ وظائف ACS:

1. ACS داخلي: يمكن لجهة الإصدار اختيار بناء ونشر واستضافة وإدارة حل برامج ACS الخاص بها ضمن بيئة تكنولوجيا المعلومات الخاصة بها.

   • الإيجابيات: يوفر أقصى قدر من التحكم في منطق المصادقة، وقواعد المخاطر، وتخصيص تجربة المستخدم، والتكامل مع الأنظمة الداخلية.

   • السلبيات: يتطلب خبرة فنية داخلية كبيرة، وموارد تطوير وصيانة كبيرة، والالتزام الصارم بمعايير الامتثال المستمرة لـ EMVCo وPCI 3DS.

2. ACS مستضاف (بائع طرف ثالث): يمكن لجهات الإصدار الشراكة مع بائعي ACS متخصصين ومعتمدين من Mastercard والذين يقدمون ACS كخدمة مُدارة. غالبًا ما يشار إلى جهة الإصدار في هذا النموذج باسم "المدير المستضاف".

   • الإيجابيات: يقلل من التعقيد التشغيلي لجهة الإصدار، وتكاليف البنية التحتية، وعبء الامتثال. يستفيد من خبرة البائع وربما يوفر وقتًا أسرع للوصول إلى السوق.

   • السلبيات: قد يوفر تحكمًا وتخصيصًا أقل دقة مقارنة بالحل الداخلي. الاعتماد على طرف ثالث لوظيفة حيوية.

   • نظام البائعين البيئي: تحتفظ Mastercard بقائمة من بائعي ACS المتوافقين، مع أمثلة تشمل شركات مثل Entersekt وNetcetera وGPayments وLogibiztech.

3. خدمات Mastercard التكميلية: تقدم Mastercard خدمات ذات قيمة مضافة يمكن أن تعزز مسار ACS الذي تختاره جهة الإصدار:

   • Mastercard Smart Authentication for ACS/Issuers: يوفر ذكاء RBA لتعزيز قدرات اتخاذ القرار في ACS.

   • Mastercard Stand-In RBA: يوفر معالجة RBA احتياطية إذا كان ACS الأساسي لجهة الإصدار غير متاح أو إذا لم يتم تمكين BINs معينة بالكامل لـ EMV 3DS.

   • Mastercard 3-D Secure Authentication Challenge Service: يوفر إمكانات تحدي بيومترية (تستفيد من معايير FIDO) يمكن دمجها مع تدفق ACS.

يمثل الاختيار بين ACS الداخلي والمستضاف قرارًا استراتيجيًا مهمًا لجهات الإصدار، حيث يوازن بين الرغبة في التحكم والحاجة إلى الكفاءة وفعالية التكلفة وسرعة التنفيذ.

يتضمن تمكين نطاقات أرقام تعريف البنك (BIN) المحددة لـ Mastercard Identity Check سلسلة من الخطوات المنسقة:

1. اختيار مسار ACS: تحديد ما إذا كان سيتم استخدام ACS داخلي أو مزود مستضاف.

2. ضمان امتثال ACS: التحقق من أن حل ACS المختار (داخلي أو بائع) متوافق مع قواعد برنامج Mastercard Identity Check الحالية وإصدار مواصفات EMV 3DS ذي الصلة. يتضمن هذا عادةً إكمال مشغل ACS لاختبار امتثال Mastercard.

3. التسجيل في Mastercard Identity Check: تسجيل المؤسسة المصدرة في البرنامج عبر منصة اختبار Mastercard Identity Check على Mastercard Connect، وقبول الشروط وتوفير المعرفات اللازمة مثل معرف الشركة (CID) ورقم رابطة البطاقات بين البنوك (ICA).

