3D Secure — hva er det og trenger vi det?
I et tappert forsøk på å bekjempe kortsvindel er nettbutikkene pålagt av innløserne og banker å implementere 3D Secure-teknologi.
Hva er 3D Secure?
3D Secure tilbyr et ekstra lag med beskyttelse for kortholdere (deg som privatperson) og brukerstedet eller nettbutikken. Kunder blir bedt om å skrive inn et ekstra passord når man har betalt for å “bekrefte” at man virkelig er kortinnehaveren.
Men, som alle ekstra trinn i en betalingsprosess, kan 3D Secure ha en negativ innvirkning på konverteringsfrekvenser. Kortholdere glemmer ofte passordet de har lagt inn — og reagerer på at det dukker opp et ekstra “usikkert” steg i betalingsprosessen.
Hvordan fungerer 3D Secure rent teknisk?
Utviklet av Visa og lisensiert av MasterCard, står 3D Secure for “Three Domain Secure” — der de tre domenene er nettbutikkens bank, kortinnehaverens bank og infrastrukturen som håndterer 3D Secure-protokollen.
På nettbutikker med 3D Secure blir kunden bedt om å oppgi et passord (dersom tidligere registrert). Kunden blir da enten omdirigert til banken nettside for å skrive inn passordet, eller så kjøres det i en såkalt iframe ramme i selve betalingsvinduet.
Discover og American Express (AMEX) har selvfølgelig andre standarder (Safekey, etc) og fungerer på en annen måte.
Fordeler og ulemper ved 3D Secure
Fordeler:
- Ansvar. Vanligvis når en transaksjon blir innklaget er det selgeren (nettbutikken) som betaler prisen. Ved å ha 3D Secure aktiv vil normalt ansvaret gå over til å være bankens.
- Chargeback-beskyttelse. Verified by Visa sikrer at du aldri risikerer å få en chargeback, dvs man sikrer seg mot at en kunde gjør et “lurekjøp” og søker en tilbakeføring (chargeback), vel vitende om at banken vil stole mest på sluttkunden og gi han eller hun pengene tilbake (samt at man beholder varen). MasterCard støtter ikke Chargeback-beskyttelse.
- Økt konvertering kan forekomme. Frykt for nettsvindel gjør at en del kunder føler seg tryggere med “Verified by Visa” logoer og 3D Secure passord. Man føler seg normalt litt tryggere på en flyplass med det ekstreme sikkerhetsnivået. Det samme kan gjelde på nettet.
Ulemper
- Kunder flest hater det. Man glemmer passordet, man glemmer Bank-brikken dersom man må bruke den, man får feilmeldinger pga nettleser-issues i videresendingsprosessen, osv osv.
- Kunder flest ikke hva det er for noe. Betaling må være enkelt. 3D Secure hjelper ikke spesielt på prosessen med å forstå hva man holder på med. Navnet bidrar heller ikke spesielt på forståelsen av hva man begir seg ut på, da folk flest forbinder 3D med underholdende filmer fra Disney og Pixar.
- Det genereres mye unødvendig support til kundeservice, og skaper utelukkende frustrasjon for både nettbutikk og sluttkunde.
- Og kanskje verst av alt, 3D Secure er absolutt ikke så sikkert som man skulle tro..
Så, har 3D Secure gjort netthandel tryggere?
Kort som ikke allerede er innrullert i 3D Secure blir automatisk godkjent første gang man bruker det, og kunden blir bedt om å kunne sette et passord (fra en del banker). Man må da ofte skrive inn korteiers fødselsdato eller siste sifre i personnummeret, tall som sjelden er særlig vanskelig å skaffe.
Nettsvindlere vet også normalt hvordan de skal resette 3D Secure passordet.
I tillegg anbefaler Visa at man bør velge et passord som er, sitat “Ditt passord skal være enkelt for deg å huske”. Slike anbefalinger gjør ikke ting spesielt mye sikrere.
Innløsere og kortleverandører velger selv hvorvidt nettbutikken skal ha 3D Secure aktivert og det er da bare for en eventuell svindler å tømme kortet fra en nettbutikk eller annet utsalgssted der 3D Secure ikke er aktivert.
Hvor er 3D Secure påkrevd?
MasterCard har gjort det obligatorisk for nettbutikker som ønsker å akseptere kort i Storbritannia, og Verified by Visa er obligatorisk i for eksempel Italia. Storbritannia er i toppen på antall kredittkort-brukere Europa, og er ofte prøvekanin for nye sikkerhetsprodukter som AVS, 3D Secure, kontaktløs betaling og liknende. Ifølge CyberSource — en stor betalingsformidler har 73% av britiske nettbutikker 3D Secure aktivert, mens nye 10% planlegger å aktivere det.
På grunn av at en så stor andel bruker dette — og at presse, banker og nettbutikker har informert så mye om ordningen — så ser man at den negative effekten av redusert konvertering er veldig mye lavere i UK enn i andre land.
Amazon kjører uten 3D Secure
Amazon.co.uk er en godt (på flere måter) eksempel på en nettbutikk som ignorerer reglene for 3D Secure og liknende. Amazon har en sofistikert anti-svindel løsning i både nettbutikken og et større team som kun jobber med å forebygge dette. De har også så stor gjennomstrøm av ordrer at å betale noen bøter eller “chargebacks” ikke blir noe stor kostnad for dem.
Anbefalinger
Hvordan du kan sikre god konvertering selv om 3D Secure er aktivert.
- Informer kundene om 3D Secure. Skriv kort hva det er. Legg inn logoene Verified by Visa og MasterCard SecureCode tydelig på nettbutikken, både i footer og i betalingsvinduet. Dette skaper mer trygghet.
- På grunn av at kunden “slenges” mellom PSP (Payment Service Provider) som Nets, 3D Secure passord-siden og nettbutikken så skal det lite til for at kunden trykker Tilbake eller Frem knappene i nettleseren. Selv om det selvfølgelig ikke burde være noe problem så går det veldig dårlig akkurat i denne prosessen. Informèr derfor kunden tydelig om å IKKE gå frem og tilbake i vinduene.
Liker du fortsatt ikke 3D Secure? Ta det opp med din kortleverandør (Nets, DIBS, el.) eller kortinnløser.
Les mer om problemer med betalingsprosessen i vår Magento dokumentasjon:
http://docs.trollweb.no/pages/viewpage.action?pageId=1999059
Store deler av artikkelen er basert på artikkel fra Elastic Path
