EMV 3DS Access Control Server: Passkeys, FIDO dan SPC

Lanskap autentikasi pembayaran online sedang mengalami transformasi signifikan, didorong oleh dua kebutuhan: meningkatkan keamanan terhadap penipuan canggih dan memperbaiki pengalaman pengguna untuk mengurangi hambatan dan pengabaian keranjang belanja. Protokol EMV® 3-D Secure (3DS), terutama versi terbarunya (EMV 3DS 2.x), berfungsi sebagai teknologi dasar untuk mengautentikasi transaksi card-not-present (CNP) secara global. Dikelola oleh EMVCo, protokol ini memfasilitasi pertukaran data antara merchant, issuer (melalui Access Control Server - ACS mereka), dan domain interoperabilitas (Directory Server yang dioperasikan oleh skema pembayaran) untuk memverifikasi identitas pemegang kartu.

Dalam kerangka ini, dua kemajuan teknologi utama yang terkait dengan standar FIDO (Fast Identity Online) Alliance sedang muncul:

1. Penggunaan data autentikasi FIDO yang dihasilkan selama interaksi pengguna sebelumnya (misalnya, login di merchant) untuk memperkaya penilaian risiko pada alur frictionless EMV 3DS.
2. Integrasi Secure Payment Confirmation (SPC), sebuah standar web W3C yang dibangun di atas FIDO/WebAuthn, sebagai metode "challenge" yang lebih efisien dan tahan phishing dalam alur EMV 3DS.

Artikel ini memberikan gambaran umum tentang pasar global untuk solusi EMV 3DS Access Control Server (ACS) yang disediakan untuk bank penerbit. Artikel ini mengidentifikasi vendor-vendor utama dan mencoba mengevaluasi dukungan mereka saat ini untuk struktur data FIDO non-SPC dan Secure Payment Confirmation (SPC) untuk alur challenge. Selain itu, artikel ini menjelaskan mekanisme di mana issuer dapat memanfaatkan passkey FIDO mereka sendiri untuk verifikasi kriptografis dalam alur challenge 3DS melalui SPC dan membahas penerapan standar ini secara global.

EMV 3DS beroperasi melalui dua jalur autentikasi utama yang berbeda:

• Alur Frictionless: Ini adalah jalur yang lebih disukai, bertujuan untuk pengalaman pengguna yang mulus. ACS issuer melakukan penilaian risiko berdasarkan serangkaian data yang kaya yang dipertukarkan selama inisiasi transaksi (melalui Authentication Request, atau pesan AReq). Data ini mencakup detail transaksi, informasi merchant, karakteristik perangkat, data browser (yang mungkin dikumpulkan melalui 3DSMethod JavaScript), dan informasi autentikasi sebelumnya. Jika risiko dianggap rendah, transaksi diautentikasi tanpa memerlukan interaksi langsung atau "challenge" dari pemegang kartu. Alur ini mencakup sebagian besar transaksi 3DS, terutama di mana mesin risiko telah disetel dengan baik.
• Alur Challenge: Jika ACS menentukan risiko transaksi tinggi, atau jika diwajibkan oleh peraturan (seperti PSD2 SCA di Eropa) atau kebijakan issuer, pemegang kartu akan secara aktif ditantang untuk memverifikasi identitas mereka. Metode challenge tradisional termasuk One-Time Passcode (OTP) yang dikirim melalui SMS, pertanyaan berbasis pengetahuan, atau autentikasi Out-of-Band (OOB) melalui aplikasi perbankan. Tujuan dari versi 3DS yang lebih baru dan teknologi terkait seperti SPC adalah untuk membuat alur challenge ini lebih aman dan tidak merepotkan dibandingkan metode lama.

EMVCo dan FIDO Alliance telah berkolaborasi untuk mendefinisikan cara standar bagi merchant untuk meneruskan informasi tentang autentikasi FIDO sebelumnya (di mana merchant bertindak sebagai Relying Party, misalnya, saat login pengguna) ke ACS issuer dalam pesan AReq 3DS standar. Mekanisme ini, yang pertama kali didukung dalam EMV 3DS v2.1, memanfaatkan bidang-bidang spesifik dalam AReq, terutama struktur threeDSRequestorAuthenticationInfo, yang berisi sub-bidang seperti threeDSRequestorAuthenticationData.

Catatan Teknis FIDO Alliance dan white paper EMVCo terkait menentukan struktur JSON untuk bidang threeDSRequestorAuthenticationData ini saat menyampaikan detail autentikasi FIDO sebelumnya. Objek JSON ini mencakup detail seperti waktu autentikasi (authTime), ID Relying Party FIDO (rpId atau appId), dan informasi tentang authenticator yang digunakan, termasuk kunci publik, AAGUID/AAID, dan indikator user presence (UP) dan user verification (UV).