4. تسجيل نطاقات BIN مع خادم الدليل: استخدام أداة إدارة خدمات حلول الهوية (ISSM) على Mastercard Connect لتسجيل نطاقات BIN المحددة التي ستشارك في Identity Check. لكل نطاق مسجل، يجب توفير عنوان URL الخاص بـ ACS المقابل. لاحظ أن نطاقات BIN التي تم تسجيلها مسبقًا لـ Mastercard SecureCode (3DS 1.0) تتطلب تسجيلًا منفصلاً لـ Identity Check (EMV 3DS).

5. تكوين قواعد المصادقة: تحديد طرق المصادقة الأساسية (مثل RBA) وأي طرق تحدي إضافية (مثل SMS OTP، القياسات الحيوية) التي سيتم استخدامها لـ BINs المسجلة. التأكد من تكوين الدعم لكل من التدفقات السلسة وتدفقات التحدي.

6. إدارة الشهادات: الحصول على وإدارة شهادات خادم/عميل Transport Layer Security (TLS) اللازمة للاتصال الآمن مع خادم دليل Mastercard، وشهادات التوقيع الرقمي إذا كان ذلك ممكنًا، باستخدام بوابة إدارة مفاتيح Mastercard.

7. تنفيذ التحقق من AAV: إعداد عمليات للتحقق من قيمة مصادقة حامل الحساب (AAV) المستلمة في رسائل التفويض للمعاملات المصادق عليها. يمكن القيام بذلك داخليًا أو باستخدام خدمة التحقق من AAV من Mastercard.

8. التنسيق مع المعالج: التأكد من أن معالج الدفع الخاص بجهة الإصدار قادر على التعامل مع أي عناصر بيانات جديدة مرتبطة بـ Mastercard Identity Check، مثل Digital Transaction Insights.

9. الانطلاق والمراقبة: بمجرد اكتمال التكوين والاختبار، قم بتنشيط نطاقات BIN المسجلة في بيئة الإنتاج ومراقبة أداء المعاملات ومؤشرات الأداء الرئيسية بشكل مستمر.

من المهم إدراك أن إدارة BIN هي عملية مستمرة. تتطلب التغييرات في الصناعة، مثل الانتقال من BINs المكونة من 6 أرقام إلى 8 أرقام، من جهات الإصدار تقييم محافظها بشكل استباقي، وربما دمج BINs، وتحديث أنظمتها وتكويناتها وفقًا لذلك لضمان استمرار التشغيل السلس لخدمات المصادقة مثل Mastercard Identity Check.

Mastercard Identity Check Program

يوفر اعتماد Mastercard Identity Check وبرنامج EMV 3DS Mastercard الأساسي مزايا كبيرة للتجار ومزودي خدمات الدفع (PSPs) الذين يخدمونهم. تتمحور التأثيرات الأساسية حول تحسين معدلات نجاح المعاملات، وتعزيز تجربة العملاء، وتبسيط العمليات في مشهد التجارة الإلكترونية العالمي.

واحدة من أكثر الفوائد إقناعًا هي إمكانية زيادة معدلات الموافقة على التفويض.

• كيف يعمل: توفر البيانات الأغنى المتبادلة من خلال EMV 3DS جنبًا إلى جنب مع محركات RBA المتطورة التي تستخدم الذكاء الاصطناعي والتحليلات السلوكية لجهات الإصدار رؤية أكبر بكثير في شرعية المعاملة. يتيح لهم ذلك التمييز بشكل أكثر دقة بين العملاء الحقيقيين والمحتالين، مما يؤدي إلى انخفاض في حالات الرفض الخاطئ - الحالات التي يتم فيها رفض معاملة مشروعة عن طريق الخطأ بسبب الاشتباه في الاحتيال.

• النتائج الكمية: تشير الدراسات والتقارير إلى تحسينات كبيرة. أظهرت بيانات Mastercard متوسط ارتفاع في معدل الموافقة بمقدار 10-12 نقطة أساس (0.10-0.12%) أو حتى ارتفاعات تصل إلى 14% عبر مليارات المعاملات في عام واحد. تذكر مصادر أخرى ارتفاعات محتملة بنسبة 12%. أظهرت دراسات الحالة، مثل دراسة شملت بائع تجزئة للملابس، زيادات كبيرة في المبيعات تُعزى إلى تحسين الموافقات وتقليل الاحتيال عبر Identity Check.

