Visa Passkeys: сервис платёжных ключей доступа Visa

Сектор финансовых услуг и платёжная индустрия делают большую ставку на ключи доступа (passkeys). После внедрения ключей доступа в банках (например, Revolut), финтех-компаниях (например, Finom), у платёжных провайдеров (например, PayPal) и появления сервиса Token Authentication от Mastercard около месяца назад, в апреле 2024 года, компания Visa представила собственный сервис ключей доступа под названием Visa Payment Passkey Service на своём ежегодном Платёжном форуме.

Ранее мы уже обсуждали последствия этого сдвига в финансовом мире, в частности, в отношении строгой аутентификации клиентов (SCA), PSD2 и динамического связывания. Подробные статьи на эту тему можно прочитать здесь:

• Отчёт о ключах доступа в банковской сфере 2025
• Привязанные к устройству и синхронизируемые ключи доступа
• Анализ требований PSD2 и SCA
• Что требования SCA означают для ключей доступа
• Последствия PSD3 / PSR для ключей доступа
• Ключи доступа и PSD2: устойчивая к фишингу MFA, соответствующая требованиям PSD2
• Динамическое связывание с ключами доступа: безопасное подтверждение платежа (SPC)

В этой статье мы рассмотрим подход Visa к ключам доступа и его значение для будущего безопасности платежей, включая инновации в платёжных ключах доступа, которые устанавливают новые стандарты в отрасли.

Рост популярности ключей доступа в индустрии финансовых услуг во многом обусловлен ожиданиями потребителей. Недавние данные Visa подчёркивают эту тенденцию: 62% потребителей отказывались от онлайн-покупки из-за проблем с аутентификацией. Более того, безопасность вызывает беспокойство: 26% потребителей признались, что хотя бы раз сообщали свой PIN-код кому-то ещё, что подчёркивает уязвимости традиционных методов аутентификации. Тревожно, что уровень мошенничества при онлайн-платежах в семь раз выше, чем при личных расчётах, что ещё раз доказывает необходимость в более безопасных методах цифровых транзакций.

Внедрение сервиса Visa Payment Passkey Service от Visa знаменует собой важный шаг в решении этих проблем. Заменяя пароли и одноразовые коды ключами доступа, ключи доступа Visa упрощают процесс онлайн-покупок, уменьшая барьеры и повышая безопасность. Финансовые учреждения, особенно те, которые интегрируют ключи доступа для финансовых услуг, признают, что эта технология не только повышает доверие потребителей, но и улучшает общую операционную эффективность. Ключи доступа не только удобны для пользователя, но и устойчивы к кибератакам, таким как фишинг.

Ключи доступа представляют собой убедительное решение для финансовых учреждений, стремящихся повысить безопасность и одновременно улучшить пользовательский опыт. Эта технология идеально соответствует Второй платёжной директиве (PSD2) Европейского союза, которая требует строгой аутентификации клиентов (SCA). PSD2 требует, чтобы транзакции аутентифицировались с использованием как минимум двух из следующих факторов: что-то, что пользователь знает, имеет или чем является. Ключи доступа отвечают этим критериям, используя биометрические данные (то, чем пользователь является) и надёжно сохранённые приватные ключи (то, что пользователь имеет), например, в Secure Enclave, доверенной среде выполнения (TEE) или доверенном платформенном модуле (TPM) устройства.

Visa играет важную роль в развитии ключей доступа, в частности, благодаря своему членству в FIDO Alliance, к которому она присоединилась в 2014 году, на два года позже Mastercard.

Одним из предыдущих сервисов Visa, который можно считать предшественником ключей доступа, является приложение Visa Biometric Authenticator — продукт с ограниченным доступом к документации и ресурсам, к сожалению.

В 2019 году Visa провела исследование по биометрии и потребительским предпочтениям, опросив 1000 держателей кредитных карт в Германии. Результаты показали, что потребители отдают явное предпочтение биометрической аутентификации перед традиционными паролями. Впечатляющие 90% респондентов сочли отпечатки пальцев безопасным методом для подтверждения личности, по сравнению с лишь 77% для PIN-кодов и 73% для паролей. Кроме того, такие методы, как сканирование радужной оболочки глаза и лица, были оценены как более безопасные, чем PIN-коды и пароли. Вероятно, это показало Visa, что следует развивать биометрию, а затем и ключи доступа.

