Сервер контроля доступа EMV 3DS: Passkeys, FIDO и SPC

Ландшафт аутентификации в онлайн-платежах претерпевает значительные изменения. Эти изменения вызваны двойной потребностью: усилить безопасность от изощренного мошенничества и улучшить пользовательский опыт, чтобы уменьшить трение и количество брошенных корзин. Протокол EMV® 3-D Secure (3DS), особенно его последние версии (EMV 3DS 2.x), служит основной технологией для аутентификации транзакций без присутствия карты (CNP) по всему миру. Этот протокол, управляемый EMVCo, облегчает обмен данными между мерчантами, эмитентами (через их сервер контроля доступа — ACS) и доменом взаимодействия (серверы директорий, управляемые платежными системами) для проверки личности держателя карты.

В рамках этой структуры появляются два ключевых технологических достижения, связанных со стандартами FIDO (Fast Identity Online) Alliance:

1. Использование данных аутентификации FIDO, сгенерированных во время предыдущих взаимодействий с пользователем (например, при входе на сайт мерчанта), для обогащения оценки рисков в frictionless-сценарии EMV 3DS.
2. Интеграция Secure Payment Confirmation (SPC), веб-стандарта W3C, построенного на базе FIDO/WebAuthn, в качестве упрощенного и устойчивого к фишингу метода «challenge» (дополнительной проверки) в рамках сценария EMV 3DS.

В этой статье представлен обзор мирового рынка решений EMV 3DS Access Control Server (ACS), предоставляемых банкам-эмитентам. Мы определим основных поставщиков и попытаемся оценить их текущую поддержку как структур данных FIDO (не SPC), так и Secure Payment Confirmation (SPC) для challenge-сценариев. Кроме того, мы разъясним механизм, с помощью которого эмитенты могут использовать свои собственные FIDO passkeys для криптографической верификации в рамках challenge-сценария 3DS через SPC, и обсудим глобальную применимость этого стандарта.

EMV 3DS работает в основном по двум различным путям аутентификации:

• Frictionless-сценарий (бесшовный): Это предпочтительный путь, нацеленный на безупречный пользовательский опыт. ACS эмитента выполняет оценку риска на основе богатого набора данных, которыми обмениваются при инициации транзакции (через Authentication Request, или AReq). Эти данные включают детали транзакции, информацию о мерчанте, характеристики устройства, данные браузера (потенциально собранные через 3DSMethod JavaScript) и, возможно, информацию о предыдущей аутентификации. Если риск считается низким, транзакция аутентифицируется без прямого взаимодействия или «challenge» со стороны держателя карты. На этот сценарий приходится большинство транзакций 3DS, особенно там, где системы оценки рисков хорошо настроены.
• Challenge-сценарий (с дополнительной проверкой): Если ACS определяет, что риск транзакции высок, или если это требуется законодательством (например, PSD2 SCA в Европе) или политикой эмитента, держателю карты предлагается активно подтвердить свою личность. Традиционные методы challenge включают одноразовые пароли (OTP), отправляемые по SMS, вопросы на основе знаний или аутентификацию по внешнему каналу (Out-of-Band, OOB) через банковское приложение. Цель новых версий 3DS и связанных технологий, таких как SPC, — сделать этот challenge-сценарий более безопасным и менее громоздким, чем устаревшие методы.

EMVCo и FIDO Alliance совместно определили стандартизированный способ, с помощью которого мерчанты могут передавать информацию о предыдущих аутентификациях FIDO (где мерчант выступал в качестве доверяющей стороны (Relying Party), например, при входе пользователя) в ACS эмитента в рамках стандартного сообщения 3DS AReq. Этот механизм, впервые поддержанный в EMV 3DS v2.1, использует определенные поля в AReq, в первую очередь структуру threeDSRequestorAuthenticationInfo, которая содержит подполя, такие как threeDSRequestorAuthenticationData.

Техническая записка FIDO Alliance и связанный с ней документ EMVCo определяют структуру JSON для поля threeDSRequestorAuthenticationData при передаче деталей предыдущей аутентификации FIDO. Этот объект JSON включает такие детали, как время аутентификации (authTime), идентификатор доверяющей стороны (Relying Party) FIDO (rpId или appId), а также информацию об использованных аутентификаторах, включая публичный ключ, AAGUID/AAID и индикаторы присутствия пользователя (UP) и верификации пользователя (UV).

