3-D Secure ^{[ 1 ]} (โดยทั่วไปเรียกว่า3D Secure ^{[ 2 ]}หรือ3DS ) ^{[ 3 ]}เป็นโปรโตคอลที่ออกแบบมาเพื่อเป็นชั้นความปลอดภัยเพิ่มเติมสำหรับ การทำธุรกรรม บัตรเครดิตและบัตรเดบิต ออนไลน์ ชื่อนี้หมายถึง "สามโดเมน" ที่โต้ตอบกันโดยใช้โปรโตคอล ได้แก่ โดเมนผู้ค้า/ผู้รับชำระเงิน โดเมนผู้ออกบัตร และโดเมนการทำงานร่วมกัน^{[ 1 ]}

เดิมทีระบบนี้ได้รับการพัฒนาขึ้นในฤดูใบไม้ร่วงปี 1999 โดย Celo Communications AB (ซึ่งต่อมาถูกซื้อกิจการโดย Gemplus Associates และรวมเข้ากับ Gemplus, Gemalto และปัจจุบันคือThales Group ) สำหรับVisa Inc.ในโครงการชื่อ "p42" ("p" มาจากกีฬากระโดดค้ำถ่อเนื่องจากโครงการนี้เป็นความท้าทายครั้งใหญ่ และ"42" มาจากคำตอบในหนังสือThe Hitchhiker's Guide to the Galaxy ) ต่อมา Gemplus ได้พัฒนาเวอร์ชันใหม่ที่ได้รับการปรับปรุงระหว่างปี 2000-2001

ในปี 2544 Arcot Systems (ปัจจุบันคือCA Technologies ) และVisa Inc. [ ^{4 ] ได้} นำเสนอแบรนด์ Verified by Visa (ต่อมาเปลี่ยนชื่อเป็นVisa Secure ) โดยมีจุดประสงค์เพื่อปรับปรุงความปลอดภัยของการชำระเงินทางอินเทอร์เน็ตบริการที่ใช้โปรโตคอลนี้ยังได้รับการนำไปใช้โดยMastercardในชื่อSecureCode (ต่อมาเปลี่ยนชื่อเป็นIdentity Check ) โดยDiscoverในชื่อProtectBuy ^{[ 5 ]}โดยJCB Internationalในชื่อJ/SecureและโดยAmerican Expressในชื่อAmerican Express SafeKey [ ^{6 ] ต่อ} มา EMVCoได้ผลิตโปรโตคอลเวอร์ชันปรับปรุงใหม่ภายใต้ชื่อEMV 3-D Secureโปรโตคอลเวอร์ชัน 2 ได้รับการเผยแพร่ในปี 2559 โดยมีจุดประสงค์เพื่อให้สอดคล้องกับข้อกำหนดการตรวจสอบความถูกต้องใหม่ของสหภาพยุโรปและแก้ไขข้อบกพร่องบางประการของโปรโตคอลดั้งเดิม^{[ 7 ]}

การวิเคราะห์โปรโตคอลเวอร์ชันแรกโดยนักวิชาการแสดงให้เห็นว่ามีปัญหาด้านความปลอดภัยหลายประการที่ส่งผลกระทบต่อผู้บริโภค รวมถึงพื้นที่เสี่ยงต่อการหลอกลวง ที่มากขึ้น และการเปลี่ยนภาระความรับผิดในกรณีการชำระเงินที่ฉ้อโกง^{[ 8 ]}

แนวคิดพื้นฐานของโปรโตคอลนี้คือการเชื่อมโยงกระบวนการอนุมัติทางการเงินเข้ากับการตรวจสอบสิทธิ์ออนไลน์ การตรวจสอบสิทธิ์ด้านความปลอดภัยเพิ่มเติมนี้ใช้โมเดลสามโดเมน (จึงเป็นที่มาของคำว่า "3-D" ในชื่อ) โดเมนทั้งสามได้แก่:

• โดเมนของผู้รับชำระเงิน (ธนาคารและร้านค้าที่รับเงิน)
• โดเมนของผู้ออกบัตร (ผู้ออกบัตร)
• โดเมนการทำงานร่วมกัน (โครงสร้างพื้นฐานที่จัดเตรียมโดยระบบบัตร ไม่ว่าจะเป็นบัตรเครดิต บัตรเดบิต บัตรเติมเงิน หรือบัตรชำระเงินประเภทอื่นๆ เพื่อรองรับโปรโตคอล 3-D Secure) ซึ่งรวมถึงอินเทอร์เน็ต ปลั๊กอินของร้านค้า เซิร์ฟเวอร์ควบคุมการเข้าถึง และผู้ให้บริการซอฟต์แวร์อื่นๆ

