3-D Secure code за банкови карти

[Georgie 428]

Може и без тоукън.

Понеже нямам регистрирано такова устройство, аз пък получих същото писмо, но с лека модификация:

 

"Промяна при потвърждаване на плащане в Интернет с 3-D парола

25.03.2016 10:07

Уважаеми клиенти,

От 25.04.2016 г. създадената от Вас чрез ДСК Директ статична 3-D парола за потвърждаване на плащания в Интернет няма да бъде валидна. От посочената дата влиза в сила нов начин за потвърждаване на такива плащания - чрез еднократна 3-D парола, която ще бъде различна при всяко плащане.

Еднократната парола ще се получава на регистрирания от Вас в Банката мобилен номер за подписване на преводи чрез ДСК Директ.

По този начин, след 25.04.2016 г., с еднократната 3-D парола ще имате възможност да плащате при пазаруване при 3-D търговци в Интернет.

Поздрави,

Екипът на Банка ДСК"

Аз също получих това известие,тъй като се бях регистрирал в програмата на БДСК със статична парола.Сега вече плащам с динамична  чрез смс:и да,не е много удобно понякога.Питал съм какво би се случило,ако по някаква причина(все едно каква) мобилния ти телефон не може да получи сма-а с паролата.Ами нищо-не можеш да платиш,казаха от кол- центъра им. Тогава изпадаш в беда.

Разбира се,случвало ми се е да успея да осъществя трансакцията без необходимата 3D парола,защото търговеца,комуто плащам, не се е включил в тази система за сигурност и код никой не ми иска.Това обаче е рядкост.

Редактирано 5 декември, 2016 от Georgie

[Meidj 4596]

Преди няколко дни моята мила банка промени тихомълком системата за 3D защита и вече за всяка (?!) онлайн транзакция изисква въвеждането на динамичен код, който се получава единствено и само чрез SMS. Това беше сторено едностранно и с еднодневно (!) имейл предизвестие, което ме свари в чужбина. Проблемът в моя случай е, че аз мобилен номер в тази банка никога не съм заявявал, съответно при опита ми да си купя билета за връщане с Уиз, транзакцията не мина, защото въпросният код отиваше на някакъв фантомен мобилен номер, самогенерирал се в системата.

 

Както и да е, оправих се с покупката, но по-големият и дългосрочен проблем тук е, че аз мобилен телефон в цивилния си живот на практика НЕ ползвам, а когато ползвам е главно по служебни цели, в чужбина, с чуждестранен номер (който, както разбирам, не можело да се регистрира за услугата, защото задължително трябвало да се предостави номер на български оператор). Накратко, физически аз няма как да го получа този шибан код. Да не отварям дума, че категорично отказвам да си слагам тази бомба със закъснител в гащите - да разчитам на SMS-и за всяка транзакция, специално в чужбина, където много често съм изпадал в ситуация да няма обхват, да няма роуминг или направо цялото устройство да не работи заради шантави местни стандарти, да не говорим за всичките други частни ситуации (изгубен/повреден/забравен телефон/SIM карта), които могат да те оставят с "вързан джоб" в средата на нищото. Не, благодаря за тази "сигурност".

 

При комуникацията с ботовете от хелпдеска и ниско ниво служители в клон на въпросната банка ми беше обяснено, че няма алтернативни методи за изпращане на кода, а при отказ от услугата няма да мога да ползвам въпросната дебитна карта за пазаруване онлайн (което не знам доколко е вярно, по-опитните в банковия сектор да кажат). За близо шест години в тази банка с абонирана услуга "3D защита" и стотици онлайн транзакции, НИТО веднъж не ми е искано въвеждането на 3D-верификация, а сега изведнъж още от първата транзакция след промяната иска този код задължително. Значи ли, че ако се откажа от услугата "3D защита", ще се върне старото положение, или 3D кодът вече е направен, така да се каже, задължителен атрибут на всяка транзакция и наистина няма да минават почти никакви плащания онлайн без него, абониран или не за услугата "3D защита"? Честно казано, грам вече не вярвам на банкови служители, които неведнъж съм хващал да си послъгват - дали от некомпетентност или недобросъвестност. Отделно, трудно ми е да повярвам, че в една съвременна банка са толкова малоумни да не предвидят алтернативен вариант (в случая за разпращане на кода). Обикновено се премълчават такива неща, за да се почувстваш притиснат и да се самопринудиш да им приемеш условията, но ако нещата опрат до "добре тогава, закриваме сметки и прекратяваме взаимоотношения", изведнъж изникват алтернативи.