Идея в том, что если мерчант недавно выполнил сильную аутентификацию FIDO (например, с использованием биометрии или passkey) для пользовательской сессии, инициирующей покупку, эта информация может служить ценным дополнительным сигналом риска для ACS эмитента. Получая и обрабатывая эти стандартизированные данные FIDO, ACS может получить большую уверенность в легитимности транзакции, увеличивая вероятность frictionless-одобрения и уменьшая необходимость в отдельном challenge. Важно отметить, что в этом сценарии мерчант является доверяющей стороной FIDO, а эмитент использует эти данные как входные для своей системы оценки рисков; эмитент не выполняет криптографическую проверку утверждения (assertion) FIDO в рамках этого frictionless-сценария. ACS оставляет за собой право игнорировать эти данные, если он не настроен на их обработку.

Secure Payment Confirmation (SPC) представляет собой отдельную интеграцию стандартов FIDO в challenge-сценарий EMV 3DS. SPC — это веб-стандарт W3C, разработанный в сотрудничестве с FIDO и EMVCo на основе WebAuthn. Он официально поддерживается в EMV 3DS начиная с версии 2.3.

Когда SPC используется как метод challenge:

1. Эмитент (или сторона, явно уполномоченная эмитентом, например, платежная система) выступает в качестве доверяющей стороны FIDO (Relying Party, RP). Это коренным образом отличается от потока данных FIDO без SPC, описанного ранее, где мерчант обычно выступает в качестве RP для своих собственных целей входа/аутентификации.
2. Во время challenge 3DS, ACS сигнализирует о необходимости SPC и предоставляет необходимые идентификаторы учетных данных FIDO и криптографический вызов мерчанту/3DS-серверу.
3. Система мерчанта вызывает API SPC браузера, представляя пользователю детали транзакции (сумма, валюта, получатель, инструмент) в защищенном диалоговом окне, контролируемом браузером.
4. Пользователь аутентифицируется с помощью своего аутентификатора FIDO (например, биометрии устройства, PIN-кода, ключа безопасности), который подписывает детали транзакции и вызов с помощью приватного ключа, связанного с зарегистрированным у эмитента passkey.
5. Полученное утверждение (assertion) FIDO (криптографическое доказательство аутентификации и согласия) передается обратно через протокол 3DS (обычно через второе сообщение AReq) в ACS эмитента.
6. ACS, как RP, криптографически проверяет утверждение (assertion), используя соответствующий публичный ключ, подтверждая личность держателя карты и его согласие с конкретными деталями транзакции.

SPC стремится предоставить опыт challenge, который является одновременно более безопасным (устойчивым к фишингу, с динамической привязкой аутентификации к данным транзакции) и потенциально менее обременительным (часто быстрее, чем ввод OTP) по сравнению с традиционными методами.

Двойные пути интеграции FIDO — один использует данные предыдущей аутентификации у мерчанта для оценки риска в frictionless-сценарии, другой использует учетные данные, управляемые эмитентом, для прямого challenge на основе FIDO через SPC — предлагают различные подходы к повышению безопасности и улучшению пользовательского опыта в рамках EMV 3DS. Понимание поддержки каждого из них поставщиками является ключевым для эмитентов и PSP, планирующих свои стратегии аутентификации.

В этом разделе анализируются возможности глобальных поставщиков решений EMV 3DS ACS, с акцентом на их присутствие на рынке и поддержку данных FIDO (не SPC) и Secure Payment Confirmation (SPC). Точные данные о доле рынка являются конфиденциальными и труднодоступными; поэтому присутствие оценивается на основе заявлений поставщиков, сертификаций, партнерств, географического охвата и отчетов о рынке.

