ACS что это: как работает сервер контроля доступа в банковских картах

Онлайн-платежи стали незаметной и составной частью нашей жизни. Можно прямо с банковской карты оплатить товары или услуги. Безопасность при этом полностью гарантируется – преимущественно используется двухфакторная аутентификация (2FA), с помощью которой проходит СМС уведомление на телефон в виде одноразового пароля. Мало кто задумывается, как все это работает на практике. Безопасность для клиентов и банковских структур гарантирует новая технология в виде Access Control Server (ACS), которая представляет собой сервер контроля доступа.

Что такое ACS простыми словами?

Access Control Server (ACS) – это новый компонент технологии 3-D Secure, который находится на стороне банка, выпустившего карту (банка-эмитента). Его главнейшая цель – идентифицировать плательщика при онлайн-покупках и сделать подтверждение, что операцию при покупке проводит владелец банковской карты, а не посторонний человек.

Если рассуждать упрощенно о данной технологии, ее смело можно называть «привратником» банка. Как только клиент выбирает товар в онлайн магазине, кладет его в корзину и старается сразу оплатить, именно в этот момент и начинает работать данная защита.

Аббревиатура расшифровывается так:

Access – доступ;

Control – контроль;

Server – сервер.

Система безопасности ACS не работает сама по себе. Она является неотъемлемой частью протокола 3-D Secure (версий 1.0, 2.0, 2.1, 2.2), который был разработан платежными системами Visa, Mastercard и Мир.

Почему система безопасности ACS востребована?

Если начать разбираться в этом вопросе более детально, можно обнаружить, что ACS решает сразу три ключевые задачи.

Задача 1. Аутентификация держателя карты

Банковская структура априорно должна быть уверена в одном, что банковской картой распоряжается именно владелец карты. Для этого используются различные технология – от биометрии (Face ID, Touch ID) до технологии (2FA), что позволяет на 100% гарантировать безопасность предстоящей сделки. Другими словами, ACS информирует магазин: «Пользователь подтвержден, можно списывать деньги».

Задача 2. Снижение мошенничества (Fraud Prevention)

Не редкость, когда люди теряют карты или хакеры подсматривают номер, узнают срок действия и CVV-код. Без подтверждения в ACS (например, без доступа к телефону владельца) они не способны провести сделку. ACS создает второй эшелон защиты, который окажется не «по зубам» опытным хакерам.

Задача 3. Смещение ответственности за чарджбэки

Чарджбэк (chargeback) – это полный возврат денег покупателю, если возникает спор с продавцом. Такая технология широко используется в онлайн-магазинах, когда покупатели обоснованно заявляют о низком качестве товара. Или когда товар вообще не доходит до адресата! В этом случае алгоритм действия происходит следующим образом – мгновенно включается 3-D Secure и ACS, а ответственность за мошенническую транзакцию налагается на банк-эмитент. Продавец получает защиту от необоснованных возвратов, а покупатель – уверенность, что деньги будут возвращены.

3. Принцип работы ACS: от ввода карты до подтверждения

Кажется, что такая технология отличается избыточной сложностью. Для облегчения понимания всего процесса нужно представить себе стандартный случай, когда покупатель приобретает товар в онлайн-магазине, расплачивается картой Visa.

Шаг 1. Инициирование платежа

Клиент вводит данные банковской карты на сайте онлайн-магазина, нажимает на «Оплатить». Эквайринговый платеж с помощью банка-посредника формирует платежный запрос, направляет его в платежную систему.

Шаг 2. Маршрутизация к банку-эмитенту

Платежная система, используя BIN (первые 6 цифр карты), какой банк выпустил карту, направляет запрос на ACS этого банка.