 

Та, какво ще посъветвате оттук-нататък? Търся мнението на работещите в сектора и на патилите-препатили и по-специално на @Георги Матеев, който е един от малкото трезви хора по въпросите с алтернативното банкиране. Благодаря 🙂

[slujitel 7141]

Коя е банката? Аз преди време по същия начин се разправях с ДСК, за какво ми е този смс, като картата е виртуална и няма какво да източат? Не можело, не можах да се преборя, а смс-а   пристига много бавно и няколко пъти губя евтини билети заради него. За чужбина пък да не говорим. Алтернативата е токън, 25 лв. или нещо подобно, но и той трябва да се носи и пази.

[Георги Матеев 97345]

На 3.09.2018 г. в 14:11, Meidj каза:

Преди няколко дни моята мила банка промени тихомълком системата за 3D защита и вече за всяка (?!) онлайн транзакция изисква въвеждането на динамичен код, който се получава единствено и само чрез SMS. Това беше сторено едностранно и с еднодневно (!) имейл предизвестие, което ме свари в чужбина. Проблемът в моя случай е, че аз мобилен номер в тази банка никога не съм заявявал, съответно при опита ми да си купя билета за връщане с Уиз, транзакцията не мина, защото въпросният код отиваше на някакъв фантомен мобилен номер, самогенерирал се в системата.

 

Както и да е, оправих се с покупката, но по-големият и дългосрочен проблем тук е, че аз мобилен телефон в цивилния си живот на практика НЕ ползвам, а когато ползвам е главно по служебни цели, в чужбина, с чуждестранен номер (който, както разбирам, не можело да се регистрира за услугата, защото задължително трябвало да се предостави номер на български оператор). Накратко, физически аз няма как да го получа този шибан код. Да не отварям дума, че категорично отказвам да си слагам тази бомба със закъснител в гащите - да разчитам на SMS-и за всяка транзакция, специално в чужбина, където много често съм изпадал в ситуация да няма обхват, да няма роуминг или направо цялото устройство да не работи заради шантави местни стандарти, да не говорим за всичките други частни ситуации (изгубен/повреден/забравен телефон/SIM карта), които могат да те оставят с "вързан джоб" в средата на нищото. Не, благодаря за тази "сигурност".

 

При комуникацията с ботовете от хелпдеска и ниско ниво служители в клон на въпросната банка ми беше обяснено, че няма алтернативни методи за изпращане на кода, а при отказ от услугата няма да мога да ползвам въпросната дебитна карта за пазаруване онлайн (което не знам доколко е вярно, по-опитните в банковия сектор да кажат). За близо шест години в тази банка с абонирана услуга "3D защита" и стотици онлайн транзакции, НИТО веднъж не ми е искано въвеждането на 3D-верификация, а сега изведнъж още от първата транзакция след промяната иска този код задължително. Значи ли, че ако се откажа от услугата "3D защита", ще се върне старото положение, или 3D кодът вече е направен, така да се каже, задължителен атрибут на всяка транзакция и наистина няма да минават почти никакви плащания онлайн без него, абониран или не за услугата "3D защита"? Честно казано, грам вече не вярвам на банкови служители, които неведнъж съм хващал да си послъгват - дали от некомпетентност или недобросъвестност. Отделно, трудно ми е да повярвам, че в една съвременна банка са толкова малоумни да не предвидят алтернативен вариант (в случая за разпращане на кода). Обикновено се премълчават такива неща, за да се почувстваш притиснат и да се самопринудиш да им приемеш условията, но ако нещата опрат до "добре тогава, закриваме сметки и прекратяваме взаимоотношения", изведнъж изникват алтернативи.

