3DSecure es un protocolo de seguridad que se creó para generar mayor protección en las transacciones online con tarjetas. Actualmente es utilizada por proveedores como Visa, Mastercard JCB International, American Express.
La trampa fundamental es que a costa de implementar una capa más de verificación, el riesgo lo asume planamente el comprador.
Además, se exime tanto al operador como al comercio de cualquier indemnización.
Esta solución, surgió como respuesta a los fraudes con tarjetas y TPV online. En los fraudes por lo general, el comerciante o proveedor de un producto o servicio acababa perdiendo la cantidad reclamada.
En la mayoría de las operaciones fraudulentas, las tarjetas utilizadas son aquellas que han sido robadas o perdidas. Es entonces cuando se hace necesario verificar en el momento de la transacción si quien la está usando es su verdadero dueño.
3DS como protocolo, garantiza este proceso. ya que puede hacer una serie de preguntas para que el comprador certifique que se trata del propietario de la tarjeta.
Contenidos
Funcionamiento de 3D Secure
Desde el punto de vista de un cliente, el protocolo 3DSecure se nota en el instante en el que se realiza una compra. Solo hay que esperar a llegar al momento del pago.
Normalmente el TPV online pedirá los datos de la tarjeta:
- fecha de caducidad
- número de tarjeta
- número de seguridad (CVV, Card Verification Value) que suelen ser los típicos tres dígitos ubicados en la parte trasera de la tarjeta.
Si el TPV online y la tarjeta utilizan 3DS, en el siguiente paso aparece una nueva página que solicita un código.
Esta página tiene varias opciones según el tipo de implementación de cada banco:
– Un mensaje de texto al teléfono móvil que tiene el banco.
– Una tarjeta de coordenadas.
– La clave secreta que se utiliza con la tarjeta (PIN).
– Interacción con la APP como en el caso del banco N26
La implementación de este protocolo funciona como una nueva «capa de protección».
Es otro obstáculo más para evitar que se realicen transacciones fraudulentas.
Efectos para los negocios
El uso de 3DS es una ayuda para los comerciantes y dueños de tiendas: por el hecho de evitar transacciones fraudulentas y porque los exime de cualquier responsabilidad en fraudes de uso no autorizado
Si la transacción ha usado 3DS la responsabilidad es del propietario de la tarjeta. Ya que ha sido él quien ha extraviado alguno de los códigos únicos.
Anteriormente cuando se realizaba una operación de este tipo, el comercio debía realizar una devolución íntegra.
Quizás hemos enviado ya la mercancía y no hay vuelta atrás para recuperarla.
La desventaja es la necesidad de modificar las implemtaciones de TPV y la caida de conversión.
Problemas presentados con la caída de conversión
Por ejemplo, es posible que en la verificación se envíe un mensaje de texto al teléfono del comprador pero este se encuentre en una zona con poca recepción de señal o no tenga batería.
Este paso adicional presenta una caída de conversión en la venta, que de otro modo habríamos cobrado ya.
También debemos tener en cuenta que la página emergente en la que se deben incluir los datos puede generar rechazo.
Existen otros sistemas de análisis de fraude que evitan la incomodidad de 3DS, como son Radar de Stripe. O fraud analysis de Shopify
Que es PSD2 3DSecure v2
Pese a ser un gran avance en cuanto seguridad bancaria y para los pagos online, 3DSSecure tenía sus deficiencias. Sobretodo ligadas a la forma de realizar las autenticaciones, así como a la experiencia del usuario
Las deficiencias fueron considerándose, hasta que EMVCo, una organización formada por seis grandes redes de tarjetas, lanzó recientemente una nueva versión de 3D Secure.
Su nombre el 3DSecure2 o 3DSecure V2, aunque admite otras denominaciones similares. El objetivo de este nuevo protocolo es abordar los mismos problemas de 3DSecure, pero mejorando las deficiencias que esta había dejado tras su implementación hace ya años. En Europa, 3DSV2 fue presentado desde el 29 de mayo de 2018. Se supone que iniciaría su funcionamiento en septiembre de 2019 pero se retrasó.
El objetivo de este nuevo protocolo es abordar los mismos problemas de 3DSecure, pero atendiendo también los fallos que este había dejado tras su implementación hace ya varios años.
En Europa, 3DSV2 fue presentado el 29 de mayo de 2018, pero empezó a funcionar en septiembre de 2019.
Diferencias entre 3DSecure y 3DSecureV2
3DSecureV2 aporta mucha mayor seguridad, pero también mejora el nivel de conversión de ventas que, con el método anterior, había disminuido.
Al saltar páginas emergentes, se confundía a veces a los usuarios, lo que llevaba a que estos a veces cancelaban la venta al pensar que serían estafados.
Este problema de redirección fue eliminado.
La nueva versión de este protocolo es mucha más sencilla y cómoda.
La seguridad es el segundo punto de relevancia que trae 3DSecureV2.
El protocolo se comunica directamente con el banco propietario de la tarjeta del usuario.
Se le envía información relacionada con la compra, como por ejemplo el historial de las operaciones, la dirección del envío que dio e usuario, el ID de dispositivo del cliente, entre otros.
La entidad financiera realizará un análisis sobre el tipo de riesgo que esto supone y podrá permitir o denegar la transacción.
En caso de que la considere aceptable o fraudulenta.
De forma rápida y sin interrumpir la experiencia de navegación del usuario.
¿Por qué se utiliza 3DSecure?
El principal motivo de cambio a 3DSecure en sus dos versiones es evitar el fraude. Antes de su implementación, muchas denuncias por operaciones no realizadas por el cliente titular de la tarjeta acababan con el comercio como perjudiciado y como responsable del riesgo. Muy listos los bancos y las tarjetas!!
Esta fue la razón de crear protocolos que protegieran a los comercios, dado que estos son los principales afectados al tener que realizar las devoluciones.
Proveedores implementados
Es necesario contar con varios proveedores para que el sistema funcione, a continuación unos cuantos.
Proveedor de ACS
Este es un tipo de servidor que controla el acceso. Se implementa por los bancos para controlar el proceso de la operación.
Proveedor de MPI
Son las siglas de Merchant Plugin, es el proveedor que utiliza la tienda durante la transacción para verificar todo el proceso.
Sistemas de protección utilizados por los proveedores bajo 3DS.
Además del 3DSecure, las empresas proveedoras de tarjetas han desarrollado sistemas de protección que añaden mayor seguridad a cada transacción.
Cada una trabaja de ellos trabaja con el protocolo 3DSecure y, a partir de la implementación de su versión y con su marca.
Los sistemas son los siguientes:
Verified by Visa
Es método de protección que se emplea en las tarjetas Visa bajo el protocolo 3DS. Añade mayor seguridad en las compras online, dado que Visa se encarga de verificar la identidad de quien realiza la operación.
Mastercard Secure Code
Es un código secreto que protege a los usuarios al momento de realizar una compra. Solo puede ser visible por el propietario de la cuenta y el banco, no por la tienda con la cual se realiza la compra. Suele ser de tres dígitos. Es posible solicitar este código en medio del pago.
American Express Safekey
Este sistema trabaja bajo 3DSecure, añadiendo más seguridad a las compras realizadas con tarjetas American Express. Es un paso
adicional para asegurarse de que el usuario que realiza la compra es precisamente el propietario del mismo.
0 comentarios