EMV 3DS एक्सेस कंट्रोल सर्वर: Passkeys, FIDO और SPC

ऑनलाइन भुगतान प्रमाणीकरण का परिदृश्य एक बड़े बदलाव से गुज़र रहा है। इसके पीछे दोहरी ज़रूरतें हैं: उन्नत धोखाधड़ी के खिलाफ़ सुरक्षा बढ़ाना और यूज़र एक्सपीरियंस को बेहतर बनाकर रुकावट और कार्ट छोड़ने की घटनाओं को कम करना। EMV® 3-D Secure (3DS) प्रोटोकॉल, विशेष रूप से इसके बाद के संस्करण (EMV 3DS 2.x), दुनिया भर में कार्ड-नॉट-प्रेजेंट (CNP) लेन-देन को प्रमाणित करने के लिए मूलभूत तकनीक के रूप में काम करते हैं। EMVCo द्वारा प्रबंधित यह प्रोटोकॉल मर्चेंट्स, जारीकर्ताओं (उनके एक्सेस कंट्रोल सर्वर - ACS के माध्यम से), और इंटरऑपरेबिलिटी डोमेन (भुगतान योजनाओं द्वारा संचालित डायरेक्टरी सर्वर) के बीच डेटा एक्सचेंज की सुविधा देता है ताकि कार्डधारक की पहचान सत्यापित की जा सके।

इस ढांचे के भीतर, FIDO (फास्ट आइडेंटिटी ऑनलाइन) एलायंस मानकों से संबंधित दो प्रमुख तकनीकी प्रगतियाँ उभर रही हैं:

1. पिछले यूज़र इंटरैक्शन (जैसे, मर्चेंट लॉगिन) के दौरान उत्पन्न FIDO प्रमाणीकरण डेटा का उपयोग EMV 3DS फ्रिक्शनलेस फ्लो के लिए जोखिम मूल्यांकन को बेहतर बनाने के लिए करना।
2. सिक्योर पेमेंट कन्फर्मेशन (SPC) का एकीकरण, जो FIDO/WebAuthn पर बना एक W3C वेब मानक है, EMV 3DS फ्लो के भीतर एक सुव्यवस्थित, फ़िशिंग-प्रतिरोधी "चैलेंज" विधि के रूप में।

यह लेख जारीकर्ता बैंकों को प्रदान किए जाने वाले EMV 3DS एक्सेस कंट्रोल सर्वर (ACS) समाधानों के वैश्विक बाज़ार का एक अवलोकन प्रदान करता है। यह प्रमुख वेंडरों की पहचान करता है और नॉन-SPC FIDO डेटा संरचनाओं और चैलेंज फ्लो के लिए सिक्योर पेमेंट कन्फर्मेशन (SPC) दोनों के लिए उनके वर्तमान समर्थन का मूल्यांकन करने का प्रयास करता है। इसके अलावा, यह उस तंत्र को स्पष्ट करता है जिसके द्वारा जारीकर्ता SPC के माध्यम से 3DS चैलेंज फ्लो के भीतर क्रिप्टोग्राफ़िक सत्यापन के लिए अपने स्वयं के FIDO पासकी का लाभ उठा सकते हैं और इस मानक की वैश्विक प्रयोज्यता पर चर्चा करते हैं।

EMV 3DS मुख्य रूप से दो अलग-अलग प्रमाणीकरण मार्गों के माध्यम से काम करता है:

• फ्रिक्शनलेस फ्लो: यह पसंदीदा मार्ग है, जिसका लक्ष्य एक सहज यूज़र एक्सपीरियंस प्रदान करना है। जारीकर्ता का ACS लेन-देन की शुरुआत के दौरान आदान-प्रदान किए गए डेटा के एक समृद्ध सेट (प्रमाणीकरण अनुरोध, या AReq संदेश के माध्यम से) के आधार पर जोखिम मूल्यांकन करता है। इस डेटा में लेन-देन का विवरण, मर्चेंट की जानकारी, डिवाइस की विशेषताएँ, ब्राउज़र डेटा (संभावित रूप से 3DSMethod जावास्क्रिप्ट के माध्यम से एकत्र), और संभावित रूप से पिछली प्रमाणीकरण जानकारी शामिल होती है। यदि जोखिम कम माना जाता है, तो लेन-देन को कार्डधारक से किसी भी सीधे इंटरैक्शन या "चैलेंज" की आवश्यकता के बिना प्रमाणित किया जाता है। यह फ्लो 3DS लेन-देन के बहुमत के लिए ज़िम्मेदार है, विशेष रूप से जहाँ जोखिम इंजन अच्छी तरह से ट्यून किए गए हैं।
• चैलेंज फ्लो: यदि ACS यह निर्धारित करता है कि लेन-देन का जोखिम अधिक है, या यदि नियमों (जैसे यूरोप में PSD2 SCA) या जारीकर्ता की नीति द्वारा अनिवार्य है, तो कार्डधारक को अपनी पहचान सत्यापित करने के लिए सक्रिय रूप से चुनौती दी जाती है। पारंपरिक चैलेंज विधियों में SMS के माध्यम से भेजे गए वन-टाइम पासकोड (OTP), ज्ञान-आधारित प्रश्न, या बैंकिंग ऐप के माध्यम से आउट-ऑफ-बैंड (OOB) प्रमाणीकरण शामिल हैं। नए 3DS संस्करणों और SPC जैसी संबंधित तकनीकों का लक्ष्य इस चैलेंज फ्लो को पुरानी विधियों की तुलना में अधिक सुरक्षित और कम बोझिल बनाना है।

EMVCo और FIDO एलायंस ने एक मानकीकृत तरीका परिभाषित करने के लिए सहयोग किया है ताकि मर्चेंट्स पिछले FIDO प्रमाणीकरण (जहाँ मर्चेंट Relying Party के रूप में काम करता था, जैसे, यूज़र लॉगिन के दौरान) के बारे में जानकारी मानक 3DS AReq संदेश के भीतर जारीकर्ता के ACS को भेज सकें। यह तंत्र, जिसे पहली बार EMV 3DS v2.1 में समर्थित किया गया था, AReq के भीतर विशिष्ट फ़ील्ड का लाभ उठाता है, मुख्य रूप से threeDSRequestorAuthenticationInfo संरचना, जिसमें threeDSRequestorAuthenticationData जैसे सबफ़ील्ड होते हैं।

FIDO एलायंस टेक्निकल नोट और संबंधित EMVCo व्हाइट पेपर इस threeDSRequestorAuthenticationData फ़ील्ड के लिए एक JSON संरचना निर्दिष्ट करते हैं जब पिछले FIDO प्रमाणीकरण विवरण को संप्रेषित किया जाता है। इस JSON ऑब्जेक्ट में प्रमाणीकरण समय (authTime), FIDO Relying Party ID (rpId या appId), और उपयोग किए गए प्रमाणक के बारे में जानकारी शामिल है, जिसमें सार्वजनिक कुंजी, AAGUID/AAID, और यूज़र उपस्थिति (UP) और यूज़र सत्यापन (UV) के संकेतक शामिल हैं।