• Присутствие на рынке: Entersekt, особенно после приобретения бизнеса по разработке ПО для 3DS у Modirum в декабре 2023 года, позиционирует себя как ведущего мирового поставщика решений EMV 3DS, стремясь войти в пятерку лидеров рынка. Modirum имел более 20 лет опыта в 3DS. Entersekt отмечает рекордный рост за счет новых клиентов, особенно в Северной Америке, и стратегических партнерств, включая расширенные отношения с Mastercard. Они утверждают, что обеспечивают безопасность более 2,5 миллиардов транзакций в год (по состоянию на 2024 финансовый год) и занимают первое место в предотвращении захвата учетных записей (ATO) в банковской сфере по версии Liminal. Их ACS доступен как в виде хостинга (Entersekt или клиент), так и on-premise. Они обслуживают эмитентов и процессоров по всему миру.
• Поддержка данных FIDO (не SPC) (Frictionless): Entersekt делает акцент на своей технологии Context Aware™ Authentication, аналитике устройств и поведения для оценки рисков, а также на интеграции с различными сервисами скоринга рисков. Их ACS сертифицирован по стандарту FIDO EMVCo 2.2. Хотя они подчеркивают использование данных о рисках и поведенческой аналитике для RBA, явного подтверждения обработки стандартизированных данных аттестации FIDO из предыдущих аутентификаций у мерчанта в поле threeDSRequestorAuthenticationInfo для улучшения frictionless-сценария в онлайн-материалах не указано. Однако их фокус на продвинутой аутентификации и сигналах риска предполагает наличие такой возможности.
• Поддержка SPC (Challenge): Есть веские основания полагать, что Entersekt поддерживает SPC. Modirum, чей 3DS-бизнес приобрел Entersekt, предоставлял компоненты для пилотного проекта SPC от Visa, использующего 3DS 2.2 с расширениями. Entersekt прямо указывает на поддержку соответствия SPC как часть своих возможностей по соблюдению нормативных требований. Их ACS поддерживает биометрическую аутентификацию, сертифицирован для EMV 3DS 2.2 и, вероятно, включает возможности, полученные в ходе участия Modirum в пилотном проекте. Сочетание приобретения Modirum, явного упоминания о соответствии SPC и сертификации FIDO убедительно указывает на поддержку SPC в их текущем предложении.

• Присутствие на рынке: Arcot от Broadcom — один из основателей рынка 3DS, который совместно с Visa изобрел оригинальный протокол. Они позиционируют себя как признанного мирового лидера, обслуживающего более 5000 финансовых учреждений по всему миру и обрабатывающего транзакции из 229 стран. Их сеть Arcot Network делает упор на подход, основанный на огромном объеме консорциумных данных (заявляя о 600+ млн сигнатур устройств, 150 трлн точек данных) для работы своих систем скоринга мошенничества и оценки рисков. Они имеют сильное присутствие в Европе, Австралии и Северной Америке.
• Поддержка данных FIDO (не SPC) (Frictionless): Broadcom активно подчеркивает богатство своей сети данных и использование ИИ/нейронных сетей для обнаружения мошенничества и оценки на основе рисков, выходя за рамки стандартных элементов данных EMV 3DS. Они прямо заявляют, что их решение использует данные, проходящие через множество эмитентов, и включает цифровые данные, такие как данные об устройстве и геолокации. Хотя они не упоминают явно обработку конкретной структуры JSON FIDO из threeDSRequestorAuthenticationData, их фокус на приеме разнообразных точек данных для RBA убедительно свидетельствует о том, что они могли бы использовать такие данные, если бы они были предоставлены, что соответствует намерениям руководства EMVCo/FIDO. Их платформа нацелена на максимизацию frictionless-одобрений за счет превосходной оценки рисков.
• Поддержка SPC (Challenge): Документация Broadcom подтверждает поддержку аутентификаторов FIDO (ключ безопасности, биометрия, Passkey) в рамках их более широкого пакета VIP Authentication Hub / Identity Security suite. Их 3DS ACS поддерживает различные методы challenge, включая OTP и push-уведомления, и они упоминают поддержку биометрии. Они также предлагают возможности делегированной аутентификации и ввели функции оценки риска после challenge. Однако явного подтверждения того, что их продукт EMV 3DS ACS в настоящее время поддерживает SPC как специфический метод challenge (требующий возможностей EMV 3DS v2.3+ и сценария с двумя AReq), в предоставленной документации отсутствует. Хотя они являются крупным игроком, способным реализовать это, текущие общедоступные материалы больше сосредоточены на их движке RBA и традиционных/OOB методах challenge.

• Присутствие на рынке: Netcetera позиционирует себя как значимого международного игрока в сфере платежей, особенно сильного в Европе и на Ближнем Востоке. Они заявляют, что их ACS используется более чем 800 банками/эмитентами, обеспечивая безопасность более 50 миллионов карт по всему миру. Они подчеркивают наличие сертификатов от всех основных карточных сетей (Visa, Mastercard, Amex, Discover, JCB, UnionPay и др.) и соответствие PCI compliance. Примечательно, что они стали первым в мире поставщиком ACS, получившим сертификацию EMV 3DS 2.3.1.
• Поддержка данных FIDO (не SPC) (Frictionless): Документация Netcetera подчеркивает важность данных, собранных через 3DSMethod, для оценки риска ACS с целью увеличения frictionless-аутентификации. Они предлагают интеграцию с инструментами оценки рисков. Однако конкретного подтверждения обработки данных предыдущей аутентификации FIDO у мерчанта (из threeDSRequestorAuthenticationInfo) для оценки риска в рассмотренных материалах не упоминается.
• Поддержка SPC (Challenge): Netcetera демонстрирует сильную поддержку SPC. Они были первым в мире поставщиком, сертифицированным по EMV 3DS 2.3.1, версии, включающей SPC. Они участвовали в пилотном проекте SPC от Visa, предоставляя компоненты v2.3.1. В их продуктовой документации явно определен SPC. Они проводили вебинары, посвященные интеграции FIDO и SPC, и публиковали статьи, освещающие преимущества SPC. Это сочетание сертификации, участия в пилотном проекте и явной документации подтверждает их поддержку challenge-сценариев с SPC.

