Mastercard Identity Check: Mọi Điều Tổ Chức Phát Hành & Đơn Vị Chấp Nhận Thanh Toán Cần Biết

Thế giới thương mại kỹ thuật số tồn tại một mâu thuẫn cơ bản: làm thế nào các doanh nghiệp có thể cung cấp trải nghiệm thanh toán trực tuyến mượt mà, dễ dàng trong khi vẫn đồng thời bảo vệ bản thân và khách hàng khỏi mối đe dọa lừa đảo luôn hiện hữu? Các giao dịch không xuất trình thẻ (Card-Not-Present - CNP), xương sống của thương mại điện tử, thiếu đi tính bảo mật vốn có của việc xuất trình thẻ vật lý, dẫn đến tỷ lệ lừa đảo cao hơn đáng kể. Trong lịch sử, các giao dịch CNP chiếm một tỷ lệ không tương xứng trong các tổn thất do lừa đảo so với khối lượng của chúng. Hơn nữa, chi phí để ngăn chặn lừa đảo thông qua các biện pháp quá khắt khe, dẫn đến việc các giao dịch hợp pháp bị từ chối nhầm (từ chối sai hoặc "xúc phạm khách hàng"), đôi khi có thể vượt quá chi phí của chính hành vi lừa đảo, gây mất doanh thu và làm khách hàng thất vọng.

Đây là lúc Mastercard Identity Check xuất hiện, chương trình toàn diện của Mastercard được thiết kế để giải quyết trực tiếp thách thức này. Được xây dựng trên tiêu chuẩn toàn cầu EMV 3-D Secure, nó đại diện cho một bước tiến quan trọng trong việc xác thực các thanh toán trực tuyến. Sứ mệnh cốt lõi của nó là tăng cường bảo mật, chống lừa đảo, tăng tỷ lệ chấp thuận giao dịch và hợp lý hóa hành trình thanh toán cho chủ thẻ, ngân hàng phát hành (tổ chức phát hành) và các doanh nghiệp (đơn vị chấp nhận thanh toán).

Bài viết này trả lời các câu hỏi quan trọng cho các tổ chức phát hành, đơn vị chấp nhận thanh toán, Nhà cung cấp Dịch vụ Thanh toán (PSP), nhà phát triển phần mềm, quản lý sản phẩm và chuyên gia bảo mật muốn hiểu sâu về Mastercard Identity Check:

1. Chính xác thì Mastercard Identity Check là gì và tại sao nó được phát triển?

2. Mastercard Identity Check tận dụng công nghệ EMV 3-D Secure như thế nào để giảm lừa đảo và các trường hợp từ chối sai?

3. Các công nghệ tiên tiến, như sinh trắc học hành vi NuData, đóng vai trò gì trong việc cho phép xác thực người dùng không ma sát?

4. Các đơn vị chấp nhận thanh toán và PSP có thể tích hợp hiệu quả Mastercard Identity Check vào các quy trình thanh toán hiện có của họ như thế nào?

5. Các doanh nghiệp có thể mong đợi những lợi ích cụ thể nào—về tỷ lệ chấp thuận giao dịch, trải nghiệm người dùng và giảm lừa đảo—từ việc áp dụng Mastercard Identity Check?

Hành trình đến với Mastercard Identity Check bắt đầu từ những lỗ hổng cố hữu của thương mại điện tử thời kỳ đầu. Khi mua sắm trực tuyến bùng nổ, những kẻ lừa đảo đã khai thác việc không có thẻ vật lý, dẫn đến tỷ lệ lừa đảo CNP ngày càng tăng. Phản ứng ban đầu của ngành công nghiệp là vào năm 1999 với sự ra đời của giao thức 3-D Secure (3DS). Phiên bản mang thương hiệu của Mastercard cho lần lặp đầu tiên này được biết đến với tên gọi Mastercard SecureCode. Mặc dù SecureCode (3DS 1.0) nhằm mục đích tái tạo tính bảo mật của một khoản thanh toán vật lý bằng cách thêm một lớp xác thực chủ thẻ và mang lại lợi ích quan trọng là chuyển giao trách nhiệm pháp lý cho một số khoản đòi bồi hoàn gian lận khỏi các đơn vị chấp nhận thanh toán, nó lại có những nhược điểm đáng kể cản trở hiệu quả và việc áp dụng:

• Ma sát cao: Việc triển khai phổ biến nhất liên quan đến mật khẩu tĩnh hoặc các câu hỏi thử thách rườm rà, thường yêu cầu người dùng đăng ký trước và nhớ các thông tin đăng nhập riêng biệt. Điều này đã thêm ma sát đáng kể vào quy trình thanh toán.

• Trải nghiệm người dùng kém: Việc chuyển hướng đến các trang mang thương hiệu của tổ chức phát hành để xác thực đã tạo ra một trải nghiệm người dùng không nhất quán và thường gây khó chịu, dẫn đến sự nhầm lẫn và nghi ngờ của người mua sắm. Sự ma sát này trực tiếp góp phần vào tỷ lệ từ bỏ giỏ hàng cao.

• Trao đổi dữ liệu hạn chế: 3DS 1.0 chỉ cho phép trao đổi khoảng 15 yếu tố dữ liệu giữa đơn vị chấp nhận thanh toán và tổ chức phát hành, cung cấp không đủ ngữ cảnh để đánh giá rủi ro chính xác.

• Thiết kế tập trung vào trình duyệt: Nó chủ yếu được thiết kế cho các giao dịch dựa trên trình duyệt, khiến nó không phù hợp với thế giới đang phát triển nhanh chóng của các thanh toán qua ứng dụng di động và thương mại IoT mới nổi.

• Giảm thiểu từ chối sai không đầy đủ: Dữ liệu hạn chế và việc tập trung vào các thử thách rõ ràng đã không giải quyết hiệu quả vấn đề đáng kể của các trường hợp từ chối sai, nơi các giao dịch hợp pháp bị gắn cờ không chính xác là gian lận, làm tổn hại đến mối quan hệ khách hàng và gây mất doanh thu.

Rõ ràng là tác động tiêu cực của trải nghiệm người dùng kém – thể hiện qua việc từ bỏ giỏ hàng và từ chối sai – thường gây ra tổn thất tài chính lớn hơn cho các doanh nghiệp so với chi phí lừa đảo trực tiếp. Thực tế kinh tế này, cùng với nhu cầu phòng chống lừa đảo mạnh mẽ hơn trong một thế giới ngày càng kỹ thuật số, đã thúc đẩy sự phát triển của một phương pháp tiếp cận hiện đại hóa.

Sự ra mắt của Mastercard Identity Check, được xây dựng trên giao thức EMV 3-D Secure thế hệ tiếp theo, nhằm khắc phục những hạn chế này với một bộ mục tiêu rõ ràng:

1. Giảm lừa đảo CNP: Sử dụng các kỹ thuật tinh vi hơn để phát hiện và ngăn chặn các giao dịch trái phép.

2. Giảm thiểu ma sát: Tạo ra các luồng xác thực không ma sát mượt mà hơn, nhanh hơn cho đại đa số các giao dịch.

3. Tăng tỷ lệ chấp thuận: Giảm các trường hợp từ chối sai bằng cách cung cấp cho các tổ chức phát hành dữ liệu phong phú hơn để đánh giá rủi ro chính xác hơn.

4. Hỗ trợ các kênh hiện đại: Hỗ trợ xác thực nguyên bản trong các ứng dụng di động, ví kỹ thuật số và các thiết bị được kết nối khác.

5. Cho phép trao đổi dữ liệu phong phú: Tạo điều kiện chia sẻ an toàn một lượng dữ liệu giao dịch và ngữ cảnh lớn hơn đáng kể.

