1. Introducción
No hay nada peor que lidiar con el fraude en línea. Por eso, en Viveum. nos tomamos el fraude muy en serio. Nuestra solución Fraud Expert - Lista de verificación te ofrece más control e información para llevar tu estrategia de protección contra el fraude al siguiente nivel.
Con Fraud Expert - Lista de verificación, podrás:
- Crear reglas en una lista de comprobación que ha sido adaptada exclusivamente a las necesidades de tu negocio y de la industria. Estas reglas ayudan a identificar las transacciones potencialmente peligrosas. Una vez identificadas dichas transacciones, puedes decidir qué medida tomar.
- Aprovechar la inteligencia de datos para detectar amenazas de fraude en tiempo real.Obtener una segunda opinión experta para tomar decisiones más rápidas y precisas.
Lo mejor de nuestra solución automatizada es que ahorrarás un tiempo valioso, serás capaz de procesar la mayoría de las transacciones con rapidez y tendrás a todos tus clientes contentos.
2. Antes de empezar
Para empezar, asegúrate de que Fraud Detection Module Advanced Checklist (ID: CAP 1) esté activada. Para ello, ve a Configuration > Account > Your options en tu cuenta.
3. Administrar la configuración de 3DS
3-D Secure (3DS) es un protocolo antifraude diseñado para mejorar la seguridad tanto para ti como para tus clientes. Obtén más información sobre 3DS en nuestras Preguntas más frecuentes.
Cuando tu suscripción esté activa, podrás empezar la configuración de 3DS. Ve a Advanced > Fraud Detection. 3DS debe configurarse individualmente para cada método de pago. En 3-D Secure, haz clic en EDIT para elegir un método de pago.
Verás una lista de acciones para elegir.
En la siguiente tabla se ofrece una descripción general de las acciones enumeradas en la página y lo que significan.
| Acciones | Explicación |
|---|---|
|
Continuar/Interrumpir la transacción si un problema técnico impide la conexión al directorio American Express durante la comprobación del registro en 3D-Secure. |
Tal vez debas configurar esta opción si es posible conectar con el directorio de 3DS del plan/marca de tarjeta relacionado. |
|
Continuar/Interrumpir la transacción si el servicio de identificación del titular de la tarjeta no está disponible temporalmente.Y |
Tal vez debas configurar esta opción si la URL de verificación de 3DS no funciona. |
|
Activar/Desactivar 3D-Secure para todas las tarjetas.You can either activate or deactivate 3D-Secure for all cards.
|
Si decides desactivar 3DS, no se desplegará en absoluto. |
|
Activar/Desactivar 3D-Secure para todas las tarjetas. |
3DS se ejecutará según tu configuración antifraude y nuestra valoración de Fraud Expert (si está activada). |
4. Establecer las condiciones de las listas antifraude para comerciantes
Las listas antifraude para comerciantes son listas que permiten establecer condiciones para tus pagos. Por ejemplo, tal vez quieras bloquear las transacciones ilegítimas basándote en sus direcciones IP o incluso en el país de emisión de la tarjeta. En este capítulo, aprenderás a administrar estas listas.
Hay tres tipos de listas.
- Whitelists: permiten establecer condiciones para el momento en que una transacción debe ser aceptada.
- Blacklists: permiten establecer condiciones para el momento en que una transacción debe ser bloqueada.
- Greylists: permiten establecer condiciones para el momento en que una transacción debe ser revisada o ser sometida a otro proceso.
- Las listas
- como el modo en que las Merchant Fraud Rules se aplican a las Reglas antifraude para comerciantes
Solo entonces los cambios surtirán efecto
Ver las listas
Para ver las listas, ve a Advanced > Fraud Detection en tu cuenta. En Blacklist/Greylist/Whitelist, selecciona la opción que quieras configurar y haz clic en EDIT.
Administrar whitelists
Puedes usar una whitelist para establecer condiciones para el momento en que las transacciones deben ser aceptadas. Las whitelists ignoran la configuración de bloqueo (blacklist) y de revisión (greylist) si se detecta una coincidencia.
Dependiendo de la acción que decidas tomar, es posible que debas enviarnos algunos parámetros con la transacción a nuestra plataforma.