• Присутствие на рынке: Worldline позиционирует себя как европейского лидера в области платежных и транзакционных услуг и крупного мирового игрока (заявляя о статусе 4-го по величине платежного игрока в мире). Они обрабатывают миллиарды транзакций ежегодно и делают акцент на гарантированном соответствии требованиям, контроле мошенничества с использованием ИИ/МО и масштабируемости. Утверждается, что их ACS сертифицирован по EMV 3DS и соответствует требованиям основных схем (Visa Secure, Mastercard Identity Check) и PSD2. Они сообщают об обработке более 2,4 миллиарда транзакций 3DS в год для более чем 100 эмитентов.
• Поддержка данных FIDO (не SPC) (Frictionless): Предложение ACS от Worldline включает движок правил RBA, позволяющий эмитентам настраивать frictionless- или challenge-сценарии на основе риска. Их более широкое решение «Trusted Authentication» использует аналитику устройств и поведенческий анализ. Хотя они поддерживают FIDO в целом, явного подтверждения обработки данных предыдущей аутентификации FIDO у мерчанта (не SPC) в ACS для оценки риска в предоставленных фрагментах не детализировано.
• Поддержка SPC (Challenge): Worldline демонстрирует явные признаки поддержки SPC. Их документация признает эволюцию EMV 3DS 2.3 для включения SPC/FIDO. Они явно продвигают свое решение «WL Trusted Authentication» как поддерживающее аутентификацию FIDO и предлагают «WL FIDO Server», подходящий для «сценариев использования 3DS, с emvCO2.3 и SPC».

• Присутствие на рынке: GPayments позиционирует ActiveAccess как «надежную, лидирующую на рынке платформу Access Control Server (ACS)» с более чем 20-летним опытом в сфере 3D Secure. Они сертифицированы основными карточными схемами (Visa Secure, Mastercard Identity Check, JCB J/Secure) как для 3DS1, так и для EMV 3DS. Их решение может быть развернуто on-premise или в облаке. Рыночные отчеты определяют GPayments как заметного игрока, предлагающего решения ACS.
• Поддержка данных FIDO (не SPC) (Frictionless): ActiveAccess поддерживает интеграцию со сторонними решениями RBA и использует различные параметры для собственной оценки риска. Однако в предоставленной документации явно не упоминается поддержка приема или использования данных предыдущей аутентификации FIDO у мерчанта (не SPC) для frictionless-оценки риска.
• Поддержка SPC (Challenge): В рассмотренной документации для ActiveAccess явно не упоминается поддержка Secure Payment Confirmation (SPC), challenge-сценариев WebAuthn или FIDO как часть его возможностей challenge-сценария. Хотя они поддерживают различные методы аутентификации, включая OOB (который может включать биометрию), конкретная поддержка SPC из доступной информации неясна.

• Присутствие на рынке: Visa, как крупная глобальная платежная сеть, определяет программу Visa Secure на основе стандарта EMV 3DS. Они были пионерами оригинального протокола 3DS. Вместо того чтобы выступать в основном как прямой поставщик ACS, как технологические компании Entersekt или Broadcom, Visa управляет программой и полагается на список одобренных поставщиков 3DS (включая провайдеров ACS), чьи продукты сертифицированы на соответствие EMV 3DS и правилам Visa Secure. Эмитенты обычно закупают решения ACS у этих сертифицированных поставщиков. Сама Visa фокусируется на сети (Directory Server), определении правил программы, продвижении внедрения и стимулировании инноваций, таких как пилотные проекты SPC.
• Поддержка данных FIDO (не SPC) (Frictionless): Visa Secure, основанная на EMV 3DS, по своей сути поддерживает обмен богатыми данными для оценки риска, чтобы обеспечить frictionless-сценарий. Фреймворк EMVCo/FIDO для передачи предыдущих данных FIDO работает в экосистеме Visa Secure, если выбранный поставщик ACS поддерживает их обработку.
• Поддержка SPC (Challenge): Visa активно участвует в пилотировании и продвижении SPC. Они работают с партнерами (такими как Netcetera и Modirum/Entersekt в пилотных проектах) для тестирования и усовершенствования сценария SPC в рамках протокола 3DS. Это активное участие указывает на стратегическую поддержку SPC как метода challenge в рамках программы Visa Secure, при условии готовности экосистемы (ACS, мерчант, поддержка браузеров).

