Omówienie
Bezpieczne potwierdzenie płatności (SPC) to proponowany standard internetowy, który umożliwia klientom uwierzytelnianie się u wydawcy karty kredytowej, banku lub innego dostawcy usług płatniczych za pomocą uwierzytelniania platformy, które jest zwykle aktywowane za pomocą funkcji odblokowania ekranu urządzenia, takiej jak czytnik linii papilarnych. Zwykle dzieje się tak podczas korzystania z protokołu uwierzytelniania płatności, takiego jak EMV 3-D Secure lub Open Banking. Na przykład EMV 3-D Secure obsługuje SPC w wersji specyfikacji 2.3. Wcześniej zapowiadaliśmy, że usługa ta została udostępniona w Google Chrome na komputerach z systemem macOS i Windows. Udostępniliśmy też przewodniki dla programistów dotyczące rejestracji i uwierzytelniania.
Od wersji M109 (obecnie na kanale beta) usługa SPC będzie też dostępna w przeglądarce Google Chrome na Androida. Użytkownicy będą mogli użyć blokady ekranu urządzenia, aby dokończyć proces weryfikacji płatności w witrynach sprzedawców, które korzystają z tej funkcji.
Jeśli chcesz eksperymentować z użyciem SPC, wypróbuj go na naszej stronie demonstracyjnej lub zapytaj dostawcę usługi płatniczej, czy planuje obsługiwać tę funkcję w celu uwierzytelniania płatności użytkowników.
Silne uwierzytelnianie na potrzeby płatności
Uwierzytelnianie odgrywa ważną rolę w zapobieganiu oszustwom związanym z płatnościami. Obecnie jednak uwierzytelnianie płatności często wykorzystuje słabe (np. kod CVC) lub niewygodne (np. hasło jednorazowe SMS) metody weryfikacji. Te metody uwierzytelniania mogą narażać użytkowników na oszustwa lub powodować porzucenie koszyka z powodu trudności.
SPC opiera się na uwierzytelnianiu w przeglądarce (WebAuthn), aby zapewnić silne uwierzytelnianie w przypadku transakcji płatniczych. Używa do tego uwierzytelniania na platformie, które jest wbudowane w urządzenia użytkowników. Stronę uwierzytelniającą (zwaną w WebAuthn stroną korzystającą) – na przykład bank wydający kartę lub dostawca usług płatniczych – rejestruje użytkownika w ramach jednorazowego procesu w swojej witrynie lub podczas transakcji z tradycyjnym uwierzytelnieniem. Następnie mogą użyć rejestracji do uwierzytelnienia użytkownika w kolejnych procesach płatności.
Dopóki powiązana strona jest taka sama (np. ten sam bank wydający), użytkownik powinien mieć możliwość korzystania z jednego rejestrowania dla wszystkich przyszłych płatności z tą powiązaną stroną u dowolnego sprzedawcy, który integruje SPC.
Zmiany w interfejsie API
Aby dowiedzieć się, jak działa ten interfejs API, deweloperzy mogą skorzystać z dostępnego już przewodnika po implementacji przeznaczonego do integracji na komputerze.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
Właściwość payment wskazuje, że są to dane uwierzytelniające SPC. Aby dowiedzieć się, jak z niego korzystać, zapoznaj się z poprzednim przewodnikiem po rejestracji.
Obecnie ten kod tworzy niewykrywalne dane logowania, które działają w przypadku SPC. Gdy usługa SPC w Google Chrome na Androida zacznie obsługiwać rozpoznawalne dane logowania, ten kod automatycznie przełączy się na tworzenie rozpoznawalnych danych logowania.
Zasoby
Dowiedz się, jak wdrożyć funkcję Secure Payment Confirmation