تأكيد الدفع الآمن

Eiji Kitamura

تأكيد الدفع الآمن (SPC) هو معيار مقترَح للويب يسمح للعملاء بالمصادقة مع جهة إصدار بطاقة الائتمان أو المصرف أو مقدّم خدمات دفع آخر باستخدام أداة مصادقة للمنصات:

  • ميزة فتح القفل، بما في ذلك رقم التعريف باللمس على جهاز يعمل بنظام التشغيل macOS
  • Windows Hello على جهاز Windows

باستخدام SPC، يمكن للتجّار السماح للعملاء بمصادقة عمليات الشراء بسرعة وسلسة، بينما تحمي المصارف الصادرة عملائها من الاحتيال.

تتألف SPC من مرحلتين: التسجيل والمصادقة.

  • التسجيل: يربط المسؤول عن الدفع جهازه بجهة معتمَدة. قد يكون الطرف الموثوق به جهة إصدار بطاقة ائتمان أو مصرفًا أو غير ذلك من مقدّمي خدمات الدفع.
  • المصادقة: تستخدم الجهة المسدِّدة الجهاز المسجَّل لتأكيد هويتها لدى الجهة المحظورة مباشرةً من منصة التاجر قبل تأكيد عمليات الدفع.

المصادقة لمنع الاحتيال

تؤدي المصادقة دورًا مهمًا في منع الاحتيال في عمليات الدفع. ومع ذلك، غالبًا ما تعتمد عملية التحقق هذه على آليات ضعيفة، مثل الجمع بين رقم بطاقة الائتمان واسم مالك البطاقة أو رمز إضافي لرمز التحقق من البطاقة (CVC) مكتوب على الجهة الخلفية من البطاقة. ويتم اختراق هذه الآليات بسهولة وانتحال هوية أصحابها في حال تسرّب بيانات البطاقة بسبب عمليات اختراق أمني للبيانات، مثل اختراق الحساب أو هجمات التصيّد الاحتيالي.

تم طرح آليات إضافية لمنع الاحتيال، مثل EMV® 3-D Secure، حيث يمكن أن يُطلَب من الجهة المسدِّدة المصادقة على جهة إصدار البطاقة أو المصرف. للمصادقة، يسجّل المستخدم الدخول باستخدام اسم المستخدم وكلمة المرور أو كلمة مرور لمرة واحدة (OTP) المرسَلة إلى هاتف الجهة المسدِّدة عبر الرسائل القصيرة SMS. تهدف هذه الخطوة إلى حماية العملاء من الاحتيال، ولكنّها قد تشكّل عائقًا أمام بعض العملاء الصالحين لإكمال عملية الدفع. تهدف SPC إلى تقليل الصعوبات المتعلقة بالمصادقة، وبالتالي تقليل التخلّي عن سلة التسوق.

في الوقت نفسه، هناك معيار جديد للمصادقة يسمى WebAuthn.

ما هو WebAuthn؟

مصادقة الويب (WebAuthn باختصار) هي معيار على الويب يسمح لخوادم الجهات المعتمدة (RP) بتسجيل المستخدمين ومصادقتهم في المتصفّح باستخدام تشفير المفتاح العام، بدلاً من كلمة المرور.

تعتمد الجهات المحظورة على برامج المصادقة الخارجية، مثل مفتاح الأمان. تطلب الجهات المحظورة مفتاح الأمان لإنشاء زوج مفاتيح خاص وعام ثم تخزين المفتاح العام على الخادم (تسجيل). وتكون هذه المفاتيح التي تم إنشاؤها فريدة من نوعها على الجهاز، ما يمنع المهاجمين من انتحال هوية المستخدم. ويمنع هذا المعيار التصيّد الاحتيالي لأنّ زوج المفاتيح مرتبط بالمصدر.

يعمل تحالف FIDO Alliance على تحديد سلوك برنامج المصادقة. تتيح بعض أدوات المصادقة إثبات هوية المستخدم المحلي باستخدام عامل قياس حيوي (مثل بصمة الإصبع أو التعرّف على الوجه) أو عامل معرفة (مثل رمز رقم التعريف الشخصي). ويتم دمج العديد منها في أجهزة الحوسبة، مثل أجهزة الكمبيوتر المحمولة أو الهواتف الذكية، والتي تُعرف باسم أجهزة المصادقة على النظام الأساسي. تتوافق ميزة WebAuthn مع جميع المتصفّحات الرئيسية (أجهزة الكمبيوتر المكتبي والأجهزة الجوّالة)، وتتوفّر أدوات المصادقة على مليارات الأجهزة. يمكن للمستخدمين التسجيل والمصادقة على أنفسهم من خلال إثبات هويتهم محليًا على النظام الأساسي.

تم تصميم SPC للعمل مع أدوات مصادقة النظام الأساسي للتحقق من المستخدم (UVPA).

تشمل أمثلة UVPA على جهاز Apple Touch ID وكاميرا الهاتف الجوّال.
يدمج العديد من الأجهزة أداة استشعار للمقاييس الحيوية. ويُطلق على هذه البرامج اسم برنامج مصادقة النظام الأساسي للتحقّق من المستخدم (UVPA).

كيف تعمل ميزة "تأكيد الدفع الآمن"؟

تم إنشاء تأكيد الدفع الآمن (SPC) استنادًا إلى WebAuthn وتصميمه خصيصًا لأغراض الدفع. بما أنّ بيانات اعتماد WebAuthn يتم تسجيلها لنطاقات محدّدة، لا يمكن استخدام بيانات الاعتماد هذه للمصادقة على المواقع الإلكترونية غير المسجَّلة التي قد تنتحل هوية تاجر. تجعل هذه الميزة WebAuthn فعّالة ضد هجمات التصيّد الاحتيالي.