Alasannya adalah jika merchant baru-baru ini melakukan autentikasi FIDO yang kuat (misalnya, menggunakan biometrik atau passkey) untuk sesi pengguna yang memulai pembelian, informasi ini dapat berfungsi sebagai sinyal risiko tambahan yang berharga bagi ACS issuer. Dengan menerima dan memproses data FIDO standar ini, ACS berpotensi mendapatkan kepercayaan yang lebih besar terhadap keabsahan transaksi, meningkatkan kemungkinan persetujuan frictionless dan mengurangi kebutuhan akan challenge terpisah. Penting untuk dicatat bahwa dalam skenario ini, merchant adalah FIDO RP, dan issuer menggunakan data ini sebagai masukan untuk mesin risikonya; issuer tidak memverifikasi assertion FIDO secara kriptografis dalam alur frictionless ini. ACS tetap memiliki opsi untuk mengabaikan data ini jika tidak dikonfigurasi untuk memprosesnya.

Secure Payment Confirmation (SPC) merupakan integrasi standar FIDO yang berbeda dalam alur challenge EMV 3DS. SPC adalah standar web W3C, yang dikembangkan bekerja sama dengan FIDO dan EMVCo, yang dibangun di atas WebAuthn. Ini secara resmi didukung dalam EMV 3DS mulai dari versi 2.3.

Ketika SPC digunakan sebagai metode challenge:

1. Issuer (atau pihak yang secara eksplisit didelegasikan oleh issuer, seperti skema pembayaran) berfungsi sebagai FIDO Relying Party (RP). Ini secara fundamental berbeda dari alur data FIDO non-SPC yang dijelaskan sebelumnya, di mana merchant biasanya bertindak sebagai RP untuk tujuan login/autentikasinya sendiri.
2. Selama challenge 3DS, ACS memberi sinyal perlunya SPC dan menyediakan pengidentifikasi kredensial FIDO yang diperlukan serta cryptographic challenge ke merchant/3DS Server.
3. Sistem merchant memanggil API SPC browser, menyajikan detail transaksi (jumlah, mata uang, penerima pembayaran, instrumen) kepada pengguna dalam dialog yang dikontrol browser secara aman.
4. Pengguna mengautentikasi menggunakan authenticator FIDO mereka (misalnya, biometrik perangkat, PIN, security key), yang menandatangani detail transaksi dan challenge menggunakan kunci privat yang terkait dengan passkey yang terdaftar di issuer.
5. Assertion FIDO yang dihasilkan (bukti kriptografis autentikasi dan persetujuan) diteruskan kembali melalui protokol 3DS (biasanya melalui pesan AReq kedua) ke ACS issuer.
6. ACS, sebagai RP, memvalidasi assertion secara kriptografis menggunakan kunci publik yang sesuai, mengonfirmasi identitas pemegang kartu dan persetujuan terhadap detail transaksi spesifik.

SPC bertujuan untuk memberikan pengalaman challenge yang lebih aman (tahan phishing, dynamic linking autentikasi ke data transaksi) dan berpotensi lebih sedikit hambatan (seringkali lebih cepat daripada entri OTP) dibandingkan dengan metode tradisional.

Jalur ganda untuk integrasi FIDO—satu memanfaatkan data autentikasi merchant sebelumnya untuk penilaian risiko frictionless, yang lain menggunakan kredensial yang dikelola issuer untuk challenge berbasis FIDO langsung melalui SPC—menawarkan pendekatan yang berbeda untuk meningkatkan keamanan dan pengalaman pengguna dalam kerangka EMV 3DS. Memahami dukungan vendor untuk masing-masing jalur sangat penting bagi issuer dan PSP yang merencanakan strategi autentikasi mereka.

Bagian ini menganalisis kemampuan penyedia global solusi ACS EMV 3DS, dengan fokus pada kehadiran pasar mereka dan dukungan untuk data FIDO (non-SPC) dan Secure Payment Confirmation (SPC). Angka pangsa pasar yang tepat bersifat rahasia dan sulit diperoleh secara publik; oleh karena itu, kehadiran dinilai berdasarkan klaim vendor, sertifikasi, kemitraan, jangkauan geografis, dan laporan pasar.

