3-D Secure 2. 0 жана SCA

1) Эмне үчүн iGaming оператору 3DS2 жана SCA деген эмне

3-D Secure 2. x (EMV 3DS) - электрондук соодада карта ээсинин аутентификация протоколу.
SCA (Strong Customer Authentication) - жөнгө салуучу талап (PSD2/UK), бир катар сценарийлерде эки факторлуу текшерүү жүргүзүүгө милдеттүү.

• Liability shift: ийгиликтүү аутентификация менен алдамчылык коркунучу эмитентке өтөт.
• Жогоруда конверсия vs 3DS1: 100 + маалымат элементтерин чогултуу чакырыксыз frictionless берет.
• Native Script: iOS/Android үчүн SDK, in-app, decoupled жана out-of-band ырастоо.

2) Ролдору жана компоненттери (EMV 3DS)

3DS Server (сизде же PSPде): схемага суроо-талаптарды түзөт, аппараттын маалыматтарын бириктирет, 2 версияларын башкарат. 1/2. 2/2. 3.
Directory Server (DS): схема роутер (Visa/Mastercard/AmEx ж.б.).
Access Control Server (ACS): эмитенттин сервери; чечим кабыл алат: frictionless же challenge.
SDK/ыкмасы: аппараттык сигналдарды чогултуу (fingerprinting), web-SDK/iframe жана мобилдик-SDK.

3) типтүү UX агымдары

3. 1 Frictionless (чакырыгы жок)

1. Merchant/PSP → DS: 3DS маалыматтар менен AReq (түзмөк, тарых, тобокелдик сигналдары).
2. DS/ACS → ARes (frictionless): аутентификация колдонуучунун катышуусуз өттү.
3. Кийинки → авторизация (Auth).

Качан иштейт: төмөн тобокелдик, whitelist (Trusted Beneficiary), LVP, сапаттык маалыматтар.

3. 2 Challenge (Challenge менен)

1. ARes CReq/CRes талап кылат (OTP, банкка push-ырастоо, биометрия).
2. Ийгиликтен кийин → авторизация, liability shift сакталган.

3. 3 Decoupled / Out-of-Band

Банктын тиркемесиндеги тастыктоо редиректорсуз. Мобайл сценарийлерде пайдалуу.

3. 4 3RI (3DS Requestor Initiated)

MIT үчүн колдонулат (мерчант-демилгеленген транзакциялар) - жазылуулар, ретрациялар. Ар бир кайталоодо SCA жок, бирок initial CIT үчүн туура шилтеме талап кылынат.

4) SCA: кайда милдеттүү жана кайда иштейт

Милдеттүү: эгерде эмитент жана эквайер SCA зонасында болсо, EEA/UK көпчүлүк электрондук соода транзакциялары.
Вне зоны/Out-of-scope: MOTO (почта/телефон), кээ бир юридикалык каналдар, зоналар аралык жолдор (эмитенттин TRA колдонулушу мүмкүн).

4. 1 өзгөчөлүктөр (Exemptions)

TRA (Transaction Risk Analysis): провайдердин/банктын төмөн тобокелдиги (фрод көрсөткүчтөрү менен тастыкталат).
LVP (Low-Value Payments): аз суммалар, босоголор жана эмитенттин эсептегичтери менен.
Whitelist (Ишенимдүү Beneficiary): эмитенттин кардардын ак тизмесинде алуучу.
Secure Corporate/Merchant Initiated (MIT): SCA жана туура шилтемелер менен initial CIT бар болсо, SCA тышкары кийинки эсептен чыгаруу.

5) iGaming үчүн бүтүмдөрдү жана желектерди белгилөө

CIT (Customer Initiated Transaction): баштапкы эсептен чыгаруу, адатта, SCA (же exemption) талап кылат.
MIT Recurring/Unscheduled COF: кийинки эсептен чыгаруу; баштапкы CIT менен байланыш бар болсо SCA талап кылбайт (ой аралык шилтемелер/идентификаторлор).
PSP/схемасы үчүн суроо-талаптардын туура көрсөткүчтөрү кайталоо боюнча shift жана SCA өтүү үчүн маанилүү болуп саналат.

6) ACS чечимине таасир маалыматтар

• Device/Browser: user-agent, accept headers, screen, timezone, language.
• Account data: эсеп жашы, акыркы сырсөз датасы, ийгиликсиз кирүүлөрдүн саны.
• Transaction маалыматтар: МКК/категория, суммасы/акча, мурунку аракеттер, velocity.
• Shipping/Billing: даректердин дал келиши, алуучунун тарыхы.
• 3DS method completion indicator: 3DS Method (фингерпринт) иштеп чыгуу үчүн убакыт бар.
• Канчалык бай контекст - ошончолук frictionless мүмкүнчүлүгү жогору.

7) Төлөм оркестратору менен интеграциялоо агымдары

7. 1 ырааттуулугу (web/mobile)

1. Initiate 3DS (DS/ACS 3DS Server) → ARes алуу.
2. Эгерде challenge → SDK/iframe аркылуу CReq/CRes иштеп чыгуу.
3. Ийгилик → Auth (авторизация) 3DS натыйжасын көрсөтүү менен (ECI, CAVV/cryptogram, dsTransID).
4. Webhook PSP → оркестр → Ledger/DWH (PAN жок).

7. 2 Soft-decline жана Retra

SCA жок уруксат кайтып келиши мүмкүн 'soft-decline (code)' → SCA менен төлөмдү кайталап.
SCA → soft-decline → 3DS2 → Auth жок: Оркестр аракет мамлекеттик машина кармап турат.

