--- url: 'https://www.corbado.com/id/blog/emv-3ds-acs-passkeys-fido-dan-spc' title: 'EMV 3DS Access Control Server: Passkeys, FIDO dan SPC' description: 'Lanskap vendor ACS EMV 3DS: Pelajari tentang data Passkeys & FIDO untuk alur frictionless & kesiapan SPC untuk challenge pembayaran yang aman' lang: 'id' author: 'Vincent Delitz' date: '2025-07-15T13:23:59.786Z' lastModified: '2026-03-25T10:47:36.290Z' keywords: 'EMV 3DS Access Control Server, 3DS ACS' category: 'Passkeys Strategy' --- # EMV 3DS Access Control Server: Passkeys, FIDO dan SPC ## 1. Pendahuluan Lanskap [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) [pembayaran](https://www.corbado.com/passkeys-for-payment) online sedang mengalami transformasi signifikan, didorong oleh dua kebutuhan: meningkatkan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) terhadap penipuan canggih dan memperbaiki pengalaman pengguna untuk mengurangi hambatan dan pengabaian keranjang belanja. Protokol EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) (3DS), terutama versi terbarunya (EMV 3DS 2.x), berfungsi sebagai teknologi dasar untuk mengautentikasi transaksi card-not-present (CNP) secara global. Dikelola oleh EMVCo, protokol ini memfasilitasi pertukaran data antara [merchant](https://www.corbado.com/glossary/merchant), [issuer](https://www.corbado.com/glossary/issuer) (melalui Access Control Server - [ACS](https://www.corbado.com/glossary/acs) mereka), dan domain interoperabilitas (Directory Server yang dioperasikan oleh skema [pembayaran](https://www.corbado.com/passkeys-for-payment)) untuk memverifikasi identitas pemegang kartu. Dalam kerangka ini, dua kemajuan teknologi utama yang terkait dengan standar FIDO (Fast Identity Online) Alliance sedang muncul: 1. Penggunaan data [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) FIDO yang dihasilkan selama interaksi pengguna sebelumnya (misalnya, login di [merchant](https://www.corbado.com/glossary/merchant)) untuk memperkaya penilaian risiko pada [alur frictionless EMV 3DS](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf). 2. Integrasi [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC), sebuah standar web W3C yang dibangun di atas FIDO/WebAuthn, sebagai metode "challenge" yang lebih efisien dan tahan [phishing](https://www.corbado.com/glossary/phishing) dalam alur EMV 3DS. Artikel ini memberikan gambaran umum tentang pasar global untuk solusi [EMV 3DS Access Control Server](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) (ACS) yang disediakan untuk bank penerbit. Artikel ini mengidentifikasi vendor-vendor utama dan mencoba mengevaluasi dukungan mereka saat ini untuk struktur data FIDO non-[SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) dan Secure Payment Confirmation (SPC) untuk alur challenge. Selain itu, artikel ini menjelaskan mekanisme di mana [issuer](https://www.corbado.com/glossary/issuer) dapat memanfaatkan passkey FIDO mereka sendiri untuk verifikasi kriptografis dalam alur challenge 3DS melalui [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) dan membahas penerapan standar ini secara global. ## 2. Gambaran Umum EMV 3DS, FIDO & SPC ### 2.1 Alur Frictionless vs. Challenge dalam EMV 3DS EMV 3DS beroperasi melalui dua jalur [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) utama yang berbeda: - **Alur Frictionless:** Ini adalah jalur yang lebih disukai, bertujuan untuk pengalaman pengguna yang mulus. [ACS](https://www.corbado.com/glossary/acs) [issuer](https://www.corbado.com/glossary/issuer) melakukan penilaian risiko berdasarkan serangkaian data yang kaya yang dipertukarkan selama inisiasi transaksi (melalui Authentication Request, atau pesan AReq). Data ini mencakup detail transaksi, informasi [merchant](https://www.corbado.com/glossary/merchant), karakteristik perangkat, data browser (yang mungkin dikumpulkan melalui 3DSMethod [JavaScript](https://www.corbado.com/id/blog/aplikasi-crud-react-express-mysql)), dan informasi autentikasi sebelumnya. Jika risiko dianggap rendah, transaksi diautentikasi tanpa memerlukan interaksi langsung atau "challenge" dari pemegang kartu. Alur ini mencakup sebagian besar transaksi 3DS, terutama di mana mesin risiko [telah disetel dengan baik](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/). - **Alur Challenge:** Jika [ACS](https://www.corbado.com/glossary/acs) menentukan risiko transaksi tinggi, atau jika diwajibkan oleh peraturan (seperti [PSD2](https://www.corbado.com/blog/psd2-passkeys) [SCA](https://www.corbado.com/id/blog/psd2-passkeys) di Eropa) atau kebijakan issuer, pemegang kartu akan secara aktif ditantang untuk memverifikasi identitas mereka. Metode challenge tradisional termasuk One-Time Passcode (OTP) yang dikirim melalui SMS, pertanyaan berbasis pengetahuan, atau autentikasi Out-of-Band (OOB) melalui aplikasi [perbankan](https://www.corbado.com/passkeys-for-banking). Tujuan dari versi 3DS yang lebih baru dan teknologi terkait seperti [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) adalah untuk membuat alur challenge ini lebih aman dan tidak merepotkan dibandingkan [metode lama](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf). ![three domains 3DS](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/domains_3_DS_1aac4ea7f0.png) ### 2.2 Peran Data FIDO (Non-SPC) dalam Peningkatan Alur Frictionless EMVCo dan [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) telah [berkolaborasi untuk mendefinisikan cara standar](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) bagi merchant untuk meneruskan informasi tentang autentikasi FIDO sebelumnya (di mana _merchant_ bertindak sebagai [Relying Party](https://www.corbado.com/glossary/relying-party), misalnya, saat login pengguna) ke ACS issuer dalam [pesan](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) AReq 3DS standar. Mekanisme ini, yang pertama kali didukung dalam [EMV 3DS v2.1](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf), memanfaatkan bidang-bidang spesifik dalam AReq, terutama struktur `threeDSRequestorAuthenticationInfo`, yang berisi sub-bidang seperti [`threeDSRequestorAuthenticationData`](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf). [Catatan Teknis FIDO