 

Та, какво ще посъветвате оттук-нататък? Търся мнението на работещите в сектора и на патилите-препатили и по-специално на @Георги Матеев, който е един от малкото трезви хора по въпросите с алтернативното банкиране. Благодаря 🙂

Имаш 2 реални варианта.

 

1) Отиваш в банка, която все още не е въвела 3D пароли и си вадиш карта при тях - например Тексимбанк. На тях и таксите им все още са много разумни. Неясното обаче е дали в бъдеще няма да въведат 3D и тогава се връщаш в изходна позиция.

 

2) Отиваш в банка, която работи със статична (предварително зададена от теб) 3D парола, несвързана с телефон - например ПИБ.

 

Принципно бих препоръчал Револют, но уви и той не може без телефон...

[Meidj 4596]

преди 17 минути , Георги Матеев каза:

Принципно бих препоръчал Револют, но уви и той не може без телефон...

 

И при Револют-а ли всяка транзакция трябва да минава одобрение през телефона?

 

[neuromancer 25014]

нищо не минава през одобрение, телефона ти трябва (по-точно приложението) за достъп до банката ти (за всичко освен плащане с картата).

[Георги Матеев 97345]

преди 1 час, Meidj каза:

 

И при Револют-а ли всяка транзакция трябва да минава одобрение през телефона?

 

Конкретно транзакциите не, но пращат смс-и за всякакви други неща. Револют е изцяло смартфон базирано приложение, просто няма как да го ползваш по друг начин.

[Георги 38990]

В дискусиите на Diners бяха цитирали, че има член в закона, който задължава всички да въведат 3d-secure. Не съм дълбал въпросния закон в детайли, но с две думи - сипват ти го задължително и вероятно банките, които все още го нямат, съвсем скоро ще го проимат. 

 

Вариантът е да се ориентираш към някоя от банките, които предлагат опция с токен (ДСК със сигурност, ЦКБ не бяха ли също?) и да се надяваме, че и другите лека полека ще се отърват от тази недомислица със смс-ите като видят колко недоволни хора има. 

[rdd 1874]

 

преди 2 часа, Георги Матеев каза:

 

 

 

 

2) Отиваш в банка, която работи със статична (предварително зададена от теб) 3D парола, несвързана с телефон - например ПИБ. 

 

 

 

За пръв път при плащане на августовските месечни сметки към Виваком и Теленор с новата ми безконтактна дебитна карта - Виза от ПИБ  не ми иска 3D  (предварително зададена от мен)  парола, несвързана с телефон. Защо така?

[Goal & Boss 10233]

преди 16 минути , Георги каза:

В дискусиите на Diners бяха цитирали, че има член в закона, който задължава всички да въведат 3d-secure.

Кой закон, кой член?

Едно е да задължат банките да имат (предлагат на клиентите си) това ниво на сигурност, а друго - да задължат хората да го ползват. ПИБ едно време позволяваха по всяко време 3D да се включва/изключва, сега не знам как е.

[Георги 38990]

Преди 1 час, Goal & Boss каза:

Кой закон, кой член?

Едно е да задължат банките да имат (предлагат на клиентите си) това ниво на сигурност, а друго - да задължат хората да го ползват. ПИБ едно време позволяваха по всяко време 3D да се включва/изключва, сега не знам как е.

Мисля, че това е релевантният документ, до колко е задължителен не знам: https://www.eba.europa.eu/documents/10180/1004450/EBA_2015_BG+Guidelines+on+Internet+Payments.pdf/e405f739-cb72-4389-ad92-5d109df17b88

 

Цитат

Задълбочено удостоверяване на автентичността на клиента за целите на настоящите насоки е процедура, която се основава на използването на два или повече от следните елементи – категоризирани като знания, собственост и принадлежност: i) нещо, което само ползвателят знае, напр. статична парола, код, личен идентификационен код; ii) нещо, което само ползвателят притежава, напр. токен, карта с чип, мобилен телефон; iii) нещо, което е присъщо на ползвателя, напр. биометрични данни като пръстов отпечатък. Освен това избраните елементи трябва да са независими един от друг, т.е. нарушаването на един елемент не влияе на надеждността на друг(и). Най-малко един от елементите следва да бъде еднократен и невъзпроизводим (с изключение на принадлежността) и да не може да бъде откраднат тайно чрез интернет. Процедурата за задълбочено удостоверяване на автентичността на клиента следва да е проектирана по начин, който защитава поверителността на данните за удостоверяване.

