نظام التحقق (3D Secure): حجر الأساس لأمان الدفع عبر الإنترنت
نظام التحقق (3D Secure): حجر الأساس لأمان الدفع عبر الإنترنت
الكاتب: عبدالله المنيع
الكاتب: عبدالله المنيع
١٠ ربيع الآخر ١٤٤٦ هـ
في عصر التجارة الرقمية، حيث يمكن بنقرة واحدة شراء أي شيء من مأكولات إلى حجز إجازة كاملة، أصبح أمان معاملاتنا عبر الإنترنت أمرًا بالغ الأهمية. في قلب ملايين عمليات الشراء عبر الإنترنت، يوجد إجراء أمني يعرف باسم “3D Secure”. تلعب هذه التقنية دورًا أساسيًا في الحماية من الاحتيال، مع الحفاظ على تجربة مستخدم سلسة قدر الإمكان.
"3D Secure"، والذي يرمز إلى “نظام التحقق”، هو بروتوكول مصمم لإضافة طبقة إضافية من الأمان إلى المعاملات عبر الإنترنت. هذا هو السبب وراء توجيهك في بعض الأحيان إلى صفحة منفصلة لتقديم التحقق الإضافي عند إجراء عملية شراء عبر الإنترنت. وعلى الرغم من أن هذه الخطوة قد تبدو إضافية، فإن هذا النظام يمثل الخط الأول في الدفاع في المعركة المستمرة ضد الاحتيال في التجارة الإلكترونية.
كيف يوازن هذا البروتوكول بين مستوى الأمان العالي وتجربة المستخدم؟ ما الذي يجعله فعالًا في مكافحة الاحتيال عبر الإنترنت؟ ولماذا أصبح جزءًا لا يتجزأ من التجارة الإلكترونية في جميع أنحاء العالم؟
التاريخ
مع ازدهار التجارة الإلكترونية في أواخر التسعينيات، تصاعدت تحديات أمان الدفع عبر الإنترنت. وبدأ الاحتيال في المعاملات غير المادية (CNP) في الارتفاع، مما خلق حاجة ملحة لنظام تحقق قوي.
في عام 1999، أدركت فيزا Visa هذه الحاجة وبدأت في تطوير حل. وتكللت جهودهم بإطلاق 3D Secure 1.0 في عام 2001، تحت اسم “Verified by Visa”. أضافت هذه التقنية طبقة إضافية من الأمان إلى المعاملات عبر الإنترنت من خلال مطالبة حاملي البطاقات بالتحقق من هويتهم مع البنك المصدر للبطاقة أثناء عملية الدفع.
كان تأثير ابتكار فيزا Visa سريعًا وواسع النطاق. وسرعان ما تبعت شبكات البطاقات الرئيسية الأخرى:
- قدمت Mastercard خدمة “SecureCode”
- طرحت JCB خدمة “J/Secure”
- أطلقت American Express خدمة “SafeKey”
وعلى الرغم من أن كل شبكة أطلقت خدمتها الخاصة بعلامة تجارية مختلفة، إلا أن جميعها كانت تعتمد على بروتوكول3D Secure الأساسي، مما أدى إلى توحيد النهج في أمان الدفع عبر الإنترنت.
النطاقات الثلاثة
يرمز “3D” في 3D Secure إلى النطاقات الثلاثة الرئيسية المشاركة في عملية المعاملة الآمنة. فهم هذه النطاقات أمر ضروري لفهم كيفية عمل 3D Secure كبروتوكول أمني شامل.
1. نطاق التاجر (Acquirer Domain)
يمثل نطاق التاجر، التاجر والبنك أو المؤسسة المالية التي تعالج المدفوعات نيابة عن التاجر (بنك التاجر).
دور النطاق في 3D Secure:
- يشرع في عملية 3D Secure أثناء الدفع.
- يرسل تفاصيل المعاملة إلى نطاق المُصدِر.
- يتلقى نتائج التحقق ويتابع المعاملة وفقًا لذلك.
2. نطاق المُصدِر (Issuer Domain)
يمثل نطاق المُصدِر حامل البطاقة والبنك أو المؤسسة المالية التي أصدرت بطاقة الدفع (بنك العميل).
دور النطاق في 3D Secure:
- يتحقق من هوية حامل البطاقة.
- يقيّم مخاطر المعاملة.
- يرسل نتائج التحقق إلى النطاقات الأخرى.