Alliance](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) dan [white paper EMVCo](https://www.emvco.com/wp-content/uploads/news/EMV-3DS-white-paper-PR_FINAL.pdf) terkait menentukan struktur JSON untuk bidang `threeDSRequestorAuthenticationData` ini saat menyampaikan [detail](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) autentikasi FIDO sebelumnya. Objek JSON ini mencakup detail seperti waktu autentikasi (`authTime`), ID [Relying Party](https://www.corbado.com/glossary/relying-party) FIDO (`rpId` atau `appId`), dan informasi tentang [authenticator](https://www.corbado.com/glossary/authenticator) yang digunakan, termasuk kunci publik, [AAGUID](https://www.corbado.com/glossary/aaguid)/AAID, dan indikator [user presence](https://www.corbado.com/blog/webauthn-user-verification) (UP) dan [user verification](https://www.corbado.com/blog/webauthn-user-verification) ([UV](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf)). Alasannya adalah jika merchant baru-baru ini melakukan autentikasi FIDO yang kuat (misalnya, menggunakan biometrik atau passkey) untuk sesi pengguna yang memulai pembelian, informasi ini dapat berfungsi sebagai sinyal risiko tambahan yang berharga bagi ACS issuer. Dengan menerima dan memproses data FIDO standar ini, ACS berpotensi mendapatkan kepercayaan yang lebih besar terhadap keabsahan transaksi, meningkatkan kemungkinan persetujuan frictionless dan mengurangi kebutuhan akan [challenge](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) terpisah. Penting untuk dicatat bahwa dalam skenario ini, merchant adalah FIDO RP, dan issuer menggunakan data ini sebagai masukan untuk mesin risikonya; issuer tidak memverifikasi [assertion](https://www.corbado.com/glossary/assertion) FIDO secara kriptografis dalam [alur](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) frictionless ini. ACS tetap memiliki opsi untuk mengabaikan data ini jika tidak dikonfigurasi untuk memproses[nya](https://www.youtube.com/watch?v=a8iGYQXmDlM). ### 2.3 Peran Secure Payment Confirmation dalam Alur Challenge [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) merupakan integrasi standar FIDO yang berbeda dalam _alur challenge_ EMV 3DS. SPC adalah standar web W3C, yang dikembangkan bekerja sama dengan FIDO dan EMVCo, yang dibangun di atas WebAuthn. Ini secara resmi didukung dalam EMV 3DS mulai dari versi [2.3](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/). Ketika SPC digunakan sebagai metode challenge: 1. **Issuer** (atau pihak yang secara eksplisit didelegasikan oleh issuer, seperti skema [pembayaran](https://www.corbado.com/passkeys-for-payment)) berfungsi sebagai **FIDO Relying Party ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))**. Ini secara fundamental berbeda dari alur data FIDO non-SPC yang dijelaskan sebelumnya, di mana merchant biasanya bertindak sebagai RP untuk [tujuan](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) login/autentikasinya sendiri. 2. Selama challenge 3DS, ACS memberi sinyal perlunya SPC dan menyediakan pengidentifikasi kredensial FIDO yang diperlukan serta [cryptographic challenge](https://www.corbado.com/glossary/cryptographic-challenge) ke merchant/3DS Server. 3. Sistem merchant memanggil API SPC browser, menyajikan detail transaksi (jumlah, mata uang, penerima pembayaran, instrumen) kepada pengguna dalam dialog yang dikontrol browser secara aman. 4. Pengguna mengautentikasi menggunakan [authenticator](https://www.corbado.com/glossary/authenticator) FIDO mereka (misalnya, [biometrik perangkat](https://www.corbado.com/id/blog/passkey-vs-biometrik-lokal), PIN, [security key](https://www.corbado.com/glossary/security-key)), yang menandatangani detail transaksi dan challenge menggunakan kunci privat yang terkait dengan passkey yang terdaftar di issuer. 5. [Assertion](https://www.corbado.com/glossary/assertion) FIDO yang dihasilkan (bukti kriptografis autentikasi dan persetujuan) diteruskan kembali melalui protokol 3DS (biasanya melalui pesan AReq kedua) ke ACS issuer. 6. ACS, sebagai RP, memvalidasi [assertion](https://www.corbado.com/glossary/assertion) secara kriptografis menggunakan kunci publik yang sesuai, mengonfirmasi identitas pemegang kartu dan persetujuan terhadap detail transaksi spesifik. SPC bertujuan untuk memberikan pengalaman challenge yang lebih aman (tahan [phishing](https://www.corbado.com/glossary/phishing), [dynamic linking](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) autentikasi ke data transaksi) dan berpotensi lebih sedikit hambatan (seringkali lebih cepat daripada entri OTP) dibandingkan dengan metode tradisional. Jalur ganda untuk integrasi FIDO—satu memanfaatkan data autentikasi merchant sebelumnya untuk penilaian risiko frictionless, yang lain menggunakan kredensial yang dikelola issuer untuk challenge berbasis FIDO langsung melalui SPC—menawarkan pendekatan yang berbeda untuk meningkatkan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) dan pengalaman pengguna dalam kerangka EMV 3DS. Memahami dukungan vendor untuk masing-masing jalur sangat penting bagi issuer dan [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) yang merencanakan strategi autentikasi mereka. ![overview emv 3ds](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_emv_3ds_97db9721b6.png) ## 3. Analisis Vendor ACS EMV 3DS Utama Bagian ini menganalisis kemampuan penyedia global solusi ACS EMV 3DS, dengan fokus pada kehadiran pasar mereka dan dukungan untuk data FIDO (non-SPC) dan Secure [Payment](https://www.corbado.com/passkeys-for-payment) Confirmation (SPC). Angka pangsa pasar yang tepat bersifat rahasia dan sulit diperoleh secara publik; oleh karena itu, kehadiran dinilai berdasarkan klaim vendor, sertifikasi, kemitraan, jangkauan geografis, dan laporan pasar. ### 3.1 Entersekt (menggabungkan Modirum) 3DS ACS - **Kehadiran Pasar:** Entersekt, terutama setelah akuisisi bisnis perangkat lunak 3DS Modirum pada Desember 2023, memposisikan dirinya sebagai penyedia global terkemuka solusi EMV 3DS, menargetkan [posisi](https://www.entersekt.com/solutions/3d-secure-acs) lima besar di pasar. Modirum memiliki lebih dari 20 tahun pengalaman dalam [3DS](https://www.entersekt.com/solutions/3d-secure-authentication). Entersekt