Mastercard Identity Check: все, что нужно знать эмитентам и мерчантам

В мире цифровой коммерции существует фундаментальное противоречие: как бизнесу предложить клиентам гладкий и легкий процесс онлайн-оплаты, одновременно защищая себя и покупателей от вездесущей угрозы мошенничества? Транзакции без присутствия карты (Card-Not-Present, CNP), составляющие основу электронной коммерции, не имеют той степени безопасности, что и оплата с физическим предъявлением карты. Это приводит к значительно более высоким показателям мошенничества. Исторически на CNP-транзакции приходилась непропорционально большая доля убытков от мошенничества по сравнению с их объемом. Более того, затраты на предотвращение мошенничества с помощью чрезмерно строгих мер, которые приводят к ошибочному отклонению легитимных транзакций (ложные отказы или «оскорбление клиента»), иногда могут превышать стоимость самого мошенничества, вызывая потерю продаж и разочарование клиентов.

Именно здесь на сцену выходит Mastercard Identity Check — комплексная программа Mastercard, разработанная для решения этой проблемы. Построенная на глобальном стандарте EMV 3-D Secure, она представляет собой значительный шаг в аутентификации онлайн-платежей. Ее основная миссия — повысить безопасность, бороться с мошенничеством, увеличить долю одобренных транзакций и упростить процесс оплаты для держателей карт, банков-эмитентов и бизнеса (мерчантов).

Эта статья отвечает на ключевые вопросы для эмитентов, мерчантов, поставщиков платежных услуг (PSP), разработчиков программного обеспечения, менеджеров по продуктам и специалистов по безопасности, которые хотят глубоко понять Mastercard Identity Check:

1. Что именно представляет собой Mastercard Identity Check и почему эта программа была разработана?

2. Как Mastercard Identity Check использует технологию EMV 3-D Secure для снижения мошенничества и ложных отказов?

3. Какую роль играют передовые технологии, такие как поведенческая биометрия NuData, в обеспечении бесшовной аутентификации пользователей?

4. Как мерчанты и PSP могут эффективно интегрировать Mastercard Identity Check в свои существующие процессы оплаты?

5. Какие ощутимые преимущества — с точки зрения доли одобренных транзакций, пользовательского опыта и снижения мошенничества — может ожидать бизнес от внедрения Mastercard Identity Check?

Путь к Mastercard Identity Check начался с присущих ранней электронной коммерции уязвимостей. По мере роста онлайн-покупок мошенники стали использовать отсутствие физической карты, что привело к росту мошенничества с CNP-транзакциями. Первым ответом индустрии стало введение в 1999 году протокола 3-D Secure (3DS). Фирменная версия этой первой итерации от Mastercard была известна как Mastercard SecureCode. Хотя SecureCode (3DS 1.0) был нацелен на воспроизведение безопасности физического платежа путем добавления уровня аутентификации держателя карты и предлагал ключевое преимущество переноса ответственности за определенные мошеннические чарджбэки с мерчантов, у него были существенные недостатки, которые мешали его эффективности и распространению:

• Высокое трение: Наиболее распространенная реализация включала статические пароли или громоздкие контрольные вопросы, часто требуя от пользователей предварительной регистрации и запоминания отдельных учетных данных. Это добавляло заметное трение в процесс оплаты.

• Плохой пользовательский опыт: Перенаправления на страницы эмитента для аутентификации создавали непоследовательный и часто раздражающий пользовательский опыт, что приводило к путанице и подозрениям у покупателей. Это трение напрямую способствовало высокому проценту брошенных корзин.

• Ограниченный обмен данными: 3DS 1.0 позволял обмениваться всего лишь около 15 элементами данных между мерчантом и эмитентом, что не давало достаточного контекста для точной оценки риска.

• Ориентация на браузер: Протокол был в основном разработан для транзакций в браузере, что делало его плохо приспособленным для быстрорастущего мира платежей в мобильных приложениях и развивающейся коммерции в IoT.

• Недостаточное смягчение ложных отказов: Ограниченные данные и акцент на явных проверках не решали эффективно серьезную проблему ложных отказов, когда легитимные транзакции ошибочно помечались как мошеннические, нанося ущерб отношениям с клиентами и приводя к потере дохода.

Стало очевидно, что негативное влияние плохого пользовательского опыта, проявляющееся в брошенных корзинах и ложных отказах, часто представляло для бизнеса большие финансовые потери, чем прямые затраты на мошенничество. Эта экономическая реальность в сочетании с необходимостью более надежной защиты от мошенничества в цифровом мире послужила толчком к разработке модернизированного подхода.

Запуск Mastercard Identity Check, основанного на протоколе нового поколения EMV 3-D Secure, был направлен на преодоление этих ограничений с четким набором целей:

1. Снижение CNP-мошенничества: Использовать более сложные методы для обнаружения и предотвращения несанкционированных транзакций.

2. Минимизация трения: Создать более плавные и быстрые бесшовные потоки аутентификации для подавляющего большинства транзакций.

3. Повышение доли одобрений: Сократить количество ложных отказов, предоставляя эмитентам более богатые данные для более точной оценки рисков.

4. Поддержка современных каналов: Встроенная поддержка аутентификации в мобильных приложениях, цифровых кошельках и других подключенных устройствах.

5. Обеспечение обмена богатыми данными: Способствовать безопасному обмену значительно большим объемом транзакционных и контекстуальных данных.

6. Сохранение переноса ответственности: Сохранить преимущество переноса ответственности за мошеннические транзакции, прошедшие аутентификацию, с участвующих мерчантов.

