Boa Eduardo, vou tentar responser algumas coisas aqui pra tentar te ajudar, mas essa não é a minha área principal de conhecimento, 3DS é transação digital, meu foco é o que a gente chama de transação de mundo físico, onde involve um cartão e um terminal físicos.
- 3DS não tem relação nenhuma com o cartão físico, apenas com o emissor (banco), basicamente é ele quem precisa implementar o 3DS e ele quem decide quais produtos dele terão essa segurança. E o gateway de pagamento também precisa ter suporte para o 3DS, e isso pode ser feito em 2 níveis:
- Data Only: Junto com os dados do cartão é solicitado informações adicionais do usuário, como CPF, endereço, telefone, etc E isso é usado para dar uma confiança a mais na transação, porém caso o banco não aprove, não existe a chance de pedir desafio e a transação é negada.
- Full: Além do data only, existe a chance do banco pedir o desafio.
- Até onde eu sei, atualmente o 3DS é a melhor maneira de se ter segurança em uma transação digital, no quesito de garantir que a pessoa que realizou a compra é realmente a dona do cartão, mas isso não é uma solução definitiva para chargebacks porque ainda existem chargebacks fraudulentos por desacordo comercial (pessoa reclamar por dizer que não recebeu o produto, quando na verdade recebeu) e outros motivos. Mas basicamente o 3DS Full funciona como um 2FA, aí depende, você considera o 2FA uma solução definitiva para roubo de credenciais?
- Aí você me pegou, só trabalhei em parceria com um, mas acredito que a maioria funcione da mesma maneira, porém com efetividades diferentes, justamente pelo que você comentou, de possuir mais transações, possuir pessoas com mais experiência na área, etc. Mas todos precisam cumprir exigências e regulamentos de tratar fraudes, lavagem de dinheiro, etc.
- Ele possui um sistema operacional porque ele não é tão passivo assim, a princípio pode parecer que ele só retorna informações pré-gravadas nele, mas ele possui um diretório de arquivos, possui arquivos privados que não podem ser lidos (por possuírem chaves criptográficas específicas deste cartão, que caso seja lido, pode levar o cartão a ser clonado), também precisa saber como responder corretamente cada comando e armazenar estados internamente e possui capacidade de realizar criptografias tanto simétricas quanto assimétricas
Espero que tenha conseguido te ajudar com alguma coisa, mas se tiver alguma outra dúvida só mandar