3. نطاق التشغيل البيني (Interoperability Domain)
يعمل نطاق التشغيل البيني كجسر بين نطاقات التاجر والمُصدِر، لتسهيل الاتصال وتبادل البيانات بشكل آمن.
دور النطاق في 3D Secure:
- يقوم بتوجيه الرسائل بين نطاقات التاجر والمُصدِر.
- يضمن استخدام جميع الأطراف لإصدارات متوافقة من بروتوكول 3D Secure.
- يحافظ على سلامة وأمان البيانات المتبادلة بين النطاقات.
عملية 3D Secure
تشمل عملية 3D Secure تفاعلات معقدة بين حامل البطاقة، التاجر، البنك المُصدِر، والأنظمة الوسيطة المختلفة. دعنا نفصل هذه العملية إلى خطوات لفهم شامل لكيفية سيرها.
1. بدء المعاملة
يبدأ حامل البطاقة عملية الدفع على موقع التاجر أو تطبيقه. يقوم حامل البطاقة بإدخال تفاصيل بطاقة الدفع الخاصة به.
2. الاستعلام من خادم الدليل (DS)
يرسل خادم 3D Secure الخاص بالتاجر (جزء من نطاق التاجر) طلب استعلام إلى خادم الدليل (DS) في نطاق التشغيل البيني. يقوم هذا الطلب بالتحقق مما إذا كانت البطاقة مسجلة في نظام 3D Secure.
3. توجيه الطلب إلى خادم التحكم بالوصول (ACS) الخاص بالبنك المُصدِر
إذا كانت البطاقة مسجلة في النظام، يقوم خادم الدليل بتوجيه الطلب إلى خادم التحكم بالوصول (ACS) في نطاق المُصدِر. يتم تشغيل خادم ACS من قبل البنك المُصدِر للبطاقة أو بواسطة طرف ثالث نيابة عنهم.
4. التحقق القائم على المخاطر (RBA)
يقوم خادم ACS بإجراء تقييم لمخاطر المعاملة، تشمل العوامل التي يتم أخذها في الاعتبار:
- مبلغ المعاملة.
- نوع التاجر.
- سجل معاملات حامل البطاقة.
- معلومات الجهاز والموقع.
بناءً على تقييم المخاطر، يقرر خادم ACS ما إذا كان سيتم:
- المتابعة بدون تفاعل حامل البطاقة (إذا تم تقدير المخاطر على أنها منخفضة).
- طلب تحقق إضافي (إذا كانت هناك حاجة إلى مزيد من التحقق).
5a. بدون احتكاك (Frictionless Flow)
إذا تم اختيار التحقق بدون تفاعل:
- يقوم خادم ACS بإنشاء استجابة تحقق دون تدخل حامل البطاقة.
- يتم إرسال هذه الاستجابة عبر خادم الدليل إلى نظام 3D Secure الخاص بالتاجر.
5b. تحدي (Challenge Flow)
إذا تطلب الأمر التحقق عبر تحدي:
- يقوم خادم ACS بإطلاق طلب تحدي.
- يتم عرض واجهة التحدي لحامل البطاقة، عادةً عن طريق إعادة التوجيه.
- يُطلب من حامل البطاقة تقديم التحقق الإضافي، وغالبًا ما يكون عبر إدخال رمز مرور مؤقت (OTP) يتم إرساله عبر الرسائل النصية.
6. إنشاء نتيجة التحقق
بعد التحقق من الهوية (في حالة تدفق التحدي) أو إتمام التحقق بدون تفاعل يقوم خادم ACS بإنشاء نتيجة التحقق والتي تشمل: - رقم معرف المعاملة الفريد.
- حالة التحقق (نجاح، فشل، أو غير قادر على التحقق)
- توقيع مشفر لضمان سلامة النتيجة.
- مؤشر التجارة الإلكترونية (ECI) الذي يشير إلى نتيجة التحقق عبر 3D Secure.
7. إرسال النتيجة
يتم إرسال نتيجة التحقق من خادم ACS عبر خادم الدليل إلى خادم 3D Secure الخاص بالتاجر.
8. تحقق التاجر
يتحقق نظام التاجر من إتمام عملية التحقق. يبحث عن مؤشر التجارة الإلكترونية (ECI) الذي يشير إلى نجاح التحقق وتحويل المسؤولية.
9. إتمام المعاملة
إذا تم التحقق بنجاح، يواصل التاجر إتمام المعاملة. إذا فشل التحقق أو تعذر إتمامه، غالبًا ما يرفض التاجر المعاملة.
