Ano após ano, a tecnologia está avançando rapidamente em suas realizações e capacidades. Em um futuro próximo, o protocolo 3D Secure 2.0 atualizado levará a segurança on-line no setor de pagamentos a um nível totalmente novo. O protocolo oferecerá uma oportunidade para estabelecer um canal seguro de troca de dados em tempo real, através do qual muito mais dados de transação serão transmitidos para uma autenticação mais precisa do comprador, a velocidade de pagamento aumentará, pois nem todas as transações passarão de autenticação com uma senha, mas apenas algumas delas parte. Vejamos as principais mudanças no novo protocolo em comparação com a versão anterior.
O que é o 3D Secure?
O 3D Secure é um protocolo de segurança desenvolvido em 1999 e destinado a impedir o uso fraudulento de cartões de crédito, verificando a autenticidade dos portadores de cartão em transações que não exigem a presença física de um cartão (operações do CNP). "3D" significa "3 domínios" nos quais o protocolo funciona e que inclui o domínio do emissor (o domínio do cartão do banco emissor), o domínio do adquirente (domínio do vendedor e do banco para o qual o dinheiro é transferido) e o domínio de compatibilidade (domínio fornecido pelo pagamento Sistema de suporte ao protocolo 3D Secure). O protocolo foi desenvolvido e gerenciado pela EMVCo, uma organização de propriedade conjunta das principais marcas Visa, Mastercard, American Express, Discover, JCB e UnionPay.
A primeira versão do 3D Secure foi projetada para aumentar a confiança do consumidor em pagamentos online, o que contribuiu para o crescimento do comércio eletrônico. Para se proteger de transações fraudulentas, o 3D Secure adiciona outra etapa de autenticação para pagamentos on-line, o que permite que estabelecimentos e bancos garantam adicionalmente que o titular do cartão faça o pagamento. Ao usar o 3D Secure 1, o sistema exibe uma janela pop-up ou um quadro incorporado, exigindo que o usuário digite uma senha para que o banco possa autenticar o usuário. No entanto, as credenciais da entidade geradora da janela pop-up não podem ser autenticadas.
Para as empresas, os benefícios do 3D Secure são óbvios: solicitar informações adicionais fornece um nível adicional de proteção contra fraudes, garantindo que você aceite pagamentos com cartão apenas de clientes confiáveis. Além disso, no caso do uso do 3D Secure, ocorre a chamada "mudança de responsabilidade", na qual a responsabilidade por fraude também passa do vendedor para o emissor do cartão. Portanto, se o 3D Secure não for aplicado, quando o titular do cartão contestar uma transação fraudulenta:
- O vendedor (comerciante) é responsável pela transação.
- O vendedor (comerciante) deve devolver o dinheiro do comprador (estorno)
Porém, se o vendedor implementar o 3D Secure, a responsabilidade por transações fraudulentas será transferida para o emissor (o banco que emitiu o cartão).
Quais são as principais alterações no protocolo 3D Secure 2.0?
Mais de 17 anos se passaram desde o desenvolvimento do 3D Secure 1. Embora a indústria de pagamentos na maioria dos países tenha adotado esse método de autenticação muito bem, a necessidade de criar um novo protocolo foi reconhecida levando em consideração os requisitos atuais e futuros do mercado, incluindo a adição de suporte à autenticação baseada em dispositivos móveis e a integração de carteiras digitais. Além disso, observou-se que o uso do 3D Secure 1 tem algumas desvantagens:
- a etapa adicional necessária para concluir o pagamento aumenta a complexidade do processo de fazer um pedido e pode levar ao fato de os clientes se recusarem a comprar.
- vários bancos ainda exigem que seus titulares criem e lembrem-se de suas próprias senhas estáticas para concluir a verificação 3D Secure. É fácil esquecer essas senhas, o que também pode levar a uma maior probabilidade de recusar uma compra.
