Máy chủ Kiểm soát Truy cập EMV 3DS: Passkeys, FIDO và SPC

Bối cảnh xác thực thanh toán trực tuyến đang trải qua một sự chuyển đổi đáng kể, được thúc đẩy bởi hai nhu cầu song song: tăng cường bảo mật chống lại các hình thức gian lận tinh vi và cải thiện trải nghiệm người dùng để giảm thiểu sự phiền hà và tỷ lệ từ bỏ giỏ hàng. Giao thức EMV® 3-D Secure (3DS), đặc biệt là các phiên bản sau này (EMV 3DS 2.x), đóng vai trò là công nghệ nền tảng để xác thực các giao dịch không xuất trình thẻ (CNP) trên toàn cầu. Được quản lý bởi EMVCo, giao thức này tạo điều kiện cho việc trao đổi dữ liệu giữa bên bán, ngân hàng phát hành (thông qua Máy chủ Kiểm soát Truy cập - ACS của họ), và miền tương tác (các Máy chủ Thư mục do các lược đồ thanh toán vận hành) để xác minh danh tính của chủ thẻ.

Trong khuôn khổ này, hai tiến bộ công nghệ quan trọng liên quan đến các tiêu chuẩn của Liên minh FIDO (Fast Identity Online) đang nổi lên:

1. Việc sử dụng dữ liệu xác thực FIDO được tạo ra trong các tương tác trước đó của người dùng (ví dụ: đăng nhập vào tài khoản của bên bán) để làm phong phú thêm việc đánh giá rủi ro cho luồng không ma sát của EMV 3DS.
2. Việc tích hợp Xác nhận Thanh toán An toàn (SPC), một tiêu chuẩn web của W3C được xây dựng dựa trên FIDO/WebAuthn, như một phương thức "thử thách" được tinh giản và chống lừa đảo giả mạo (phishing) trong luồng EMV 3DS.

Bài viết này cung cấp một cái nhìn tổng quan về thị trường toàn cầu cho các giải pháp Máy chủ Kiểm soát Truy cập EMV 3DS (ACS) được cung cấp cho các ngân hàng phát hành. Bài viết xác định các nhà cung cấp lớn và cố gắng đánh giá sự hỗ trợ hiện tại của họ cho cả cấu trúc dữ liệu FIDO không phải SPC và Xác nhận Thanh toán An toàn (SPC) cho các luồng thử thách. Hơn nữa, bài viết làm rõ cơ chế mà các ngân hàng phát hành có thể tận dụng passkey FIDO của riêng họ để xác minh mật mã trong luồng thử thách 3DS thông qua SPC và thảo luận về khả năng áp dụng toàn cầu của tiêu chuẩn này.

EMV 3DS hoạt động chủ yếu thông qua hai con đường xác thực riêng biệt:

• Luồng không ma sát: Đây là con đường được ưu tiên, nhằm mục đích mang lại trải nghiệm người dùng liền mạch. ACS của ngân hàng phát hành thực hiện đánh giá rủi ro dựa trên một bộ dữ liệu phong phú được trao đổi trong quá trình khởi tạo giao dịch (thông qua Yêu cầu Xác thực, hay tin nhắn AReq). Dữ liệu này bao gồm chi tiết giao dịch, thông tin bên bán, đặc điểm thiết bị, dữ liệu trình duyệt (có thể được thu thập qua 3DSMethod JavaScript), và có thể cả thông tin xác thực trước đó. Nếu rủi ro được coi là thấp, giao dịch sẽ được xác thực mà không yêu cầu bất kỳ tương tác trực tiếp hay "thử thách" nào từ chủ thẻ. Luồng này chiếm phần lớn các giao dịch 3DS, đặc biệt là ở những nơi các công cụ rủi ro được tinh chỉnh tốt.
• Luồng thử thách: Nếu ACS xác định rủi ro giao dịch cao, hoặc nếu bị bắt buộc bởi các quy định (như PSD2 SCA tại Châu Âu) hay chính sách của ngân hàng phát hành, chủ thẻ sẽ bị thử thách tích cực để xác minh danh tính của họ. Các phương thức thử thách truyền thống bao gồm Mật khẩu dùng một lần (OTP) gửi qua SMS, các câu hỏi dựa trên kiến thức, hoặc xác thực Ngoài băng tần (OOB) qua ứng dụng ngân hàng. Mục tiêu của các phiên bản 3DS mới hơn và các công nghệ liên quan như SPC là làm cho luồng thử thách này an toàn hơn và ít rườm rà hơn so với các phương pháp cũ.

EMVCo và Liên minh FIDO đã hợp tác để xác định một cách thức tiêu chuẩn hóa để bên bán chuyển thông tin về các lần xác thực FIDO trước đó (nơi bên bán đóng vai trò là Bên tin cậy (Relying Party), ví dụ, trong quá trình đăng nhập của người dùng) đến ACS của ngân hàng phát hành trong tin nhắn AReq 3DS tiêu chuẩn. Cơ chế này, lần đầu được hỗ trợ trong EMV 3DS v2.1, tận dụng các trường cụ thể trong AReq, chủ yếu là cấu trúc threeDSRequestorAuthenticationInfo, chứa các trường con như threeDSRequestorAuthenticationData.

Ghi chú Kỹ thuật của Liên minh FIDO và sách trắng liên quan của EMVCo chỉ định một cấu trúc JSON cho trường threeDSRequestorAuthenticationData này khi truyền tải chi tiết xác thực FIDO trước đó. Đối tượng JSON này bao gồm các chi tiết như thời gian xác thực (authTime), ID Bên tin cậy (Relying Party) của FIDO (rpId hoặc appId), và thông tin về trình xác thực đã sử dụng, bao gồm khóa công khai, AAGUID/AAID, và các chỉ báo về sự hiện diện của người dùng (UP) và xác minh người dùng (UV).