تحدث هذه العملية بأكملها، على الرغم من تعقيدها، في غضون ثوانٍ، مما يوفر توازنًا بين الأمان القوي وتجربة المستخدم السلسة. يمكن أن يتكيف التدفق بناءً على التنفيذ المحدد ومستويات المخاطر والمتطلبات التنظيمية في المناطق المختلفة أو البنوك المُصدِر.
تحويل المسؤولية: ميزه للتجّار
واحدة من أهم الفوائد التي يجنيها التجّار من 3D Secure هي تحويل المسؤولية. يغير هذا المبدأ بشكل جذري من يتحمل المسؤولية المالية في حالة المعاملات الاحتيالية، مما يوفر ميزة كبيرة للتجّار الذين يعتمدون 3D Secure.
بدون 3D Secure:
· كان التجّار عادةً يتحملون المسؤولية عن المعاملات الاحتيالية في حالة المعاملات غير المادية (CNP).
· كان ذلك يشكل مخاطرة مالية كبيرة للشركات عبر الإنترنت.
مع 3D Secure:
· تتحول المسؤولية من التاجر إلى البنك المُصدِر في حالة المعاملات التي تم التحقق منها.
· ينطبق ذلك حتى لو تم اكتشاف المعاملة على أنها احتيالية لاحقًا.
ما الذي يعنيه ذلك للتجّار؟
التحقق الناجح عبر 3D Secure: إذا تم التحقق من معاملة عبر 3D Secure واتضح لاحقًا أنها احتيالية، يتحمل البنك المُصدِر التكلفة، مما يحمي التاجر من المسؤولية المتعلقة بالاحتيال.
فشل أو تخطي التحقق: إذا رفض البنك المُصدِر التحقق أو فشل التحقق، يمكن للتاجر اختيار متابعة المعاملة. في هذه الحالة، تبقى المسؤولية مع التاجر.
فوائد 3D Secure للتجّار
1. تقليل المخاطر المالية:
· حماية ضد الخسائر الناتجة عن المعاملات الاحتيالية.
· تقليل عدد المنازعات المتعلقة بالمعاملات (chargebacks) التي يتعين على التجّار التعامل معها.
2. زيادة الثقة:
· القدرة على قبول معاملات ذات مخاطر أعلى مع تقليل القلق بشأن الاحتيال.
· إمكانية توسيع قاعدة العملاء وزيادة المبيعات نتيجة لهذا الاطمئنان.
3. توفير في التكاليف:
· تقليل الحاجة إلى تدابير إضافية لمنع الاحتيال.
· خفض التكاليف التشغيلية المرتبطة بإدارة الاحتيال والمنازعات.
4. تحسين التدفق النقدي:
· تقليل الأموال التي يتم الاحتفاظ بها كاحتياطي لتغطية المنازعات المحتملة.
3D Secure 2.0
مع استمرار تطور التجارة الإلكترونية، تطورت أيضًا الحاجة إلى إجراءات أمنية أكثر تطورًا وسهولة في الاستخدام. أدى ذلك إلى تطوير 3D Secure 2.0، وهو تحديث كبير للبروتوكول الأصلي.
التحسينات الرئيسية في 3DS 2.0:
1. تحسين تجربة المستخدم:
· تم التخلص من النوافذ المنبثقة غير المريحة.
· دعم التحقق داخل التطبيقات للأجهزة المحمولة.
2. التحقق بدون احتكاك:
· تم إدخال التحقق القائم على المخاطر.
· يسمح للمعاملات ذات المخاطر المنخفضة بالمرور دون الحاجة إلى تدخل حامل البطاقة.
3. تبادل بيانات أغنى:
· يدعم أكثر من 100 عنصر من البيانات (مقارنة بـ 15 فقط في 3DS 1.0).
· يتيح إجراء تقييم أكثر دقة للمخاطر.
4. التركيز على الأجهزة المحمولة:
· تم تحسين البروتوكول للمعاملات عبر الأجهزة المحمولة.
· يدعم أساليب التحقق البيومترية مثل بصمة الإصبع والتعرف على الوجه.
البيئة التنظيمية
يتم تنفيذ 3D Secure غالبًا بسبب المتطلبات التنظيمية التي تهدف إلى تعزيز أمان المدفوعات. تختلف هذه اللوائح عبر المناطق، دعونا نركز على البيئة في المملكة العربية السعودية مع مقارنة موجزة لأطر العمل التنظيمية الأخرى.