menyoroti pertumbuhan rekor yang didorong oleh klien baru, terutama di Amerika Utara, dan kemitraan strategis, termasuk hubungan yang diperluas dengan [Mastercard](https://www.corbado.com/blog/mastercard-passkeys). Mereka mengklaim mengamankan lebih dari 2,5 miliar transaksi setiap tahun (per TA24) dan menduduki peringkat #1 dalam pencegahan ATO di [perbankan](https://www.corbado.com/passkeys-for-banking) oleh [Liminal](https://www.entersekt.com/company/newsroom_old/tpost/gmmthc53z1-entersekt-closes-record-year-of-growth-a). ACS mereka tersedia secara hosted (oleh Entersekt atau klien) atau [on-premise](https://www.entersekt.com/solutions/3d-secure-acs). Mereka melayani issuer dan prosesor secara [global](https://www.entersekt.com/solutions/3d-secure-acs). - **Dukungan Data FIDO Non-SPC (Frictionless):** Entersekt menekankan Context Aware™ Authentication, analitik perangkat dan perilaku untuk sinyal risiko, dan integrasi dengan berbagai [layanan](https://www.entersekt.com/solutions/3d-secure-acs) penilaian risiko. ACS mereka [bersertifikat](https://www.entersekt.com/solutions/3d-secure-acs) FIDO EMVCo 2.2. Meskipun mereka menyoroti pemanfaatan data intelijen risiko dan perilaku untuk [RBA](https://www.entersekt.com/solutions/3d-secure-acs), konfirmasi eksplisit tentang _pemrosesan data atestasi FIDO standar_ dari autentikasi merchant sebelumnya dalam bidang `threeDSRequestorAuthenticationInfo` untuk peningkatan alur frictionless tidak dinyatakan secara eksplisit dalam [materi](https://www.entersekt.com/solutions/3d-secure-acs) online. Namun, fokus mereka pada autentikasi canggih dan sinyal risiko menunjukkan kemampuan tersebut. - **Dukungan SPC (Challenge):** Indikator kuat menunjukkan Entersekt mendukung SPC. Modirum, yang bisnis 3DS-nya diakuisisi Entersekt, menyediakan komponen untuk pilot SPC [Visa](https://www.corbado.com/blog/visa-passkeys) menggunakan 3DS 2.2 dengan [ekstensi](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). Entersekt secara eksplisit mencantumkan dukungan untuk kepatuhan SPC sebagai bagian dari [kemampuan](https://www.entersekt.com/use-cases/regulatory-compliance) kepatuhan regulasinya. ACS mereka mendukung [autentikasi biometrik](https://www.corbado.com/id/faq/apa-itu-passkeys), disertifikasi untuk [EMV 3DS 2.2](https://www.entersekt.com/use-cases/regulatory-compliance), dan kemungkinan menggabungkan kemampuan dari keterlibatan pilot Modirum. Kombinasi akuisisi Modirum, penyebutan eksplisit kepatuhan SPC, dan sertifikasi FIDO sangat menunjukkan dukungan SPC dalam penawaran mereka saat ini. ### 3.2 Broadcom (Arcot) 3DS ACS - **Kehadiran Pasar:** Arcot dari Broadcom adalah pemain fundamental di pasar 3DS, setelah turut menciptakan protokol asli bersama [Visa](https://www.corbado.com/blog/visa-passkeys). Mereka memposisikan diri sebagai pemimpin global yang diakui, melayani lebih dari 5.000 lembaga keuangan di seluruh dunia dan memproses transaksi dari 229 [negara](https://arcot.broadcom.com/). Jaringan Arcot mereka menekankan pendekatan data konsorsium yang luas (mengklaim 600 juta+ tanda tangan perangkat, 150 triliun titik data) untuk mendukung penilaian penipuan dan [mesin](https://www.broadcom.com/info/cybersecurity/3d-secure) risiko mereka. Mereka memiliki kehadiran yang kuat di Eropa, Australia, dan Amerika [Utara](https://arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot-TRA3DS.pdf). - **Dukungan Data FIDO Non-SPC (Frictionless):** Broadcom sangat menekankan kekayaan jaringan data mereka dan penggunaan AI/jaringan saraf untuk deteksi penipuan dan penilaian berbasis risiko, melampaui [elemen](https://www.broadcom.com/info/cybersecurity/3d-secure) data EMV 3DS standar. Mereka secara eksplisit menyatakan solusi mereka memanfaatkan data yang mengalir melalui beberapa issuer dan menggabungkan data digital seperti perangkat dan [geolokasi](https://www.software.broadcom.com/hubfs/Broadcom%20PaySec/Resources/ArcotNetwork_Brief.pdf). Meskipun tidak secara eksplisit menyebutkan pemrosesan struktur JSON FIDO _spesifik_ dari `threeDSRequestorAuthenticationData`, fokus mereka pada penyerapan berbagai titik data untuk RBA sangat menyarankan mereka _dapat_ mengonsumsi data tersebut jika disediakan, sejalan dengan maksud panduan EMVCo/FIDO. Platform mereka bertujuan untuk memaksimalkan persetujuan frictionless melalui [penilaian](https://www.broadcom.com/info/cybersecurity/3d-secure) risiko yang unggul. - **Dukungan SPC (Challenge):** Dokumentasi Broadcom mengonfirmasi dukungan untuk [authenticator](https://www.corbado.com/glossary/authenticator) FIDO (Security Key, Biometric, Passkey) dalam [suite](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/vip-authentication-hub/3-3/Using/Authentication-services/factor-services/Fido-Microservice.html) VIP Authentication Hub / Identity Security mereka yang lebih luas. ACS 3DS mereka mendukung berbagai metode challenge termasuk OTP dan notifikasi push, dan mereka menyebutkan dukungan untuk [biometrik](https://www.broadcom.com/info/cybersecurity/3d-secure). Mereka juga menawarkan [kemampuan](https://www.arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot%20Delegated%20Authentication%20Brief.pdf) [Delegated Authentication](https://www.corbado.com/blog/delegated-sca-psd3-passkeys) dan telah memperkenalkan [fitur](https://techdocs.broadcom.com/us/en/payment-security/arcot-network/arcot-for-issuers/AFI/manage-risk/managing-rules/understanding-the-building-blocks-of-rules/ChallengeRiskEval.html) evaluasi risiko pasca-challenge. Namun, konfirmasi eksplisit bahwa _produk ACS EMV 3DS_ mereka saat ini mendukung _SPC_ sebagai metode challenge spesifik (memerlukan kemampuan EMV 3DS v2.3+ dan alur dua-AReq) tidak ada dalam [dokumentasi](https://www.broadcom.com/info/cybersecurity/3d-secure) yang disediakan. Meskipun mereka adalah pemain utama yang kemungkinan mampu mengimplementasikannya, materi publik saat ini lebih banyak berfokus pada mesin RBA mereka dan [metode](https://www.broadcom.com/info/cybersecurity/3d-secure) challenge tradisional/OOB. ### 3.3 Netcetera 3DS ACS - **Kehadiran Pasar:** Netcetera memposisikan dirinya sebagai pemain pembayaran internasional yang signifikan, terutama kuat di Eropa dan