โปรโตคอลนี้ใช้ข้อความ XML ที่ส่งผ่าน การเชื่อมต่อ SSLพร้อมการตรวจสอบสิทธิ์ไคลเอ็นต์^{[ 9 ]} (ซึ่งรับประกันความถูกต้องของทั้งสองฝ่าย คือเซิร์ฟเวอร์และไคลเอ็นต์ โดยใช้ใบรับรองดิจิทัล)

การทำธุรกรรมโดยใช้ Verified by Visa หรือ SecureCode จะเริ่มการเปลี่ยนเส้นทางไปยังเว็บไซต์ของผู้ออกบัตรเพื่ออนุมัติการทำธุรกรรม ผู้ออกบัตรแต่ละรายสามารถใช้วิธีการตรวจสอบสิทธิ์แบบใดก็ได้ (โปรโตคอลไม่ได้ครอบคลุมในส่วนนี้) แต่โดยทั่วไปแล้ว จะมีการป้อนรหัสผ่านที่ผูกกับบัตรเมื่อทำการซื้อสินค้าออนไลน์ โปรโตคอล Verified by Visa แนะนำให้โหลดหน้าการตรวจสอบของผู้ออกบัตรใน เซสชัน เฟรมแบบอินไลน์ด้วยวิธีนี้ ระบบของผู้ออกบัตรสามารถรับผิดชอบต่อการละเมิดความปลอดภัยส่วนใหญ่ได้ ปัจจุบัน การส่งรหัสผ่านแบบใช้ครั้งเดียวเป็นส่วนหนึ่งของข้อความ SMSไปยังโทรศัพท์มือถือและอีเมลของผู้ใช้เพื่อการตรวจสอบสิทธิ์นั้นทำได้ง่าย โดยเฉพาะอย่างยิ่งในระหว่างการลงทะเบียนและสำหรับกรณีที่ลืมรหัสผ่าน

ความแตกต่างหลักระหว่างระบบของ Visa และ Mastercard อยู่ที่วิธีการสร้าง UCAF (Universal Cardholder Authentication Field): Mastercard ใช้ AAV (Accountholder Authentication Value) ในขณะที่ Visa ใช้ CAVV (Cardholder Authentication Verification Value)

ในโปรโตคอล 3-D Secure นั้น ACS (เซิร์ฟเวอร์ควบคุมการเข้าถึง) จะอยู่ฝั่งผู้ออกบัตร ปัจจุบัน ผู้ออกบัตรส่วนใหญ่จ้างบริษัทภายนอกมาดูแล ACS โดยทั่วไปแล้ว เว็บเบราว์เซอร์ของผู้ซื้อจะแสดงชื่อโดเมนของผู้ให้บริการ ACS แทนที่จะเป็นชื่อโดเมนของผู้ออกบัตร อย่างไรก็ตาม โปรโตคอลไม่ได้กำหนดให้ต้องเป็นเช่นนั้น ขึ้นอยู่กับผู้ให้บริการ ACS บางรายอาจสามารถระบุชื่อโดเมนที่ผู้ออกบัตรเป็นเจ้าของเพื่อให้ ACS ใช้งานได้

ธุรกรรม 3-D Secure เวอร์ชัน 1 แต่ละรายการเกี่ยวข้องกับคู่คำขอ/การตอบกลับทางอินเทอร์เน็ตสองคู่ ได้แก่ VEReq/VERes และ PAReq/PARes ^{[ 9 ]} Visa และ Mastercard ไม่อนุญาตให้ผู้ค้าส่งคำขอไปยังเซิร์ฟเวอร์ของตนโดยตรง ผู้ค้าต้องใช้ผู้ให้บริการ MPI ( ปลั๊กอินผู้ค้า ) แทน

