Эта страница переведена с помощью Cloud Translation API.

Безопасное подтверждение платежа
Оптимизируйте свои подборки Сохраняйте и классифицируйте контент в соответствии со своими настройками.

Eiji Kitamura

Безопасное подтверждение платежа (SPC) — это предлагаемый веб-стандарт , который позволяет клиентам проходить аутентификацию у эмитента кредитной карты, банка или другого поставщика платежных услуг с использованием аутентификатора платформы:

Функция разблокировки, включая Touch ID на устройстве macOS
Windows Hello на устройстве Windows

С помощью SPC продавцы могут позволить клиентам быстро и легко аутентифицировать свои покупки, а банки-эмитенты защитят своих клиентов от мошенничества.

SPC состоит из двух этапов: регистрация и аутентификация.

Регистрация : плательщик связывает свое устройство с проверяющей стороной (RP). Проверяющей стороной может быть эмитент кредитной карты, банк или другой поставщик платежных услуг.
Аутентификация : плательщик использует зарегистрированное устройство для подтверждения своей личности в RP непосредственно с платформы продавца перед подтверждением платежей.

Аутентификация для предотвращения мошенничества

Аутентификация играет важную роль в предотвращении мошенничества с платежами. Однако этот процесс проверки часто опирается на слабые механизмы, такие как комбинация номера кредитной карты и имени владельца карты или дополнительный код CVC, который написан на обратной стороне карты. Эти механизмы легко скомпрометировать и подделать, если информация о карте утечет из-за нарушений безопасности данных, таких как взлом аккаунта или фишинговые атаки.

Были введены дополнительные механизмы предотвращения мошенничества, такие как EMV® 3-D Secure , где плательщику может быть предложено пройти аутентификацию у эмитента карты или банка. Для аутентификации пользователь входит в систему с помощью имени пользователя и пароля или одноразового пароля (OTP), который отправляется на телефон плательщика по SMS. Это работает для защиты клиентов от мошенничества, но может стать препятствием для некоторых законных клиентов при завершении оплаты. SPC стремится уменьшить трение аутентификации, тем самым сокращая отказ от корзины.

Тем временем набирает популярность новый стандарт аутентификации под названием WebAuthn.

Что такое WebAuthn?

Веб-аутентификация (сокращенно WebAuthn) — это веб-стандарт , который позволяет серверам проверяющей стороны (RP) регистрировать и аутентифицировать пользователей в браузере, используя криптографию с открытым ключом вместо пароля.

RP полагаются на физические аутентификаторы, такие как ключ безопасности. RP запрашивают ключ безопасности для генерации пары закрытый-открытый ключ, а затем сохраняют открытый ключ на сервере ( регистрация ). Эти сгенерированные ключи уникальны для устройства, что не позволяет злоумышленникам выдавать себя за пользователя. Этот стандарт устойчив к фишингу, поскольку пара ключей привязана к источнику.

Альянс FIDO стандартизирует поведение аутентификаторов. Некоторые аутентификаторы поддерживают локальную проверку пользователя с помощью биометрического фактора (например, отпечатка пальца или распознавания лица) или фактора знания (например, PIN-кода). Многие из них интегрированы в вычислительные устройства, такие как ноутбуки или смартфоны, и известны как платформенные аутентификаторы . WebAuthn поддерживается всеми основными браузерами (настольными и мобильными) , а аутентификаторы доступны на миллиардах устройств . Пользователи могут регистрироваться и аутентифицировать себя, локально подтверждая свою личность на платформе.

SPC предназначен для работы с аутентификаторами платформы проверки пользователей (UVPA).

Примерами UVPA являются Apple Touch ID и камера мобильного телефона. — Многие устройства интегрируют биометрический датчик. Такие аутентификаторы называются аутентификаторами платформы проверки пользователя (UVPA).

Как работает безопасное подтверждение платежа?