• Присутствие на рынке: Подобно Visa, Mastercard управляет программой Mastercard Identity Check на основе EMV 3DS. Они предоставляют опции для эмитентов и мерчантов, включая обработку в режиме stand-in и потенциальное использование партнеров или дочерних компаний, таких как NuData. Mastercard приобрела NuData Security, компанию по поведенческой биометрии, в 2017 году, усилив свои возможности по оценке рисков. Они также делают акцент на постоянных инновациях в области биометрии, RBA и ИИ. Как и Visa, они полагаются на сертифицированных поставщиков для основных компонентов ACS, но могут предлагать комплексные услуги или использовать приобретенные технологии.
• Поддержка данных FIDO (не SPC) (Frictionless): Mastercard Identity Check использует богатый обмен данными EMV 3DS 2.x для улучшения принятия решений по риску и frictionless-сценария. Приобретение NuData свидетельствует о сильном фокусе на поведенческой аналитике как части этой оценки риска. Поддержка обработки предыдущих данных FIDO от мерчанта будет зависеть от конкретной реализации ACS, используемой эмитентом в рамках программы Identity Check.
• Поддержка SPC (Challenge): Mastercard является ключевым членом EMVCo и участвует в разработке стандартов EMV 3DS, включая v2.3, которая поддерживает SPC. Они также продвигают внедрение passkeys в более широком смысле. Более подробную информацию можно найти здесь. Они являются активными сторонниками SPC и продвигают современные методы аутентификации.

Рынок EMV 3DS ACS включает множество провайдеров помимо тех, что были подробно рассмотрены выше. Поставщики, такие как /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop и другие, также предлагают сертифицированные решения или играют значительную роль в определенных регионах или сегментах. Этот анализ нацелен на освещение ведущих мировых игроков, но не является исчерпывающим из-за динамичного характера рынка. Возможности поставщиков, особенно в отношении новых стандартов, таких как SPC, быстро развиваются. Если вы заметите какие-либо неточности или у вас есть обновленная информация о поддержке поставщиками данных FIDO или Secure Payment Confirmation, пожалуйста, свяжитесь с нами, чтобы мы могли поддерживать этот обзор в актуальном и точном состоянии.

Основной принцип использования Secure Payment Confirmation (SPC) в рамках challenge-сценария EMV 3DS заключается в том, что эмитент карты (или сторона, явно уполномоченная эмитентом, например, платежная система) выступает в качестве доверяющей стороны FIDO (Relying Party, RP). Это коренным образом отличается от потока данных FIDO без SPC, описанного ранее, где мерчант обычно выступает в качестве RP для своих собственных целей входа/аутентификации.

Для функционирования SPC в challenge-сценарии 3DS необходимы следующие шаги:

1. Регистрация: Держатель карты должен сначала зарегистрировать аутентификатор FIDO (например, биометрию устройства, такую как отпечаток пальца/распознавание лица, PIN-код устройства или внешний ключ безопасности) в своем банке-эмитенте. Этот процесс создает passkey, при котором публичный ключ и уникальный идентификатор учетных данных сохраняются у эмитента и связываются со счетом держателя карты или конкретной платежной картой. Регистрация может происходить в мобильном приложении банка, на портале онлайн-банкинга или потенциально предлагаться после успешного традиционного challenge 3DS. Важно отметить, что для вызова SPC сторонним сайтом, таким как сайт мерчанта, учетные данные обычно должны быть созданы с явного согласия пользователя на их использование в таких контекстах, что часто включает использование специальных расширений WebAuthn во время регистрации.
2. Аутентификация (во время challenge 3DS):
   • Когда транзакция 3DS вызывает challenge, и эмитент/ACS поддерживает и выбирает SPC, ACS определяет соответствующие ID учетных данных FIDO, связанные с держателем карты и устройством.
   • ACS включает эти ID учетных данных, а также уникальный криптографический вызов и детали транзакции (сумма, валюта, имя/происхождение получателя, иконка/отображаемое имя инструмента) в Authentication Response (ARes), отправляемый обратно на 3DS-сервер/запрашивающую сторону.
   • Компонент 3DS Requestor мерчанта использует эту информацию из ARes для вызова API SPC браузера.
   • Браузер представляет стандартизированное, защищенное диалоговое окно, отображающее детали транзакции, предоставленные ACS.
   • Пользователь подтверждает транзакцию и аутентифицируется с помощью своего зарегистрированного аутентификатора FIDO (например, касаясь датчика отпечатка пальца, используя распознавание лица, вводя PIN-код устройства, прикладывая ключ безопасности). Это действие разблокирует приватный ключ, надежно хранящийся на устройстве/аутентификаторе.
   • Аутентификатор подписывает представленные детали транзакции и криптографический вызов, полученный от ACS.
   • Браузер возвращает полученное утверждение FIDO (подписанные данные) компоненту 3DS Requestor мерчанта.
   • 3DS Requestor передает это утверждение обратно в ACS эмитента, обычно инкапсулированное во втором сообщении AReq.
   • Эмитент/ACS, выступая в качестве авторитетной доверяющей стороны (Relying Party), использует ранее сохраненный публичный ключ держателя карты для криптографической проверки подписи в утверждении. Успешная проверка подтверждает, что легитимный держатель карты, используя свой зарегистрированный аутентификатор, одобрил конкретные представленные детали транзакции.

Интеграция SPC в challenge-сценарий EMV 3DS требует изменений в стандартной последовательности сообщений, обычно включающей два обмена AReq/ARes:

1. Первоначальный запрос на аутентификацию (AReq #1): Мерчант/3DS-сервер инициирует процесс 3DS, отправляя AReq, содержащий данные о транзакции и устройстве. Чтобы сигнализировать о возможности SPC, запрос может включать индикатор, такой как threeDSRequestorSpcSupport, установленный в 'Y' (или аналогичный, в зависимости от реализации поставщика ACS).
2. Первоначальный ответ на аутентификацию (ARes #1): Если ACS определяет, что требуется challenge, и выбирает SPC, он отвечает ARes, указывающим на это. transStatus может быть установлен в 'S' (указывая на необходимость SPC) или другое специфическое значение. Этот ARes содержит необходимую полезную нагрузку для вызова API SPC.
3. Вызов API SPC и аутентификация FIDO: Компонент 3DS Requestor мерчанта получает ARes #1 и использует полезную нагрузку для вызова API SPC браузера. Пользователь взаимодействует со своим аутентификатором через защищенный интерфейс браузера.
4. Возврат утверждения FIDO: После успешной аутентификации пользователя браузер возвращает данные утверждения FIDO компоненту 3DS Requestor.
5. Второй запрос на аутентификацию (AReq #2): 3DS Requestor конструирует и отправляет второе сообщение AReq в ACS. Основная цель этого сообщения — передать данные утверждения FIDO. Оно обычно включает:
   • ReqAuthData: Содержит утверждение FIDO.
   • ReqAuthMethod: Установлен в '09' (или назначенное значение для утверждения SPC/FIDO).
   • Потенциально значение AuthenticationInformation из ARes #1 для связывания запросов.
   • Опционально, SPCIncompletionIndicator, если вызов API SPC не удался или истекло время ожидания.
6. Окончательный ответ на аутентификацию (ARes #2): ACS получает AReq #2, проверяет утверждение FIDO с помощью публичного ключа держателя карты и определяет окончательный результат аутентификации. Он отправляет обратно ARes #2, содержащий окончательный статус транзакции (например, transStatus = 'Y' для успешной аутентификации, 'N' для неудачной).

Этот сценарий с двумя AReq представляет собой отклонение от традиционных методов challenge 3DS (таких как OTP или OOB, обрабатываемых через сообщения CReq/CRes или RReq/RRes), которые обычно завершаются в рамках начального цикла AReq/ARes после получения transStatus = 'C'. Хотя часть взаимодействия с пользователем в SPC (сканирование биометрии, ввод PIN-кода) часто значительно быстрее, чем ввод OTP, введение второго полного цикла AReq/ARes добавляет сетевую задержку между 3DS-сервером, сервером директорий и ACS. Разработчики и поставщики должны тщательно оптимизировать этот процесс и обрабатывать возможные тайм-ауты, чтобы общее время транзакции оставалось конкурентоспособным и соответствовало ожиданиям пользователей.

