3D Secure

Originalmente fue desarrollado por Arcot Systems (ahora CA Technologies) y primero desplegado[1]​ por Visa con la intención de mejorar la seguridad de los pagos por Internet, y se ofrece a los clientes bajo las marcas Verified by Visa/Visa Secure.

Los servicios basados en el protocolo también han sido adoptados por Mastercard como SecureCode, Discover como ProtectBuy[2]​ y por JCB International como J/Secure.

[3]​ EMV 3-D Secure Three-Domain Secure (3DS) es un protocolo de mensajería desarrollado por EMVCo para permitir a los consumidores autenticarse con el emisor de su tarjeta al realizar transacciones con tarjeta no presente (CNP).

[5]​ El concepto básico del protocolo es vincular el proceso de autorización financiera con la autenticación en línea.

Cada emisor podría usar cualquier tipo de método de autenticación (el protocolo no cubre esto) pero, por lo general, se ingresa una contraseña vinculada a la tarjeta al realizar compras en línea.

[7]​ Visa y Mastercard no permiten que los comerciantes envíen solicitudes directamente a sus servidores.

Apoyar 3-D Secure es complicado y, a veces, crea fallas en las transacciones.

En la mayoría de las implementaciones actuales de 3-D Secure, el banco emisor o su proveedor ACS solicita al comprador una contraseña que solo el banco / proveedor ACS y el comprador conocen.

American Express SafeKey está disponible en los siguientes mercados: Argelia, Australia, Austria, Baréin, Bangladés, China, Chipre, Egipto, Finlandia, Francia, Alemania, Grecia, Hong Kong, India, Irak, Italia, Japón, Jordania, Kenia, Kuwait, Líbano, Lesoto, Libia, Malasia, Mauritania, México, Mongolia, Marruecos, Namibia, Países Bajos, Nueva Zelanda, Omán, Perú, Filipinas, Catar, Rusia, San Marino, Singapur, Somalia, Sudáfrica, España, Sri Lanka, Suecia, Suiza, Tanzania, Túnez, Turquía, Emiratos Árabes Unidos, Uganda, Reino Unido, Ciudad del Vaticano, Vietnam, Yemen.

[15]​ La recomendación más reciente de usar un marco en línea (iframe) en lugar de una ventana emergente ha reducido la confusión del usuario, a costa de hacer que sea más difícil, si no imposible, que el usuario verifique que la página sea genuina en primer lugar.

Sin embargo, algunas de estas inquietudes sobre la validez del sitio para Verified-by-Visa se mitigan, ya que su implementación actual del proceso de inscripción requiere ingresar un mensaje personal que se muestra en las ventanas emergentes de Verified-by-Visa para brindar cierta seguridad al usuario las ventanas emergentes son genuinas.

Una vez más, esto se hace dentro del iframe, donde no pueden verificar fácilmente el sitio al que están brindando esta información: un sitio agrietado o un comerciante ilegítimo podría reunir de esta manera todos los detalles que necesitan para hacerse pasar por el cliente.

Los navegadores móviles presentan problemas particulares para 3-D Secure, debido a la falta común de ciertas características, como marcos y ventanas emergentes.

Al final, muchos analistas han concluido que los protocolos de activación durante la compra (ADS) invitan a un mayor riesgo del que eliminan y además transfieren este mayor riesgo al consumidor.

En algunos casos, 3-D Secure termina proporcionando poca seguridad al titular de la tarjeta, y puede actuar como un dispositivo para transferir la responsabilidad por transacciones fraudulentas del banco o comercio al titular de la tarjeta.

[18]​ Los bancos y comerciantes pueden usar los sistemas de 3-D Secure de manera desigual con respecto a los bancos que emiten tarjetas en varias ubicaciones geográficas, creando una diferenciación, por ejemplo, entre las tarjetas nacionales emitidas en EE.

Como 3-D Secure se basa en la participación anticipada del emisor y la inscripción de tarjetas, los adquirentes no pueden confiar en 3-D Secure para cumplir con los requisitos de autenticación del lado adquirente, hasta que 3-D Secure tenga un enrolamiento significativo que se acerque al 100% de todas las tarjetas emitidas .

3-D Secure también debe implementarse para cada esquema de tarjeta al que se aplicará, generalmente caso por caso, a menos que se utilice una empresa de integración especializada.