Шаг 3. ACS запускает процесс проверки

ACS банка получает запрос, сразу же оценивает множество параметров: сумма покупки, магазин, история операций по карте, безопасность, устройство входа. Получив все данные, система ACS выбирает три сценария:

• Frictionless flow (бесшовный сценарий). Если транзакция выглядит надежной, система дает «зеленый свет» на проведение платежа без использования двухфакторной аутентификации. Пользователь в этом случае даже не замечает, что он был проверен вдоль и поперек!

• Challenge flow (сценарий с вызовом). Когда платеж кажется подозрительным (большая сумма, новый магазин или новая страна), система ACS автоматически формирует страницу-вызов (Challenge), которую показывает пользователю (в браузере или мобильном приложении). И указывает на следующее – данная транзакция требует дополнительного подтверждения

Шаг 4. Подтверждение пользователем

Допустим, человек покупает дорогой телефон в онлайн магазине и ему нужно потратить не менее 50 000 рублей. В этом случае снова начинает работать технология 2FA, когда приходит СМС-код. В отдельных случаях отпечатка пальца на экране телефоне оказывается достаточно. Как только пользователь верифицируется, новые данные отправляются в ACS.

Шаг 5. Решение ACS

Система безопасности тщательно проверяет ответ. Если он положительный, ACS отправляет платежной системе и магазину «зеленый свет» в виде сообщения: «Аутентификация успешна, карта подтверждена, можно списывать средства». Если ответ окажется неверным или пользователь отменил операцию, ACS сообщает об отказе.

Шаг 6. Завершение платежа

Платежная система и эквайринг-банк получают ответ от ACS. Если сделка считается успешной, денежные средства клиента автоматически списываются с банковской карты клиента, перечисляются магазину. Далее клиент получает товарный чек.

На все эти операции у системы уходит буквально несколько секунд.

4. Что изменилось с появлением 3-D Secure 2.0?

Первая версия 3-D Secure (1.0) считалась неудобной для пользователей. При каждой транзакции требовала ввода одноразового пароля или постоянного пароля; могла заблокировать пользователя на отдельной странице; в мобильных приложениях все работало вообще некорректно.

3-D Secure 2.0 и выше – это «умный» ACS!

Его кардинальные улучшения выглядят следующим образом:

• Бесшовный сценарий (Frictionless flow). Система мгновенно анализирует десятки параметров (цифровой отпечаток устройства, история покупок, геолокация, поведение в приложении). Если сумма относительно небольшая, страна все та же, а клиент заходит в банковское приложение со старого телефона, ACS одобряет сделку. Платеж проходит быстро без дополнительной верификации.

• Единый интерфейс внутри приложений. В 3-D Secure 2.0 часто подтверждение происходит прямо в мобильном приложении банка магазина (через встроенный WebView). В последнем случае пользователю вообще не придется переходить на отдельную страницу.

• Поддержка разных способов подтверждения. Система ценится тем, что может поддерживать не только SMS или Push-уведомления, но также и биометрию (Face ID, Touch ID, Google Authenticator), что позволяет добиться удобства и гибкости для пользователя.

• Расширение сценариев использования. Модернизированная система ACS способна эффективно работать не только с одноразовыми покупками, но и с рекуррентными платежами (подписки), оплатой в мобильных приложениях, платежами с помощью цифровых кошельков (Apple Pay, Google Pay), переводами с одной банковской карты на карту.

5. Почему система ACS считается важной для всех участников платежа?

Не все специалисты по кибербезопасности способны однозначно и правильно ответить на этот вопрос. В реальной практике, если установить систему ACS, она окажется востребованной абсолютно для всех участников рынка. Система гарантирует следующее:

Для покупателя

• Защита от мошенников. В ситуации, если банковская карта была украдена, то хакеры не смогут снять с нее деньги, поскольку не обладают биометрией «клиента» и корректного номера телефона.

• Спокойствие и контроль. Человек, каждый раз оплачивая крупные или мелкие покупки, может быть уверен в одном – эти операции на 100% окажутся безопасными.