تضيف SPC طبقة معلومات الدفع في أعلى WebAuthn حتى تتمكن جهة إصدار البطاقة أو المصرف من توفير تجربة دفع متسقة. بعد تسجيل الجهة المسدِّدة لبرنامج مصادقة لدى الطرف المعتمد، يمكن استخدامها للمصادقة على المواقع الإلكترونية المختلفة للتجّار. يمكن أيضًا للطرف المعتمد اختيار استخدام بيانات اعتماد الدفع كبيانات اعتماد WebAuthn عادية.

أجرت Stripe تجربة باستخدام SPC في بيئة الإنتاج الخاصة بها، كجزء من مراحل التجربة والتقييم في Chrome. في هذه التجربة، حقّق Stripe معدّل إحالات ناجحة أفضل بنسبة% 8 وكان معدّل الدفع أسرع بثلاث مرات. يمكنك الاطّلاع على النتائج في تقرير SPC في مجموعة عمل W3C Web Payments.

كيف يتعامل المستخدمون مع SPC؟

تتكون الواجهة الأمامية في SPC من مرحلتين: التسجيل والمصادقة.

على العميل أولاً تسجيل جهازه باستخدام برنامج المصادقة على النظام الأساسي للتحقق من هوية المستخدم (UVPA). بعد تسجيل الجهاز، يمكن استخدامه لمصادقة المستخدم وتأكيد عمليات الدفع كلما تم تنفيذ SPC على الموقع الإلكتروني للتاجر.

تسجيل

يمكن للمستخدمين التسجيل في SPC بطريقتين:

  • يُرجى التسجيل على الموقع الإلكتروني الخاص بالجهة المحظورة.
  • التسجيل بشكل غير مباشر على الموقع الإلكتروني للتاجر

التسجيل على الموقع الإلكتروني الخاص بالجهة المحظورة

على الموقع الإلكتروني للجهة المحظورة، لا يختلف تسجيل SPC عن تسجيل WebAuthn. ننصح بأن يطلب "برنامج الجهة المحظورة" من العميل تسجيل UVPA كجزء من عملية تسجيل الدخول.

قد يبدو السيناريو النموذجي كما يلي:

  1. يسجّل العميل الدخول إلى الموقع الإلكتروني للمصرف باستخدام اسم المستخدم وكلمة المرور وخطوة تحقّق إضافية (عادةً ما تكون كلمة مرور صالحة لمرة واحدة أو كلمة مرور OTP).
  2. بعد إجراء مصادقة ناجحة، اعرض طلبًا للحصول على إذن يطلب من العميل تسجيل جهازه (UVPA).
  3. بعد منح الإذن، يعرض المتصفِّح مربع حوار تسجيل WebAuthn.
  4. يوافق العميل على تسجيل الجهاز عن طريق إجراء مصادقة بالمقاييس الحيوية.
  5. أصبح بإمكان العميل الآن تسجيل الدخول والدفع بأمان باستخدام جهازه.

من خلال reauthentication، يكون المستخدم مسجّلاً الدخول، ولكن يُطلب منه إجراء المصادقة مرة أخرى للتأكّد من ظهور المستخدم نفسه. وتتم عادةً رؤية هذا التصميم في إحدى العمليات الأمنية المهمة، مثل طلب تغيير كلمة مرور أو إجراء عملية دفع. باستخدام WebAuthn UVPA، تكون إعادة المصادقة أسرع وأقوى بكثير من استخدام كلمات المرور.

تعرَّف على كيفية إنشاء مسار تسجيل ومصادقة WebAuthn لإعادة المصادقة في إنشاء تطبيق WebAuthn الأول.

التسجيل على موقع إلكتروني خاص بتاجر أثناء الدفع

إذا لم يسجّل العميل جهازه على الموقع الإلكتروني لجهة إصدار الدفع، يمكنه إجراء ذلك مباشرةً على الموقع الإلكتروني للتاجر. تبدو الواجهة كما هي، لكن يتم بدء تسجيل المستخدم من خلال رمز الجهة المحظورة.

يُعد هذا الخيار مثاليًا عندما لا يزور العملاء موقع الجهة المحظورة بشكل متكرر، ولكن لا يزال الجهة المحظورة يريد تقديم خيار المصادقة.

المصادقة (تأكيد الدفع)

تكون المصادقة مطلوبة عندما تقدّم جهة الدفع بيانات اعتماد الدفع أثناء إجراء معاملة دفع.

  1. تقديم جهة الدفع بيانات اعتماد الدفع (مثل بيانات بطاقة الائتمان)
  2. يتحقّق التاجر مما إذا كان المتصفّح يتيح استخدام ميزة "تأكيد الدفع الآمن".
  3. إذا كان المتصفّح يتيح استخدام SPC، عليك طلب واجهة برمجة التطبيقات Payment Request API مع SPC كطريقة دفع. بخلاف ذلك، ارجع إلى طريقة المصادقة الحالية.
  4. تؤكّد الجهة المسدِّدة تفاصيل المعاملة وتُكمل المصادقة (مثلاً من خلال لمس أداة المصادقة على منصة المقاييس الحيوية).

المنصّات المعتمدة

يدعم Google Chrome حاليًا ميزة "تأكيد الدفع الآمن" على نظامَي التشغيل macOS وWindows. اعتبارًا من أيار (مايو) 2022، لن تكون الأنظمة الأساسية الأخرى، بما في ذلك Android وiOS وChromeOS.

الخطوات التالية