- O impacto negativo na experiência do usuário (UX) é especialmente perceptível em aplicativos móveis. Quando a Visa introduziu o padrão 3D Secure pela primeira vez, os computadores pessoais eram o único canal disponível para os consumidores comprarem online. Em dispositivos móveis, o uso do 3D Secure pode redirecionar clientes de seu próprio aplicativo para o site do banco, que não é otimizado para dispositivos móveis.
Levando em conta os principais pontos problemáticos do 3D Secure, a EMVCo lançou recentemente uma nova versão aprimorada do protocolo. O EMV 3-D Secure (3D Secure 2 ou 3DS2) aborda muitas das deficiências do 3D Secure 1 e oferece os seguintes benefícios principais:
1. Dispositivo flexível e suporte ao canal.Ele fornece uma interação mais suave e consistente com o usuário por meio de vários canais de pagamento, incluindo pagamento no navegador do celular, pagamentos em aplicativos e pagamentos através de uma carteira digital.
2. Melhor experiência do usuário.Oferece aos comerciantes a oportunidade de integrar melhor o processo de autenticação ao processo de compra, oferecendo aos titulares de cartão uma autenticação rápida, fácil e conveniente, com um alto nível de segurança. Diferentemente das senhas estáticas, o 3D Secure 2 usa métodos de autenticação dinâmica, como biometria e autenticação baseada em token. Além disso, o 3D Secure 2 permitirá que as empresas incorporem um fluxo de chamadas diretamente em seus fluxos de pagamento na Web e em dispositivos móveis - sem a necessidade de redirecionamentos. Usando os novos SDKs móveis, as empresas poderão implementar seus próprios fluxos em seus aplicativos, o que não exigirá mais que seus clientes mudem para o fluxo através do navegador para concluir a transação.
3D Secure 1 (guia 3D Secure 2 Stripe):3D Secure 2 (guia 3D Secure 2 Stripe):3. Troca de dados aprimorada para gerenciar fraudes e reduzir o atrito (troca de dados aprimorada para combater fraudes e reduzir obstáculos). Autenticação baseada em risco (RBA, autenticação baseada em risco). Autenticação sem atrito.O Frictionless Flow permite que os emissores aprove uma transação sem exigir a entrada manual de dados do portador do cartão. Isso é obtido através do que é conhecido como autenticação baseada em risco (RBA). O RBA trabalha coletando um conjunto de dados sobre os titulares do cartão durante uma transação e transmitindo-os ao banco emissor e seus ACS (Access Control Servers), que compara os dados coletados com os dados da transação do titular do cartão (históricos) anteriores para exibir o valor do risco de fraude correspondente ao novo transações. O 3D Secure 2 permitirá que as empresas e seus provedores de pagamento enviem com segurança mais de 100 elementos de dados para cada transação ao banco do titular do cartão. Isso inclui dados relacionados ao pagamento, como um endereço de entrega, além de dados contextuais, como um identificador de dispositivo do cliente ou um histórico de transações anteriores.
O banco do titular do cartão pode usar essas informações para avaliar o nível de risco da transação e selecionar a resposta apropriada. Se o valor do risco de fraude estiver abaixo de um valor limite predeterminado, o fluxo sem atrito será aplicado. Em outras palavras, se o risco de fraude for baixo o suficiente, o banco emissor não solicitará uma verificação adicional do titular do cartão e considerará que ele passou na autenticação. Isso elimina a etapa de verificação manual sempre exigida dos portadores de cartão no 3D Secure 1:
1) Se houver dados suficientes para que o banco possa acreditar que o titular do cartão real está fazendo uma compra, a transação atende aos requisitos de fluxo sem atrito e a autenticação é concluída sem afetar a interação do usuário - o titular do cartão nunca vê sinais O 3D Secure foi aplicado. Em outras palavras, se o risco de fraude for baixo o suficiente, o banco emissor não solicitará uma verificação adicional do titular do cartão e considerará que ele passou na autenticação. Isso elimina a etapa de verificação manual sempre exigida dos portadores de cartão no 3D Secure 1.
