דף זה תורגם על ידי Cloud Translation API.

אישור תשלום מאובטח ב-Chrome Android

Stephen McGruer

הערה: עדכון, מרץ 2023 הסרנו החל מגרסה 112 של Chrome, המגבלה הטכנית שהובילה ל-authenticatorSelection.residentKey להיות preferred במקום required הוסרה. המסמכים עודכנו בהתאם לשינוי.

סקירה כללית

אישור תשלום מאובטח (SPC) הוא תקן אינטרנט מוצעת שמאפשר ללקוחות לבצע אימות מול מנפיק כרטיס האשראי, הבנק או ספק שירותי תשלום אחר באמצעות מאמת פלטפורמה – שמופעל בדרך כלל באמצעות תכונת ביטול הנעילה של המסך במכשיר, כמו חיישן טביעות אצבע. בדרך כלל זה קורה במהלך פרוטוקול אימות תשלומים כמו EMV 3-D Secure או Open Banking. לדוגמה, ב-EMV 3-D Secure יש תמיכה ב-SPC בגרסה 2.3 של המפרט. הודענו בעבר על השקת SPC ל-Google Chrome ב-macOS וב-Windows, וסיפקנו מדריכים למפתחים לרישום ולאימות.

החל מגרסה M109 (כרגע בערוץ בטא), SPC יהיה זמין גם ב-Google Chrome ב-Android. המשתמשים יוכלו להשתמש בנעילת המסך של המכשיר שלהם כדי להשלים את תהליך אימות התשלום באתרי מוכרים שמשתמשים ב-SPC.

משתמש משלם ב-Chrome באמצעות אישור תשלום מאובטח.

אם אתם רוצים להתנסות ב-SPC, אתם יכולים לנסות אותו באתר הדמו שלנו, או לשאול את ספק שירותי התשלומים שלכם אם הוא מתכנן לתמוך בו לאימות תשלומים של משתמשים.

אימות חזק לתשלומים

לאימות יש תפקיד חשוב במניעת הונאות בתשלומים. עם זאת, אימות התשלומים מתבצע היום בדרך כלל באמצעות שיטות אימות חלשות (למשל, קוד CVC) או שיטות אימות שמעוררות חיכוך (למשל, OTP ב-SMS). שיטות האימות האלה עלולות לחשוף את המשתמשים לתרמית או לגרום לנטישה של עגלות קניות בגלל חיכוך.

SPC מתבסס על אימות אינטרנט (WebAuthn) כדי לספק אימות חזק לעסקאות תשלום, באמצעות מאמתי פלטפורמות שמובְנים במכשירים של המשתמשים. הצד המאמת (שנקרא 'צד נסמך' ב-WebAuthn), כמו הבנק המנפיק או ספק שירותי התשלומים, רושם את המשתמש בתהליך חד-פעמי באתר שלו או במהלך עסקה שמאומתת באופן מסורתי. לאחר מכן, הם יכולים להשתמש ברישום כדי לאמת את המשתמש בתהליכי תשלום הבאים.

כל עוד הצד הנסמך הוא זהה (לדוגמה, אותו בנק מנפיק), המשתמש אמור להיות מסוגל להשתמש ברישום אחד לכל התשלומים העתידיים עם הצד הנסמך הזה בכל מוֹכר שמשתמש באינטגרציה של SPC.

שינויים ב-API

מפתחים יכולים להיעזר במדריך הקיים להטמעה שנכתב לשילוב במחשב כדי ללמוד איך ה-API עובד.

navigator.credentials.create({  
  publicKey: {  
    ...,  
    authenticatorSelection: {  
      residentKey: 'preferred',  
      ...,  
    },
    extensions: {
      payment: {  
        isPayment: true,  
      } 
    },
  }  
});

המאפיין payment מציין שמדובר בפרטי כניסה של SPC. במדריך הקודם לרישום מוסבר איך משתמשים בו.

בשלב הזה, הקוד יוצר פרטי כניסה שלא ניתנים לגילוי, שפועלים עבור SPC. אחרי ש-SPC יתמוך בפרטי כניסה גלויים ב-Google Chrome ל-Android, הקוד הזה ישתנה באופן אוטומטי ליצירת פרטי כניסה גלויים.

משאבים

איך מטמיעים אישור תשלום מאובטח

תמונה של Franck ב-Unsplash