3-D seguro
3-D Secure es un protocolo diseñado para ser una capa de seguridad adicional para las transacciones con tarjetas de crédito y débito en línea . El nombre hace referencia a los "tres dominios" que interactúan mediante el protocolo: el dominio del comerciante/adquirente, el dominio del emisor y el dominio de interoperabilidad. [1]
Desarrollado originalmente en el otoño de 1999 por Celo Communications AB (luego Gemplus, Gemalto y ahora Thales Group ) para Visa Inc. en un proyecto llamado "p42" ("p" de salto con pértiga ya que el proyecto fue un gran desafío y "42" como la respuesta del libro La guía del autoestopista galáctico ). Gemplus desarrolló una nueva versión actualizada entre 2000 y 2001.
En 2001 Arcot Systems (ahora CA Technologies ) y Visa Inc. [2] con la intención de mejorar la seguridad de los pagos por Internet, y se ofrece a los clientes bajo la marca Verified by Visa (luego rebautizada como Visa Secure ). Los servicios basados en el protocolo también han sido adoptados por Mastercard como SecureCode , Discover como ProtectBuy, [3] por JCB International como J/Secure y por American Express como American Express SafeKey . [4] Las revisiones posteriores del protocolo han sido producidas porEMVCo bajo el nombre EMV 3-D Secure . La versión 2 del protocolo se publicó en 2016 con el objetivo de cumplir con los nuevos requisitos de autenticación de la UE y resolver algunas de las deficiencias del protocolo original. [5]
El análisis de la primera versión del protocolo por parte de la academia ha demostrado que tiene muchos problemas de seguridad que afectan al consumidor, incluida una mayor superficie para el phishing y un cambio de responsabilidad en el caso de pagos fraudulentos. [6]
El concepto básico del protocolo es vincular el proceso de autorización financiera con la autenticación en línea. Esta autenticación de seguridad adicional se basa en un modelo de tres dominios (de ahí el 3-D en el propio nombre). Los tres dominios son:
El protocolo utiliza mensajes XML enviados a través de conexiones SSL con autenticación de cliente [7] (esto asegura la autenticidad de ambos pares, el servidor y el cliente, utilizando certificados digitales).
