Alt du trenger å vite om 3-D Secure og 3-D Secure 2.0

De hyppigeste og mest irriterende sikkerhetsproblemene i e-handel er, uten sammenligning, uredelige transaksjoner. 3-D Secure er et verktøy som kan redusere antallet uredelige transaksjoner.

Forbrukere og nettbutikkeiere må endre seg hele tiden. Som et resultat er 3-D Secure 2.0 utviklet. Uansett om du selger fysiske produkter eller tjenester, vil denne bloggposten guide deg gjennom hva dette er:

Hva er 3-D Secure?
Hvorfor er 3-D Secure en god funksjon?
En liten oversikt over 3-D Secure blant utstedende banker
Hva er 3-D Secure 2.0?
Fordelene ved 3-D Secure 2.0.

Utviklingen av 3-D Secure

Før vi forklarer hva 3-D Secure er, må vi ta en titt på hva som førte til utviklingen av 3-D Secure.

Opprinnelig ble en betaling foretatt i en nettbutikk eigd av en forhandler (også kalt nettbutikkeieren) kun sjekket via en autorisasjonsprosess.

Autorisasjonsprosessen omfatter:

Den utstedende banken sjekker om kortholders kortdetaljer er gyldige (validering).
Det sjekkes om det er nok penger på kontoen som er knyttet til kortet.

Man kan umiddelbart synes at autoriseringen i seg selv mangler noe. I bunn og grunn kan hvem som helst foreta et kjøp med et kort, så lenge han/hun kjenner kortdetaljene og det er nok penger på kortet. Dette kan bli et problem dersom kortdetaljene havner i feil hender.

Problemet er betalingssvindel: En person, som ikke har fått tillatelse til det, foretar en betaling i kortholderens navn. Betalingsindustrien oppdaget dette problemet og bestemte seg for at det var nødvendig med en løsning.

Hva er 3-D Secure?

3-D Secure er et ekstra lag av beskyttelse som har til formål å redusere risikoen for uredelige transaksjoner innenfor e-handel. 3-D Secure supplerer autoriseringsprosessen ved å også implementere en autentiseringsprosess.

Mange globale kortorganisasjoner har implementert 3-D Secure. Visa tilbyr 3-D Secure i deres Visa Secure (tidligere kjent som Verified by Visa) og Mastercard har Mastercard SecureCode.

Hvordan virker det?

Autentiseringen tester identiteten av personen som foretar betalingen. Ved utsjekk, etter betalingsinformasjonen ble tastet inn, dukker et pop-up vindu eller et innebygd bilde frem. Her blir personen bedt om å verifisere kortholders identitet.

Det finnes følgende autentiseringsmetoder:

Statisk passord (dvs. Et permanent, uendret passord)
Dynamisk passord (dvs. Et engangspassord, som sendes til kortholder via sms/e-mail.)
Biometrisk feature (dvs. Fingeravtrykk sammenkoblet med kortholders registrerte mobile enhet).
Scannet QR-kode (dvs. En QR-kode, som dukker opp på skjermen og som skal scannes med den registrerte mobile enhet, for eksempel ved bruk av Google Authenticator Appen)

Autentiseringsmetoden bestemmes av banken som har utstedt betalingskortet.

Dersom autentiseringsprosessen er suksessfull, blir betalingen godkjent (autentisert), hvis ikke blir betalingen avvist.

Ettersom forsøk alltid teller, blir autentiseringsforsøket registrert. Disse forsøkene er bevis på at en nettbutikkeier, som har implementert 3-D Secure funksjonen, har forsøkt å autentisere kortholder, men ble møtt av:

En utstedende bank som ikke benytter 3-D Secure
En utstedende bank, som har en server som er nede og ikke kan behandle prosesseringen

Hvordan ser det ut?

Illustrasjon over hvordan 3-D Secure skjemaet ser ut — 3-D Secure Form

Hvorfor er 3-D Secure en god funksjon?

1. Ansvaret skifter

Uten 3-D Secure skjer følgende når en kortholder bestrider en uredelig transaksjon:

Nettbutikkeieren er ansvarlig for transaksjonen
Nettbutikkeieren skal betale tilbake pengene i form av en chargeback

Dersom nettbutikkeieren har implementert 3-D Secure, faller ansvaret for uredelige transaksjoner på den utstedende banken. Denne ansvarsendringen gjelder så lenge:

En transaksjon er autentisert
En autentisering er forsøkt ¹

2. Betinget 3-D Secure

En annen fantastisk ting ved 3-D Secure er at det kan kundetilpasses. Du behøver ikke gå “all-in”.