A continuación puedes ver los tipos de listas (es decir, las condiciones que puedes definir), lo que significan y los parámetros que se deben enviar.
| Tipo de lista | Descripción | Parámetros que se envían con la transacción |
|---|---|---|
|
IP address whitelist |
Nuestro sistema aceptará direcciones IP específicas o rangos de direcciones IP según el formato a.b.c-d.0-255, a.b.c-d.* o a.b.c.d-e. |
REMOTE_ADDR |
|
Unique customer identifier whitelist |
El identificador único de cliente es un identificador asignado al cliente, por ejemplo, nombre, número de cliente, dirección de correo electrónico. |
CUID |
|
Email whitelist |
Puede ser una dirección fija o un rango completo de direcciones (dominio), que incluya un asterisco (‘*’) delante del signo "@". |
|
Administrar blacklists
Las blacklists aplican la configuración de bloqueo o de revisión si se detecta una coincidencia
| Tipo de lista | Descripción | Parámetros que se envían con la transacción |
|---|---|---|
|
Card Blacklist |
Para añadir elementos es necesario el número completo de la tarjeta de crédito o la cuenta bancaria (para débitos directos). |
CARDNO |
|
BIN blacklist |
Un número de identificación bancaria está compuesto por los seis primeros dígitos de una tarjeta de crédito vinculados a una entidad emisora de un país específico. Mediante este número, se pueden bloquear todas las tarjetas de crédito que compartan el mismo código BIN. |
CARDNO |
|
IP blacklist |
Nuestro sistema aceptará direcciones IP específicas o rangos de direcciones IP según el formato a.b.c-d.0-255, a.b.c-d.* o a.b.c.d-e. |
REMOTE_ADDR |
|
E-mail blacklist |
Puede ser una dirección fija o un rango completo de direcciones (dominio), que incluya un asterisco (‘*’) delante del signo "@". |
|
|
Name blacklist |
Genera dos versiones del nombre: el “nombre limpio” y la “coincidencia parcial”. |
CN |
|
Phone blacklist |
Genera dos versiones del nombre: el “número limpio” y la “coincidencia parcial”. |
OWNERTELNO |
|
Generic blacklist |
Lista totalmente personalizable con todos los datos que se deseen. |
GENERIC_BL |
Administrar greylists
Las greylists permiten establecer condiciones para el momento en que una transacción debe ser revisada si se detecta una coincidencia.
| Tipo de lista | Descripción | Parámetros que se envían con la transacción |
|---|---|---|
|
Card greylist |
Para añadir elementos es necesario el número completo de la tarjeta de crédito o la cuenta bancaria (para débitos directos). |
CARDNO |
|
BIN greylist |
Un número de identificación bancaria está compuesto por los seis primeros dígitos de una tarjeta de crédito vinculados a una entidad emisora de un país específico. Mediante este número, se pueden bloquear todas las tarjetas de crédito que compartan el mismo código BIN. |
CARDNO |
|
IP greylist |
Nuestro sistema aceptará direcciones IP específicas o rangos de direcciones IP según el formato a.b.c-d.0-255, a.b.c-d.* o a.b.c.d-e. |
REMOTE_ADDR |
|
E-mail greylist |
Puede ser una dirección fija o un rango completo de direcciones (dominio), que incluya un asterisco (‘*’) delante del signo "@". |
|
|
Name greylist |
Genera dos versiones del nombre: el “nombre limpio” y la “coincidencia parcial”. |
CN |
|
Phone greylist |
Genera dos versiones del nombre: el “número limpio” y la “coincidencia parcial”. |
OWNERTELNO |
|
Generic greylist |
Lista totalmente personalizable con todos los datos que se deseen. |
GENERIC_BL |
Añadir elementos nuevos a una lista
Si quieres añadir elementos a uno de los tipos de lista anteriores, selecciona el tipo de lista correspondiente y haz clic en EDIT.
Para añadir elementos a una lista.
-
Introduce los datos en Enter a new item.
-
Selecciona Actual Fraud/Commercial Dispute/Suspicion of Fraud.
-
Opcional: si dispones de información adicional, añádela en el campo Comment.
Administrar elementos existentes de una lista
Si desea administrar los elementos de una lista, puede elegir las siguientes opciones:
- Delete: quita uno o varios elementos seleccionando lo que quieras eliminar
- Fraud type: modifica la entrada original a FRA (fraude real)/COM (disputa comercial)/SOF (sospecha de fraude).
- Comment: elimina o cambia el comentario original al hacer clic en “…”
Nuestra plataforma también permite incluir en esta lista las transacciones ya procesadas.