На Платёжном форуме 2024 года Visa официально анонсировала сервис Visa Payment Passkey. Джек Форестелл, директор по продуктам и стратегии Visa, заявил:

Специальный брендинг платёжных ключей доступа Visa, отражающий подход Mastercard, имеет большое значение. Он намеренно помещает технологию в контекст финансовых транзакций. В отличие от обычных ключей доступа для входа, аутентификация платежей требует соблюдения более строгих правил, в частности, PSD2 SCA, включая требование динамического связывания — криптографической привязки аутентификации к конкретным деталям транзакции. Этот брендинг сигнализирует о том, что сервис Visa Payment Passkey разработан не только для удобства, но и для удовлетворения этих строгих требований к безопасности и соответствию нормам в платёжной сфере.

Сервис Visa Payment Passkey сначала будет интегрирован в платформу Visa Click to Pay, предлагая бесшовный и безопасный процесс оплаты в больших масштабах. Кроме того, этот сервис открывает путь для таких инноваций, как оплата в один клик от Visa, что ещё больше сокращает необходимость ручного ввода данных и улучшает потребительский опыт. Visa также планирует сотрудничать с эмитентами на различных рынках для внедрения Click to Pay и сервиса Visa Payment Passkey на новых картах Visa. Эта интеграция уменьшит необходимость ручного ввода данных карты и паролей с момента получения карты, что ещё больше упростит пользовательский опыт.

Запуск сервиса Visa Payment Passkey от Visa — это значительный шаг вперёд для ключей доступа в сфере платежей, поскольку Visa стала вторым из трёх крупнейших эмитентов кредитных карт, предложившим специализированный сервис ключей доступа.

С сервисом Visa Payment Passkey традиционную аутентификацию на основе паролей можно полностью заменить. Мы ожидаем (аналогично сервису Token Authentication от Mastercard / платёжным ключам доступа Mastercard), что сервис Visa Payment Passkey обеспечит возможность использования ключа доступа, созданного в Visa, для аутентификации транзакций на любом участвующем сайте продавца без необходимости каждый раз создавать новые ключи доступа при посещении нового сайта продавца. Более того, эта технология поддерживает платёжные ключи доступа, которые призваны переосмыслить процесс цифровых платежей.

Ключевым стратегическим элементом подхода Visa является её инфраструктура. Visa создала и управляет собственным FIDO-сервером для поддержки сервиса Visa Payment Passkey. Это лежит в основе того, что Visa называет своей «федерированной моделью». В этой модели Visa берёт на себя ответственность за аутентификацию и проверку личности клиентов напрямую, используя свой FIDO-сервер. Это существенное отличие от моделей, где продавцам или эмитентам может потребоваться самостоятельно внедрять и управлять частями процесса аутентификации FIDO. Для продавцов такой федерированный подход значительно упрощает интеграцию. Им нужно интегрироваться с сервисом Visa Payment Passkey только один раз. Visa берёт на себя всю сложность базовой аутентификации FIDO, избавляя продавцов от необходимости создавать собственные серверы, управлять сложными техническими интеграциями или индивидуально подключать эмитентов для целей аутентификации. Этот продуманный выбор дизайна снижает барьер для входа и направлен на ускорение внедрения в обширной сети продавцов Visa.

Для продавцов внедрение сервиса Visa Payment Passkey предлагает несколько ключевых преимуществ:

• Снижение мошенничества и чарджбэков: Процесс аутентификации использует биометрические данные пользователя, что значительно снижает риск мошенничества и возвратных платежей.
• Минимизация барьеров при оплате: Более плавный процесс транзакции приводит к более высоким показателям одобрения и конверсии.

Для покупателей этот сервис предоставляет:

• Бесшовный процесс оплаты: Упрощённый процесс оплаты на различных устройствах и в магазинах разных продавцов.
• Повышенная безопасность: Устойчивая к фишингу многофакторная аутентификация (MFA) усиливает защиту от мошенничества с кредитными картами и фишинговых атак. В некоторых случаях сервис даже соответствует критериям, аналогичным сервису аутентификации потребителей Visa, обеспечивая максимальную безопасность онлайн-транзакций.

