What is 3D secure 2.0?

Online payments have revolutionized how we shop and do business.

But they have also opened the door to a new kind of crime. Annual worldwide eCommerce fraud is estimated to be at 48 Billion dollars this year.

One of the best defenses against it is 3D Secure 2.0.

Let's take a look at what it is, what its predecessor (and contemporary) 3D Secure is, and more. We also explain how it relates to Strong Customer Authentication.

What is 3D Secure?

3D Secure (3DS) is an authentication protocol used for online payments and mobile payments.

The earliest version of it appeared in 1999. It provided an advanced extra layer of security for cardholders and merchants.

'3D' refers to the 'three domains' involved in the authentication process. These three domains are the card issuer, the merchant, and the 3D Secure infrastructure:

1. The card issuer is the financial institution that issues a debit or credit card to the customer, i.e., the ca`rdholder's bank
2. The merchant is the business that will receive the payment
3. The 3D Secure infrastructure is the layer of added security between customers and merchants through the card issuer.

3D Secure is implemented to prevent and reduce fraud. It does this primarily by placing additional authentication factors into the transaction process.

Is implementing 3D Secure mandatory?

The Financial Conduct Authority's Strong Customer Authentication (SCA) regulation requires the use of 3D Secure for all online transactions in the European Economic Area (EEA).

In other international regions, it is optional but highly encouraged.

How does the 3D Secure process appear to the customer?

When a cardholder enters their card details to confirm a payment, they might be redirected to an authentication page or portal.

This is where the issuing bank will ask the customer for additional verification with a static password.

Authentication pages are typically co-branded by the given card network. These are usually familiar and trusted brand names from the major card schemes, such as Visa Secure, American Express' SafeKey, and Mastercard's Identity Check.

After completing authentication, the customer will be redirected to the checkout page. The customer and merchant will see the authentication result.

What is 3D Secure 2.0?

3D Secure 2.0 is a security protocol for online transactions that provides higher level identity verification information than standard 3D Secure.

It is designed by some of the major card networks to address some of the shortcomings of the original version released in 2016.

It has a less disruptive authentication process, better user experience and a higher level of security than the original version for reduced risk.

Its mass adoption has taken place alongside the consumer shift to using mobile devices and online shopping.

How does 3D Secure 2.0's authentication protocol work?

1. Initial assessment

It performs high-risk based authentication on an access control server (ACS) - an advanced type of server that that can validate credentials and control access to resources.

Using 3D Secure 2.0, a cardholder's issuing bank can quickly assess a transaction's risk levels. It looks at a wealth of rich data, including merchant's contextual data, the cardholder's previous transactions, etc.

2. 1. Immediate authorization of authentication

If each authentication standard is met, the initial transaction process can be completed with no additional cardholder input.

2. 2. Additional customer authentication

If the protocol raises a red flag indicating a high risk rather than a normal transaction risk, an advanced layer of security is requested from the person trying to make the transaction.

At checkout they will be sent through a 'challenge flow'. This will be an iframe (an element within a html page) which uses the entire existing browser window or just part of it. Here, the customer is asked to provide additional information for authentication.

What are the differences between 3D Secure and 3D Secure 2.0?

1. Customer experience

Parte dello scopo della versione 2.0 è quello di offrire un processo di checkout più indolore rispetto al 3D Secure originale.

Questo avviene incorporando il flusso di sfida direttamente nei browser e nei flussi di pagamento mobile senza richiedere alcun reindirizzamento della pagina. L'autenticazione dei pagamenti con 3D Secure, invece, richiede un reindirizzamento.

2. Autenticazione senza attrito

I pagamenti con 3D Secure 2.0 offrono un'esperienza di autenticazione più semplice rispetto a quelli con 3D Secure.

Nei pagamenti,"senza attrito" si riferisce a processi di pagamento facili, veloci e convenienti.

In questo caso, la richiesta di autenticazione può essere considerata un attrito, in quanto complica e rallenta la transazione. Ciò rischia di indurre gli utenti ad abbandonare i pagamenti con carta online presso il punto vendita (POS).

3D Secure richiede misure di autenticazione a due fattori come password statiche e finestre pop-up. 3D Secure 2.0, invece, autentica le transazioni nello stesso luogo digitale e con meno input da parte del titolare della carta (vedi sotto, "metodi di autenticazione").