Timur [Tengah](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376). Mereka menyatakan ACS mereka digunakan oleh lebih dari 800 bank/issuer, mengamankan 50+ juta kartu di [seluruh dunia](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376). Mereka menekankan sertifikasi dengan semua jaringan kartu utama (Visa, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), Amex, Discover, JCB, UnionPay, dll.) dan [kepatuhan](https://thepaymentsassociation.org/article/netcetera-3ds-acs-is-discover-global-network-certified/) [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Mereka tercatat sebagai vendor ACS pertama di seluruh dunia yang mencapai [sertifikasi](https://www.netcetera.com/stories/expertise/emv-3ds-new-opportunities.html) EMV 3DS 2.3.1. - **Dukungan Data FIDO Non-SPC (Frictionless):** Dokumentasi Netcetera menyoroti pentingnya data yang dikumpulkan melalui 3DSMethod untuk penilaian risiko ACS guna meningkatkan autentikasi frictionless. Mereka menawarkan integrasi dengan [alat](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) risiko. Namun, konfirmasi spesifik tentang pemrosesan data autentikasi FIDO merchant sebelumnya (dari `threeDSRequestorAuthenticationInfo`) untuk penilaian risiko tidak disebutkan secara eksplisit dalam [materi](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) yang ditinjau. - **Dukungan SPC (Challenge):** Netcetera menunjukkan dukungan kuat untuk SPC. Mereka adalah vendor pertama di dunia yang disertifikasi untuk EMV 3DS 2.3.1, versi yang menggabungkan SPC. Mereka berpartisipasi dalam pilot SPC [Visa](https://www.corbado.com/blog/visa-passkeys), menyediakan [komponen](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) v2.3.1. Dokumentasi produk mereka secara eksplisit mendefinisikan SPC. Mereka telah mengadakan webinar yang membahas [integrasi](https://www.netcetera.com/payments/knowledge-hub.html) FIDO dan SPC dan menerbitkan artikel yang menyoroti [manfaat](https://www.netcetera.com/stories/expertise/Secure-Payment-Confirmation-meets-customer-demands.html) SPC. Kombinasi sertifikasi, partisipasi pilot, dan dokumentasi eksplisit ini mengonfirmasi dukungan mereka untuk challenge SPC. ### 3.4 Worldline 3DS ACS - **Kehadiran Pasar:** Worldline memposisikan dirinya sebagai pemimpin Eropa dalam layanan pembayaran dan transaksional dan pemain global utama (mengklaim [status](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) pemain pembayaran #4 di seluruh dunia). Mereka memproses miliaran transaksi setiap tahun dan menekankan kepatuhan yang dijamin, kontrol penipuan menggunakan AI/ML, dan [skalabilitas](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server). ACS mereka dinyatakan bersertifikat EMV 3DS dan sesuai dengan skema utama (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check)) dan [PSD2](https://www.corbado.com/blog/psd2-passkeys). Mereka melaporkan memproses lebih dari 2,4 miliar transaksi 3DS setiap tahun untuk lebih dari 100 issuer. - **Dukungan Data FIDO Non-SPC (Frictionless):** Penawaran ACS Worldline mencakup mesin aturan RBA yang memungkinkan issuer mengonfigurasi alur frictionless atau challenge berdasarkan [risiko](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server). Solusi "Trusted Authentication" mereka yang lebih luas memanfaatkan intelijen perangkat dan [analisis](https://business.worldline.com/l/130471/2025-02-04/33tlg4) perilaku. Meskipun mereka mendukung FIDO [secara umum](https://www.biometricupdate.com/202308/worldline-gets-fido-certified-vincss-makes-deal-to-boost-passwordless-authentication), konfirmasi eksplisit tentang pemrosesan data FIDO merchant sebelumnya (non-SPC) dalam ACS untuk penilaian risiko tidak dirinci dalam [cuplikan](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) yang disediakan. - **Dukungan SPC (Challenge):** Worldline menunjukkan indikasi yang jelas dalam mendukung SPC. Dokumentasi mereka mengakui evolusi EMV 3DS 2.3 untuk menyertakan [SPC/FIDO](https://worldline.com/content/dam/worldline/global/documents/reports/Fraud%20Prevention%20Report%202022_Worldline.pdf). Mereka secara eksplisit memasarkan solusi "WL Trusted Authentication" mereka sebagai pendukung autentikasi FIDO dan menawarkan "WL FIDO Server" yang cocok untuk "kasus penggunaan 3DS, dengan emvCO2.3 dan SPC. ### 3.5 GPayments 3DS ACS - **Kehadiran Pasar:** GPayments memposisikan ActiveAccess sebagai "platform Access Control Server (ACS) terkemuka di pasar yang tangguh" dengan lebih dari 20 tahun di [bidang](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) 3D Secure. Mereka disertifikasi dengan skema kartu utama (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check), JCB J/Secure) untuk 3DS1 dan EMV [3DS](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Solusi mereka dapat [diterapkan on-premise atau di-host di cloud](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Laporan pasar mengidentifikasi GPayments sebagai pemain terkemuka yang menawarkan [solusi](https://www.grandviewresearch.com/industry-analysis/3d-secure-payment-authentication-market-report) ACS. - **Dukungan Data FIDO Non-SPC (Frictionless):** ActiveAccess mendukung integrasi dengan solusi RBA pihak ketiga dan menggunakan berbagai parameter untuk [penilaian](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) risikonya sendiri. Namun, dokumentasi yang disediakan tidak secara eksplisit menyebutkan dukungan untuk menyerap atau menggunakan data autentikasi FIDO merchant sebelumnya (non-SPC) untuk [penilaian](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) risiko frictionless. - **Dukungan SPC (Challenge):** Dokumentasi yang ditinjau untuk ActiveAccess tidak secara eksplisit menyebutkan dukungan untuk [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC), challenge WebAuthn, atau challenge FIDO sebagai bagian dari [kemampuan](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) alur challenge-nya. Meskipun mereka mendukung berbagai metode autentikasi termasuk OOB (yang dapat mencakup [biometrik)](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/), dukungan SPC spesifik tidak jelas dari [informasi](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) yang tersedia. ### 3.6 Visa (Visa Secure) 