Para ello, sigue estos pasos:
- Inicia sesión en el Back Office. Ve a Operaciones > Ver transacciones y busca la transacción
- En la tabla que muestra todas las operaciones de mantenimiento de la transacción, haz clic en cualquier botón de la columna Pay ID
- En la página de resumen de las operaciones de mantenimiento, haz clic en el botón “DISPUTA”
- En la tabla, selecciona “Añadir a la lista negra” / “Añadir a la lista gris” para cualquiera de los parámetros de transacción seleccionables. Luego marca la transacción como "Fraude real” / “Disputa comercial" / "Sospecha de fraude". Confirma la selección haciendo clic en el botón "Guardar"
5. Configurar las listas antifraude para comerciantes
El principio básico de una lista de comprobación antifraude es emparejar cada transacción con una lista de criterios según distintos parámetros y su puntuación respectiva en la valoración de riesgo. Esto significa que, en función de cada opción de configuración, puedes definir que se aplique una de las siguientes acciones:
-
None (se ignoran los criterios para la valoración de fraude): se acepta la transacción, siempre que el comprador o el emisor no la rechace por cualquier otro motivo.
-
Review: se realizará una comprobación de 3DS. Si la comprobación no obtiene un resultado positivo, se bloquea la transacción. Si la comprobación obtiene un resultado positivo, se procede a la autorización.
-
Block: se bloquea la transacción.
En este capítulo aprenderás a establecer y administrar esta lista de comprobación en tu cuenta.
Para ver tu lista de comprobación, ve a Advanced > Fraud Detection en tu cuenta. En Fraud detection activation and configuration, selecciona un método de pago que quieras configurar y haz clic en EDIT.
En la página verás criterios que se pueden establecer según tus preferencias. Para cada criterio es necesario definir una o varias de las siguientes opciones:
- None (se ignoran los criterios para la valoración de fraude).
- Review: se realizará una comprobación de 3DS.
- Override blocking / review
- Bloquear
- Administración de Whitelist/greylist/blacklist
- Editar límites de uso
Dependiendo de los criterios que quieras definir, es posible que debas enviarnos algunos parámetros con la transacción a nuestra plataforma. A continuación puedes ver un resumen de los criterios más importantes, sus respectivos parámetros y nuestros posibles ajustes definibles para optimizar de forma eficaz tu protección contra el fraude.
| Category | Criteria | Acciones | Parámetro(s) que se debe(n) enviar |
|---|---|---|---|
|
Datos de confianza/listas blancas |
3-D Secure identificación correcta |
· Bloquear / Review / · Editar lista blanca: CUI · Editar lista blanca: Correo electrónico |
- |
|
Identificación de lista blanca de CUI |
CUID |
||
|
Correo electrónico en lista blanca |
|
||
|
Datos de tarjeta |
País de la tarjeta riesgo elevado / riesgo medio |
· Review |
CARDNO |
|
Cantidad máxima tarjeta umbral alto / umbral medio |
· Bloquear / Review · Editar límites de uso |
CARDNO |
|
|
Datos de IP |
País de la IP riesgo elevado / riesgo medio |
· Configurar grupos de países de IP · Bloquear / Review |
REMOTE_ADDR |
|
Proxy anónimo |
Bloquear / Review |
REMOTE_ADDR |
|
|
País de IP <> País de tarjeta de crédito |
Bloquear / Review |
REMOTE_ADDR / CARDNO |
|
|
Combinación de país de tarjeta y de IP no autoriza riesgo elevado / riesgo medio |
· editar pares de país IP/CC · Bloquear / Review |
REMOTE_ADDR |
|
|
Utilización máxima/IP |
· Bloquear / Review · Editar límites de uso |
REMOTE_ADDR |
|
|
Datos de contacto |
Utilización máxima del correo electrónico |
· Bloquear / Review · Editar límites de uso |
REMORE_ADDR |
|
Datos de dirección |
Dirección de facturación distinta a la dirección |
Review |
ADDMATCH |
|
Varios datos |
Cantidad de países diferentes |
Bloquear / Review |
- |
|
Cantidad inferior al intervalo / superior al intervalo |
· Editar cantidad mín. máx. · Bloquear / Review |
AMOUNT |
|
|
Hora del pedido período de riesgo elevado / mperíodo de riesgo medio |
· Review · Editar periodos de riesgo |
- |
|
|
Datos en lista negra genérica / ista gris genérica |
· Bloquear / Review · Editar lista negra / lista gris: Datos genéricos |
GENERIC_BL |
|
|
Método de envío riesgo elevado / riesgo medio / Riesgo bajo |
· Bloquear / Review · Editar métodos de envío de riesgo |
ECOMSHIPMETHODTYPE |
|
|
Detalles del método de envío riesgo elevado / riesgo medio / Riesgo bajo |
· Bloquear / Review · Editar detalles del método de envío de riesgo |
ECOMSHIPMETHODDETAILS |
|
|
Categoría del producto riesgo elevado / riesgo medio / Riesgo bajo |
· Bloquear / Review · Editar categorías de productos de riesgo |
ITEMFDMPRODUCTCATEGx |
|
|
Tiempo de entrega |
· estrictamente menos de X horas · Bloquear / Review |
ECOM_SHIPMETHODSPEED |
|
|
Verificación automática de la dirección por parte |
resultado correcto / incorrecto |
Bloquear (revisar si está en venta directa) / Review |
OWNERZIP |
|
Comprobación del código de verificación de tarjeta |
result OK / KO |
Bloquear (revisar si está en venta directa) / Review |
CVC |
Configurar los datos de viaje (solo para el sector de aerolíneas)
Si en tu modelo de negocio se tratan datos de aerolíneas, también deberás enviar los siguientes parámetros junto con la transacción para tenerlos en cuenta.
