What is 3D secure 2.0?

Online payments have revolutionized how we shop and do business.

But they have also opened the door to a new kind of crime. Annual worldwide eCommerce fraud is estimated to be at 48 Billion dollars this year.

One of the best defenses against it is 3D Secure 2.0.

Let's take a look at what it is, what its predecessor (and contemporary) 3D Secure is, and more. We also explain how it relates to Strong Customer Authentication.

What is 3D Secure?

3D Secure (3DS) is an authentication protocol used for online payments and mobile payments.

The earliest version of it appeared in 1999. It provided an advanced extra layer of security for cardholders and merchants.

'3D' refers to the 'three domains' involved in the authentication process. These three domains are the card issuer, the merchant, and the 3D Secure infrastructure:

1. The card issuer is the financial institution that issues a debit or credit card to the customer, i.e., the ca`rdholder's bank
2. The merchant is the business that will receive the payment
3. The 3D Secure infrastructure is the layer of added security between customers and merchants through the card issuer.

3D Secure is implemented to prevent and reduce fraud. It does this primarily by placing additional authentication factors into the transaction process.

Is implementing 3D Secure mandatory?

The Financial Conduct Authority's Strong Customer Authentication (SCA) regulation requires the use of 3D Secure for all online transactions in the European Economic Area (EEA).

In other international regions, it is optional but highly encouraged.

How does the 3D Secure process appear to the customer?

When a cardholder enters their card details to confirm a payment, they might be redirected to an authentication page or portal.

This is where the issuing bank will ask the customer for additional verification with a static password.

Authentication pages are typically co-branded by the given card network. These are usually familiar and trusted brand names from the major card schemes, such as Visa Secure, American Express' SafeKey, and Mastercard's Identity Check.

After completing authentication, the customer will be redirected to the checkout page. The customer and merchant will see the authentication result.

What is 3D Secure 2.0?

3D Secure 2.0 is a security protocol for online transactions that provides higher level identity verification information than standard 3D Secure.

It is designed by some of the major card networks to address some of the shortcomings of the original version released in 2016.

It has a less disruptive authentication process, better user experience and a higher level of security than the original version for reduced risk.

Its mass adoption has taken place alongside the consumer shift to using mobile devices and online shopping.

How does 3D Secure 2.0's authentication protocol work?

1. Initial assessment

It performs high-risk based authentication on an access control server (ACS) - an advanced type of server that that can validate credentials and control access to resources.

Using 3D Secure 2.0, a cardholder's issuing bank can quickly assess a transaction's risk levels. It looks at a wealth of rich data, including merchant's contextual data, the cardholder's previous transactions, etc.

2. 1. Immediate authorization of authentication

If each authentication standard is met, the initial transaction process can be completed with no additional cardholder input.

2. 2. Additional customer authentication

If the protocol raises a red flag indicating a high risk rather than a normal transaction risk, an advanced layer of security is requested from the person trying to make the transaction.

At checkout they will be sent through a 'challenge flow'. This will be an iframe (an element within a html page) which uses the entire existing browser window or just part of it. Here, the customer is asked to provide additional information for authentication.

What are the differences between 3D Secure and 3D Secure 2.0?

1. Customer experience

L'objectif de la version 2.0 est notamment d'offrir une procédure de paiement moins pénible que la version originale de 3D Secure.

Il le fait est en intégrant le flux de défi directement dans les navigateurs et les flux de paiement mobile sans nécessiter de redirection de page. L'authentification des paiements avec 3D Secure, en revanche, nécessite une redirection.

2. Authentification sans friction

Les paiements 3D Secure 2.0 offrent une expérience d'authentification plus fluide que les paiements 3D Secure.

Dans le domaine des paiements, le terme"sans friction" fait référence à des processus de paiement faciles, rapides et pratiques.

Dans ce cas, une demande d'authentification peut être considérée comme une friction car elle complique et ralentit une transaction. Cela risque de pousser les utilisateurs à abandonner les paiements par carte en ligne au point de vente (POS).

3D Secure nécessite des mesures d'authentification à deux facteurs comme des mots de passe statiques et des fenêtres contextuelles. 3D Secure 2.0, quant à lui, authentifie les transactions au même endroit numérique et avec moins de saisie de la part du titulaire de la carte (voir ci-dessous, "méthodes d'authentification").