ข้อดีสำหรับผู้ค้าคือการลดการเรียกเก็บเงินคืน จาก "ธุรกรรมที่ไม่ได้รับอนุญาต" ข้อเสียสำหรับผู้ค้าคือพวกเขาต้องซื้อปลั๊กอินสำหรับผู้ค้า (MPI) เพื่อเชื่อมต่อกับเซิร์ฟเวอร์ไดเร็กทอรีของ Visa หรือ Mastercard ซึ่งมีราคาแพง (ค่าติดตั้ง ค่าบริการรายเดือน และค่าบริการต่อธุรกรรม) ในขณะเดียวกันก็เป็นรายได้เพิ่มเติมสำหรับผู้ให้บริการ MPI การสนับสนุน 3-D Secure นั้นซับซ้อนและบางครั้งทำให้เกิดความล้มเหลวในการทำธุรกรรม บางทีข้อเสียที่ใหญ่ที่สุดสำหรับผู้ค้าคือผู้ใช้จำนวนมากมองว่าขั้นตอนการตรวจสอบสิทธิ์เพิ่มเติมเป็นเรื่องน่ารำคาญหรือเป็นอุปสรรค ซึ่งส่งผลให้มีการยกเลิกธุรกรรมและสูญเสียรายได้เพิ่มขึ้นอย่างมาก^{[ 10 ]}

ในการใช้งาน 3-D Secure ในปัจจุบันส่วนใหญ่ ผู้ออกบัตรหรือผู้ให้บริการ ACS จะขอให้ผู้ซื้อป้อนรหัสผ่านซึ่งมีเพียงผู้ออกบัตรหรือผู้ให้บริการ ACS และผู้ซื้อเท่านั้นที่ทราบ เนื่องจากผู้ค้าไม่ทราบรหัสผ่านนี้และไม่มีหน้าที่ในการบันทึกรหัสผ่านดังกล่าว ผู้ออกบัตรจึงสามารถใช้รหัสผ่านนี้เป็นหลักฐานยืนยันว่าผู้ซื้อเป็นเจ้าของบัตรของตนจริง ซึ่งมีจุดประสงค์เพื่อช่วยลดความเสี่ยงในสองด้าน:

1. การคัดลอกรายละเอียดบัตร ไม่ว่าจะโดยการจดหมายเลขบนบัตรเอง หรือโดยใช้เครื่องรูดบัตรหรือตู้เอทีเอ็มที่ดัดแปลงแล้ว ก็ไม่สามารถทำให้สามารถซื้อสินค้าผ่านทางอินเทอร์เน็ตได้ เนื่องจากมีรหัสผ่านเพิ่มเติม ซึ่งไม่ได้จัดเก็บหรือเขียนไว้บนบัตร
2. เนื่องจากผู้ขายไม่ได้บันทึกรหัสผ่าน จึงทำให้ความเสี่ยงจากเหตุการณ์ด้านความปลอดภัยที่เกิดขึ้นกับร้านค้าออนไลน์ลดลง แม้ว่าแฮกเกอร์อาจยังคงได้รับรายละเอียดบัตรอื่นๆ แต่ไม่มีทางที่พวกเขาจะเข้าถึงรหัสผ่านที่เกี่ยวข้องได้

3-D Secure ไม่จำเป็นต้องใช้การตรวจสอบรหัสผ่านอย่างเคร่งครัด กล่าวกันว่าสามารถ^{[ 11 ]}ใช้ร่วมกับเครื่องอ่านสมาร์ทการ์ดโทเค็นความปลอดภัยและอื่นๆ ได้ อุปกรณ์ประเภทนี้อาจมอบประสบการณ์การใช้งานที่ดีกว่าให้กับลูกค้า เนื่องจากผู้ซื้อไม่ต้องใช้รหัสผ่านที่ปลอดภัย ผู้ออกบัตรบางรายกำลังใช้อุปกรณ์ดังกล่าวเป็นส่วนหนึ่งของโปรแกรมการตรวจสอบชิปหรือโครงการตรวจสอบรหัสผ่านแบบไดนามิก^{[ 12 ]}

ข้อเสียเปรียบที่สำคัญประการหนึ่งคือ ผู้ถือบัตรอาจพบว่าเบราว์เซอร์ของตนเชื่อมต่อกับชื่อโดเมนที่ไม่คุ้นเคย อันเป็นผลมาจากการใช้งาน MPI ของผู้จำหน่าย และการใช้ระบบ ACS ที่จ้างจากภายนอกโดยผู้ออกบัตร ซึ่งอาจทำให้การโจมตีแบบฟิชชิ่งต่อผู้ถือบัตรทำได้ง่ายขึ้น

