Omówienie
Bezpieczne potwierdzenie płatności (SPC) to proponowany standard internetowy, który umożliwia klientom uwierzytelnianie się u wydawcy karty kredytowej, banku lub innego dostawcy usług płatniczych za pomocą uwierzytelniania platformy, które jest zwykle aktywowane za pomocą funkcji odblokowania ekranu urządzenia, takiej jak czytnik linii papilarnych. Zdarza się to zwykle podczas uwierzytelniania płatności, takiego jak EMV 3-D Secure lub Open Banking. Na przykład EMV 3-D Secure obsługuje SPC w wersji specyfikacji 2.3. Ogłosiliśmy wcześniej, że w przypadku Google Chrome w systemach macOS i Windows udostępniliśmy przewodniki dla programistów dotyczące rejestracji i uwierzytelniania.
Od wersji M109 (obecnie na kanale beta) usługa SPC będzie też dostępna w przeglądarce Google Chrome na Androida. Użytkownicy będą mogli użyć blokady ekranu urządzenia, aby dokończyć proces weryfikacji płatności w witrynach sprzedawców, które korzystają z tej funkcji.
Jeśli chcesz eksperymentować z użyciem SPC, wypróbuj go na naszej stronie demonstracyjnej lub zapytaj dostawcę usługi płatności, czy planuje obsługiwać go do uwierzytelniania płatności użytkowników.
Silne uwierzytelnianie na potrzeby płatności
Uwierzytelnianie odgrywa ważną rolę w zapobieganiu oszustwom związanym z płatnościami. Obecnie jednak uwierzytelnianie płatności często wykorzystuje słabe (np. kod CVC) lub niewygodne (np. hasło jednorazowe wysyłane SMS-em) metody weryfikacji. Te metody uwierzytelniania mogą narażać użytkowników na oszustwa lub powodować porzucenie koszyka z powodu trudności.
SPC opiera się na uwierzytelnianiu w przeglądarce (WebAuthn), aby zapewnić silne uwierzytelnianie w przypadku transakcji płatniczych. Używa do tego autentyfikatorów platformy wbudowanych w urządzenia użytkowników. Stronę uwierzytelniającą (zwaną w WebAuthn stroną korzystającą) – na przykład bank wydający kartę lub dostawca usług płatniczych – rejestruje użytkownika w ramach jednorazowego procesu w swojej witrynie lub podczas transakcji z tradycyjnym uwierzytelnieniem. Może on następnie użyć rejestracji, aby uwierzytelnić użytkownika w kolejnych procesach płatności.
Dopóki powiązana strona jest taka sama (np. ten sam bank wydający), użytkownik powinien mieć możliwość korzystania z jednej rejestracji dla wszystkich przyszłych płatności z tą powiązaną stroną u dowolnego sprzedawcy, który integruje usługę SPC.
Zmiany w interfejsie API
Aby dowiedzieć się, jak działa ten interfejs API, deweloperzy mogą skorzystać z dotychczasowego przewodnika po implementacji przeznaczonego do integracji na komputerze.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
Właściwość payment wskazuje, że są to dane uwierzytelniające SPC. Aby dowiedzieć się, jak z niego korzystać, zapoznaj się z poprzednim przewodnikiem po rejestracji.
Obecnie ten kod tworzy niewykrywalne dane logowania, które działają w przypadku SPC. Gdy SPC dla Google Chrome na Androida będzie obsługiwać wykrywalne dane logowania, ten kod automatycznie przełączy się na tworzenie możliwych do znalezienia danych logowania.
Zasoby
Dowiedz się, jak wdrożyć funkcję Secure Payment Confirmation