Kod fizičke kupnje na prodajnom mjestu potvrda transakcije radi se upisom PIN-a, dok se kod kupnje online potvrda transakcije radi kroz tzv. 3DS odnosno kroz autentikaciju nečim što imate ili znate.
Što je 3DS?
3DS (3 domain security) je standard autentikacije i skup poslovnih pravila za ecommerce kartične transakcije koji je predstavljen 2001 godine (Verified by Visa, Mastercard as SecureCode) i široko se primjenjuje za autentikaciju ecommerce transakcija.
U postupku online transakcije (odobravanja troška od strane banke koja je karticu izdala) kupca se, kao dodatni korak, preusmjerava na 3DS stranicu njegove banke koja je karticu izdala - kupac unosi neki višrekratni ili jednokratni kod/lozinku koja je poznata ili dostupna samo njemu, pa ako je autentikacija uspješna kupca se preusmjerava natrag u tok transakcije na prodajnom mjestu i transakcija se odobrava.
3DS v2.2 je nova verzija postojećeg 3DS protokola za autentikaciju kupnje kod eCommmerce transakcija koji se trenutno koristi i koji uveden je u upotrebu 2001. godine (Verified By Visa i Mastrecard Secure, American Express SafeKey, ProtectBuy i dr.), a implementacija ovog protokola upravo je u tijeku od strane banka i procesora diljem EU.
Zašto 3DS?
Najvažniji benefit za prodajna mjesta kod online transakcija i transakcija na daljinu s uključenom 3DS autentikacijom je to što za transakcije koje su provedene s uključenom 3DS autentikacijom prodajno mjesto ne odgovara za trošak financijske štete.
Za sve 3DS verificirane transakcije ODGOVORNOST se prebacuje na vlasnika odnosno izdavatelja kartice!
MORA li se kod svih transakcija pojaviti 3DS prozor provjere?
Nova EMV 3DS generacija protokola za cilj ima otkloniti dobro poznate nedostatke aktualne verzije 3DS autentikacije, te omogućiti da što je moguće više transakcija umjesto da traže korisnika da se autenticira (tokenom, jednokratnom lozinkom i sl) uđe u izuzetke od obaveze autentikacija prema PSD2 regulativi i prođe kroz tzv. frictionless, brzi tok autentikacije.
Ovo se postiže nizom novih podataka koje prodajno mjesto, putem EMV 3DS protokola može poslati banci koja je izdala karticu, s ciljem da banka što lakše potvrdi autentičnost korisnika i po mogućnosti „propusti“ takvu transakciju i bez potrebe da korisnik sam dodano unosi potrebne autentikacijske podatake.
Ovi podaci koji osim imena i prezimena korisnka, koje se sad po prvi put može poslati na kontrolu/autentikaciju, uklučuje i podatke kao što su, br mobitela, e-mail, IP adresa pretraživača korisnika ili njegove mobilne aplikacije, podatak da li je korisnik već ranije kupovao na tom prodajnom mjestu ili mu je ovo prva registrirana kupnja, i niz drugiih podataka. U odnosu na dosadašnje podatke koje je banka izdavatelj kartice primala za autentikaciju (a to su samo broj kartice, datum valjanosti kartice i CVV kod), ovo je ogroman iskorak.
S druge strane, kartične mreže nametnule su svim bankama koje izadjizdaju kartice u EU obavezu da sa njihove strane osiguraju svim svojim korisnicima kartica da EMV 3DS autentikaciju, kad je ona zatražena od strane web shopa ili drugog prodajnog mjesta na daljinu, moraju moći provesti putem mobilnih aplikacijae/mBankarstva jednostavnim stavljanjem otiska prsta na svom pametnom telefonu (ili npr. očitavanjem svog lica, ili očitavanjem glasa).