| Parámetro(s) que se debe(n) enviar |
|---|
|
AIPASNAME |
|
AIEXTRAPASNAME*XX* |
|
AIORCITY*XX* |
|
AIORCITYL*XX* |
|
AIDESTCITY*XX* |
|
AIDESTCITYL*XX* |
|
AISTOPOV*XX* |
|
AIFLDATE*XX* |
Para obtener más información sobre estos parámetros, consulta nuestro Parameter Cookbook en tu cuenta. Ve a Support > Integration y User Manuals > Technical Guides para acceder.
Aplicar artículos de la lista de como reglas antifraude para comerciantes
Cuando hayas gestionado los artículos de tus lista negra/blanca/gris, deberás dar instrucciones a nuestra plataforma cuando se produzca una coincidencia.
Para ello, sigue estos pasos:
- Inicia sesión en el Back Office. Ve a Avanzado > Detección del fraude. Selecciona el método de pago para el que quieras configurar las Merchant Fraud Rules desde "Activación de la detección del fraude y configuración"
- Selecciona cualquiera de las opciones de la columna “Acción” para definir cómo debe repercutir una coincidencia en la puntuación de la transacción en cuestión
- Puedes editar la lista correspondiente al parámetro seleccionando la opción "Editar lista negra/blanca/gris: xxx” en la parte derecha del parámetro
Identificar el fraude con Device Fingerprinting
Device Fingerprinting es una tecnología que permite identificar un dispositivo de manera única durante una transacción. Esto significa que, si los estafadores utilizan el mismo dispositivo para diferentes transacciones, nuestro sistema podrá detectarlo y bloquear la transacción inmediatamente. Usamos la etiqueta de parámetro DEVICEID para identificar el dispositivo utilizado para cada transacción.
Dependiendo de la integración que tengas con nosotros, hay algunas acciones que puedes tomar para activar la tecnología Device Fingerprinting.
-
Si utilizas nuestra integración eCommerce, estos datos serán capturados en nuestra página de pago. De este modo, aplicaremos automáticamente el proceso por ti.
-
Si utilizas nuestra integración DirectLink o FlexCheckout, tendrás que añadir un código de seguimiento a tu integración. El código deberá añadirse en el encabezado de una de tus páginas web, que se cargará cuando el dispositivo del titular de la tarjeta visite el sitio. Recomendamos añadir el código en tu página de pago. El código está en HTML y consiste en CSS, Javascript y Flash:
<script type="text/javascript" asycn ="true" src ="https://elistva.c om/api/script.js? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"></script> <noscript><p style="background:url(//elistva.c om/api/assets/c lear.png? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX)"></p></noscript> <object type="application/x-shockwave-flash" data="//elistva.c om/api/udid.swf? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" width="1" height="1"> <param name="movie" value="//elistva.c om/api/udid.swf? aid=10376&sid=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX" /> </object>
Deberás actualizar XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX en el fragmento de código con un identificador de sesión único en formato MD5.
