What is 3D secure 2.0?

Online payments have revolutionized how we shop and do business.

But they have also opened the door to a new kind of crime. Annual worldwide eCommerce fraud is estimated to be at 48 Billion dollars this year.

One of the best defenses against it is 3D Secure 2.0.

Let's take a look at what it is, what its predecessor (and contemporary) 3D Secure is, and more. We also explain how it relates to Strong Customer Authentication.

What is 3D Secure?

3D Secure (3DS) is an authentication protocol used for online payments and mobile payments.

The earliest version of it appeared in 1999. It provided an advanced extra layer of security for cardholders and merchants.

'3D' refers to the 'three domains' involved in the authentication process. These three domains are the card issuer, the merchant, and the 3D Secure infrastructure:

1. The card issuer is the financial institution that issues a debit or credit card to the customer, i.e., the ca`rdholder's bank
2. The merchant is the business that will receive the payment
3. The 3D Secure infrastructure is the layer of added security between customers and merchants through the card issuer.

3D Secure is implemented to prevent and reduce fraud. It does this primarily by placing additional authentication factors into the transaction process.

Is implementing 3D Secure mandatory?

The Financial Conduct Authority's Strong Customer Authentication (SCA) regulation requires the use of 3D Secure for all online transactions in the European Economic Area (EEA).

In other international regions, it is optional but highly encouraged.

How does the 3D Secure process appear to the customer?

When a cardholder enters their card details to confirm a payment, they might be redirected to an authentication page or portal.

This is where the issuing bank will ask the customer for additional verification with a static password.

Authentication pages are typically co-branded by the given card network. These are usually familiar and trusted brand names from the major card schemes, such as Visa Secure, American Express' SafeKey, and Mastercard's Identity Check.

After completing authentication, the customer will be redirected to the checkout page. The customer and merchant will see the authentication result.

What is 3D Secure 2.0?

3D Secure 2.0 is a security protocol for online transactions that provides higher level identity verification information than standard 3D Secure.

It is designed by some of the major card networks to address some of the shortcomings of the original version released in 2016.

It has a less disruptive authentication process, better user experience and a higher level of security than the original version for reduced risk.

Its mass adoption has taken place alongside the consumer shift to using mobile devices and online shopping.

How does 3D Secure 2.0's authentication protocol work?

1. Initial assessment

It performs high-risk based authentication on an access control server (ACS) - an advanced type of server that that can validate credentials and control access to resources.

Using 3D Secure 2.0, a cardholder's issuing bank can quickly assess a transaction's risk levels. It looks at a wealth of rich data, including merchant's contextual data, the cardholder's previous transactions, etc.

2. 1. Immediate authorization of authentication

If each authentication standard is met, the initial transaction process can be completed with no additional cardholder input.

2. 2. Additional customer authentication

If the protocol raises a red flag indicating a high risk rather than a normal transaction risk, an advanced layer of security is requested from the person trying to make the transaction.

At checkout they will be sent through a 'challenge flow'. This will be an iframe (an element within a html page) which uses the entire existing browser window or just part of it. Here, the customer is asked to provide additional information for authentication.

What are the differences between 3D Secure and 3D Secure 2.0?

1. Customer experience

Parte del propósito de la versión 2.0 es ofrecer un proceso de pago menos doloroso que el 3D Secure original.

Lo hace incrustando el flujo de desafío directamente en los navegadores y en los flujos de pago móviles, sin requerir ninguna redirección de página. En cambio, la autenticación de pagos con 3D Secure requiere una redirección.

2. Autenticación sin fricciones

Los pagos 3D Secure 2.0 proporcionan una experiencia de autenticación más sin fricciones que los 3D Secure.

En los pagos,"sin fricción" se refiere a los procesos de pago que son fáciles, rápidos y cómodos.

En este caso, una solicitud de autenticación puede considerarse una fricción, ya que complica y ralentiza una transacción. Esto puede hacer que los usuarios abandonen los pagos con tarjeta online en el punto de venta (TPV).

3D Secure requiere medidas de autenticación de dos factores, como contraseñas estáticas y ventanas emergentes. 3D Secure 2.0, en cambio, autentica las transacciones en la misma ubicación digital y con menos datos introducidos por el titular de la tarjeta (véase más abajo, "métodos de autenticación").