Mastercard Identity Check - Уроки программы раннего внедрения

Важно различать базовый технологический стандарт и конкретную реализацию от Mastercard.

EMV 3DS — это глобальная спецификация протокола, разработанная и управляемая EMVCo, организацией, совместно принадлежащей крупным мировым платежным сетям, включая Mastercard, Visa, American Express, Discover, JCB и UnionPay. Она определяет техническую основу для безопасной связи и обмена данными между тремя ключевыми доменами, участвующими в аутентификации онлайн-транзакции:

1. Домен эквайера: Включает мерчанта, его платежный шлюз и банк-эквайер (банк мерчанта). Этот домен инициирует запрос на аутентификацию через компонент, обычно называемый 3DS Server (или исторически Merchant Plug-In/MPI).

2. Домен эмитента: Включает банк-эмитент (банк держателя карты) и самого держателя карты. Этот домен отвечает за проверку личности держателя карты через компонент под названием Access Control Server (ACS).

3. Домен взаимодействия: Состоит в основном из Directory Server (DS), управляемого карточной схемой (например, Mastercard). DS действует как центральный маршрутизатор, направляя сообщения аутентификации между правильным 3DS Server и ACS на основе номера карты (в частности, банковского идентификационного номера или BIN).

Протокол EMV 3DS (часто называемый 3DS 2.0 или 2.x) внес значительные улучшения по сравнению с оригинальным 3DS 1.0:

• В 10 раз больше данных: Поддерживает обмен более чем 150 элементами данных (по сравнению с ~15 в 3DS 1.0), предоставляя более богатый контекст для оценки рисков, включая информацию об устройстве, историю транзакций, данные браузера и данные мерчанта.

• Аутентификация на основе рисков (RBA): Позволяет проводить бесшовную аутентификацию, при которой транзакции с низким риском одобряются незаметно в фоновом режиме на основе анализа данных, не требуя взаимодействия с держателем карты. Цель — достичь 90–95% бесшовных операций.

• Встроенная поддержка мобильных устройств/приложений: Включает комплекты для разработки программного обеспечения (SDK) для плавной интеграции в процессы оплаты в мобильных приложениях, устраняя мешающие перенаправления в браузер.

• Улучшенные методы аутентификации: Поддерживает современные методы аутентификации, такие как одноразовые пароли (OTP), доставляемые по SMS или через приложение, биометрию (отпечаток пальца, распознавание лица) и внеполосную аутентификацию, отходя от статических паролей.

• Более широкие сценарии использования: Выходит за рамки простой аутентификации платежей, поддерживая неплатежную аутентификацию (например, добавление карты в цифровой кошелек), регулярные платежи и токенизацию.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check — это название конкретной программы Mastercard, которая реализует и регулирует использование протокола EMV 3DS в своей сети. Она является преемником программы Mastercard SecureCode. Хотя Mastercard Identity Check построена на стандарте EMV 3DS, она включает в себя уникальные активы и технологии Mastercard для повышения производительности и безопасности. К ним относятся:

• Собственный ИИ и машинное обучение: Использование обширных данных сети Mastercard и возможностей ИИ для уточнения оценки рисков и принятия решений.

• Поведенческая аналитика (NuData): Интеграция данных поведенческой биометрии NuData (обсуждается в следующем разделе) для понимания моделей взаимодействия пользователей и обнаружения сложных попыток мошенничества.

• Сетевая аналитика: Использование информации из миллиардов транзакций, обрабатываемых по всему миру, для обоснования оценок рисков.

• Управление программой: Mastercard устанавливает конкретные ключевые показатели эффективности (KPI) и правила для участников (эмитентов, мерчантов, эквайеров) в рамках программы Identity Check, чтобы обеспечить оптимальную производительность и пользовательский опыт в своей сети.

Таким образом, Mastercard Identity Check — это не просто ребрендинг протокола EMV 3DS. Это стратегическое наслоение собственных интеллектуальных разработок и системы управления Mastercard на стандартизированную основу протокола. Эта синергия направлена на предоставление потенциально более эффективной и дифференцированной услуги аутентификации по сравнению с базовой реализацией EMV 3DS, предлагая улучшенное обнаружение рисков и оптимизацию производительности в экосистеме Mastercard.

Mastercard Identity Check

Mastercard Identity Check опирается на сложное взаимодействие нескольких основных технологических компонентов для достижения своих целей по безопасности и бесшовности. Понимание этих компонентов имеет решающее значение для осознания того, как система оценивает риски и аутентифицирует пользователей.

Технология поведенческой биометрии NuData, приобретенная Mastercard в 2017 году, является краеугольным камнем передовых возможностей аутентификации Mastercard. В отличие от традиционной аутентификации, которая фокусируется на том, что пользователь знает (пароль) или имеет (телефон для OTP), поведенческая биометрия анализирует, как пользователь взаимодействует со своим устройством и приложением. Она фокусируется на пассивной биометрии — врожденных, часто подсознательных моделях взаимодействия.