المملكة العربية السعودية: متطلبات البنك المركزي السعودي (ساما)
إلزامية 3D Secure: ألزمت البنك المركزي السعودي (ساما) استخدام 3D Secure لجميع المعاملات عبر البطاقات على الإنترنت في المملكة. ينطبق هذا الإلزام على المعاملات المحلية والدولية.
التحقق عبر OTP: تعتمد المملكة العربية السعودية بشكل رئيسي على كلمات المرور المؤقتة (OTP) المرسلة عبر الرسائل النصية كطريقة أساسية للتحقق. يتماشى هذا مع مبدأ التحقق القوي من الهوية (SCA).
مقارنة مع مناطق أخرى:
أوروبا: PSD2 وSCA
· يفرض التوجيه الثاني لخدمات الدفع (PSD2) التحقق القوي من الهوية (SCA) للمدفوعات الإلكترونية.
· يُستخدم 3D Secure 2.0 بشكل واسع للامتثال لمتطلبات SCA.
· على عكس المملكة العربية السعودية، تسمح أوروبا باستخدام طرق متعددة للتحقق، وليس فقط OTP.
الولايات المتحدة:
· لا يوجد تفويض فيدرالي لاستخدام 3D Secure.
· يتم تنفيذ النظام بناءً على شبكات البطاقات والمؤسسات المالية الفردية.
تأثير تنفيذ 3D Secure:
1. التوحيد:
· يضمن تفويض مؤسسة النقد السعودي اتباع نهج موحد لجميع المعاملات عبر الإنترنت في المملكة.
· يمكن أن يؤدي هذا التوحيد إلى زيادة الألفة وقبول المستخدمين لنظام 3D Secure.
2. أساليب التحقق:
· التركيز على كلمات المرور المؤقتة في السعودية قد يحد من اعتماد طرق التحقق الأحدث مثل البيومترية.
· ومع ذلك، يضمن هذا النهج تجربة موحدة للمستخدمين عبر البنوك والتجار المختلفين.
3. اعتبارات التجّار:
· يجب على التجار الذين يعملون في المملكة العربية السعودية التأكد من أن أنظمتهم للمدفوعات متوافقة تمامًا مع متطلبات 3D Secure الخاصة بمؤسسة النقد.
· قد يتطلب ذلك تخصيصات خاصة للسوق السعودي.
4. المعاملات الدولية:
· يجب أن تمر البطاقات السعودية المستخدمة دوليًا والبطاقات الدولية المستخدمة في السعودية عبر عملية3D Secure.
· قد يؤدي ذلك أحيانًا إلى بعض التحديات، خاصة إذا كان المستخدمون غير مألوفين بالنسخة السعودية الخاصة من النظام.
موقف البنك المركزي السعودي من 3D Secure يعكس التزام المملكة بتأمين المدفوعات الرقمية ويعكس الاتجاهات العالمية نحو تعزيز أمان المعاملات عبر الإنترنت. وعلى الرغم من أن التنفيذ قد يختلف عن المناطق الأخرى، إلا أن الهدف الأساسي يظل واحدًا: تقليل الاحتيال وحماية المستهلكين.
الخاتمة
أصبح 3D Secure جزءًا لا يتجزأ من نظام التجارة الإلكترونية العالمي. منذ بداياته كتكنولوجيا طورتها شركة فيزا وصولًا إلى وضعه الحالي كمتطلب تنظيمي في العديد من المناطق، بما في ذلك المملكة العربية السعودية، تطور هذا البروتوكول باستمرار ليواكب مشهد الاحتيال المتغير على الإنترنت. التوازن الذي يحققه بين مستوى الأمان العالي وتجربة المستخدم السلسة، إلى جانب الميزة الكبيرة التي يوفرها للتجّار عبر تحويل المسؤولية، قد ضمن مكانته في عمليات الدفع الرقمية حول العالم.
ومع استمرار نمو التجارة الإلكترونية وظهور تقنيات الدفع الجديدة، يبدو أن 3D Secure سيظل في طليعة الحلول الأمنية للمدفوعات عبر الإنترنت. تطوير الإصدار 2.0 منه يَعِد بمزيد من الأمان مع تقليل الاحتكاك، ومع أن التنفيذ قد يختلف من منطقة إلى أخرى، يظل المبدأ الأساسي واحدًا: حماية المستهلكين والتجّار في عالم رقمي متزايد. من المرجح أن يستمر3D Secure في التطور لمواجهة التحديات الجديدة في هذا العالم المتغير باستمرار.