• الفوائد: بالنسبة للتجار، تترجم معدلات الموافقة الأعلى مباشرة إلى زيادة المبيعات المكتملة، وإيرادات أعلى، وتحسين رضا العملاء. بالنسبة لمزودي خدمات الدفع، فإن تقديم حل يعزز بشكل واضح معدلات موافقة عملائهم يعزز من قيمتهم التنافسية.

النتيجة المباشرة لـ RBA الفعال هي انخفاض كبير في الحاجة إلى المصادقة الإضافية، حيث يتم تحدي حامل البطاقة بنشاط لتقديم دليل إضافي على هويته.

• كيف يعمل: الهدف هو أن تتم مصادقة الغالبية العظمى (غالبًا ما يُشار إليها بـ >90% أو 95%) من المعاملات بسلاسة بناءً على تقييم المخاطر. هذا يعني عددًا أقل من الانقطاعات للعميل أثناء الدفع.

• الفوائد: هذا يحسن بشكل كبير تجربة المستخدم عن طريق إزالة العقبات غير الضرورية. يؤدي تقليل الاحتكاك مباشرة إلى انخفاض معدلات التخلي عن عربة التسوق وارتفاع معدلات التحويل للتجار.

يسهل أساس Mastercard Identity Check على معيار EMV 3DS العالمي التنفيذ والإدارة للشركات التي تعمل عبر الحدود.

• كيف يعمل: يوفر EMV 3DS لغة فنية مشتركة وإطار عمل للمصادقة معترف به من قبل جهات الإصدار والبنوك المستحوذة المشاركة في جميع أنحاء العالم.

• الفوائد: يقلل هذا التوحيد من التعقيد للتجار الدوليين ومزودي خدمات الدفع، الذين قد يحتاجون لولا ذلك إلى دمج حلول مصادقة إقليمية متعددة ومتباينة. يتم تبسيط التكامل من خلال البروتوكولات الموحدة وواجهات برمجة التطبيقات (APIs) ومجموعات تطوير البرامج (SDKs) التي تقدمها Mastercard وشركاؤها. علاوة على ذلك، يساعد استخدام حل قائم على EMV 3DS مثل Mastercard Identity Check الشركات على تلبية المتطلبات التنظيمية مثل PSD2 SCA في أوروبا والتفويضات المماثلة الناشئة في أماكن أخرى.

بالنسبة لمزودي خدمات الدفع، تتضاعف هذه الفوائد التجارية. من خلال تقديم حل مصادقة قوي ومتسق عالميًا وعالي الأداء مثل Mastercard Identity Check، يمكن لمزودي خدمات الدفع جذب المزيد من التجار، وتقليل نفقاتهم التشغيلية المتعلقة بإدارة طرق المصادقة المتنوعة، وربما تقليل تعرضهم للتكاليف المتعلقة بالاحتيال التي يتم تمريرها من التجار.

Mastercard Identity Check

لإدارة وتحسين أداء Mastercard Identity Check بفعالية، تحتاج جهات الإصدار والبنوك المستحوذة والتجار إلى إطار واضح لمؤشرات الأداء الرئيسية (KPIs). يوفر تتبع هذه المقاييس رؤى حول تجربة المستخدم وفعالية الأمان والامتثال لقواعد برنامج EMV 3DS Mastercard.