Lý do là nếu một bên bán gần đây đã thực hiện một xác thực FIDO mạnh (ví dụ, sử dụng sinh trắc học hoặc passkey) cho phiên người dùng khởi tạo giao dịch mua, thông tin này có thể đóng vai trò là một tín hiệu rủi ro bổ sung có giá trị cho ACS của ngân hàng phát hành. Bằng cách nhận và xử lý dữ liệu FIDO tiêu chuẩn hóa này, ACS có thể có được sự tin tưởng lớn hơn vào tính hợp pháp của giao dịch, tăng khả năng phê duyệt không ma sát và giảm nhu cầu về một thử thách riêng biệt. Điều quan trọng cần lưu ý là trong kịch bản này, bên bán là RP của FIDO, và ngân hàng phát hành sử dụng dữ liệu này như một đầu vào cho công cụ rủi ro của mình; ngân hàng phát hành không xác minh mật mã của khẳng định (assertion) FIDO trong luồng không ma sát này. ACS vẫn có quyền bỏ qua dữ liệu này nếu không được cấu hình để xử lý nó.

Xác nhận Thanh toán An toàn (SPC) đại diện cho một sự tích hợp riêng biệt của các tiêu chuẩn FIDO trong luồng thử thách EMV 3DS. SPC là một tiêu chuẩn web của W3C, được phát triển với sự hợp tác của FIDO và EMVCo, xây dựng trên nền tảng WebAuthn. Nó được hỗ trợ chính thức trong EMV 3DS bắt đầu từ phiên bản 2.3.

Khi SPC được sử dụng như một phương thức thử thách:

1. Ngân hàng phát hành (hoặc một bên được ngân hàng phát hành ủy quyền rõ ràng, chẳng hạn như một lược đồ thanh toán) hoạt động như Bên tin cậy (RP) của FIDO (RP). Điều này khác biệt cơ bản so với luồng dữ liệu FIDO không phải SPC được mô tả trước đó, nơi bên bán thường đóng vai trò là RP cho mục đích đăng nhập/xác thực của riêng mình.
2. Trong quá trình thử thách 3DS, ACS báo hiệu nhu cầu về SPC và cung cấp các định danh thông tin xác thực FIDO cần thiết và một thử thách mật mã cho bên bán/Máy chủ 3DS.
3. Hệ thống của bên bán gọi API SPC của trình duyệt, trình bày chi tiết giao dịch (số tiền, tiền tệ, người nhận thanh toán, công cụ thanh toán) cho người dùng trong một hộp thoại an toàn do trình duyệt kiểm soát.
4. Người dùng xác thực bằng trình xác thực FIDO của họ (ví dụ: sinh trắc học trên thiết bị, mã PIN, khóa bảo mật), hành động này sẽ ký vào chi tiết giao dịch và thử thách bằng khóa riêng được liên kết với passkey đã đăng ký với ngân hàng phát hành.
5. Khẳng định (assertion) FIDO kết quả (bằng chứng mật mã về việc xác thực và đồng ý) được chuyển trở lại thông qua giao thức 3DS (thường qua một tin nhắn AReq thứ hai) đến ACS của ngân hàng phát hành.
6. ACS, với tư cách là RP, xác thực mật mã khẳng định (assertion) bằng cách sử dụng khóa công khai tương ứng, xác nhận danh tính của chủ thẻ và sự đồng ý của họ đối với các chi tiết giao dịch cụ thể.

SPC nhằm mục đích cung cấp một trải nghiệm thử thách vừa an toàn hơn (chống lừa đảo giả mạo, liên kết động của việc xác thực với dữ liệu giao dịch) và có khả năng ít phiền hà hơn (thường nhanh hơn việc nhập OTP) so với các phương pháp truyền thống.

Hai con đường tích hợp FIDO—một tận dụng dữ liệu xác thực trước đó của bên bán để đánh giá rủi ro không ma sát, một sử dụng thông tin xác thực do ngân hàng phát hành quản lý cho một thử thách trực tiếp dựa trên FIDO thông qua SPC—cung cấp các cách tiếp cận riêng biệt để tăng cường bảo mật và trải nghiệm người dùng trong khuôn khổ EMV 3DS. Việc hiểu rõ sự hỗ trợ của các nhà cung cấp cho từng phương pháp là rất quan trọng đối với các ngân hàng phát hành và PSP khi lập kế hoạch chiến lược xác thực của họ.

Phần này phân tích năng lực của các nhà cung cấp giải pháp ACS EMV 3DS toàn cầu, tập trung vào sự hiện diện trên thị trường và sự hỗ trợ của họ đối với dữ liệu FIDO (không phải SPC) và Xác nhận Thanh toán An toàn (SPC). Các số liệu chính xác về thị phần là độc quyền và khó có thể thu thập công khai; do đó, sự hiện diện được đánh giá dựa trên các tuyên bố của nhà cung cấp, chứng nhận, quan hệ đối tác, phạm vi địa lý và các báo cáo thị trường.