• Как это работает: Во время онлайн-сессии (например, при оформлении заказа или даже открытии счета) технология NuData пассивно собирает и анализирует сотни тонких поведенческих сигналов. К ним могут относиться:

  • Динамика набора текста (скорость, ритм, сила нажатия)

  • Движения мыши (паттерны, скорость, клики)

  • Обращение с устройством (угол наклона, данные акселерометра)

  • Взаимодействие с сенсорным экраном (сила нажатия, паттерны свайпов)

  • Паттерны навигации (использование Tab вместо кликов, последовательность заполнения формы, поведение «возврата назад»)

  • Поведение в сессии (знакомство с формой, затраченное время, использование копирования/вставки, переключение между окнами)

• Цель и интеграция: Эти поведенческие данные поступают в модели машинного обучения, которые создают уникальный профиль для каждого легитимного пользователя. Система анализирует миллиарды точек данных ежегодно, чтобы постоянно обучаться и совершенствовать эти профили. Ее основная функция в рамках Mastercard Identity Check — отличать настоящих людей от автоматизированных ботов и изощренных мошенников, даже если у них есть украденные учетные данные. Она обнаруживает аномалии и сигналы высокого риска в реальном времени, предоставляя критически важные данные для движка аутентификации на основе рисков.

Технология NuData является неотъемлемой частью многоуровневой стратегии безопасности Mastercard, обеспечивая работу таких решений, как NuDetect, и внося значительный вклад в интеллектуальную основу Mastercard Identity Check. Она особенно эффективна против автоматизированных атак, таких как credential stuffing и попыток захвата учетных записей.

WSJ Mastercard Nudata

Используя возможности богатого обмена данными EMV 3DS 2.0, Mastercard Identity Check включает в себя всестороннюю аналитику устройств. Это включает сбор и анализ широкого спектра данных, специфичных для устройства, инициирующего транзакцию.

• Точки данных: Протокол EMV 3DS позволяет передавать более 150 переменных. Сюда входит такая информация, как:

  • Тип, модель и операционная система устройства

  • Тип, версия, язык браузера и установленные плагины

  • IP-адрес и данные геолокации

  • Тип сетевого подключения и часовой пояс

  • Идентификаторы или «отпечатки» устройства

  • Разрешение экрана и другие характеристики устройства

  • Mastercard также может сотрудничать с компаниями, такими как Ekata, для дальнейшего обогащения данных об устройстве и верификации личности

• Цель: Это богатство информации об устройстве помогает создать комплексный профиль риска. Оно позволяет системе распознавать доверенные устройства, обнаруживать аномалии, такие как несоответствие местоположения или попытки подделать информацию об устройстве, выявлять высокорисковые сетевые подключения и помечать потенциально мошенническую активность, исходящую от незнакомых или скомпрометированных устройств. Аналитика устройств — еще один критически важный источник данных для движка RBA.

Движок RBA является центральным интеллектуальным узлом Mastercard Identity Check, отвечающим за оценку общего риска транзакции в реальном времени и определение соответствующего пути аутентификации.

Как это работает: Движок синтезирует информацию из нескольких источников:

• Поля данных EMV 3DS (детали транзакции, информация о мерчанте, аналитика устройств)

• Сигналы поведенческой биометрии NuData

• Исторические данные о транзакциях и профили пользователей

• Собственные модели ИИ и машинного обучения Mastercard, обученные на данных глобальной сети

Цель: На основе этого целостного анализа движок RBA рассчитывает оценку риска для транзакции. Эта оценка влияет на решение о том, следует ли проводить бесшовную аутентификацию (для транзакций с низким риском) или инициировать дополнительную проверку (для транзакций с более высоким риском) для дальнейшей верификации личности держателя карты. Результат (оценка или рекомендация) обычно отправляется в ACS эмитента, чтобы помочь ему в принятии окончательного решения об аутентификации. Mastercard также предлагает услуги Stand-In RBA для обеспечения покрытия, если собственный ACS эмитента недоступен или еще не готов к 3DS.

Сила Mastercard Identity Check заключается в синергии этих компонентов. В то время как богатые данные об устройстве и транзакции из EMV 3DS предоставляют необходимый контекст, интеграция поведенческой биометрии NuData добавляет критический уровень защиты. NuData часто может обнаруживать сложные попытки мошенничества, такие как захват учетных записей с использованием действительных учетных данных или боты, предназначенные для имитации человеческого взаимодействия, которые могли бы обойти системы, полагающиеся исключительно на традиционные точки данных. Этот многогранный подход позволяет движку RBA делать более тонкие и уверенные оценки рисков, обеспечивая более высокий процент бесшовных одобрений при сохранении надежной безопасности.

Программа Mastercard Identity Check

Основная цель Mastercard Identity Check — минимизировать прерывания во время онлайн-оплаты, обеспечивая по возможности бесшовные потоки аутентификации. Этот безупречный опыт, когда аутентификация происходит незаметно в фоновом режиме, в значительной степени зависит от одобрений на основе данных, разумного использования исключений и четкого понимания последствий в отношении ответственности.

Основой для бесшовного потока является аутентификация на основе рисков (RBA). Протокол EMV 3DS облегчает обмен огромным количеством данных (более 150 потенциальных элементов) между средой мерчанта (через 3DS Server) и средой эмитента (ACS). Mastercard обогащает эти данные своей собственной сетевой аналитикой, алгоритмами ИИ и данными поведенческой биометрии NuData. ACS эмитента (или сервис RBA от Mastercard) анализирует этот комплексный набор данных в реальном времени. Если анализ указывает на низкую вероятность мошенничества — на основе таких факторов, как распознанное устройство, типичное покупательское поведение, знакомое местоположение, последовательные поведенческие паттерны и другие контекстуальные подсказки — транзакция может быть аутентифицирована пассивно, не требуя от держателя карты никаких действий (например, ввода OTP или использования отпечатка пальца). В этом и заключается суть одобрения на основе данных, обеспечивающего бесшовный поток, с целью охватить 90–95% аутентификаций.