6. Duy trì chuyển giao trách nhiệm: Giữ lại lợi ích của việc chuyển giao trách nhiệm đối với các giao dịch gian lận đã được xác thực khỏi các đơn vị chấp nhận thanh toán tham gia.

Mastercard Identity Check - Early Adopter Program Learnings

Điều cần thiết là phải phân biệt giữa tiêu chuẩn công nghệ cơ bản và việc triển khai cụ thể của Mastercard.

EMV 3DS là đặc tả giao thức toàn cầu được phát triển và quản lý bởi EMVCo, một tổ chức thuộc sở hữu chung của các mạng lưới thanh toán lớn toàn cầu bao gồm Mastercard, Visa, American Express, Discover, JCB và UnionPay. Nó định nghĩa khuôn khổ kỹ thuật cho việc giao tiếp an toàn và trao đổi dữ liệu giữa ba lĩnh vực chính liên quan đến việc xác thực giao dịch trực tuyến:

1. Lĩnh vực Acquirer (Tổ chức thanh toán): Bao gồm đơn vị chấp nhận thanh toán, cổng thanh toán của họ và ngân hàng thanh toán (ngân hàng của đơn vị chấp nhận thanh toán). Lĩnh vực này khởi tạo yêu cầu xác thực thông qua một thành phần thường được gọi là 3DS Server (hoặc trong lịch sử là Merchant Plug-In/MPI).

2. Lĩnh vực Issuer (Tổ chức phát hành): Bao gồm ngân hàng phát hành (ngân hàng của chủ thẻ) và chủ thẻ. Lĩnh vực này chịu trách nhiệm xác minh danh tính của chủ thẻ thông qua một thành phần gọi là Access Control Server (ACS).

3. Lĩnh vực Tương tác (Interoperability): Chủ yếu bao gồm Directory Server (DS), do tổ chức thẻ (như Mastercard) vận hành. DS hoạt động như một bộ định tuyến trung tâm, điều hướng các thông điệp xác thực giữa 3DS Server và ACS chính xác dựa trên số thẻ (cụ thể là Số nhận dạng ngân hàng hoặc BIN).

Giao thức EMV 3DS (thường được gọi là 3DS 2.0 hoặc 2.x) đã giới thiệu những cải tiến đáng kể so với 3DS 1.0 ban đầu:

• Dữ liệu gấp 10 lần: Hỗ trợ trao đổi hơn 150 yếu tố dữ liệu (so với ~15 trong 3DS 1.0), cung cấp một bối cảnh phong phú hơn để đánh giá rủi ro, bao gồm thông tin thiết bị, lịch sử giao dịch, chi tiết trình duyệt và dữ liệu đơn vị chấp nhận thanh toán.

• Xác thực dựa trên rủi ro (RBA): Cho phép các luồng xác thực không ma sát, nơi các giao dịch rủi ro thấp được chấp thuận âm thầm trong nền dựa trên phân tích dữ liệu, mà không yêu cầu sự tương tác của chủ thẻ. Hướng tới tỷ lệ không ma sát 90–95%.

• Hỗ trợ ứng dụng/di động nguyên bản: Bao gồm các Bộ công cụ phát triển phần mềm (SDK) để tích hợp liền mạch trong các luồng thanh toán của ứng dụng di động, loại bỏ các chuyển hướng trình duyệt gây gián đoạn.

• Phương thức xác thực nâng cao: Hỗ trợ các phương thức xác thực hiện đại như Mật khẩu một lần (OTP) được gửi qua SMS hoặc ứng dụng, sinh trắc học (vân tay, nhận dạng khuôn mặt) và xác thực ngoài băng tần, loại bỏ mật khẩu tĩnh.

• Các trường hợp sử dụng rộng hơn: Mở rộng ra ngoài việc xác thực thanh toán đơn giản để hỗ trợ xác thực không thanh toán (ví dụ: thêm thẻ vào ví kỹ thuật số), thanh toán định kỳ và mã hóa token.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check là tên của chương trình cụ thể của Mastercard triển khai và quản lý việc sử dụng giao thức EMV 3DS trong mạng lưới của mình. Đây là chương trình kế thừa của Mastercard SecureCode. Mặc dù được xây dựng trên tiêu chuẩn EMV 3DS, Mastercard Identity Check kết hợp các tài sản và công nghệ độc đáo của Mastercard để nâng cao hiệu suất và bảo mật. Điều này bao gồm:

• AI và Học máy độc quyền: Tận dụng dữ liệu mạng lưới rộng lớn và khả năng AI của Mastercard để tinh chỉnh việc chấm điểm và ra quyết định rủi ro.

• Phân tích hành vi (NuData): Tích hợp thông tin chi tiết từ sinh trắc học hành vi NuData (sẽ được thảo luận trong phần tiếp theo) để hiểu các mẫu tương tác của người dùng và phát hiện các nỗ lực lừa đảo tinh vi.

• Trí tuệ mạng lưới: Sử dụng thông tin chi tiết từ hàng tỷ giao dịch được xử lý trên toàn cầu để cung cấp thông tin cho các đánh giá rủi ro.

• Quản trị chương trình: Mastercard đặt ra các Chỉ số hiệu suất chính (KPI) và quy tắc cụ thể cho những người tham gia (tổ chức phát hành, đơn vị chấp nhận thanh toán, tổ chức thanh toán) trong chương trình Identity Check để đảm bảo hiệu suất tối ưu và trải nghiệm người dùng trên toàn mạng lưới của mình.

Do đó, Mastercard Identity Check không chỉ đơn thuần là việc đổi tên thương hiệu của giao thức EMV 3DS. Nó đại diện cho việc Mastercard xếp lớp chiến lược trí tuệ độc quyền và khuôn khổ quản trị của mình lên trên nền tảng giao thức được tiêu chuẩn hóa. Sự phối hợp này nhằm mục đích cung cấp một dịch vụ xác thực có khả năng hiệu quả và khác biệt hơn so với việc triển khai EMV 3DS cơ bản, mang lại khả năng phát hiện rủi ro và tối ưu hóa hiệu suất nâng cao trong hệ sinh thái Mastercard.

Mastercard Identity Check

Mastercard Identity Check dựa vào sự tương tác tinh vi của một số thành phần công nghệ cốt lõi để đạt được mục tiêu bảo mật và liền mạch. Hiểu rõ các thành phần này là rất quan trọng để đánh giá cách hệ thống đánh giá rủi ro và xác thực người dùng.

Được Mastercard mua lại vào năm 2017, công nghệ sinh trắc học hành vi NuData là nền tảng cho các khả năng xác thực tiên tiến của Mastercard. Không giống như xác thực truyền thống tập trung vào những gì người dùng biết (mật khẩu) hoặc có (điện thoại để nhận OTP), sinh trắc học hành vi phân tích cách người dùng tương tác với thiết bị và ứng dụng của họ. Nó tập trung vào sinh trắc học thụ động – các mẫu tương tác vốn có, thường là trong tiềm thức.