• Sự hiện diện trên thị trường: Entersekt, đặc biệt sau khi mua lại mảng kinh doanh phần mềm 3DS của Modirum vào tháng 12 năm 2023, tự định vị là nhà cung cấp giải pháp EMV 3DS hàng đầu thế giới, nhắm đến vị trí trong top 5 thị trường. Modirum đã có hơn 20 năm kinh nghiệm trong lĩnh vực 3DS. Entersekt nhấn mạnh sự tăng trưởng kỷ lục được thúc đẩy bởi các khách hàng mới, đặc biệt là ở Bắc Mỹ, và các quan hệ đối tác chiến lược, bao gồm mối quan hệ mở rộng với Mastercard. Họ tuyên bố bảo mật hơn 2,5 tỷ giao dịch hàng năm (tính đến năm tài chính 24) và được xếp hạng #1 trong việc ngăn chặn ATO trong lĩnh vực ngân hàng bởi Liminal. ACS của họ có sẵn dưới dạng lưu trữ (bởi Entersekt hoặc khách hàng) hoặc tại chỗ. Họ phục vụ các ngân hàng phát hành và bộ xử lý trên toàn cầu.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): Entersekt nhấn mạnh vào Xác thực Nhận biết Ngữ cảnh (Context Aware™ Authentication), phân tích thiết bị và hành vi cho các tín hiệu rủi ro, và tích hợp với các dịch vụ chấm điểm rủi ro khác nhau. ACS của họ được chứng nhận FIDO EMVCo 2.2. Mặc dù họ nhấn mạnh việc tận dụng dữ liệu thông minh về rủi ro và hành vi cho RBA, việc xác nhận rõ ràng về việc xử lý dữ liệu chứng thực FIDO tiêu chuẩn hóa từ các lần xác thực trước đó của bên bán trong trường threeDSRequestorAuthenticationInfo để cải thiện luồng không ma sát không được nêu rõ trong các tài liệu trực tuyến. Tuy nhiên, sự tập trung của họ vào xác thực nâng cao và tín hiệu rủi ro cho thấy khả năng này.
• Hỗ trợ SPC (Luồng thử thách): Các chỉ số mạnh mẽ cho thấy Entersekt hỗ trợ SPC. Modirum, công ty mà Entersekt đã mua lại mảng kinh doanh 3DS, đã cung cấp các thành phần cho chương trình thí điểm SPC của Visa sử dụng 3DS 2.2 với các phần mở rộng. Entersekt liệt kê rõ ràng việc hỗ trợ tuân thủ SPC như một phần của khả năng tuân thủ quy định của mình. ACS của họ hỗ trợ xác thực sinh trắc học, được chứng nhận cho EMV 3DS 2.2, và có khả năng tích hợp các năng lực từ sự tham gia thí điểm của Modirum. Sự kết hợp của việc mua lại Modirum, đề cập rõ ràng đến tuân thủ SPC, và chứng nhận FIDO mạnh mẽ chỉ ra sự hỗ trợ SPC trong sản phẩm hiện tại của họ.

• Sự hiện diện trên thị trường: Arcot của Broadcom là một người chơi nền tảng trong thị trường 3DS, đã đồng phát minh ra giao thức ban đầu với Visa. Họ tự định vị là một nhà lãnh đạo toàn cầu được công nhận, phục vụ hơn 5.000 tổ chức tài chính trên toàn thế giới và xử lý các giao dịch từ 229 quốc gia. Mạng lưới Arcot của họ nhấn mạnh cách tiếp cận dữ liệu tập đoàn rộng lớn (tuyên bố có hơn 600 triệu chữ ký thiết bị, 150 nghìn tỷ điểm dữ liệu) để cung cấp năng lượng cho các công cụ chấm điểm gian lận và rủi ro của họ. Họ có sự hiện diện mạnh mẽ ở Châu Âu, Úc và Bắc Mỹ.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): Broadcom nhấn mạnh rất nhiều vào sự phong phú của mạng lưới dữ liệu và việc sử dụng AI/mạng nơ-ron để phát hiện gian lận và đánh giá dựa trên rủi ro, vượt ra ngoài các yếu tố dữ liệu EMV 3DS tiêu chuẩn. Họ tuyên bố rõ ràng giải pháp của họ tận dụng dữ liệu chảy qua nhiều ngân hàng phát hành và kết hợp dữ liệu kỹ thuật số như thiết bị và vị trí địa lý. Mặc dù không đề cập rõ ràng đến việc xử lý cấu trúc JSON FIDO cụ thể từ threeDSRequestorAuthenticationData, sự tập trung của họ vào việc thu thập các điểm dữ liệu đa dạng cho RBA cho thấy mạnh mẽ rằng họ có thể sử dụng dữ liệu đó nếu được cung cấp, phù hợp với mục đích của hướng dẫn EMVCo/FIDO. Nền tảng của họ nhằm mục đích tối đa hóa các phê duyệt không ma sát thông qua đánh giá rủi ro vượt trội.
• Hỗ trợ SPC (Luồng thử thách): Tài liệu của Broadcom xác nhận hỗ trợ cho các trình xác thực FIDO (Khóa bảo mật, Sinh trắc học, Passkey) trong bộ sản phẩm VIP Authentication Hub / Identity Security rộng lớn hơn của họ. 3DS ACS của họ hỗ trợ các phương thức thử thách khác nhau bao gồm OTP và thông báo đẩy, và họ đề cập đến việc hỗ trợ sinh trắc học. Họ cũng cung cấp khả năng Xác thực Ủy quyền và đã giới thiệu các tính năng đánh giá rủi ro sau thử thách. Tuy nhiên, việc xác nhận rõ ràng rằng sản phẩm EMV 3DS ACS của họ hiện hỗ trợ SPC như một phương thức thử thách cụ thể (yêu cầu khả năng EMV 3DS v2.3+ và luồng hai AReq) không có trong tài liệu được cung cấp. Mặc dù họ là một người chơi lớn có khả năng triển khai nó, tài liệu công khai hiện tại tập trung nhiều hơn vào công cụ RBA và các phương thức thử thách truyền thống/OOB.

• Sự hiện diện trên thị trường: Netcetera tự định vị là một người chơi thanh toán quốc tế quan trọng, đặc biệt mạnh ở Châu Âu và Trung Đông. Họ tuyên bố ACS của họ được sử dụng bởi hơn 800 ngân hàng/nhà phát hành, bảo mật cho hơn 50 triệu thẻ trên toàn thế giới. Họ nhấn mạnh các chứng nhận với tất cả các mạng thẻ lớn (Visa, Mastercard, Amex, Discover, JCB, UnionPay, v.v.) và tuân thủ PCI compliance. Họ đáng chú ý là nhà cung cấp ACS đầu tiên trên thế giới đạt được chứng nhận EMV 3DS 2.3.1.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): Tài liệu của Netcetera nhấn mạnh tầm quan trọng của dữ liệu được thu thập qua 3DSMethod để ACS đánh giá rủi ro nhằm tăng cường xác thực không ma sát. Họ cung cấp tích hợp với các công cụ rủi ro. Tuy nhiên, việc xác nhận cụ thể về việc xử lý dữ liệu xác thực FIDO trước đó của bên bán (từ threeDSRequestorAuthenticationInfo) để đánh giá rủi ro không được đề cập rõ ràng trong các tài liệu đã xem xét.
• Hỗ trợ SPC (Luồng thử thách): Netcetera thể hiện sự hỗ trợ mạnh mẽ cho SPC. Họ là nhà cung cấp đầu tiên trên toàn cầu được chứng nhận cho EMV 3DS 2.3.1, phiên bản tích hợp SPC. Họ đã tham gia vào chương trình thí điểm SPC của Visa, cung cấp các thành phần v2.3.1. Tài liệu sản phẩm của họ định nghĩa rõ ràng SPC. Họ đã tổ chức các hội thảo trực tuyến thảo luận về tích hợp FIDO và SPC và xuất bản các bài viết nêu bật lợi ích của SPC. Sự kết hợp giữa chứng nhận, tham gia thí điểm và tài liệu rõ ràng này xác nhận sự hỗ trợ của họ cho các thử thách SPC.