В регионах, таких как Европа, регулируемых Второй платежной директивой (PSD2), строгая аутентификация клиента (SCA) — обычно требующая двух независимых факторов аутентификации — часто является обязательной для онлайн-платежей. Однако регулирование и протокол EMV 3DS допускают определенные исключения, когда SCA не требуется, что дополнительно способствует бесшовному опыту. Mastercard Identity Check поддерживает применение этих исключений. Ключевые исключения включают:

• Анализ рисков транзакции (TRA): Если эквайер или эмитент проводит анализ рисков в реальном времени и считает транзакцию низкорисковой, а сумма транзакции ниже определенных порогов, связанных с общим уровнем мошенничества организации, SCA может быть исключена.

• Платежи на небольшую сумму: Транзакции ниже определенной стоимости (например, 30 евро в Европе) могут быть освобождены от SCA, хотя применяются совокупные лимиты (например, общая сумма или количество транзакций с момента последней SCA).

• Доверенные получатели (белый список мерчантов): Держатели карт могут назначить определенных мерчантов «доверенными» у своего эмитента. Последующие транзакции с этими мерчантами из белого списка могут быть освобождены от SCA.

• Регулярные платежи и транзакции, инициированные мерчантом (MIT): Хотя первоначальная настройка регулярного платежа или соглашения о хранении карты обычно требует SCA, последующие платежи, инициированные мерчантом с использованием этих учетных данных, могут считаться выходящими за рамки или освобожденными при определенных условиях. EMV 3DS 2.2 и более поздние версии предоставляют специальную поддержку для этих транзакций 3RI (3DS Requestor Initiated).

• Безопасные корпоративные платежи: Могут применяться особые исключения для корпоративных платежей, совершаемых с использованием выделенных безопасных протоколов.

Мерчанты и PSP могут указать свой запрос на исключение в сообщении аутентификации EMV 3DS.

Corbado Outcome Based SCA Passkey

Значительным преимуществом использования 3-D Secure всегда была возможность переноса ответственности за определенные виды мошеннических чарджбэков.

• Успешно аутентифицированные транзакции: Когда транзакция успешно аутентифицирована через Mastercard Identity Check (будь то через бесшовный поток или challenge-запрос), ответственность за чарджбэки, заявленные как «несанкционированные», как правило, переходит от мерчанта к эмитенту карты. Эта защита применяется даже в случае бесшовной аутентификации, хотя могут действовать специфические правила карточной схемы и сценарии.

• Влияние исключений: Это критически важный момент: если мерчант или его PSP запрашивает исключение из SCA (например, TRA или платеж на небольшую сумму) и эмитент его предоставляет, ответственность за мошенничество обычно остается на мерчанте. Мерчант получает преимущество более гладкого процесса оплаты, но сохраняет финансовый риск мошенничества. Однако, если эмитент в одностороннем порядке решает применить исключение (например, на основе собственной оценки риска), ответственность может перейти к эмитенту.

• Попытка/неудача аутентификации: Правила, касающиеся ответственности, когда аутентификация была предпринята, но не удалась или не может быть завершена (например, ACS эмитента недоступен), могут быть сложными и зависят от конкретных обстоятельств и правил карточной схемы. Правила Mastercard могут предлагать защиту мерчанту в определенных сценариях, даже если эмитент еще не полностью перешел на новую систему.

• Потоки только с данными: Специфические потоки, такие как «Identity Check Insights» от Mastercard, которые включают обмен данными для оценки риска без выполнения полной попытки аутентификации, явно не предоставляют перенос ответственности мерчанту.

Это создает важную стратегическую точку принятия решений для мерчантов и PSP. Запрос исключений может оптимизировать коэффициенты конверсии, обеспечивая бесшовный опыт, но это происходит за счет сохранения ответственности за мошенничество. И наоборот, принудительная аутентификация (даже если она приводит к бесшовному потоку, одобренному эмитентом) может обеспечить перенос ответственности, но потенциально может создать трение, если потребуется дополнительная проверка. Поэтому необходима сложная стратегия управления рисками для определения оптимального подхода на транзакционной основе, балансируя цели конверсии с терпимостью к риску мошенничества.

Кроме того, успех бесшовного потока и точность решения RBA сильно зависят от качества и полноты данных, предоставляемых мерчантом и его PSP через сообщения EMV 3DS. Неполные или неточные данные мешают эмитенту проводить надежные оценки рисков, что потенциально приводит к большему количеству проверок или даже отказов, тем самым подрывая преимущества системы. Достижение оптимальной производительности бесшовных потоков — это совместная работа, требующая тщательного управления данными на стороне эквайринга.

Программа Mastercard Identity Check

Бесшовное будущее с Mastercard

Для эмитентов карт интеграция с программой Mastercard Identity Check необходима для использования ее преимуществ в области безопасности и пользовательского опыта. Это включает в себя активацию их карточных портфелей (идентифицируемых по банковским идентификационным номерам, или BIN) и подключение к инфраструктуре аутентификации, в первую очередь через сервер контроля доступа (ACS).

