3DS2: O novo padrão de autenticação

Para combater a fraude em transações de e-commerce, a diretiva europeia DSP2 implementou um novo método de autenticação alta (SCA ou Strong Customer Authentication) obrigatório a partir do dia 14 de setembro de 2019.

SCA exige que dois dos três diferentes fatores seguintes de autenticação sejam entregues:
  • Posse: dado somente possuído pelo cliente (como um código de uso único),
  • Conhecimento: dado somente conhecido pelo cliente (como uma senha),
  • Característica pessoal : elemento biométrico que caracteriza o cliente (como uma digital, um reconhecimento vocal ou facial).

SCA é somente requerido quando o emissor e o adquirente estão ambos localizados no Espaço Econômico Europeu (EEE).

SCA não se aplica às transações realizadas com um cartão emitido no EEE, ou quando o Estabelecimento comercial contratou um adquirente fora do EEE, mesmo se o cartão foi emitido no EEE.

Para responder a esta exigência, uma nova versão do protocolo 3D Secure foi elaborada: 3D Secure 2 (3DS2).

Esta nova versão aumenta a segurança dos pagamentos bem como a experiência usuário: baseada em uma análise de riscos inteligente e dinâmica, permite reduzir a quantidade de desistência introduzidos por 3DS1, diminuindo as interações com o comprador.

Para isso, um maior número de informações (quase 10 vezes mais que com a versão anterior 3DS1) será usado pelo emissor na hora de avaliar o risco da transação. Se o emissor avalia que o nível de risco da transação for baixo, a autenticação do comprador será realizada sem interação da sua parte. Chama-se então de autenticação "Frictionless".

No caso do emissor avaliar um risco alto para a transação, uma interação do comprador será necessária. Chama-se de "Challenge". O challenge consiste em apresentar ao comprador pelo menos dois dos três fatores de autenticação requerido pelo SCA.

Outras novidades:
  • Esta nova versão suporta os novos canais de pagamento como os pagamentos in-app e os pagamentos via mobile
  • Autenticação em modo pop-in substitui o redirecionamento para a página do ACS.

Mais informações trocadas entre os diferentes atores

Com 3DS1, somente as seguintes informações eram usadas para permitir a autenticação do portador:

  • Número de contrato (MID) do Estabelecimento comercial

  • BIN do adquirente

  • URL do servidor de autenticação

  • Mensagens (VEReq,VERes, PAReq, PARes)

  • Número de cartão do portador

  • User-Agent do navegador do comprador.

Com 3DS2, há 10 vezes mais dados compartilhados que podem ser classificados em 4 categorias:
  • Transação & Dados cliente

    Contém informações obrigatórias ou opcionais coletadas quando o cliente navegou no site do Estabelecimento comercial e no detalhe da transação:

    • número de cartão e data de vencimento
    • endereço de faturamento
    • endereço de entrega
    • nome do Estabelecimento comercial
    • URL do site do Estabelecimento comercial
    • país
    • Código MCC
    • BIN adquirente
    • MID
    • valor
    • moeda
    • tipo de transação
  • Dados de autenticação

    1. Autenticação no site do Estabelecimento comercial.
      Afeta a autenticação (não 3DS) do comprador para acessar ao site do Estabelecimento comercial:
      • método de autenticação
      • data e hora de conexão
      • dados de autenticação

    2. Autenticação alta anterior.
      Dados de autenticação 3DS provenientes de uma transação anterior pelo mesmo portador de cartão com o mesmo meio de pagamento:
      • método de autenticação (frictionless ou challenge)
      • data e hora da autenticação 3DS
      • dados de autenticação (número de transação ACS)
  • Dados do Estabelecimento comercial

    1. Informações sobre o risco Estabelecimento comercial.

      Dados que somente o Estabelecimento comercial pode verificar a partir do detalhe do pedido, e usados para a análise de riscos:

      • entrega no endereço de faturamento
      • entrega na loja
      • endereço e-mail de entrega
      • período de entrega
      • compra de cartão-presente
      • produtos disponíveis ou pré pedido
      • primeiro pedido ou não
      • valor da análise de risco realizada pelo estabelecimento comercial
    2. Informações na conta cliente do portador.

      Informações relativas aos detalhes ou ao histórico da conta cliente no site do estabelecimento comercial:

      • data de criação
      • data de modificação
      • data da última alteração de senha
      • quantidade de transações
      • atividade suspeita
      • etc...
  • Dados sobre o equipamento

    Informações específicas ao equipamento (navegador / aplicação nativa iOS / aplicação nativo Android):
    • endereço IP
    • idioma
    • tamanho da tela
    • fuso horário
    • User-Agent
    • cabeçalhos HTTP
    • modelo do equipamento
    • nome do OS
    • versão do OS
    • data e hora
    • resolução da tela
    • dados GPS

    Dezenas de informações poderão ser utilizadas em função do OS (IMEI, fonts, Subscriber ID etc..)

Isenção e preferência do Estabelecimento comercial

A DSP2 considera que em certos casos a interação com o comprador (o challenge) não será necessário:

  • as transações de baixo valor ( < 30 BRL ),
  • as transações de baixo risco,
  • os pagamentos parcelados *,
  • os pagamentos recorrentes limitados no tempo, com valores de parcelas não variáveis *.

*Uma autenticação alta será requerida na primeira parcela e afetará o valor total das parcelas.

No entanto, o emissor poderá solicitar uma autenticação alta se 5 transações ou mais foram realizadas com o mesmo meio de pagamento em um período de 24 horas, ou se o total das transações isentas atingir um valor de 100 BRL.

Com 3DS2, não será mais possível desativar o 3DS. No entanto, o estabelecimento comercial poderá solicitar uma isenção na sua solicitação de pagamento (chama-se de "preferência do Estabelecimento comercial").

Neste caso, se a solicitação for aceita pelo emissor, o comprador não precisará autenticar-se (sem challenge) mas o Estabelecimento comercial será responsável pela finalização do pagamento (sem transferência de responsabilidade ao emissor).

Em todo caso, o banco emissor avaliará sozinho se a transação será sujeita a uma isenção ou não.