Overzicht
Secure Payment Confirmation (SPC) is een voorgestelde webstandaard waarmee klanten zich kunnen authenticeren bij een creditcardmaatschappij, bank of andere betalingsdienstaanbieder met behulp van een platformauthenticator, die doorgaans wordt geactiveerd met de schermontgrendelingsfunctie van een apparaat, zoals een vingerafdruksensor. Dit gebeurt meestal tijdens een betalingsauthenticatieprotocol zoals EMV 3-D Secure of Open Banking . EMV 3-D Secure heeft bijvoorbeeld ondersteuning voor SPC in de v2.3 spec-release . We hebben eerder aangekondigd dat SPC is gelanceerd voor Google Chrome op macOS en Windows en hebben ontwikkelaarshandleidingen verstrekt voor zowel registratie als authenticatie .
Vanaf M109 (momenteel op het bètakanaal) zal SPC ook beschikbaar zijn in Google Chrome op Android. Gebruikers kunnen de schermvergrendeling van hun apparaat gebruiken om het betalingsverificatieproces te voltooien op verkopersites die SPC gebruiken.
Als u geïnteresseerd bent om met SPC te experimenteren, probeer het dan gerust uit op onze demowebsite , of vraag uw Payment Service Provider of zij van plan zijn SPC te ondersteunen voor het authenticeren van gebruikersbetalingen.
Sterke authenticatie voor betalingen
Authenticatie speelt een belangrijke rol bij het voorkomen van betalingsfraude. Bij betalingsauthenticatie wordt tegenwoordig echter vaak gebruik gemaakt van zwakke (bijvoorbeeld CVC-code) of frictieve (bijvoorbeeld SMS OTP) verificatiemethoden. Deze authenticatiemethoden kunnen gebruikers kwetsbaar maken voor fraude, of ervoor zorgen dat hun winkelwagentje wordt verlaten vanwege wrijving.
SPC bouwt voort op webauthenticatie (WebAuthn) om sterke authenticatie voor betalingstransacties te bieden, met behulp van platformauthenticators die in de apparaten van gebruikers zijn ingebouwd. De authenticerende partij (bekend als de vertrouwende partij in WebAuthn), zoals de uitgevende bank of een betalingsdienstaanbieder, registreert de gebruiker in een eenmalig proces op hun website of tijdens een traditioneel geauthenticeerde transactie. Zij kunnen de registratie vervolgens gebruiken om de gebruiker te authenticeren in daaropvolgende betalingsstromen.
Zolang de vertrouwende partij dezelfde is (bijvoorbeeld dezelfde uitgevende bank), moet de gebruiker één registratie kunnen gebruiken voor alle toekomstige betalingen met die vertrouwende partij bij elke handelaar die SPC integreert.
API-wijzigingen
Ontwikkelaars kunnen de bestaande implementatiehandleiding volgen die is geschreven voor desktopintegratie om te leren hoe de API werkt.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
De payment geeft aan dat dit een SPC-referentie is. Zie de vorige registratiegids voor meer informatie over het gebruik ervan.
Momenteel creëert deze code niet-vindbare inloggegevens die werken voor SPC. Zodra vindbare inloggegevens worden ondersteund door SPC voor Google Chrome op Android, schakelt deze code automatisch over naar het maken van vindbare inloggegevens.
Bronnen
Leer hoe u Veilige betalingsbevestiging implementeert