بناءً على أدلة البرنامج وأفضل الممارسات، تعد مؤشرات الأداء الرئيسية التالية حاسمة لمراقبة أداء Mastercard Identity Check:

1. معدل التحدي: يقيس هذا النسبة المئوية لطلبات المصادقة التي تؤدي إلى تحدي حامل البطاقة بنشاط (على سبيل المثال، طلب OTP أو التحقق البيومتري). يشير معدل التحدي المنخفض عمومًا إلى تجربة مستخدم أفضل وأكثر سلاسة. تشير إرشادات Mastercard إلى استهداف التحديات في أقل من 10% من المعاملات، بالاعتماد على RBA للغالبية.

2. معدل نجاح المصادقة: يتتبع هذا النسبة المئوية لمحاولات المصادقة (السلسة والتي تتضمن تحديًا) التي يكملها حامل البطاقة بنجاح وتتحقق منها جهة الإصدار. تعد معدلات النجاح العالية حيوية لتقليل التخلي عن المعاملات. قد تضع Mastercard عتبات دنيا لمعدلات الموافقة على المعاملات المصادق عليها بشكل عام (على سبيل المثال، 90%) وتراقب معدلات نجاح التحدي على وجه التحديد.

3. المعدل السلس: عكس معدل التحدي، يقيس هذا النسبة المئوية للمصادقات التي تمت بنجاح دون الحاجة إلى تفاعل حامل البطاقة. يعد المعدل السلس المرتفع هدفًا أساسيًا لـ EMV 3DS ويرتبط ارتباطًا وثيقًا بمعدلات نجاح إجمالية أعلى وتجربة مستخدم أفضل.

4. معدل الاحتيال: تعد مراقبة معدل المعاملات الاحتيالية المؤكدة، لا سيما تلك التي تمت مصادقتها عبر Identity Check، أمرًا ضروريًا لقياس فعالية النظام في منع الاحتيال. تراقب Mastercard مستويات احتيال التجار من خلال برامج مثل برنامج التاجر ذي الاحتيال المفرط (EFM). الهدف الرئيسي هو رؤية انخفاض في الاحتيال مقارنة بالمعاملات غير المصادق عليها.

5. معدل الموافقة على التفويض: المقياس النهائي لنجاح المعاملة هو معدل الموافقة النهائي على التفويض من قبل جهة الإصدار. يهدف Identity Check إلى رفع هذا المعدل عن طريق تقليل حالات الرفض الخاطئ.

6. الأداء الفني: تعد المقاييس مثل وقت تشغيل ACS وخادم 3DS (تتطلب Mastercard توفرًا بنسبة 99.0% للبائعين)، وأوقات معالجة المعاملات، ومعدلات الخطأ في رسائل المصادقة، حاسمة أيضًا.

تعتمد مراقبة مؤشرات الأداء الرئيسية هذه على قنوات إبلاغ مختلفة:

• مراقبة برنامج Mastercard: تراقب Mastercard بنشاط أداء المشاركين مقابل مؤشرات الأداء الرئيسية للبرنامج. يمكن أن يؤدي عدم الامتثال إلى إشعارات وتقييمات أو غرامات محتملة بموجب برامج مثل DIMP أو EFM.

• تقارير برنامج مراقبة سلامة البيانات (DIMP): يركز هذا البرنامج بشكل خاص على دقة واكتمال بيانات المعاملات التي تتدفق عبر شبكة Mastercard. يمكن لجهات الإصدار والمستحوذين الوصول إلى تقارير DIMP عبر بوابة مخصصة لتحديد المعاملات التي تم الإبلاغ عنها لمشكلات سلامة البيانات. تتعلق العديد من "تعديلات" DIMP مباشرة ببيانات EMV 3DS، مثل معرفات معاملات DS المفقودة أو غير الصالحة، ومؤشرات الإعفاء المفقودة، وAAVs غير الصالحة، أو مبالغ المعاملات غير المتطابقة. يمكن لجهات الإصدار الاشتراك على وجه التحديد في تقرير مراقبة سلامة البيانات من Mastercard لتتبع أدائهم مقابل أهداف المعدل السلس.