इसके पीछे तर्क यह है कि अगर किसी मर्चेंट ने हाल ही में खरीदारी शुरू करने वाले यूज़र सेशन के लिए एक मज़बूत FIDO प्रमाणीकरण (जैसे, बायोमेट्रिक्स या पासकी का उपयोग करके) किया है, तो यह जानकारी जारीकर्ता के ACS के लिए एक मूल्यवान अतिरिक्त जोखिम संकेत के रूप में काम कर सकती है। इस मानकीकृत FIDO डेटा को प्राप्त और संसाधित करके, ACS संभावित रूप से लेन-देन की वैधता में अधिक विश्वास प्राप्त कर सकता है, जिससे फ्रिक्शनलेस अनुमोदन की संभावना बढ़ जाती है और एक अलग चैलेंज की आवश्यकता कम हो जाती है। यह ध्यान रखना महत्वपूर्ण है कि इस परिदृश्य में, मर्चेंट FIDO RP होता है, और जारीकर्ता इस डेटा को अपने जोखिम इंजन के लिए एक इनपुट के रूप में उपयोग करता है; जारीकर्ता इस फ्रिक्शनलेस फ्लो के भीतर FIDO असर्शन को क्रिप्टोग्राफ़िक रूप से सत्यापित नहीं करता है। ACS के पास इस डेटा को अनदेखा करने का विकल्प बना रहता है यदि इसे संसाधित करने के लिए कॉन्फ़िगर नहीं किया गया है it।

सिक्योर पेमेंट कन्फर्मेशन (SPC) EMV 3DS चैलेंज फ्लो के भीतर FIDO मानकों का एक अलग एकीकरण प्रस्तुत करता है। SPC एक W3C वेब मानक है, जिसे FIDO और EMVCo के सहयोग से विकसित किया गया है, और यह WebAuthn पर आधारित है। इसे औपचारिक रूप से EMV 3DS में संस्करण 2.3 से समर्थन प्राप्त है।

जब SPC को एक चैलेंज विधि के रूप में उपयोग किया जाता है:

1. जारीकर्ता (या जारीकर्ता द्वारा स्पष्ट रूप से प्रत्यायोजित एक पक्ष, जैसे कि एक भुगतान योजना) FIDO Relying Party (RP) के रूप में कार्य करता है। यह पहले वर्णित नॉन-SPC FIDO डेटा फ्लो से मौलिक रूप से अलग है, जहाँ मर्चेंट आमतौर पर अपने स्वयं के लॉगिन/प्रमाणीकरण उद्देश्यों के लिए RP के रूप में कार्य करता है।
2. 3DS चैलेंज के दौरान, ACS SPC की आवश्यकता का संकेत देता है और आवश्यक FIDO क्रेडेंशियल पहचानकर्ता और एक क्रिप्टोग्राफ़िक चैलेंज मर्चेंट/3DS सर्वर को प्रदान करता है।
3. मर्चेंट का सिस्टम ब्राउज़र के SPC API को लागू करता है, जो एक सुरक्षित ब्राउज़र-नियंत्रित डायलॉग में यूज़र को लेन-देन का विवरण (राशि, मुद्रा, भुगतानकर्ता, साधन) प्रस्तुत करता है।
4. यूज़र अपने FIDO प्रमाणक (जैसे, डिवाइस बायोमेट्रिक्स, PIN, सुरक्षा कुंजी) का उपयोग करके प्रमाणित करता है, जो जारीकर्ता-पंजीकृत पासकी से जुड़ी निजी कुंजी का उपयोग करके लेन-देन के विवरण और चैलेंज पर हस्ताक्षर करता है।
5. परिणामी FIDO असर्शन (प्रमाणीकरण और सहमति का क्रिप्टोग्राफ़िक प्रमाण) 3DS प्रोटोकॉल के माध्यम से (आमतौर पर दूसरे AReq संदेश के माध्यम से) जारीकर्ता के ACS को वापस भेज दिया जाता है।
6. ACS, RP के रूप में, संबंधित सार्वजनिक कुंजी का उपयोग करके असर्शन को क्रिप्टोग्राफ़िक रूप से मान्य करता है, जिससे कार्डधारक की पहचान और विशिष्ट लेन-देन विवरण के लिए सहमति की पुष्टि होती है।

SPC का लक्ष्य एक ऐसा चैलेंज एक्सपीरियंस प्रदान करना है जो पारंपरिक तरीकों की तुलना में अधिक सुरक्षित (फ़िशिंग-प्रतिरोधी, प्रमाणीकरण का लेन-देन डेटा से डायनेमिक लिंकिंग) और संभावित रूप से कम घर्षण वाला (अक्सर OTP प्रविष्टि से तेज़) हो।

FIDO एकीकरण के लिए दोहरे रास्ते—एक फ्रिक्शनलेस जोखिम मूल्यांकन के लिए पिछले मर्चेंट प्रमाणीकरण डेटा का लाभ उठाता है, दूसरा SPC के माध्यम से सीधे FIDO-आधारित चैलेंज के लिए जारीकर्ता-प्रबंधित क्रेडेंशियल्स का उपयोग करता है—EMV 3DS ढांचे के भीतर सुरक्षा और यूज़र एक्सपीरियंस को बढ़ाने के लिए अलग-अलग दृष्टिकोण प्रदान करते हैं। जारीकर्ताओं और PSPs के लिए अपनी प्रमाणीकरण रणनीतियों की योजना बनाने के लिए प्रत्येक के लिए वेंडर समर्थन को समझना महत्वपूर्ण है।

यह खंड EMV 3DS ACS समाधानों के वैश्विक प्रदाताओं की क्षमताओं का विश्लेषण करता है, जो उनकी बाज़ार उपस्थिति और FIDO डेटा (नॉन-SPC) और सिक्योर पेमेंट कन्फर्मेशन (SPC) के लिए समर्थन पर ध्यान केंद्रित करता है। सटीक बाज़ार हिस्सेदारी के आँकड़े मालिकाना हैं और सार्वजनिक रूप से प्राप्त करना मुश्किल है; इसलिए, उपस्थिति का मूल्यांकन वेंडर के दावों, प्रमाणपत्रों, साझेदारियों, भौगोलिक पहुँच और बाज़ार रिपोर्टों के आधार पर किया जाता है।

