3D Secure คืออะไร? ต่างกับ Mastercard SecureCode หรือ Verified by Visa อย่างไร?
สรุปสั้น ๆ สำหรับคนไม่มีเวลาอ่านหมด
- 3D Secure (3DS) คือมาตรฐานยืนยันตัวตนเพิ่มเติมตอนจ่ายเงินออนไลน์ ช่วยลดความเสี่ยงบัตรถูกนำไปใช้โดยไม่ได้รับอนุญาต
- มี 2 รูปแบบหลัก: Frictionless (อนุมัติทันทีไม่ต้องยืนยัน) และ Challenge (ต้องกรอก OTP หรือกดยืนยันในแอป)
- ชื่อเดิม Verified by Visa / SecureCode คือชื่อการตลาดของระบบเดียวกัน ปัจจุบันเรียก Visa Secure และ Mastercard Identity Check
- ร้านค้าที่เปิดใช้ 3DS อาจได้รับสิทธิ์ Liability Shift ช่วยลดภาระเมื่อเกิดข้อพิพาท (chargeback)
- ถ้าไม่ได้รับ OTP ให้ตรวจสอบเบอร์โทรและแอปธนาคารก่อนเป็นอันดับแรก
3D Secure คืออะไร?
3D Secure (3DS) ย่อมาจาก Three-Domain Secure เป็นมาตรฐานสากลสำหรับการยืนยันตัวตนผู้ถือบัตรก่อนอนุมัติการชำระเงินออนไลน์ โดยให้ธนาคารผู้ออกบัตรตรวจสอบตัวตนของผู้ถือบัตรเพิ่มเติม เพื่อลดความเสี่ยงจากการทุจริตในธุรกรรมที่ ไม่มีการใช้บัตรจริง (Card-not-Present Transaction) เช่น การซื้อสินค้าผ่านเว็บไซต์หรือแอปพลิเคชัน
คำว่า Three-Domain หมายถึง 3 ฝ่ายที่เกี่ยวข้องในการทำธุรกรรม ได้แก่:
- ผู้ถือบัตร (Cardholder)
- ร้านค้าออนไลน์ (Merchant)
- ธนาคารผู้ออกบัตร (Issuer)
Frictionless Flow: ยืนยันตัวตนแบบอัตโนมัติ
หากระบบประเมินว่าธุรกรรมมีความเสี่ยงต่ำ เช่น เคยใช้บัตรกับร้านค้านั้นเป็นประจำ หรือพฤติกรรมการใช้งานเป็นปกติ ระบบจะอนุมัติรายการโดยอัตโนมัติ ผู้ถือบัตรไม่จำเป็นต้องกรอก OTP หรือยืนยันตัวตนเพิ่มเติม ทำให้การชำระเงินรวดเร็วและสะดวกยิ่งขึ้น
Challenge Flow: ยืนยันตัวตนเพิ่มเติมเมื่อพบความเสี่ยง
หากระบบตรวจพบว่าธุรกรรมอาจมีความเสี่ยง ระบบจะขอให้ผู้ถือบัตรยืนยันตัวตนเพิ่มเติมก่อนอนุมัติรายการ โดยวิธีการยืนยันอาจแตกต่างกันไปในแต่ละธนาคาร เช่น
- ยืนยันผ่านแอปธนาคารด้วยลายนิ้วมือ ใบหน้า หรือ PIN
- กรอกรหัส OTP (One-Time Password) ที่ส่งทาง SMS
- วิธีการยืนยันอื่นตามที่ธนาคารผู้ออกบัตรกำหนด
3D Secure ทำงานอย่างไร?
ทุกครั้งที่คุณชำระเงินออนไลน์ด้วย บัตรเครดิต หรือบัตรเดบิต ระบบ 3D Secure (3DS) จะทำหน้าที่ตรวจสอบตัวตนของผู้ถือบัตรก่อนที่ธนาคารจะอนุมัติรายการ เพื่อช่วยลดความเสี่ยงจากการทุจริตในการชำระเงินออนไลน์
ขั้นตอนการทำงานของ 3D Secure
- ผู้ถือบัตรกรอกข้อมูลบัตรและกดยืนยันการชำระเงิน
- ร้านค้าส่งข้อมูลธุรกรรมผ่านเครือข่ายบัตร เช่น Visa หรือ Mastercard
- ธนาคารผู้ออกบัตรรับข้อมูลและประเมินความเสี่ยงของรายการ
- หากระบบประเมินว่าความเสี่ยงต่ำ จะอนุมัติรายการแบบ Frictionless Flow โดยไม่ต้องยืนยันตัวตนเพิ่มเติม
- หากระบบพบความเสี่ยง จะเข้าสู่ Challenge Flow เพื่อให้ผู้ถือบัตรยืนยันตัวตน เช่น กรอก OTP หรือกดยืนยันผ่านแอปธนาคาร
- เมื่อยืนยันตัวตนสำเร็จ ธนาคารจะอนุมัติรายการ และร้านค้าจะแสดงผลว่า ชำระเงินสำเร็จ
ธนาคารใช้ข้อมูลอะไรในการประเมินความเสี่ยง?