• Sự hiện diện trên thị trường: Worldline tự định vị là nhà lãnh đạo châu Âu trong lĩnh vực dịch vụ thanh toán và giao dịch và là một người chơi lớn trên toàn cầu (tuyên bố vị thế là nhà cung cấp thanh toán lớn thứ 4 trên toàn thế giới). Họ xử lý hàng tỷ giao dịch hàng năm và nhấn mạnh việc đảm bảo tuân thủ, kiểm soát gian lận bằng AI/ML, và khả năng mở rộng. ACS của họ được tuyên bố là được chứng nhận EMV 3DS và tuân thủ các lược đồ lớn (Visa Secure, Mastercard Identity Check) và PSD2. Họ báo cáo xử lý hơn 2,4 tỷ giao dịch 3DS hàng năm cho hơn 100 ngân hàng phát hành.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): Sản phẩm ACS của Worldline bao gồm một công cụ quy tắc RBA cho phép các ngân hàng phát hành cấu hình các luồng không ma sát hoặc thử thách dựa trên rủi ro. Giải pháp "Trusted Authentication" rộng lớn hơn của họ tận dụng thông tin thiết bị và phân tích hành vi. Mặc dù họ hỗ trợ FIDO nói chung, việc xác nhận rõ ràng về việc xử lý dữ liệu FIDO trước đó của bên bán (không phải SPC) trong ACS để đánh giá rủi ro không được chi tiết trong các đoạn trích được cung cấp.
• Hỗ trợ SPC (Luồng thử thách): Worldline cho thấy những dấu hiệu rõ ràng về việc hỗ trợ SPC. Tài liệu của họ thừa nhận sự phát triển của EMV 3DS 2.3 để bao gồm SPC/FIDO. Họ tiếp thị rõ ràng giải pháp "WL Trusted Authentication" của mình là hỗ trợ xác thực FIDO và cung cấp một "WL FIDO Server" phù hợp cho "các trường hợp sử dụng 3DS, với emvCO2.3 và SPC.

• Sự hiện diện trên thị trường: GPayments định vị ActiveAccess là một "nền tảng Máy chủ Kiểm soát Truy cập (ACS) hàng đầu thị trường mạnh mẽ" với hơn 20 năm trong lĩnh vực 3D Secure. space. Họ được chứng nhận với các lược đồ thẻ lớn (Visa Secure, Mastercard Identity Check, JCB J/Secure) cho cả 3DS1 và EMV 3DS. Giải pháp của họ có thể được triển khai tại chỗ hoặc lưu trữ trên đám mây. Các báo cáo thị trường xác định GPayments là một người chơi đáng chú ý cung cấp các giải pháp ACS.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): ActiveAccess hỗ trợ tích hợp với các giải pháp RBA của bên thứ ba và sử dụng các tham số khác nhau cho đánh giá rủi ro của riêng mình. Tuy nhiên, tài liệu được cung cấp không đề cập rõ ràng đến việc hỗ trợ thu thập hoặc sử dụng dữ liệu xác thực FIDO trước đó của bên bán (không phải SPC) để đánh giá rủi ro không ma sát.
• Hỗ trợ SPC (Luồng thử thách): Tài liệu được xem xét cho ActiveAccess không đề cập rõ ràng đến việc hỗ trợ Xác nhận Thanh toán An toàn (SPC), các thử thách WebAuthn, hoặc các thử thách FIDO như một phần của khả năng luồng thử thách của nó. Mặc dù họ hỗ trợ các phương thức xác thực khác nhau bao gồm OOB (có thể bao gồm sinh trắc học), việc hỗ trợ SPC cụ thể không rõ ràng từ thông tin có sẵn.

• Sự hiện diện trên thị trường: Visa, với tư cách là một mạng lưới thanh toán toàn cầu lớn, định nghĩa chương trình Visa Secure dựa trên tiêu chuẩn EMV 3DS. Họ đã tiên phong trong giao thức 3DS ban đầu. Thay vì chủ yếu hoạt động như một nhà cung cấp ACS trực tiếp giống như các công ty công nghệ như Entersekt hoặc Broadcom, Visa vận hành chương trình và dựa vào một danh sách các nhà cung cấp 3DS được phê duyệt (bao gồm các nhà cung cấp ACS) có sản phẩm được chứng nhận tuân thủ EMV 3DS và các quy tắc của Visa Secure. Các ngân hàng phát hành thường mua các giải pháp ACS từ các nhà cung cấp được chứng nhận này. Bản thân Visa tập trung vào mạng lưới (Máy chủ Thư mục), xác định các quy tắc chương trình, thúc đẩy việc áp dụng, và thúc đẩy các đổi mới như các chương trình thí điểm SPC.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): Visa Secure, dựa trên EMV 3DS, vốn đã hỗ trợ việc trao đổi dữ liệu phong phú để đánh giá rủi ro nhằm cho phép luồng không ma sát. Khuôn khổ EMVCo/FIDO để chuyển dữ liệu FIDO trước đó hoạt động trong hệ sinh thái Visa Secure nếu nhà cung cấp ACS được chọn hỗ trợ xử lý nó.
• Hỗ trợ SPC (Luồng thử thách): Visa đang tích cực tham gia vào việc thí điểm và quảng bá SPC. Họ đang làm việc với các đối tác (như Netcetera và Modirum/Entersekt trong các chương trình thí điểm) để kiểm tra và tinh chỉnh luồng SPC trong giao thức 3DS. Sự tham gia mạnh mẽ này cho thấy sự hỗ trợ chiến lược cho SPC như một phương thức thử thách trong chương trình Visa Secure, tùy thuộc vào sự sẵn sàng của hệ sinh thái (ACS, bên bán, hỗ trợ trình duyệt).