• Kehadiran Pasar: Entersekt, terutama setelah akuisisi bisnis perangkat lunak 3DS Modirum pada Desember 2023, memposisikan dirinya sebagai penyedia global terkemuka solusi EMV 3DS, menargetkan posisi lima besar di pasar. Modirum memiliki lebih dari 20 tahun pengalaman dalam 3DS. Entersekt menyoroti pertumbuhan rekor yang didorong oleh klien baru, terutama di Amerika Utara, dan kemitraan strategis, termasuk hubungan yang diperluas dengan Mastercard. Mereka mengklaim mengamankan lebih dari 2,5 miliar transaksi setiap tahun (per TA24) dan menduduki peringkat #1 dalam pencegahan ATO di perbankan oleh Liminal. ACS mereka tersedia secara hosted (oleh Entersekt atau klien) atau on-premise. Mereka melayani issuer dan prosesor secara global.
• Dukungan Data FIDO Non-SPC (Frictionless): Entersekt menekankan Context Aware™ Authentication, analitik perangkat dan perilaku untuk sinyal risiko, dan integrasi dengan berbagai layanan penilaian risiko. ACS mereka bersertifikat FIDO EMVCo 2.2. Meskipun mereka menyoroti pemanfaatan data intelijen risiko dan perilaku untuk RBA, konfirmasi eksplisit tentang pemrosesan data atestasi FIDO standar dari autentikasi merchant sebelumnya dalam bidang threeDSRequestorAuthenticationInfo untuk peningkatan alur frictionless tidak dinyatakan secara eksplisit dalam materi online. Namun, fokus mereka pada autentikasi canggih dan sinyal risiko menunjukkan kemampuan tersebut.
• Dukungan SPC (Challenge): Indikator kuat menunjukkan Entersekt mendukung SPC. Modirum, yang bisnis 3DS-nya diakuisisi Entersekt, menyediakan komponen untuk pilot SPC Visa menggunakan 3DS 2.2 dengan ekstensi. Entersekt secara eksplisit mencantumkan dukungan untuk kepatuhan SPC sebagai bagian dari kemampuan kepatuhan regulasinya. ACS mereka mendukung autentikasi biometrik, disertifikasi untuk EMV 3DS 2.2, dan kemungkinan menggabungkan kemampuan dari keterlibatan pilot Modirum. Kombinasi akuisisi Modirum, penyebutan eksplisit kepatuhan SPC, dan sertifikasi FIDO sangat menunjukkan dukungan SPC dalam penawaran mereka saat ini.

• Kehadiran Pasar: Arcot dari Broadcom adalah pemain fundamental di pasar 3DS, setelah turut menciptakan protokol asli bersama Visa. Mereka memposisikan diri sebagai pemimpin global yang diakui, melayani lebih dari 5.000 lembaga keuangan di seluruh dunia dan memproses transaksi dari 229 negara. Jaringan Arcot mereka menekankan pendekatan data konsorsium yang luas (mengklaim 600 juta+ tanda tangan perangkat, 150 triliun titik data) untuk mendukung penilaian penipuan dan mesin risiko mereka. Mereka memiliki kehadiran yang kuat di Eropa, Australia, dan Amerika Utara.
• Dukungan Data FIDO Non-SPC (Frictionless): Broadcom sangat menekankan kekayaan jaringan data mereka dan penggunaan AI/jaringan saraf untuk deteksi penipuan dan penilaian berbasis risiko, melampaui elemen data EMV 3DS standar. Mereka secara eksplisit menyatakan solusi mereka memanfaatkan data yang mengalir melalui beberapa issuer dan menggabungkan data digital seperti perangkat dan geolokasi. Meskipun tidak secara eksplisit menyebutkan pemrosesan struktur JSON FIDO spesifik dari threeDSRequestorAuthenticationData, fokus mereka pada penyerapan berbagai titik data untuk RBA sangat menyarankan mereka dapat mengonsumsi data tersebut jika disediakan, sejalan dengan maksud panduan EMVCo/FIDO. Platform mereka bertujuan untuk memaksimalkan persetujuan frictionless melalui penilaian risiko yang unggul.
• Dukungan SPC (Challenge): Dokumentasi Broadcom mengonfirmasi dukungan untuk authenticator FIDO (Security Key, Biometric, Passkey) dalam suite VIP Authentication Hub / Identity Security mereka yang lebih luas. ACS 3DS mereka mendukung berbagai metode challenge termasuk OTP dan notifikasi push, dan mereka menyebutkan dukungan untuk biometrik. Mereka juga menawarkan kemampuan Delegated Authentication dan telah memperkenalkan fitur evaluasi risiko pasca-challenge. Namun, konfirmasi eksplisit bahwa produk ACS EMV 3DS mereka saat ini mendukung SPC sebagai metode challenge spesifik (memerlukan kemampuan EMV 3DS v2.3+ dan alur dua-AReq) tidak ada dalam dokumentasi yang disediakan. Meskipun mereka adalah pemain utama yang kemungkinan mampu mengimplementasikannya, materi publik saat ini lebih banyak berfokus pada mesin RBA mereka dan metode challenge tradisional/OOB.

• Kehadiran Pasar: Netcetera memposisikan dirinya sebagai pemain pembayaran internasional yang signifikan, terutama kuat di Eropa dan Timur Tengah. Mereka menyatakan ACS mereka digunakan oleh lebih dari 800 bank/issuer, mengamankan 50+ juta kartu di seluruh dunia. Mereka menekankan sertifikasi dengan semua jaringan kartu utama (Visa, Mastercard, Amex, Discover, JCB, UnionPay, dll.) dan kepatuhan PCI. Mereka tercatat sebagai vendor ACS pertama di seluruh dunia yang mencapai sertifikasi EMV 3DS 2.3.1.
• Dukungan Data FIDO Non-SPC (Frictionless): Dokumentasi Netcetera menyoroti pentingnya data yang dikumpulkan melalui 3DSMethod untuk penilaian risiko ACS guna meningkatkan autentikasi frictionless. Mereka menawarkan integrasi dengan alat risiko. Namun, konfirmasi spesifik tentang pemrosesan data autentikasi FIDO merchant sebelumnya (dari threeDSRequestorAuthenticationInfo) untuk penilaian risiko tidak disebutkan secara eksplisit dalam materi yang ditinjau.
• Dukungan SPC (Challenge): Netcetera menunjukkan dukungan kuat untuk SPC. Mereka adalah vendor pertama di dunia yang disertifikasi untuk EMV 3DS 2.3.1, versi yang menggabungkan SPC. Mereka berpartisipasi dalam pilot SPC Visa, menyediakan komponen v2.3.1. Dokumentasi produk mereka secara eksplisit mendefinisikan SPC. Mereka telah mengadakan webinar yang membahas integrasi FIDO dan SPC dan menerbitkan artikel yang menyoroti manfaat SPC. Kombinasi sertifikasi, partisipasi pilot, dan dokumentasi eksplisit ini mengonfirmasi dukungan mereka untuk challenge SPC.