Для эмитентов преимущества следующие:

• Сокращение убытков от мошенничества: Снижение общего уровня мошенничества напрямую выгодно эмитентам за счёт уменьшения финансовых потерь, связанных с несанкционированными транзакциями.
• Снижение затрат на аутентификацию: Переход от SMS OTP потенциально может сократить операционные расходы, связанные с отправкой сообщений и управлением этой инфраструктурой.
• Улучшение клиентского опыта: Беспрепятственный и безопасный платёжный опыт приводит к повышению удовлетворённости и лояльности держателей карт.
• Поддержка аутентификации со стороны Visa: Эмитенты могут извлечь выгоду из того, что Visa управляет основной инфраструктурой аутентификации и поддержкой, что потенциально снижает их собственные затраты на обслуживание.

Мы подготовим более подробный технический анализ по интеграции сервиса Token Authentication от Mastercard в существующие системы, как только Mastercard опубликует больше информации. Чтобы оставаться в курсе, подпишитесь на наш Passkeys Substack или присоединяйтесь к нашему сообществу Passkey в Slack, чтобы не пропустить ни одного обновления.

А пока мы рекомендуем посмотреть видео-анонс от Visa, в котором концепция объясняется более подробно.

Важно отличать новый сервис Visa Payment Passkey от уже существующего сервиса Visa Consumer Authentication Service (VCAS).

• VCAS — это устоявшееся решение Visa с хостингом Access Control Server (ACS), предоставляемое эмитентам для поддержки их программ EMV 3-D Secure.
• VCAS в основном полагается на аутентификацию на основе рисков (RBA). Он анализирует обширные данные о транзакциях (сообщается, что до 150 точек данных) с помощью собственных механизмов оценки рисков, чтобы определить, является ли транзакция низкорисковой (что позволяет провести её без проблем) или высокорисковой (требующей дополнительной проверки).
• Когда VCAS требует дополнительной проверки, он может поддерживать различные методы, включая OTP (отправляемые по SMS или электронной почте) или, возможно, биометрию, если эмитент использует сопутствующее биометрическое приложение-аутентификатор от Visa.
• Сервис Visa Payment Passkey, напротив, является новым, специализированным сервисом Visa, построенным на технологии FIDO / passkeys. Он напрямую использует встроенные возможности FIDO устройства для аутентификации, применяя криптографические ключи и локальную биометрию/PIN-код.

Хотя оба сервиса нацелены на повышение безопасности и снижение барьеров при аутентификации в электронной коммерции, сервис Visa Payment Passkey представляет собой технологический сдвиг в сторону беспарольных, устойчивых к фишингу стандартов на основе FIDO в качестве основного метода аутентификации, а не опоры в основном на RBA с OTP в качестве распространённого запасного варианта.

Внедрение ключей доступа в платёжную индустрию с помощью сервиса Visa Payment Passkey знаменует собой ещё одну важную веху для всей отрасли. Этот инновационный подход не только повышает безопасность транзакций за счёт биометрической аутентификации, но и предлагает бесшовный и удобный пользовательский опыт, решая два наиболее критичных аспекта в современной платёжной индустрии.

Для продавцов интеграция ключей доступа Visa означает значительное сокращение мошенничества и чарджбэков. Для потребителей это обещает более безопасный и упрощённый процесс оплаты. Разработчикам и менеджерам по продуктам рекомендуется изучить эту технологию, чтобы оставаться на переднем крае безопасности платежей и пользовательского опыта.

Остаётся открытым вопрос: теперь, когда Visa (а недавно и Mastercard) внедряют ключи доступа, что планирует American Express в отношении ключей доступа, чтобы догнать Mastercard и Visa?

В Corbado мы стремимся предоставлять инструменты и экспертизу, необходимые для лёгкой интеграции ключей доступа, независимо от того, внедряете ли вы платёжные ключи доступа на цифровых платформах или изучаете решения с ключами доступа для финансовых услуг. Следите за новостями и подробным анализом того, как ключи доступа формируют цифровую аутентификацию.