• Sự hiện diện trên thị trường: Tương tự như Visa, Mastercard vận hành chương trình Mastercard Identity Check dựa trên EMV 3DS. Họ cung cấp các tùy chọn cho các ngân hàng phát hành và bên bán, bao gồm xử lý thay thế và có khả năng tận dụng các đối tác hoặc công ty con như NuData. Mastercard đã mua lại NuData Security, một công ty sinh trắc học hành vi, vào năm 2017, nâng cao khả năng đánh giá rủi ro của mình. Họ cũng nhấn mạnh sự đổi mới liên tục trong sinh trắc học, RBA, và AI. Giống như Visa, họ dựa vào các nhà cung cấp được chứng nhận cho các thành phần ACS cốt lõi nhưng có thể cung cấp các dịch vụ trọn gói hoặc tận dụng công nghệ đã mua lại.
• Hỗ trợ Dữ liệu FIDO không phải SPC (Luồng không ma sát): Mastercard Identity Check tận dụng việc trao đổi dữ liệu phong phú của EMV 3DS 2.x để cải thiện việc ra quyết định rủi ro và luồng không ma sát. Việc mua lại NuData cho thấy sự tập trung mạnh mẽ vào phân tích hành vi như một phần của đánh giá rủi ro này. Việc hỗ trợ xử lý dữ liệu FIDO trước đó của bên bán sẽ phụ thuộc vào việc triển khai ACS cụ thể được ngân hàng phát hành sử dụng trong chương trình Identity Check.
• Hỗ trợ SPC (Luồng thử thách): Mastercard là một thành viên quan trọng của EMVCo và tham gia vào việc phát triển các tiêu chuẩn EMV 3DS, bao gồm v2.3 hỗ trợ SPC. Họ cũng đang thúc đẩy việc áp dụng passkey một cách rộng rãi. Thông tin chi tiết hơn có thể được tìm thấy tại đây. Họ là một người ủng hộ mạnh mẽ SPC và thúc đẩy các phương thức xác thực hiện đại.

Thị trường ACS EMV 3DS có nhiều nhà cung cấp ngoài những nhà cung cấp được nêu chi tiết ở trên. Các nhà cung cấp như /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop, và những nhà cung cấp khác cũng cung cấp các giải pháp được chứng nhận hoặc đóng vai trò quan trọng trong các khu vực hoặc phân khúc cụ thể. Phân tích này nhằm mục đích bao quát các người chơi toàn cầu nổi bật nhưng không đầy đủ do tính chất năng động của thị trường. Năng lực của các nhà cung cấp, đặc biệt là đối với các tiêu chuẩn mới nổi như SPC, phát triển nhanh chóng. Nếu bạn nhận thấy bất kỳ sự không chính xác nào hoặc có thông tin cập nhật về sự hỗ trợ của nhà cung cấp đối với dữ liệu FIDO hoặc Xác nhận Thanh toán An toàn, vui lòng liên hệ để chúng tôi có thể đảm bảo tổng quan này luôn được cập nhật và chính xác.

Một nguyên tắc cốt lõi của việc sử dụng Xác nhận Thanh toán An toàn (SPC) trong luồng thử thách EMV 3DS là ngân hàng phát hành thẻ (hoặc một bên được ngân hàng phát hành ủy quyền rõ ràng, chẳng hạn như một lược đồ thanh toán) hoạt động như Bên tin cậy (RP) của FIDO (RP). Điều này khác biệt cơ bản so với luồng dữ liệu FIDO không phải SPC được mô tả trước đó, nơi bên bán thường đóng vai trò là RP cho mục đích đăng nhập/xác thực của riêng mình.

Để SPC hoạt động trong một thử thách 3DS, các bước sau đây được thực hiện:

1. Đăng ký: Chủ thẻ trước tiên phải đăng ký một trình xác thực FIDO (ví dụ: sinh trắc học trên thiết bị như vân tay/nhận dạng khuôn mặt, mã PIN của thiết bị, hoặc một khóa bảo mật di động) với ngân hàng phát hành của họ. Quá trình này tạo ra một passkey, trong đó khóa công khai và một định danh thông tin xác thực duy nhất được lưu trữ bởi ngân hàng phát hành và liên kết với tài khoản của chủ thẻ hoặc thẻ thanh toán cụ thể. Việc đăng ký có thể xảy ra trong ứng dụng di động của ngân hàng, cổng ngân hàng trực tuyến, hoặc có thể được cung cấp sau một thử thách 3DS truyền thống thành công. Điều quan trọng là, để SPC được gọi bởi một bên thứ ba như một trang web của bên bán, thông tin xác thực thường phải được tạo với sự đồng ý rõ ràng của người dùng cho phép sử dụng nó trong các bối cảnh như vậy, thường liên quan đến các phần mở rộng WebAuthn cụ thể trong quá trình đăng ký.
2. Xác thực (trong quá trình Thử thách 3DS):
   • Khi một giao dịch 3DS kích hoạt một thử thách, và ngân hàng phát hành/ACS hỗ trợ và chọn SPC, ACS sẽ xác định ID thông tin xác thực FIDO có liên quan được liên kết với chủ thẻ và thiết bị.
   • ACS bao gồm các ID thông tin xác thực này, cùng với một thử thách mật mã duy nhất và chi tiết giao dịch (số tiền, tiền tệ, tên/nguồn gốc người nhận thanh toán, biểu tượng/tên hiển thị công cụ thanh toán), trong Phản hồi Xác thực (ARes) gửi lại cho Máy chủ 3DS/Bên yêu cầu.
   • Thành phần 3DS Requestor của bên bán sử dụng thông tin này từ ARes để gọi API SPC của trình duyệt.
   • Trình duyệt trình bày một hộp thoại an toàn, tiêu chuẩn hóa hiển thị các chi tiết giao dịch do ACS cung cấp.
   • Người dùng xác nhận giao dịch và xác thực bằng trình xác thực FIDO đã đăng ký của họ (ví dụ: chạm vào cảm biến vân tay, nhận dạng khuôn mặt, nhập mã PIN của thiết bị, chạm vào khóa bảo mật). Hành động này mở khóa khóa riêng được lưu trữ an toàn trên thiết bị/trình xác thực.
   • Trình xác thực ký vào các chi tiết giao dịch được trình bày và thử thách mật mã nhận được từ ACS.
   • Trình duyệt trả về khẳng định FIDO kết quả (payload dữ liệu đã ký) cho 3DS Requestor của bên bán.
   • 3DS Requestor truyền khẳng định này trở lại Issuer ACS, thường được đóng gói trong một tin nhắn AReq thứ hai.
   • Issuer/ACS, hoạt động như Bên tin cậy (Relying Party) có thẩm quyền, sử dụng khóa công khai đã lưu trữ trước đó của chủ thẻ để xác minh mật mã chữ ký trên khẳng định. Việc xác minh thành công xác nhận rằng chủ thẻ hợp pháp, sử dụng trình xác thực đã đăng ký của họ, đã phê duyệt các chi tiết giao dịch cụ thể được trình bày.

Việc tích hợp SPC vào luồng thử thách EMV 3DS đòi hỏi phải sửa đổi chuỗi tin nhắn tiêu chuẩn, thường liên quan đến hai lần trao đổi AReq/ARes:

1. Yêu cầu Xác thực Ban đầu (AReq #1): Bên bán/Máy chủ 3DS khởi tạo quy trình 3DS bằng cách gửi một AReq chứa dữ liệu giao dịch và thiết bị. Để báo hiệu khả năng hỗ trợ SPC, yêu cầu có thể bao gồm một chỉ báo như threeDSRequestorSpcSupport được đặt thành 'Y' (hoặc tương tự, tùy thuộc vào việc triển khai của nhà cung cấp ACS).
2. Phản hồi Xác thực Ban đầu (ARes #1): Nếu ACS xác định cần có một thử thách và chọn SPC, nó sẽ phản hồi bằng một ARes cho biết điều này. transStatus có thể được đặt thành 'S' (cho biết yêu cầu SPC) hoặc một giá trị cụ thể khác. ARes này chứa payload dữ liệu cần thiết cho lệnh gọi API SPC.
3. Gọi API SPC & Xác thực FIDO: Thành phần 3DS Requestor của bên bán nhận ARes #1 và sử dụng payload để gọi API SPC của trình duyệt. Người dùng tương tác với trình xác thực của họ thông qua giao diện người dùng an toàn của trình duyệt.
4. Trả về Khẳng định FIDO: Sau khi người dùng xác thực thành công, trình duyệt trả về dữ liệu khẳng định FIDO cho 3DS Requestor.
5. Yêu cầu Xác thực Thứ hai (AReq #2): 3DS Requestor xây dựng và gửi một tin nhắn AReq thứ hai đến ACS. Mục đích chính của tin nhắn này là để vận chuyển dữ liệu khẳng định FIDO. Nó thường bao gồm:
   • ReqAuthData: Chứa khẳng định FIDO.
   • ReqAuthMethod: Được đặt thành '09' (hoặc giá trị được chỉ định cho khẳng định SPC/FIDO.
   • Có thể là giá trị AuthenticationInformation từ ARes #1 để liên kết các yêu cầu.
   • Tùy chọn, một SPCIncompletionIndicator nếu lệnh gọi API SPC thất bại hoặc hết thời gian.
6. Phản hồi Xác thực Cuối cùng (ARes #2): ACS nhận AReq #2, xác thực khẳng định FIDO bằng khóa công khai của chủ thẻ, và xác định kết quả xác thực cuối cùng. Nó gửi lại ARes #2 chứa trạng thái giao dịch cuối cùng (ví dụ: transStatus = 'Y' cho Xác thực Thành công, 'N' cho Thất bại).

Luồng hai AReq này đại diện cho một sự sai khác so với các phương thức thử thách 3DS truyền thống (như OTP hoặc OOB được xử lý qua các tin nhắn CReq/CRes hoặc RReq/RRes) thường hoàn thành trong chu kỳ AReq/ARes ban đầu sau khi nhận được transStatus = 'C'. Mặc dù phần tương tác người dùng của SPC (quét sinh trắc học, nhập mã PIN) thường nhanh hơn đáng kể so với việc gõ OTP, việc giới thiệu một vòng lặp AReq/ARes đầy đủ thứ hai sẽ thêm độ trễ mạng giữa Máy chủ 3DS, Máy chủ Thư mục và ACS. Các nhà triển khai và nhà cung cấp phải tối ưu hóa cẩn thận luồng này và xử lý các trường hợp hết thời gian tiềm ẩn để đảm bảo thời gian giao dịch tổng thể từ đầu đến cuối vẫn cạnh tranh và đáp ứng mong đợi của người dùng.