• تقارير مزود خدمة الدفع (PSP) / البائع: غالبًا ما يستخدم التجار وجهات الإصدار لوحات المعلومات التحليلية والتقارير التي يقدمها مزودو خدمات الدفع أو مزودو خادم 3DS أو بائعو ACS لتتبع مقاييس أداء المصادقة الخاصة بهم.

يسمح الاستخدام الفعال لمؤشرات الأداء الرئيسية وآليات الإبلاغ هذه لأصحاب المصلحة بتحديد مجالات التحسين، وتحسين التكوينات (مثل قواعد RBA)، واستكشاف المشكلات الفنية وإصلاحها، وفي النهاية تعظيم فوائد برنامج Mastercard Identity Check.

Mastercard Identity Check Program

يتطور مشهد مصادقة الدفع عبر الإنترنت باستمرار، مدفوعًا بالحاجة إلى أمان معزز، وتغييرات تنظيمية، والطلب على تجارب مستخدم أكثر سلاسة. يرتبط Mastercard Identity Check، كونه مبنيًا على برنامج EMV 3DS Mastercard، ارتباطًا جوهريًا بخارطة الطريق التي وضعتها EMVCo لبروتوكول 3-D Secure.

تطور EMV 3DS (v2.1, v2.2, v2.3)

شهد بروتوكول EMV 3DS عدة تكرارات منذ إطلاقه الأولي (الإصدار 2.0)، حيث قدم كل منها ميزات وتحسينات جديدة:

• EMV 3DS 2.1: أصبح الخط الأساسي الإلزامي، حيث يدمج الدعم التأسيسي لتبادل بيانات أغنى وتجارب محمولة محسنة مقارنة بـ 3DS 1.0. طلبت Mastercard الدعم بحلول منتصف عام 2020.

• EMV 3DS 2.2: قدم تحسينات إضافية، بما في ذلك دعم أفضل لإعفاءات SCA (مثل Acquirer TRA وقائمة التجار الموثوق بهم عبر ملحقات رسائل Mastercard) وعناصر بيانات محسنة. بدأت Mastercard في دعم اختبار الامتثال لـ 2.2، مع تفويضات لاحقة. خططت Mastercard Gateway لإيقاف دعم 2.1 في سبتمبر 2024، مما يجعل 2.2 الحد الأدنى الفعال.

• EMV 3DS 2.3 (تحديدًا 2.3.1): تم إصداره بواسطة EMVCo في أواخر 2021/2022، يمثل هذا الإصدار أحدث تقدم كبير، حيث يركز على زيادة تحسين الأمان وتجربة المستخدم ودعم القنوات. تشمل الميزات الرئيسية ذات الصلة بمستقبل المصادقة ما يلي:

  • بيانات وتدفقات محسنة: عناصر بيانات إضافية وتدفقات رسائل لزيادة تبسيط المصادقة وتحسين اكتشاف الاحتيال. يتضمن بيانات أغنى للمدفوعات المتكررة ورموز الدفع.

  • دعم تأكيد الدفع الآمن (SPC): نقاط تكامل لـ SPC، مما يتيح تأكيدًا مشفرًا لتفاصيل المعاملة باستخدام أدوات مصادقة FIDO ضمن تدفق 3DS.

  • دعم WebAuthn: دعم صريح لاستخدام معيار Web Authentication (WebAuthn) من W3C، مما يسهل استخدام مفاتيح المرور وأدوات المصادقة للنظام الأساسي (مثل القياسات الحيوية للجهاز) للتحديات.

  • تحسينات المصادقة خارج النطاق (OOB): انتقالات آلية لتبسيط تجربة المستخدم عندما تحتاج المصادقة إلى الحدوث عبر قناة منفصلة، مثل تطبيق بنكي.

  • ربط الجهاز: يسمح للمستخدمين بربط جهاز موثوق به بحسابهم، مما يقلل من التحديات المستقبلية على هذا الجهاز.