• बाज़ार उपस्थिति: Entersekt, विशेष रूप से दिसंबर 2023 में Modirum के 3DS सॉफ़्टवेयर व्यवसाय के अधिग्रहण के बाद, खुद को EMV 3DS समाधानों का एक प्रमुख वैश्विक प्रदाता मानता है, जिसका लक्ष्य शीर्ष-पाँच बाज़ार स्थिति हासिल करना है। Modirum के पास 3DS में 20 से अधिक वर्षों का अनुभव था। Entersekt नए ग्राहकों, विशेष रूप से उत्तरी अमेरिका में, और रणनीतिक साझेदारियों, जिसमें Mastercard के साथ एक विस्तारित संबंध शामिल है, द्वारा संचालित रिकॉर्ड वृद्धि पर प्रकाश डालता है। वे सालाना 2.5 बिलियन से अधिक लेन-देन सुरक्षित करने का दावा करते हैं (FY24 तक) और Liminal द्वारा बैंकिंग में ATO रोकथाम में #1 स्थान पर हैं। उनका ACS होस्टेड (Entersekt या क्लाइंट द्वारा) या ऑन-प्रिमाइसेस उपलब्ध है। वे विश्व स्तर पर जारीकर्ताओं और प्रोसेसरों की सेवा करते हैं।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): Entersekt अपने Context Aware™ प्रमाणीकरण, जोखिम संकेतों के लिए डिवाइस और व्यवहार विश्लेषण, और विभिन्न जोखिम-स्कोरिंग सेवाओं के साथ एकीकरण पर ज़ोर देता है। उनका ACS FIDO EMVCo 2.2 प्रमाणित है। जबकि वे RBA के लिए जोखिम और व्यवहारिक खुफिया डेटा का लाभ उठाने पर प्रकाश डालते हैं, फ्रिक्शनलेस फ्लो को बढ़ाने के लिए threeDSRequestorAuthenticationInfo फ़ील्ड के भीतर पिछले मर्चेंट प्रमाणीकरण से मानकीकृत FIDO सत्यापन डेटा को संसाधित करने की स्पष्ट पुष्टि ऑनलाइन सामग्री में स्पष्ट रूप से नहीं बताई गई है। हालाँकि, उन्नत प्रमाणीकरण और जोखिम संकेतों पर उनका ध्यान क्षमता का सुझाव देता है।
• SPC समर्थन (चैलेंज): मज़बूत संकेतक बताते हैं कि Entersekt SPC का समर्थन करता है। Modirum, जिसके 3DS व्यवसाय को Entersekt ने अधिग्रहित किया, ने Visa के SPC पायलट के लिए 3DS 2.2 के साथ एक्सटेंशन के साथ घटक प्रदान किए। Entersekt स्पष्ट रूप से अपनी नियामक अनुपालन क्षमताओं के हिस्से के रूप में SPC अनुपालन के लिए समर्थन सूचीबद्ध करता है। उनका ACS बायोमेट्रिक प्रमाणीकरण का समर्थन करता है, EMV 3DS 2.2 के लिए प्रमाणित है, और संभवतः Modirum की पायलट भागीदारी से क्षमताओं को शामिल करता है। Modirum अधिग्रहण, SPC अनुपालन का स्पष्ट उल्लेख, और FIDO प्रमाणीकरण का संयोजन उनके वर्तमान प्रस्ताव में SPC समर्थन की ओर दृढ़ता से इशारा करता है।

• बाज़ार उपस्थिति: Broadcom का Arcot 3DS बाज़ार में एक मूलभूत खिलाड़ी है, जिसने Visa के साथ मूल प्रोटोकॉल का सह-आविष्कार किया था। वे खुद को एक मान्यता प्राप्त वैश्विक नेता के रूप में स्थापित करते हैं, जो दुनिया भर में 5,000 से अधिक वित्तीय संस्थानों की सेवा करते हैं और 229 देशों से लेन-देन संसाधित करते हैं। उनका Arcot नेटवर्क अपने धोखाधड़ी स्कोरिंग और जोखिम इंजन को शक्ति देने के लिए एक विशाल कंसोर्टियम डेटा दृष्टिकोण (600M+ डिवाइस हस्ताक्षर, 150 ट्रिलियन डेटा पॉइंट का दावा) पर ज़ोर देता है। उनकी यूरोप, ऑस्ट्रेलिया और उत्तरी अमेरिका में एक मज़बूत उपस्थिति है।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): Broadcom अपने डेटा नेटवर्क की समृद्धि और धोखाधड़ी का पता लगाने और जोखिम-आधारित मूल्यांकन के लिए AI/न्यूरल नेटवर्क के उपयोग पर भारी ज़ोर देता है, जो मानक EMV 3DS डेटा तत्वों से परे है। वे स्पष्ट रूप से कहते हैं कि उनका समाधान कई जारीकर्ताओं के माध्यम से बहने वाले डेटा का लाभ उठाता है और डिवाइस और जियोलोकेशन जैसे डिजिटल डेटा को शामिल करता है। जबकि threeDSRequestorAuthenticationData से विशिष्ट FIDO JSON संरचना को संसाधित करने का स्पष्ट रूप से उल्लेख नहीं किया गया है, RBA के लिए विविध डेटा बिंदुओं को ग्रहण करने पर उनका ध्यान दृढ़ता से सुझाव देता है कि वे इस तरह के डेटा का उपभोग कर सकते हैं यदि प्रदान किया जाता है, जो EMVCo/FIDO मार्गदर्शन के इरादे के अनुरूप है। उनका प्लेटफ़ॉर्म बेहतर जोखिम मूल्यांकन के माध्यम से फ्रिक्शनलेस अनुमोदन को अधिकतम करने का लक्ष्य रखता है।
• SPC समर्थन (चैलेंज): Broadcom का दस्तावेज़ीकरण उनके व्यापक VIP ऑथेंटिकेशन हब / आइडेंटिटी सिक्योरिटी सूट के भीतर FIDO प्रमाणकों (सिक्योरिटी की, बायोमेट्रिक, पासकी) के लिए समर्थन की पुष्टि करता है। उनका 3DS ACS OTP और पुश नोटिफिकेशन सहित विभिन्न चैलेंज विधियों का समर्थन करता है, और वे बायोमेट्रिक्स के लिए समर्थन का उल्लेख करते हैं। वे प्रत्यायोजित प्रमाणीकरण क्षमताएँ भी प्रदान करते हैं और पोस्ट-चैलेंज जोखिम मूल्यांकन सुविधाएँ पेश की हैं। हालाँकि, इस बात की स्पष्ट पुष्टि कि उनका EMV 3DS ACS उत्पाद वर्तमान में SPC को एक विशिष्ट चैलेंज विधि के रूप में समर्थन करता है (जिसके लिए EMV 3DS v2.3+ क्षमताओं और दो-AReq फ्लो की आवश्यकता होती है) प्रदान किए गए दस्तावेज़ीकरण में अनुपस्थित है। जबकि वे एक प्रमुख खिलाड़ी हैं जो इसे लागू करने में सक्षम हैं, वर्तमान सार्वजनिक-सामना सामग्री उनके RBA इंजन और पारंपरिक/OOB चैलेंज विधियों पर अधिक भारी ध्यान केंद्रित करती है।