ระบบนี้เกี่ยวข้องกับหน้าต่างป๊อปอัพหรือเฟรมที่ปรากฏขึ้นระหว่างกระบวนการทำธุรกรรมออนไลน์ โดยกำหนดให้ผู้ถือบัตรป้อนรหัสผ่าน ซึ่งหากธุรกรรมนั้นถูกต้อง ผู้ออกบัตรจะสามารถตรวจสอบความถูกต้องได้ ปัญหาสำหรับผู้ถือบัตรคือการพิจารณาว่าหน้าต่างป๊อปอัพหรือเฟรมนั้นมาจากผู้ออกบัตรจริงหรือไม่ ในเมื่ออาจมาจากเว็บไซต์ฉ้อโกงที่พยายามขโมยข้อมูลส่วนตัวของผู้ถือบัตร หน้าต่างป๊อปอัพหรือเฟรมที่ใช้สคริปต์เหล่านี้ไม่มีสิทธิ์เข้าถึงใบรับรองความปลอดภัยใดๆ ทำให้ไม่สามารถยืนยันข้อมูลประจำตัวของการใช้งาน 3-D Secure ได้

ระบบ Verified by Visa ได้รับการวิพากษ์วิจารณ์บ้าง^{[ 13 ] [ 14 ] [ 15 ] [ 8 ]}เนื่องจากผู้ใช้แยกแยะความแตกต่างระหว่างหน้าต่างป๊อปอัพหรือเฟรมอินไลน์ของ Verified by Visa ที่ถูกต้องกับเว็บไซต์ฟิชชิ่งที่เป็นการฉ้อโกงได้ยาก ทั้งนี้เพราะหน้าต่างป๊อปอัพนั้นให้บริการจากโดเมนที่:

• ไม่ใช่เว็บไซต์ที่ผู้ใช้กำลังซื้อสินค้า
• ไม่ใช่ผู้ออกบัตร
• ไม่ใช่ visa.com หรือ mastercard.com

ในบางกรณี ระบบ Verified by Visa ถูกผู้ใช้เข้าใจผิดว่าเป็นกลโกงฟิชชิ่ง^{[ 16 ]}และตัวระบบเองก็กลายเป็นเป้าหมายของกลโกงฟิชชิ่งบางอย่าง^{[ 17 ]}คำแนะนำใหม่ที่ให้ใช้เฟรมแบบอินไลน์ ( iframe ) แทนป๊อปอัพช่วยลดความสับสนของผู้ใช้ลงได้ แต่ก็ทำให้ผู้ใช้ตรวจสอบได้ยากขึ้น หรืออาจเป็นไปไม่ได้เลยที่จะยืนยันว่าหน้าเว็บนั้นเป็นของแท้ตั้งแต่แรก ณ ปี 2022 เว็บเบราว์เซอร์ไม่มีวิธีตรวจสอบใบรับรองความปลอดภัยสำหรับเนื้อหาของ iframe อย่างไรก็ตาม ความกังวลบางประการเกี่ยวกับความถูกต้องของเว็บไซต์ Verified by Visa ได้รับการบรรเทาลง เนื่องจากกระบวนการลงทะเบียนในปัจจุบันกำหนดให้ต้องป้อนข้อความส่วนตัวซึ่งจะแสดงในป๊อปอัพ Verified by Visa ในภายหลัง เพื่อให้ผู้ใช้มั่นใจได้ว่าป๊อปอัพนั้นเป็นของแท้^{[ 18 ]}