  • نموذج SDK المقسم: يوفر مرونة أكبر لتنفيذ SDKs 3DS عبر منصات متنوعة، بما في ذلك الويب/المحمول التقليدي والقنوات الناشئة مثل أجهزة IoT.

  • تحسينات واجهة المستخدم: المزيد من الخيارات لجهات الإصدار والتجار لتخصيص واجهة المستخدم أثناء التحديات.

تشارك Mastercard، كعضو رئيسي في EMVCo، بنشاط في تطوير هذه المعايير. وهم من أشد المؤيدين لـ SPC والتحرك الأوسع نحو طرق المصادقة الحديثة بدون كلمة مرور مثل مفاتيح المرور. حققت شركات مثل DECTA بالفعل شهادة مبكرة لـ EMV 3DS 2.3.1.1 مع Mastercard، مما يشير إلى أن الاعتماد قيد التنفيذ. تكامل تأكيد الدفع الآمن (SPC) SPC هو معيار ويب من W3C مصمم للعمل جنبًا إلى جنب مع بروتوكولات المصادقة مثل EMV 3DS. يستفيد من بيانات اعتماد FIDO/WebAuthn (مفاتيح المرور) للسماح للمستخدمين بالمصادقة وتأكيد تفاصيل المعاملة صراحةً (المبلغ، المستفيد) مباشرة داخل المتصفح، باستخدام أداة المصادقة المدمجة في أجهزتهم (مثل بصمة الإصبع، معرف الوجه، PIN).

• كيف يتكامل مع EMV 3DS 2.3: أثناء تدفق تحدي 3DS، إذا كانت جهة الإصدار تدعم SPC وكان لدى المستخدم بيانات اعتماد FIDO مسجلة (مفتاح مرور) مع جهة الإصدار لهذا الجهاز، يمكن لـ ACS الخاص بجهة الإصدار إرجاع المعلومات اللازمة في رسالة ARes. ثم يستدعي موقع التاجر واجهة برمجة تطبيقات SPC الخاصة بالمتصفح، ويقدم مربع حوار تأكيد موحد وآمن. يقوم المستخدم بالمصادقة محليًا (على سبيل المثال، عبر القياسات الحيوية)، ويوقع تفاصيل المعاملة بشكل مشفر. يتم إرسال هذا التأكيد الموقع مرة أخرى إلى ACS للتحقق منه.

• الفوائد: يعد SPC بتجربة تحدي آمنة للغاية (مقاومة للتصيد الاحتيالي) وربما منخفضة الاحتكاك جدًا مقارنة بـ OTPs، مما يحسن معدلات التحويل. يوفر دليلاً مشفرًا قويًا على موافقة المستخدم مرتبطة بتفاصيل معاملة محددة. تروج Mastercard بنشاط لاعتماد مفاتيح المرور ودعم SPC.

رؤية Mastercard الأوسع: نحو مستقبل بدون كلمة مرور إلى جانب خارطة طريق EMV 3DS المباشرة، أوضحت Mastercard رؤية أوسع لمستقبل المصادقة عبر الإنترنت، بهدف القضاء على إدخال البطاقة اليدوي وكلمات المرور تمامًا بحلول عام 2030. تعتمد هذه الاستراتيجية على تقارب:

• الترميز: استبدال أرقام الحساب الأساسية الحساسة (PANs) برموز شبكة آمنة (عبر MDES - خدمة التمكين الرقمي من Mastercard) لحماية بيانات البطاقة الأساسية. تهدف Mastercard إلى ترميز التجارة الإلكترونية بنسبة 100% في مناطق مثل أوروبا بحلول عام 2030.

• المصادقة البيومترية: الاستفادة من القياسات الحيوية على الجهاز (بصمات الأصابع، التعرف على الوجه - "الابتسامات وبصمات الأصابع") عبر معايير مثل FIDO/WebAuthn وتقنيات مثل SPC وخدمة Payment Passkey من Mastercard.