ระบบ EMV 3-D Secure ใช้หลักการ Risk-Based Authentication (RBA) หรือการประเมินความเสี่ยงจากหลายปัจจัยร่วมกัน ไม่ได้พิจารณาเพียงยอดเงินของรายการ โดยตัวอย่างข้อมูลที่ระบบอาจนำมาวิเคราะห์ ได้แก่
- มูลค่ารายการสูงผิดปกติหรือไม่
- เคยใช้บัตรกับร้านค้านี้มาก่อนหรือไม่
- ใช้อุปกรณ์เดิมหรืออุปกรณ์ใหม่ในการทำรายการ
- ทำรายการจากประเทศหรือพื้นที่ที่ไม่คุ้นเคยหรือไม่
- พฤติกรรมการใช้บัตรสอดคล้องกับประวัติการใช้งานที่ผ่านมาเพียงใด
หากระบบประเมินว่าธุรกรรมมีความเสี่ยงต่ำ การชำระเงินจะดำเนินการได้อย่างรวดเร็ว แต่หากพบความผิดปกติ ระบบจะขอให้ยืนยันตัวตนเพิ่มเติมก่อนอนุมัติรายการ
ตัวอย่างการทำงานของ 3D Secure ในสถานการณ์จริง
มาดูกันว่า 3D Secure ทำงานอย่างไรในสถานการณ์ที่คนส่วนใหญ่เจอจริง ๆ
สั่งอาหารร้านประจำทุกสัปดาห์
สถานการณ์: คุณสั่งอาหารจากร้านเดิมเป็นประจำ ใช้โทรศัพท์เครื่องเดิม และชำระด้วยบัตรใบเดิมทุกครั้ง
ผลการประเมิน: ระบบพบว่าพฤติกรรมการใช้งานสอดคล้องกับประวัติที่ผ่านมา จึงประเมินว่ามีความเสี่ยงต่ำ
ซื้อสินค้าราคาสูงจากร้านใหม่ต่างประเทศ
สถานการณ์: คุณสั่งซื้อสินค้าอิเล็กทรอนิกส์ราคาสูงจากเว็บไซต์ต่างประเทศเป็นครั้งแรก
ผลการประเมิน: ระบบพบปัจจัยที่อาจเพิ่มความเสี่ยง เช่น มูลค่ารายการสูง ร้านค้าใหม่ และเป็นธุรกรรมต่างประเทศ
เพิ่งเปลี่ยนมือถือเครื่องใหม่
สถานการณ์: เพิ่งเปลี่ยนโทรศัพท์หรือเปลี่ยนหมายเลขโทรศัพท์ แต่ยังไม่ได้อัปเดตข้อมูลกับธนาคาร หรือยังไม่ได้เปิดใช้งานแอปธนาคารบนอุปกรณ์ใหม่
ผลที่อาจเกิดขึ้น: ไม่สามารถรับ OTP หรือไม่ได้รับการแจ้งเตือนให้ยืนยันรายการ ทำให้ธุรกรรมไม่สำเร็จ
ร้านค้าเจอข้อพิพาท (Chargeback)
สถานการณ์: หลังจากทำรายการสำเร็จ ลูกค้าร้องเรียนว่าไม่ได้เป็นผู้ทำรายการ และยื่นคำขอปฏิเสธรายการ (Chargeback)
ผลการประเมิน: ธุรกรรมนั้นผ่านการยืนยันตัวตนด้วย 3D Secure ตามเงื่อนไขของเครือข่ายบัตร
ประโยชน์ของ 3D Secure คืออะไร?
3D Secure ช่วยเพิ่มความปลอดภัยในการชำระเงินออนไลน์ โดยออกแบบให้สร้างสมดุลระหว่าง ความปลอดภัย และ ความสะดวกในการใช้งาน ผู้ถือบัตรส่วนใหญ่สามารถชำระเงินได้อย่างรวดเร็ว ขณะที่ระบบยังคงตรวจจับและป้องกันธุรกรรมที่มีความเสี่ยงได้อย่างมีประสิทธิภาพ
* หมายเหตุ: การที่ระบบ ไม่ส่ง OTP ไม่ได้หมายความว่าธุรกรรมไม่มีการตรวจสอบ แต่หมายถึงระบบประเมินแล้วว่าธุรกรรมนั้นมีความเสี่ยงต่ำ จึงอนุมัติรายการผ่าน Frictionless Flow
Liability Shift คืออะไร?