Secure Payment Confirmation позиционируется для глобального внедрения благодаря своей двойной стандартизации. Он формально определен как веб-стандарт Консорциумом Всемирной паутины (W3C), достигнув статуса Candidate Recommendation в середине 2023 года, и работа над тем, чтобы он стал полной рекомендацией, продолжается. Одновременно SPC был интегрирован в спецификации EMV® 3-D Secure, начиная с версии 2.3, управляемой EMVCo, глобальным техническим органом по платежным стандартам. Эта интеграция гарантирует, что SPC функционирует в рамках установленной глобальной структуры для аутентификации транзакций CNP. Сотрудничество между W3C, FIDO Alliance и EMVCo подчеркивает общеотраслевые усилия по созданию совместимых стандартов для безопасных и удобных онлайн-платежей.

Хотя дизайн SPC, в частности его способность криптографически связывать аутентификацию пользователя с конкретными деталями транзакции («динамическая привязка»), помогает удовлетворить требования строгой аутентификации клиента (SCA) в рамках таких регуляций, как европейская Директива о платежных услугах (PSD2), его полезность не ограничивается этими регионами. SPC — это глобальный технический стандарт, применимый на любом рынке, включая США и Канаду, при условии наличия необходимых компонентов экосистемы.

На рынках без явных мандатов SCA для каждой транзакции основными драйверами для внедрения SPC являются:

• Улучшенный пользовательский опыт: Предложение потенциально более быстрого и удобного метода challenge (например, с использованием биометрии устройства) по сравнению с традиционными OTP или вопросами на основе знаний, что потенциально снижает количество брошенных корзин. Пилотные проекты показали значительное сокращение времени аутентификации по сравнению с традиционными challenge-сценариями.
• Повышенная безопасность: Аутентификация на основе FIDO, присущая SPC, устойчива к фишинговым атакам, атакам с подстановкой учетных данных и другим распространенным угрозам, нацеленным на пароли и OTP.

Таким образом, эмитенты и мерчанты в таких регионах, как Северная Америка, могут выбрать стратегическое внедрение SPC для повышения безопасности и предоставления лучшего клиентского опыта, даже без регуляторного требования делать это для всех транзакций.

Успешное развертывание и широкое внедрение Secure Payment Confirmation (SPC) в значительной степени зависят от скоординированной готовности множества компонентов платежной экосистемы. Хотя базовые стандарты FIDO и технология passkeys быстро развиваются, специфическая поддержка API SPC на уровне браузеров и полная интеграция по всей платежной цепочке остаются критическими препятствиями. Другие участники экосистемы в целом развиваются хорошо.

Сводка готовности экосистемы (статус на май 2025 г.)

Что это означает на практике (май 2025 г.)

Основным сдерживающим фактором для внедрения SPC является уровень user-agent (браузера):

• Safari (macOS и iOS): ❌ В WebKit все еще отсутствует метод Payment Request secure-payment-confirmation. Любой сайт, посещаемый в Safari, должен будет использовать другие методы аутентификации (OTP, OOB, возможно, опыт WebAuthn без SPC). Apple не выразила заинтересованности в реализации этого расширения.
• Chrome / Edge (Chromium): ⚠️ Базовый SPC (создание учетных данных + аутентификация) стабилен, но ключи еще не хранятся в аппаратных аутентификаторах и использовались только в пилотных проектах. Разработчикам следует ожидать потенциальных критических изменений и быть готовыми ограничивать функциональность на основе проверок доступности API (например, canMakePayment()) или флагов функций.
• Firefox: ❌ Команда проявила интерес, но не имеет утвержденного графика реализации; мерчанты должны планировать пути отката.

Поскольку инфраструктура эмитентов (ACS, FIDO-серверы) и серверы директорий платежных систем в основном готовы или быстро развиваются, а инструменты для мерчантов/PSP становятся доступными, основным барьером для широкого использования SPC является поддержка браузеров. Как только покрытие браузеров улучшится, оставшиеся задачи в основном будут включать интеграцию на стороне мерчантов/PSP (обновление до EMV 3DS v2.3+, добавление логики вызова SPC, обработка сценария с двумя AReq) и масштабирование регистрации passkeys у эмитентов специально для платежных контекстов.

На данный момент ожидайте, что SPC будет появляться только для ограниченной части транзакций. Пока Safari (а значит, и вся экосистема iOS) не обеспечит поддержку, SPC не сможет достичь рыночной поддержки.

