3DS2: la nueva norma de autenticación

Para luchar contra el número creciente de delitos de fraude en las transacciones de e-commerce se ha desarrollado una nueva versión del protocolo 3D Secure: 3D Secure 2 (3DS2).

Esta nueva versión aumenta la seguridad de los pagos, pero también la experiencia del usuario: con base en un análisis de riesgos inteligente y dinámico, permite reducir el número de abandonos presentado por 3DS1, reduciendo las interacciones con el comprador.

Para eso, el emisor utilizará una mayor cantidad de información (cerca de 10 veces más que con la versión 3DS1 anterior) para evaluar el riesgo de la transacción.

Si el emisor determina que el nivel de riesgo de la transacción es bajo, la autenticación del comprador se realizará sin interacción de su parte. Se denomina autenticación "Frictionless".

En caso en que el emisor evalúe un riesgo alto para la transacción, será necesaria una interacción del comprador. Se denomina "Challenge".

Durante este proceso, el comprador deberá proporcionar al menos dos factores de autenticación. Este método de autenticación se conoce como SCA (Strong Customer Authentication).

El método SCA requiere que se proporcionen dos de los tres factores diferentes de autenticación:
  • Posesión: un objeto que el cliente posee (como el teléfono para el pago e-commerce o la tarjeta bancaria para el pago en la tienda),
  • Conocimiento: dato que solo conoce el cliente (como una contraseña),
  • Característica personal: elemento biométrico que caracteriza al cliente (como una huella digital, reconocimiento de voz o reconocimiento facial).

El SCA solo se requiere cuando el emisor y el adquirente se encuentran dentro del Espacio Económico Europeo (EEE).

El SCA no es obligatorio en las transacciones realizadas con una tarjeta emitida fuera del EEE, ni en el caso en que el vendedor haya suscrito una afiliación con un adquirente fuera del EEE, aún si la tarjeta es emitida dentro del EEE (caso denominado “one-leg”).

El establecimiento de método de autentificación denominada fuerte con doble factor se despliega progresivamente por los establecimientos emisores de tarjeta en el mundo.

Otras novedades:
  • la autenticación en modo pop-in reemplaza la redirección hacia la página del ACS,
  • esta nueva versión es mejor adaptada por los nuevos canales de pago como los pagos en aplicación y los pagos móviles

Más información intercambiada entre los diferentes actores

Con 3DS1, solo la siguiente información era utilizada para permitir la autenticación del portador:

  • Número de afiliación del vendedor (MID)

  • BIN del comprador

  • URL del servidor de autenticación

  • Mensajes (VEReq, VERes, PAReq, PARes)

  • Número de tarjeta del titular

  • User Agent del navegador del comprador

Con 3DS2, los datos compartidos son 10 veces más numerosos y pueden ser clasificados en 4 categorías:
  • Transacción y datos del cliente

    Contienen información obligatoria u opcional recolectada del proceso del cliente en el sitio del vendedor y del detalle de la transacción:

    • número de tarjeta y fecha de vencimiento
    • dirección de facturación
    • dirección de entrega
    • nombre del vendedor
    • URL del sitio del vendedor
    • país
    • código MCC
    • BIN Adquirente
    • MID
    • monto
    • moneda
    • tipo de transacción
  • Datos del vendedor

    1. Información sobre el riesgo del vendedor.

      Datos que solo puede verificar el vendedor a partir del detalle del pedido y que se utilizan para el análisis de riesgos:

      • entrega en la dirección de facturación
      • entrega en tienda
      • dirección e-mail de entrega
      • periodo de entrega
      • compra de tarjeta regalo
      • productos disponibles o pedido previo
      • Primer pedido o no
      • calificación del análisis de riesgo efectuado por el vendedor
    2. Información sobre la cuenta de cliente del titular.

      Información relacionada con los detalles o el historial de la cuenta de cliente en el sitio del vendedor:

      • fecha de creación
      • fecha de modificación
      • fecha del último cambio de contraseña
      • número de transacciones
      • actividad sospechosa
      • etc.
  • Datos sobre el equipo

    Información específica del equipo (navegador/aplicación de iOS/aplicación de Android):
    • dirección IP
    • idioma
    • tamaño de la pantalla
    • zona horaria
    • User-Agent
    • encabezados HTTP
    • modelo del equipo
    • nombre del SO
    • versión del SO
    • fecha y hora
    • resolución de la pantalla
    • coordenadas de GPS

    En función del SO, se podrán explotar varias decenas de datos de información (IMEI, fuentes, Subscriber ID, etc.).

  • Datos de autenticación

    1. Autenticación en el sitio del vendedor.
      Corresponde a la autenticación (no 3DS) del comprador para acceder al sitio del vendedor:
      • método de autenticación
      • fecha y hora de conexión
      • datos de autenticación

    2. Autenticación fuerte anterior.
      Datos de autenticación 3DS como resultado de una transacción anterior realizada por el mismo titular de tarjeta con el mismo medio de pago:
      • método de autenticación (frictionless o challenge)
      • fecha y hora de la autenticación 3DS
      • datos de autenticación (número de transacción ACS)