Liability Shift คือ การเปลี่ยนแปลงความรับผิดชอบในกรณีเกิดข้อพิพาทจากธุรกรรม (Chargeback) ภายใต้เงื่อนไขที่กำหนดของเครือข่ายบัตร
ทำไมสำคัญ: หากธุรกรรมผ่านการยืนยันตัวตนด้วย 3D Secure และเป็นไปตามข้อกำหนดของเครือข่ายบัตร ในบางกรณี ความรับผิดจากธุรกรรมที่มีการทุจริตอาจถูกโอนจากร้านค้าไปยังธนาคารผู้ออกบัตรแทน
สำหรับร้านค้า สิทธิ์นี้ช่วยลดความเสี่ยงจากค่าใช้จ่ายที่อาจเกิดขึ้น เช่น การสูญเสียสินค้า ค่าธรรมเนียมการโต้แย้งรายการ (Dispute Fee) และผลกระทบต่ออัตรา Chargeback
* หมายเหตุ: การได้รับสิทธิ์ Liability Shift ขึ้นอยู่กับเงื่อนไขของเครือข่ายบัตร ผู้ให้บริการรับชำระเงิน (Payment Service Provider) และประเภทของธุรกรรม ไม่ได้เกิดขึ้นกับทุกกรณี
เช็กลิสต์การใช้งาน 3D Secure ตามบทบาท
- อัปเดตเบอร์โทร/อีเมลกับธนาคารให้ตรงกับปัจจุบันเสมอ
- เปิดการแจ้งเตือนของแอปธนาคารตลอดเวลา
- ตรวจสอบยอดเงินก่อนกดยืนยัน OTP ทุกครั้ง
- เปิดใช้ 3D Secure 2.x เพื่อรับสิทธิ์ Liability Shift
- ส่งข้อมูลบริบทธุรกรรมให้ครบเพื่อเพิ่มโอกาส Frictionless
- ติดตามอัตรา chargeback ไม่ให้เกินเกณฑ์ของเครือข่ายบัตร
- ปรับใช้มาตรฐาน EMV 3-D Secure 2.x เวอร์ชันล่าสุด
- ทดสอบทั้ง Frictionless และ Challenge flow ก่อนขึ้นระบบจริง
- เตรียม fallback กรณีธนาคารผู้ออกบัตรไม่ตอบสนอง
ข้อผิดพลาดที่พบบ่อยเกี่ยวกับ 3D Secure
SecureCode และ Verified by Visa คืออะไร?
หลายคนอาจคุ้นเคยกับชื่อ Verified by Visa หรือ Mastercard SecureCode แต่ทั้งสอง ไม่ใช่ระบบใหม่ หากเป็น ชื่อแบรนด์ (Branding) ของบริการ 3D Secure รุ่นแรก (3DS 1.0) ที่ใช้สำหรับยืนยันตัวตนในการชำระเงินออนไลน์
ปัจจุบันใช้ชื่อใหม่ดังนี้:
- Visa Secure (ชื่อใหม่ของ Verified by Visa)
- Mastercard Identity Check (ชื่อใหม่ของ SecureCode)
สรุปให้เข้าใจง่าย
- 3D Secure (3DS) คือ มาตรฐานสากล สำหรับการยืนยันตัวตนในการชำระเงินออนไลน์
- Verified by Visa และ Mastercard SecureCode คือ ชื่อเดิม ของบริการ 3D Secure บนเครือข่าย Visa และ Mastercard
- ปัจจุบันเปลี่ยนมาใช้ชื่อ Visa Secure และ Mastercard Identity Check และทำงานบนมาตรฐาน EMV 3-D Secure 2.x
3DS เป็นมาตรฐานสากล ไม่ใช่ระบบของธนาคารใดธนาคารหนึ่ง ไม่ว่าคุณใช้ บัตร Visa หรือ บัตร Mastercard หลักการทำงานอยู่บนมาตรฐานเดียวกันของอุตสาหกรรมการชำระเงิน
3D Secure ในประเทศไทย
การใช้งานผ่านธนาคาร
ปัจจุบันธนาคารส่วนใหญ่ในประเทศไทยรองรับ EMV 3-D Secure 2.x และเชื่อมต่อระบบกับแอปพลิเคชันของธนาคาร ทำให้ผู้ถือบัตรสามารถยืนยันตัวตนได้สะดวกยิ่งขึ้น เช่น
- กดยืนยันผ่านแอปธนาคาร
- ยืนยันด้วยลายนิ้วมือหรือสแกนใบหน้า (Biometric)
- กรอกรหัส OTP ตามนโยบายของแต่ละธนาคาร
การใช้งานผ่านผู้ให้บริการชำระเงิน (Payment Gateway)