• Cách hoạt động: Trong một phiên trực tuyến (như thanh toán hoặc thậm chí mở tài khoản), công nghệ NuData thu thập và phân tích một cách thụ động hàng trăm tín hiệu hành vi tinh vi. Chúng có thể bao gồm:

  • Động lực gõ phím (tốc độ, nhịp điệu, áp lực)

  • Chuyển động chuột (mẫu, tốc độ, số lần nhấp)

  • Cách cầm thiết bị (góc, dữ liệu gia tốc kế)

  • Tương tác màn hình cảm ứng (áp lực, mẫu vuốt)

  • Mẫu điều hướng (sử dụng phím Tab so với nhấp chuột, tiến trình điền biểu mẫu, hành vi 'quay lại')

  • Hành vi phiên (sự quen thuộc với biểu mẫu, thời gian thực hiện, việc sử dụng sao chép/dán, chuyển đổi cửa sổ)

• Mục đích & Tích hợp: Dữ liệu hành vi này được đưa vào các mô hình học máy để xây dựng một hồ sơ độc đáo cho mỗi người dùng hợp pháp. Hệ thống phân tích hàng tỷ điểm dữ liệu hàng năm để liên tục học hỏi và tinh chỉnh các hồ sơ này. Chức năng chính của nó trong Mastercard Identity Check là phân biệt con người thật với các bot tự động và những kẻ lừa đảo tinh vi, ngay cả khi chúng sở hữu thông tin đăng nhập bị đánh cắp. Nó phát hiện các điểm bất thường và tín hiệu rủi ro cao trong thời gian thực, cung cấp một đầu vào quan trọng cho công cụ Xác thực dựa trên rủi ro.

Công nghệ NuData là một phần không thể thiếu trong chiến lược bảo mật nhiều lớp của Mastercard, cung cấp năng lượng cho các giải pháp như NuDetect và đóng góp đáng kể vào trí thông minh đằng sau Mastercard Identity Check. Nó đặc biệt hiệu quả chống lại các cuộc tấn công tự động như nhồi thông tin xác thực và các nỗ lực chiếm đoạt tài khoản.

WSJ Mastercard Nudata

Tận dụng khả năng trao đổi dữ liệu phong phú của EMV 3DS 2.0, Mastercard Identity Check kết hợp trí tuệ thiết bị toàn diện. Điều này bao gồm việc thu thập và phân tích một loạt các điểm dữ liệu cụ thể cho thiết bị khởi tạo giao dịch.

• Điểm dữ liệu: Giao thức EMV 3DS cho phép truyền hơn 150 biến số. Điều này bao gồm các thông tin như:

  • Loại thiết bị, kiểu máy và hệ điều hành

  • Loại trình duyệt, phiên bản, ngôn ngữ và các plugin đã cài đặt

  • Địa chỉ IP và dữ liệu vị trí địa lý

  • Loại kết nối mạng và múi giờ

  • Mã định danh hoặc dấu vân tay thiết bị

  • Độ phân giải màn hình và các đặc điểm thiết bị khác

  • Mastercard cũng có thể hợp tác với các công ty như Ekata để làm phong phú thêm dữ liệu xác minh thiết bị và danh tính

• Mục đích: Lượng thông tin thiết bị phong phú này giúp xây dựng một hồ sơ rủi ro toàn diện. Nó cho phép hệ thống nhận dạng các thiết bị đáng tin cậy, phát hiện các điểm bất thường như không khớp vị trí hoặc các nỗ lực giả mạo thông tin thiết bị, xác định các kết nối mạng rủi ro cao và gắn cờ hoạt động có khả năng gian lận bắt nguồn từ các thiết bị không quen thuộc hoặc bị xâm phạm. Trí tuệ thiết bị là một đầu vào quan trọng khác cho công cụ RBA.

Công cụ RBA là trung tâm trí tuệ của Mastercard Identity Check, chịu trách nhiệm đánh giá rủi ro tổng thể của một giao dịch trong thời gian thực và xác định con đường xác thực phù hợp.

Cách hoạt động: Công cụ tổng hợp thông tin từ nhiều nguồn:

• Các trường dữ liệu EMV 3DS (chi tiết giao dịch, thông tin đơn vị chấp nhận thanh toán, trí tuệ thiết bị)

• Tín hiệu sinh trắc học hành vi NuData

• Dữ liệu giao dịch lịch sử và hồ sơ người dùng

• Các mô hình AI và học máy độc quyền của Mastercard, được huấn luyện trên dữ liệu mạng lưới toàn cầu

Mục đích: Dựa trên phân tích toàn diện này, công cụ RBA tính toán điểm rủi ro cho giao dịch. Điểm số này cung cấp thông tin cho quyết định về việc có nên tiến hành xác thực không ma sát (đối với các giao dịch rủi ro thấp) hay khởi tạo một thử thách nâng cao (đối với các giao dịch rủi ro cao hơn) để xác minh thêm danh tính của chủ thẻ. Kết quả (một điểm số hoặc khuyến nghị) thường được gửi đến ACS của tổ chức phát hành để hỗ trợ quyết định xác thực cuối cùng của họ. Mastercard cũng cung cấp các dịch vụ RBA dự phòng (Stand-In RBA) để đảm bảo phạm vi phủ sóng nếu ACS của tổ chức phát hành không khả dụng hoặc chưa sẵn sàng cho 3DS.

Sức mạnh của Mastercard Identity Check nằm ở sự phối hợp giữa các thành phần này. Trong khi dữ liệu thiết bị và giao dịch phong phú từ EMV 3DS cung cấp bối cảnh thiết yếu, việc tích hợp sinh trắc học hành vi của NuData bổ sung một lớp phòng thủ quan trọng. NuData thường có thể phát hiện các nỗ lực lừa đảo tinh vi, chẳng hạn như chiếm đoạt tài khoản bằng thông tin đăng nhập hợp lệ hoặc các bot được thiết kế để bắt chước tương tác của con người, mà có thể vượt qua các hệ thống chỉ dựa vào các điểm dữ liệu truyền thống. Cách tiếp cận đa diện này cho phép công cụ RBA đưa ra các đánh giá rủi ro tinh tế và tự tin hơn, cho phép tỷ lệ chấp thuận không ma sát cao hơn trong khi vẫn duy trì bảo mật mạnh mẽ.

Mastercard Identity Check Program

Một mục tiêu chính của Mastercard Identity Check là giảm thiểu sự gián đoạn trong quá trình thanh toán trực tuyến bằng cách cho phép các luồng xác thực không ma sát bất cứ khi nào có thể. Trải nghiệm liền mạch này, nơi xác thực diễn ra âm thầm trong nền, phụ thuộc rất nhiều vào các phê duyệt dựa trên dữ liệu, việc sử dụng thông minh các miễn trừ và sự hiểu biết rõ ràng về các hàm ý trách nhiệm pháp lý.

Nền tảng cho luồng không ma sát là Xác thực dựa trên rủi ro (RBA). Giao thức EMV 3DS tạo điều kiện cho việc trao đổi một lượng lớn dữ liệu (hơn 150 yếu tố tiềm năng) giữa môi trường của đơn vị chấp nhận thanh toán (thông qua 3DS Server) và môi trường của tổ chức phát hành (ACS). Mastercard tăng cường dữ liệu này bằng trí tuệ mạng lưới, thuật toán AI và thông tin chi tiết về sinh trắc học hành vi NuData của riêng mình. ACS của tổ chức phát hành (hoặc dịch vụ RBA của Mastercard) phân tích bộ dữ liệu toàn diện này trong thời gian thực. Nếu phân tích cho thấy xác suất lừa đảo thấp – dựa trên các yếu tố như thiết bị được nhận dạng, hành vi mua hàng điển hình, vị trí quen thuộc, các mẫu hành vi nhất quán và các manh mối ngữ cảnh khác – giao dịch có thể được xác thực một cách thụ động, mà không yêu cầu chủ thẻ thực hiện bất kỳ hành động nào (như nhập OTP hoặc sử dụng vân tay). Đây là bản chất của một phê duyệt dựa trên dữ liệu cho phép luồng không ma sát, nhằm mục tiêu bao phủ 90–95% các lần xác thực.