Цитат

[карти] Картоиздателите следва активно да насърчават картодържателите да се записват за задълбочено удостоверяване на автентичността и да разрешават избягване на записването само при изключителни и ограничен брой случаи, ако това е оправдано от риска, свързан с конкретната операция с карта.

 

[Ilian359 2514]

Да не мислите, че банките доброволно наливат пари в нови платформи или SMS-и? Правят го, защото са длъжни, а ние сме длъжни да ползваме тази допълнителна "защита".

[Goal & Boss 10233]

преди 10 часа, Георги каза:

Мисля, че това е релевантният документ, до колко е задължителен не знам: https://www.eba.europa.eu/documents/10180/1004450/EBA_2015_BG+Guidelines+on+Internet+Payments.pdf/e405f739-cb72-4389-ad92-5d109df17b88

 

 

Това е интересен документ, но по никакъв начин не звучи като задължителен. На европейско ниво задължителни са регламентите, дори и тогава отделни държави се правят на разсеяни и не пренасят техните (на регламентите) разпоредби в националните си законодателства, оставяйки по този начин вратички за заинтересованите лица/фирми/администрации да се държат както си знаят. Ако човек повдигне въпрос - отсреща си позовават на местното законодателство, в което грее голямо бяло петно. Единственият начин да бъдат победени наглеците е да се доведат нещата до европейски съд, което не е невъзможно, но е тегаво занимание и повечето хора се отказват от този вариант.

Още повече, че в явен вид се говори за насърчаване, а не задължаване на клиентите да се възползват от двукомпонентната защита.

 

преди 10 часа, Ilian359 каза:

Да не мислите, че банките доброволно наливат пари в нови платформи или SMS-и? Правят го, защото са длъжни, а ние сме длъжни да ползваме тази допълнителна "защита".

Всъщност тази 3D защита е разработена от операторите на карти, не от банките. Самите банки, поне по света, я прилагат, защото това им дава предимство пред конкурентите (или отнема предимството на конкурентите, които вече са я приложили). В България знаем как мислят и действат хампарцумянчетата.

Редактирано 5 септември, 2018 от Goal & Boss

[Георги 38990]

преди 3 часа, Goal & Boss каза:

Това е интересен документ, но по никакъв начин не звучи като задължителен. На европейско ниво задължителни са регламентите, дори и тогава отделни държави се правят на разсеяни и не пренасят техните (на регламентите) разпоредби в националните си законодателства, оставяйки по този начин вратички за заинтересованите лица/фирми/администрации да се държат както си знаят. Ако човек повдигне въпрос - отсреща си позовават на местното законодателство, в което грее голямо бяло петно. Единственият начин да бъдат победени наглеците е да се доведат нещата до европейски съд, което не е невъзможно, но е тегаво занимание и повечето хора се отказват от този вариант.

 Още повече, че в явен вид се говори за насърчаване, а не задължаване на клиентите да се възползват от двукомпонентната защита.

Това просто е най-официалното, което успях да изровя. Нищо чудно на базата на този документ БНБ да е снесла заповед, която да е задължителна за банките. Но тук навлизам в механизми, които не са ми изцяло ясни, просто се опитах да намеря нещо официално звучащо. 

[Hayasko 1403]

За съм към Алианц и от миналата седмица и аз съм с смс-и😏 Признавам, доста е неудобно, преди с паролата си беше по-добре.

[Ilian359 2514]

преди 9 часа, Георги каза:

Нищо чудно на базата на този документ БНБ да е снесла заповед, която да е задължителна за банките

Точно така е.

