3-D Secure 2. 0 və SCA

1) Niyə iGaming operatoru 3DS2 və SCA nədir

3-D Secure 2. x (EMV 3DS) - kart sahibinin e-ticarətdə identifikasiya protokolu.
SCA (Strong Customer Authentication) - bir sıra ssenarilərdə iki faktorlu yoxlama aparmağa məcbur edən tənzimləyici tələb (PSD2/UK).

• Liability shift: uğurlu autentifikasiya ilə saxtakarlıq riski emitentə keçir.
• Yuxarıda dönüşüm vs 3DS1: 100 + data-elementlərin toplanması problemsiz frictionless imkan verir.
• Native scripts: iOS/Android üçün SDK, in-app, decoupled və out-of-band təsdiq.

2) Rollar və komponentlər (EMV 3DS)

3DS Server (siz və ya PSP): sxemə sorğular formalaşdırır, cihaz məlumatlarını toplayır, 2 versiyalarını idarə edir. 1/2. 2/2. 3.
Directory Server (DS): sxemlərin marşrutlaşdırıcısı (Visa/Mastercard/AmEx və s.).
Access Control Server (ACS): emitent server; qərar verir: frictionless və ya challenge.
SDK/Method: cihaz siqnallarının toplanması (fingerprinting), web-SDK/iframe və mobile-SDK.

3) Tipik UX axını

3. 1 Frictionless (challenge olmadan)

1. Merchant/PSP → DS: 3DS data ilə AReq (cihaz, tarix, risk siqnalları).
2. DS/ACS → ARes (frictionless): autentifikasiya istifadəçi iştirakı olmadan keçdi.
3. Sonrakı → Auth.

Nə zaman işləyir: aşağı risk, whitelist (Trusted Beneficiary), LVP, keyfiyyət məlumatları.

3. 2 Challenge (Challenge ilə)

1. ARes CReq/CRes (OTP, bankda push-təsdiq, biometrik) tələb edir.
2. Müvəffəqiyyətdən sonra → avtorizasiya, liability shift qorunur.

3. 3 Decoupled / Out-of-Band

Bank əlavəsində təsdiq edici olmadan. Mobil ssenarilərdə faydalıdır.

3. 4 3RI (3DS Requestor Initiated)

Abunələr, retrasiyalar - MİT (ticarətçi-başlayan əməliyyatlar) üçün istifadə olunur. Hər təkrarlanmada SCA yoxdur, lakin initial CIT-ə düzgün link tələb olunur.

4) SCA: harada məcburi və harada fəaliyyət göstərir

Məcburi: EEA/UK-da e-ticarət əməliyyatlarının əksəriyyəti SCA zonasında emitent və ekvayerdirsə.
Zonadan kənarda/Out-of-scope: MOTO (poçt/telefon), bəzi korporativ kanallar, zonalararası marşrutlar (emitent TRA tətbiq edilə bilər).

4. 1 istisnalar (Exemptions)

TRA (Transaction Risk Analysis): provayder/bankın aşağı riski (frod metrləri ilə təsdiqlənir).
LVP (Low-Value Payments): kiçik məbləğlər, boşluqlar və emitent sayğacları ilə.
Whitelist (Etibarlı Beneficiary): emitentdə müştərinin ağ siyahısında olan alıcı.
Secure Corporate/Merchant Initiated (MIT): SCA ilə initial CIT və düzgün linklər varsa, SCA xaricində sonrakı silinmələr.

5) iGaming üçün əməliyyatların və bayraqların etiketlənməsi

CIT (Customer Initiated Transaction): Ilkin silinmə adətən SCA (və ya exemption) tələb edir.
MIT Recurring/Unscheduled COF: sonrakı silinmələr; Orijinal CIT (düşüncələrarası linklər/identifikatorlar) ilə əlaqə olduqda SCA tələb etmir.
PSP/sxem sorğularında düzgün göstəricilər shift və SCA keçidləri üçün kritikdir.

6) ACS həllinə təsir edən məlumatlar

• Device/Browser: user-agent, accept headers, screen, timezone, language.
• Account data: hesabın yaşı, son şifrə tarixi, uğursuz girişlərin sayı.
• Transaction data: MSS/kateqoriya, məbləğ/valyuta, əvvəlki cəhdlər, velocity.
• Shipping/Billing: ünvanların üst-üstə düşməsi, alıcının tarixi.
• 3DS method completion indicator: 3DS Method (fingerprint) işləyib.
• Kontekst nə qədər zəngindir - frictionless şansı bir o qədər yüksəkdir.

7) Ödəniş orkestrinə inteqrasiya axını

7. 1 Ardıcıllıq (web/mobile)

1. Initiate 3DS (3DS Server, DS/ACS) → ARes almaq.
2. challenge → SDK/iframe vasitəsilə CReq/CRes işləyin.
3. Uğur → Auth (avtorizasiya) 3DS (ECI, CAVV/cryptogram, dsTransID) nəticəsini göstərir.
4. Webhook PSP → orkestrator → Ledger/DWH (PAN olmadan).

7. 2 Soft-decline və retras

SCA olmadan avtorizasiya 'soft-decline (code)' → SCA ilə ödənişi təkrarlaya bilər.
Orkestrator state-maşın cəhd saxlayır: no SCA → soft-decline → 3DS2 → Auth.