Ở các khu vực như Châu Âu được điều chỉnh bởi Chỉ thị Dịch vụ Thanh toán (PSD2), Xác thực khách hàng mạnh (SCA) – thường yêu cầu hai yếu tố xác thực độc lập – thường là bắt buộc đối với các khoản thanh toán trực tuyến. Tuy nhiên, quy định và giao thức EMV 3DS cho phép các miễn trừ cụ thể mà SCA không bắt buộc, tạo điều kiện thuận lợi hơn cho các trải nghiệm không ma sát. Mastercard Identity Check hỗ trợ việc áp dụng các miễn trừ này. Các miễn trừ chính bao gồm:

• Phân tích rủi ro giao dịch (TRA): Nếu tổ chức thanh toán hoặc tổ chức phát hành thực hiện phân tích rủi ro thời gian thực và cho rằng giao dịch có rủi ro thấp, và số tiền giao dịch dưới các ngưỡng nhất định liên quan đến tỷ lệ lừa đảo tổng thể của tổ chức đó, SCA có thể được miễn trừ.

• Thanh toán giá trị thấp: Các giao dịch dưới một giá trị cụ thể (ví dụ: €30 ở Châu Âu) có thể được miễn, mặc dù các giới hạn tích lũy được áp dụng (ví dụ: tổng số tiền hoặc số lượng giao dịch kể từ lần SCA cuối cùng).

• Người thụ hưởng đáng tin cậy (Danh sách trắng của đơn vị chấp nhận thanh toán): Chủ thẻ có thể chỉ định các đơn vị chấp nhận thanh toán cụ thể là "đáng tin cậy" với tổ chức phát hành của họ. Các giao dịch tiếp theo với các đơn vị chấp nhận thanh toán trong danh sách trắng này có thể được miễn SCA.

• Thanh toán định kỳ & Giao dịch do đơn vị chấp nhận thanh toán khởi tạo (MITs): Mặc dù việc thiết lập ban đầu một khoản thanh toán định kỳ hoặc thỏa thuận lưu thẻ thường yêu cầu SCA, các khoản thanh toán tiếp theo do đơn vị chấp nhận thanh toán khởi tạo sử dụng các thông tin xác thực đó có thể được coi là ngoài phạm vi hoặc được miễn trừ trong một số điều kiện nhất định. EMV 3DS 2.2 và các phiên bản sau cung cấp hỗ trợ cụ thể cho các giao dịch 3RI (3DS Requestor Initiated) này.

• Thanh toán doanh nghiệp an toàn: Các miễn trừ cụ thể có thể áp dụng cho các khoản thanh toán của công ty được thực hiện bằng các giao thức an toàn chuyên dụng.

Các đơn vị chấp nhận thanh toán và PSP có thể chỉ ra yêu cầu miễn trừ của họ trong thông điệp xác thực EMV 3DS.

Corbado Outcome Based SCA Passkey

Một lợi ích đáng kể của việc sử dụng 3-D Secure luôn là khả năng chuyển giao trách nhiệm pháp lý đối với một số loại đòi bồi hoàn gian lận.

• Giao dịch được xác thực thành công: Khi một giao dịch được xác thực thành công thông qua Mastercard Identity Check (dù qua luồng không ma sát hay thử thách), trách nhiệm pháp lý đối với các khoản đòi bồi hoàn được cho là "không được ủy quyền" thường chuyển từ đơn vị chấp nhận thanh toán sang tổ chức phát hành thẻ. Sự bảo vệ này áp dụng ngay cả khi việc xác thực là không ma sát, mặc dù các quy tắc và kịch bản cụ thể của tổ chức thẻ có thể được áp dụng.

• Tác động của miễn trừ: Đây là một điểm quan trọng: nếu một đơn vị chấp nhận thanh toán hoặc PSP của họ yêu cầu miễn trừ SCA (như TRA hoặc giá trị thấp) và tổ chức phát hành chấp thuận, trách nhiệm pháp lý đối với lừa đảo thường vẫn thuộc về đơn vị chấp nhận thanh toán. Đơn vị chấp nhận thanh toán có được lợi ích từ việc thanh toán mượt mà hơn nhưng vẫn giữ rủi ro tài chính về lừa đảo. Tuy nhiên, nếu tổ chức phát hành đơn phương quyết định áp dụng miễn trừ (ví dụ: dựa trên đánh giá rủi ro của riêng họ), trách nhiệm pháp lý có thể chuyển sang tổ chức phát hành.

• Xác thực đã thử/thất bại: Các quy tắc xung quanh trách nhiệm pháp lý khi việc xác thực được thử nhưng thất bại hoặc không thể hoàn thành (ví dụ: ACS của tổ chức phát hành không khả dụng) có thể phức tạp và phụ thuộc vào các trường hợp cụ thể và quy tắc của tổ chức thẻ. Các quy tắc của Mastercard có thể cung cấp sự bảo vệ cho đơn vị chấp nhận thanh toán trong một số kịch bản nhất định, ngay cả khi tổ chức phát hành chưa di chuyển hoàn toàn.

• Luồng chỉ dữ liệu: Các luồng cụ thể như "Identity Check Insights" của Mastercard, liên quan đến việc chia sẻ dữ liệu để đánh giá rủi ro mà không thực hiện một nỗ lực xác thực đầy đủ, rõ ràng không cấp quyền chuyển giao trách nhiệm pháp lý cho đơn vị chấp nhận thanh toán.

Điều này tạo ra một điểm quyết định chiến lược quan trọng cho các đơn vị chấp nhận thanh toán và PSP. Yêu cầu miễn trừ có thể tối ưu hóa tỷ lệ chuyển đổi bằng cách đảm bảo trải nghiệm không ma sát, nhưng đi kèm với chi phí giữ lại trách nhiệm lừa đảo. Ngược lại, việc buộc xác thực (ngay cả khi nó dẫn đến một luồng không ma sát được tổ chức phát hành chấp thuận) có thể đảm bảo chuyển giao trách nhiệm pháp lý nhưng có khả năng gây ra ma sát nếu cần một thử thách. Do đó, cần có một chiến lược quản lý rủi ro tinh vi để xác định cách tiếp cận tối ưu trên cơ sở từng giao dịch, cân bằng giữa mục tiêu chuyển đổi và khả năng chấp nhận rủi ro lừa đảo.

Hơn nữa, sự thành công của luồng không ma sát và độ chính xác của quyết định RBA, phụ thuộc rất nhiều vào chất lượng và tính đầy đủ của dữ liệu do đơn vị chấp nhận thanh toán và PSP của họ cung cấp thông qua các thông điệp EMV 3DS. Dữ liệu không đầy đủ hoặc không chính xác cản trở khả năng của tổ chức phát hành trong việc thực hiện các đánh giá rủi ro đáng tin cậy, có khả năng dẫn đến nhiều thử thách hơn hoặc thậm chí từ chối, do đó làm suy yếu lợi ích của hệ thống. Đạt được hiệu suất không ma sát tối ưu là một nỗ lực hợp tác đòi hỏi quản lý dữ liệu cẩn thận ở phía tổ chức thanh toán.

Mastercard Identity Check Program

Mastercard Frictionless Future

Đối với các tổ chức phát hành thẻ, việc tích hợp với chương trình Mastercard Identity Check là điều cần thiết để tận dụng các lợi ích về bảo mật và trải nghiệm người dùng của nó. Điều này bao gồm việc kích hoạt danh mục thẻ của họ (được xác định bằng Số nhận dạng ngân hàng, hoặc BIN) và kết nối với cơ sở hạ tầng xác thực, chủ yếu thông qua một Access Control Server (ACS).