7. 3 Multi-PSP

3DS версияларын колдоону текшериңиз (2. 1/2. 2/2. 3), app-SDK, decoupled.
Smart-routing: кээ бир эмитенттердин ACS деградацияланганда, резервдик жолду колдонуңуз (эгерде саясат/схемалар уруксат берсе).

8) Конверсияны жогорулатуучу UX үлгүлөрү

мобилдик колдонмолордо Native/SDK: аз редакторлор, жогорку аяктоо.
Pre-collect маалыматтар (электрондук почта, дарек, жүрүм-турум сигналдары) чейин 3DS.
Ачык күтүү экрандары жана түшүнүктүү тексттер (тил/аймак боюнча локализация).
Төлөмдөргө жумшак кайтуу жана чакырык кайталоо менен таймауттар.
Whitelisting промпт: кардарга банкка ишенип берилген соодалоого кошууну сунуштаңыз (бар жерде).

9) Каталар жана экстремалдык учурлар

Timeout/Unavailable ACS → туура коддору жана кайра (же fallback саясат).
Version downgrade: эгерде 2. 2/2. 3 жеткиликсиз, шайкеш версияга артка кайтуу.
Partial ыкмасы: 3DS ыкмасы бүтө элек болсо, дагы эле AReq жөнөтүү - нөлгө караганда жарым-жартылай маалыматтар жакшы.
Mixed flows: бир эле учурда 3DS + AVS даректүү текшерүү - туура mappite статусу.
3DS кийин Chargeback: экспонаттар менен талаш (ECI, CAVV, ARes/CRes refs).

10) сакталышы керек документтер жана экспонаттар

3DS транзакция идентификаторлору (dsTransID, threeDSServerTransID).
Аутентификация натыйжалары (ECI, CAVV/AVV, ARes/CRes статустары).
SDK Логи (PII/PAN жок), тайм жана ката коддору.
MIT жазылуу/кайталоо үчүн initial CIT шилтемелер.
soft-decline жана TRA-өзгөчөлүктөрдү иштетүү саясаты.

11) Метрика жана максаттары (iGaming үчүн KPI)

Конверсия

3DS completion rate (аутентификацияны ийгиликтүү аяктагандардын үлүшү).
frictionless vs challenge үлүшү (максаты - ↑ frictionless).
3DS экрандарда Abandonment rate.

Тобокелдик

Frod-рейт кийин liability shift (төмөн - жакшы).
3DS менен soft-decline үлүшү жана кийинки retrains ийгилиги.

Техника

Убакыт 3DS p95 (башталышы → натыйжасы).
SDK/iframe каталары, ACS таймауттары.

12) Чек тизмеси ишке киргизүү 3DS2 + SCA

• 3DS Server туташтырылган (Version 2. 1/2. 2/2. 3), сыноо бинт иштелип чыккан.
• Web-SDK/Мобайл-SDK интеграцияланган (in-app + webview сценарийлер).
• De-vice/браузер маалыматтарды чогултуу кирет (3DS ыкмасы).
• CIT/MIT/COF белгилөө туура; initial CIT шилтеме сакталат.
• SCA менен soft-decline → кайталоо агымы оркестрде ишке ашырылган.
• Exemptions (TRA/LVP/whitelist) орнотулган жана себептери/натыйжалары жазылган.
• Көп PSP: 3DS жана fallback-жол нускалары текшерилет.
• Дэшборды KPI: frictionless %, challenge success %, abandon, soft-decline.
• 3DS жана dispute playbook экспонаттарды сактоо саясаты даяр.
• A/B UX (локализация, тексттер, таймауттар) пландаштырылган.

13) PCI DSS жана tokenization менен байланыш

3DS2 PCI DSS алмаштырбайт: ал аутентификация жөнүндө, ал эми PCI маалыматтарды коргоо жөнүндө.
PAN-safe үчүн: hosted fields/iframe картасын киргизүү; оркестр гана токендерди жана 3DS артефакттарды (ECI/CAVV) көрөт.
COF/MIT үчүн network tokens же vault токендерин фрод азайтуу жана авторизацияны жогорулатуу үчүн колдонуңуз.

14) FAQ кыска

Дайыма 3DS жасоо керекпи? SCA зонасында - ооба, эгерде туура exemption/өзгөчөлүк жок болсо. Эмитент чакырыкты талап кылышы мүмкүн.
Банк бузулган болсо? Retrains/таймаут саясатын жана мүмкүн болсо, башка маршрутту колдонуңуз.
3DS конверсия өсүшүн береби? Бай маалыматтар менен туура 3DS2 frictionless үлүшүн көбөйтөт жана frod/chardzhbeky азайтат.
Ийгилик үчүн эң маанилүү нерсе эмне? Бай контексттик маалыматтар, туура CIT/MIT/COF желектери, тез UX жана компетенттүү soft-decline иштетүү.

15) Резюме

iGaming 3DS2 + SCA үчүн бул "милдеттүү оору" эмес, өсүү куралы: көбүрөөк frictionless, азыраак фрод, эмитентке жоопкерчилик которуу, жазылууларды жана кайра эсептен чыгарууларды туруктуу монетизациялоо. Туура желектерди коюу (CIT/MIT/COF), эрежелер боюнча exemptions колдоо, pan-коопсуз кирүүнү камсыз кылуу жана акылдуу ретра жана байкоо менен оркестрди куруу - анда аутентификация эмес, айлануу тормозу союздашы болуп калат.