ACS находится в домене эмитента и является технологическим сердцем процесса аутентификации с точки зрения эмитента. Его ключевые обязанности включают:

• Получение запросов на аутентификацию (сообщения AReq), направляемых от мерчанта через Directory Server (DS) Mastercard

• Проверка, зарегистрирован ли конкретный номер карты и имеет ли он право на участие в Mastercard Identity Check

• Проведение оценки рисков (часто с использованием движков RBA и данных, таких как оценка Mastercard Smart Authentication)

• Принятие решения о бесшовной аутентификации или инициировании дополнительной проверки

• Управление процессом дополнительной проверки, если это необходимо (например, отправка OTP по SMS, запрос биометрической верификации через приложение банка)

• Генерация и возврат ответа на аутентификацию (сообщение ARes), включая критически важное значение аутентификации держателя счета (AAV) для успешно аутентифицированных транзакций, обратно в DS

У эмитентов есть несколько путей для реализации функциональности ACS:

1. Собственный ACS: Эмитент может решить создать, развернуть, разместить и управлять собственным программным решением ACS в своей IT-среде.

   • Плюсы: Обеспечивает максимальный контроль над логикой аутентификации, правилами рисков, настройкой пользовательского опыта и интеграцией с внутренними системами.

   • Минусы: Требует значительной внутренней технической экспертизы, существенных ресурсов на разработку и обслуживание, а также строгого соблюдения текущих стандартов соответствия EMVCo и PCI 3DS.

2. Хостинговый ACS (сторонний поставщик): Эмитенты могут сотрудничать со специализированными, одобренными Mastercard поставщиками ACS, которые предоставляют ACS как управляемую услугу. Эмитент в этой модели часто называется «Hosted Principal».

   • Плюсы: Снижает операционную сложность для эмитента, затраты на инфраструктуру и бремя соответствия требованиям. Использует экспертизу поставщика и потенциально предлагает более быстрое время выхода на рынок.

   • Минусы: Может предлагать меньше детального контроля и кастомизации по сравнению с собственным решением. Зависимость от третьей стороны в критически важной функции.

   • Экосистема поставщиков: Mastercard ведет список совместимых поставщиков ACS, среди которых такие компании, как Entersekt, Netcetera, GPayments и Logibiztech.

3. Дополнительные услуги Mastercard: Mastercard предлагает услуги с добавленной стоимостью, которые могут дополнить выбранный эмитентом путь ACS:

   • Mastercard Smart Authentication для ACS/эмитентов: Предоставляет аналитику RBA для улучшения возможностей принятия решений ACS.

   • Mastercard Stand-In RBA: Предлагает резервную обработку RBA, если основной ACS эмитента недоступен или если определенные BIN еще не полностью активированы для EMV 3DS.

   • Mastercard 3-D Secure Authentication Challenge Service: Предоставляет возможности биометрической проверки (с использованием стандартов FIDO), которые могут быть интегрированы в поток ACS.

Выбор между собственным и хостинговым ACS представляет собой важное стратегическое решение для эмитентов, балансирующее между желанием контроля и потребностью в эффективности, экономичности и скорости внедрения.

Активация определенных диапазонов банковских идентификационных номеров (BIN) для Mastercard Identity Check включает в себя ряд скоординированных шагов:

1. Выбрать путь ACS: Определить, использовать ли собственный ACS или хостингового провайдера.

2. Обеспечить соответствие ACS: Убедиться, что выбранное решение ACS (собственное или от поставщика) соответствует текущим правилам программы Mastercard Identity Check и соответствующей версии спецификации EMV 3DS. Обычно это включает в себя прохождение оператором ACS тестирования на соответствие требованиям Mastercard.

3. Зарегистрироваться в Mastercard Identity Check: Зарегистрировать эмитирующее учреждение в программе через тестовую платформу Mastercard Identity Check на Mastercard Connect, приняв условия и предоставив необходимые идентификаторы, такие как Company ID (CID) и номер Interbank Card Association (ICA).

4. Зарегистрировать диапазоны BIN в Directory Server: Использовать инструмент Identity Solutions Services Management (ISSM) на Mastercard Connect для регистрации конкретных диапазонов BIN, которые будут участвовать в Identity Check. Для каждого зарегистрированного диапазона необходимо указать URL соответствующего ACS. Обратите внимание, что диапазоны BIN, ранее зарегистрированные для Mastercard SecureCode (3DS 1.0), требуют отдельной регистрации для Identity Check (EMV 3DS).

5. Настроить правила аутентификации: Определить основные методы аутентификации (например, RBA) и любые методы дополнительной проверки (например, SMS OTP, биометрия), которые будут использоваться для зарегистрированных BIN. Убедиться, что настроена поддержка как бесшовных, так и challenge-потоков.

6. Управлять сертификатами: Получить и управлять необходимыми серверными/клиентскими сертификатами Transport Layer Security (TLS) для безопасной связи с Directory Server Mastercard, а также сертификатами цифровой подписи, если это применимо, используя портал управления ключами Mastercard.

7. Внедрить валидацию AAV: Настроить процессы для проверки значения аутентификации держателя счета (AAV), получаемого в сообщениях авторизации для аутентифицированных транзакций. Это можно сделать внутри компании или с помощью сервиса валидации AAV от Mastercard.

8. Скоординироваться с процессором: Убедиться, что платежный процессор эмитента способен обрабатывать любые новые элементы данных, связанные с Mastercard Identity Check, такие как Digital Transaction Insights.

9. Запуститься и отслеживать: После завершения настройки и тестирования активировать зарегистрированные диапазоны BIN в производственной среде и постоянно отслеживать производительность транзакций и KPI.

Важно понимать, что управление BIN — это непрерывный процесс. Изменения в отрасли, такие как переход с 6-значных на 8-значные BIN, требуют от эмитентов проактивной оценки своих портфелей, потенциальной консолидации BIN и обновления своих систем и конфигураций для обеспечения бесперебойной работы сервисов аутентификации, таких как Mastercard Identity Check.