• बाज़ार उपस्थिति: Netcetera खुद को एक महत्वपूर्ण अंतरराष्ट्रीय भुगतान खिलाड़ी के रूप में स्थापित करता है, विशेष रूप से यूरोप और मध्य पूर्व में मज़बूत। वे कहते हैं कि उनका ACS 800 से अधिक बैंकों/जारीकर्ताओं द्वारा उपयोग किया जाता है, जो दुनिया भर में 50+ मिलियन कार्ड सुरक्षित करता है। वे सभी प्रमुख कार्ड नेटवर्क (Visa, Mastercard, Amex, Discover, JCB, UnionPay, आदि) और PCI अनुपालन के साथ प्रमाणपत्रों पर ज़ोर देते हैं। वे दुनिया भर में EMV 3DS 2.3.1 प्रमाणीकरण प्राप्त करने वाले पहले ACS वेंडर थे।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): Netcetera का दस्तावेज़ीकरण फ्रिक्शनलेस प्रमाणीकरण को बढ़ाने के लिए ACS जोखिम मूल्यांकन के लिए 3DSMethod के माध्यम से एकत्र किए गए डेटा के महत्व पर प्रकाश डालता है। वे जोखिम उपकरणों के साथ एकीकरण की पेशकश करते हैं। हालाँकि, जोखिम मूल्यांकन के लिए पिछले मर्चेंट FIDO प्रमाणीकरण डेटा ( threeDSRequestorAuthenticationInfo से) को संसाधित करने की विशिष्ट पुष्टि की समीक्षा की गई सामग्री में स्पष्ट रूप से उल्लेख नहीं किया गया है।
• SPC समर्थन (चैलेंज): Netcetera SPC के लिए मज़बूत समर्थन प्रदर्शित करता है। वे EMV 3DS 2.3.1 के लिए विश्व स्तर पर प्रमाणित होने वाले पहले वेंडर थे, जो SPC को शामिल करने वाला संस्करण है। उन्होंने Visa SPC पायलट में भाग लिया, v2.3.1 घटक प्रदान किए। उनके उत्पाद दस्तावेज़ीकरण में स्पष्ट रूप से SPC को परिभाषित किया गया है। उन्होंने FIDO और SPC एकीकरण पर चर्चा करते हुए वेबिनार आयोजित किए हैं और SPC के लाभों पर प्रकाश डालने वाले लेख प्रकाशित किए हैं। प्रमाणीकरण, पायलट भागीदारी और स्पष्ट दस्तावेज़ीकरण का यह संयोजन SPC चुनौतियों के लिए उनके समर्थन की पुष्टि करता है।

• बाज़ार उपस्थिति: Worldline खुद को भुगतान और लेन-देन सेवाओं में यूरोपीय नेता और एक प्रमुख वैश्विक खिलाड़ी के रूप में स्थापित करता है (दुनिया भर में #4 भुगतान खिलाड़ी स्थिति का दावा करता है)। वे सालाना अरबों लेन-देन संसाधित करते हैं और गारंटीकृत अनुपालन, AI/ML का उपयोग करके धोखाधड़ी नियंत्रण, और स्केलेबिलिटी पर ज़ोर देते हैं। उनका ACS EMV 3DS प्रमाणित और प्रमुख योजनाओं (Visa Secure, Mastercard Identity Check) और PSD2 के अनुरूप बताया गया है। वे 100 से अधिक जारीकर्ताओं के लिए सालाना 2.4 बिलियन से अधिक 3DS लेन-देन संसाधित करने की रिपोर्ट करते हैं।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): Worldline की ACS पेशकश में एक RBA नियम इंजन शामिल है जो जारीकर्ताओं को जोखिम के आधार पर फ्रिक्शनलेस या चैलेंज फ्लो को कॉन्फ़िगर करने की अनुमति देता है। उनका व्यापक "ट्रस्टेड ऑथेंटिकेशन" समाधान डिवाइस इंटेलिजेंस और व्यवहारिक विश्लेषण का लाभ उठाता है। जबकि वे आम तौर पर FIDO का समर्थन करते हैं, जोखिम मूल्यांकन के लिए ACS के भीतर पिछले मर्चेंट FIDO डेटा (नॉन-SPC) को संसाधित करने की स्पष्ट पुष्टि प्रदान किए गए स्निपेट्स में विस्तृत नहीं है।
• SPC समर्थन (चैलेंज): Worldline SPC का समर्थन करने के स्पष्ट संकेत दिखाता है। उनका दस्तावेज़ीकरण SPC/FIDO को शामिल करने के लिए EMV 3DS 2.3 के विकास को स्वीकार करता है। वे स्पष्ट रूप से अपने "WL ट्रस्टेड ऑथेंटिकेशन" समाधान का विपणन FIDO प्रमाणीकरण का समर्थन करने के रूप में करते हैं और "3DS उपयोग मामलों, emvCO2.3 और SPC के साथ" के लिए उपयुक्त "WL FIDO सर्वर" प्रदान करते हैं।

• बाज़ार उपस्थिति: GPayments ActiveAccess को 3D सिक्योर स्पेस में 20 से अधिक वर्षों के साथ एक "मज़बूत बाज़ार अग्रणी एक्सेस कंट्रोल सर्वर (ACS) प्लेटफ़ॉर्म" के रूप में स्थापित करता है। वे 3DS1 और EMV 3DS दोनों के लिए प्रमुख कार्ड योजनाओं (Visa Secure, Mastercard Identity Check, JCB J/Secure) के साथ प्रमाणित हैं। उनका समाधान ऑन-प्रिमाइसेस या क्लाउड-होस्टेड तैनात किया जा सकता है। बाज़ार रिपोर्ट GPayments को ACS समाधान की पेशकश करने वाले एक उल्लेखनीय खिलाड़ी के रूप में पहचानती हैं।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): ActiveAccess तीसरे पक्ष के RBA समाधानों के साथ एकीकरण का समर्थन करता है और अपने स्वयं के जोखिम मूल्यांकन के लिए विभिन्न मापदंडों का उपयोग करता है। हालाँकि, प्रदान किया गया दस्तावेज़ीकरण फ्रिक्शनलेस जोखिम मूल्यांकन के लिए पिछले मर्चेंट FIDO प्रमाणीकरण डेटा (नॉन-SPC) को ग्रहण करने या उपयोग करने के लिए समर्थन का स्पष्ट रूप से उल्लेख नहीं करता है।
• SPC समर्थन (चैलेंज): ActiveAccess के लिए समीक्षा किया गया दस्तावेज़ीकरण अपने चैलेंज फ्लो क्षमताओं के हिस्से के रूप में सिक्योर पेमेंट कन्फर्मेशन (SPC), WebAuthn चुनौतियों, या FIDO चुनौतियों के लिए समर्थन का स्पष्ट रूप से उल्लेख नहीं करता है। जबकि वे OOB (जिसमें बायोमेट्रिक्स शामिल हो सकते हैं) सहित विभिन्न प्रमाणीकरण विधियों का समर्थन करते हैं, विशिष्ट SPC समर्थन उपलब्ध जानकारी से अस्पष्ट है।