Xác nhận Thanh toán An toàn được định vị để áp dụng toàn cầu nhờ vào việc được tiêu chuẩn hóa kép. Nó được định nghĩa chính thức là một tiêu chuẩn web bởi World Wide Web Consortium (W3C), đã đạt đến trạng thái Candidate Recommendation vào giữa năm 2023 với công việc đang tiếp diễn để trở thành một Recommendation đầy đủ. Đồng thời, SPC đã được tích hợp vào các thông số kỹ thuật của EMV® 3-D Secure bắt đầu từ phiên bản 2.3, được quản lý bởi EMVCo, cơ quan kỹ thuật toàn cầu về tiêu chuẩn thanh toán. Sự tích hợp này đảm bảo rằng SPC hoạt động trong khuôn khổ toàn cầu đã được thiết lập cho việc xác thực giao dịch CNP. Sự hợp tác giữa W3C, Liên minh FIDO, và EMVCo nhấn mạnh nỗ lực toàn ngành để tạo ra các tiêu chuẩn tương thích cho thanh toán trực tuyến an toàn và thân thiện với người dùng.

Mặc dù thiết kế của SPC, đặc biệt là khả năng liên kết mật mã việc xác thực người dùng với các chi tiết giao dịch cụ thể ("liên kết động"), giúp đáp ứng các yêu cầu Xác thực Khách hàng Mạnh (SCA) theo các quy định như Chỉ thị Dịch vụ Thanh toán của Châu Âu (PSD2), tiện ích của nó không chỉ giới hạn ở những khu vực bắt buộc này. SPC là một tiêu chuẩn kỹ thuật toàn cầu có thể áp dụng ở bất kỳ thị trường nào, bao gồm cả Hoa Kỳ và Canada, miễn là các thành phần hệ sinh thái cần thiết đều có sẵn.

Ở các thị trường không có quy định SCA rõ ràng cho mọi giao dịch, các động lực chính để áp dụng SPC là:

• Cải thiện Trải nghiệm Người dùng: Cung cấp một phương thức thử thách có khả năng nhanh hơn và tiện lợi hơn (ví dụ: sử dụng sinh trắc học trên thiết bị) so với các OTP truyền thống hoặc các câu hỏi dựa trên kiến thức, có khả năng giảm tỷ lệ từ bỏ giỏ hàng. Các chương trình thí điểm đã cho thấy sự giảm đáng kể thời gian xác thực so với các thử thách truyền thống.
• Tăng cường Bảo mật: Xác thực dựa trên FIDO vốn có trong SPC có khả năng chống lại các cuộc tấn công lừa đảo giả mạo (phishing), nhồi thông tin xác thực (credential stuffing), và các mối đe dọa phổ biến khác nhắm vào mật khẩu và OTP.

Do đó, các ngân hàng phát hành và bên bán ở các khu vực như Bắc Mỹ có thể chọn triển khai SPC một cách chiến lược để tăng cường bảo mật và cung cấp trải nghiệm khách hàng tốt hơn, ngay cả khi không có yêu cầu pháp lý phải làm như vậy cho tất cả các giao dịch.

Việc triển khai thành công và áp dụng rộng rãi Xác nhận Thanh toán An toàn (SPC) phụ thuộc rất nhiều vào sự sẵn sàng phối hợp giữa nhiều thành phần của hệ sinh thái thanh toán. Mặc dù các tiêu chuẩn FIDO cơ bản và công nghệ passkey đang phát triển nhanh chóng, sự hỗ trợ cụ thể ở cấp độ trình duyệt cho API SPC và việc tích hợp đầy đủ trên toàn chuỗi thanh toán vẫn là những rào cản quan trọng. Các thành phần khác trong hệ sinh thái nói chung đang tiến triển tốt.

Tóm tắt Mức độ sẵn sàng của Hệ sinh thái (Tình trạng tháng 5 năm 2025)

Điều này có ý nghĩa gì trong thực tế (Tháng 5 năm 2025)

Yếu tố cản trở chính cho việc áp dụng SPC là lớp user-agent (trình duyệt):

• Safari (macOS & iOS): ❌ WebKit vẫn thiếu phương thức Payment Request secure-payment-confirmation. Bất kỳ trang web nào được truy cập trong Safari đều phải chuyển sang các phương thức xác thực khác (OTP, OOB, có thể là các trải nghiệm WebAuthn không phải SPC). Apple chưa thể hiện sự quan tâm đến việc triển khai phần mở rộng này.
• Chrome / Edge (Chromium): ⚠️ SPC cơ bản (tạo thông tin xác thực + xác thực) đã ổn định, nhưng các khóa chưa được lưu trữ trong trình xác thực phần cứng và chỉ mới được sử dụng trong các chương trình thí điểm. Các nhà triển khai nên dự kiến các thay đổi có thể gây gián đoạn và chuẩn bị sẵn sàng để kiểm soát chức năng dựa trên việc kiểm tra tính khả dụng của API (ví dụ: canMakePayment()) hoặc các cờ tính năng.
• Firefox: ❌ Nhóm đã báo hiệu sự quan tâm nhưng chưa có lịch trình triển khai cam kết; các bên bán phải lên kế hoạch cho các phương án dự phòng linh hoạt.

Bởi vì cơ sở hạ tầng của ngân hàng phát hành (ACS, máy chủ FIDO) và các máy chủ thư mục của lược đồ phần lớn đã sẵn sàng hoặc đang phát triển nhanh chóng, và các công cụ của bên bán/PSP đang trở nên sẵn có, rào cản chính đối với việc sử dụng SPC rộng rãi là sự hỗ trợ của trình duyệt. Một khi phạm vi phủ sóng của trình duyệt được cải thiện, các nhiệm vụ còn lại chủ yếu liên quan đến việc tích hợp của bên bán/PSP (nâng cấp lên EMV 3DS v2.3+, thêm logic gọi SPC, xử lý luồng hai AReq) và mở rộng quy mô đăng ký passkey của ngân hàng phát hành đặc biệt cho các bối cảnh thanh toán.

Hiện tại, hãy dự kiến SPC chỉ xuất hiện cho một phần nhỏ các giao dịch. Cho đến khi Safari (và do đó là toàn bộ hệ sinh thái iOS) hỗ trợ, SPC không thể đạt được sự hỗ trợ của thị trường.

