EMVCoの
3Dセキュア2について

クレジットカードおよびデビットカードを使用したオンライン取引による安全な支払いは時代と共に進化せねばなりません。世界中でモバイル端末が極めて一般的になり、サイバー犯罪の危険性は増す一方です。安全を確保するためには、カードやユーザー認証の新たな手法が必要となっています。このような変化に触発されて、オンラインでの支払い認証に使用される3Dセキュアプロトコルのバージョン2.0が開発され、同時にユーザー体験が改善されます。

3Dセキュア2とは?

3Dセキュア2は取引の際に豊富なデータの転送し、認証すべきか否かについてのリスクベースでの判断を可能にします。さらに、初期のサインアッププロセスを省略し、カード会員が静的パスワードを覚えておく必要を無くすなど、ユーザー体験もよりシンプルに、かつ強化されます。改善点はこれだけにとどまらず、このバージョンのプロトコルでは、非決済認証およびネイティブモバイルサポートも提供されます。

Three Domains

オンライン決済用の3つのドメイン

3Dセキュアの最初のバージョンはオンライン決済に対する消費者の安心感を向上させるようにデザインされており、eコマースの成長を育みました。この決済認証の標準はとりわけMastercard SecureCode、Verified by Visa、そしてAmerican Express SafeKeyとして提供されました。3-Dとは安全な決済に関与する3つのドメインまたはエンティティ、すなわちイシュアドメイン(カード会員のカード発行会社)、アクワイアラドメイン(支払いがなされる相手先の加盟店が契約するカード会社)、および3Dセキュアプロトコルをサポートするクレジットカード団体によって提供される相互運用ドメインを意味します。

取引を処理するための相互運用性

定義によると、相互運用ドメインにはインターネットの他、ACS(アクセスコントロールサーバー)、MPI(加盟店プラグイン)、また他のあらゆるソフトウェアプロバイダーに対するインターフェイスが含まれています。MPIはVisaやMastercardなどの国際ブランドのサーバーと加盟店のサーバーとを繋ぐソフトウェアモジュールの1つです。ACSはイシュアによりコントロールされ、特定のカード番号について3Dセキュア認証が利用可能かどうかを検証する場合や、特定の取引におけるカード会員の認証を管理する場合に使用されます。これらのバックエンドのエレメントは3Dセキュア2の実装の際にも使用されます。

Handling Transactions
3d-secure-2

3-D Secure Version 1

3Dセキュアバージョン1ヘの賛否

3Dセキュアバージョン1は、カード会員がそれぞれのカードの発行元であるカード会社に対して自らを認証させるものです。このアプローチでは、詐欺に対する責任も加盟店からイシュアにシフトされ、加盟店に対する支払い拒否が減ります。カード会員はまず自分のカード会社にサインアップして3Dセキュアサービスを有効化する必要があります。使用する際には、システムがポップアップウィンドウまたはインラインフレームを表示し、イシュアがユーザーを認証するためにパスワードの入力を要求します。しかし、ポップアップウィンドウを生成するエンティティの信用情報は認証できません。モバイルブラウザでフレームやポップアップを扱えないことも3Dセキュアバージョン1の問題点としてあげられています。

3Dセキュアバージョン2における変更点

バージョン1は引き続き利用でき実行可能ですが、3Dセキュア2では静的パスワードの代わりにトークンベースの認証および生体認証を使用します。取引の際に追加のデータをサポートすることにより、認証の可否を決める時点でリスクベースの判断が可能になります。最初のサインアッププロセスを省略してカード会員が静的パスワードを入力する必要を取り除くことにより、ユーザー体験もシンプルになり、強化されます。その結果、加盟店側も消費者によるかご落ちの回数が減ることが期待されます。American Express、Discore、JCB、Mastercard、UnionPayおよびVisaが共同で所有するEMVCoがEMV 3DS 2の仕様と、それに伴う認定プログラムに責任を持ちます。

differences
Requirements

新しい決済方法の要件を満たす

3Dセキュア2における非ブラウザベースの「非対面取引」による支払いをサポートするということは、アプリ内、モバイル、およびデジタルウォレットによる決済方法が今後可能になるということを意味します。3Dセキュアバージョン1ではこれらはサポートされていませんでしたが、それはこれが標準的なウェブブラウザから行われるオンライン上取引におけるカード会員の認証のためだけにデザインされたものであったためです。さらに、3Dセキュア2では元の3Dセキュアに比べて以下のような改善が行われます:

  • 認証の判断をしやすくするために補助的な情報を付帯した改良されたメッセージ
  • 非決済認証
  • イシュアが使用するアウト・オブ・バンド認証を含め、特定の規定や要件を満たすための非標準的な拡張機能
  • エンドツーエンドのメッセージ処理のためのパフォーマンスの改善
  • リスクベース認証のためのデータセットの改善
  • カード会員のカード番号の盗難または複製が行われても、認証されていない決済方法を防止

3Dセキュア2でユーザーに負担をかけない詐欺防止対策

ActiveServerの製品資料に詳しく説明されています 資料をダウンロード

要約

3Dセキュア2では急速に人気が高まっている新しい決済方法を考慮に入れています。3Dセキュアバージョン1と比べると、3Dセキュア2では認証の可能性が向上し、新しいインテリジェントなリスクベース認証や、アプリケーションとブラウザベースの決済の両者においてより高いセキュリティ、パフォーマンス、また柔軟性を持ちます。これにより、加盟店は顧客により良いユーザー体験を提供出来ます。

GPAYMENTの3DS 2に対するサポート

昨年のEMVCoによるプロトコルの発表と、EMV® 3Dセキュア – プロトコルおよび主要機能の仕様、EMV® 3Dセキュア – SDK仕様、およびその他の3DS2関連仕様の進化および改定直後より、弊社では独自の3DS2アプリケーション(ActiveAccess ACS、ActiveServerおよびActiveSDK)のラインアップに取り組んで参りました。

GPaymentsの3DS2アプリケーションのコンポーネントのリリース日は、主要な仕様文書の最終版の完成日、およびEMVCoの3DS2のテストおよび認定機関の利用状況などの要因に基づいて決定されます。