ผู้ออกบัตรบางรายยังใช้การเปิดใช้งานระหว่างการช้อปปิ้ง (ADS) ^{[ 19 ]}ซึ่งผู้ถือบัตรที่ไม่ได้ลงทะเบียนกับโครงการจะได้รับโอกาสในการลงทะเบียน (หรือถูกบังคับให้ลงทะเบียน) ในระหว่างกระบวนการซื้อ โดยทั่วไปแล้วจะนำพวกเขาไปยังแบบฟอร์มที่พวกเขาจะต้องยืนยันตัวตนโดยการตอบคำถามด้านความปลอดภัยซึ่งผู้ออกบัตรควรทราบอยู่แล้ว อีกครั้ง การดำเนินการนี้ทำภายใน iframe ซึ่งพวกเขาไม่สามารถตรวจสอบเว็บไซต์ที่พวกเขากำลังให้ข้อมูลนี้ได้อย่างง่ายดาย เว็บไซต์ที่ถูกแฮ็กหรือผู้ค้าที่ไม่ถูกต้องตามกฎหมายอาจรวบรวมรายละเอียดทั้งหมดที่พวกเขาต้องการเพื่อปลอมตัวเป็นลูกค้าได้ด้วยวิธีนี้

โดยปกติแล้ว การใช้งานระบบลงทะเบียน 3-D Secure จะไม่อนุญาตให้ผู้ใช้ดำเนินการซื้อต่อจนกว่าพวกเขาจะตกลงลงทะเบียนใช้งาน 3-D Secure และยอมรับข้อกำหนดและเงื่อนไข โดยไม่มีทางเลือกอื่นในการออกจากหน้าเว็บนอกจากปิดหน้าเว็บ ซึ่งจะทำให้การทำธุรกรรมถูกยกเลิก

ผู้ถือบัตรที่ไม่ต้องการเสี่ยงกับการลงทะเบียนบัตรในระหว่างการซื้อสินค้า โดยที่เว็บไซต์ขายสินค้าควบคุมเบราว์เซอร์ในระดับหนึ่ง ในบางกรณีสามารถไปที่เว็บไซต์ของผู้ออกบัตรในหน้าต่างเบราว์เซอร์แยกต่างหากและลงทะเบียนจากที่นั่นได้ เมื่อพวกเขากลับมาที่เว็บไซต์ขายสินค้าและเริ่มต้นใหม่ พวกเขาจะเห็นว่าบัตรของพวกเขาได้รับการลงทะเบียนแล้ว การปรากฏของข้อความยืนยันส่วนบุคคล (PAM) ที่ผู้ถือบัตรเลือกไว้เมื่อลงทะเบียนในหน้าป้อนรหัสผ่านเป็นการยืนยันว่าหน้าเว็บนั้นมาจากผู้ออกบัตร อย่างไรก็ตาม ยังคงมีความเสี่ยงต่อการโจมตีแบบ Man-in-the-Middleหากผู้ถือบัตรไม่สามารถตรวจสอบใบรับรองเซิร์ฟเวอร์ TLS/SSL สำหรับหน้าป้อนรหัสผ่านได้ เว็บไซต์ขายสินค้าบางแห่งจะใช้หน้าเว็บเบราว์เซอร์ทั้งหมดสำหรับการตรวจสอบสิทธิ์แทนที่จะใช้เฟรม (ไม่จำเป็นต้องเป็น iframe) ซึ่งเป็นวัตถุที่มีความปลอดภัยน้อยกว่า ในกรณีนี้ ไอคอนรูปกุญแจในเบราว์เซอร์ควรแสดงตัวตนของผู้ออกบัตรหรือผู้ดำเนินการเว็บไซต์ตรวจสอบ ผู้ถือบัตรสามารถยืนยันได้ว่าอยู่ในโดเมนเดียวกันกับที่พวกเขาเข้าชมเมื่อลงทะเบียนบัตร หากไม่ใช่โดเมนของผู้ออกบัตร

เบราว์เซอร์บนมือถือสร้างปัญหาให้กับ 3-D Secure เป็นพิเศษ เนื่องจากมักขาดคุณสมบัติบางอย่าง เช่น เฟรมและป๊อปอัพ แม้ว่าร้านค้าจะมีเว็บไซต์สำหรับมือถือ แต่หากผู้ออกบัตรไม่รองรับการใช้งานบนมือถือ หน้าการตรวจสอบสิทธิ์อาจแสดงผลไม่ถูกต้อง หรืออาจไม่แสดงผลเลย ในที่สุด นักวิเคราะห์หลายคนสรุปว่า โปรโตคอลการเปิดใช้งานระหว่างการช้อปปิ้ง (ADS) เพิ่มความเสี่ยงมากกว่าที่จะลดลง และยังถ่ายโอนความเสี่ยงที่เพิ่มขึ้นนี้ไปยังผู้บริโภคอีกด้วย

