Año tras año, la tecnología avanza rápidamente en sus logros y capacidades. En un futuro muy cercano, el protocolo actualizado 3D Secure 2.0 llevará la seguridad en línea en la industria de pagos a un nivel completamente nuevo. El protocolo brindará la oportunidad de establecer un canal seguro de intercambio de datos en tiempo real, a través del cual se transmitirán muchos más datos de transacciones para una autenticación más precisa del comprador, la velocidad de pago aumentará, ya que no todas las transacciones pasarán la autenticación con una contraseña, pero solo algunas de ellas parte Veamos los principales cambios en el nuevo protocolo en comparación con su versión anterior.
¿Qué es 3D Secure?
3D Secure es un protocolo de seguridad desarrollado en 1999 y destinado a prevenir el uso fraudulento de tarjetas de crédito al verificar la autenticidad de los titulares de tarjetas en transacciones que no requieren la presencia física de una tarjeta (operaciones CNP). "3D" significa "3 dominios" en los que funciona el protocolo y que incluyen el dominio del emisor (el dominio de la tarjeta bancaria emisora), el dominio del adquirente (dominio del vendedor y del banco al que se transfiere el dinero) y el dominio de compatibilidad (dominio proporcionado por el pago Sistema de soporte de protocolo 3D Secure). El protocolo fue desarrollado y administrado por EMVCo, una organización de propiedad conjunta de las principales marcas Visa, Mastercard, American Express, Discover, JCB y UnionPay.
La primera versión de 3D Secure fue diseñada para aumentar la confianza del consumidor en los pagos en línea, lo que ha contribuido al crecimiento del comercio electrónico. Para protegerse de las transacciones fraudulentas, 3D Secure agrega otro paso de autenticación para los pagos en línea, lo que permite que los puntos de venta y los bancos también se aseguren de que el titular de la tarjeta realice el pago. Cuando se utiliza 3D Secure 1, el sistema muestra una ventana emergente o un marco incrustado, que requiere que el usuario ingrese una contraseña para que el banco pueda autenticar al usuario. Sin embargo, las credenciales de la entidad generadora de la ventana emergente no se pueden autenticar.
Para las empresas, los beneficios de 3D Secure son obvios: solicitar información adicional proporciona un nivel adicional de protección contra el fraude, asegurando que acepte pagos con tarjeta solo de clientes confiables. Además, en el caso de utilizar 3D Secure, se produce el llamado "Cambio de responsabilidad", en el que la responsabilidad por fraude también pasa del vendedor al emisor de la tarjeta. Por lo tanto, si 3D Secure no se aplica, cuando el titular de la tarjeta impugne una transacción fraudulenta:
- El vendedor (comerciante) es responsable de la transacción.
- El vendedor (comerciante) debe devolver el dinero del comprador (contracargo)
Pero, si el vendedor implementa 3D Secure, la responsabilidad de las transacciones fraudulentas pasa al emisor (el banco que emitió la tarjeta).
¿Cuáles son los principales cambios en el protocolo 3D Secure 2.0?
Han transcurrido más de 17 años desde el desarrollo de 3D Secure 1. Aunque la industria de pagos en la mayoría de los países aceptó este método de autenticación bastante bien, se reconoció la necesidad de crear un nuevo protocolo teniendo en cuenta los requisitos actuales y futuros del mercado, incluida la adición de soporte para autenticación basada en dispositivos móviles y la integración de billeteras digitales. Además, se observó que el uso de 3D Secure 1 tiene algunas desventajas:
- El paso adicional necesario para completar el pago aumenta la complejidad del proceso de realizar un pedido y puede llevar al hecho de que los clientes se niegan a comprar.
- varios bancos aún requieren que sus titulares de tarjetas creen y recuerden sus propias contraseñas estáticas para completar la verificación 3D Secure. Estas contraseñas son fáciles de olvidar, lo que también puede generar una mayor probabilidad de rechazar una compra.