في عصر التجارة الرقمية، حيث يمكن بنقرة واحدة شراء أي شيء من مأكولات إلى حجز إجازة كاملة، أصبح أمان معاملاتنا عبر الإنترنت أمرًا بالغ الأهمية. في قلب ملايين عمليات الشراء عبر الإنترنت، يوجد إجراء أمني يعرف باسم “3D Secure”. تلعب هذه التقنية دورًا أساسيًا في الحماية من الاحتيال، مع الحفاظ على تجربة مستخدم سلسة قدر الإمكان.
"3D Secure"، والذي يرمز إلى “نظام التحقق”، هو بروتوكول مصمم لإضافة طبقة إضافية من الأمان إلى المعاملات عبر الإنترنت. هذا هو السبب وراء توجيهك في بعض الأحيان إلى صفحة منفصلة لتقديم التحقق الإضافي عند إجراء عملية شراء عبر الإنترنت. وعلى الرغم من أن هذه الخطوة قد تبدو إضافية، فإن هذا النظام يمثل الخط الأول في الدفاع في المعركة المستمرة ضد الاحتيال في التجارة الإلكترونية.
كيف يوازن هذا البروتوكول بين مستوى الأمان العالي وتجربة المستخدم؟ ما الذي يجعله فعالًا في مكافحة الاحتيال عبر الإنترنت؟ ولماذا أصبح جزءًا لا يتجزأ من التجارة الإلكترونية في جميع أنحاء العالم؟
التاريخ
مع ازدهار التجارة الإلكترونية في أواخر التسعينيات، تصاعدت تحديات أمان الدفع عبر الإنترنت. وبدأ الاحتيال في المعاملات غير المادية (CNP) في الارتفاع، مما خلق حاجة ملحة لنظام تحقق قوي.
في عام 1999، أدركت فيزا Visa هذه الحاجة وبدأت في تطوير حل. وتكللت جهودهم بإطلاق 3D Secure 1.0 في عام 2001، تحت اسم “Verified by Visa”. أضافت هذه التقنية طبقة إضافية من الأمان إلى المعاملات عبر الإنترنت من خلال مطالبة حاملي البطاقات بالتحقق من هويتهم مع البنك المصدر للبطاقة أثناء عملية الدفع.
كان تأثير ابتكار فيزا Visa سريعًا وواسع النطاق. وسرعان ما تبعت شبكات البطاقات الرئيسية الأخرى:
- قدمت Mastercard خدمة “SecureCode”
- طرحت JCB خدمة “J/Secure”
- أطلقت American Express خدمة “SafeKey”
وعلى الرغم من أن كل شبكة أطلقت خدمتها الخاصة بعلامة تجارية مختلفة، إلا أن جميعها كانت تعتمد على بروتوكول3D Secure الأساسي، مما أدى إلى توحيد النهج في أمان الدفع عبر الإنترنت.
النطاقات الثلاثة
يرمز “3D” في 3D Secure إلى النطاقات الثلاثة الرئيسية المشاركة في عملية المعاملة الآمنة. فهم هذه النطاقات أمر ضروري لفهم كيفية عمل 3D Secure كبروتوكول أمني شامل.
1. نطاق التاجر (Acquirer Domain)
يمثل نطاق التاجر، التاجر والبنك أو المؤسسة المالية التي تعالج المدفوعات نيابة عن التاجر (بنك التاجر).
دور النطاق في 3D Secure:
- يشرع في عملية 3D Secure أثناء الدفع.
- يرسل تفاصيل المعاملة إلى نطاق المُصدِر.
- يتلقى نتائج التحقق ويتابع المعاملة وفقًا لذلك.
2. نطاق المُصدِر (Issuer Domain)
يمثل نطاق المُصدِر حامل البطاقة والبنك أو المؤسسة المالية التي أصدرت بطاقة الدفع (بنك العميل).
دور النطاق في 3D Secure:
- يتحقق من هوية حامل البطاقة.
- يقيّم مخاطر المعاملة.
- يرسل نتائج التحقق إلى النطاقات الأخرى.
3. نطاق التشغيل البيني (Interoperability Domain)
يعمل نطاق التشغيل البيني كجسر بين نطاقات التاجر والمُصدِر، لتسهيل الاتصال وتبادل البيانات بشكل آمن.
دور النطاق في 3D Secure:
- يقوم بتوجيه الرسائل بين نطاقات التاجر والمُصدِر.
- يضمن استخدام جميع الأطراف لإصدارات متوافقة من بروتوكول 3D Secure.
- يحافظ على سلامة وأمان البيانات المتبادلة بين النطاقات.