ในบางกรณี 3-D Secure อาจให้ความปลอดภัยแก่ผู้ถือบัตรได้น้อย และอาจทำหน้าที่เป็นเครื่องมือในการผลักภาระความรับผิดชอบสำหรับธุรกรรมฉ้อโกงจากผู้ออกบัตรหรือผู้ค้าปลีกไปยังผู้ถือบัตร เงื่อนไขทางกฎหมายที่ใช้กับบริการ 3-D Secure บางครั้งมีถ้อยคำที่ทำให้ผู้ถือบัตรหลีกเลี่ยงความรับผิดชอบจากธุรกรรมฉ้อโกงได้ยาก^{[ 8 ]}

ผู้ออกบัตรและร้านค้าอาจใช้ระบบ 3-D Secure อย่างไม่สม่ำเสมอเมื่อพิจารณาถึงผู้ออกบัตรที่ออกบัตรในหลายพื้นที่ทางภูมิศาสตร์ ทำให้เกิดความแตกต่าง เช่น ระหว่างบัตรที่ออกในสหรัฐอเมริกาและบัตรที่ออกนอกสหรัฐอเมริกา ตัวอย่างเช่น เนื่องจาก Visa และ Mastercard ถือว่าเปอร์โตริโกซึ่งเป็นดินแดนที่ไม่ได้รวมอยู่ในสหรัฐอเมริกาเป็นดินแดนระหว่างประเทศนอกสหรัฐอเมริกา แทนที่จะเป็นดินแดนในสหรัฐอเมริกา ผู้ถือบัตรในเปอร์โตริโกอาจเผชิญกับการสอบถาม 3-D Secure บ่อยกว่าผู้ถือบัตรใน 50 รัฐ มีการร้องเรียนในเรื่องนี้ไปยังเว็บไซต์การเลือกปฏิบัติทางเศรษฐกิจ "การปฏิบัติอย่างเท่าเทียม" ของ กรมกิจการผู้บริโภคของเปอร์โตริโก^{[ 20 ]}

3-D Secure เวอร์ชัน 2 ซึ่งรวมเอาการใช้รหัสผ่านแบบใช้ครั้งเดียว (OTC) เข้ามาด้วย เป็นรูปแบบหนึ่งของการยืนยันตัวตนลูกค้าที่แข็งแกร่ง โดยใช้ซอฟต์แวร์ ตามที่กำหนดไว้ในคำสั่งแก้ไขเพิ่มเติมของสหภาพยุโรปเกี่ยวกับบริการชำระเงิน (PSD2)โดยเวอร์ชันก่อนหน้านี้ใช้รหัสผ่านแบบคงที่ ซึ่งไม่เพียงพอต่อข้อกำหนดของคำสั่งดังกล่าว

ระบบ 3-D Secure อาศัยการมีส่วนร่วมอย่างแข็งขันของผู้ออกบัตรและการรับรองว่าบัตรทุกใบที่ออกให้ได้รับการลงทะเบียนโดยผู้ถือบัตร ดังนั้น ผู้รับชำระเงินจะต้องยอมรับบัตรที่ไม่ได้ลงทะเบียนโดยไม่ต้องทำการตรวจสอบยืนยันตัวตนลูกค้าอย่างเข้มงวด หรือปฏิเสธธุรกรรมดังกล่าว รวมถึงธุรกรรมจากระบบบัตรขนาดเล็กที่ไม่มีการใช้งาน 3-D Secure

แนวทางทางเลือกอื่นๆ ดำเนินการตรวจสอบสิทธิ์ในฝั่งผู้รับชำระเงิน โดยไม่จำเป็นต้องลงทะเบียนกับผู้ออกบัตรก่อน ตัวอย่างเช่น 'การตรวจสอบ' ที่ได้รับสิทธิบัตรของ PayPal ^{[ 21 ]}ใช้ธุรกรรมจำลองหนึ่งรายการหรือมากกว่านั้นที่ส่งไปยังบัตรเครดิต และผู้ถือบัตรต้องยืนยันมูลค่าของธุรกรรมเหล่านี้ แม้ว่าการตรวจสอบสิทธิ์ที่ได้จะไม่สามารถเชื่อมโยงโดยตรงกับธุรกรรมเฉพาะระหว่างผู้ค้าและผู้ถือบัตรได้ ระบบที่ได้รับสิทธิบัตร^{[ 22 ]}ที่เรียกว่า iSignthis จะแบ่งจำนวนเงินธุรกรรมที่ตกลงกันไว้เป็นสอง (หรือมากกว่า) จำนวนแบบสุ่ม จากนั้นผู้ถือบัตรจะพิสูจน์ว่าตนเป็นเจ้าของบัญชีโดยการยืนยันจำนวนเงินในใบแจ้งยอดของตน^{[ 23 ]}

