Secure Payment Confirmation (SPC) is een voorgestelde webstandaard waarmee klanten zich kunnen verifiëren bij een creditcarduitgever, bank of andere betalingsdienstaanbieder met behulp van een platformauthenticator:
- Ontgrendelfunctie inclusief Touch ID op een macOS-apparaat
- Windows Hello op een Windows-apparaat
Met SPC kunnen handelaren hun klanten snel en naadloos hun aankopen laten verifiëren, terwijl de uitgevende banken hun klanten beschermen tegen fraude.
SPC bestaat uit twee fasen: registratie en authenticatie.
- Registratie : de betaler koppelt zijn apparaat aan een vertrouwende partij (RP). Deze vertrouwende partij kan een creditcarduitgever, bank of andere betalingsdienstaanbieder zijn.
- Authenticatie : de betaler gebruikt het geregistreerde apparaat om zijn identiteit met de RP rechtstreeks vanaf het platform van de handelaar te bevestigen, voordat hij de betalingen bevestigt.
Authenticatie ter voorkoming van fraude
Authenticatie speelt een belangrijke rol bij het voorkomen van betalingsfraude. Dit verificatieproces is echter vaak gebaseerd op zwakke mechanismen, zoals een combinatie van het creditcardnummer en de naam van de kaarthouder, of een extra CVC-code die op de achterkant van de kaart staat. Deze mechanismen kunnen gemakkelijk worden gecompromitteerd en nagebootst als de kaartgegevens lekken door inbreuken op de gegevensbeveiliging, zoals accounthacks of phishingaanvallen.
Er zijn aanvullende fraudepreventiemechanismen geïntroduceerd, zoals EMV® 3-D Secure , waarbij de betaler kan worden gevraagd zich te authenticeren bij de kaartuitgever of de bank. Om te authenticeren, meldt de gebruiker zich aan met een gebruikersnaam en wachtwoord, of een eenmalig wachtwoord (OTP) dat via sms naar de telefoon van de betaler wordt gestuurd. Dit beschermt klanten tegen fraude, maar kan voor sommige legitieme klanten een belemmering vormen om de betaling te voltooien. SPC streeft ernaar de authenticatieproblemen te verminderen en zo het aantal verlaten winkelwagentjes te verminderen.
Ondertussen is er een nieuwe authenticatiestandaard in opkomst: WebAuthn.
Wat is WebAuthn?
Webauthenticatie (kortweg WebAuthn) is een webstandaard waarmee Relying Party (RP) servers gebruikers in de browser kunnen registreren en authenticeren met behulp van openbare sleutelcryptografie, in plaats van een wachtwoord.
RP's vertrouwen op fysieke authenticatiemiddelen, zoals een beveiligingssleutel. RP's vragen de beveiligingssleutel op om een privé-publiek sleutelpaar te genereren en slaan de publieke sleutel vervolgens op de server op ( registratie ). Deze gegenereerde sleutels zijn uniek voor het apparaat, waardoor aanvallers zich niet kunnen voordoen als de gebruiker. Deze standaard is phishingbestendig omdat het sleutelpaar aan de oorsprong is gekoppeld.
De FIDO Alliance standaardiseert het gedrag van authenticators. Sommige authenticators ondersteunen lokale gebruikersverificatie met een biometrische factor (zoals een vingerafdruk of gezichtsherkenning) of een kennisfactor (zoals een pincode). Veel authenticators zijn geïntegreerd in computers, zoals laptops of smartphones, ook wel platformauthenticators genoemd. WebAuthn wordt ondersteund door alle belangrijke browsers (desktop en mobiel) en authenticators zijn beschikbaar op miljarden apparaten . Gebruikers kunnen zich registreren en authenticeren door hun identiteit lokaal op het platform te verifiëren.
SPC is ontworpen om te werken met User Verifying Platform Authenticators (UVPA).
Hoe werkt de bevestiging van een veilige betaling?
Secure Payment Confirmation (SPC) is gebaseerd op WebAuthn en specifiek ontworpen voor betaaldoeleinden. Omdat WebAuthn-referenties voor specifieke domeinen worden geregistreerd, kunnen deze niet worden gebruikt voor authenticatie op niet-geregistreerde sites die zich mogelijk voordoen als een verkoper. Deze functie maakt WebAuthn effectief tegen phishingaanvallen.