عملية 3D Secure
تشمل عملية 3D Secure تفاعلات معقدة بين حامل البطاقة، التاجر، البنك المُصدِر، والأنظمة الوسيطة المختلفة. دعنا نفصل هذه العملية إلى خطوات لفهم شامل لكيفية سيرها.
1. بدء المعاملة
يبدأ حامل البطاقة عملية الدفع على موقع التاجر أو تطبيقه. يقوم حامل البطاقة بإدخال تفاصيل بطاقة الدفع الخاصة به.
2. الاستعلام من خادم الدليل (DS)
يرسل خادم 3D Secure الخاص بالتاجر (جزء من نطاق التاجر) طلب استعلام إلى خادم الدليل (DS) في نطاق التشغيل البيني. يقوم هذا الطلب بالتحقق مما إذا كانت البطاقة مسجلة في نظام 3D Secure.
3. توجيه الطلب إلى خادم التحكم بالوصول (ACS) الخاص بالبنك المُصدِر
إذا كانت البطاقة مسجلة في النظام، يقوم خادم الدليل بتوجيه الطلب إلى خادم التحكم بالوصول (ACS) في نطاق المُصدِر. يتم تشغيل خادم ACS من قبل البنك المُصدِر للبطاقة أو بواسطة طرف ثالث نيابة عنهم.
4. التحقق القائم على المخاطر (RBA)
يقوم خادم ACS بإجراء تقييم لمخاطر المعاملة، تشمل العوامل التي يتم أخذها في الاعتبار:
- مبلغ المعاملة.
- نوع التاجر.
- سجل معاملات حامل البطاقة.
- معلومات الجهاز والموقع.
بناءً على تقييم المخاطر، يقرر خادم ACS ما إذا كان سيتم:
- المتابعة بدون تفاعل حامل البطاقة (إذا تم تقدير المخاطر على أنها منخفضة).
- طلب تحقق إضافي (إذا كانت هناك حاجة إلى مزيد من التحقق).
5a. بدون احتكاك (Frictionless Flow)
إذا تم اختيار التحقق بدون تفاعل:
- يقوم خادم ACS بإنشاء استجابة تحقق دون تدخل حامل البطاقة.
- يتم إرسال هذه الاستجابة عبر خادم الدليل إلى نظام 3D Secure الخاص بالتاجر.
5b. تحدي (Challenge Flow)
إذا تطلب الأمر التحقق عبر تحدي:
- يقوم خادم ACS بإطلاق طلب تحدي.
- يتم عرض واجهة التحدي لحامل البطاقة، عادةً عن طريق إعادة التوجيه.
- يُطلب من حامل البطاقة تقديم التحقق الإضافي، وغالبًا ما يكون عبر إدخال رمز مرور مؤقت (OTP) يتم إرساله عبر الرسائل النصية.
6. إنشاء نتيجة التحقق
بعد التحقق من الهوية (في حالة تدفق التحدي) أو إتمام التحقق بدون تفاعل يقوم خادم ACS بإنشاء نتيجة التحقق والتي تشمل: - رقم معرف المعاملة الفريد.
- حالة التحقق (نجاح، فشل، أو غير قادر على التحقق)
- توقيع مشفر لضمان سلامة النتيجة.
- مؤشر التجارة الإلكترونية (ECI) الذي يشير إلى نتيجة التحقق عبر 3D Secure.
7. إرسال النتيجة
يتم إرسال نتيجة التحقق من خادم ACS عبر خادم الدليل إلى خادم 3D Secure الخاص بالتاجر.
8. تحقق التاجر
يتحقق نظام التاجر من إتمام عملية التحقق. يبحث عن مؤشر التجارة الإلكترونية (ECI) الذي يشير إلى نجاح التحقق وتحويل المسؤولية.
9. إتمام المعاملة
إذا تم التحقق بنجاح، يواصل التاجر إتمام المعاملة. إذا فشل التحقق أو تعذر إتمامه، غالبًا ما يرفض التاجر المعاملة.
تحدث هذه العملية بأكملها، على الرغم من تعقيدها، في غضون ثوانٍ، مما يوفر توازنًا بين الأمان القوي وتجربة المستخدم السلسة. يمكن أن يتكيف التدفق بناءً على التنفيذ المحدد ومستويات المخاطر والمتطلبات التنظيمية في المناطق المختلفة أو البنوك المُصدِر.