• Click to Pay: حل الدفع المبسط عبر الإنترنت من Mastercard استنادًا إلى معايير EMV Secure Remote Commerce (SRC)، المصمم للعمل بسلاسة مع الترميز والمصادقة الحديثة.

تتصور هذه الحالة المستقبلية تجربة دفع حيث يقوم المستخدمون بالمصادقة بشكل آمن وتأكيد المدفوعات بإجراء بيومتري بسيط، دون الحاجة إلى كتابة أرقام البطاقات أو كلمات المرور يدويًا. يعد التطور المستمر لـ EMV 3DS، بما في ذلك الإصدار 2.3 وتكامل SPC، خطوات حاسمة نحو تحقيق هذا الهدف الطموح.

Corbado EMV 3DS ACS Passkeys

يمثل Mastercard Identity Check، المدعوم ببرنامج EMV 3DS Mastercard، تطورًا حاسمًا في تأمين نظام المدفوعات الرقمية. متجاوزًا قيود سلفه، Mastercard SecureCode، فإنه يعالج التحدي الأساسي المتمثل في الموازنة بين منع الاحتيال القوي وضرورة تدفقات المصادقة السلسة في التجارة الإلكترونية الحديثة.

بالنسبة لجهات الإصدار والتجار، الفوائد ملموسة:

• أمان معزز: يؤدي الاستفادة من تبادل البيانات الغني، ومحركات المصادقة القائمة على المخاطر (RBA) المتطورة، والقياسات الحيوية السلوكية من NuData، وذكاء الجهاز إلى تحسين دقة اكتشاف الاحتيال بشكل كبير.

• تجربة مستخدم محسنة: يقلل التركيز على التدفقات السلسة من اضطرابات الدفع، مما يقلل من التخلي عن عربة التسوق ويعزز ولاء العملاء.

• معدلات موافقة أعلى: يؤدي تقييم المخاطر الأكثر دقة إلى عدد أقل من حالات الرفض الخاطئ، مما يعزز المبيعات المشروعة والإيرادات.

• حماية المسؤولية: يظل احتمال تحويل المسؤولية عن المعاملات المصادق عليها حافزًا رئيسيًا للاعتماد.

يتطلب تنفيذ Mastercard Identity Check دراسة متأنية لمسارات التكامل، لا سيما اختيار ACS لجهات الإصدار، والإدارة الدؤوبة لتمكين BIN وجودة البيانات. تعد مراقبة الأداء من خلال إطار مؤشرات الأداء الرئيسية وأدوات الإبلاغ المقدمة، مثل تقرير مراقبة سلامة البيانات، أمرًا ضروريًا للتحسين والامتثال. بالنظر إلى المستقبل، يستمر التطور مع EMV 3DS 2.3 وما بعده، حيث يدمج معايير مثل تأكيد الدفع الآمن (SPC) وWebAuthn لتمكين مصادقة أكثر أمانًا وسهولة في الاستخدام باستخدام مفاتيح المرور والقياسات الحيوية للجهاز. يتماشى هذا مع رؤية Mastercard الأوسع لمستقبل بدون كلمة مرور وبدون أرقام للمدفوعات عبر الإنترنت بحلول عام 2030، والذي يرتكز على الترميز والقياسات الحيوية.

مع تحول مشهد المصادقة نحو هذه الأساليب الأكثر حداثة والمقاومة للتصيد الاحتيالي، يعد فهم الأسس التي وضعتها برامج مثل Mastercard Identity Check أمرًا بالغ الأهمية. بالنسبة للشركات التي تسعى إلى تنفيذ مصادقة من الجيل التالي تجمع بين الأمان القوي وسهولة الاستخدام التي لا مثيل لها، فإن استكشاف الحلول المبنية على معايير FIDO، مثل مفاتيح المرور التي يقدمها مزودون مثل Corbado، يمثل الخطوة المنطقية التالية في تأمين التفاعلات والمدفوعات عبر الإنترنت للمستقبل.