При правильном подходе он может стать фактором успеха, а при неверном использовании – привести к серьезным проблемам. Мы проанализировали свой опыт настройки приема платежей на сайтах компаний разных типов бизнеса и выделили девять секретов, которые помогают увеличить эффективность работы интернет-магазина или онлайн-сервиса. Мы хотим поделиться с читателями этими секретами и начнем с настройки протокола 3-D Secure.

Создатель протокола 3-D Secure (3DS) – международная платежная система Visa (программа Verified by Visa). 3DS поддерживается ключевыми мировыми платежными системами: MasterCard SecureCode и J/Secure от JCB International.

Основная задача 3DS – защитить плательщиков и предприятия от мошенников. Поддержка протокола 3DS практически ликвидирует опасность совершения мошеннических операций с помощью банковской карты, так как является ещё одним способом подтверждения личности плательщика.

Почему 3-D Secure так называется? В обработке платежа с использованием протокола 3DS участвует три домена (3D), на которых создаются и проверяются транзакции (платежные операции по банковским картам): домен эквайера, домен эмитента и домен взаимодействия.

80% банковских карт в России подписаны на протокол 3-D Secure. 30 миллионов россиян совершают покупки в Интернете. Значит, более 24 миллионов россиян хотя бы раз проходили через процесс авторизации платежа с помощью 3DS. Как это происходит с точки зрения плательщика?

Человек оформляет заказ на сайте, нажимает «Оплатить» и, заполнив платежную форму, попадает на страницу, расположенную на домене банка-эмитента (банка, выпустившего карту), для ввода уникального кода проверки.

Код в большинстве случаев поступает в виде SMS, иногда используются другие механизмы (набор кодов на карте, уточнение кода по телефону в банке и т.д.). Всё, что нужно сделать плательщику – ввести код в соответствующее поле и закончить процедуру оплаты.

С точки зрения интернет-магазина всё не так просто. Не все банковские карты в России подписаны на 3DS: ряд банков просто не поддерживает протокол, в некоторых банках решение о подключении услуги 3DS авторизации принимает плательщик. Таких карт – около 20% от общего числа. На июль прошлого года в России было выпущено более 220 миллионов карт, по полторы карты на человека. Конечно, стоит учитывать, что люди, совершающие покупки в интернете, стараются защитить себя, а карты без 3DS в основном выпускаются в рамках зарплатных, пенсионных, стипендиальных проектов.

Но, все-таки, в аудитории каждого коммерческого сайта есть клиенты с картами, не подписанными на 3DS (их доля зависит от типа бизнеса компании, географии ее работы и других факторов). Нужно принять решение о том, как работать с этими клиентами, как настроить протокол 3-D Secure.

Именно здесь интернет-магазин сталкивается с вопросом безопасности и необходимостью оценки рисков. Пропускать все транзакции подряд – шаг рискованный, можно «нарваться» на мошенников, получить чарджбэки и потерять заметную часть прибыли. С другой стороны, отклонять платежи по картам, не подписанным на 3DS, значит терять лояльных клиентов и собственную прибыль.

Настройка 3D-Secure на сайте – дело «тонкое». Она требует понимания уровня рисков в том сегменте интернет бизнеса, в котором работает компания.

Можно условно выделить три основных типа настроек протокола 3DS:
1. Минимальный 3DS
2. FULL 3DS
3. Двухступенчатый 3DS

Отметим сразу, что далее мы будем говорить о настройке приема платежей по картам, подписанным на Verified by Visa или MasterCard SecureCode.

Full (полный) 3DS – это базовая настройка протокола 3DS, рекомендованная международными платежными системами. Эта настройка минимизирует риск возникновения мошеннических операций и, соответственно, вероятность чарджбэков и финансовых рисков для компании.

Как это работает? Очень просто. Платежи одобряются только после прохождения авторизации с помощью протокола 3DS. Действует для всех карт без исключения. Все транзакции проходят по протоколу 3DS.

Если проверка по 3DS на стороне эмитента не работает или карта не подписана на 3DS, транзакция пройдет только с согласия эмитента, в противном случае будет отклонена.

Такая настройка протокола соответствует международным стандартам безопасности и минимизирует уровень рисков возникновения мошеннических операций. В рамках нашего базового коробочного платежного решения Pay-Start (решение разработано для сайтов с оборотом до 30 тысяч рублей в сутки), используется только базовая, Full, настройка протокола 3DS. Это обеспечивает небольшим компаниям практически полную безопасность при приеме платежей. Платежный сервис несет ответственность за безопасность платежей и никогда не порекомендует клиенту «поставить себя под удар» мошенников

Однако, в случае с крупным бизнесом, вопрос увеличения конверсии становится настолько критичным, что может заставить предпринимателя пойти на уступки в отношении безопасности. В этой ситуации часть или все платежи по банковским картам обрабатываются без проверки с помощью 3DS. Это касается минимальной и двухступенчатой настроек протокола.