7. 3 Multi-PSP

3DS versiyalarının dəstəyini yoxlayın (2. 1/2. 2/2. 3), app-SDK, decoupled.
Smart-routing: Bəzi emitentlərdə ACS deqradasiyası zamanı ehtiyat yoldan istifadə edin (əgər siyasət/sxemlər imkan verirsə).

8) Dönüşüm artıran UX nümunələri

Mobil tətbiqlərdə Native/SDK: daha az redaktor, daha yüksək tamamlıq.
3DS-ə qədər (e-mail, ünvan, davranış siqnalları) məlumatların pre-collect.
Şəffaf gözləmə ekranları və başa düşülən mətnlər (dil/bölgəyə görə lokalizasiya).
Ödəniş üçün yumşaq geri dönüş və çağırış təkrarlama ilə vaxt.
Whitelisting prompt: Müştəriyə bankdan etibarlı olanlara (mövcud olduqda) satıcı əlavə etməyi təklif edin.

9) Səhvlər və həddindən artıq hallar

Timeout/Unavailable ACS → düzgün kodları və təkrar (və ya siyasət fallback).
Version downgrade: əgər 2. 2/2. 3 mövcud deyil, uyğun versiyası geri.
Partial method: 3DS Method bitməzsə, yenə də AReq göndərin - qismən məlumatlar sıfırdan daha yaxşıdır.
Mixed flows: eyni zamanda 3DS + AVS ünvanlı yoxlama - düzgün mappite status.
3DS-dən sonra Chargeback: artefaktlarla (ECI, CAVV, ARes/CRes refs) mübahisə edin.

10) Saxlanılması lazım olan sənədlər və artefaktlar

3DS əməliyyat identifikatorları (dsTransID, threeDSServerTransID).
Autentifikasiya nəticələri (ECI, CAVV/AVV, ARes/CRes statusları).
SDK log (PII/PAN olmadan), time-stamplar və səhv kodları.
abunə/təkrarlama üçün initial CIT MIT linkləri.
soft-decline emal siyasəti və TRA istisnaları.

11) Metriklər və məqsədlər (iGaming üçün KPI)

Konvertasiya

3DS completion rate (autentifikasiyanı uğurla tamamlayanların payı).
frictionless vs challenge (məqsəd - ↑ frictionless).
3DS ekranlarda Abandonment rate.

Risk

Freud-reyt sonra liability shift (aşağıda - daha yaxşı).
3DS ilə yumşaq decline payı və sonrakı retras müvəffəqiyyəti.

Texnika

Vaxt 3DS p95 (başlanğıc → nəticə).
SDK/iframe səhvləri, ACS taymautları.

12) Çek siyahısı start 3DS2 + SCA

• 3DS Server bağlı (versiyası 2. 1/2. 2/2. 3), test bins işlənib.
• Web-SDK/mobile-SDK inteqrasiya (in-app + webview scripts).
• Toplama de-vice/browser data daxil (3DS Method).
• CIT/MIT/COF işarələri doğrudur; initial CIT link saxlanılır.
• SCA ilə soft-decline → təkrar axını orkestratorda həyata keçirilir.
• Exemptions (TRA/LVP/whitelist) parametrləri və səbəbləri/nəticələri.
• Multi-PSP: 3DS versiyası və fallback yolu yoxlanılır.
• Дэшборды KPI: frictionless %, challenge success %, abandon, soft-decline.
• 3DS artefakt saxlama siyasəti və dispute playbook hazırdır.
• UX ipuçlarının A/B testləri (lokalizasiya, mətnlər, vaxtlar) planlaşdırılır.

13) PCI DSS və tokenizasiya ilə əlaqə

3DS2 PCI DSS-ni əvəz etmir: autentifikasiya haqqında, PCI isə məlumatların qorunması haqqında.
PAN-safe üçün: hosted fields/iframe daxil kart; orkestrator yalnız tokenləri və 3DS-artefaktları (ECI/CAVV) görür.
COF/MIT üçün network tokens və ya vault tokenlərindən istifadə edərək, cüzdanınızı azaltın və avtorizasiyanı artırın.

14) FAQ qısa

Həmişə 3DS etmək lazımdır? SCA zonasında - bəli, düzgün exemption/istisna yoxdursa. Emitent çağırış tələb edə bilər.
Əgər bank pozulubsa? Retraut/taymaut siyasətlərindən və mümkünsə fərqli marşrutdan istifadə edin.
3DS dönüşüm artımı verəcəkmi? Zəngin məlumatlarla düzgün konfiqurasiya edilmiş 3DS2 frictionless payını artırır və frod/charjback azaldır.
Uğur üçün ən vacib şey nədir? Zəngin kontekst məlumatları, düzgün CIT/MIT/COF bayraqları, sürətli UX və səriştəli yumşaq decline emalı.

15) Xülasə

iGaming 3DS2 + SCA üçün bu «məcburi ağrı» deyil, böyümə alətidir: daha çox frictionless, daha az frod, emitentə məsuliyyətin köçürülməsi, abunələrin və yenidən silinmələrin sabit monetizasiyası. Düzgün bayraqlar (CIT/MIT/COF) qoyun, qaydalara uyğun olaraq exemptions saxlayın, pan-təhlükəsiz giriş təmin edin və ağıllı retralar və müşahidə olunan bir orkestrator qurun - sonra autentifikasiya dönüşüm əyləci deyil, müttəfiq olacaq.