Программа Mastercard Identity Check

Внедрение Mastercard Identity Check и лежащей в его основе программы EMV 3DS Mastercard предлагает значительные преимущества для мерчантов и поставщиков платежных услуг (PSP), которые их обслуживают. Основные эффекты связаны с повышением успешности транзакций, улучшением клиентского опыта и упрощением операций в глобальном ландшафте электронной коммерции.

Одним из самых убедительных преимуществ является возможность увеличить коэффициент одобрения авторизаций.

• Как это работает: Более богатые данные, которыми обмениваются через EMV 3DS, в сочетании со сложными движками RBA, использующими ИИ и поведенческую аналитику, предоставляют эмитентам гораздо более глубокое понимание легитимности транзакции. Это позволяет им точнее отличать настоящих клиентов от мошенников, что приводит к сокращению ложных отказов — ситуаций, когда легитимная транзакция ошибочно отклоняется из-за подозрения в мошенничестве.

• Количественные результаты: Исследования и отчеты указывают на значительные улучшения. Данные Mastercard показали средний рост коэффициента одобрения на 10–12 базисных пунктов (0,10–0,12%) или даже рост до 14% по миллиардам транзакций за год. Другие источники упоминают потенциальный рост на 12%. Кейсы, например, с участием ритейлера одежды, продемонстрировали существенное увеличение продаж, связанное с улучшением одобрений и снижением мошенничества благодаря Identity Check.

• Преимущества: Для мерчантов более высокие коэффициенты одобрения напрямую означают увеличение завершенных продаж, рост выручки и повышение удовлетворенности клиентов. Для PSP предложение решения, которое наглядно повышает коэффициенты одобрения их клиентов, усиливает их ценностное предложение и конкурентоспособность.

Прямым следствием эффективной RBA является значительное сокращение необходимости в повышенной аутентификации, когда держателю карты активно предлагается предоставить дополнительное подтверждение личности.

• Как это работает: Цель состоит в том, чтобы подавляющее большинство (часто упоминается как >90% или 95%) транзакций аутентифицировалось бесшовно на основе оценки риска. Это означает меньше прерываний для клиента во время оформления заказа.

• Преимущества: Это кардинально улучшает пользовательский опыт, устраняя ненужные препятствия. Снижение трения напрямую ведет к уменьшению количества брошенных корзин и повышению коэффициентов конверсии для мерчантов.

Основа Mastercard Identity Check на глобальном стандарте EMV 3DS облегчает внедрение и управление для бизнесов, работающих за рубежом.

• Как это работает: EMV 3DS предоставляет общий технический язык и фреймворк для аутентификации, признанный участвующими эмитентами и эквайерами по всему миру.

• Преимущества: Эта стандартизация снижает сложность для международных мерчантов и PSP, которым в противном случае пришлось бы интегрировать множество разрозненных региональных решений для аутентификации. Интеграция упрощается благодаря стандартизированным протоколам, API и SDK, предоставляемым Mastercard и ее партнерами. Кроме того, использование решения на базе EMV 3DS, такого как Mastercard Identity Check, помогает бизнесу соответствовать регуляторным требованиям, таким как PSD2 SCA в Европе и аналогичным мандатам, появляющимся в других странах.

Для PSP эти преимущества для мерчантов усиливаются. Предлагая надежное, глобально согласованное и высокопроизводительное решение для аутентификации, такое как Mastercard Identity Check, PSP могут привлекать больше мерчантов, сокращать собственные операционные издержки, связанные с управлением разнообразными методами аутентификации, и потенциально снижать свою подверженность затратам, связанным с мошенничеством, перекладываемым с мерчантов.

Mastercard Identity Check

Для эффективного управления и оптимизации производительности Mastercard Identity Check эмитентам, эквайерам и мерчантам необходима четкая система ключевых показателей эффективности (KPI). Отслеживание этих метрик дает представление о пользовательском опыте, эффективности безопасности и соответствии правилам программы EMV 3DS Mastercard.

На основе руководств программы и лучших практик, следующие KPI являются критически важными для мониторинга производительности Mastercard Identity Check:

1. Уровень challenge-запросов (Challenge Rate): Этот показатель измеряет процент запросов на аутентификацию, которые приводят к активной проверке держателя карты (например, запрос OTP или биометрической верификации). Более низкий уровень challenge-запросов обычно указывает на лучший, более бесшовный пользовательский опыт. Рекомендации Mastercard предполагают стремиться к тому, чтобы такие проверки составляли менее 10% транзакций, полагаясь на RBA для большинства случаев.

2. Коэффициент успешной аутентификации (Authentication Success Rate): Этот показатель отслеживает процент попыток аутентификации (как бесшовных, так и с проверкой), которые были успешно завершены держателем карты и подтверждены эмитентом. Высокие показатели успеха жизненно важны для минимизации отказов от транзакций. Mastercard может устанавливать минимальные пороги для общего коэффициента одобрения аутентифицированных транзакций (например, 90%) и отдельно отслеживать коэффициенты успеха challenge-запросов.

3. Доля бесшовных операций (Frictionless Rate): Обратный показатель к уровню challenge-запросов, он измеряет процент аутентификаций, успешно завершенных без необходимости взаимодействия с держателем карты. Высокая доля бесшовных операций является основной целью EMV 3DS и тесно связана с более высокими общими показателями успеха и лучшим пользовательским опытом.