ข้อเสนอให้บังคับใช้ 3-D Secure ในออสเตรเลียถูกคณะกรรมการการแข่งขันและคุ้มครองผู้บริโภคแห่งออสเตรเลีย (ACCC) ขัดขวาง หลังจากได้รับข้อโต้แย้งและการส่งเอกสารที่เกี่ยวข้องกับข้อบกพร่องจำนวนมาก^{[ 24 ]}ในเดือนกันยายน พ.ศ. 2568 ACCC ได้อนุมัติให้ย้ายไปใช้ระบบที่ได้รับการปรับปรุง^{[ 25 ]}

บางประเทศ เช่น อินเดีย ไม่เพียงใช้ CVV2 เท่านั้น แต่ยังใช้ 3-D Secure บังคับด้วย ซึ่งเป็นรหัส SMS ที่ส่งมาจากผู้ออกบัตร และต้องพิมพ์ในเบราว์เซอร์เมื่อคุณถูกเปลี่ยนเส้นทางเมื่อคลิก "ซื้อ" ไปยังระบบการชำระเงินหรือเว็บไซต์ระบบผู้ออกบัตร ซึ่งคุณต้องพิมพ์รหัสดังกล่าว และหลังจากนั้นการดำเนินการจึงจะได้รับการยอมรับ อย่างไรก็ตาม Amazon ยังคงสามารถทำธุรกรรมจากประเทศอื่น ๆ ได้แม้ว่าจะเปิดใช้งาน 3-D Secure แล้วก็ตาม^{[ 26 ]}

ในเดือนตุลาคม 2559 EMVCo ได้เผยแพร่ข้อกำหนดสำหรับ 3-D Secure 2.0 ซึ่งได้รับการออกแบบให้รบกวนน้อยกว่าเวอร์ชันแรกของข้อกำหนด โดยอนุญาตให้ส่งข้อมูลบริบทเพิ่มเติมไปยังผู้ออกบัตรของลูกค้า (รวมถึงที่อยู่สำหรับส่งจดหมายและประวัติการทำธุรกรรม) เพื่อตรวจสอบและประเมินความเสี่ยงของธุรกรรม ลูกค้าจะต้องผ่านการตรวจสอบความถูกต้องก็ต่อเมื่อธุรกรรมของพวกเขาถูกพิจารณาว่ามีความเสี่ยงสูงเท่านั้น นอกจากนี้ ขั้นตอนการทำงานสำหรับการตรวจสอบความถูกต้องได้รับการออกแบบเพื่อให้ไม่จำเป็นต้องเปลี่ยนเส้นทางไปยังหน้าแยกต่างหากอีกต่อไป และยังสามารถเปิดใช้งานการตรวจสอบความถูกต้องแบบนอกช่องทางผ่านแอปมือถือ ของสถาบัน (ซึ่งสามารถใช้ร่วมกับการตรวจสอบความถูกต้องทางชีวเมตริก ได้เช่นกัน ) 3-D Secure 2.0 เป็นไปตามข้อกำหนด " การตรวจสอบความถูกต้องของลูกค้าที่เข้มงวด " ของสหภาพยุโรป ^{[ 7 ] [ 27 ] [ 28 ]}

• ธุรกรรมอิเล็กทรอนิกส์ที่ปลอดภัย (SET)
• ปลั๊กอินสำหรับร้านค้า (MPI)
• อีเอ็มวี

• EMV 3-D Secure
• American Express SafeKey (เว็บไซต์สำหรับผู้บริโภค)
• American Express SafeKey (เว็บไซต์พันธมิตรทั่วโลก)
• วีซ่า ซีเคียวริตี้ (สหรัฐอเมริกา)
• การตรวจสอบตัวตนของมาสเตอร์การ์ด
• ค้นพบเครือข่ายระดับโลก ProtectBuy