Secure Payment Confirmation (SPC) создан на основе WebAuthn и разработан специально для целей оплаты. Поскольку учетные данные WebAuthn регистрируются для определенных доменов, эти учетные данные не могут использоваться для аутентификации на незарегистрированных сайтах, которые могут выдавать себя за торговцев. Эта функция делает WebAuthn эффективным против фишинговых атак.

SPC добавляет слой платежной информации поверх WebAuthn, чтобы эмитент карты или банк могли обеспечить согласованный платежный опыт. После того, как плательщик зарегистрирует аутентификатор у проверяющей стороны, его можно использовать для аутентификации на разных сайтах торговцев. Проверяющая сторона также может выбрать использование платежных учетных данных в качестве обычных учетных данных WebAuthn.

Stripe провел эксперимент с SPC в своей производственной среде в рамках испытаний Chrome Origin . В этом эксперименте Stripe добился повышения коэффициента конверсии на 8%, а скорость оформления заказов увеличилась в три раза. Ознакомьтесь с их результатами в отчете SPC в рабочей группе W3C Web Payments .

Как пользователи воспринимают SPC?

Интерфейс SPC состоит из двух этапов: регистрация и аутентификация.

Клиент должен сначала зарегистрировать свое устройство с помощью аутентификатора платформы проверки пользователя (UVPA). После регистрации устройства его можно использовать для аутентификации пользователя и подтверждения платежей всякий раз, когда SPC выполняется на сайте продавца.

Регистрация

Пользователи могут зарегистрироваться в SPC двумя способами:

Зарегистрируйтесь непосредственно на сайте RP.
Зарегистрируйтесь косвенно на сайте продавца.

Регистрация на сайте РП

На сайте RP регистрация SPC ничем не отличается от регистрации WebAuthn. Мы рекомендуем RP просить клиента зарегистрировать свой UVPA как часть процесса входа.

Типичный сценарий может выглядеть так:

Клиент входит на сайт вашего банка, используя имя пользователя, пароль и дополнительный этап проверки (обычно одноразовый пароль или OTP).
После успешной аутентификации отобразить запрос на разрешение, в котором клиенту предлагается зарегистрировать свое устройство (UVPA).
После предоставления разрешения браузер отображает диалоговое окно регистрации WebAuthn.
Клиент дает согласие на регистрацию устройства, пройдя биометрическую аутентификацию.
Теперь клиент может безопасно входить в систему и производить оплату с помощью своего устройства.

При повторной аутентификации пользователь уже вошел в систему, но ему предлагается пройти повторную аутентификацию, чтобы убедиться, что тот же пользователь все еще присутствует. Такая конструкция обычно используется в критически важных для безопасности операциях, таких как запрос на смену пароля или при совершении платежа. С помощью WebAuthn UVPA повторная аутентификация намного быстрее и надежнее, чем с использованием паролей.

Узнайте, как создать процесс регистрации и аутентификации WebAuthn для повторной аутентификации, в статье «Создайте свое первое приложение WebAuthn» .

Регистрация на сайте продавца при оплате

Если ваш клиент не регистрирует свое устройство на сайте эмитента платежа, он может сделать это непосредственно на сайте торговца. Интерфейс выглядит так же, но регистрация пользователя инициируется кодом RP.

Это идеальный вариант, когда клиенты нечасто посещают сайт RP, но RP все равно хотел бы предложить возможность аутентификации.

Аутентификация (подтверждение платежа)

Аутентификация требуется, когда плательщик предоставляет платежные данные во время платежной транзакции.

Плательщик предоставляет платежные данные (например, данные кредитной карты).
Торговец проверяет, поддерживает ли браузер функцию безопасного подтверждения платежа.
Если браузер поддерживает SPC, вызовите API запроса платежа с SPC в качестве способа оплаты. В противном случае вернитесь к существующему способу аутентификации.
Плательщик подтверждает данные транзакции и завершает аутентификацию (например, касаясь своего биометрического аутентификатора платформы).

Поддерживаемые платформы

Подтверждение безопасного платежа поддерживается Google Chrome на macOS, Windows и Android. Другие платформы, включая iOS и ChromeOS, не поддерживаются по состоянию на март 2025 года.