4. Уровень мошенничества (Fraud Rate): Мониторинг доли подтвержденных мошеннических транзакций, особенно тех, которые были аутентифицированы через Identity Check, необходим для оценки эффективности системы в предотвращении мошенничества. Mastercard отслеживает уровни мошенничества у мерчантов через такие программы, как Excessive Fraud Merchant (EFM). Ключевая цель — добиться снижения мошенничества по сравнению с неаутентифицированными транзакциями.

5. Коэффициент одобрения авторизации (Authorization Approval Rate): Конечная мера успеха транзакции — это итоговый коэффициент одобрения авторизации эмитентом. Identity Check нацелен на повышение этого показателя за счет сокращения ложных отказов.

6. Техническая производительность: Метрики, такие как время безотказной работы ACS и 3DS Server (Mastercard требует 99,0% доступности для поставщиков), время обработки транзакций и частота ошибок в сообщениях аутентификации, также являются критически важными.

Мониторинг этих KPI опирается на различные каналы отчетности:

• Мониторинг программы Mastercard: Mastercard активно отслеживает производительность участников по установленным KPI программы. Несоблюдение может привести к уведомлениям и потенциальным штрафам в рамках таких программ, как DIMP или EFM.

• Отчеты программы мониторинга целостности данных (DIMP): Эта программа специально фокусируется на точности и полноте данных о транзакциях, проходящих через сеть Mastercard. Эмитенты и эквайеры могут получать доступ к отчетам DIMP через специальный портал для выявления транзакций, помеченных из-за проблем с целостностью данных. Несколько «правок» DIMP напрямую связаны с данными EMV 3DS, например, отсутствующие или недействительные идентификаторы транзакций DS, отсутствующие индикаторы исключений, недействительные AAV или несоответствие сумм транзакций.111 Эмитенты могут специально подписаться на Отчет о мониторинге целостности данных Mastercard, чтобы отслеживать свою производительность по целевым показателям бесшовных операций.

• Отчетность поставщиков платежных услуг (PSP) / вендоров: Мерчанты и эмитенты часто используют панели отчетности и аналитику, предоставляемые их PSP, поставщиками 3DS Server или ACS, для отслеживания своих метрик производительности аутентификации.

Эффективное использование этих KPI и механизмов отчетности позволяет заинтересованным сторонам выявлять области для улучшения, оптимизировать конфигурации (например, правила RBA), устранять технические проблемы и в конечном итоге максимизировать преимущества программы Mastercard Identity Check.

Программа Mastercard Identity Check

Ландшафт аутентификации онлайн-платежей постоянно развивается, движимый необходимостью повышения безопасности, регуляторными изменениями и спросом на все более гладкий пользовательский опыт. Mastercard Identity Check, будучи построенной на программе EMV 3DS Mastercard, неразрывно связана с дорожной картой, установленной EMVCo для протокола 3-D Secure.

Эволюция EMV 3DS (v2.1, v2.2, v2.3)

Протокол EMV 3DS претерпел несколько итераций с момента своего первоначального запуска (версия 2.0), каждая из которых вносила новые функции и усовершенствования:

• EMV 3DS 2.1: Стал обязательным базовым уровнем, включающим фундаментальную поддержку более богатого обмена данными и улучшенного мобильного опыта по сравнению с 3DS 1.0. Mastercard потребовал поддержки к середине 2020 года.

• EMV 3DS 2.2: Внес дальнейшие улучшения, включая лучшую поддержку исключений SCA (таких как TRA эквайера и список доверенных мерчантов через расширения сообщений Mastercard) и уточненные элементы данных. Mastercard начал поддерживать тестирование на соответствие 2.2, а мандаты последовали позже. Mastercard Gateway планировал прекратить поддержку 2.1 в сентябре 2024 года, делая 2.2 фактическим минимумом.

• EMV 3DS 2.3 (в частности, 2.3.1): Выпущенная EMVCo в конце 2021/2022 года, эта версия представляет собой последнее значительное достижение, направленное на дальнейшее улучшение безопасности, пользовательского опыта и поддержки каналов. Ключевые функции, имеющие отношение к будущему аутентификации, включают:

  • Расширенные данные и потоки: Дополнительные элементы данных и потоки сообщений для дальнейшего упрощения аутентификации и улучшения обнаружения мошенничества. Включает более богатые данные для регулярных платежей и платежных токенов.

  • Поддержка Secure Payment Confirmation (SPC): Точки интеграции для SPC, позволяющие криптографически подтверждать детали транзакции с использованием аутентификаторов FIDO в рамках потока 3DS.

  • Поддержка WebAuthn: Явная поддержка использования стандарта W3C Web Authentication (WebAuthn), облегчающая использование ключей доступа (passkeys) и платформенных аутентификаторов (таких как биометрия устройства) для проверок.

  • Улучшения внеполосной (OOB) аутентификации: Автоматизированные переходы для упрощения пользовательского опыта, когда аутентификация должна происходить через отдельный канал, например, приложение банка.

  • Привязка устройства: Позволяет пользователям привязать доверенное устройство к своей учетной записи, потенциально сокращая будущие проверки на этом устройстве.

  • Модель Split-SDK: Предлагает большую гибкость для реализации SDK 3DS на различных платформах, включая традиционные веб/мобильные и новые каналы, такие как устройства IoT.

  • Улучшения пользовательского интерфейса: Больше возможностей для эмитентов и мерчантов для настройки пользовательского интерфейса во время проверок.