• बाज़ार उपस्थिति: Visa, एक प्रमुख वैश्विक भुगतान नेटवर्क के रूप में, EMV 3DS मानक के आधार पर Visa Secure कार्यक्रम को परिभाषित करता है। उन्होंने मूल 3DS प्रोटोकॉल का बीड़ा उठाया। मुख्य रूप से Entersekt या Broadcom जैसी प्रौद्योगिकी कंपनियों की तरह एक प्रत्यक्ष ACS वेंडर के रूप में कार्य करने के बजाय, Visa कार्यक्रम का संचालन करता है और अनुमोदित 3DS वेंडरों (ACS प्रदाताओं सहित) की एक सूची पर निर्भर करता है जिनके उत्पाद EMV 3DS और Visa Secure नियमों के अनुरूप प्रमाणित हैं। जारीकर्ता आमतौर पर इन प्रमाणित वेंडरों से ACS समाधान खरीदते हैं। Visa स्वयं नेटवर्क (डायरेक्टरी सर्वर) पर ध्यान केंद्रित करता है, कार्यक्रम के नियमों को परिभाषित करता है, अपनाने को बढ़ावा देता है, और SPC पायलट जैसे नवाचार को बढ़ावा देता है।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): Visa Secure, EMV 3DS पर आधारित, फ्रिक्शनलेस फ्लो को सक्षम करने के लिए जोखिम मूल्यांकन के लिए समृद्ध डेटा के आदान-प्रदान का स्वाभाविक रूप से समर्थन करता है। पिछले FIDO डेटा को पास करने के लिए EMVCo/FIDO ढाँचा Visa Secure इकोसिस्टम के भीतर काम करता है यदि चुना गया ACS वेंडर इसे संसाधित करने का समर्थन करता है it।
• SPC समर्थन (चैलेंज): Visa SPC को पायलट करने और बढ़ावा देने में सक्रिय रूप से शामिल है। वे 3DS प्रोटोकॉल के भीतर SPC फ्लो का परीक्षण और परिशोधन करने के लिए भागीदारों (जैसे पायलटों में Netcetera और Modirum/Entersekt) के साथ काम कर रहे हैं। यह मज़बूत जुड़ाव Visa Secure कार्यक्रम के भीतर एक चैलेंज विधि के रूप में SPC के लिए रणनीतिक समर्थन को इंगित करता है, जो इकोसिस्टम की तैयारी (ACS, मर्चेंट, ब्राउज़र समर्थन) पर निर्भर है।

• बाज़ार उपस्थिति: Visa की तरह, Mastercard EMV 3DS पर आधारित Mastercard Identity Check कार्यक्रम का संचालन करता है। वे जारीकर्ताओं और मर्चेंट्स के लिए विकल्प प्रदान करते हैं, जिसमें स्टैंड-इन प्रोसेसिंग और संभावित रूप से NuData जैसे भागीदारों या सहायक कंपनियों का लाभ उठाना शामिल है। Mastercard ने 2017 में एक व्यवहारिक बायोमेट्रिक्स कंपनी NuData Security का अधिग्रहण किया, जिससे इसकी जोखिम मूल्यांकन क्षमताएँ बढ़ीं। वे बायोमेट्रिक्स, RBA, और AI में चल रहे नवाचार पर भी ज़ोर देते हैं। Visa की तरह, वे कोर ACS घटकों के लिए प्रमाणित वेंडरों पर भरोसा करते हैं लेकिन बंडल की गई सेवाएँ प्रदान कर सकते हैं या अधिग्रहित प्रौद्योगिकी का लाभ उठा सकते हैं।
• नॉन-SPC FIDO डेटा समर्थन (फ्रिक्शनलेस): Mastercard Identity Check बेहतर जोखिम निर्णय और फ्रिक्शनलेस फ्लो के लिए EMV 3DS 2.x के समृद्ध डेटा एक्सचेंज का लाभ उठाता है। NuData का उनका अधिग्रहण इस जोखिम मूल्यांकन के हिस्से के रूप में व्यवहारिक विश्लेषण पर एक मज़बूत ध्यान केंद्रित करने का सुझाव देता है। पिछले मर्चेंट FIDO डेटा को संसाधित करने के लिए समर्थन Identity Check कार्यक्रम के भीतर जारीकर्ता द्वारा उपयोग किए गए विशिष्ट ACS कार्यान्वयन पर निर्भर करेगा।
• SPC समर्थन (चैलेंज): Mastercard EMVCo का एक प्रमुख सदस्य है और EMV 3DS मानकों के विकास में शामिल है, जिसमें v2.3 भी शामिल है जो SPC का समर्थन करता है। वे पासकी अपनाने को और अधिक व्यापक रूप से बढ़ावा दे रहे हैं। अधिक विवरण यहाँ मिल सकते हैं। वे एक मज़बूत SPC समर्थक हैं और आधुनिक प्रमाणीकरण विधियों की ओर धकेलते हैं।

EMV 3DS ACS बाज़ार में ऊपर विस्तृत किए गए प्रदाताओं के अलावा कई प्रदाता हैं। /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop, और अन्य जैसे वेंडर भी प्रमाणित समाधान प्रदान करते हैं या विशिष्ट क्षेत्रों या खंडों में महत्वपूर्ण भूमिका निभाते हैं। इस विश्लेषण का उद्देश्य प्रमुख वैश्विक खिलाड़ियों को कवर करना है, लेकिन बाज़ार की गतिशील प्रकृति के कारण यह संपूर्ण नहीं है। वेंडर की क्षमताएँ, विशेष रूप से SPC जैसे उभरते मानकों के संबंध में, तेज़ी से विकसित होती हैं। यदि आप किसी भी अशुद्धि को नोटिस करते हैं या FIDO डेटा या सिक्योर पेमेंट कन्फर्मेशन के लिए वेंडर समर्थन पर अद्यतन जानकारी रखते हैं, तो कृपया संपर्क करें ताकि हम यह सुनिश्चित कर सकें कि यह अवलोकन वर्तमान और सटीक बना रहे।

EMV 3DS चैलेंज फ्लो के भीतर सिक्योर पेमेंट कन्फर्मेशन (SPC) का उपयोग करने का एक मुख्य सिद्धांत यह है कि कार्ड जारीकर्ता (या जारीकर्ता द्वारा स्पष्ट रूप से प्रत्यायोजित एक पक्ष, जैसे कि एक भुगतान योजना) FIDO Relying Party (RP) के रूप में कार्य करता है। यह पहले वर्णित नॉन-SPC FIDO डेटा फ्लो से मौलिक रूप से अलग है, जहाँ मर्चेंट आमतौर पर अपने स्वयं के लॉगिन/प्रमाणीकरण उद्देश्यों के लिए RP के रूप में कार्य करता है।

3DS चैलेंज में SPC के कार्य करने के लिए, निम्नलिखित चरण शामिल हैं:

1. नामांकन: कार्डधारक को पहले अपने जारीकर्ता बैंक के साथ एक FIDO प्रमाणक (जैसे, डिवाइस बायोमेट्रिक्स जैसे फिंगरप्रिंट/फेस आईडी, डिवाइस पिन, या एक रोमिंग सुरक्षा कुंजी) पंजीकृत करना होगा। यह प्रक्रिया एक पासकी बनाती है, जहाँ सार्वजनिक कुंजी और एक अद्वितीय क्रेडेंशियल पहचानकर्ता जारीकर्ता द्वारा संग्रहीत किया जाता है और कार्डधारक के खाते या विशिष्ट भुगतान कार्ड से जुड़ा होता है। नामांकन बैंक के मोबाइल ऐप, ऑनलाइन बैंकिंग पोर्टल के भीतर हो सकता है, या संभावित रूप से एक सफल पारंपरिक 3DS चैलेंज के बाद पेश किया जा सकता है। महत्वपूर्ण रूप से, SPC को किसी तीसरे पक्ष जैसे मर्चेंट वेबसाइट द्वारा लागू करने के लिए, क्रेडेंशियल को आमतौर पर स्पष्ट यूज़र सहमति के साथ बनाया जाना चाहिए जो ऐसे संदर्भों में इसके उपयोग की अनुमति देता है, जिसमें अक्सर पंजीकरण के दौरान विशिष्ट WebAuthn एक्सटेंशन शामिल होते हैं।
2. प्रमाणीकरण (3DS चैलेंज के दौरान):
   • जब एक 3DS लेन-देन एक चैलेंज को ट्रिगर करता है, और जारीकर्ता/ACS SPC का समर्थन करता है और चुनता है, तो ACS कार्डधारक और डिवाइस से जुड़े प्रासंगिक FIDO क्रेडेंशियल आईडी की पहचान करता है।
   • ACS इन क्रेडेंशियल आईडी को, एक अद्वितीय क्रिप्टोग्राफ़िक चैलेंज और लेन-देन विवरण (राशि, मुद्रा, भुगतानकर्ता का नाम/मूल, साधन आइकन/प्रदर्शन नाम) के साथ, 3DS सर्वर/रिक्वेस्टर को वापस भेजे गए प्रमाणीकरण प्रतिक्रिया (ARes) में शामिल करता है।
   • मर्चेंट का 3DS रिक्वेस्टर घटक ARes से इस जानकारी का उपयोग ब्राउज़र के SPC API को लागू करने के लिए करता है।
   • ब्राउज़र ACS द्वारा प्रदान किए गए लेन-देन विवरण को प्रदर्शित करने वाला एक मानकीकृत, सुरक्षित डायलॉग प्रस्तुत करता है।
   • यूज़र लेन-देन की पुष्टि करता है और अपने पंजीकृत FIDO प्रमाणक (जैसे, फिंगरप्रिंट सेंसर को छूना, चेहरे की पहचान, डिवाइस पिन दर्ज करना, सुरक्षा कुंजी टैप करना) का उपयोग करके प्रमाणित करता है। यह क्रिया डिवाइस/प्रमाणक पर सुरक्षित रूप से संग्रहीत निजी कुंजी को अनलॉक करती है।
   • प्रमाणक प्रस्तुत लेन-देन विवरण और ACS से प्राप्त क्रिप्टोग्राफ़िक चैलेंज पर हस्ताक्षर करता है।
   • ब्राउज़र परिणामी FIDO असर्शन (हस्ताक्षरित डेटा पेलोड) को मर्चेंट के 3DS रिक्वेस्टर को लौटाता है।
   • 3DS रिक्वेस्टर इस असर्शन को जारीकर्ता ACS को वापस भेजता है, आमतौर पर दूसरे AReq संदेश के भीतर समाहित।
   • जारीकर्ता/ACS, आधिकारिक Relying Party के रूप में कार्य करते हुए, असर्शन पर हस्ताक्षर को क्रिप्टोग्राफ़िक रूप से सत्यापित करने के लिए कार्डधारक की पहले से संग्रहीत सार्वजनिक कुंजी का उपयोग करता है। सफल सत्यापन इस बात की पुष्टि करता है कि वैध कार्डधारक ने, अपने पंजीकृत प्रमाणक का उपयोग करते हुए, प्रस्तुत विशिष्ट लेन-देन विवरण को मंजूरी दी।

EMV 3DS चैलेंज फ्लो में SPC के एकीकरण के लिए मानक संदेश अनुक्रम में संशोधनों की आवश्यकता होती है, जिसमें आमतौर पर दो AReq/ARes एक्सचेंज शामिल होते हैं:

1. प्रारंभिक प्रमाणीकरण अनुरोध (AReq #1): मर्चेंट/3DS सर्वर लेन-देन और डिवाइस डेटा वाले AReq भेजकर 3DS प्रक्रिया शुरू करता है। SPC के लिए क्षमता का संकेत देने के लिए, अनुरोध में threeDSRequestorSpcSupport को 'Y' पर सेट किया गया एक संकेतक शामिल हो सकता है (या इसी तरह, ACS वेंडर के कार्यान्वयन के आधार पर)।
2. प्रारंभिक प्रमाणीकरण प्रतिक्रिया (ARes #1): यदि ACS यह निर्धारित करता है कि एक चैलेंज की आवश्यकता है और SPC का विकल्प चुनता है, तो यह इसे इंगित करने वाले ARes के साथ प्रतिक्रिया करता है। transStatus को 'S' (SPC आवश्यक इंगित करता है) या किसी अन्य विशिष्ट मान पर सेट किया जा सकता है। इस ARes में SPC API कॉल के लिए आवश्यक डेटा पेलोड होता है।
3. SPC API लागू करना और FIDO प्रमाणीकरण: मर्चेंट का 3DS रिक्वेस्टर घटक ARes #1 प्राप्त करता है और ब्राउज़र के SPC API को लागू करने के लिए पेलोड का उपयोग करता है। यूज़र ब्राउज़र के सुरक्षित UI के माध्यम से अपने प्रमाणक के साथ इंटरैक्ट करता है।
4. FIDO असर्शन वापसी: सफल यूज़र प्रमाणीकरण पर, ब्राउज़र FIDO असर्शन डेटा को 3DS रिक्वेस्टर को लौटाता है।
5. दूसरा प्रमाणीकरण अनुरोध (AReq #2): 3DS रिक्वेस्टर ACS को एक दूसरा AReq संदेश बनाता और भेजता है। इस संदेश का प्राथमिक उद्देश्य FIDO असर्शन डेटा को परिवहन करना है। इसमें आमतौर पर शामिल होता है:
   • ReqAuthData: FIDO असर्शन युक्त।
   • ReqAuthMethod: '09' पर सेट (या SPC/FIDO असर्शन के लिए निर्दिष्ट मान)।
   • अनुरोधों को जोड़ने के लिए संभावित रूप से ARes #1 से AuthenticationInformation मान।
   • वैकल्पिक रूप से, यदि SPC API कॉल विफल हो जाती है या टाइम आउट हो जाती है तो एक SPCIncompletionIndicator।
6. अंतिम प्रमाणीकरण प्रतिक्रिया (ARes #2): ACS AReq #2 प्राप्त करता है, कार्डधारक की सार्वजनिक कुंजी का उपयोग करके FIDO असर्शन को मान्य करता है, और अंतिम प्रमाणीकरण परिणाम निर्धारित करता है। यह निश्चित लेन-देन स्थिति वाले ARes #2 को वापस भेजता है (जैसे, transStatus = 'Y' प्रमाणीकरण सफल के लिए, 'N' विफल के लिए)।

यह दो-AReq फ्लो पारंपरिक 3DS चैलेंज विधियों (जैसे OTP या OOB जो CReq/CRes या RReq/RRes संदेशों के माध्यम से संभाला जाता है) से एक विचलन का प्रतिनिधित्व करता है जो आमतौर पर transStatus = 'C' प्राप्त होने के बाद प्रारंभिक AReq/ARes चक्र के भीतर पूरा होता है। जबकि SPC का यूज़र इंटरैक्शन हिस्सा (बायोमेट्रिक स्कैन, पिन प्रविष्टि) अक्सर OTP टाइप करने की तुलना में काफी तेज़ होता है, दूसरे पूर्ण AReq/ARes राउंड ट्रिप की शुरूआत 3DS सर्वर, डायरेक्टरी सर्वर और ACS के बीच नेटवर्क विलंबता जोड़ती है। कार्यान्वयनकर्ताओं और वेंडरों को इस फ्लो को सावधानीपूर्वक अनुकूलित करना चाहिए और समग्र एंड-टू-एंड लेन-देन समय को प्रतिस्पर्धी बनाए रखने और यूज़र अपेक्षाओं को पूरा करने के लिए संभावित टाइमआउट को संभालना चाहिए।

