A normál folyamat az a kereskedői oldal redirect a fizető oldalra, az redirect a 3DS-es auth oldalra, az redirect vissza a fizető oldalra, az redirect vissza a kereskedőhöz.
Mondj rá jobb megoldást, ami az ügyfelet a bank felé egyértelműen, nem a kátyaadatokkal azonosítja, és sem a kereskedő, sem a fizetési szolgáltató (kártyaelfogadó bank) nem kapja meg azt egy vásárlás során. Mindezt úgy, hogy erre csak egy legacy (sms) csatora létezése miatt van szükség. Bónuszként ennek a költségét semmilyen módon nem lehet az üf.-re hárítani.
Ugye a netbankba belépés _is_ 2FA-s, vagy push, vagy sms-es kód beírásával megy, illetve az ottani tranzakciók is csak 2fa-val megerősítve mehetnek csak, ergo ha a jelszavadat el is kapja valaki, a 2fa (sms, push) miatt tranzaktálni nem fog tudni. Nomostan ha azt mondjuk, hogy ne egy erre kihegyezett oldal legyen, hanem a netbankba belépve lehessen jóváhagyni a tranzakciót, akkor az üf. máris két sms-t kap, az egyik a tranzakció jóváhagyó kódja, a másik a netbankos belépési kód - meg fog kavarodni. Ha meg azt mondod, hogy a tranzakcióengedélyező oldalra legyen másik jelszó, akkor... Szerinted hány üf.-nek lesz az ugyanaz, mint a netbanki belépésé? És mennyivel növeli az meg a valós biztonságot, hogy nem egy, hanem két jelszót kell az üf.-nek kezelnie?
Röviden, velősen megfogalmazva: el kéne felejteni az sms-es bohóckodást, de nagyon rövid időn belül, mert csak a copás van vele, úgy üf. mint banki oldalról.