Questa differenza ha un impatto sulle vendite. Secondo Visa, l'utilizzo del protocollo 3D Secure 2.0 riduce l'abbandono della carta del 70% e i tempi di pagamento dell'85%.

3. Integrazione mobile

3D Secure 2.0 ha aggiunto un componente mobile SDK (Software Development Kit). Permette agli esercenti di creare un flusso di autenticazione in-app e di evitare i reindirizzamenti del browser.

Questa funzione rende l'esperienza di checkout da mobile più veloce e senza interruzioni.

4. Autenticazione del mancato pagamento

A differenza di 3D Secure, 3D secure 2.0 può essere utilizzato non solo per verificare gli acquisti e le transazioni online. Le sue funzionalità di autenticazione senza pagamento consentono alle banche emittenti di verificare il titolare della carta senza che questi effettui un acquisto online.

Questo può essere utilizzato, ad esempio, per aggiungere una carta di debito o di credito a un portafoglio mobile. La banca emittente verifica le informazioni del titolare della carta e del dispositivo attraverso un flusso senza attrito per prevenire le frodi.

5. Metodi di autenticazione

L'autenticazione 3D Secure si basa sull'inserimento manuale di password o di un codice PIN per verificare l'identità del cliente.

3D Secure 2.0 offre diversi metodi per l'autenticazione dei clienti, come l'autenticazione biometrica (impronte digitali o riconoscimento facciale), password monouso o PIN.

Meno supporto, meno costi

Le persone spesso dimenticano le password. Uno studio condotto da Google nel 2019 ha rilevato che il 75% degli intervistati ha dichiarato di sentirsi frustrato nel tenere traccia delle password.

Una delle conseguenze negative è che il 24% sceglie password comuni e facili da ricordare come "Password", abc123, 111111, ecc. Questo ovviamente non rappresenta un livello efficace di protezione dalle frodi.

Un altro risultato negativo è l'assistenza clienti o i sistemi necessari per recuperare o reimpostare le password dei clienti legittimi.

3D Secure e 3D Secure 2.0 possono lavorare insieme

Molti fornitori di servizi di pagamento offrono entrambe le versioni di 3D Secure come opzione ai loro clienti.

Possono collaborare per fornire un processo di autenticazione più sicuro e flessibile.

Questo dipende dal livello di rischio della transazione e dalle capacità della banca emittente del cliente.

Ad esempio, il processo di autenticazione può iniziare con 3D Secure 2.0 e poi essere reindirizzato a 3D Secure per un'ulteriore autenticazione attraverso la password standard o l'inserimento del PIN.

La soluzione 3D Secure 2.0 di Nuvei

Con Nuvei, la tua azienda è protetta da un sistema di rilevamento e prevenzione delle frodi ad alte prestazioni.

Il nostro software ti permette di bilanciare l'autenticazione forte del cliente (Strong Customer Authentication, SCA), la sicurezza e le conversioni per la tua attività di e-commerce.

Puoi indirizzare automaticamente qualsiasi flusso di pagamento attraverso il nostro processo di autenticazione all'avanguardia, basato su esenzioni, regole e valutazioni dei rischi individuali.

Offriamo una soluzione indipendente dalla banca acquirente per aiutarti a gestire la complessità del 3D secure 2.0, come richiesto dalle restrizioni della legge di mercato e dalle normative PSD2 SCA.

Sommario

3D Secure è un protocollo di sicurezza utilizzato per autenticare i pagamenti online. Dal 1999 previene e riduce le frodi nei pagamenti grazie all'aggiunta di fattori di autenticazione.

Il processo di autenticazione prevede il reindirizzamento a una pagina o a un portale di autenticazione in cui la banca emittente chiederà ulteriori verifiche, come l'inserimento di una password registrata.

3D Secure 2.0 è la nuova versione del protocollo. Risolve alcune delle carenze della versione originale e offre un processo di autenticazione meno dispendioso, una migliore esperienza utente e un livello di sicurezza più elevato.

Le principali differenze tra 3D Secure e 3D Secure 2.0 includono miglioramenti dell'esperienza del cliente, autenticazione senza attrito, integrazione dei dispositivi mobili, autenticazione senza pagamento, metodi di autenticazione e costi inferiori.

Entrambi offrono vantaggi ai titolari di carta e possono anche lavorare insieme senza soluzione di continuità.