Минимальные настройки протокола 3DS позволяют проверить карты, подписанные на 3DS, а остальные пропустить без проверки (точнее с проверкой – но с помощью других инструментов системы безопасности, так называемых фильтров безопасности).

Итак, при выборе минимальных настроек 3DS:
- Если карта не подписана на 3DS, транзакция проходит без 3DS.
- Если карта подписана на программу Verified by Visa или Mastercard SecureCode, транзакция проходит по 3DS.
- Если по каким-то причинам проверка по 3DS на стороне эмитента (банка, выпустившего карту) не работает, решение о судьбе транзакции принимается в соответствии с заранее заданным алгоритмом.

Эта настройка протокола 3DS похожа на минимальную, но имеет одно существенное отличие. В этом случае все запросы на одобрение транзакций направляются в банк-эмитент по протоколу 3DS. И банк-эмитент принимает решение о возможности проведения транзакции, если карта плательщика не подписана на протокол 3DS. Если банк отклоняет транзакцию, она направляется на проверку повторно, но уже не по протоколу 3DS.

Можно пойти дальше и выбрать один из трех возможных вариантов, настроив 3-D Secure ещё «тоньше», учитывая тип бизнеса и географию стран, в которых представлены интересы компании. Например, включить 3DS для определенных стран или заданного типа карт, а также в зависимости от различных параметров платежа - суммы, географии плательщика и т.д.

Нужно еще раз отметить, что минимальный и двухступенчатый 3DS при непрофессиональном использовании могут повысить уровень риска возникновения мошеннических операций и, соответственно, финансовых потерь. В общем, настройка 3DS – это совсем не игрушка.

Перед изменением настроек протокола проводится совместный анализ аудитории и специфики бизнеса компании (средний «по больнице» уровень рисков в данном сегменте, география приема платежей, размер среднего чека и т.д.). Анализ проводится специалистами платежного сервиса при участии представителей компании клиента. По результатам проведенного анализа предоставляются рекомендации по возможности изменения настроек и сопряженному с ними уровню рисков. Финальное решение принимает клиент, так как он берет на себя ответственность за возможность возникновения мошеннических операций. Стоит отметить, что изменения чаще всего внедряются в случае, если нет серьезных опасений о появлении фрода.

Здесь встает вопрос, по какой же схеме удобнее, выгоднее и безопаснее работать интернет-магазину или другому сервису, принимающему платежи онлайн?

Единственная слабость Full 3DS очевидна – платежи по картам, не подписанным на 3DS (в России их около 20% и их число постоянно уменьшается), будут отклоняться. Такие карты обычно эмитируются банками, не входящими в ТОП-50, зачастую региональными. Главным плюсом же является практически полная безопасность: в соответствии с установленными международными платежными системами правилам ответственность за операции, обработанные по протоколу 3DS, несет банк-эмитент (банк, выпустивший карту).

Выбирая двуступенчатый или минимальный 3DS, интернет-магазин берет на себя риски, связанные с возможностью возникновения фрода (мошеннических операций). Однако, при профессиональном анализе рисков, тонкой настройке системы фрод-мониторинга на стороне платежного партнера доля успешных транзакций заметно увеличивается, иногда на десятки процентов

Рассмотрим кейс одного из наших клиентов, авиабилетного агентства «Посошок» (pososhok.ru). Оборот компании в 2013 году составил 4,5 млрд. рублей, на сегодняшний день компания может похвастаться полутора миллионами обслуженных пассажиров.

В марте 2014 года компания столкнулась с проблемой: авторизация покупателей с помощью протокола 3-D Secure давала высокую степень защиты, но перед компанией стояла задача увеличить конверсию в оплаты: одобрялось лишь 79% транзакций.

На тот момент использовалась двустадийная авторизация платежей. Первая стадия авторизации проводилась по протоколу 3D-Secure. Если платеж совершался с карты, не подписанной на 3DS, на второй стадии авторизации проверка выполнялась системой мониторинга мошеннических операций PayOnline (о ней будет рассказано подробнее в следующих статьях) на основании настроек её фильтров.

Проанализировав аудиторию покупателей, ядро которой составляли россияне, специалисты «Посошка» совместно с консультантом PayOnline приняли решение об изменении настроек безопасности для платежей из России, совершаемых картами, эмитированными в России. Для таких платежных операций была отключена авторизация по протоколу 3DS. Их проверяла система мониторинга мошеннических операций PayOnline, каждый из 154 фильтров которой был настроен в соответствии со спецификой бизнеса «Посошка». Для остальных типов транзакций продолжала применяться авторизация по 3DS.

Результат не заставил себя долго ждать: уже к сентябрю 2014 года конверсия «взлетела» до 91%, и продолжает расти.

При этом количество «чистых» операций, отклоненных системой мониторинга за этот период, можно пересчитать по пальцам – и все они впоследствии были идентифицированы и проведены вручную. А благодаря профессионализму специалистов, занимавшихся настройкой протокола 3DS, изменения не сказались на уровне безопасности.