Platební brána s možností vynuceni 3D secure

Chci mít možnost defaultně blokovat platby z takových karet, co nepodporují 3D secure, což jsou jen některé karty vydané mimo EU. Jen tak je jistota, že majitel karty s platnou souhlasí a nepodstrčil nějaké kradené číslo třeba z USA.

Přestože mám ověřeno, že technicky to možné je, ale většina bran a bank se tváří že to nejde a raději obchod lustrují podle typu podnikání a dalších různých neurčitých ukazatelů. Nerozumím tomu, proč si takto přidávají práci, když při vynuceném 3D secure je bezpečnost zaručena.

Nyní používáme GoPay, tam tvrdí, že to je tohle omezení aktivní, ale nemám jak to ověřit. Nejsem s nimi spokojený, komplikují věci více než je nutné. U zákazníků ověřujeme, že mají české mobilní číslo, abychom se vyhnuli podvodníkům ze zahraničí. Měsíční obrat řádově ve statisících, od platby kartou se snažíme zákazníky odradit, propagujeme okamžité platby - podporuje to už velká část českých bank.
Jinak jsem narazil ještě na jednu českou bránu (musel bych jméno dohledat v emailech), která to umí s poplatkem 1%, což se mi zdálo vysoké.

Proč ostatní tvrdí že to nejde?

Původně odeslal Petrso ↪

většina bran a bank se tváří že to nejde a raději obchod lustrují podle typu podnikání a dalších různých neurčitých ukazatelů. Nerozumím tomu, proč si takto přidávají práci.

Proč ostatní tvrdí že to nejde?

Sběr dat? Kontrola biznisu majteli bank?

Ono to je složité :), ale dnes již je ověření plateb v EU vynuceno vesměs všude.

Vysvětlení.

Banka jako vydavatel karet je svázaná smlouvu s Visa a Mastercard, ti zakazují, aby docházel k odmítání plateb kartami bez 3D Secure (3D Secure je společný produkt karetních společností), protože to je pouze nepovinná volba. Stejné problémy má poté také platební brána, je na ní poměrně velká břímě prokazování a ověřování, zároveň jí je také znemožněno odmítat karty bez 3D Secure. Samotný 3D Secure funguje na principu, že brána vyzve banku k tzv. challenge a poté banka sama rozhodne jestli výzvu (v praxi zejména přes sms) udělá.

Pak přišlo v EU nařízení pod označením PSD2 SCA (Payment Services Directive 2 Strong Customer Authentication - Strong Customer Authentication) účinné od 1.1.2021 (avšak některé banky mohou mít přechodné období), které vyžaduje "vyšší" míru ověření pro veškeré elektronické transakce, jak možnost ověření dává běžné 2FA, otisk prstu atd. Na to zaregovaly společnosti Visa a Mastercard s vydáním nového standardu 3D Secure V2 (někdy označovaného jako 3DS2 nebo 3DSV 2), které tohle implementují a banky dostaly možnost vyhodnocovat transakce a podle svých kritérií se rozhodnout, jestli vynutí další faktor (pod tzv. frictionless flow, neznám český překlad) nebo transakci zamítnou. Brány ale tahají za kratší konec, podle smluv musí pořád akceptovat i karty bez 3D Secure pokud je vydávající banka v režimu výjimky podle PSD2 SCA.

GoPay má implementované 3DS2 a u bank, které jedou plně pod režimem PSD2 SCA a mají také 3DS2 mohou vynucovat, ale opět nesmí odmítat karty podle vlastních podmínek při placení ač tvrdí v tiskové zprávě něco jiného.

Pořád existuje ale řada transakcí, u kterých není možné vynucovat ověření, např. Merchant initiated transaction (neznám český překlad) nebo u všech recurring (opakovaných). 3DS2 a jeho frictionless flow je také zajímavá věc, navenek se to tváří bezpečně a moderně (brána tvrdí, že jede plně v režimu 3DS2, banka totéž), ale pak projde transakce jen zadáním údajů z karty a všichni jsou spokojení. Frictionless flow totiž dává do ruky bance nástroj jak sama může vyhodnotit, kdy použije jaký způsob ověření, pak třeba transakce s nízkou hodnotou nechá projít, nebo transakce které děláš pravidelně u nějakého eshopu také nechá projít, stejně tak třeba české banky nechávají projít transakce na některé úřední účty. Někdy samotná banka umožňuje nastavit, pro které transakce má vyžadovat další kontrolu (Česká spořitelna to umí snad vynutit pro úplně všechny). Výsledek je takový, že může být snadnější kartu zneužít a na obchodníkovi je daleko vyšší míra odpovědnosti než byla s pouze 3D Secure, k tomu jako bonus netuší k jakému ověření došlo při platbě, na druhou stranu za všechny transakce nesou samotné banky vyšší rizika, protože nově je v jejich režimu samotná kontrola, proto banky více ověřují co vlastně děláš za podnikání, odkud máš peníze a zákazníky. Platební brány jsou zase v kleštích společností jako Visa, Mastercard a poté také nařízení EU, nesou poměrně vysoká rizika, proto dělají vyšší míru kontroly nad transakcemi.