تحويل المسؤولية: ميزه للتجّار
واحدة من أهم الفوائد التي يجنيها التجّار من 3D Secure هي تحويل المسؤولية. يغير هذا المبدأ بشكل جذري من يتحمل المسؤولية المالية في حالة المعاملات الاحتيالية، مما يوفر ميزة كبيرة للتجّار الذين يعتمدون 3D Secure.
بدون 3D Secure:
· كان التجّار عادةً يتحملون المسؤولية عن المعاملات الاحتيالية في حالة المعاملات غير المادية (CNP).
· كان ذلك يشكل مخاطرة مالية كبيرة للشركات عبر الإنترنت.
مع 3D Secure:
· تتحول المسؤولية من التاجر إلى البنك المُصدِر في حالة المعاملات التي تم التحقق منها.
· ينطبق ذلك حتى لو تم اكتشاف المعاملة على أنها احتيالية لاحقًا.
ما الذي يعنيه ذلك للتجّار؟
التحقق الناجح عبر 3D Secure: إذا تم التحقق من معاملة عبر 3D Secure واتضح لاحقًا أنها احتيالية، يتحمل البنك المُصدِر التكلفة، مما يحمي التاجر من المسؤولية المتعلقة بالاحتيال.
فشل أو تخطي التحقق: إذا رفض البنك المُصدِر التحقق أو فشل التحقق، يمكن للتاجر اختيار متابعة المعاملة. في هذه الحالة، تبقى المسؤولية مع التاجر.
فوائد 3D Secure للتجّار
1. تقليل المخاطر المالية:
· حماية ضد الخسائر الناتجة عن المعاملات الاحتيالية.
· تقليل عدد المنازعات المتعلقة بالمعاملات (chargebacks) التي يتعين على التجّار التعامل معها.
2. زيادة الثقة:
· القدرة على قبول معاملات ذات مخاطر أعلى مع تقليل القلق بشأن الاحتيال.
· إمكانية توسيع قاعدة العملاء وزيادة المبيعات نتيجة لهذا الاطمئنان.
3. توفير في التكاليف:
· تقليل الحاجة إلى تدابير إضافية لمنع الاحتيال.
· خفض التكاليف التشغيلية المرتبطة بإدارة الاحتيال والمنازعات.
4. تحسين التدفق النقدي:
· تقليل الأموال التي يتم الاحتفاظ بها كاحتياطي لتغطية المنازعات المحتملة.
3D Secure 2.0
مع استمرار تطور التجارة الإلكترونية، تطورت أيضًا الحاجة إلى إجراءات أمنية أكثر تطورًا وسهولة في الاستخدام. أدى ذلك إلى تطوير 3D Secure 2.0، وهو تحديث كبير للبروتوكول الأصلي.
التحسينات الرئيسية في 3DS 2.0:
1. تحسين تجربة المستخدم:
· تم التخلص من النوافذ المنبثقة غير المريحة.
· دعم التحقق داخل التطبيقات للأجهزة المحمولة.
2. التحقق بدون احتكاك:
· تم إدخال التحقق القائم على المخاطر.
· يسمح للمعاملات ذات المخاطر المنخفضة بالمرور دون الحاجة إلى تدخل حامل البطاقة.
3. تبادل بيانات أغنى:
· يدعم أكثر من 100 عنصر من البيانات (مقارنة بـ 15 فقط في 3DS 1.0).
· يتيح إجراء تقييم أكثر دقة للمخاطر.
4. التركيز على الأجهزة المحمولة:
· تم تحسين البروتوكول للمعاملات عبر الأجهزة المحمولة.
· يدعم أساليب التحقق البيومترية مثل بصمة الإصبع والتعرف على الوجه.
البيئة التنظيمية
يتم تنفيذ 3D Secure غالبًا بسبب المتطلبات التنظيمية التي تهدف إلى تعزيز أمان المدفوعات. تختلف هذه اللوائح عبر المناطق، دعونا نركز على البيئة في المملكة العربية السعودية مع مقارنة موجزة لأطر العمل التنظيمية الأخرى.
المملكة العربية السعودية: متطلبات البنك المركزي السعودي (ساما)
إلزامية 3D Secure: ألزمت البنك المركزي السعودي (ساما) استخدام 3D Secure لجميع المعاملات عبر البطاقات على الإنترنت في المملكة. ينطبق هذا الإلزام على المعاملات المحلية والدولية.
التحقق عبر OTP: تعتمد المملكة العربية السعودية بشكل رئيسي على كلمات المرور المؤقتة (OTP) المرسلة عبر الرسائل النصية كطريقة أساسية للتحقق. يتماشى هذا مع مبدأ التحقق القوي من الهوية (SCA).
