Всё верно, без использования RBA у Эмитента нет возможности предложить пользователю иной путь, кроме как обязательное подтверждение вторым фактором.
Про browser канал – это очень хороший вопрос, действительно данных об устройстве в нём меньше, чем в application-based канале, и они зачастую не позволяют однозначно идентифицировать устройство.
Тем не менее, наши оценки уже сейчас позволяют говорить о возможности оценивать по frictionless сценарию порядка 40-50 процентов операций, поступающих по browser-каналу, в зависимости от настроек рисковой модели и объема имеющихся у RBA данных,
Активное вовлечение мобильных SDK по нашим оценкам позволит повысить эти значения до 70-80 процентов.
Для сервис-провайдеров у НСПК есть Сервис принятия решений (СПР), который обладает полным функционалом RBA-системы.
Но для его использования сервис-провайдеру необходим собственный 3DS Server (компонент в домене Эквайрера), который необходимо сертифицировать в ПС «Мир».
Собственного 3DS Server, который сервис-провайдер мог бы использовать для выполнения 3DS-аутентификации как сервис, у НСПК нет.
Справедливое замечание. Но в целом Эмитент карты вправе самостоятельно определять способ аутентификации своего клиента при совершении операций в тех или иных каналах.
Вы совершенно правы. Причем у ПС, использующих 3DS 1.0, есть довольно жесткие требования по времени ответа от ACS Эмитента с результатом аутентификации. В случае, если результат пришел позже, по правилам ПС он должен быть отклонен платежным шлюзом, и операция завершается неуспешно.
В следующей версии спецификации, EMV 3DS 2.0, появляется функционал отложенного подтверждения операции. Об этом мы расскажем в следующей статье.
Этот момент регулируется договором между ТСП и Эквайрером, и нюансов тут может быть много. Для крупных ТСП Эквайрер зачастую просто переносит на них ответственность за фродовые операции без 3DS, так что ТСП самостоятельно решает, в каких случаях оно готово проводить такие операции.
Спасибо за Ваш комментарий. Действительно, в общем случае правила платежных систем переносят ответственность за фрод на ту сторону, которая не обеспечила проведение 3DS-аутентификации. Если магазин не пошел в 3DS, то и отвечать ему. Но в некоторых случаях, несмотря на формальные правила ПС, Эмитенты тоже могут не принимать авторизации без 3DS, т.к. не хотят нести репутационные риски, связанные с фродом по их картам.
По факту каждая сторона самостоятельно определяет итоговый алгоритм принятия решения, который учитывает бизнес-цели и рисковый профиль.
Всё верно, проводя операцию по карте без 3DS подтверждения магазин тем самым принимает на себя ответственность по возмещению ден.средств в случае, если держатель карты обратится к Эмитенту с заявлением, что операцию не совершал.
Да, действительно, использовать ли 3-D Secure при совершении конкретной операции крупные ТСП решают, как правило, самостоятельно.
При большом торговом обороте потеря конверсии из-за включения 3DS может выливаться в значительные суммы, поэтому они зачастую используют собственные системы анализа рисков и пытаются балансировать между снижением конверсии из-за включения 3DS и увеличением фрода с сопутствующими фин.потерями на его оплату.
Про browser канал – это очень хороший вопрос, действительно данных об устройстве в нём меньше, чем в application-based канале, и они зачастую не позволяют однозначно идентифицировать устройство.
Тем не менее, наши оценки уже сейчас позволяют говорить о возможности оценивать по frictionless сценарию порядка 40-50 процентов операций, поступающих по browser-каналу, в зависимости от настроек рисковой модели и объема имеющихся у RBA данных,
Активное вовлечение мобильных SDK по нашим оценкам позволит повысить эти значения до 70-80 процентов.
Для сервис-провайдеров у НСПК есть Сервис принятия решений (СПР), который обладает полным функционалом RBA-системы.
Но для его использования сервис-провайдеру необходим собственный 3DS Server (компонент в домене Эквайрера), который необходимо сертифицировать в ПС «Мир».
Собственного 3DS Server, который сервис-провайдер мог бы использовать для выполнения 3DS-аутентификации как сервис, у НСПК нет.
В следующей версии спецификации, EMV 3DS 2.0, появляется функционал отложенного подтверждения операции. Об этом мы расскажем в следующей статье.
По факту каждая сторона самостоятельно определяет итоговый алгоритм принятия решения, который учитывает бизнес-цели и рисковый профиль.
При большом торговом обороте потеря конверсии из-за включения 3DS может выливаться в значительные суммы, поэтому они зачастую используют собственные системы анализа рисков и пытаются балансировать между снижением конверсии из-за включения 3DS и увеличением фрода с сопутствующими фин.потерями на его оплату.