Konsorsium World Wide Web hari ini mengumumkan tonggak sejarah dalam standarisasi fitur browser baru yang membantu merampingkan otentikasi pengguna dan meningkatkan keamanan pembayaran saat membayar online. Konfirmasi pembayaran yang aman (SPC) memungkinkan pedagang, bank, penyedia layanan pembayaran, jaringan kartu, dan lainnya untuk mengurangi gesekan autentikasi pelanggan yang kuat (SCA) dan menghasilkan bukti kriptografi persetujuan pengguna, dua aspek penting dari peraturan persyaratan seperti Petunjuk Layanan Pembayaran (PSD2) di Eropa.

Rilis Konfirmasi Pembayaran Aman sebagai rekomendasi kandidat menunjukkan bahwa set fitur stabil dan telah ditinjau secara menyeluruh. W3C akan mencari pengalaman penerapan tambahan sebelum memindahkan versi ini dari Konfirmasi Pembayaran Aman ke Rekomendasi.

Dirancang untuk memenuhi permintaan yang terus meningkat akan autentikasi pelanggan yang kuat

Selama 15 tahun terakhir, e-commerce telah tumbuh sebagai persentase dari semua penjualan ritel. Pandemi COVID tampaknya sedikit mempercepat tren ini. Peningkatan keamanan pembayaran secara langsung dan faktor lainnya telah menyebabkan terus meningkatnya penipuan pembayaran online.

Untuk memerangi pertumbuhan penipuan pembayaran online, Eropa dan yurisdiksi lain telah mulai mewajibkan autentikasi multifaktor untuk jenis pembayaran tertentu. Meskipun autentikasi multifaktor mengurangi penipuan, hal ini juga cenderung meningkatkan friksi saat pembayaran, yang dapat menyebabkan pengabaian keranjang belanja (lihat misalnya, Pengalaman Pedagang Microsoft dengan SCA di PSD2).

Pada tahun 2019 Kelompok Kerja Pembayaran Web mulai mengerjakan konfirmasi pembayaran yang aman untuk membantu memenuhi persyaratan autentikasi pelanggan yang kuat dengan friksi pembayaran yang rendah. Stripe melakukan uji coba dengan implementasi awal SPC dan, pada Maret 2020 dilaporkan bahwa, dibandingkan dengan kode akses satu kali (OTP), autentikasi SPC menghasilkan a 8% peningkatan konversi pada saat yang sama mesin kasir itu 3 kali lebih cepat.

W3C terus menerima masukan tentang konfirmasi pembayaran yang aman melalui program percontohan, termasuk percobaan kedua oleh Stripe. Kelompok Kerja Pembayaran Online mengantisipasi bahwa lebih banyak data eksperimental akan tersedia pada September 2023.

Manfaat SSC dari Kolaborasi Industri

Dalam Grup Minat Keamanan Pembayaran Web, W3C, FIDO Alliance, dan EMVCo berupaya meningkatkan keamanan pembayaran online dengan mengembangkan spesifikasi teknis yang dapat dioperasikan. Konfirmasi pembayaran yang aman mencerminkan kolaborasi ini: didasarkan pada autentikasi web dan didukung oleh EMV® 3-D Secure (versi 2.3) dan EMV® Secure Remote Commerce (versi 1.3); lihat publikasi Kelompok Kepentingan Keamanan Pembayaran Web Tautan antara teknologi EMVCo, FIDO dan W3C untuk lebih jelasnya.

Konfirmasi pembayaran yang aman bukan hanya untuk pembayaran kartu. Kelompok Kerja Pembayaran Web secara teratur membahas bagaimana SPC dapat diintegrasikan ke dalam ekosistem pembayaran lain seperti Perbankan Terbuka, PIX (di Brasil), serta aliran pembayaran hak milik.

“Memfasilitasi pembayaran online sambil meningkatkan keamanan telah menjadi visi kelompok kerja kami sejak awal tahun 2015,kata ketua gugus tugas Nick Telford-Reed. “Konfirmasi pembayaran yang aman berarti bahwa untuk pertama kalinya akan ada cara umum untuk mengautentikasi pembeli di seluruh metode pembayaran, platform, perangkat, dan browser, dan dibangun di atas keberhasilan Klaim Pembayaran W3C dan karya Aliansi FIDO dan EMVCo.”

Konfirmasi Pembayaran Aman Dikirim Hari Ini

Konfirmasi pembayaran yang aman menambahkan “lapisan persetujuan pengguna” di atas autentikasi web. Pada saat transaksi, konfirmasi pembayaran yang aman meminta pengguna untuk menerima persyaratan pembayaran melalui “dialog transaksi” yang digerakkan oleh browser; implementasi Chrome dari dialog transaksi ditampilkan di atas. Detail transaksi ditandatangani oleh autentikator FIDO pengguna, dan bank atau pihak lain dapat memvalidasi hasil autentikasi secara kriptografis, dan oleh karena itu pengguna telah menyetujui ketentuan pembayaran (persyaratan di bawah PSD2 yang disebut “penautan dinamis”). EMV® 3-D Secure dan protokol lainnya dapat digunakan untuk mengomunikasikan hasil autentikasi kepada bank atau pihak lain untuk validasi ini.

SPC saat ini tersedia di Chrome dan Edge di macOS, Windows, dan Android. Selama periode rekomendasi kandidat, Kelompok Kerja Pembayaran Web akan menerapkannya di browser dan lingkungan lain.