• Kehadiran Pasar: Worldline memposisikan dirinya sebagai pemimpin Eropa dalam layanan pembayaran dan transaksional dan pemain global utama (mengklaim status pemain pembayaran #4 di seluruh dunia). Mereka memproses miliaran transaksi setiap tahun dan menekankan kepatuhan yang dijamin, kontrol penipuan menggunakan AI/ML, dan skalabilitas. ACS mereka dinyatakan bersertifikat EMV 3DS dan sesuai dengan skema utama (Visa Secure, Mastercard Identity Check) dan PSD2. Mereka melaporkan memproses lebih dari 2,4 miliar transaksi 3DS setiap tahun untuk lebih dari 100 issuer.
• Dukungan Data FIDO Non-SPC (Frictionless): Penawaran ACS Worldline mencakup mesin aturan RBA yang memungkinkan issuer mengonfigurasi alur frictionless atau challenge berdasarkan risiko. Solusi "Trusted Authentication" mereka yang lebih luas memanfaatkan intelijen perangkat dan analisis perilaku. Meskipun mereka mendukung FIDO secara umum, konfirmasi eksplisit tentang pemrosesan data FIDO merchant sebelumnya (non-SPC) dalam ACS untuk penilaian risiko tidak dirinci dalam cuplikan yang disediakan.
• Dukungan SPC (Challenge): Worldline menunjukkan indikasi yang jelas dalam mendukung SPC. Dokumentasi mereka mengakui evolusi EMV 3DS 2.3 untuk menyertakan SPC/FIDO. Mereka secara eksplisit memasarkan solusi "WL Trusted Authentication" mereka sebagai pendukung autentikasi FIDO dan menawarkan "WL FIDO Server" yang cocok untuk "kasus penggunaan 3DS, dengan emvCO2.3 dan SPC.

• Kehadiran Pasar: GPayments memposisikan ActiveAccess sebagai "platform Access Control Server (ACS) terkemuka di pasar yang tangguh" dengan lebih dari 20 tahun di bidang 3D Secure. Mereka disertifikasi dengan skema kartu utama (Visa Secure, Mastercard Identity Check, JCB J/Secure) untuk 3DS1 dan EMV 3DS. Solusi mereka dapat diterapkan on-premise atau di-host di cloud. Laporan pasar mengidentifikasi GPayments sebagai pemain terkemuka yang menawarkan solusi ACS.
• Dukungan Data FIDO Non-SPC (Frictionless): ActiveAccess mendukung integrasi dengan solusi RBA pihak ketiga dan menggunakan berbagai parameter untuk penilaian risikonya sendiri. Namun, dokumentasi yang disediakan tidak secara eksplisit menyebutkan dukungan untuk menyerap atau menggunakan data autentikasi FIDO merchant sebelumnya (non-SPC) untuk penilaian risiko frictionless.
• Dukungan SPC (Challenge): Dokumentasi yang ditinjau untuk ActiveAccess tidak secara eksplisit menyebutkan dukungan untuk Secure Payment Confirmation (SPC), challenge WebAuthn, atau challenge FIDO sebagai bagian dari kemampuan alur challenge-nya. Meskipun mereka mendukung berbagai metode autentikasi termasuk OOB (yang dapat mencakup biometrik), dukungan SPC spesifik tidak jelas dari informasi yang tersedia.

• Kehadiran Pasar: Visa, sebagai jaringan pembayaran global utama, mendefinisikan program Visa Secure berdasarkan standar EMV 3DS. Mereka memelopori protokol 3DS asli. Daripada bertindak sebagai vendor ACS langsung seperti perusahaan teknologi Entersekt atau Broadcom, Visa mengoperasikan program dan mengandalkan daftar vendor 3DS yang disetujui (termasuk penyedia ACS) yang produknya disertifikasi sesuai dengan EMV 3DS dan aturan Visa Secure. Issuer biasanya membeli solusi ACS dari vendor bersertifikat ini. Visa sendiri berfokus pada jaringan (Directory Server), mendefinisikan aturan program, mempromosikan adopsi, dan mendorong inovasi seperti pilot SPC.
• Dukungan Data FIDO Non-SPC (Frictionless): Visa Secure, berdasarkan EMV 3DS, secara inheren mendukung pertukaran data yang kaya untuk penilaian risiko guna memungkinkan alur frictionless. Kerangka EMVCo/FIDO untuk meneruskan data FIDO sebelumnya beroperasi dalam ekosistem Visa Secure jika vendor ACS yang dipilih mendukung pemrosesannya.
• Dukungan SPC (Challenge): Visa secara aktif terlibat dalam uji coba dan promosi SPC. Mereka bekerja dengan mitra (seperti Netcetera dan Modirum/Entersekt dalam pilot) untuk menguji dan menyempurnakan alur SPC dalam protokol 3DS. Keterlibatan yang kuat ini menunjukkan dukungan strategis untuk SPC sebagai metode challenge dalam program Visa Secure, bergantung pada kesiapan ekosistem (dukungan ACS, merchant, browser).