ACS nằm trong lĩnh vực của tổ chức phát hành và là trái tim công nghệ của quy trình xác thực từ góc độ của tổ chức phát hành. Các trách nhiệm chính của nó bao gồm:

• Nhận Yêu cầu xác thực (thông điệp AReq) được định tuyến từ đơn vị chấp nhận thanh toán qua Mastercard Directory Server (DS)

• Xác minh xem số thẻ cụ thể có được đăng ký và đủ điều kiện cho Mastercard Identity Check hay không

• Thực hiện đánh giá rủi ro (thường tận dụng các công cụ RBA và dữ liệu như điểm Mastercard Smart Authentication)

• Quyết định xem nên xác thực không ma sát hay khởi tạo một thử thách

• Quản lý quy trình thử thách nếu được yêu cầu (ví dụ: gửi OTP qua SMS, nhắc xác minh sinh trắc học qua ứng dụng ngân hàng)

• Tạo và trả về Phản hồi xác thực (thông điệp ARes), bao gồm Giá trị xác thực chủ tài khoản (AAV) quan trọng cho các giao dịch được xác thực thành công, trở lại DS

Các tổ chức phát hành có một số con đường để triển khai chức năng ACS:

1. ACS nội bộ: Một tổ chức phát hành có thể chọn xây dựng, triển khai, lưu trữ và quản lý giải pháp phần mềm ACS của riêng mình trong môi trường CNTT của họ.

   • Ưu điểm: Cung cấp quyền kiểm soát tối đa đối với logic xác thực, quy tắc rủi ro, tùy chỉnh trải nghiệm người dùng và tích hợp với các hệ thống nội bộ.

   • Nhược điểm: Yêu cầu chuyên môn kỹ thuật nội bộ đáng kể, nguồn lực phát triển và bảo trì lớn, và tuân thủ nghiêm ngặt các tiêu chuẩn tuân thủ EMVCo và PCI 3DS đang diễn ra.

2. ACS được lưu trữ (Nhà cung cấp bên thứ ba): Các tổ chức phát hành có thể hợp tác với các nhà cung cấp ACS chuyên biệt, được Mastercard phê duyệt, những người cung cấp ACS như một dịch vụ được quản lý. Tổ chức phát hành trong mô hình này thường được gọi là "Hosted Principal."

   • Ưu điểm: Giảm độ phức tạp trong vận hành, chi phí cơ sở hạ tầng và gánh nặng tuân thủ của tổ chức phát hành. Tận dụng chuyên môn của nhà cung cấp và có khả năng cung cấp thời gian ra mắt thị trường nhanh hơn.

   • Nhược điểm: Có thể cung cấp ít quyền kiểm soát và tùy chỉnh chi tiết hơn so với giải pháp nội bộ. Phụ thuộc vào bên thứ ba cho một chức năng quan trọng.

   • Hệ sinh thái nhà cung cấp: Mastercard duy trì một danh sách các nhà cung cấp ACS tuân thủ, với các ví dụ bao gồm các công ty như Entersekt, Netcetera, GPayments và Logibiztech.

3. Dịch vụ bổ sung của Mastercard: Mastercard cung cấp các dịch vụ giá trị gia tăng có thể tăng cường con đường ACS đã chọn của tổ chức phát hành:

   • Mastercard Smart Authentication cho ACS/Tổ chức phát hành: Cung cấp trí tuệ RBA để nâng cao khả năng ra quyết định của ACS.

   • Mastercard Stand-In RBA: Cung cấp xử lý RBA dự phòng nếu ACS chính của tổ chức phát hành không khả dụng hoặc nếu các BIN cụ thể chưa được kích hoạt đầy đủ cho EMV 3DS.

   • Dịch vụ Thử thách xác thực Mastercard 3-D Secure: Cung cấp khả năng thử thách sinh trắc học (tận dụng tiêu chuẩn FIDO) có thể được tích hợp với luồng ACS.

Việc lựa chọn giữa ACS nội bộ và được lưu trữ đại diện cho một quyết định chiến lược quan trọng đối với các tổ chức phát hành, cân bằng giữa mong muốn kiểm soát và nhu cầu về hiệu quả, hiệu quả chi phí và tốc độ triển khai.

Việc kích hoạt các dải Số nhận dạng ngân hàng (BIN) cụ thể cho Mastercard Identity Check bao gồm một loạt các bước phối hợp:

1. Chọn Lộ trình ACS: Xác định xem nên sử dụng ACS nội bộ hay nhà cung cấp được lưu trữ.

2. Đảm bảo Tuân thủ ACS: Xác minh rằng giải pháp ACS đã chọn (nội bộ hoặc nhà cung cấp) tuân thủ các quy tắc chương trình Mastercard Identity Check hiện tại và phiên bản đặc tả EMV 3DS có liên quan. Điều này thường bao gồm việc nhà điều hành ACS hoàn thành kiểm tra tuân thủ của Mastercard.

3. Đăng ký Mastercard Identity Check: Đăng ký tổ chức phát hành vào chương trình thông qua Nền tảng kiểm tra Mastercard Identity Check trên Mastercard Connect, chấp nhận các điều khoản và cung cấp các mã định danh cần thiết như ID công ty (CID) và số Hiệp hội thẻ liên ngân hàng (ICA).

4. Đăng ký dải BIN với Directory Server: Sử dụng công cụ Quản lý dịch vụ giải pháp nhận dạng (ISSM) trên Mastercard Connect để đăng ký các dải BIN cụ thể sẽ tham gia vào Identity Check. Đối với mỗi dải được đăng ký, URL của ACS tương ứng phải được cung cấp. Lưu ý rằng các dải BIN đã đăng ký trước đây cho Mastercard SecureCode (3DS 1.0) yêu cầu đăng ký riêng cho Identity Check (EMV 3DS).

5. Cấu hình Quy tắc xác thực: Xác định các phương thức xác thực chính (ví dụ: RBA) và bất kỳ phương thức thử thách nâng cao nào (ví dụ: SMS OTP, Sinh trắc học) sẽ được sử dụng cho các BIN đã đăng ký. Đảm bảo hỗ trợ cho cả luồng không ma sát và luồng thử thách được cấu hình.

6. Quản lý Chứng chỉ: Lấy và quản lý các chứng chỉ máy chủ/máy khách Transport Layer Security (TLS) cần thiết để giao tiếp an toàn với Mastercard Directory Server, và các chứng chỉ ký số nếu có, sử dụng Cổng quản lý khóa của Mastercard.

7. Triển khai Xác thực AAV: Thiết lập các quy trình để xác thực Giá trị xác thực chủ tài khoản (AAV) nhận được trong các thông điệp ủy quyền cho các giao dịch đã được xác thực. Điều này có thể được thực hiện nội bộ hoặc bằng cách sử dụng dịch vụ xác thực AAV của Mastercard.

8. Phối hợp với Bộ xử lý: Đảm bảo bộ xử lý thanh toán của tổ chức phát hành có khả năng xử lý bất kỳ yếu tố dữ liệu mới nào liên quan đến Mastercard Identity Check, chẳng hạn như Digital Transaction Insights.

9. Đi vào hoạt động và Giám sát: Sau khi cấu hình và kiểm tra hoàn tất, kích hoạt các dải BIN đã đăng ký trong môi trường sản xuất và liên tục theo dõi hiệu suất giao dịch và các KPI.

Điều quan trọng là phải nhận ra rằng quản lý BIN là một quá trình liên tục. Những thay đổi của ngành, chẳng hạn như việc chuyển từ BIN 6 chữ số sang 8 chữ số, đòi hỏi các tổ chức phát hành phải chủ động đánh giá danh mục của mình, có khả năng hợp nhất các BIN, và cập nhật hệ thống và cấu hình của họ cho phù hợp để đảm bảo hoạt động liền mạch liên tục của các dịch vụ xác thực như Mastercard Identity Check.