Mastercard, как ключевой член EMVCo, активно участвует в разработке этих стандартов. Они являются активными сторонниками SPC и более широкого перехода к современным, беспарольным методам аутентификации, таким как passkeys. Компании, такие как DECTA, уже получили раннюю сертификацию для EMV 3DS 2.3.1.1 с Mastercard, что указывает на то, что внедрение уже идет. Интеграция Secure Payment Confirmation (SPC) SPC — это веб-стандарт W3C, разработанный для работы вместе с протоколами аутентификации, такими как EMV 3DS. Он использует учетные данные FIDO/WebAuthn (passkeys), чтобы позволить пользователям аутентифицироваться и явно подтверждать детали транзакции (сумма, получатель) непосредственно в браузере, используя встроенный аутентификатор устройства (например, отпечаток пальца, Face ID, PIN).

• Как это интегрируется с EMV 3DS 2.3: Во время challenge-потока 3DS, если эмитент поддерживает SPC и у пользователя есть зарегистрированные учетные данные FIDO (passkey) у эмитента для этого устройства, ACS эмитента может вернуть необходимую информацию в сообщении ARes. Затем веб-сайт мерчанта вызывает API SPC браузера, представляя стандартизированное, безопасное диалоговое окно подтверждения. Пользователь аутентифицируется локально (например, с помощью биометрии), криптографически подписывая детали транзакции. Это подписанное утверждение отправляется обратно в ACS для проверки.

• Преимущества: SPC обещает высокозащищенный (устойчивый к фишингу) и потенциально очень низкофрикционный опыт проверки по сравнению с OTP, улучшая коэффициенты конверсии. Он предоставляет сильное криптографическое доказательство согласия пользователя, привязанное к конкретным деталям транзакции. Mastercard активно продвигает внедрение passkeys и поддержку SPC.

Более широкое видение Mastercard: к беспарольному будущему Помимо непосредственной дорожной карты EMV 3DS, Mastercard сформулировала более широкое видение будущего онлайн-аутентификации, стремясь полностью устранить ручной ввод данных карты и паролей к 2030 году. Эта стратегия опирается на сближение:

• Токенизации: Замена чувствительных первичных номеров счетов (PAN) на безопасные сетевые токены (через MDES - Mastercard Digital Enablement Service) для защиты базовых данных карты. Mastercard стремится к 100% токенизации в электронной коммерции в таких регионах, как Европа, к 2030 году.

• Биометрической аутентификации: Использование биометрии на устройстве (отпечатки пальцев, распознавание лиц — «улыбки и отпечатки») через стандарты, такие как FIDO/WebAuthn, и технологии, такие как SPC и Payment Passkey Service от Mastercard.

• Click to Pay: Упрощенное решение для онлайн-оплаты от Mastercard, основанное на стандартах EMV Secure Remote Commerce (SRC), разработанное для бесшовной работы с токенизацией и современной аутентификацией.

Это будущее состояние предполагает процесс оплаты, при котором пользователи безопасно аутентифицируются и подтверждают платежи простым биометрическим действием, без необходимости вручную вводить номера карт или пароли. Постоянная эволюция EMV 3DS, включая версию 2.3 и интеграцию SPC, является критически важным шагом на пути к реализации этой амбициозной цели.

Corbado EMV 3DS ACS Passkeys

Mastercard Identity Check, основанный на программе EMV 3DS Mastercard, представляет собой критически важный этап в обеспечении безопасности экосистемы цифровых платежей. Выходя за рамки ограничений своего предшественника, Mastercard SecureCode, он решает основную проблему баланса между надежной защитой от мошенничества и необходимостью бесшовных потоков аутентификации в современной электронной коммерции.

Для эмитентов и мерчантов преимущества ощутимы:

• Повышенная безопасность: Использование богатого обмена данными, сложных движков аутентификации на основе рисков (RBA), поведенческой биометрии NuData и аналитики устройств значительно повышает точность обнаружения мошенничества.

• Улучшенный пользовательский опыт: Акцент на бесшовных потоках минимизирует прерывания при оформлении заказа, сокращая количество брошенных корзин и повышая лояльность клиентов.

• Более высокие коэффициенты одобрения: Более точная оценка рисков приводит к меньшему количеству ложных отказов, увеличивая легитимные продажи и доход.

• Защита от ответственности: Возможность переноса ответственности за аутентифицированные транзакции остается ключевым стимулом для внедрения.

Внедрение Mastercard Identity Check требует тщательного рассмотрения путей интеграции, в частности выбора ACS для эмитентов, и усердного управления активацией BIN и качеством данных. Мониторинг производительности с помощью предоставленной системы KPI и инструментов отчетности, таких как Отчет о мониторинге целостности данных, необходим для оптимизации и соответствия требованиям. Заглядывая в будущее, эволюция продолжается с EMV 3DS 2.3 и далее, включая такие стандарты, как Secure Payment Confirmation (SPC) и WebAuthn, чтобы обеспечить еще более безопасную и удобную для пользователя аутентификацию с использованием passkeys и биометрии устройства. Это соответствует более широкому видению Mastercard о беспарольном и безномерном будущем онлайн-платежей к 2030 году, основанном на токенизации и биометрии.

По мере того как ландшафт аутентификации смещается в сторону этих более современных, устойчивых к фишингу методов, понимание основ, заложенных такими программами, как Mastercard Identity Check, имеет решающее значение. Для компаний, стремящихся внедрить аутентификацию нового поколения, которая сочетает в себе надежную безопасность с непревзойденным удобством для пользователя, изучение решений, построенных на стандартах FIDO, таких как passkeys, предлагаемые провайдерами, как Corbado, представляет собой логичный следующий шаг в обеспечении будущего онлайн-взаимодействий и платежей.