3DS ACS - **Kehadiran Pasar:** Visa, sebagai jaringan pembayaran global utama, mendefinisikan program [Visa Secure](https://www.corbado.com/blog/visa-secure) berdasarkan [standar](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) EMV 3DS. Mereka memelopori [protokol](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) 3DS asli. Daripada bertindak sebagai _vendor_ ACS langsung seperti perusahaan teknologi Entersekt atau Broadcom, Visa mengoperasikan program dan mengandalkan daftar vendor 3DS yang disetujui (termasuk penyedia ACS) yang produknya disertifikasi sesuai dengan EMV 3DS dan [aturan](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) [Visa Secure](https://www.corbado.com/blog/visa-secure). Issuer biasanya membeli solusi ACS dari vendor bersertifikat ini. Visa sendiri berfokus pada jaringan (Directory Server), mendefinisikan aturan program, mempromosikan adopsi, dan mendorong inovasi seperti [pilot](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) SPC. - **Dukungan Data FIDO Non-SPC (Frictionless):** [Visa Secure](https://www.corbado.com/blog/visa-secure), berdasarkan EMV 3DS, secara inheren mendukung pertukaran data yang kaya untuk penilaian risiko guna memungkinkan [alur](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) frictionless. [Kerangka EMVCo/FIDO](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) untuk meneruskan data FIDO sebelumnya beroperasi dalam ekosistem Visa Secure jika vendor ACS yang dipilih mendukung pemrosesan[nya](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html). - **Dukungan SPC (Challenge):** Visa secara aktif terlibat dalam uji coba dan promosi SPC. Mereka bekerja dengan mitra (seperti Netcetera dan Modirum/Entersekt dalam pilot) untuk menguji dan menyempurnakan alur SPC dalam [protokol](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) 3DS. Keterlibatan yang kuat ini menunjukkan dukungan strategis untuk SPC sebagai metode challenge dalam program Visa Secure, bergantung pada kesiapan ekosistem (dukungan ACS, merchant, [browser)](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). ### 3.7 Mastercard (Identity Check) 3DS ACS - **Kehadiran Pasar:** Mirip dengan Visa, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) mengoperasikan program Mastercard Identity Check berdasarkan EMV [3DS](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html). Mereka menyediakan opsi untuk issuer dan merchant, termasuk pemrosesan stand-in dan berpotensi memanfaatkan mitra atau anak perusahaan seperti [NuData](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf). Mastercard mengakuisisi NuData Security, sebuah perusahaan biometrik perilaku, pada tahun 2017, meningkatkan [kemampuan](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) penilaian risikonya. Mereka juga menekankan inovasi berkelanjutan dalam biometrik, RBA, dan [AI](https://developer.mastercard.com/product/identity-check/). Seperti Visa, mereka mengandalkan vendor bersertifikat untuk komponen inti ACS tetapi dapat menawarkan layanan terpadu atau memanfaatkan [teknologi](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf) yang diakuisisi. - **Dukungan Data FIDO Non-SPC (Frictionless):** [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) memanfaatkan pertukaran data yang kaya dari EMV 3DS 2.x untuk pengambilan keputusan risiko yang lebih baik dan [alur](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) frictionless. Akuisisi NuData menunjukkan fokus yang kuat pada analitik perilaku sebagai bagian dari [penilaian](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) risiko ini. Dukungan untuk memproses data FIDO merchant sebelumnya akan bergantung pada implementasi ACS spesifik yang digunakan oleh issuer dalam [program](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) Identity Check. - **Dukungan SPC (Challenge):** Mastercard adalah anggota kunci EMVCo dan terlibat dalam pengembangan standar EMV 3DS, termasuk v2.3 yang mendukung SPC. Mereka juga mempromosikan [adopsi passkey](https://www.corbado.com/id/blog/kasus-bisnis-adopsi-passkey) secara lebih [luas](https://fidoalliance.org/goodbye-to-manual-card-entry-mastercard-reveals-when-the-new-era-of-one-click-online-payments-begins/). Detail lebih lanjut dapat ditemukan [di sini](https://developer.mastercard.com/product/identity-check/). Mereka adalah pendukung kuat SPC dan mendorong penggunaan metode autentikasi modern. ### 3.8 Vendor 3DS ACS Lainnya Pasar ACS EMV 3DS menampilkan banyak penyedia selain yang dirinci di atas. Vendor seperti /n software, RSA, 2C2P, 3dsecure.[io](https://www.corbado.com/blog/webauthn-errors), Adyen, ACI Worldwide, Computop, dan lainnya juga menawarkan solusi bersertifikat atau memainkan peran penting di wilayah atau segmen tertentu. Analisis ini bertujuan untuk mencakup pemain global terkemuka tetapi tidak lengkap karena sifat pasar yang dinamis. Kemampuan vendor, terutama terkait standar baru seperti SPC, berkembang pesat. Jika Anda melihat ketidakakuratan atau memiliki informasi terbaru tentang dukungan vendor untuk data FIDO atau Secure Payment Confirmation, silakan hubungi kami agar kami dapat memastikan gambaran umum ini tetap terkini dan akurat. ## 4. Autentikasi Passkey Issuer melalui Secure Payment Confirmation ### 4.1 Penjelasan Mekanisme: Issuer sebagai Relying Party Prinsip inti penggunaan Secure Payment Confirmation (SPC) dalam alur challenge EMV 3DS adalah bahwa **issuer kartu** (atau pihak yang secara eksplisit didelegasikan oleh issuer, seperti skema pembayaran) berfungsi sebagai **FIDO Relying Party ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))**. Ini secara fundamental berbeda dari alur data FIDO non-SPC yang dijelaskan sebelumnya, di mana merchant biasanya bertindak sebagai RP untuk [tujuan](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) login/autentikasinya sendiri. Agar SPC berfungsi dalam challenge 3DS, langkah-langkah berikut terlibat: 1. **Pendaftaran:** Pemegang kartu harus terlebih dahulu mendaftarkan authenticator FIDO (misalnya, [biometrik perangkat](https://www.corbado.com/id/blog/passkey-vs-biometrik-lokal) seperti sidik jari/ID wajah, PIN perangkat, atau [security key](https://www.corbado.com/glossary/security-key) roaming) ke bank penerbit mereka. Proses ini membuat passkey, di mana kunci publik dan pengidentifikasi kredensial unik disimpan oleh issuer dan dikaitkan dengan akun pemegang kartu atau [kartu](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) pembayaran tertentu. Pendaftaran mungkin terjadi di dalam aplikasi seluler bank, portal [perbankan](https://www.corbado.com/passkeys-for-banking) online, atau berpotensi ditawarkan setelah [challenge](https://fidoalliance.org/white-paper-secure-payment-confirmation/) 3DS tradisional yang berhasil. Yang terpenting, agar SPC dapat dipanggil oleh pihak ketiga seperti situs web merchant, kredensial biasanya harus dibuat dengan persetujuan pengguna eksplisit yang mengizinkan penggunaannya dalam konteks semacam itu, seringkali melibatkan ekstensi WebAuthn spesifik selama [pendaftaran](https://www.w3.org/TR/secure-payment-confirmation/). 