Og hva betyr det?

Du kan søke om å kun ha 3-D Secure aktivert for høyrisikotransaksjoner eller for transaksjoner over et bestemt beløp. Dette kalles betinget (eller conditional) 3-D Secure - altså en skreddersydd 3-D Secure.

Aktivering av 3-D Secure blir som regel koordinert mellom nettbutikkeieren, betalingsgatewayen og innløseren.

Betinget 3-D Secure har vist seg å være godt egnet til å øke antall kunder som blir beholdt.

3. Oppfyller PSD2’s krav

Per 13. Januar 2018 trer PSD2 i kraft. Et av direktivets hovedpunkter er at det blir obligatorisk for nettbutikkeiere å autentisere transaksjoner. Ved å implementere 3-D Secure er du sikker på at du oppfyller dette kravet.

Oversikt over 3-D Secure iblant utstedende banker

Utstedende banker i hele verden har anerkjent 3-D Secures fordeler, og ulempene ved å ikke implementere det.

Vi har samlet inn data fra 2016 og 2017 som viser hvor stor andel av de utstedende bankene, både innenfor og utenfor EØS/EU, som har implementert 3-D Secure.

Fra 2016 til 2017 ser man en tydelig økning i andelen av utstedende banker som har implementert 3-D Secure.

Implementeringsandelen innenfor EU/EØS

I det første kvartal (Q1) av 2016 ble det registrert at ca. 25% av utstedende banker hadde implementert 3-D Secure. Allerede i første kvartal (Q1) av 2017 var implementeringsandelen steget til imponerende 80%.

Når Q2 fra 2016 sammenlignes med Q2 fra 2017, er tallene svært bemerkelsesverdige. I 2016 hadde omkring 40% av de utstedende bankene implementert 3-D Secure, mens andelen i 2017 ble målt til 83%.

Q3 for 2016 hadde en implementeringsandel på 50%, mens tallet nådd hele 88% i 2017s Q3.

Implementeringsandelen i Q4 i 2016 var på 75%, mens andelen i Q4 i 2017 passerte 90%, vår vurdering er 91,8%.

For første kvartal av 2018 forventes vekstraten for implementering å falle litt, noe som gir en forventet implementeringsandel på 95% ved utgangen av kvartalet.

De mulige forklaringene på, at flere og flere nettbutikkeiere i EU/EØS adopterer 3-D Secure, er:

De store fremskrittene innenfor betalingssikkerhetsteknologi
PSD2 deadline

Statistikk over hvor mange kortutstedere innenfor EU/EØS som benytter 3-D Secure — Antall utstedere i EU/EØS som benytter 3-D Secure

Implementeringsandel utenfor EU/EØS

Situasjonen er til dels annerledes for utstedere utenfor EU/EØS. I Q1 av 2016 var andelen av implementering om lag 5%, men i 2017 økte den raskt til 38%.

Endringen mellom Q2 i 2016 og Q2 i 2017 var ikke like dramatisk, men fortsatt merkbar. Over 20% av utstederne hadde implementert 3-D Secure innen Juli 2016, sammenlignet med 54% i Juli 2017.

Om lag 30% av markedet hadde allerede implementert 3-D Secure innen Oktober 2016, mens 56% hadde gjort det innen Q3 i 2017.

Andelen vil fortsette å vokse og ende opp rundt 75%-80% i Q1 2018.

De mulige forklaringene for den oppadgående trenden med implementering av 3-D Secure, blant utstedere utenfor EU/EØS kan være:

Den kjappe utviklingen innenfor teknologi for betalingssikkerhet
Den økende innsatsen til Visa og Mastercard, for å sikre at hele det europeiske kontinentet har et likt sikkerhetsnivå.

Hva er 3-D Secure 2.0?

3-D Secure 2.0 er den nyeste oppdateringen av 3-D Secure funksjonen.

3-D Secure 2.0 er utviklet av EMVco, en virksomhet som eies av Visa, Mastercard, American Express, Discover, JCB og Union Pay.

