Используемая технология
Для осуществления платежей по технологии 3-D Secure держателю карты необходимо зарегистрироваться в соответствующей системе аутентификации банка-эмитента, называемой ACS (Access Control Server) и получить личный пароль, который будет известен только владельцу карты и банку. Во время совершения транзакции в сети Интернет, магазин, передавая централизованному ресурсу (платежному серверу банка-эквайрера) основные параметры транзакции, инициирует связь платежного сервера со специальной системой VISA или MasterCard. Это делается с целью проверки, является ли держатель карты участником программы Verified by VISA или MasterCard SecureCode. В случае утвердительного ответа от этой системы, именуемой "Directory Server", банку-эмитенту направляется запрос на аутентификацию держателя карты. Этот запрос передается эмитенту в виде строки параметров, присоединенной к URL (WEB-адресу) системы аутентификации банка-эмитента. URL c параметрами передается в браузер покупателя. Тем самым покупатель переадресуется на систему аутентификации своего банка-эмитента.
Банк запрашивает у держателя карты его личный пароль, выданный в процессе регистрации в программе Verified by VISA или MasterCard SecureCode. После подтверждения личности держателя карты система аутентификации банка-эмитента генерирует специальное уникальное цифровое значение, играющее роль "подписи", удостоверяющей данную сделку. Эта "подпись" передается платежному серверу и затем становится частью авторизационного запроса, который магазин (платежный сервер) направляет своему банку-эквайреру, а тот, в свою очередь, направляет авторизационный запрос банку-эмитенту. Проверив подпись и убедившись в платежеспособности карты, банк-эмитент завершает (одобряет) транзакцию. Таким образом, банк-эмитент аутентифицирует держателя карты в момент проведения платежа и уведомляет виртуальный магазин в режиме реального времени о том, действительно ли покупатель является владельцем карты.
Благодаря данной схеме работы интернет-магазины защищены от такого явления, как потребительские споры и отказы от совершения оплаты.
| 1. | Покупатель выбирает необходимые товары в электронном интернет-магазине продавца и формирует "корзину" заказа. |
| 2. | После того, как покупатель соберет в "корзину" все необходимые товары, Интернет-магазин автоматически направляет клиента на заполнение формы для оплаты на платежный сервер процессингового центра (AuthRequest). При этом магазин передает платежному шлюзу ряд реквизитов покупки, таких как сумма, номер заказ, дата и время, учетный номер магазина и ряд других. |
| 3. | Сервер запрашивает у покупателя информацию о платежной карточке: тип карты, номер карты, и ее срок действия. Эти данные необходимы для проведения платежа. |
| 4. | Платежный сервер, используя данные, полученные от интернет-магазина и от Покупателя, производит запрос в т.н. Сервер каталога (Directory Server) на предмет выяснения, зарегистрирована ли данная карта для выполнения операций в интернете (VEReq - запрос верификации). |
| 5. | Directory Server выясняет это у системы аутентификации банка-эмитента (ACS) |
| 6. | ACS банка-эмитента возвращает ответ верификации (VERes) Серверу Каталога |
| 7. | Сервер каталога возвращает ответ верификации платежному серверу. При этом данный ответ содержит в себе URL системы аутентификации банка-эмитента. |
| 8. | Платежный сервер формирует запрос аутентификации покупателя |
| 9. | Далее Платежный сервер перенаправляет покупателя на систему аутентификации банка-эмитента (используя полученный ранее URL), передавая сформированный запрос аутентификации через браузер Покупателя |
| 10. | ACS банка-эмитента производит аутентификацию покупателя |
| 11. | Формируется результат аутентификации |
| 12. | ACS банка-эмитента перенаправляет Покупателя обратно на платежный сервер, передавая результат аутентификации через браузер Покупателя |
| 13. | Платежный сервер формирует авторизационный запрос, включающий в себя результат аутентификации. Авторизационный запрос направляется хосту банка-эквайрера. |
| 14. | Хост банка-эквайрера через сеть платежной системы контактирует с хостом банка-эмитента и при наличии средств на карте получает от него авторизационный ответ, т.е. подтверждение платежеспособности карты. |
| 15. | Авторизационный ответ направляется Платежному серверу |
| 16. | Платежный сервер формирует для интернет-магазина ответ, содержащий результат авторизации |
| 17. | Результат авторизации направляется одновременно магазину и покупателю. |
| 18. | Исходя из результатов, магазин либо аннулирует заказ, либо организует доставку товара по назначению. |
| 