Mastercard Identity Check Program

Việc áp dụng Mastercard Identity Check và chương trình EMV 3DS Mastercard cơ bản mang lại những lợi thế đáng kể cho các đơn vị chấp nhận thanh toán và các Nhà cung cấp Dịch vụ Thanh toán (PSP) phục vụ họ. Các tác động cốt lõi xoay quanh việc cải thiện tỷ lệ thành công của giao dịch, nâng cao trải nghiệm khách hàng và đơn giản hóa hoạt động trong bối cảnh thương mại điện tử toàn cầu.

Một trong những lợi ích hấp dẫn nhất là tiềm năng tăng tỷ lệ phê duyệt ủy quyền.

• Cách hoạt động: Dữ liệu phong phú hơn được trao đổi thông qua EMV 3DS kết hợp với các công cụ RBA tinh vi sử dụng AI và phân tích hành vi cung cấp cho các tổ chức phát hành cái nhìn sâu sắc hơn nhiều về tính hợp pháp của một giao dịch. Điều này cho phép họ phân biệt chính xác hơn giữa khách hàng thật và những kẻ lừa đảo, dẫn đến việc giảm các trường hợp từ chối sai – tình huống mà một giao dịch hợp pháp bị từ chối nhầm do nghi ngờ gian lận.

• Kết quả định lượng: Các nghiên cứu và báo cáo cho thấy những cải thiện đáng kể. Dữ liệu của Mastercard đã cho thấy tỷ lệ phê duyệt trung bình tăng 10–12 điểm cơ bản (0,10–0,12%) hoặc thậm chí tăng cao tới 14% trên hàng tỷ giao dịch trong một năm. Các nguồn khác đề cập đến khả năng tăng 12%. Các nghiên cứu điển hình, như một trường hợp liên quan đến một nhà bán lẻ quần áo, đã chứng minh sự gia tăng doanh số đáng kể nhờ vào việc cải thiện phê duyệt và giảm lừa đảo thông qua Identity Check.

• Lợi ích: Đối với các đơn vị chấp nhận thanh toán, tỷ lệ phê duyệt cao hơn trực tiếp chuyển thành doanh số hoàn thành tăng, doanh thu cao hơn và sự hài lòng của khách hàng được cải thiện. Đối với các PSP, việc cung cấp một giải pháp chứng minh được khả năng tăng tỷ lệ phê duyệt của khách hàng sẽ nâng cao giá trị đề xuất và khả năng cạnh tranh của họ.

Một hệ quả trực tiếp của RBA hiệu quả là sự giảm đáng kể nhu cầu về xác thực nâng cao, nơi chủ thẻ bị thử thách tích cực để cung cấp thêm bằng chứng về danh tính.

• Cách hoạt động: Mục tiêu là để đại đa số (thường được trích dẫn là >90% hoặc 95%) các giao dịch được xác thực không ma sát dựa trên đánh giá rủi ro. Điều này có nghĩa là ít gián đoạn hơn cho khách hàng trong quá trình thanh toán.

• Lợi ích: Điều này cải thiện đáng kể trải nghiệm người dùng bằng cách loại bỏ các rào cản không cần thiết. Giảm ma sát dẫn trực tiếp đến tỷ lệ từ bỏ giỏ hàng thấp hơn và tỷ lệ chuyển đổi cao hơn cho các đơn vị chấp nhận thanh toán.

Nền tảng của Mastercard Identity Check trên tiêu chuẩn EMV 3DS toàn cầu tạo điều kiện cho việc triển khai và quản lý dễ dàng hơn cho các doanh nghiệp hoạt động xuyên biên giới.

• Cách hoạt động: EMV 3DS cung cấp một ngôn ngữ kỹ thuật và khuôn khổ chung cho việc xác thực được công nhận bởi các tổ chức phát hành và tổ chức thanh toán tham gia trên toàn thế giới.

• Lợi ích: Sự tiêu chuẩn hóa này làm giảm sự phức tạp cho các đơn vị chấp nhận thanh toán và PSP quốc tế, những người có thể phải tích hợp nhiều giải pháp xác thực khu vực khác nhau. Việc tích hợp được hợp lý hóa thông qua các giao thức, API và SDK được tiêu chuẩn hóa do Mastercard và các đối tác của họ cung cấp. Hơn nữa, việc sử dụng một giải pháp dựa trên EMV 3DS như Mastercard Identity Check giúp các doanh nghiệp đáp ứng các yêu cầu quy định như PSD2 SCA ở Châu Âu và các quy định tương tự đang nổi lên ở những nơi khác.

Đối với các PSP, những lợi ích này dành cho đơn vị chấp nhận thanh toán còn được khuếch đại. Bằng cách cung cấp một giải pháp xác thực mạnh mẽ, nhất quán trên toàn cầu và hiệu suất cao như Mastercard Identity Check, các PSP có thể thu hút nhiều đơn vị chấp nhận thanh toán hơn, giảm chi phí hoạt động liên quan đến việc quản lý các phương thức xác thực đa dạng và có khả năng giảm thiểu rủi ro liên quan đến chi phí lừa đảo được chuyển từ các đơn vị chấp nhận thanh toán.

Mastercard Identity Check

Để quản lý và tối ưu hóa hiệu suất của Mastercard Identity Check một cách hiệu quả, các tổ chức phát hành, tổ chức thanh toán và đơn vị chấp nhận thanh toán cần một khuôn khổ rõ ràng về các Chỉ số hiệu suất chính (KPI). Việc theo dõi các chỉ số này cung cấp thông tin chi tiết về trải nghiệm người dùng, hiệu quả bảo mật và tuân thủ các quy tắc của chương trình EMV 3DS Mastercard.

Dựa trên các hướng dẫn chương trình và các phương pháp hay nhất, các KPI sau đây là rất quan trọng để theo dõi hiệu suất của Mastercard Identity Check:

1. Tỷ lệ thử thách (Challenge Rate): Chỉ số này đo lường tỷ lệ phần trăm các yêu cầu xác thực dẫn đến việc chủ thẻ bị thử thách tích cực (ví dụ: được yêu cầu nhập OTP hoặc xác minh sinh trắc học). Tỷ lệ thử thách thấp hơn thường cho thấy trải nghiệm người dùng tốt hơn, không ma sát hơn. Hướng dẫn của Mastercard đề xuất nhắm đến việc thử thách trong ít hơn 10% các giao dịch, dựa vào RBA cho phần lớn.

2. Tỷ lệ thành công xác thực (Authentication Success Rate): Chỉ số này theo dõi tỷ lệ phần trăm các nỗ lực xác thực (cả không ma sát và bị thử thách) được chủ thẻ hoàn thành thành công và được tổ chức phát hành xác minh. Tỷ lệ thành công cao là rất quan trọng để giảm thiểu việc từ bỏ giao dịch. Mastercard có thể đặt các ngưỡng tối thiểu cho tỷ lệ chấp thuận giao dịch được xác thực tổng thể (ví dụ: 90%) và theo dõi cụ thể tỷ lệ thành công của thử thách.

3. Tỷ lệ không ma sát (Frictionless Rate): Ngược lại với tỷ lệ thử thách, chỉ số này đo lường tỷ lệ phần trăm các xác thực được hoàn thành thành công mà không yêu cầu sự tương tác của chủ thẻ. Tỷ lệ không ma sát cao là mục tiêu chính của EMV 3DS và có mối tương quan chặt chẽ với tỷ lệ thành công tổng thể cao hơn và trải nghiệm người dùng tốt hơn.