2) No caso em que o valor do risco de fraude estiver acima de um limite predeterminado, por exemplo, o banco decide que precisa de provas adicionais, a transação é realizada no modo Desafio e o cliente é solicitado a fornecer dados adicionais para verificar a autenticidade do pagamento.
4. Alteração da responsabilidade dos vendedores (comerciantes) em caso de fraudeDiferenças significativas no PSD2 também incluem alterações na responsabilidade dos vendedores (comerciantes) em caso de fraude. Os emissores são os beneficiários claros da troca de dados mais ampla necessária para o 3DS 2.0, pois são responsáveis por quaisquer estornos. Quanto mais dados eles tiverem, mais precisamente eles poderão avaliar o risco de uma transação.
No entanto, os comerciantes também se beneficiam, especialmente se ainda não coletaram dados de transação suficientes que serão necessários para participar do 3DS, porque eles podem usar esses dados para melhorar seus próprios esforços para detectar fraudes. Porém, mesmo que o vendedor já tenha um sofisticado programa de prevenção de fraudes, não se deve perder de vista o nível adicional de proteção fornecido pelo emissor que realiza sua própria avaliação de risco. Os fornecedores de ACS usados pelos emissores normalmente têm acesso a fontes de dados de fraude que não estão disponíveis para vendedores individuais, o que geralmente lhes permite fornecer uma avaliação mais confiável do risco de fraude.
Quando os sistemas de pagamento suportam o 3-D Secure 2.0?
A ampla disponibilidade do 3D Secure 2 dependerá de emissores de cartões individuais que suportem o novo padrão. Espera-se que os primeiros bancos comecem a oferecer suporte ao 3D Secure 2 para seus portadores de cartão no início de 2019, é provável que uma implementação mais ampla seja gradual e leve vários meses. Por exemplo, a plataforma Visa 3DS 2.0 já está disponível e pronta para atender às solicitações de autenticação do 3DS 2.0: Os provedores do ACS e do Servidor 3DS devem passar no teste com a EMVCo e a Visa antes de participar da 2.0. Os fornecedores podem iniciar os testes com a Visa somente após receber uma carta de confirmação confirmando a conclusão bem-sucedida dos testes com a EMVCo. Para que as partes interessadas tenham tempo suficiente para implementar o 3-D Secure, o conjunto completo de regras do programa não entrará em vigor até as datas de ativação do programa indicadas abaixo:
- Abril de 2019: válido para a Europa
- Agosto de 2019: data de ativação no Canadá, América Latina e Estados Unidos.
- Abril de 2020: data de ativação para a Ásia-Pacífico, Oriente Médio e África.
Supõe-se também que o 3D Secure 1 e o 3D Secure 2 coexistam pelo menos até 2020.
Para empresas europeias, a entrada em vigor em setembro de 2019 de um novo regulamento conhecido como Autenticação Forte do Cliente (SCA), que se aplicará a pagamentos on-line no Espaço Econômico Europeu (EEA), onde estão localizados o banco e o provedor de serviços de pagamento do titular do cartão na EEA, torna o 3D Secure 2 ainda mais importante. Como a nova regra exigirá que mais autenticação seja aplicada aos pagamentos europeus, o 3D Secure 2 oferecerá a melhor experiência de usuário (UX) para minimizar o impacto na conversão do site.
Embora o 3D Secure 2 seja o método principal para aderir aos pagamentos com cartão SCA, não se espera que o fluxo sem atrito seja considerado uma forma de autenticação forte do cliente. Isso significa que, depois que o SCA estiver operacional na Europa, o fluxo sem atrito poderá ser usado apenas para pagamentos sujeitos a uma exceção (enquanto todos os pagamentos que exigem um SCA precisarão ser autenticados usando o fluxo Challenge).