paskuda03 wrote:

>
>> Przy próbie płatności komunikat:
>> "Do wykonania tej transakcji wymagane jest uruchomienie zabezpieczenia
>> 3-D Secure." dalej numery (prawdziwe) i że bez 3DS to niemożliwe.
>> Nie mogę się dodzwonić na żaden z numerów do obsługi kart - zajęte lub w
>> najlepszym razie po zapowiedzi i wybraniu "0" jest komunikat, że w tej
>> chwili się nie da, żeby dzwonić później i koniec.
>>
>> Na stronie Pekao opis "Dlaczego warto korzystać z zabezpieczenia 3-D
>> Secure?".
>> Czyli można wyłączyć? Jak? Nie korzystam z bankowości elektronicznej
>> Pekao i nie zamierzam.
>>
>> Ostatnia płatność w listopadzie, VC podpięta pod Paypal (jeśli to
>> istotne),
>> bez problemów.
>>
>> Arek
>>
>
> Uwierzytelnianie transakcji kodem z tokena to właściwość samej karty,
> bank tylko uruchamia system informatyczny który ten proces obsługuje.

Bzdura. 3d-secure jest wpięte między systemem informatycznym VISA a systemem
informatycznym instytucji (zwykle jest to - jak sądzę - bank) który dla
danego zakresu numerów kart płatniczych odpowiada na zapytania o możliwość
obciążania danej karty. Jeżeli instytucja ma zapisane, że dla danej karty
jest aktywne 3d-secure, to przekazuje takie info do systemu informatycznego
VISA. Następnie VISA przekazuje to info do punktu handlowego z którego
nadeszła próba obciążenia. Potem nie wiem do końca co się dzieje, ale efekt
jest taki, że na kanale VISA <--> bank (tym samym którym przyszło info, że
wymaga się 3d-secure) pojawia się kolejne info, że autentykacja użytkownika
karty się powiodła albo się nie powiodła. Oczywiście to info odsyła bank po
wykonaniu dodatkowej weryfikacji (token, sms, etc.)

Dodam, że w modelu bez 3d-secure bank na pierwsze zapytanie o obciążenie po
prostu odpowiada akceptacją albo odsyła kod odmowy - niektóre terminale POS
drukują te kody odmowy wprost na slipach. Nie wiem jak sklepy internetowe.

Zdaje się, że aby 3d-secure mogło się odbyć, to próba obciążenia musi iść
on-line. Dla obciążeń off-line o ile się nie mylę, nie może zajść procedura
3d-secure właśnie dlatego, że info o 3d-secure przechowuje u siebie bank i
tylko bank wie, czy dla danej karty należy czy nie należy żądać 3d-secure.

> Jednocześnie jest to sposób na przeniesienie całej odpowiedzianości za
> transakcję z banku na klienta. :-)
> https://pl.wikipedia.org/wiki/3-D_Secure
> W przypadku PayPala tylko pierwsza operacja - podpięcie
> karty wymaga uwierzytelnienia tokenem - potem już nie wymaga.
> Wystarcza login i hasło paypala. Tak mi się w każdym razie zdaje.
> Token to raczej mocny system i jeśli nie popełnimy jakiegoś dużego
> błędu to skuteczny i wiarygodny. Warto uruchomić sobie.
> W przypadku kradzieży karty, lub jej zeskanowania jedyny skuteczny.

No to też nie jest prawda. Generalnie na karcie jest zapisany preferowany
sposób autentykacji (pin on-line, podpis, pin off-line). Jednak mając złe
intencje jest technicznie możliwe przekonanie (np. ukradzionej) karty, która
miała jedyną dostępną metodę autentykacji pin on-line, żeby wystarczyło jej
pin off-line. Co więcej, można dla takiej (np. ukradzionej) karty przekonać
POS że podany pin w metodzie pin off-line jest właściwy mimo, że nie jest
właściwy.

> IMHO nie można go wyłączyć - jedynie szukać karty dla której nie
> jest konieczny , np. jakieś karty przedpłacone.
> http://www.ecard.pl/faq-3dsecure.htm
> https://acs.onlinesbi.com/sbi/enrollment/enroll_welc
ome.jsp
>
> --
> Paskuda03

--
Wysłane z pola.