2. **Autentikasi (selama Challenge 3DS):** - Ketika transaksi 3DS memicu challenge, dan issuer/ACS mendukung dan memilih SPC, ACS mengidentifikasi ID kredensial FIDO yang relevan yang terkait dengan pemegang kartu dan [perangkat](https://fidoalliance.org/white-paper-secure-payment-confirmation/). - ACS menyertakan ID kredensial ini, bersama dengan [cryptographic challenge](https://www.corbado.com/glossary/cryptographic-challenge) unik dan detail transaksi (jumlah, mata uang, nama/asal penerima pembayaran, ikon/nama tampilan instrumen), dalam Authentication Response (ARes) yang dikirim kembali ke 3DS Server/[Requestor](https://www.nsoftware.com/kb/entries/04252301). - Komponen 3DS Requestor merchant menggunakan informasi dari ARes ini untuk memanggil API SPC browser. - Browser menyajikan dialog standar yang aman yang menampilkan detail transaksi yang disediakan oleh ACS. - Pengguna mengonfirmasi transaksi dan mengautentikasi menggunakan authenticator FIDO terdaftar mereka (misalnya, menyentuh sensor sidik jari, pengenalan wajah, memasukkan PIN perangkat, mengetuk [security key](https://www.corbado.com/glossary/security-key)). Tindakan ini membuka kunci privat yang disimpan dengan aman di perangkat/authenticator. - Authenticator menandatangani detail transaksi yang disajikan dan cryptographic challenge yang diterima dari ACS. - Browser mengembalikan assertion FIDO yang dihasilkan (payload data yang ditandatangani) ke 3DS Requestor merchant. - 3DS Requestor mengirimkan assertion ini kembali ke Issuer ACS, biasanya dienkapsulasi dalam pesan AReq kedua. - Issuer/ACS, yang bertindak sebagai [Relying Party](https://www.corbado.com/glossary/relying-party) yang berwenang, menggunakan kunci publik pemegang kartu yang disimpan sebelumnya untuk memverifikasi tanda tangan pada assertion secara kriptografis. Verifikasi yang berhasil mengonfirmasi bahwa pemegang kartu yang sah, menggunakan authenticator terdaftarnya, menyetujui detail transaksi spesifik yang disajikan. ### 4.2 Alur Protokol EMV 3DS dengan Challenge SPC Integrasi SPC ke dalam alur challenge EMV 3DS memerlukan modifikasi pada urutan pesan standar, biasanya melibatkan dua pertukaran AReq/ARes: 1. **Initial Authentication Request (AReq #1):** Merchant/3DS Server memulai proses 3DS dengan mengirimkan AReq yang berisi data transaksi dan perangkat. Untuk memberi sinyal kemampuan SPC, permintaan mungkin menyertakan indikator seperti `threeDSRequestorSpcSupport` yang diatur ke 'Y' (atau serupa, tergantung pada implementasi vendor ACS). 2. **Initial Authentication Response (ARes #1):** Jika ACS menentukan challenge diperlukan dan memilih SPC, ia merespons dengan ARes yang menunjukkan hal ini. `transStatus` mungkin diatur ke 'S' (menunjukkan SPC diperlukan) atau nilai spesifik lainnya. ARes ini berisi payload data yang diperlukan untuk panggilan API SPC. 3. **Pemanggilan API SPC & Autentikasi FIDO:** Komponen 3DS Requestor merchant menerima ARes #1 dan menggunakan payload untuk memanggil API SPC browser. Pengguna berinteraksi dengan authenticator mereka melalui UI aman browser. 4. **Pengembalian Assertion FIDO:** Setelah autentikasi pengguna berhasil, browser mengembalikan data assertion FIDO ke 3DS Requestor. 5. **Second Authentication Request (AReq #2):** 3DS Requestor membuat dan mengirim pesan AReq _kedua_ ke ACS. Tujuan utama pesan ini adalah untuk mengangkut data assertion FIDO. Biasanya mencakup: - `ReqAuthData`: Berisi assertion FIDO. - `ReqAuthMethod`: Diatur ke '09' (atau nilai yang ditunjuk untuk assertion SPC/FIDO). - Berpotensi nilai `AuthenticationInformation` dari ARes #1 untuk menautkan permintaan. - Secara opsional, `SPCIncompletionIndicator` jika panggilan API SPC gagal atau waktu habis. 6. **Final Authentication Response (ARes #2):** ACS menerima AReq #2, memvalidasi assertion FIDO menggunakan kunci publik pemegang kartu, dan menentukan hasil autentikasi akhir. Ia mengirim kembali ARes #2 yang berisi status transaksi definitif (misalnya, `transStatus` = 'Y' untuk Autentikasi Berhasil, 'N' untuk Gagal). Alur dua-AReq ini merupakan penyimpangan dari metode challenge 3DS tradisional (seperti OTP atau OOB yang ditangani melalui pesan CReq/CRes atau RReq/RRes) yang biasanya selesai dalam siklus AReq/ARes awal setelah `transStatus` = 'C' diterima. Meskipun bagian interaksi pengguna SPC (pemindaian biometrik, entri PIN) seringkali jauh lebih cepat daripada mengetik [OTP](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf), pengenalan putaran AReq/ARes penuh kedua menambahkan latensi jaringan antara 3DS Server, Directory Server, dan ACS. Pelaksana dan vendor harus mengoptimalkan alur ini dengan cermat dan menangani potensi waktu habis untuk memastikan waktu transaksi end-to-end secara keseluruhan tetap kompetitif dan memenuhi harapan pengguna. ## 5. Pertimbangan Ekosistem untuk SPC ### 5.1 SPC sebagai Standar Global (W3C/EMVCo) Secure Payment Confirmation diposisikan untuk adopsi global karena standardisasi gandanya. Ini secara formal didefinisikan sebagai standar web oleh World Wide Web Consortium (W3C), setelah mencapai status Candidate Recommendation pada pertengahan 2023 dengan pekerjaan yang sedang berlangsung untuk menjadi [Rekomendasi](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) penuh. Secara bersamaan, SPC telah diintegrasikan