Использование карты для оплаты покупок в сети Интернет помимо неоспоримого удобства несет и повышенные риски мошенничества. Для снижения данных рисков платежной системой Visa был разработан протокол 3-D Secure, реализующий дополнительный уровень защиты, при котором держатель карты при проведении оплаты сначала перенаправляется на сайт банка-эмитента, выпустившего карту, где проходит аутентификацию. В ближайшем будущем данный стандарт будет доработан и выпущен под эгидой PCI SSC, что придаст ему дополнительный статус и повысит его важность.
Система, проводящая аутентификацию владельца карты называется Access Control Server и как правило поддерживается либо самим банком-эмитентом, либо сторонним Access Control Server сервис провайдером.
Требования 3-D Secure Security Requirements Enrollment Server and Access Control Servers были разработаны платежной системой Visa в дополнение к протоколу и носят обязательный характер для Access Control Server (ACS) сервис провайдеров и банков-эмитентов, предоставляющих сервис Access Control Server другим банкам, например, банкам аффилиатам.
Документ 3-D Secure Security Requirements дополняет стандарт PCI DSS (все ACS сервис провайдеры должны также соответствовать PCI DSS) и содержит требования по обеспечению безопасности к серверам, входящим в состав Access Control Server, а также требования к процессу управления криптографическими ключами, использующимися для формирования CAVV и подписи PARes, подтверждающими факт прохождения аутентификации владельца карты.
Наша компания сертифицирована в Visa как ACS Security Assessor и готова провести для Вас аудит по требованиям Visa 3-D Secure Security Requirements. Аудит проводится в соответствии с методологией Visa и включает в себя:
- подготовительные работы, в рамках которых о планируемых работах оповещается платежная система, запрашиваются сведения об оцениваемой инфраструктуре и готовится детальный план обследования,
- онсайт аудит, проводящийся сертифицированным ACS аудитором,
- разработку отчета об аудите, включающего описание проверенной инфраструктуры, перечень выявленных несоответствий требованиям и подробные рекомендации по устранению каждого из выявленных недостатков,
- сопровождение в ходе устранения несоответствий, в ходе которого аудитором рассматриваются и оцениваются предоставленные свидетельства устранения несоответствий, по необходимости выдаются дополнительные рекомендации или запрашиваются дополнительные свидетельства.
После устранения всех недостатков аудитором оформляется и подписывается документ Visa Attestation of Compliance, который в дальнейшем предоставляется в платежную систему Visa как свидетельство успешного прохождения аудита.
Наши эксперты могут помочь c внедрением сервиса 3-D Secure (Access Control Server), в частности:
- выбрать 3-D Secure решение, которое позволит выполнить применимые требования,
- спроектировать инфраструктуру сервиса Access Control Server,
- помочь с реализацией необходимых мер защиты инфраструктуры Access Control Server,
- помочь в организации процессов управления ключами,
- предоставить шаблоны процедур управления ключами,
- помочь с корректной настройкой устройств управления ключами (HSM).