Анализ показывает явное расхождение в готовности двух основных интеграций FIDO в EMV 3DS по состоянию на май 2025 года. Хотя фундаментальные элементы для Secure Payment Confirmation (SPC) как метода challenge развиваются — особенно возможности эмитентов/ACS и готовность платежных систем — его широкое внедрение значительно затруднено критическим узким местом в виде поддержки браузеров, в первую очередь отсутствием реализации в Safari от Apple (блокируя все устройства iOS/iPadOS) и Firefox, а также ограничениями в текущих реализациях Chromium. SPC остается многообещающим будущим состоянием, но сегодня это не практичное, повсеместное решение.

Исходя из текущего состояния экосистемы, мы даем следующие рекомендации:

• Мерчанты:
  • Приоритезируйте внедрение Passkeys: Внедряйте passkeys для входа и аутентификации пользователей. Помимо улучшения вашей собственной безопасности и пользовательского опыта (факторы, не рассмотренные здесь подробно), это создает данные, необходимые для frictionless-сценариев 3DS.
  • Передавайте данные FIDO: Убедитесь, что ваша интеграция 3DS правильно заполняет поле threeDSRequestorAuthenticationInfo деталями успешных предыдущих аутентификаций с помощью passkey во время сессии оформления заказа. Работайте с вашим PSP/3DS-сервером, чтобы включить эту возможность.
• Эмитенты:
  • Регистрируйте Passkeys пользователей: Начните предлагать и поощрять держателей карт регистрировать passkeys непосредственно у вас (для доступа к банковскому приложению, будущего SPC и т.д.). Создайте необходимую инфраструктуру FIDO Relying Party.
  • Используйте данные Passkey от мерчантов уже сейчас: Поручите вашему поставщику ACS принимать и использовать данные FIDO, передаваемые мерчантами (threeDSRequestorAuthenticationInfo), как сильный положительный сигнал в вашем движке RBA. По возможности ведите учет доверенных passkeys мерчантов, связанных с пользователями. Стремитесь значительно увеличить количество frictionless-одобрений для транзакций, которым предшествовала сильная аутентификация с помощью passkey у мерчанта.
  • Готовьтесь к SPC, активно следите за ситуацией: Убедитесь, что дорожная карта вашего ACS включает полную поддержку SPC по EMV 3DS v2.3.1+, но рассматривайте это как будущее усовершенствование. Постоянно следите за развитием браузеров (особенно Safari), чтобы оценить, когда SPC может стать жизнеспособным в масштабе.
• Поставщики ACS:
  • Улучшайте RBA с помощью аналитики Passkey: Активно инвестируйте в способность вашего движка RBA обрабатывать и доверять предоставленным мерчантами данным FIDO/passkey. Разработайте логику для отслеживания использования passkey при покупках у разных мерчантов для данного пользователя/устройства. Храните публичные ключи (от прямой регистрации у эмитента) для проверки криптографической целостности данных аутентификации от мерчанта, если они предоставляются. Напрямую свяжите успешное использование passkey с более высокими показателями frictionless-одобрений.
  • Создавайте надежные возможности SPC: Продолжайте разрабатывать и сертифицировать полную поддержку challenge-сценария SPC (EMV 3DS v2.3.1+) в готовности к будущему внедрению на рынке.
• Платежные системы/сети:
  • Продвигайте данные FIDO для frictionless-сценариев: Активно продвигайте и, возможно, стимулируйте передачу и использование данных аутентификации FIDO от мерчантов (threeDSRequestorAuthenticationInfo) в рамках сценария 3DS. Предоставляйте четкие указания и поддержку эмитентам и поставщикам ACS по эффективному использованию этих данных для RBA.
  • Продолжайте продвигать SPC и взаимодействовать с браузерами: Поддерживайте усилия по стандартизации и продвижению SPC, критически взаимодействуя с поставщиками браузеров (Apple, Mozilla, Google), чтобы поощрять полную, совместимую реализацию стандарта API SPC.

Непосредственная, ощутимая возможность заключается в улучшении frictionless-сценария за счет использования растущего внедрения passkeys на уровне мерчантов. Все участники экосистемы должны приоритизировать создание, передачу и интеллектуальное использование этих данных о предыдущей аутентификации в рамках существующей структуры EMV 3DS. Этот путь предлагает краткосрочные выгоды в снижении трения и потенциально мошенничества, не дожидаясь универсальной поддержки SPC в браузерах. Одновременно подготовка основы для SPC — в частности, регистрация passkey у эмитентов и готовность ACS — гарантирует, что экосистема будет готова к внедрению этого превосходного метода challenge, как только узкое место с браузерами будет устранено.