ke dalam spesifikasi EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) mulai dari versi 2.3, yang dikelola oleh EMVCo, badan teknis global untuk [standar](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf) pembayaran. Integrasi ini memastikan bahwa SPC berfungsi dalam kerangka kerja global yang sudah ada untuk autentikasi transaksi [CNP](https://www.corbado.com/glossary/cnp). Kolaborasi antara W3C, [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance), dan EMVCo menggarisbawahi upaya seluruh industri untuk menciptakan standar yang dapat dioperasikan untuk [pembayaran online yang aman dan ramah pengguna](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf). ### 5.2 Penerapan di Luar Mandat Peraturan (misalnya, AS, Kanada) Walaupun desain SPC, terutama kemampuannya untuk secara kriptografis menautkan autentikasi pengguna ke detail transaksi spesifik ("[dynamic linking](https://www.corbado.com/blog/dynamic-linking-passkeys-spc)"), membantu memenuhi persyaratan [Strong Customer Authentication](https://www.corbado.com/faq/sca-psd2-importance) (SCA) di bawah peraturan seperti [Payment](https://www.corbado.com/passkeys-for-payment) Services Directive (PSD2) Eropa, kegunaannya tidak terbatas pada wilayah yang diwajibkan ini. SPC adalah standar teknis global yang berlaku di pasar mana pun, termasuk Amerika Serikat dan Kanada, asalkan komponen ekosistem yang diperlukan sudah [tersedia](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). Di pasar tanpa mandat [SCA](https://www.corbado.com/id/blog/psd2-passkeys) eksplisit untuk setiap transaksi, pendorong utama untuk mengadopsi SPC adalah: - **Pengalaman Pengguna yang Ditingkatkan:** Menawarkan metode challenge yang berpotensi lebih cepat dan lebih nyaman (misalnya, menggunakan [biometrik perangkat](https://www.corbado.com/id/blog/passkey-vs-biometrik-lokal)) dibandingkan dengan OTP tradisional atau pertanyaan berbasis pengetahuan, yang berpotensi mengurangi pengabaian keranjang belanja. Uji coba telah menunjukkan pengurangan waktu autentikasi yang signifikan dibandingkan dengan [challenge](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/) tradisional. - **Keamanan yang Ditingkatkan:** Autentikasi berbasis FIDO yang melekat pada SPC tahan terhadap serangan [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing), dan ancaman umum lainnya yang menargetkan kata sandi dan OTP. Oleh karena itu, issuer dan merchant di wilayah seperti Amerika Utara dapat memilih untuk menerapkan SPC secara strategis untuk meningkatkan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) dan memberikan pengalaman pelanggan yang lebih baik, bahkan tanpa persyaratan peraturan untuk melakukannya untuk semua transaksi. ### 5.3 Ketergantungan dan Kesiapan Ekosistem untuk SPC & FIDO/Passkeys Penerapan yang sukses dan adopsi luas Secure Payment Confirmation (SPC) sangat bergantung pada kesiapan yang terkoordinasi di berbagai komponen ekosistem pembayaran. Meskipun standar FIDO yang mendasarinya dan teknologi passkey berkembang pesat, dukungan tingkat browser spesifik untuk API SPC dan integrasi penuh di seluruh rantai pembayaran tetap menjadi rintangan kritis. Pemain ekosistem lainnya umumnya maju dengan baik. **Ringkasan Kesiapan Ekosistem (Status Mei 2025)** | Aktor Ekosistem | Kesiapan SPC | Kesiapan FIDO/Passkey (Umum) | Catatan Kunci (Mei 2025) | | :------------------------------------- | :-------------------- | :--------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Perangkat & Authenticator Pengguna** | ❌ Tidak digunakan | ✅ Siap | Hampir setiap laptop, ponsel, dan security key modern dilengkapi dengan authenticator FIDO2/WebAuthn. Miliaran sudah tersedia untuk konsumen. Perangkat keras bukanlah penghambat. | | **Browser Web (Perangkat Lunak)** | ❌ Penghambat | ✅ Siap | **SPC:** Chromium (Chrome/Edge ≥ 95) mendukung SPC v1 dasar, tetapi fitur-fitur canggih masih bersifat eksperimental. **Safari (macOS & iOS) dan Firefox TIDAK menawarkan dukungan SPC.** **FIDO/Passkey Umum:** Dukungan WebAuthn penuh di seluruh browser utama untuk login, dll. | | **Issuer & Vendor ACS** | ⚠️ Berkembang | ✅ Berkembang | **SPC:** Pemimpin pasar yang disertifikasi untuk EMV 3DS 2.3.1 dapat menjalankan SPC; yang lain beralih dari pilot ke produksi. **FIDO Umum:** Banyak yang mendukung FIDO untuk autentikasi aplikasi/OOB; kemampuan penyerapan data RBA ada tetapi adopsi bervariasi. Memerlukan infrastruktur FIDO server/RP. | | **Merchant** | ❌ Tidak ada dukungan | ✅ Berkembang | **SPC:** Memerlukan tumpukan EMV 3DS v2.3+ & logika browser. Pengadopsi awal melaporkan manfaat. **FIDO Umum:** Penggunaan yang berkembang untuk login dengan mengadopsi passkey; dapat meneruskan data melalui `threeDSRequestorAuthenticationInfo`. Diperlukan upaya integrasi. | | **PSP / Server 3DS** | ⚠️ Diluncurkan | ✅ Berkembang | **SPC:** Memerlukan tumpukan EMV 3DS v2.3+ & logika browser. Pengadopsi awal melaporkan manfaat. **FIDO Umum:** Penggunaan yang berkembang untuk login; dapat meneruskan data melalui `threeDSRequestorAuthenticationInfo`. Diperlukan upaya integrasi. | | **Server Direktori Skema** | ✅ Siap | ✅ Siap | Infrastruktur (Visa, Mastercard, dll.) diperbarui untuk pesan EMV 3DS 2.3/2.3.1 (termasuk bidang data SPC & FIDO) sejak 2021 jauh sebelum passkey menjadi mainstream. | **Apa artinya ini dalam praktik (Mei 2025)** Faktor penghambat utama untuk **adopsi SPC** adalah lapisan [user-agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox) (browser): - **Safari (macOS & iOS):** ❌ WebKit masih kekurangan metode [Payment](https://www.corbado.com/passkeys-for-payment) Request `secure-payment-confirmation`. Situs apa pun yang dikunjungi di Safari harus kembali ke metode autentikasi lain (OTP, OOB, berpotensi pengalaman WebAuthn non-SPC). Apple belum menyatakan minat untuk mengimplementasikan ekstensi tersebut. - **Chrome / Edge (Chromium):** ⚠️ SPC dasar (pembuatan kredensial + autentikasi) stabil, tetapi kunci belum disimpan di authenticator perangkat keras dan hanya digunakan dalam pilot. Pelaksana harus mengantisipasi potensi perubahan yang dapat merusak dan bersiap untuk membatasi fungsionalitas berdasarkan pemeriksaan ketersediaan API (misalnya, `canMakePayment()`) atau feature flag. - **Firefox:** ❌ Tim telah memberi sinyal minat tetapi tidak memiliki jadwal implementasi yang pasti; merchant harus merencanakan jalur fallback yang baik. Karena [infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) issuer (ACS, server FIDO) dan server direktori skema sebagian besar sudah siap atau berkembang pesat, dan alat merchant/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) menjadi tersedia, **penghalang utama untuk penggunaan SPC yang luas adalah dukungan browser.