3DS2: la norma de autenticación
Para luchar contra el número creciente de delitos de fraude en las transacciones de e-commerce se ha desarrollado una nueva versión del protocolo 3D Secure: 3D Secure 2 (3DS2).
Esta versión aumenta la seguridad de los pagos, pero también la experiencia del usuario con base en un análisis de riesgos inteligente y dinámico, permite reducir el número de abandonos presentado por la versión anterior 3DS1, reduciendo las interacciones con el comprador.
Para eso, el emisor utiliza una mayor cantidad de información (cerca de 10 veces más que con la versión anterior) para evaluar el riesgo de la transacción.
Si el emisor determina que el nivel de riesgo de la transacción es bajo, la autenticación del comprador se realizará sin interacción de su parte. Se denomina autenticación "Frictionless".
En caso en que el emisor evalúe un riesgo alto para la transacción, será necesaria una interacción del comprador. Se denomina "Challenge".
Durante este proceso, el comprador deberá proporcionar al menos dos factores de autenticación. Este método de autenticación se conoce como SCA (Strong Customer Authentication).
- Posesión: un objeto que el cliente posee (como el teléfono para el pago e-commerce o la tarjeta bancaria para el pago en la tienda),
- Conocimiento: dato que solo conoce el cliente (como una contraseña),
- Característica personal: elemento biométrico que caracteriza al cliente (como una huella digital, reconocimiento de voz o reconocimiento facial).
El SCA solo se requiere cuando el emisor y el adquirente se encuentran dentro del Espacio Económico Europeo (EEE).
El SCA no es obligatorio en las transacciones realizadas con una tarjeta emitida fuera del EEE, ni en el caso en que el vendedor haya suscrito una afiliación con un adquirente fuera del EEE, aún si la tarjeta es emitida dentro del EEE (caso denominado “one-leg”).
El establecimiento de método de autentificación denominada fuerte con doble factor se despliega progresivamente por los establecimientos emisores de tarjeta en el mundo.
- la autenticación en modo pop-in reemplaza la redirección hacia la página del ACS,
- la autenticación es mejor adaptada por los nuevos canales de pago como los pagos en aplicación y los pagos móviles
Más información intercambiada entre los diferentes actores
Transacción y datos del cliente
Contienen información obligatoria u opcional recolectada del proceso del cliente en el sitio del vendedor y del detalle de la transacción:
- número de tarjeta y fecha de vencimiento
- dirección de facturación
- dirección de entrega
- nombre del vendedor
- URL del sitio del vendedor
- país
- código MCC
- BIN Adquirente
- MID
- monto
- moneda
- tipo de transacción
Datos del vendedor
- Información sobre el riesgo del vendedor.
Datos que solo puede verificar el vendedor a partir del detalle del pedido y que se utilizan para el análisis de riesgos:
- entrega en la dirección de facturación
- entrega en tienda
- dirección e-mail de entrega
- periodo de entrega
- compra de tarjeta regalo
- productos disponibles o pedido previo
- Primer pedido o no
- calificación del análisis de riesgo efectuado por el vendedor
- Información sobre la cuenta de cliente del titular.
Información relacionada con los detalles o el historial de la cuenta de cliente en el sitio del vendedor:
- fecha de creación
- fecha de modificación
- fecha del último cambio de contraseña
- número de transacciones
- actividad sospechosa
- etc.
- Información sobre el riesgo del vendedor.
Datos sobre el equipo
Información específica del equipo (navegador/aplicación de iOS/aplicación de Android):- dirección IP
- idioma
- tamaño de la pantalla
- zona horaria
- User-Agent
- encabezados HTTP
- modelo del equipo
- nombre del SO
- versión del SO
- fecha y hora
- resolución de la pantalla
- coordenadas de GPS
En función del SO, se podrán explotar varias decenas de datos de información (IMEI, fuentes, Subscriber ID, etc.).
Datos de autenticación
- Autenticación en el sitio del vendedor. Corresponde a la autenticación (no 3DS) del comprador para acceder al sitio del vendedor:
- método de autenticación
- fecha y hora de conexión
- datos de autenticación
- Autenticación fuerte anterior. Datos de autenticación 3DS como resultado de una transacción anterior realizada por el mismo titular de tarjeta con el mismo medio de pago:
- método de autenticación (frictionless o challenge)
- fecha y hora de la autenticación 3DS
- datos de autenticación (número de transacción ACS)
- Autenticación en el sitio del vendedor.