مقارنة مع مناطق أخرى:
أوروبا: PSD2 وSCA
· يفرض التوجيه الثاني لخدمات الدفع (PSD2) التحقق القوي من الهوية (SCA) للمدفوعات الإلكترونية.
· يُستخدم 3D Secure 2.0 بشكل واسع للامتثال لمتطلبات SCA.
· على عكس المملكة العربية السعودية، تسمح أوروبا باستخدام طرق متعددة للتحقق، وليس فقط OTP.
الولايات المتحدة:
· لا يوجد تفويض فيدرالي لاستخدام 3D Secure.
· يتم تنفيذ النظام بناءً على شبكات البطاقات والمؤسسات المالية الفردية.
تأثير تنفيذ 3D Secure:
1. التوحيد:
· يضمن تفويض مؤسسة النقد السعودي اتباع نهج موحد لجميع المعاملات عبر الإنترنت في المملكة.
· يمكن أن يؤدي هذا التوحيد إلى زيادة الألفة وقبول المستخدمين لنظام 3D Secure.
2. أساليب التحقق:
· التركيز على كلمات المرور المؤقتة في السعودية قد يحد من اعتماد طرق التحقق الأحدث مثل البيومترية.
· ومع ذلك، يضمن هذا النهج تجربة موحدة للمستخدمين عبر البنوك والتجار المختلفين.
3. اعتبارات التجّار:
· يجب على التجار الذين يعملون في المملكة العربية السعودية التأكد من أن أنظمتهم للمدفوعات متوافقة تمامًا مع متطلبات 3D Secure الخاصة بمؤسسة النقد.
· قد يتطلب ذلك تخصيصات خاصة للسوق السعودي.
4. المعاملات الدولية:
· يجب أن تمر البطاقات السعودية المستخدمة دوليًا والبطاقات الدولية المستخدمة في السعودية عبر عملية3D Secure.
· قد يؤدي ذلك أحيانًا إلى بعض التحديات، خاصة إذا كان المستخدمون غير مألوفين بالنسخة السعودية الخاصة من النظام.
موقف البنك المركزي السعودي من 3D Secure يعكس التزام المملكة بتأمين المدفوعات الرقمية ويعكس الاتجاهات العالمية نحو تعزيز أمان المعاملات عبر الإنترنت. وعلى الرغم من أن التنفيذ قد يختلف عن المناطق الأخرى، إلا أن الهدف الأساسي يظل واحدًا: تقليل الاحتيال وحماية المستهلكين.
الخاتمة
أصبح 3D Secure جزءًا لا يتجزأ من نظام التجارة الإلكترونية العالمي. منذ بداياته كتكنولوجيا طورتها شركة فيزا وصولًا إلى وضعه الحالي كمتطلب تنظيمي في العديد من المناطق، بما في ذلك المملكة العربية السعودية، تطور هذا البروتوكول باستمرار ليواكب مشهد الاحتيال المتغير على الإنترنت. التوازن الذي يحققه بين مستوى الأمان العالي وتجربة المستخدم السلسة، إلى جانب الميزة الكبيرة التي يوفرها للتجّار عبر تحويل المسؤولية، قد ضمن مكانته في عمليات الدفع الرقمية حول العالم.
ومع استمرار نمو التجارة الإلكترونية وظهور تقنيات الدفع الجديدة، يبدو أن 3D Secure سيظل في طليعة الحلول الأمنية للمدفوعات عبر الإنترنت. تطوير الإصدار 2.0 منه يَعِد بمزيد من الأمان مع تقليل الاحتكاك، ومع أن التنفيذ قد يختلف من منطقة إلى أخرى، يظل المبدأ الأساسي واحدًا: حماية المستهلكين والتجّار في عالم رقمي متزايد. من المرجح أن يستمر3D Secure في التطور لمواجهة التحديات الجديدة في هذا العالم المتغير باستمرار.
شركة ميسر المالية
خاضعة لرقابة وإشراف البنك المركزي السعودي.
© 2024 جميع الحقوق محفوظة لشركة ميسر المالية.
شركة ميسر المالية
خاضعة لرقابة وإشراف البنك المركزي السعودي.
© 2024 جميع الحقوق محفوظة لشركة ميسر المالية.
شركة ميسر المالية
خاضعة لرقابة وإشراف البنك المركزي السعودي.
© 2024 جميع الحقوق محفوظة لشركة ميسر المالية.