** Setelah cakupan browser membaik, tugas yang tersisa terutama melibatkan integrasi merchant/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) (meningkatkan ke EMV 3DS v2.3+, menambahkan logika pemanggilan SPC, menangani alur dua-AReq) dan meningkatkan [pendaftaran passkey](https://www.corbado.com/id/blog/praktik-terbaik-pembuatan-passkey) oleh issuer khusus untuk konteks pembayaran. **Untuk saat ini, harapkan SPC hanya muncul untuk sebagian kecil transaksi. Sampai Safari (dan dengan demikian seluruh ekosistem iOS) mengirimkan dukungan, SPC tidak dapat mencapai dukungan pasar.** ![overview secure payment confirmation](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_secure_payment_confirmation_e92645aa7f.png) ## 6. Kesimpulan dan Rekomendasi Strategis ### 6.1 Ringkasan: Fokus pada Frictionless Sekarang, Persiapan SPC untuk Nanti Analisis ini mengungkapkan perbedaan yang jelas dalam kesiapan dua integrasi FIDO utama dalam EMV 3DS per Mei 2025. Meskipun elemen dasar untuk **Secure Payment Confirmation (SPC)** sebagai metode challenge sedang berkembang – terutama kemampuan issuer/ACS dan kesiapan skema – adopsi luasnya secara signifikan terhambat oleh **penghambat kritis dukungan browser**, terutama kurangnya implementasi di Safari Apple (memblokir semua perangkat [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)/iPadOS) dan Firefox, bersama dengan keterbatasan dalam implementasi Chromium saat ini. SPC tetap menjadi keadaan masa depan yang menjanjikan, tetapi bukan solusi praktis dan ada di mana-mana saat ini. ### 6.2 Rekomendasi untuk Peserta Kunci Berdasarkan keadaan ekosistem saat ini, kami memberikan rekomendasi berikut: - **Merchant:** - **Prioritaskan Adopsi Passkey:** Terapkan passkey untuk login dan autentikasi pengguna. Selain meningkatkan keamanan dan pengalaman pengguna Anda sendiri (faktor yang tidak dirinci di sini), ini menciptakan data yang dibutuhkan untuk alur frictionless 3DS. - **Teruskan Data FIDO:** Pastikan integrasi 3DS Anda mengisi bidang `threeDSRequestorAuthenticationInfo` dengan benar dengan detail [autentikasi passkey](https://www.corbado.com/id/blog/penyedia-passkey-aaguid-adopsi) sebelumnya yang berhasil selama sesi checkout. Bekerja samalah dengan penyedia PSP/3DS Server Anda untuk mengaktifkan ini. - **Issuer:** - **Daftarkan Passkey Pengguna:** Mulailah menawarkan dan mendorong pemegang kartu untuk mendaftarkan passkey langsung dengan Anda (untuk akses aplikasi perbankan, SPC di masa depan, dll.). Bangun [infrastruktur](https://www.corbado.com/passkeys-for-critical-infrastructure) FIDO Relying Party yang diperlukan. - **Manfaatkan Data Passkey Merchant Sekarang:** Instruksikan vendor ACS Anda untuk menyerap dan memanfaatkan data FIDO yang diteruskan oleh merchant (`threeDSRequestorAuthenticationInfo`) sebagai sinyal positif yang kuat dalam mesin RBA Anda. Simpan catatan passkey merchant tepercaya yang terkait dengan pengguna jika memungkinkan. Bertujuan untuk secara signifikan meningkatkan persetujuan frictionless untuk transaksi yang didahului oleh [autentikasi passkey](https://www.corbado.com/id/blog/penyedia-passkey-aaguid-adopsi) merchant yang kuat. - **Persiapkan SPC, Pantau Secara Aktif:** Pastikan roadmap ACS Anda mencakup dukungan penuh EMV 3DS v2.3.1+ SPC, tetapi perlakukan sebagai peningkatan di masa depan. Pantau terus perkembangan browser (terutama Safari) untuk mengukur kapan SPC mungkin menjadi layak dalam skala besar. - **Vendor ACS:** - **Tingkatkan RBA dengan Intelijen Passkey:** Investasikan secara besar-besaran pada kemampuan mesin RBA Anda untuk memproses dan mempercayai data FIDO/passkey yang disediakan merchant. Kembangkan logika untuk melacak penggunaan passkey di seluruh pembelian merchant untuk pengguna/perangkat tertentu. Simpan kunci publik (dari pendaftaran issuer langsung) untuk memverifikasi integritas kriptografis data autentikasi merchant jika disediakan. Kaitkan penggunaan passkey yang berhasil secara langsung dengan tingkat persetujuan frictionless yang lebih tinggi. - **Bangun Kemampuan SPC yang Kuat:** Terus kembangkan dan sertifikasi dukungan alur challenge SPC penuh (EMV 3DS v2.3.1+) sebagai kesiapan untuk adopsi pasar di masa depan. - **Skema/Jaringan Pembayaran:** - **Dukung Data FIDO Frictionless:** Secara aktif promosikan dan berpotensi berikan insentif untuk penerusan dan pemanfaatan data autentikasi FIDO merchant (`threeDSRequestorAuthenticationInfo`) dalam alur 3DS. Berikan panduan dan dukungan yang jelas kepada issuer dan vendor ACS tentang pemanfaatan data ini secara efektif untuk RBA. - **Lanjutkan Advokasi SPC & Keterlibatan dengan Browser:** Pertahankan upaya untuk menstandardisasi dan mempromosikan SPC, secara kritis terlibat dengan vendor browser (Apple, Mozilla, Google) untuk mendorong implementasi standar API SPC yang penuh dan dapat dioperasikan. ### 6.3 Arah Strategis Keseluruhan Peluang nyata dan langsung terletak pada peningkatan **alur frictionless** dengan memanfaatkan [adopsi passkey](https://www.corbado.com/id/blog/kasus-bisnis-adopsi-passkey) yang berkembang di tingkat merchant. Semua peserta ekosistem harus memprioritaskan pengaktifan pembuatan, transmisi, dan konsumsi cerdas data autentikasi sebelumnya ini dalam kerangka kerja EMV 3DS yang ada. Jalur ini menawarkan manfaat jangka pendek dalam mengurangi hambatan dan potensi penipuan tanpa menunggu dukungan browser SPC universal. Secara bersamaan, mempersiapkan landasan untuk SPC – terutama [pendaftaran passkey](https://www.corbado.com/id/blog/praktik-terbaik-pembuatan-passkey) issuer dan kesiapan ACS – memastikan ekosistem diposisikan untuk mengadopsi metode challenge yang unggul ini setelah penghambat browser teratasi.