Esta diferencia repercute en las ventas. Según Visa, el uso del protocolo 3D Secure 2. 0 reduce el abandono de tarjetas en un 70% y los tiempos de pago en un 85%.

3. Integración móvil

3D Secure 2.0 tiene un componente SDK (Kit de Desarrollo de Software) móvil añadido. Permite a los comerciantes crear un flujo de autenticación dentro de la aplicación y evitar los redireccionamientos del navegador.

Esta función hace que la experiencia de pago móvil sea más rápida y fluida.

4. Autenticación de impago

A diferencia de 3D Secure, 3D secure 2.0 puede utilizarse para algo más que verificar las compras y transacciones en línea. Sus capacidades de autenticación sin pago permiten a los bancos emisores verificar al titular de la tarjeta sin que realice una compra en línea.

Se puede utilizar para añadir una tarjeta de débito o crédito a un monedero móvil, por ejemplo. El banco emisor verifica la información del titular de la tarjeta y del dispositivo mediante un flujo sin fricciones para evitar el fraude.

5. Métodos de autenticación

La autenticación 3D Secure se basa en la introducción manual de contraseñas o de un código PIN para verificar la identidad de un cliente.

3D Secure 2.0 ofrece distintos métodos de autenticación de clientes, como la autenticación biométrica (huella dactilar o reconocimiento facial), las contraseñas de un solo uso o los PIN.

Menos apoyo, menos costes

La gente olvida a menudo las contraseñas. Un estudio realizado por Google en 2019 reveló que el 75% de los encuestados afirmaron sentirse frustrados por tener que hacer un seguimiento de las contraseñas.

Una de las consecuencias negativas de esto es que el 24% opta por contraseñas comunes y fáciles de recordar, como "Contraseña", abc123, 111111, etc. Obviamente, esto no es un nivel eficaz de protección contra el fraude.

Otro resultado negativo es la asistencia al cliente o los sistemas necesarios para ayudar a recuperar o restablecer las contraseñas de los clientes legítimos.

3D Secure y 3D Secure 2.0 pueden funcionar juntos

Muchos proveedores de servicios de pago ofrecen ambas versiones de 3D Secure como opción a sus clientes.

Pueden trabajar juntos para proporcionar un proceso de autenticación más seguro y flexible.

Esto depende del nivel de riesgo de la operación y de las capacidades del banco emisor del cliente.

Por ejemplo, el proceso de autenticación puede comenzar con 3D Secure 2.0 y luego ser redirigido a 3D Secure para una autenticación adicional a través de la contraseña estándar o la introducción del PIN.

Solución 3D Secure 2.0 de Nuvei

Con Nuvei, tu negocio está protegido por una detección y prevención del fraude de alto rendimiento.

Nuestro software te permite encontrar el equilibrio entre la autenticación reforzada de clientes (SCA), la seguridad y las conversiones en tu ecommerce .

Puedes dirigir automáticamente cualquier flujo de pagos a través de nuestro vanguardista proceso de autenticación basado en exenciones, normas y evaluaciones de riesgos individuales.

Ofrecemos una solución adquirencia para ayudarte a gestionar la complejidad de 3D Secure 2.0, tal y como exigen las restricciones legales del mercado y las normativas PSD2 SCA.

Resumen

3D Secure es un protocolo de seguridad utilizado para autenticar pagos en línea. Lleva desde 1999 previniendo y reduciendo el fraude en los pagos con factores de autenticación añadidos.

Su proceso de autenticación implica el redireccionamiento a una página o portal de autenticación donde el banco emisor pedirá una verificación adicional, como la introducción de una contraseña registrada.

3D Secure 2. 0 es la siguiente iteración del protocolo. Aborda algunas de las deficiencias de la versión original y tiene un proceso de autenticación menos perturbador, una mejor experiencia de usuario y un mayor nivel de seguridad.

Las principales diferencias entre 3D Secure y 3D Secure 2.0 incluyen mejoras en la experiencia del cliente, autenticación sin fricciones, integración de dispositivos móviles, autenticación sin pago, métodos de autenticación y menores costes.

Ambas benefician a los titulares de las tarjetas e incluso pueden funcionar juntas a la perfección.