ในยุคของการค้าออนไลน์ที่เติบโตอย่างรวดเร็ว ความปลอดภัยในการทำธุรกรรมบัตรเครดิตที่ไม่ได้แสดงบัตร (Card-Not-Present หรือ CNP) เป็นหัวใจสำคัญในการดำเนินธุรกิจอีคอมเมิร์ซ ผู้ให้บริการรับชำระเงินออนไลน์ หรือ Payment Gateway (PG) จึงมีบทบาทสำคัญอย่างยิ่งในการเป็นตัวกลางระหว่างร้านค้าและเครือข่ายบัตร (Card Schemes)
การที่ Payment Gateway ต้องปฏิบัติตามมาตรฐานและได้รับการรับรองจาก Visa (ผ่านโปรแกรม Visa Secure หรือมาตรฐาน 3-D Secure) นั้น ไม่ใช่เพียงแค่เรื่องของการมีฟังก์ชันเสริมเท่านั้น แต่เป็นข้อกำหนดที่จำเป็นเพื่อให้การชำระเงินออนไลน์มีความปลอดภัย น่าเชื่อถือ และถูกกฎหมายในหลายพื้นที่
นี่คือเหตุผลหลักที่ Payment Gateway ต้องถูกรับรองและปฏิบัติตามมาตรฐานของ Visa:
1. Visa คือผู้บุกเบิกมาตรฐานความปลอดภัยของธุรกรรมออนไลน์
Visa เป็นผู้บุกเบิกและพัฒนาโปรโตคอล 3-D Secure (3DS) ขึ้นมาตั้งแต่ปี 1999 โดยใช้ชื่อแบรนด์ว่า “Verified by Visa” (ซึ่งต่อมาเปลี่ยนชื่อเป็น Visa Secure) โปรโตคอลนี้ถูกออกแบบมาเพื่อเป็นชั้นความปลอดภัยเพิ่มเติมสำหรับการทำธุรกรรมออนไลน์
Payment Gateway จะทำหน้าที่เชื่อมโยงกับระบบของ Visa (หรือที่เรียกว่า Directory Server) เพื่อตรวจสอบข้อมูลการลงทะเบียน 3D Secure ของลูกค้า เนื่องจาก Visa เป็นหนึ่งในเครือข่ายบัตรหลัก (Card Schemes) Payment Gateway จึงจำเป็นต้องผสานรวมระบบและได้รับการรับรองว่าสามารถสื่อสารกับเครือข่ายของ Visa ได้อย่างถูกต้องและปลอดภัย
2. การปฏิบัติตามข้อกำหนดด้านความปลอดภัยระดับสากล
Visa ในฐานะผู้กำหนดมาตรฐานการชำระเงินบัตร (Payment Brand) มีบทบาทในการกำหนดว่า Payment Gateway และผู้ที่เกี่ยวข้องกับการทำธุรกรรม 3DS ต้องปฏิบัติตามมาตรฐานความปลอดภัยที่เข้มงวด:
- • มาตรฐาน PCI 3DS Core Security: หน่วยงานที่ทำหน้าที่หลักของ 3-D Secure (เช่น ACS, Directory Server, และ 3DS Server ซึ่งมักเป็นส่วนหนึ่งของการบริการของ Payment Gateway) ต้องปฏิบัติตาม PCI 3DS Core Security Standard ซึ่งเป็นข้อกำหนดด้านความปลอดภัยที่ออกแบบมาเพื่อปกป้องข้อมูล เทคโนโลยี และกระบวนการของ 3DS
- • การกำหนดความรับผิดชอบ: การที่ Payment Gateway จะถูกยอมรับว่ามีการใช้งานระบบความปลอดภัยที่ถูกต้องหรือไม่นั้น ขึ้นอยู่กับ โปรแกรมการปฏิบัติตามข้อกำหนดของแบรนด์การชำระเงินแต่ละราย (Payment Brand Compliance Programs) ซึ่งรวมถึง Visa ด้วย
- • การเข้าถึงผู้ขายที่ผ่านการอนุมัติ: Visa Secure มี รายชื่อผู้จำหน่ายและเอกสารกำกับที่ผ่านการอนุมัติ เพื่อให้มั่นใจว่า Payment Gateway หรือผู้ให้บริการที่เกี่ยวข้องปฏิบัติตามกฎระเบียบของ 3-D Secure
3. การเปลี่ยนความรับผิดชอบในการฉ้อโกง (Liability Shift)