- El impacto negativo en la experiencia del usuario (UX) es especialmente notable en las aplicaciones móviles. Cuando Visa introdujo por primera vez el estándar 3D Secure, las computadoras personales eran el único canal disponible para que los consumidores compraran en línea. En dispositivos móviles, el uso de 3D Secure puede redirigir a los clientes desde su propia aplicación al sitio web del banco, que no está optimizado para dispositivos móviles.
Teniendo en cuenta los principales puntos débiles de 3D Secure, EMVCo lanzó recientemente una nueva versión mejorada del protocolo. EMV 3-D Secure (3D Secure 2 o 3DS2) resuelve muchas de las deficiencias de 3D Secure 1 y proporciona los siguientes beneficios clave:
1. Dispositivo flexible y soporte de canales.Proporciona una interacción más uniforme y uniforme con el usuario a través de varios canales de pago, incluidos los pagos en el navegador del teléfono móvil, pagos en aplicaciones y pagos a través de una billetera digital.
2. Experiencia de usuario mejorada.Brinda a los comerciantes la oportunidad de integrar mejor el proceso de autenticación en el proceso de compra, brindando a los titulares de tarjetas una autenticación rápida, fácil y conveniente con un alto nivel de seguridad. A diferencia de las contraseñas estáticas, 3D Secure 2 utiliza métodos de autenticación dinámicos como biometría y autenticación basada en tokens. Además, 3D Secure 2 permitirá a las empresas integrar un flujo de llamadas directamente en sus flujos de pago web y móvil, sin necesidad de redireccionamientos. Mediante el uso de los nuevos SDK móviles, las empresas podrán implementar sus propias transmisiones en sus aplicaciones, lo que ya no requerirá que sus clientes cambien a la transmisión a través del navegador para completar la transacción.
3D Secure 1 (guía 3D Secure 2 Stripe):3D Secure 2 (guía 3D Secure 2 Stripe):3. Intercambio de datos mejorado para gestionar el fraude y reducir la fricción (Intercambio de datos mejorado para combatir el fraude y reducir los obstáculos). Autenticación basada en riesgo (RBA, Autenticación basada en riesgo). Autenticación sin fricción.Frictionless Flow permite a los emisores aprobar una transacción sin requerir la entrada manual de datos del titular de la tarjeta. Esto se logra a través de lo que se conoce como autenticación basada en riesgos (RBA). RBA funciona mediante la recopilación de un conjunto de datos sobre los titulares de tarjetas durante una transacción y la transmite al banco emisor y sus Servidores de control de acceso (ACS), que luego compara los datos recopilados con los datos de transacciones anteriores (históricos) de los titulares de tarjetas para mostrar el valor de riesgo de fraude correspondiente al nuevo transacciones 3D Secure 2 permitirá a las empresas y sus proveedores de pagos enviar de manera segura más de 100 elementos de datos para cada transacción al banco del titular de la tarjeta. Esto incluye datos relacionados con el pago, como una dirección de entrega, así como datos contextuales, como un identificador de dispositivo del cliente o un historial de transacciones anteriores.
El banco del titular de la tarjeta puede usar esta información para evaluar el nivel de riesgo de la transacción y seleccionar la respuesta adecuada. Si el valor del riesgo de fraude está por debajo de un valor umbral predeterminado, se aplica un flujo sin fricción. En otras palabras, si el riesgo de fraude es lo suficientemente bajo, el banco emisor no solicitará una verificación adicional del titular de la tarjeta y considera que el titular de la tarjeta ha aprobado la autenticación. Esto elimina el paso de verificación manual que siempre se requería de los titulares de tarjetas en 3D Secure 1:
1) Si hay suficientes datos para que el banco pueda creer que el verdadero titular de la tarjeta está haciendo una compra, la transacción satisface los requisitos del flujo sin fricción y la autenticación se completa sin afectar la interacción del usuario: el titular de la tarjeta nunca ve ningún signo 3D Secure ha sido aplicado. En otras palabras, si el riesgo de fraude es lo suficientemente bajo, el banco emisor no solicitará una verificación adicional del titular de la tarjeta y considera que el titular de la tarjeta ha aprobado la autenticación. Esto elimina el paso de verificación manual que siempre se requería de los titulares de tarjetas en 3D Secure 1.