सिक्योर पेमेंट कन्फर्मेशन को इसके दोहरे मानकीकरण के कारण वैश्विक अपनाने के लिए तैनात किया गया है। इसे औपचारिक रूप से वर्ल्ड वाइड वेब कंसोर्टियम (W3C) द्वारा एक वेब मानक के रूप में परिभाषित किया गया है, जो 2023 के मध्य में उम्मीदवार अनुशंसा स्थिति तक पहुँच गया है और एक पूर्ण अनुशंसा बनने की दिशा में चल रहे काम के साथ। साथ ही, SPC को EMV® 3-D Secure विनिर्देशों में संस्करण 2.3 से शुरू करके एकीकृत किया गया है, जिसे EMVCo, भुगतान मानकों के लिए वैश्विक तकनीकी निकाय द्वारा प्रबंधित किया जाता है। यह एकीकरण सुनिश्चित करता है कि SPC CNP लेन-देन प्रमाणीकरण के लिए स्थापित वैश्विक ढांचे के भीतर कार्य करता है। W3C, FIDO एलायंस, और EMVCo के बीच सहयोग सुरक्षित और यूज़र-फ्रेंडली ऑनलाइन भुगतानों के लिए इंटरऑपरेबल मानक बनाने के लिए उद्योग-व्यापी प्रयास को रेखांकित करता है।

जबकि SPC का डिज़ाइन, विशेष रूप से यूज़र प्रमाणीकरण को विशिष्ट लेन-देन विवरणों से क्रिप्टोग्राफ़िक रूप से जोड़ने की इसकी क्षमता ("डायनेमिक लिंकिंग"), यूरोप के भुगतान सेवा निर्देश (PSD2) जैसे नियमों के तहत मज़बूत ग्राहक प्रमाणीकरण (SCA) आवश्यकताओं को पूरा करने में मदद करती है, इसकी उपयोगिता इन अनिवार्य क्षेत्रों तक ही सीमित नहीं है। SPC एक वैश्विक तकनीकी मानक है जो किसी भी बाज़ार में लागू होता है, जिसमें संयुक्त राज्य अमेरिका और कनाडा शामिल हैं, बशर्ते आवश्यक इकोसिस्टम घटक स्थान पर हों।

हर लेन-देन के लिए स्पष्ट SCA जनादेश के बिना बाज़ारों में, SPC को अपनाने के लिए प्राथमिक चालक हैं:

• बेहतर यूज़र एक्सपीरियंस: पारंपरिक OTP या ज्ञान-आधारित प्रश्नों की तुलना में एक संभावित तेज़ और अधिक सुविधाजनक चैलेंज विधि (जैसे, डिवाइस बायोमेट्रिक्स का उपयोग करके) की पेशकश करना, संभावित रूप से कार्ट परित्याग को कम करना। पायलटों ने पारंपरिक चुनौतियों की तुलना में प्रमाणीकरण समय में महत्वपूर्ण कमी दिखाई है।
• बढ़ी हुई सुरक्षा: SPC में निहित FIDO-आधारित प्रमाणीकरण फ़िशिंग हमलों, क्रेडेंशियल स्टफिंग, और पासवर्ड और OTP को लक्षित करने वाले अन्य सामान्य खतरों के प्रतिरोधी है।

इसलिए, उत्तरी अमेरिका जैसे क्षेत्रों में जारीकर्ता और मर्चेंट सुरक्षा बढ़ाने और बेहतर ग्राहक अनुभव प्रदान करने के लिए रणनीतिक रूप से SPC को लागू करना चुन सकते हैं, भले ही सभी लेन-देन के लिए ऐसा करने की कोई नियामक आवश्यकता न हो।

सिक्योर पेमेंट कन्फर्मेशन (SPC) की सफल तैनाती और व्यापक रूप से अपनाना भुगतान इकोसिस्टम के कई घटकों में समन्वित तैयारी पर बहुत अधिक निर्भर करता है। जबकि अंतर्निहित FIDO मानक और पासकी तकनीक तेज़ी से परिपक्व हो रही है, SPC API के लिए विशिष्ट ब्राउज़र-स्तरीय समर्थन और भुगतान श्रृंखला में पूर्ण एकीकरण महत्वपूर्ण बाधाएँ बनी हुई हैं। अन्य इकोसिस्टम खिलाड़ी आम तौर पर अच्छी तरह से आगे बढ़ रहे हैं।

इकोसिस्टम तैयारी सारांश (स्थिति मई 2025)

व्यवहार में इसका क्या मतलब है (मई 2025)

SPC अपनाने के लिए प्राथमिक बाधा यूज़र-एजेंट (ब्राउज़र) परत है:

• सफारी (macOS और iOS): ❌ WebKit में अभी भी secure-payment-confirmation भुगतान अनुरोध विधि का अभाव है। सफारी में देखी गई किसी भी साइट को अन्य प्रमाणीकरण विधियों (OTP, OOB, संभावित रूप से नॉन-SPC WebAuthn अनुभव) पर वापस जाना होगा। Apple ने एक्सटेंशन को लागू करने में कोई रुचि नहीं दिखाई है।
• क्रोम / एज (क्रोमियम): ⚠️ बेसलाइन SPC (क्रेडेंशियल निर्माण + प्रमाणीकरण) स्थिर है, लेकिन कुंजियाँ अभी तक हार्डवेयर प्रमाणकों में संग्रहीत नहीं हैं और केवल पायलटों में उपयोग की गई हैं। कार्यान्वयनकर्ताओं को संभावित ब्रेकिंग परिवर्तनों की उम्मीद करनी चाहिए और API उपलब्धता जाँच (जैसे, canMakePayment()) या फ़ीचर फ़्लैग के आधार पर कार्यक्षमता को गेट करने के लिए तैयार रहना चाहिए।
• फ़ायरफ़ॉक्स: ❌ टीम ने रुचि का संकेत दिया है लेकिन कोई प्रतिबद्ध कार्यान्वयन समयरेखा नहीं है; मर्चेंट्स को ग्रेसफुल फ़ॉलबैक पथों की योजना बनानी चाहिए।

क्योंकि जारीकर्ता अवसंरचना (ACS, FIDO सर्वर) और स्कीम डायरेक्टरी सर्वर काफी हद तक तैयार हैं या तेज़ी से आगे बढ़ रहे हैं, और मर्चेंट/PSP उपकरण उपलब्ध हो रहे हैं, व्यापक SPC उपयोग में मुख्य बाधा ब्राउज़र समर्थन है। एक बार ब्राउज़र कवरेज में सुधार होने पर, शेष कार्यों में मुख्य रूप से मर्चेंट/PSP एकीकरण (EMV 3DS v2.3+ में अपग्रेड करना, SPC लागू करने का लॉजिक जोड़ना, दो-AReq फ्लो को संभालना) और विशेष रूप से भुगतान संदर्भों के लिए जारीकर्ता द्वारा पासकी के नामांकन को बढ़ाना शामिल है।

अभी के लिए, उम्मीद करें कि SPC केवल लेन-देन के एक सीमित हिस्से के लिए दिखाई देगा। जब तक सफारी (और इस प्रकार संपूर्ण iOS इकोसिस्टम) समर्थन नहीं देता, तब तक SPC बाज़ार समर्थन प्राप्त नहीं कर सकता।