Pokud by bylo pravda, že Visa a Mastercard zakazují bránám, aby blokovali platby z karet co nepodporují 3D secure (zjevně proto, aby se americké banky nemuseli obtěžovat 3D secure implementovat), jak je pak možné, že některé tuhle službu nabízí?

Pokud by bylo možné provádět jen platby s 3D secure a ostatní zakázat, nikdo žádná rizika nenese, všechny platby jsou ověřené. Samozřejmě se nebavím o opakovných plateb vyžádaných od obchodníka, kde je ale riziko minimální, protože se těžko jedná o kradené číslo karty, když ověřena byla ta první platba.
Obávám se toho, že někdo si koupí kradená čísla platebních karet na darknetu a dobije si kredit, který obratem převede na hotovost pomocí hovorů do extra drahých destinací z kterých dostane provizi a já s tím nic nenadělám. A banka nebo brána se bude tvářit, že je to můj problém, že mám rizikové zákazníky a ne jejich. Přitom efektivní blokování takových podvodů záměrně neumožňuje.

Proč se chovají takto divně je právě věc kterou nechápu.

Nejde jen o USA, ale první verzi 3D Secure neměla nasazena ani většina EU. Jestli za tím jsou ekonomické zájmy netuším, prakticky byl problém s tím, že zákazník si nemůže 3D Secure vynutit, nelze to zapnout u již vydané karty a řada karet má platnost i 4 roky. Máme trochu pokřivené vnímání, protože naše banky byly s nasazování 3D Secure dokonce snad nejrychlejší v EU. Při platbách ze zahraničí s tím byly problémy i u našich bank, není snadné doručovat sms do všech končin světa tak snadno a levně jako místně.

Nově je ale s nařízením PSD2 SCA vše jinak, povinnost implementovat ochranu (prakticky pak v podobně 3D Secure 2) platí pro všechny zúčastněné, výjimky jsou možné jen za určitých okolností a jsou časově omezené, takže za rok bude penetrace skoro 100%.

To právě neplatí, ani u 3D Secure 2 nejsou všechny platby ověřené a ani ověření nepřidává nijak velkou jistotu, neexistují totiž technologie, které by takovou jistotu ti zajistili. Dnes se ke kradeným kartám také prodávají přístupy k 2FA smskám, dělá se to tak, že majiteli se na telefon dostane zákeřný program, ten ukradne číslo karty a zároveň čeká na sms, kterou pak přepošle dál, majitel se ani nedozví, že k něčemu takovému došlo. Samotné sms jsou také zranitelné na své přenosové vrstvě a je možné je číst, měnit nebo znemožnit příjem, u 3D Secure to byla ale jediná možnost jak dělat 2FA. 3D Secure je z velké části jen marketing a jako obchodník neseš pořád svůj díl rizika a nemůžeš jen tak přijímat platby od kohokoliv kamkoliv, můžeš být pak donucen je vracet v případě, kdy se prokáže, jsi si o tom mohl vědět a že celá transakce byla podezřelá, také jsme to s klienty několikrát řešili a řešíme.

Také nevím, proč banky více netlačí na ověřování transakcí, vidím tam dost slabin. Na tvoji původní otázku, hledej platební brány, které dnes podporují PSD2 SCA (např. v podobně SD Secure 2), vím, že to má např. gopay a snad i comgate, naopak gpwebpay na tom ještě pracuje a myslím, že jsem ještě neviděl vypuštění. Pokud chceš jako obchodník větší jistotu, karty jsou na tom dost špatně, naopak platby např. přes ApplePay či GooglePay jsou na tom z jistoty a záruk dobře, stejně tak jako platební tlačítka.

Pohybuji se pracovně v bankovním sektoru asi 10 let, u některých českých bank jsem právě implementace PSD2 věcí zajišťoval, tak mám vesměs jen kusé informace jak to na pozadí probíhá, snažím se být přesný, ale nejsem autorita, která by mohla mluvit za banky a platební brány.