4. Tỷ lệ lừa đảo (Fraud Rate): Theo dõi tỷ lệ các giao dịch lừa đảo đã được xác nhận, đặc biệt là những giao dịch đã được xác thực qua Identity Check, là điều cần thiết để đánh giá hiệu quả của hệ thống trong việc ngăn chặn lừa đảo. Mastercard theo dõi mức độ lừa đảo của đơn vị chấp nhận thanh toán thông qua các chương trình như chương trình Excessive Fraud Merchant (EFM). Một mục tiêu chính là thấy sự giảm thiểu lừa đảo so với các giao dịch không được xác thực.

5. Tỷ lệ phê duyệt ủy quyền (Authorization Approval Rate): Thước đo cuối cùng về sự thành công của giao dịch là tỷ lệ phê duyệt ủy quyền cuối cùng của tổ chức phát hành. Identity Check nhằm mục đích nâng cao tỷ lệ này bằng cách giảm các trường hợp từ chối sai.

6. Hiệu suất kỹ thuật: Các chỉ số như thời gian hoạt động của ACS và 3DS Server (Mastercard yêu cầu 99,0% khả dụng cho các nhà cung cấp), thời gian xử lý giao dịch và tỷ lệ lỗi trong thông điệp xác thực cũng rất quan trọng.

Việc theo dõi các KPI này dựa vào các kênh báo cáo khác nhau:

• Giám sát chương trình của Mastercard: Mastercard tích cực theo dõi hiệu suất của những người tham gia so với các KPI đã thiết lập của chương trình. Việc không tuân thủ có thể kích hoạt các thông báo và các khoản đánh giá hoặc phạt tiềm năng theo các chương trình như DIMP hoặc EFM.

• Báo cáo Chương trình Giám sát Tính toàn vẹn Dữ liệu (DIMP): Chương trình này đặc biệt tập trung vào tính chính xác và đầy đủ của dữ liệu giao dịch lưu chuyển qua mạng lưới Mastercard. Các tổ chức phát hành và tổ chức thanh toán có thể truy cập báo cáo DIMP qua một cổng thông tin chuyên dụng để xác định các giao dịch bị gắn cờ vì các vấn đề về tính toàn vẹn dữ liệu. Một số "chỉnh sửa" DIMP liên quan trực tiếp đến dữ liệu EMV 3DS, chẳng hạn như ID giao dịch DS bị thiếu hoặc không hợp lệ, thiếu chỉ báo miễn trừ, AAV không hợp lệ hoặc số tiền giao dịch không khớp.111 Các tổ chức phát hành có thể đăng ký cụ thể một Báo cáo Giám sát Tính toàn vẹn Dữ liệu của Mastercard để theo dõi hiệu suất của họ so với các mục tiêu tỷ lệ không ma sát.

• Báo cáo của Nhà cung cấp Dịch vụ Thanh toán (PSP) / Nhà cung cấp: Các đơn vị chấp nhận thanh toán và tổ chức phát hành thường sử dụng các bảng điều khiển báo cáo và phân tích do PSP, nhà cung cấp 3DS Server hoặc nhà cung cấp ACS của họ cung cấp để theo dõi các chỉ số hiệu suất xác thực của họ.

Việc sử dụng hiệu quả các KPI và cơ chế báo cáo này cho phép các bên liên quan xác định các lĩnh vực cần cải thiện, tối ưu hóa cấu hình (như quy tắc RBA), khắc phục sự cố kỹ thuật và cuối cùng là tối đa hóa lợi ích của chương trình Mastercard Identity Check.

Mastercard Identity Check Program

Bối cảnh xác thực thanh toán trực tuyến không ngừng phát triển, được thúc đẩy bởi nhu cầu tăng cường bảo mật, các thay đổi về quy định và yêu cầu về trải nghiệm người dùng ngày càng mượt mà hơn. Mastercard Identity Check, được xây dựng trên chương trình EMV 3DS Mastercard, vốn dĩ được liên kết với lộ trình do EMVCo đặt ra cho giao thức 3-D Secure.

Sự phát triển của EMV 3DS (v2.1, v2.2, v2.3)

Giao thức EMV 3DS đã trải qua nhiều phiên bản kể từ lần ra mắt ban đầu (phiên bản 2.0), mỗi phiên bản đều giới thiệu các tính năng và cải tiến mới:

• EMV 3DS 2.1: Trở thành tiêu chuẩn cơ bản bắt buộc, kết hợp hỗ trợ nền tảng cho việc trao đổi dữ liệu phong phú hơn và trải nghiệm di động được cải thiện so với 3DS 1.0. Mastercard yêu cầu hỗ trợ vào giữa năm 2020.

• EMV 3DS 2.2: Giới thiệu các cải tiến sâu hơn, bao gồm hỗ trợ tốt hơn cho các miễn trừ SCA (như TRA của Tổ chức thanh toán và Danh sách Đơn vị chấp nhận thanh toán đáng tin cậy thông qua các tiện ích mở rộng thông điệp của Mastercard) và các yếu tố dữ liệu được tinh chỉnh. Mastercard bắt đầu hỗ trợ kiểm tra tuân thủ cho 2.2, với các quy định bắt buộc theo sau. Mastercard Gateway đã lên kế hoạch ngừng hỗ trợ 2.1 vào tháng 9 năm 2024, biến 2.2 thành phiên bản tối thiểu hiệu quả.

• EMV 3DS 2.3 (cụ thể là 2.3.1): Được EMVCo phát hành vào cuối năm 2021/2022, phiên bản này đại diện cho sự tiến bộ đáng kể mới nhất, tập trung vào việc cải thiện hơn nữa bảo mật, trải nghiệm người dùng và hỗ trợ kênh. Các tính năng chính liên quan đến tương lai của xác thực bao gồm:

  • Dữ liệu & Luồng nâng cao: Các yếu tố dữ liệu và luồng thông điệp bổ sung để hợp lý hóa hơn nữa việc xác thực và cải thiện khả năng phát hiện gian lận. Bao gồm dữ liệu phong phú hơn cho các khoản thanh toán định kỳ và token thanh toán.

  • Hỗ trợ Xác nhận Thanh toán An toàn (SPC): Các điểm tích hợp cho SPC, cho phép xác nhận mật mã các chi tiết giao dịch bằng cách sử dụng bộ xác thực FIDO trong luồng 3DS.

  • Hỗ trợ WebAuthn: Hỗ trợ rõ ràng cho việc sử dụng tiêu chuẩn Web Authentication (WebAuthn) của W3C, tạo điều kiện cho việc sử dụng passkey và bộ xác thực nền tảng (như sinh trắc học thiết bị) cho các thử thách.

  • Cải tiến Xác thực Ngoài băng tần (OOB): Tự động chuyển đổi để hợp lý hóa trải nghiệm người dùng khi việc xác thực cần diễn ra qua một kênh riêng biệt, như ứng dụng ngân hàng.

  • Liên kết thiết bị: Cho phép người dùng liên kết một thiết bị đáng tin cậy với tài khoản của họ, có khả năng giảm các thử thách trong tương lai trên thiết bị đó.

  • Mô hình Split-SDK: Cung cấp sự linh hoạt hơn để triển khai SDK 3DS trên các nền tảng đa dạng, bao gồm web/di động truyền thống và các kênh mới nổi như thiết bị IoT.

  • Cải tiến giao diện người dùng: Nhiều tùy chọn hơn cho các tổ chức phát hành và đơn vị chấp nhận thanh toán để tùy chỉnh giao diện người dùng trong các thử thách.