• Kehadiran Pasar: Mirip dengan Visa, Mastercard mengoperasikan program Mastercard Identity Check berdasarkan EMV 3DS. Mereka menyediakan opsi untuk issuer dan merchant, termasuk pemrosesan stand-in dan berpotensi memanfaatkan mitra atau anak perusahaan seperti NuData. Mastercard mengakuisisi NuData Security, sebuah perusahaan biometrik perilaku, pada tahun 2017, meningkatkan kemampuan penilaian risikonya. Mereka juga menekankan inovasi berkelanjutan dalam biometrik, RBA, dan AI. Seperti Visa, mereka mengandalkan vendor bersertifikat untuk komponen inti ACS tetapi dapat menawarkan layanan terpadu atau memanfaatkan teknologi yang diakuisisi.
• Dukungan Data FIDO Non-SPC (Frictionless): Mastercard Identity Check memanfaatkan pertukaran data yang kaya dari EMV 3DS 2.x untuk pengambilan keputusan risiko yang lebih baik dan alur frictionless. Akuisisi NuData menunjukkan fokus yang kuat pada analitik perilaku sebagai bagian dari penilaian risiko ini. Dukungan untuk memproses data FIDO merchant sebelumnya akan bergantung pada implementasi ACS spesifik yang digunakan oleh issuer dalam program Identity Check.
• Dukungan SPC (Challenge): Mastercard adalah anggota kunci EMVCo dan terlibat dalam pengembangan standar EMV 3DS, termasuk v2.3 yang mendukung SPC. Mereka juga mempromosikan adopsi passkey secara lebih luas. Detail lebih lanjut dapat ditemukan di sini. Mereka adalah pendukung kuat SPC dan mendorong penggunaan metode autentikasi modern.

Pasar ACS EMV 3DS menampilkan banyak penyedia selain yang dirinci di atas. Vendor seperti /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop, dan lainnya juga menawarkan solusi bersertifikat atau memainkan peran penting di wilayah atau segmen tertentu. Analisis ini bertujuan untuk mencakup pemain global terkemuka tetapi tidak lengkap karena sifat pasar yang dinamis. Kemampuan vendor, terutama terkait standar baru seperti SPC, berkembang pesat. Jika Anda melihat ketidakakuratan atau memiliki informasi terbaru tentang dukungan vendor untuk data FIDO atau Secure Payment Confirmation, silakan hubungi kami agar kami dapat memastikan gambaran umum ini tetap terkini dan akurat.

Prinsip inti penggunaan Secure Payment Confirmation (SPC) dalam alur challenge EMV 3DS adalah bahwa issuer kartu (atau pihak yang secara eksplisit didelegasikan oleh issuer, seperti skema pembayaran) berfungsi sebagai FIDO Relying Party (RP). Ini secara fundamental berbeda dari alur data FIDO non-SPC yang dijelaskan sebelumnya, di mana merchant biasanya bertindak sebagai RP untuk tujuan login/autentikasinya sendiri.

Agar SPC berfungsi dalam challenge 3DS, langkah-langkah berikut terlibat:

1. Pendaftaran: Pemegang kartu harus terlebih dahulu mendaftarkan authenticator FIDO (misalnya, biometrik perangkat seperti sidik jari/ID wajah, PIN perangkat, atau security key roaming) ke bank penerbit mereka. Proses ini membuat passkey, di mana kunci publik dan pengidentifikasi kredensial unik disimpan oleh issuer dan dikaitkan dengan akun pemegang kartu atau kartu pembayaran tertentu. Pendaftaran mungkin terjadi di dalam aplikasi seluler bank, portal perbankan online, atau berpotensi ditawarkan setelah challenge 3DS tradisional yang berhasil. Yang terpenting, agar SPC dapat dipanggil oleh pihak ketiga seperti situs web merchant, kredensial biasanya harus dibuat dengan persetujuan pengguna eksplisit yang mengizinkan penggunaannya dalam konteks semacam itu, seringkali melibatkan ekstensi WebAuthn spesifik selama pendaftaran.
2. Autentikasi (selama Challenge 3DS):
   • Ketika transaksi 3DS memicu challenge, dan issuer/ACS mendukung dan memilih SPC, ACS mengidentifikasi ID kredensial FIDO yang relevan yang terkait dengan pemegang kartu dan perangkat.
   • ACS menyertakan ID kredensial ini, bersama dengan cryptographic challenge unik dan detail transaksi (jumlah, mata uang, nama/asal penerima pembayaran, ikon/nama tampilan instrumen), dalam Authentication Response (ARes) yang dikirim kembali ke 3DS Server/Requestor.
   • Komponen 3DS Requestor merchant menggunakan informasi dari ARes ini untuk memanggil API SPC browser.
   • Browser menyajikan dialog standar yang aman yang menampilkan detail transaksi yang disediakan oleh ACS.
   • Pengguna mengonfirmasi transaksi dan mengautentikasi menggunakan authenticator FIDO terdaftar mereka (misalnya, menyentuh sensor sidik jari, pengenalan wajah, memasukkan PIN perangkat, mengetuk security key). Tindakan ini membuka kunci privat yang disimpan dengan aman di perangkat/authenticator.
   • Authenticator menandatangani detail transaksi yang disajikan dan cryptographic challenge yang diterima dari ACS.
   • Browser mengembalikan assertion FIDO yang dihasilkan (payload data yang ditandatangani) ke 3DS Requestor merchant.
   • 3DS Requestor mengirimkan assertion ini kembali ke Issuer ACS, biasanya dienkapsulasi dalam pesan AReq kedua.
   • Issuer/ACS, yang bertindak sebagai Relying Party yang berwenang, menggunakan kunci publik pemegang kartu yang disimpan sebelumnya untuk memverifikasi tanda tangan pada assertion secara kriptografis. Verifikasi yang berhasil mengonfirmasi bahwa pemegang kartu yang sah, menggunakan authenticator terdaftarnya, menyetujui detail transaksi spesifik yang disajikan.

Integrasi SPC ke dalam alur challenge EMV 3DS memerlukan modifikasi pada urutan pesan standar, biasanya melibatkan dua pertukaran AReq/ARes:

1. Initial Authentication Request (AReq #1): Merchant/3DS Server memulai proses 3DS dengan mengirimkan AReq yang berisi data transaksi dan perangkat. Untuk memberi sinyal kemampuan SPC, permintaan mungkin menyertakan indikator seperti threeDSRequestorSpcSupport yang diatur ke 'Y' (atau serupa, tergantung pada implementasi vendor ACS).
2. Initial Authentication Response (ARes #1): Jika ACS menentukan challenge diperlukan dan memilih SPC, ia merespons dengan ARes yang menunjukkan hal ini. transStatus mungkin diatur ke 'S' (menunjukkan SPC diperlukan) atau nilai spesifik lainnya. ARes ini berisi payload data yang diperlukan untuk panggilan API SPC.
3. Pemanggilan API SPC & Autentikasi FIDO: Komponen 3DS Requestor merchant menerima ARes #1 dan menggunakan payload untuk memanggil API SPC browser. Pengguna berinteraksi dengan authenticator mereka melalui UI aman browser.
4. Pengembalian Assertion FIDO: Setelah autentikasi pengguna berhasil, browser mengembalikan data assertion FIDO ke 3DS Requestor.
5. Second Authentication Request (AReq #2): 3DS Requestor membuat dan mengirim pesan AReq kedua ke ACS. Tujuan utama pesan ini adalah untuk mengangkut data assertion FIDO. Biasanya mencakup:
   • ReqAuthData: Berisi assertion FIDO.
   • ReqAuthMethod: Diatur ke '09' (atau nilai yang ditunjuk untuk assertion SPC/FIDO).
   • Berpotensi nilai AuthenticationInformation dari ARes #1 untuk menautkan permintaan.
   • Secara opsional, SPCIncompletionIndicator jika panggilan API SPC gagal atau waktu habis.
6. Final Authentication Response (ARes #2): ACS menerima AReq #2, memvalidasi assertion FIDO menggunakan kunci publik pemegang kartu, dan menentukan hasil autentikasi akhir. Ia mengirim kembali ARes #2 yang berisi status transaksi definitif (misalnya, transStatus = 'Y' untuk Autentikasi Berhasil, 'N' untuk Gagal).

Alur dua-AReq ini merupakan penyimpangan dari metode challenge 3DS tradisional (seperti OTP atau OOB yang ditangani melalui pesan CReq/CRes atau RReq/RRes) yang biasanya selesai dalam siklus AReq/ARes awal setelah transStatus = 'C' diterima. Meskipun bagian interaksi pengguna SPC (pemindaian biometrik, entri PIN) seringkali jauh lebih cepat daripada mengetik OTP, pengenalan putaran AReq/ARes penuh kedua menambahkan latensi jaringan antara 3DS Server, Directory Server, dan ACS. Pelaksana dan vendor harus mengoptimalkan alur ini dengan cermat dan menangani potensi waktu habis untuk memastikan waktu transaksi end-to-end secara keseluruhan tetap kompetitif dan memenuhi harapan pengguna.