• Снижение спорных ситуаций. Даже если хакер и смог провернуть мошенническую операцию, все деньги можно вернуть – можно доказать банку что подтверждения по системе ACS не приходило.

Для продавца (интернет-магазина, онлайн сервиса)

• Защита от чарджбэков. При успешной аутентификации через ACS ответственность за мошеннические операции переходит на банковскую структуру.

• Повышение репутации. Появляется все больше покупателей, которые заходят на сайты с 3-D Secure и ACS, твердо зная, что их банковская информация надежна защищена.

• Соблюдение требований платежных систем. Появляются новые правила в Visa и Mastercard, которые обязывают продавцов использовать 3-D Secure.

Для банка-эмитента

• Снижение потерь от фрода. Наблюдается резкое снижение мошеннических операций. Банку приходится тратить меньше денег на возмещение расходов клиентам.

• Выполнение требований регуляторов (Центрального Банка, платежных систем) по усилению аутентификации.

• Повышение лояльности клиентов. Мощная криптографическая защита позволяет гарантировать одно – все данные и средства клиентов не будут украдены хакерами.

Для платежных систем 

• Укрепление доверия к безналичным платежам в Интернете. Безопасность в онлайн-торговли априори считается ключевым элементом, что позволяет резко нарастить торговлю в онлайн-режиме.

• Снижение операционных расходов на расследование споров.

6. Что будет, если ACS не работает или не используется?

Если банковская структура не поддерживает ACS или отключает его, банковская карта мгновенно становится уязвимой. Хакерам разве что придется узнать номер карты, срок действия и CVV. Если не имеется второго эшелона защиты (ACS), хакерские структуры быстро опустошают кошелек «клиента» на дорогостоящих покупках. Может включиться система фрод-мониторинга, но она часто реагирует постфактум.

Для продавца это означает следующее:

• значительное возрастание чарджбэков (спорных возвратов);

• возможность попасть в «стоп-листы» платежных систем;

• повышенные комиссионные издержки за риск.

Для покупателя:

• риск потери денежных средств при взломе банковской карты;

• серьезные сложности с возвратом украденных средств.

FAQ

ACS – это физическое устройство или программный софт?

По своей сути это программный компонент, работающий в большинстве серверов солидных банков. Такую систему невозможно купить на свободном рынке и запустить на собственном серверном оборудовании. Но клиенты пользуется им каждый раз при онлайн-оплате.

Можно ли отключить проверку через ACS?

В теории это возможно, но банковские структуры все-таки сохраняют данную опцию, не до конца выключая данную систему. Если такой подход (2FA) считается избыточно сложным, можно управлять порогами сумм, для которых потребуется проверка. К примеру, можно установить лимит на суммы, скажем, от 5000 рублей, когда нужно получать дополнительное СМС подтверждение.

ACS просит код из SMS. Это безопасно?

По своей сути СМС подтверждение на телефон считается для клиентов безопасным. В теории хакеры могут купить номер телефона любой страны на специальных сайтах. Для снижения рисков рекомендуется дополнительно подключить биометрию или использовать PUSH-уведомления в мобильном приложении.

Что делать, если СМС код не приходит?

В этом случае лучше сразу обратиться в банк, операторы которого способны решить эту проблему в течение нескольких минут. Часто случается так, что подтверждение приходит на мобильное приложение банка или наблюдаются проблемы с сотовым оператором определенной страны. Большинство банков предлагают альтернативные способы: звонок с автоинформированием, генерация кода в онлайн-банке.

Может ли мошенник обойти ACS?

Если действовать прямолинейно, т.е. пробовать взломать защитный код, то не имеется абсолютно никаких вариантов у хакеров! Но не стоит забывать про опасность социальной инженерии, когда хакеры обманом заставляют жертв диктовать код из полученного СМС. Поэтому, кто бы не звонил – хоть из службы безопасности банка – никогда не стоит сообщать одноразовые пароли.