你知道3DS规范的最新版本吗? 是2.2还是... ...
2022年1月10日
2021年9月底,EMVCo阔别四年公布了身份验证解决方案的最新规格 — EMV 3DS 2.3,不少金融机构与商户都有共同的疑问,此次更新与旧版本有什么差异,是否能带来更大的效益呢? 这个答案是肯定的。
过去这几年来,信用卡市场已经越来越熟悉3DS身份验证的存在,许多发卡行也纷纷采用密码验证(如: OTP简讯)作为降低伪冒风险的方式。或者,我们可以说是唯一手段。高度依赖密码验证的结果,不但是牺牲了客户的良好购物体验,也是间接提高交易失败的风险。更可惜的是,EMV 2.0以来提供给发卡行运用的丰富交易信息,就这么给浪费掉了。
于是,EMVCo与国际卡组织不断在提升免密交易、降低交易失败率两大主题下功夫,此次2.3也有不少更新与此目标相关,除了发卡行能因此得到效益之外,这也是商店与收单行乐见的结果。
免密V.S.验证
免密身份验证
发卡机构使用从身份验证消息中接收到的丰富数据执行基于风险的身份验证(RBA),并认为交易风险较低。客户不会被要求提供真实持卡人进行交易的额外证明。
身份验证
发卡机构提供身份验证步骤,并将持卡人重定向到验证页面,要求持卡人使用OTP、Face ID等确认身份。
EMVCo和国际卡计划正在努力增加免密交易,降低交易失败率。3DS 2.3中的许多更新都是为了实现这一目标而设计的。这不仅对发行人有利,对商家和收购方也有利。
EMV 3D-Secure v2.3功能概述
优化使用者体验
新版本增加的 SPC 验证,提升了交易安全与体验,另外也针对过去版本的问题进行改革,如同OOB导转自动化与減少CReq/CRes讯息等。
扩大应用场景
Split-SDK 将 Default SDK 区分成 Server 与 Client 端,让 EMV 3DS 可延伸应用至不具完整 SDK 功能的装置,如: 智能家电。
提高免密验证
增加交易信息量,包含 Token、订阅制交易与装置绑定讯息,发卡行拥有更多参考信息,依交易风险做出与之相符的验证决策。
减少失败率
除了简化 OOB 导转程序,新增的 SPC 验证与操作系统讯息 (Oreq / ORes) ,皆从不同角度减少交易失败率,提升使用方信心。
加强安全性
正式将 FIDO 认证机制规划至流程中,间接加深了生物辨识的应用,如: Face ID,提供消费者更具安全性的在线交易生态圈。
SPC验证
SPC (Secure Payment Confirmation)是版本 2.3 新增的验证模式,正式将 FIDO 机制纳入 EMV 3D Secure流程,最大的优势在于生物识别的应用,借以取代传统的OTP密码。由于FIDO 也可被应用在银行其他业务 (例如: 行动银行登入),EMVCo 支持 FIDO 意味者发卡行能够提供消费者更一致的验证与购物体验。
Split-SDK 应用
过去有完整SDK功能的产品称为Default SDK,版本2.3中依据掌管功能将其分为SDK Client 及SDK Server,让EMV 3DS可以延伸应用至更多设备上 (如: IOT设备)。未来,消费者将有机会在智能家电上采购商品时,应用安全的EMV 3DS付款流程,保障消费者的用卡安全。
默认SDK按功能分为拆分SDK客户端和拆分SDK服务器。Split SDK有多种变体,具体取决于消费者设备和3DS请求程序环境。这些变体包括Limited SDK、Shell SDK和Browser SDK。
操作系统信息 - O讯息
Operation Message (OReq & ORes) 由 DS 发送给 ACS 及 3DS Server,提供卡组织一个与产品端交换信息的管道。透过更多系统信息信息的传递,有望降低因产品状态不佳导致的交易失败。
OOB 验证自动转导
OOB (Out-Of-Band) 提供多元验证方式的应用机会,发卡行再也不需只仰赖OTP,可广泛运用安全性较高的扫脸、指纹辨识等等。但在过去的版本中,不少依靠持卡人主动点选及切换应用的流程,导致交易失败。新版本简化持卡人手动操作,改以自动转导方式进行,预期可大幅提生交易成功的机率。
EMV 3D Secure 版本比较