Cette différence a un impact sur les ventes. Selon Visa, l'utilisation du protocole 3D Secure 2.0 réduit les abandons de cartes de 70 % et les temps de passage en caisse de 85 %.

3. Intégration mobile

3D Secure 2.0 comporte un composant SDK (kit de développement logiciel) mobile supplémentaire. Il permet aux commerçants de construire un flux d'authentification in-app et d'éviter les redirections de navigateur.

Cette fonctionnalité rend l'expérience de paiement mobile plus rapide et plus transparente.

4. Authentification du non-paiement

Contrairement à 3D Secure, 3D secure 2.0 peut être utilisé pour plus que la simple vérification des achats et des transactions en ligne. Ses capacités d'authentification en cas de non-paiement permettent aux banques émettrices de vérifier le titulaire de la carte sans qu'il effectue un achat en ligne.

Cela peut être utilisé pour ajouter une carte de débit ou de crédit à un portefeuille mobile, par exemple. La banque émettrice vérifie les informations relatives au titulaire de la carte et à l'appareil grâce à un flux sans friction afin d'éviter les fraudes.

5. Méthodes d'authentification

L'authentification 3D Secure repose sur la saisie manuelle de mots de passe ou d'un code PIN pour vérifier l'identité d'un client.

3D Secure 2.0 propose différentes méthodes d'authentification des clients, telles que l'authentification biométrique (empreinte digitale ou reconnaissance faciale), les mots de passe à usage unique ou les codes PIN.

Moins de soutien, moins de coûts

Les gens oublient souvent leurs mots de passe. Une étude menée par Google en 2019 a révélé que 75 % des personnes interrogées ont déclaré se sentir frustrées par le suivi des mots de passe.

L'une des conséquences négatives est que 24 % optent pour des mots de passe courants et faciles à retenir tels que "Mot de passe", abc123, 111111, etc. Cela ne constitue évidemment pas un niveau efficace de protection contre la fraude.

Un autre résultat négatif est l'assistance à la clientèle ou les systèmes nécessaires pour aider à récupérer ou à réinitialiser les mots de passe des clients légitimes.

3D Secure et 3D Secure 2.0 peuvent fonctionner ensemble

De nombreux prestataires de services de paiement proposent les deux versions de 3D Secure en option à leurs clients.

Ils peuvent travailler ensemble pour fournir un processus d'authentification plus sûr et plus flexible.

Cela dépend du niveau de risque de la transaction et des capacités de la banque émettrice du client.

Par exemple, le processus d'authentification peut commencer par 3D Secure 2.0, puis être redirigé vers 3D Secure pour une authentification supplémentaire par le biais d'un mot de passe standard ou de la saisie d'un code PIN.

La solution 3D Secure 2.0 de Nuvei

Avec Nuvei, ton entreprise est protégée par une détection et une prévention des fraudes très performantes.

Notre logiciel te permet d'équilibrer l'authentification forte des clients (SCA), la sécurité et les conversions pour ton commerce électronique.

Tu peux diriger automatiquement tout flux de paiement à travers notre processus d'authentification de pointe basé sur des exemptions, des règles et des évaluations de risques individuels.

Nous proposons une solution agnostique aux banques acquéreuses pour t'aider à gérer la complexité 3D secure 2.0, comme l'exigent les restrictions des lois du marché et les réglementations PSD2 SCA.

Résumé

3D Secure est un protocole de sécurité utilisé pour authentifier les paiements en ligne. Depuis 1999, il permet de prévenir et de réduire la fraude sur les paiements grâce à des facteurs d'authentification supplémentaires.

Son processus d'authentification implique une redirection vers une page ou un portail d'authentification où la banque émettrice demandera une vérification supplémentaire telle que la saisie d'un mot de passe enregistré.

3D Secure 2.0 est la prochaine itération du protocole. Elle remédie à certaines lacunes de la version originale et propose un processus d'authentification moins perturbant, une meilleure expérience utilisateur et un niveau de sécurité plus élevé.

Les principales différences entre 3D Secure et 3D Secure 2.0 sont l'amélioration de l'expérience client, l'authentification sans friction, l'intégration des appareils mobiles, l'authentification sans paiement, les méthodes d'authentification et la réduction des coûts.

Les deux bénéficient aux titulaires de cartes et peuvent même fonctionner ensemble de façon transparente.