SPC voegt een betaalinformatielaag toe aan WebAuthn, zodat de kaartuitgever of de bank een consistente betaalervaring kan bieden. Zodra een betaler een authenticator registreert bij de vertrouwende partij, kan deze worden gebruikt om te authenticeren op verschillende websites van handelaren. De vertrouwende partij kan er ook voor kiezen om de betaalreferentie te gebruiken als een reguliere WebAuthn-referentie.
Stripe voerde een experiment uit met SPC in hun productieomgeving, als onderdeel van de oorspronkelijke tests van Chrome . In dit experiment behaalde Stripe een 8% hogere conversieratio en was de afrekensnelheid drie keer zo snel. Lees meer over hun resultaten in het SPC-rapport van de W3C Web Payments Working Group .
Hoe ervaren gebruikers SPC?
De SPC-front-end bestaat uit twee fasen: registratie en authenticatie.
De klant moet zijn apparaat eerst registreren met behulp van de User-Verifying Platform Authenticator (UVPA). Zodra het apparaat is geregistreerd, kan het worden gebruikt om de gebruiker te authenticeren en betalingen te bevestigen wanneer SPC wordt uitgevoerd op de website van een handelaar.
Registratie
Gebruikers kunnen zich op twee manieren registreren voor SPC:
- Registreer u rechtstreeks op de RP-website.
- Registreer u indirect op de website van een handelaar.
Registratie op de RP-website
Op de website van de RP is SPC-registratie niet anders dan WebAuthn-registratie. Onze aanbeveling is dat de RP de klant vraagt om zijn/haar UVPA te registreren als onderdeel van een aanmeldproces.
Een typisch scenario kan er als volgt uitzien:
- Een klant meldt zich aan bij de website van uw bank met een gebruikersnaam, wachtwoord en een extra verificatiestap (meestal een eenmalig wachtwoord of OTP).
- Na een succesvolle authenticatie toont u een verzoek om toestemming waarin de klant wordt gevraagd zijn apparaat te registreren (UVPA).
- Zodra toestemming is verleend, toont de browser een WebAuthn-registratiedialoog.
- De klant stemt in met het registreren van het apparaat door middel van biometrische authenticatie.
- De klant kan nu veilig inloggen en betalen via zijn apparaat.
Bij herauthenticatie is een gebruiker al ingelogd, maar wordt hem gevraagd zich opnieuw te authenticeren om er zeker van te zijn dat dezelfde gebruiker nog steeds aanwezig is. Dit type authenticatie wordt meestal gebruikt bij beveiligingskritische handelingen, zoals een verzoek om een wachtwoord te wijzigen of bij het uitvoeren van een betaling. Met een WebAuthn UVPA is herauthenticatie veel sneller en effectiever dan het gebruik van wachtwoorden.
Leer hoe u een WebAuthn-registratie- en authenticatiestroom bouwt voor herauthenticatie in Bouw uw eerste WebAuthn-app .
Registratie op een website van een handelaar tijdens de betaling
Als uw klant zijn apparaat niet registreert op de website van de betalingsuitgever, kan hij dit rechtstreeks doen op de website van een verkoper. De interface ziet er hetzelfde uit, maar de registratie van de gebruiker wordt geïnitieerd door de code van de RP.
Dit is ideaal als klanten de RP-website niet vaak bezoeken, maar de RP toch de authenticatieoptie wil aanbieden.
Authenticatie (Betalingsbevestiging)
Authenticatie is vereist wanneer een betaler tijdens een betalingstransactie een betalingsreferentie verstrekt.
- De betaler verstrekt een betalingsbewijs (zoals creditcardgegevens).
- De handelaar controleert of de browser beveiligde betalingsbevestiging ondersteunt.
- Als de browser SPC ondersteunt, roep dan de Payment Request API aan met SPC als betaalmethode. Anders kunt u terugvallen op de bestaande authenticatiemethode.
- De betaler bevestigt de transactiegegevens en voltooit de authenticatie (bijvoorbeeld door het aanraken van de biometrische authenticator van het platform).
Ondersteunde platforms
Veilige betalingsbevestiging wordt ondersteund door Google Chrome op macOS, Windows en Android. Andere platforms, waaronder iOS en ChromeOS, worden vanaf maart 2025 niet meer ondersteund.