Phân tích cho thấy một sự khác biệt rõ ràng trong mức độ sẵn sàng của hai hình thức tích hợp FIDO chính trong EMV 3DS tính đến tháng 5 năm 2025. Mặc dù các yếu tố nền tảng cho Xác nhận Thanh toán An toàn (SPC) như một phương thức thử thách đang tiến triển – đặc biệt là khả năng của ngân hàng phát hành/ACS và sự sẵn sàng của các lược đồ – việc áp dụng rộng rãi của nó bị cản trở đáng kể bởi điểm nghẽn quan trọng là sự hỗ trợ của trình duyệt, đáng chú ý nhất là việc thiếu triển khai trong Safari của Apple (chặn tất cả các thiết bị iOS/iPadOS) và Firefox, cùng với những hạn chế trong các triển khai Chromium hiện tại. SPC vẫn là một trạng thái tương lai đầy hứa hẹn, nhưng nó không phải là một giải pháp thực tế, phổ biến ngày nay.

Dựa trên tình trạng hệ sinh thái hiện tại, chúng tôi đưa ra các khuyến nghị sau:

• Bên bán:
  • Ưu tiên Áp dụng Passkey: Triển khai passkey để người dùng đăng nhập và xác thực. Ngoài việc cải thiện bảo mật và trải nghiệm người dùng của riêng bạn (các yếu tố không được nêu chi tiết ở đây), điều này tạo ra dữ liệu cần thiết cho các luồng không ma sát 3DS.
  • Chuyển Dữ liệu FIDO: Đảm bảo tích hợp 3DS của bạn điền chính xác vào trường threeDSRequestorAuthenticationInfo với chi tiết về các lần xác thực passkey thành công trước đó trong phiên thanh toán. Làm việc với nhà cung cấp PSP/Máy chủ 3DS của bạn để kích hoạt tính năng này.
• Ngân hàng phát hành:
  • Đăng ký Passkey cho Người dùng: Bắt đầu cung cấp và khuyến khích chủ thẻ đăng ký passkey trực tiếp với bạn (để truy cập ứng dụng ngân hàng, SPC trong tương lai, v.v.). Xây dựng cơ sở hạ tầng FIDO Relying Party cần thiết.
  • Tận dụng Dữ liệu Passkey của Bên bán ngay bây giờ: Hướng dẫn nhà cung cấp ACS của bạn thu thập và sử dụng dữ liệu FIDO do các bên bán chuyển đến (threeDSRequestorAuthenticationInfo) như một tín hiệu tích cực mạnh mẽ trong công cụ RBA của bạn. Duy trì hồ sơ về các passkey đáng tin cậy của bên bán được liên kết với người dùng nếu có thể. Đặt mục tiêu tăng đáng kể các phê duyệt không ma sát cho các giao dịch được thực hiện sau một lần xác thực passkey mạnh của bên bán.
  • Chuẩn bị cho SPC, Theo dõi Tích cực: Đảm bảo lộ trình ACS của bạn bao gồm hỗ trợ SPC đầy đủ của EMV 3DS v2.3.1+, nhưng hãy coi đó là một cải tiến trong tương lai. Liên tục theo dõi các phát triển của trình duyệt (đặc biệt là Safari) để đánh giá khi nào SPC có thể trở nên khả thi trên quy mô lớn.
• Nhà cung cấp ACS:
  • Nâng cao RBA với Thông tin Passkey: Đầu tư mạnh vào khả năng của công cụ RBA của bạn để xử lý và tin cậy dữ liệu FIDO/passkey do bên bán cung cấp. Phát triển logic để theo dõi việc sử dụng passkey qua các giao dịch mua của bên bán cho một người dùng/thiết bị nhất định. Lưu trữ các khóa công khai (từ việc đăng ký trực tiếp của ngân hàng phát hành) để xác minh tính toàn vẹn mật mã của dữ liệu xác thực của bên bán nếu được cung cấp. Liên kết trực tiếp việc sử dụng passkey thành công với tỷ lệ phê duyệt không ma sát cao hơn.
  • Xây dựng Năng lực SPC Mạnh mẽ: Tiếp tục phát triển và chứng nhận hỗ trợ luồng thử thách SPC đầy đủ (EMV 3DS v2.3.1+) để sẵn sàng cho việc áp dụng thị trường trong tương lai.
• Lược đồ/Mạng lưới Thanh toán:
  • Ủng hộ Dữ liệu FIDO không ma sát: Tích cực quảng bá và có khả năng khuyến khích việc chuyển và sử dụng dữ liệu xác thực FIDO của bên bán (threeDSRequestorAuthenticationInfo) trong luồng 3DS. Cung cấp hướng dẫn và hỗ trợ rõ ràng cho các ngân hàng phát hành và nhà cung cấp ACS về việc tận dụng dữ liệu này một cách hiệu quả cho RBA.
  • Tiếp tục Vận động cho SPC & Tương tác với Trình duyệt: Duy trì các nỗ lực để tiêu chuẩn hóa và quảng bá SPC, đặc biệt là tương tác với các nhà cung cấp trình duyệt (Apple, Mozilla, Google) để khuyến khích việc triển khai đầy đủ, tương thích của tiêu chuẩn API SPC.

Cơ hội tức thời, hữu hình nằm ở việc tăng cường luồng không ma sát bằng cách tận dụng sự gia tăng áp dụng passkey ở cấp độ bên bán. Tất cả các bên tham gia hệ sinh thái nên ưu tiên việc cho phép tạo, truyền và sử dụng thông minh dữ liệu xác thực trước đó này trong khuôn khổ EMV 3DS hiện có. Con đường này mang lại lợi ích ngắn hạn trong việc giảm thiểu sự phiền hà và có khả năng giảm gian lận mà không cần chờ đợi sự hỗ trợ SPC phổ biến từ các trình duyệt. Đồng thời, việc chuẩn bị nền tảng cho SPC – đặc biệt là đăng ký passkey của ngân hàng phát hành và sự sẵn sàng của ACS – đảm bảo hệ sinh thái được định vị để áp dụng phương thức thử thách vượt trội này một khi điểm nghẽn về trình duyệt được giải quyết.