3DS 2.0在欧洲全面强制执行,为何国内市场杳无音讯?


来源:移动支付网    作者:佘云峰    2019-4-15 8:50

近日消息,3DS 2.0于2019年4月13日在欧洲(主要针对发卡机构)全面强制执行,交易受PSD2(Payment Service Directive 2.0,即欧盟支付服务修订法案第二版)监管的商户必须在2019年9月14日前支持3DS 2.0版本以上认证方式。

什么是3DS?

3DS,即3-Domain Secure,是一种针对在线交易场景的身份验证协议,使发卡行可以率先验证持卡人的身份信息,通过基于数据的风险评估决定最终授权,是在线交易的一层额外安全保障。顾名思义,它涉及到三个不同“域(Domain)”的信息联动,三个域分别指收单域、发卡域以及交互域。通过这三个域之间的信息交换与确认,持卡人的身份得到验证,防止了银行卡在未经授权的情况下被盗用,提高了在线交易的安全性。

简单一点理解,3DS是卡组织与发卡行向持卡人推出的一种在线交易身份验证的报文传输协议,通过这项支付验证协议可以降低无卡交易风险,有效防止盗刷。

3DS的发展史

2001年,Visa开发出了3DS协议,这个协议最初是为了保障商户、发卡机构及银行卡交易的安全。

2003年,Visa提出3DS第一代版本(3DS 1.0)。后续各个卡组织也分别推出了自己体系标准下的3DS协议。

最终,Visa、MasterCard、美国运通等卡组织意识到标准化规则带来的互通性便利,联合成立了EMVCo——一个致力于推动全球普及更为安全支付方式的国际技术组织,同时负责继续迭代3DS安全协议。

3DS 1.0版本在推行中遇到了许多问题,一方面消费者质疑弹出式验证窗口的安全性,认为被要求输入短信验证码的操作非常繁琐。另一方面,商户也不断抱怨由于该协议支付成功率受到了影响。而到了2008年以后,随着移动支付的发展,3DS 1.0逐渐无法适应移动端应用的支持。

2016年,EMVCo发布了3DS的第二代版本(EMV®3DS)。第二代3DS的升级也带来一些革命性的变化,比如支持了移动互联网平台、引入了交易风险决策机制、提高了扩展性和兼容性、更加安全和灵活等。

2017年初,银联基于EMVCo 3DS 2.0标准正式推出了3DS 2.0标准的立项及评审发布。

2018年,EMVCo发布了EMV®3DS测试平台,并开始正式发放认证证书。众多3DS方案提供方陆续启动测试申请。

目前,据了解EMVCo加快了版本的更新速度,不断迭代升级,如今2.1、2.2和2.3版本即将问世。而就国内而言,据相关人士向移动支付网透露,银联与相关银行基本完成了3DS 2.0标准的改造和认证工作。

3DS对国内的影响

由于3DS的协议涉及传统的四方模式,在改造和实施上需要卡组织、银行、商户都加入其中,只有这样持卡人才能够享受到该验证服务的保护。也正是因此,3DS的改造时间相对较长,也较为严格。

但是如此重要的安全认证协议,在国内市场并未得到大范围地实施和推广,原因为何呢?

一位银行业人士向移动支付网表示,“3DS对于国内市场而言,有点多余。因为,国内的线上支付四方模式还没有来得及占据主流,就已经被二维码快捷支付给占领了。”

现实情况也的确如此。国内移动支付市场发展迅速,第三方支付过于强大,导致国内的移动支付直接跳过了信用卡时代,走向了基于二维码的快捷支付时代。而支付机构作为收单方,其安全风控的主动权在支付机构手上,银行只提供快捷支付的签约和交易通道从而实现免密支付,支付时不再需要银行授权进行持卡人验证。不用发卡行去验证身份信息了,3DS便也失去了意义。

对于国内的金融机构而言,移动支付的发展让银行逐渐管道化,主动权越来越丧失,这也是为何金融机构迫切渴望转型的原因。

不过,尽管3DS对于国内市场而言影响甚微,但是对于银联和国内银行而言,3DS 2.0的跟进有利于其拓展境外商户和市场,另外对于一些有跨境支付业务的机构可能也会有相应的需求。

而对于国外市场尤其是欧洲而言,3DS 2.0的强制执行将要求商户端和收单机构必须转变原有的运营模式,一方面需要进行后台系统调整适应变化,加大与发卡行的数据共享;另一方面需要优化支付流程以适应新的无缝验证交互方式。

移动支付网安全讨论群,欢迎添加群主微信:13798509971备注:公司+姓名+职务+安全入群。

本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
相关文章

月点击排行
关于本站    联系我们    版权声明    手机版
Copyright © 2011-2019 移动支付网    粤ICP备11061396号-5     粤公网安备 44030602000994号