Secure Payment Confirmation diposisikan untuk adopsi global karena standardisasi gandanya. Ini secara formal didefinisikan sebagai standar web oleh World Wide Web Consortium (W3C), setelah mencapai status Candidate Recommendation pada pertengahan 2023 dengan pekerjaan yang sedang berlangsung untuk menjadi Rekomendasi penuh. Secara bersamaan, SPC telah diintegrasikan ke dalam spesifikasi EMV® 3-D Secure mulai dari versi 2.3, yang dikelola oleh EMVCo, badan teknis global untuk standar pembayaran. Integrasi ini memastikan bahwa SPC berfungsi dalam kerangka kerja global yang sudah ada untuk autentikasi transaksi CNP. Kolaborasi antara W3C, FIDO Alliance, dan EMVCo menggarisbawahi upaya seluruh industri untuk menciptakan standar yang dapat dioperasikan untuk pembayaran online yang aman dan ramah pengguna.

Walaupun desain SPC, terutama kemampuannya untuk secara kriptografis menautkan autentikasi pengguna ke detail transaksi spesifik ("dynamic linking"), membantu memenuhi persyaratan Strong Customer Authentication (SCA) di bawah peraturan seperti Payment Services Directive (PSD2) Eropa, kegunaannya tidak terbatas pada wilayah yang diwajibkan ini. SPC adalah standar teknis global yang berlaku di pasar mana pun, termasuk Amerika Serikat dan Kanada, asalkan komponen ekosistem yang diperlukan sudah tersedia.

Di pasar tanpa mandat SCA eksplisit untuk setiap transaksi, pendorong utama untuk mengadopsi SPC adalah:

• Pengalaman Pengguna yang Ditingkatkan: Menawarkan metode challenge yang berpotensi lebih cepat dan lebih nyaman (misalnya, menggunakan biometrik perangkat) dibandingkan dengan OTP tradisional atau pertanyaan berbasis pengetahuan, yang berpotensi mengurangi pengabaian keranjang belanja. Uji coba telah menunjukkan pengurangan waktu autentikasi yang signifikan dibandingkan dengan challenge tradisional.
• Keamanan yang Ditingkatkan: Autentikasi berbasis FIDO yang melekat pada SPC tahan terhadap serangan phishing, credential stuffing, dan ancaman umum lainnya yang menargetkan kata sandi dan OTP.

Oleh karena itu, issuer dan merchant di wilayah seperti Amerika Utara dapat memilih untuk menerapkan SPC secara strategis untuk meningkatkan keamanan dan memberikan pengalaman pelanggan yang lebih baik, bahkan tanpa persyaratan peraturan untuk melakukannya untuk semua transaksi.

Penerapan yang sukses dan adopsi luas Secure Payment Confirmation (SPC) sangat bergantung pada kesiapan yang terkoordinasi di berbagai komponen ekosistem pembayaran. Meskipun standar FIDO yang mendasarinya dan teknologi passkey berkembang pesat, dukungan tingkat browser spesifik untuk API SPC dan integrasi penuh di seluruh rantai pembayaran tetap menjadi rintangan kritis. Pemain ekosistem lainnya umumnya maju dengan baik.

Ringkasan Kesiapan Ekosistem (Status Mei 2025)

Apa artinya ini dalam praktik (Mei 2025)

Faktor penghambat utama untuk adopsi SPC adalah lapisan user-agent (browser):

• Safari (macOS & iOS): ❌ WebKit masih kekurangan metode Payment Request secure-payment-confirmation. Situs apa pun yang dikunjungi di Safari harus kembali ke metode autentikasi lain (OTP, OOB, berpotensi pengalaman WebAuthn non-SPC). Apple belum menyatakan minat untuk mengimplementasikan ekstensi tersebut.
• Chrome / Edge (Chromium): ⚠️ SPC dasar (pembuatan kredensial + autentikasi) stabil, tetapi kunci belum disimpan di authenticator perangkat keras dan hanya digunakan dalam pilot. Pelaksana harus mengantisipasi potensi perubahan yang dapat merusak dan bersiap untuk membatasi fungsionalitas berdasarkan pemeriksaan ketersediaan API (misalnya, canMakePayment()) atau feature flag.
• Firefox: ❌ Tim telah memberi sinyal minat tetapi tidak memiliki jadwal implementasi yang pasti; merchant harus merencanakan jalur fallback yang baik.

Karena infrastruktur issuer (ACS, server FIDO) dan server direktori skema sebagian besar sudah siap atau berkembang pesat, dan alat merchant/PSP menjadi tersedia, penghalang utama untuk penggunaan SPC yang luas adalah dukungan browser. Setelah cakupan browser membaik, tugas yang tersisa terutama melibatkan integrasi merchant/PSP (meningkatkan ke EMV 3DS v2.3+, menambahkan logika pemanggilan SPC, menangani alur dua-AReq) dan meningkatkan pendaftaran passkey oleh issuer khusus untuk konteks pembayaran.

Untuk saat ini, harapkan SPC hanya muncul untuk sebagian kecil transaksi. Sampai Safari (dan dengan demikian seluruh ekosistem iOS) mengirimkan dukungan, SPC tidak dapat mencapai dukungan pasar.