[Georgie 428]

Темата провокира вниманието ми,най-малкото защото често ползвам банкови карти.Клиент съм и на ПИБ.Поинтересувах се от съпорта й дали ЗD паролата е задължителна и възможно ли е регистрирана онлайн от клиента,да бъде премахната лично от него по същия начин.

Отговориха ми отрицателно на въпроса за нейната задължителност.,За съжаление обаче е възможно ( такава информация получих)  дерегистрирането да бъде извършено само в банков клон,което очевидно е в ущърб на клиента!

За мен е относително твърдението,че 3D паролата не е задължителна.Да,самата банка може би не го изисква (говоря за ПИБ) ,но тази парола се превръща в задължителна ,когато се извършва плащане към търговец,който изисква наличието на 3D.В този случай човек просто трябва да притежава,защото плащането няма да мине.Вярно е също така,че нe всички търговци ( макар и не много)  изискват 3D.В този случай всичко ще бъде ОК без какъвто и да е код. 

 П.П.Помня,че същата банка преди време позволяваше дерегистрирането на 3D  онлайн.Поради съображения за сигурност ( по думи на служител от съпорта) тази опция е изключена.Длъжен съм да кажа,че не разбирам много от банково право.

 

 

Спойлер

 

 

Редактирано 6 септември, 2018 от Georgie

[Meidj 4596]

Аз продължавам да не разбирам едно нещо. Излиза, че 6 години съм бил с включена "3D защита" (някаква статична парола, издавана на хартия, доколкото ми беше обяснено), но така и за тези 6 години нито веднъж не ми се е налагало да въвеждам тази парола, дори не знаех за съществуването й. Сега изведнъж, при превключването към новата система със SMS-ите, всяка транзакция започна да иска въвеждане на код. Впечатлението ми е, че банката е включила кода като задължителен атрибут на всяко плащане. Не ми се връзва иначе. Ако зависеше от търговците, тогава белким една транзакция от стотиците осъществени през годините да беше искала кода, но не... Кой ще го обясни като за глупак? 🙂

[Georgie 428]

преди 37 минути , Meidj каза:

Аз продължавам да не разбирам едно нещо. Излиза, че 6 години съм бил с включена "3D защита" (някаква статична парола, издавана на хартия, доколкото ми беше обяснено), но така и за тези 6 години нито веднъж не ми се е налагало да въвеждам тази парола, дори не знаех за съществуването й. Сега изведнъж, при превключването към новата система със SMS-ите, всяка транзакция започна да иска въвеждане на код. Впечатлението ми е, че банката е включила кода като задължителен атрибут на всяко плащане. Не ми се връзва иначе. Ако зависеше от търговците, тогава белким една транзакция от стотиците осъществени през годините да беше искала кода, но не... Кой ще го обясни като за глупак? 🙂

Да,странно е,но вероятно има някакво обяснение,но е нужно обяснение от професионалист от банковия сектор.:)

Рядко плащам онлайн с картата на ПИБ ( на която  лично регистрирах парола за сигурност) ,но нямам спомен дали някога ми е изисквана подобна,а тя е статична,ако не бъркам,но няма как да съм сигурен ,след като  не ми се налагало да въвеждам такава.

От друга страна говориш за смс-и,които предполагат динамичен ,а не статичен ( какъвто си имал) 3D.Това предполага наистина промяна в условията при плащане.

Спирам с догадките.:)

П.П.Долният цитат донякъде потвърждава мнението ми за причината за задължителност на секюрити паролата:

В съответствие с програмите за сигурност на MasterCard и VISA, Банка ДСК въведе за своите картодържатели 3-D парола – SecureCode за карти с логото на MasterCard и Verified by Visa password (VbV password) за карти с логото на Visa. Паролата служи за допълнителна идентификация на картодържателя при Интернет разплащания. Въвеждането на паролата е задължително, когато търговецът е включен в програмите за сигурност.

Паролата е еднократна и е валидна за конкретна транзакция с банкова карта в Интернет.

 

Редактирано 6 септември, 2018 от Georgie