विश्लेषण मई 2025 तक EMV 3DS के भीतर दो प्राथमिक FIDO एकीकरणों की तैयारी में एक स्पष्ट विचलन को प्रकट करता है। जबकि एक चैलेंज विधि के रूप में सिक्योर पेमेंट कन्फर्मेशन (SPC) के लिए मूलभूत तत्व आगे बढ़ रहे हैं - विशेष रूप से जारीकर्ता/ACS क्षमताएँ और स्कीम की तैयारी - इसका व्यापक रूप से अपनाना ब्राउज़र समर्थन की महत्वपूर्ण बाधा से काफी बाधित है, विशेष रूप से Apple के सफारी (सभी iOS/iPadOS उपकरणों को अवरुद्ध करना) और फ़ायरफ़ॉक्स में कार्यान्वयन की कमी, साथ ही वर्तमान क्रोमियम कार्यान्वयन में सीमाओं के साथ। SPC एक आशाजनक भविष्य की स्थिति बनी हुई है, लेकिन यह आज एक व्यावहारिक, सर्वव्यापी समाधान नहीं है।

वर्तमान इकोसिस्टम स्थिति के आधार पर हम निम्नलिखित सिफारिशें करते हैं:

• मर्चेंट्स:
  • पासकी अपनाने को प्राथमिकता दें: यूज़र लॉगिन और प्रमाणीकरण के लिए पासकी लागू करें। अपनी स्वयं की सुरक्षा और यूज़र एक्सपीरियंस में सुधार करने के अलावा (यहाँ विस्तृत नहीं किए गए कारक), यह 3DS फ्रिक्शनलेस फ्लो के लिए आवश्यक डेटा बनाता है।
  • FIDO डेटा पास करें: सुनिश्चित करें कि आपका 3DS एकीकरण चेकआउट सत्र के दौरान सफल पिछली पासकी प्रमाणीकरण के विवरण के साथ threeDSRequestorAuthenticationInfo फ़ील्ड को सही ढंग से भरता है। इसे सक्षम करने के लिए अपने PSP/3DS सर्वर प्रदाता के साथ काम करें।
• जारीकर्ता:
  • यूज़र पासकी नामांकित करें: कार्डधारकों को सीधे आपके साथ पासकी नामांकित करने की पेशकश और प्रोत्साहित करना शुरू करें (बैंकिंग ऐप एक्सेस, भविष्य के SPC, आदि के लिए)। आवश्यक FIDO Relying Party अवसंरचना का निर्माण करें।
  • अभी मर्चेंट पासकी डेटा का लाभ उठाएँ: अपने ACS वेंडर को मर्चेंट्स द्वारा पास किए गए FIDO डेटा (threeDSRequestorAuthenticationInfo) को अपने RBA इंजन के भीतर एक मज़बूत सकारात्मक संकेत के रूप में ग्रहण करने और उपयोग करने का निर्देश दें। जहाँ संभव हो, यूज़र्स से जुड़े विश्वसनीय मर्चेंट पासकी के रिकॉर्ड बनाए रखें। एक मज़बूत मर्चेंट पासकी प्रमाणीकरण से पहले के लेन-देन के लिए फ्रिक्शनलेस अनुमोदन को महत्वपूर्ण रूप से बढ़ाने का लक्ष्य रखें।
  • SPC के लिए तैयारी करें, सक्रिय रूप से निगरानी करें: सुनिश्चित करें कि आपके ACS रोडमैप में पूर्ण EMV 3DS v2.3.1+ SPC समर्थन शामिल है, लेकिन इसे भविष्य के सुधार के रूप में मानें। यह अनुमान लगाने के लिए कि SPC बड़े पैमाने पर कब व्यवहार्य हो सकता है, ब्राउज़र के विकास (विशेष रूप से सफारी) की लगातार निगरानी करें।
• ACS वेंडर:
  • पासकी इंटेलिजेंस के साथ RBA को बढ़ाएँ: अपने RBA इंजन की मर्चेंट-प्रदत्त FIDO/पासकी डेटा को संसाधित करने और उस पर भरोसा करने की क्षमता में भारी निवेश करें। किसी दिए गए यूज़र/डिवाइस के लिए मर्चेंट खरीद में पासकी उपयोग को ट्रैक करने के लिए लॉजिक विकसित करें। यदि प्रदान किया गया हो तो मर्चेंट प्रमाणीकरण डेटा की क्रिप्टोग्राफ़िक अखंडता को सत्यापित करने के लिए सार्वजनिक कुंजियाँ (सीधे जारीकर्ता नामांकन से) संग्रहीत करें। सफल पासकी उपयोग को सीधे उच्च फ्रिक्शनलेस अनुमोदन दरों से जोड़ें।
  • मज़बूत SPC क्षमताएँ बनाएँ: भविष्य के बाज़ार अपनाने के लिए तैयारी में पूर्ण SPC चैलेंज फ्लो समर्थन (EMV 3DS v2.3.1+) विकसित करना और प्रमाणित करना जारी रखें।
• भुगतान योजनाएँ/नेटवर्क:
  • फ्रिक्शनलेस FIDO डेटा का समर्थन करें: 3DS फ्लो के भीतर मर्चेंट FIDO प्रमाणीकरण डेटा (threeDSRequestorAuthenticationInfo) को पास करने और उपयोग करने को सक्रिय रूप से बढ़ावा दें और संभावित रूप से प्रोत्साहित करें। RBA के लिए इस डेटा का प्रभावी ढंग से लाभ उठाने पर जारीकर्ताओं और ACS वेंडरों को स्पष्ट मार्गदर्शन और समर्थन प्रदान करें।
  • SPC की वकालत और ब्राउज़र जुड़ाव जारी रखें: SPC को मानकीकृत करने और बढ़ावा देने के प्रयासों को बनाए रखें, SPC API मानक के पूर्ण, इंटरऑपरेबल कार्यान्वयन को प्रोत्साहित करने के लिए ब्राउज़र वेंडरों (Apple, Mozilla, Google) के साथ गंभीर रूप से जुड़ें।

तत्काल, ठोस अवसर मर्चेंट स्तर पर पासकी के बढ़ते अपनाने का लाभ उठाकर फ्रिक्शनलेस फ्लो को बढ़ाने में निहित है। सभी इकोसिस्टम प्रतिभागियों को मौजूदा EMV 3DS ढांचे के भीतर इस पिछले प्रमाणीकरण डेटा के निर्माण, प्रसारण और बुद्धिमान खपत को सक्षम करने को प्राथमिकता देनी चाहिए। यह मार्ग सार्वभौमिक SPC ब्राउज़र समर्थन की प्रतीक्षा किए बिना घर्षण को कम करने और संभावित रूप से धोखाधड़ी को कम करने में निकट-अवधि के लाभ प्रदान करता है। समवर्ती रूप से, SPC के लिए आधार तैयार करना - विशेष रूप से जारीकर्ता पासकी नामांकन और ACS की तैयारी - यह सुनिश्चित करता है कि ब्राउज़र की बाधा हल हो जाने पर इकोसिस्टम इस बेहतर चैलेंज विधि को अपनाने के लिए तैनात है।