Analisis ini mengungkapkan perbedaan yang jelas dalam kesiapan dua integrasi FIDO utama dalam EMV 3DS per Mei 2025. Meskipun elemen dasar untuk Secure Payment Confirmation (SPC) sebagai metode challenge sedang berkembang – terutama kemampuan issuer/ACS dan kesiapan skema – adopsi luasnya secara signifikan terhambat oleh penghambat kritis dukungan browser, terutama kurangnya implementasi di Safari Apple (memblokir semua perangkat iOS/iPadOS) dan Firefox, bersama dengan keterbatasan dalam implementasi Chromium saat ini. SPC tetap menjadi keadaan masa depan yang menjanjikan, tetapi bukan solusi praktis dan ada di mana-mana saat ini.

Berdasarkan keadaan ekosistem saat ini, kami memberikan rekomendasi berikut:

• Merchant:
  • Prioritaskan Adopsi Passkey: Terapkan passkey untuk login dan autentikasi pengguna. Selain meningkatkan keamanan dan pengalaman pengguna Anda sendiri (faktor yang tidak dirinci di sini), ini menciptakan data yang dibutuhkan untuk alur frictionless 3DS.
  • Teruskan Data FIDO: Pastikan integrasi 3DS Anda mengisi bidang threeDSRequestorAuthenticationInfo dengan benar dengan detail autentikasi passkey sebelumnya yang berhasil selama sesi checkout. Bekerja samalah dengan penyedia PSP/3DS Server Anda untuk mengaktifkan ini.
• Issuer:
  • Daftarkan Passkey Pengguna: Mulailah menawarkan dan mendorong pemegang kartu untuk mendaftarkan passkey langsung dengan Anda (untuk akses aplikasi perbankan, SPC di masa depan, dll.). Bangun infrastruktur FIDO Relying Party yang diperlukan.
  • Manfaatkan Data Passkey Merchant Sekarang: Instruksikan vendor ACS Anda untuk menyerap dan memanfaatkan data FIDO yang diteruskan oleh merchant (threeDSRequestorAuthenticationInfo) sebagai sinyal positif yang kuat dalam mesin RBA Anda. Simpan catatan passkey merchant tepercaya yang terkait dengan pengguna jika memungkinkan. Bertujuan untuk secara signifikan meningkatkan persetujuan frictionless untuk transaksi yang didahului oleh autentikasi passkey merchant yang kuat.
  • Persiapkan SPC, Pantau Secara Aktif: Pastikan roadmap ACS Anda mencakup dukungan penuh EMV 3DS v2.3.1+ SPC, tetapi perlakukan sebagai peningkatan di masa depan. Pantau terus perkembangan browser (terutama Safari) untuk mengukur kapan SPC mungkin menjadi layak dalam skala besar.
• Vendor ACS:
  • Tingkatkan RBA dengan Intelijen Passkey: Investasikan secara besar-besaran pada kemampuan mesin RBA Anda untuk memproses dan mempercayai data FIDO/passkey yang disediakan merchant. Kembangkan logika untuk melacak penggunaan passkey di seluruh pembelian merchant untuk pengguna/perangkat tertentu. Simpan kunci publik (dari pendaftaran issuer langsung) untuk memverifikasi integritas kriptografis data autentikasi merchant jika disediakan. Kaitkan penggunaan passkey yang berhasil secara langsung dengan tingkat persetujuan frictionless yang lebih tinggi.
  • Bangun Kemampuan SPC yang Kuat: Terus kembangkan dan sertifikasi dukungan alur challenge SPC penuh (EMV 3DS v2.3.1+) sebagai kesiapan untuk adopsi pasar di masa depan.
• Skema/Jaringan Pembayaran:
  • Dukung Data FIDO Frictionless: Secara aktif promosikan dan berpotensi berikan insentif untuk penerusan dan pemanfaatan data autentikasi FIDO merchant (threeDSRequestorAuthenticationInfo) dalam alur 3DS. Berikan panduan dan dukungan yang jelas kepada issuer dan vendor ACS tentang pemanfaatan data ini secara efektif untuk RBA.
  • Lanjutkan Advokasi SPC & Keterlibatan dengan Browser: Pertahankan upaya untuk menstandardisasi dan mempromosikan SPC, secara kritis terlibat dengan vendor browser (Apple, Mozilla, Google) untuk mendorong implementasi standar API SPC yang penuh dan dapat dioperasikan.

Peluang nyata dan langsung terletak pada peningkatan alur frictionless dengan memanfaatkan adopsi passkey yang berkembang di tingkat merchant. Semua peserta ekosistem harus memprioritaskan pengaktifan pembuatan, transmisi, dan konsumsi cerdas data autentikasi sebelumnya ini dalam kerangka kerja EMV 3DS yang ada. Jalur ini menawarkan manfaat jangka pendek dalam mengurangi hambatan dan potensi penipuan tanpa menunggu dukungan browser SPC universal. Secara bersamaan, mempersiapkan landasan untuk SPC – terutama pendaftaran passkey issuer dan kesiapan ACS – memastikan ekosistem diposisikan untuk mengadopsi metode challenge yang unggul ini setelah penghambat browser teratasi.