ผู้ให้บริการรับชำระเงิน (Payment Gateway หรือ PSP) มักรองรับมาตรฐาน 3D Secure เพื่อช่วยลดความเสี่ยงจากการทุจริต (Fraud) และข้อพิพาทการชำระเงิน (Chargeback)
เมื่อระบบประเมินว่าธุรกรรมมีความเสี่ยงสูง ธุรกรรมนั้นอาจถูกส่งเข้าสู่ Challenge Flow เพื่อให้ผู้ถือบัตรยืนยันตัวตนเพิ่มเติมก่อนอนุมัติรายการ
Visa Secure และ Mastercard Identity Check
Visa Secure และ Mastercard Identity Check คือชื่อแบรนด์ของบริการ 3D Secure บนเครือข่าย Visa และ Mastercard ตามลำดับ โดยทั้งสองบริการใช้มาตรฐาน EMV 3-D Secure (3DS 2.x) ซึ่งออกแบบมาเพื่อเพิ่มความปลอดภัยในการชำระเงินออนไลน์ พร้อมลดขั้นตอนการยืนยันตัวตนที่ไม่จำเป็น และช่วยให้การชำระเงินเป็นไปอย่างรวดเร็วและปลอดภัยมากยิ่งขึ้น
คำถามที่พบบ่อยเกี่ยวกับ 3D Secure
ตรวจสอบก่อนว่าเบอร์โทรที่ผูกกับบัญชีธนาคารตรงกับเบอร์ที่ใช้งานอยู่จริงหรือไม่ ลองตรวจสอบสัญญาณมือถือ หรือเปิดแอปธนาคารเพื่อดูการแจ้งเตือนแทน หากยังไม่ได้รับ ควรติดต่อคอลเซ็นเตอร์ของธนาคารผู้ออกบัตรโดยตรง
ไม่ได้ป้องกันได้แบบสมบูรณ์ 100% แต่ช่วยลดความเสี่ยงจากธุรกรรมที่ไม่ได้รับอนุญาตได้มาก เพราะต้องผ่านการยืนยันตัวตนเพิ่มเติมจากธนาคารผู้ออกบัตรก่อนอนุมัติ
ไม่จำเป็นเสมอไป ขึ้นอยู่กับนโยบายของร้านค้าและผู้ให้บริการรับชำระเงิน (payment gateway) แต่ร้านค้าที่เปิดใช้งานจะได้รับความคุ้มครองด้าน Liability Shift เมื่อเกิดข้อพิพาท
ได้ ธนาคารส่วนใหญ่เปิดใช้ 3D Secure ทั้งกับบัตรเครดิตและบัตรเดบิตที่รองรับการทำธุรกรรมออนไลน์
เพราะระบบประเมินแล้วว่าธุรกรรมนั้นมีความเสี่ยงต่ำ (Frictionless Flow) จึงอนุมัติให้ทันทีโดยไม่ต้องยืนยันตัวตนเพิ่มเติม
สรุปจากมุมมองผู้เชี่ยวชาญด้านความปลอดภัยการชำระเงิน
“3D Secure ไม่ใช่แค่ขั้นตอนที่สร้างความยุ่งยากให้ลูกค้า แต่คือเกราะป้องกันที่ทำให้ทั้งผู้ถือบัตรและร้านค้าปลอดภัยขึ้นในระยะยาว หัวใจสำคัญคือการทำให้ระบบฉลาดพอที่จะแยกแยะธุรกรรมปกติกับธุรกรรมเสี่ยงได้แม่นยำ เพื่อไม่ให้ Frictionless กลายเป็นช่องโหว่ และไม่ให้ Challenge กลายเป็นอุปสรรคจนลูกค้าเลิกซื้อ”
แหล่งอ้างอิงและมาตรฐานที่ใช้

จบการศึกษาปริญญาตรี สาขาการจัดการการเงิน มหาวิทยาลัยขอนแก่น มีประสบการณ์กว่า 6 ปี ในวงการฟินเทชและการเงินส่วนบุคคล โดยเฉพาะบัตรเครดิต สินเชื่อบ้าน สินเชื่อรถยนต์ และรีไฟแนนซ์ ผ่านการเขียนคอนเทนต์ให้ Rabbit Care และ Asia Direct (6+ ปี) เน้นรีวิวผลิตภัณฑ์ สิทธิประโยชน์บัตรเครดิต และกลยุทธ์บริหารหนี้
ก่อนหน้านี้ ทำงานในอุตสาหกรรม OTA ชั้นนำอย่าง Laterooms.com และ Expedia.com (12 ปี) ซึ่งเสริมทักษะการวางแผนทางการเงินต่อทริป และยังเชี่ยวชาญการเลือกประกันการเดินทางที่คุ้มค่าและคุ้มครองชีวิตตลอดทริปสำหรับนักเดินทาง