Fordelene ved 3-D Secure 2.0

3-D Secure 2.0 bruker mer kontekstuell data enn de tidligere versjonene av 3-D Secure, noe som resulterer i følgende fordeler, ifølge Visa:

Hurtigere kjøp ved lav-risiko transaksjoner
Økt sikkerhet for høy-risiko transaksjoner
Færre som forlater handlekurven uten å fullføre kjøpet

1. Hurtigere kjøp

Mengden av kontekstuell data som utveksles mellom kortholder, nettbutikkeier og den utstedende banken er 10 ganger større enn før.

Eksempler på ny kontekstuell data som benyttes av 3-D Secure 2.0:

Informasjon om hvilke enhet kjøpet foretas fra
Serviceinformasjon
Informasjon om gavekort
Tidssone
Skjermens høyde

Basert på denne kontekstuelle dataen vil utstedende banker ved lav-risiko transaksjoner, være i stand til å verifisere kortholders identitet uten autentiseringstrinnet.

Det betyr, at kundene vil bruke 85% mindre tid på utsjekkingsprosessen.

Utstedende banker anser størstedelen av transaksjonene for å være lav-risiko (95%).

2. Økt sikkerhet

Utstedende banker vil fortsatt utføre autentiseringstrinnet for høy-risiko transaksjoner.

Den kontekstuelle dataen kan hjelpe utstedende banker til å bedre forstå bakgrunnen for høy-risiko transaksjoner, dvs.:

Fra hvilke enheter foretas de som regel
Kortholderens kjøpsmønster
På hvilken tid av døgnet finner de, som oftest, sted

På denne måten kan det være lettere å oppdage potensiell svindel.

3. Færre forlater handlekurven

Igjen, takket være den kontekstuelle dataen kan autentiseringsprosessen kanskje bli unødvendig. Dette kan bety at 70% færre velger å forlate handlekurven før kjøpet er gjennomført.

Visa har uttalt at de forventer at utstedende banker, samt nettbutikkeiere, begynner å implementere 3-D Secure 2.0 mot slutten av 2017. For å sikre en problemfri overgang mellom versjonene, vil Visa beholde sine nåværende regler for 3-D Secure på transaksjoner inntil mars 2019. Fra april 2019 vil de nye reglene forbundet med 3-D Secure 2.0 tre i kraft.

Mastercard foreslår at alle utstedende banker, som er kunde hos dem, skal understøtte 3-D Secure 2.0 fra 31. Desember 2018. Nettbutikkeiere, som aksepterer betalinger med Mastercard, forventes å benytte 3-D Secure 2.0 først fra 1. Desember 2020.

Oppsummering

3-D Secure er en sikkerhetsfunksjon som verifiserer kortholders identitet. Dette beskytter nettbutikken mot chargebacks ved å flytte ansvaret over på den utstedende banken, i tilfelle en uredelig transaksjon gjennomføres.

3-D Secure kan tilpasset (Conditional 3-D Secure) slik at det kun er spesifikke transaksjoner som må gjennom et ekstra sikkerhetstrinn.

Funksjonen er også en måte å overholde de nye reglene i PSD2 på.

Over tid har vekstraten for implementeringen av 3-D Secure steget, både innenfor og utenfor EU/EØS. Det er forventet at veksten vil avta en smule innenfor EU/EØS, med 95% implementeringsandel, mens veksten utenfor EU/EØS fortsatt vil stige, der opp mot 80% vil ha implementert 3-D Secure innen slutten av Q1 i 2018.

3-D Secure 2.0 ble utviklet for å imøtekomme kundens og nettbutikkeierens aktuelle behov. 3-D Secure 2.0 anses for å være en forbedring av tidligere versjoner. 3-D Secure 2.0 forventes å redusere utsjekkingstiden for kunder med 85%, mens nettbutikkeiere vil se et fall, i antall kunder som forlater handlekurven, på 70% - alt sammen på grunn av den ekstra kontekstuelle dataen, som nettbutikkeiere og utstedende banker kan få tak i.

Clearhaus støtter ikke 3-D Secure 2.0 på nåværende tidspunkt. Men det kommer vi til å gjøre. I mellomtiden overvåker vi kortustedernes adopsjonsrate.

¹ - Når enten den utstedende banken eller kortholderen ikke har implementert 3-D Secure.