3DS2: la nueva norma de autenticación

Para luchar contra el número creciente de delitos de fraude en las transacciones de e-commerce se ha desarrollado una nueva versión del protocolo 3D Secure: 3D Secure 2 (3DS2).

Esta nueva versión aumenta la seguridad de los pagos, pero también la experiencia del usuario: con base en un análisis de riesgos inteligente y dinámico, permite reducir el número de abandonos presentado por 3DS1, reduciendo las interacciones con el comprador.

Para eso, el emisor utilizará una mayor cantidad de información (cerca de 10 veces más que con la versión 3DS1 anterior) para evaluar el riesgo de la transacción.

Si el emisor determina que el nivel de riesgo de la transacción es bajo, la autenticación del comprador se realizará sin interacción de su parte. Se denomina autenticación "Frictionless".

En caso en que el emisor evalúe un riesgo alto para la transacción, será necesaria una interacción del comprador. Se denomina "Challenge".

Durante este proceso, el comprador deberá proporcionar al menos dos factores de autenticación. Este método de autenticación se conoce como SCA (Strong Customer Authentication).

El método SCA requiere que se proporcionen dos de los tres factores diferentes de autenticación:
  • Posesión: dato que solo posee el cliente (como un código único de uso),
  • Conocimiento: dato que solo conoce el cliente (como una contraseña),
  • Característica personal: elemento biométrico que caracteriza al cliente (como una huella digital, reconocimiento de voz o reconocimiento facial).

El SCA solo se requiere cuando el emisor y el adquiriente se encuentran dentro del Espacio Económico Europeo (EEE).

El SCA no aplica a las transacciones realizadas con una tarjeta emitida fuera del EEE, ni en el caso en que el vendedor haya suscrito una afiliación con un adquiriente fuera del EEE, aún si la tarjeta es emitida dentro del EEE.

Otras novedades:
  • esta nueva versión es compatible con los nuevos canales de pago como los pagos en aplicación y los pagos móviles
  • la autenticación en modo pop-in reemplaza la redirección hacia la página del ACS.

Más información intercambiada entre los diferentes actores

Con 3DS1, solo la siguiente información era utilizada para permitir la autenticación del portador:

  • Número de afiliación del vendedor (MID)

  • BIN del comprador

  • URL del servidor de autenticación

  • Mensajes (VEReq, VERes, PAReq, PARes)

  • Número de tarjeta del titular

  • User Agent del navegador del comprador

Con 3DS2, los datos compartidos son 10 veces más numerosos y pueden ser clasificados en 4 categorías:
  • Transacción y datos del cliente

    Contienen información obligatoria u opcional recolectada del proceso del cliente en el sitio del comerciante y del detalle de la transacción:

    • número de tarjeta y fecha de vencimiento
    • dirección de facturación
    • dirección de entrega
    • nombre del vendedor
    • URL del sitio del comerciante
    • país
    • código MCC
    • BIN del adquiriente
    • MID
    • monto
    • moneda
    • tipo de transacción
  • Prueba de autenticación

    1. Autenticación en el sitio del comerciante.
      Corresponde a la autenticación (no 3DS) del comprador para acceder al sitio del comerciante:
      • método de autenticación
      • fecha y hora de conexión
      • datos de autenticación

    2. Autenticación fuerte anterior.
      Datos de autenticación 3DS como resultado de una transacción anterior realizada por el mismo titular de tarjeta con el mismo medio de pago:
      • método de autenticación (frictionless o challenge)
      • fecha y hora de la autenticación 3DS
      • datos de autenticación (número de transacción ACS)
  • Datos del vendedor

    1. Información sobre el riesgo del vendedor.

      Datos que solo puede verificar el vendedor a partir del detalle del pedido y que se utilizan para el análisis de riesgos:

      • entrega en la dirección de facturación
      • entrega en tienda
      • dirección e-mail de entrega
      • periodo de entrega
      • compra de tarjeta regalo
      • productos disponibles o pedido previo
      • Primer pedido o no
      • calificación del análisis de riesgo efectuado por el vendedor
    2. Información sobre la cuenta de cliente del titular.

      Información relacionada con los detalles o el historial de la cuenta de cliente en el sitio del comerciante:

      • fecha de creación
      • fecha de modificación
      • fecha del último cambio de contraseña
      • número de transacciones
      • actividad sospechosa
      • etc.
  • Datos sobre el equipo

    Información específica del equipo (navegador/aplicación de iOS/aplicación de Android):
    • dirección IP
    • idioma
    • tamaño de la pantalla
    • zona horaria
    • User-Agent
    • encabezados HTTP
    • modelo del equipo
    • nombre del SO
    • versión del SO
    • fecha y hora
    • resolución de la pantalla
    • coordenadas de GPS

    En función del SO, se podrán explotar varias decenas de datos de información (IMEI, fuentes, Subscriber ID, etc.)

Exenciones y preferencia del vendedor

La directiva DSP2 prevé casos para los cuales la interacción con el comprador (el challenge) no será necesaria:

  • las transacciones de monto bajo (< 30€),
  • las transacciones de bajo riesgo,
  • los pagos en vencimientos *,
  • los pagos recurrentes con tiempo limitado, donde el monto de los vencimientos no es variable *.

*se requerirá una autenticación fuerte durante el primer vencimiento y corresponderá al monto total de los vencimientos.

Sin embargo, el emisor podrá solicitar una autenticación fuerte si se realizaron 5 o más transacciones con el mismo medio de pago en un periodo de 24 horas, o si el total de las transacciones exentas alcanza un monto de 100 €.

Con 3DS2, ya no será posible desactivar 3DS. Sin embargo, el vendedor podrá pedir una exención en su solicitud de pago (se denomina "preferencia del vendedor").

En ese caso, si la solicitud es aceptada por el emisor, el comprador no tendrá que autenticarse (sin challenge), pero el vendedor asumirá la responsabilidad en caso de impago (no hay transferencia de responsabilidad al emisor).

En todos los casos, el banco emisor determinará si la transacción debe ser objeto de una exención.