To właśnie przedpłacona Visa... Nigdy nie żądano dodatkowej weryfikacji.
Inna sprawa, że podpięta do PP w czasach gdy o 3DS dopiero mówiono.
Chyba "za plecami" coś zmieniono.

Arek

Bzdura. 3d-secure jest wpięte między systemem informatycznym VISA a systemem
informatycznym instytucji (zwykle jest to - jak sądzę - bank) który dla
danego zakresu numerów kart płatniczych odpowiada na zapytania o możliwość
obciążania danej karty. Jeżeli instytucja ma zapisane, że dla danej karty
jest aktywne 3d-secure, to przekazuje takie info do systemu informatycznego
VISA. Następnie VISA przekazuje to info do punktu handlowego z którego
nadeszła próba obciążenia. Potem nie wiem do końca co się dzieje, ale efekt
jest taki, że na kanale VISA <--> bank (tym samym którym przyszło info, że
wymaga się 3d-secure) pojawia się kolejne info, że autentykacja użytkownika
karty się powiodła albo się nie powiodła. Oczywiście to info odsyła bank po
wykonaniu dodatkowej weryfikacji (token, sms, etc.)

Dodam, że w modelu bez 3d-secure bank na pierwsze zapytanie o obciążenie po
prostu odpowiada akceptacją albo odsyła kod odmowy - niektóre terminale POS
drukują te kody odmowy wprost na slipach. Nie wiem jak sklepy internetowe.

Zdaje się, że aby 3d-secure mogło się odbyć, to próba obciążenia musi iść
on-line. Dla obciążeń off-line o ile się nie mylę, nie może zajść procedura
3d-secure właśnie dlatego, że info o 3d-secure przechowuje u siebie bank i
tylko bank wie, czy dla danej karty należy czy nie należy żądać 3d-secure.
No to też nie jest prawda. Generalnie na karcie jest zapisany preferowany
sposób autentykacji (pin on-line, podpis, pin off-line). Jednak mając złe
intencje jest technicznie możliwe przekonanie (np. ukradzionej) karty, która
miała jedyną dostępną metodę autentykacji pin on-line, żeby wystarczyło jej
pin off-line. Co więcej, można dla takiej (np. ukradzionej) karty przekonać
POS że podany pin w metodzie pin off-line jest właściwy mimo, że nie jest
właściwy.