- • ป้องกันความสูญเสีย: ในการทำธุรกรรมแบบไม่แสดงบัตร (CNP) ทั่วไป ร้านค้าจะเป็นผู้รับผิดชอบทางการเงินสำหรับรายการดึงเงินคืน (Chargebacks) ที่เกิดจากการฉ้อโกง
- • โอนความเสี่ยง: หาก Payment Gateway สามารถยืนยันตัวตนลูกค้าผ่านโปรโตคอล 3D Secure (ที่ได้รับการอนุมัติจาก Visa Secure) ได้สำเร็จ ความรับผิดชอบในการฉ้อโกงที่ตามมาจะถูก เปลี่ยนจากร้านค้าไปยังธนาคารผู้ออกบัตร (Card Issuer) ทันที การรับรองจาก Visa จึงเป็นเครื่องมือสำคัญที่ Payment Gateway ใช้ในการลดความเสี่ยงทางการเงินให้กับร้านค้า
4. การรองรับข้อบังคับและกฎหมายในระดับภูมิภาค
ในหลายภูมิภาค การตรวจสอบสิทธิ์ลูกค้าอย่างเข้มงวดเป็นข้อบังคับทางกฎหมาย ซึ่ง Payment Gateway ต้องปฏิบัติตามและต้องผ่านการรับรองจาก Visa เพื่อให้มั่นใจในความสามารถนี้
- • Strong Customer Authentication (SCA): ในสหภาพยุโรป (EU) ข้อกำหนด Strong Customer Authentication (SCA) ภายใต้กฎหมาย PSD2 กำหนดให้ใช้การตรวจสอบสิทธิ์ที่เข้มงวด 3DS เวอร์ชัน 2.0 (EMV 3DS) ซึ่งเป็นโปรแกรม Visa Secure ถูกออกแบบมาเพื่อสอดคล้องกับข้อกำหนด SCA นี้ Payment Gateway ที่ได้รับการรับรอง 3DS2 จึงสามารถให้บริการที่สอดคล้องตามกฎหมายแก่ร้านค้าที่ดำเนินการในพื้นที่ดังกล่าวได้
5. การปรับปรุงประสิทธิภาพการอนุมัติและการลดความขัดข้อง
Visa สนับสนุนให้ Payment Gateway ส่งข้อมูลคุณภาพสูงไปยังผู้ออกบัตรเพื่อทำการประเมินความเสี่ยง การได้รับการรับรองจาก Visa หมายความว่า Payment Gateway นั้น ๆ สามารถจัดการการแลกเปลี่ยนข้อมูลที่ซับซ้อนตามข้อกำหนดของ Visa ได้
- • ข้อมูลที่มีคุณภาพ: Visa Secure (EMV 3DS) ใช้จุดข้อมูลมากกว่า 100 จุด (หรือเกือบ 150 จุด) เพื่อช่วยให้ผู้ออกบัตรประเมินความเสี่ยงได้อย่างแม่นยำ
- • คำสั่งใหม่ของ Visa: Visa ได้ออกคำสั่งใหม่ (Mandate) ให้ Payment Gateway ต้องรวมข้อมูลที่สำคัญ 7 รายการ (เช่น ที่อยู่ IP ของเบราว์เซอร์, ความกว้าง/ความสูงของหน้าจอ, อีเมล และชื่อของผู้ถือบัตร) เข้าไปในข้อความยืนยันตัวตน 3DS ตั้งแต่เดือนสิงหาคม 2024 เป็นต้นไป การปฏิบัติตามข้อกำหนดด้านข้อมูลของ Visa นี้ จะช่วยให้ อัตราการอนุมัติการชำระเงินเพิ่มขึ้น และ ลดจำนวนธุรกรรมที่ต้องขอให้ลูกค้ายืนยันตัวตนเพิ่มเติม (Frictionless flow)
สรุป
Payment Gateway จำเป็นต้องปฏิบัติตามมาตรฐานและได้รับการรับรองจาก Visa เนื่องจากเป็นการยืนยันความสามารถในการมอบ ความปลอดภัย, การปฏิบัติตามกฎหมาย และที่สำคัญที่สุดคือ การเปลี่ยนความรับผิดชอบในการฉ้อโกง ให้แก่ร้านค้า การรับรองนี้ไม่เพียงแต่ปกป้องผู้บริโภคเท่านั้น แต่ยังช่วยให้ร้านค้าสามารถเพิ่มอัตราการอนุมัติธุรกรรมและลดความเสี่ยงทางการเงินได้อย่างมีประสิทธิภาพ