Mastercard, với tư cách là một thành viên chủ chốt của EMVCo, tích cực tham gia vào việc phát triển các tiêu chuẩn này. Họ là những người ủng hộ mạnh mẽ SPC và xu hướng rộng lớn hơn hướng tới các phương thức xác thực không mật khẩu hiện đại như passkey. Các công ty như DECTA đã đạt được chứng nhận sớm cho EMV 3DS 2.3.1.1 với Mastercard, cho thấy việc áp dụng đang được tiến hành. Tích hợp Xác nhận Thanh toán An toàn (SPC) SPC là một tiêu chuẩn web của W3C được thiết kế để hoạt động cùng với các giao thức xác thực như EMV 3DS. Nó tận dụng thông tin xác thực FIDO/WebAuthn (passkey) để cho phép người dùng xác thực và xác nhận rõ ràng các chi tiết giao dịch (số tiền, người nhận thanh toán) trực tiếp trong trình duyệt, sử dụng bộ xác thực tích hợp sẵn của thiết bị (ví dụ: vân tay, Face ID, PIN).

• Cách nó tích hợp với EMV 3DS 2.3: Trong một luồng thử thách 3DS, nếu tổ chức phát hành hỗ trợ SPC và người dùng có thông tin xác thực FIDO (passkey) đã đăng ký với tổ chức phát hành cho thiết bị đó, ACS của tổ chức phát hành có thể trả về thông tin cần thiết trong thông điệp ARes. Trang web của đơn vị chấp nhận thanh toán sau đó gọi API SPC của trình duyệt, trình bày một hộp thoại xác nhận được tiêu chuẩn hóa, an toàn. Người dùng xác thực cục bộ (ví dụ: qua sinh trắc học), ký mật mã các chi tiết giao dịch. Xác nhận đã ký này được gửi trở lại ACS để xác minh.

• Lợi ích: SPC hứa hẹn một trải nghiệm thử thách có độ bảo mật cao (chống lừa đảo) và có khả năng ma sát rất thấp so với OTP, cải thiện tỷ lệ chuyển đổi. Nó cung cấp bằng chứng mật mã mạnh mẽ về sự đồng ý của người dùng gắn liền với các chi tiết giao dịch cụ thể. Mastercard đang tích cực thúc đẩy việc áp dụng passkey và hỗ trợ SPC.

Tầm nhìn rộng hơn của Mastercard: Hướng tới một tương lai không mật khẩu Ngoài lộ trình EMV 3DS trước mắt, Mastercard đã trình bày một tầm nhìn rộng hơn cho tương lai của xác thực trực tuyến, nhằm mục đích loại bỏ hoàn toàn việc nhập thẻ thủ công và mật khẩu vào năm 2030. Chiến lược này dựa trên sự hội tụ của:

• Mã hóa token: Thay thế các Số tài khoản chính (PAN) nhạy cảm bằng các token mạng an toàn (thông qua MDES - Dịch vụ Kích hoạt Kỹ thuật số của Mastercard) để bảo vệ dữ liệu thẻ cơ bản. Mastercard đặt mục tiêu mã hóa token 100% trong thương mại điện tử ở các khu vực như Châu Âu vào năm 2030.

• Xác thực sinh trắc học: Tận dụng sinh trắc học trên thiết bị (vân tay, nhận dạng khuôn mặt - "nụ cười và vân tay") thông qua các tiêu chuẩn như FIDO/WebAuthn và các công nghệ như SPC và Dịch vụ Payment Passkey của Mastercard.

• Click to Pay: Giải pháp thanh toán trực tuyến được hợp lý hóa của Mastercard dựa trên các tiêu chuẩn EMV Secure Remote Commerce (SRC), được thiết kế để hoạt động liền mạch với mã hóa token và xác thực hiện đại.

Tình trạng tương lai này hình dung một trải nghiệm thanh toán nơi người dùng xác thực an toàn và xác nhận thanh toán bằng một hành động sinh trắc học đơn giản, mà không bao giờ cần phải nhập số thẻ hoặc mật khẩu thủ công. Sự phát triển không ngừng của EMV 3DS, bao gồm phiên bản 2.3 và việc tích hợp SPC, là những bước đệm quan trọng để hiện thực hóa mục tiêu đầy tham vọng này.

Corbado EMV 3DS ACS Passkeys

Mastercard Identity Check, được cung cấp bởi chương trình EMV 3DS Mastercard, đại diện cho một bước tiến quan trọng trong việc bảo mật hệ sinh thái thanh toán kỹ thuật số. Vượt qua những hạn chế của người tiền nhiệm, Mastercard SecureCode, nó giải quyết thách thức cốt lõi của việc cân bằng giữa phòng chống gian lận mạnh mẽ với yêu cầu cấp thiết về luồng xác thực không ma sát trong thương mại điện tử hiện đại.

Đối với các tổ chức phát hành và đơn vị chấp nhận thanh toán, lợi ích là hữu hình:

• Bảo mật nâng cao: Tận dụng trao đổi dữ liệu phong phú, các công cụ Xác thực dựa trên rủi ro (RBA) tinh vi, sinh trắc học hành vi NuData và trí tuệ thiết bị giúp cải thiện đáng kể độ chính xác trong việc phát hiện gian lận.

• Cải thiện trải nghiệm người dùng: Việc tập trung vào các luồng không ma sát giúp giảm thiểu sự gián đoạn khi thanh toán, giảm tỷ lệ từ bỏ giỏ hàng và nuôi dưỡng lòng trung thành của khách hàng.

• Tỷ lệ phê duyệt cao hơn: Đánh giá rủi ro chính xác hơn dẫn đến ít trường hợp từ chối sai hơn, thúc đẩy doanh số hợp pháp và doanh thu.

• Bảo vệ trách nhiệm pháp lý: Khả năng chuyển giao trách nhiệm pháp lý đối với các giao dịch đã được xác thực vẫn là một động lực chính để áp dụng.

Việc triển khai Mastercard Identity Check đòi hỏi phải xem xét cẩn thận các lộ trình tích hợp, đặc biệt là lựa chọn ACS cho các tổ chức phát hành, và quản lý cẩn thận việc kích hoạt BIN và chất lượng dữ liệu. Việc theo dõi hiệu suất thông qua khuôn khổ KPI và các công cụ báo cáo được cung cấp, chẳng hạn như Báo cáo Giám sát Tính toàn vẹn Dữ liệu, là điều cần thiết để tối ưu hóa và tuân thủ. Nhìn về phía trước, sự phát triển vẫn tiếp tục với EMV 3DS 2.3 và xa hơn nữa, kết hợp các tiêu chuẩn như Secure Payment Confirmation (SPC) và WebAuthn để cho phép xác thực thậm chí còn an toàn và thân thiện với người dùng hơn bằng cách sử dụng passkey và sinh trắc học thiết bị. Điều này phù hợp với tầm nhìn rộng lớn hơn của Mastercard về một tương lai không mật khẩu, không số cho các khoản thanh toán trực tuyến vào năm 2030, được neo giữ bởi mã hóa token và sinh trắc học.

Khi bối cảnh xác thực chuyển sang các phương pháp hiện đại hơn, chống lừa đảo này, việc hiểu rõ nền tảng được đặt ra bởi các chương trình như Mastercard Identity Check là rất quan trọng. Đối với các doanh nghiệp đang tìm cách triển khai xác thực thế hệ tiếp theo kết hợp bảo mật mạnh mẽ với sự tiện lợi vô song cho người dùng, việc khám phá các giải pháp được xây dựng trên tiêu chuẩn FIDO, như passkey được cung cấp bởi các nhà cung cấp như Corbado, đại diện cho bước đi hợp lý tiếp theo trong việc đảm bảo tương lai cho các tương tác và thanh toán trực tuyến.