2) En el caso de que el valor del riesgo de fraude supere un umbral predeterminado, por ejemplo, el banco decide que necesita evidencia adicional, la transacción se realiza en modo Desafío y se le pide al cliente que proporcione datos adicionales para verificar la autenticidad del pago.
4. Cambio de responsabilidad de los vendedores (comerciantes) en caso de fraudeLas diferencias significativas en PSD2 también incluyen cambios en la responsabilidad de los vendedores (comerciantes) en caso de fraude. Los emisores son los claros beneficiarios del intercambio de datos más amplio requerido para 3DS 2.0, ya que son responsables de cualquier devolución de cargo. Cuantos más datos tengan, más exactamente podrán evaluar el riesgo de una transacción.
Sin embargo, los comerciantes también se benefician, especialmente si aún no han recopilado suficientes datos de transacciones que se requerirán para participar en 3DS, porque entonces pueden usar estos datos para mejorar sus propios esfuerzos para detectar el fraude. Pero incluso si el vendedor ya tiene un sofisticado programa de prevención de fraude, no se debe perder de vista el nivel adicional de protección provisto por el emisor que realiza su propia evaluación de riesgos. Los proveedores de ACS utilizados por los emisores generalmente tienen acceso a fuentes de datos de fraude que no están disponibles para vendedores individuales, lo que a menudo les permite proporcionar una evaluación más confiable del riesgo de fraude.
¿Cuándo serán compatibles los sistemas de pago 3-D Secure 2.0?
La disponibilidad generalizada de 3D Secure 2 dependerá de los emisores de tarjetas individuales que admitan el nuevo estándar. Se espera que los primeros bancos comiencen a admitir 3D Secure 2 para sus titulares de tarjetas a principios de 2019, es probable que una implementación más amplia sea gradual y tome varios meses. Por ejemplo, la plataforma Visa 3DS 2.0 ahora está disponible y lista para manejar solicitudes de autenticación 3DS 2.0: los proveedores de ACS y 3DS Server deben pasar las pruebas con EMVCo y Visa antes de participar en 2.0. Los proveedores pueden comenzar las pruebas con Visa solo después de recibir una carta de confirmación que confirma la finalización exitosa de las pruebas con EMVCo. Para que las partes interesadas tengan tiempo suficiente para implementar 3-D Secure, el conjunto completo de reglas del programa no entrará en vigencia hasta las fechas de activación del programa que se indican a continuación:
- Abril de 2019: válido para Europa
- Agosto de 2019: fecha de activación para Canadá, América Latina y los Estados Unidos.
- Abril de 2020: fecha de activación para Asia Pacífico y Medio Oriente y África.
También se supone que 3D Secure 1 y 3D Secure 2 coexistirán al menos hasta 2020.
Para las empresas europeas, la entrada en vigor en septiembre de 2019 de una nueva regulación conocida como Strong Customer Authentication (SCA), que se aplicará a los pagos en línea en el Área Económica Europea (EEA), donde se encuentran el banco del titular de la tarjeta y el proveedor de servicios de pago en EEA, hace que 3D Secure 2 sea aún más importante. Dado que la nueva regla requerirá que se aplique más autenticación a los pagos europeos, 3D Secure 2 ofrecerá la mejor experiencia de usuario (UX) para minimizar el impacto en la conversión del sitio.
Aunque 3D Secure 2 será el método principal para cumplir con los requisitos de pago con tarjeta SCA, se espera que el flujo sin fricción no se vea como una forma de autenticación fuerte del cliente. Esto significará que después de que el SCA esté operativo en Europa, el flujo sin fricción solo se puede usar para pagos que están sujetos a una excepción (mientras que todos los pagos que requieren un SCA deberán autenticarse usando la transmisión del desafío).