Este código HTML está asociado con un identificador de sesión temporal y aleatorio (SID) único, que es generado por ti tal y como se describe en la tabla que figura a continuación.
| Parámetro(s) que se debe(n) enviar | Descripción | Formato |
|---|---|---|
| sid |
El identificador único de una sesión de usuario. Necesitas actualizar el marcador “XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX” con un identificador de sesión de usuario único y aleatorio en formato MD5. Esto generará una cadena hash hexadecimal de 32 dígitos. Recomendamos hacer el hash de la concatenación PSPID y ORDERID utilizada para la transacción. |
Cadena hash hexadecimal de 32 dígitos |
| aid | El ID de la cuenta de aplicación del rastreador. | Valor fijo: 10376 |
Nota: esta opción solo funciona si Fraud Expert - Puntuación devuelve correctamente la categoría Fraud Expert Scoring (verde, naranja o roja). Puedes obtener más información sobre Fraud Expert a continuación.
6. Configuración de la administración de Fraud Expert
Fraud Expert es un sistema de aprendizaje automático que proporciona una segunda opinión experta a través de una capa adicional de seguridad. Utiliza los datos agrupados de las transacciones históricas de todos nuestros clientes en varias industrias y sectores.
Los datos se utilizan luego para crear predicciones de fraude precisas y evaluar la legitimidad de cada transacción que pasa por tu tienda online con estas predicciones. Esto significa que las transacciones no solo se verificarán con las reglas que hayas establecido manualmente, sino que también pasará por una barrera de protección adicional. Fraud Expert es adaptable. A medida que se realizan nuevas transacciones con clientes, Fraud Expert adapta continuamente sus predicciones y responde a las nuevas amenazas en el ecosistema de pagos.
¿Qué puede hacer exactamente por ti? Puede hacer lo siguiente:
- Detectar el fraude en una etapa temprana y garantizar que tu negocio esté protegido ante complejos ataques de fraude desde el principio.
- Eliminar los errores humanos e impedir el rechazo de pedidos válidos.
- Subcontratar la revisión manual de las transacciones dudosas, así como congelar las transacciones dudosas que tú mismo quieras revisar.
En este capítulo aprenderás a activar y configurar Fraud Expert.
Definir el sector de actividad y los modos de revisión
En primer lugar, deberás definir tu sector de actividad. Basándose en tu sector de actividad, nuestra herramienta Fraud Expert formulará reglas y criterios de puntuación predefinidos para tu sector. Ve a Advanced > Fraud Detection > Your Activity Sector. Haz clic en EDIT.
En la misma página, también puedes decidir si quieres automatizar o revisar manualmente tus transacciones. Puedes hacerlo para todos tus métodos de pago. Esto significa que si seleccionas:
- Automatic: las transacciones que pasen por tu tienda online serán liberadas o bloqueadas automáticamente.
- Manual Review: las transacciones que pasen por tu tienda online serán revisadas manualmente por expertos de Viveum.
Definir el comportamiento de Fraud Expert
Cuando hayas definido tu sector de actividad, podemos definir qué acciones se pueden llevar a cabo con Fraud Expert. Las transacciones que pasen por tu tienda online serán definidas por una Global Fraud Score.
Global Fraud Score es una puntuación (ya sea verde, naranja o roja) compuesta por la combinación de tu propia configuración (también conocida como lista de comprobación FDMA) que hayas establecido en el capítulo 4 y Fraud Expert. Teniendo en cuenta estos dos factores, se crea una Global Fraud Score para cada transacción que pase por tu tienda online.
- Verde: se considera que las transacciones con una puntuación verde tienen un riesgo de fraude bajo. Se consideran seguras y serán aceptadas siempre que el comprador/emisor no las rechace por cualquier otro motivo.
- Naranja: se considera que las transacciones con una puntuación naranja tienen un riesgo de fraude moderado. Esto significa que se han activado algunas reglas y la transacción podría ser sospechosa. Recomendamos verificarlas una vez más antes de despachar sus servicios/bienes al cliente.
- Roja: se considera que las transacciones con una puntuación roja tienen un riesgo de fraude elevado y se bloquearán.
Para empezar, ve a Advanced > Fraud Detection. Selecciona un método de pago que quieras configurar y haz clic en EDIT.
Una vez seleccionado el método de pago, verás dos pestañas en la parte superior de la pantalla. Selecciona la pestaña Fraud Expert, tal y como se muestra en la imagen.
En la página, verás tu matriz de Global Fraud Score. Puedes definir qué acción o comportamiento te gustaría aplicar según la Global Fraud Score de tus transacciones.
Por ejemplo, una transacción puede recibir una puntuación verde (riesgo de fraude bajo) según tu configuración de FDMA (tal como la definiste en el capítulo 4). Sin embargo, nuestro sistema Fraud Expert puede marcar la misma transacción como roja (riesgo de fraude elevado). Seguidamente, puedes decidir qué acción quieres tomar si se indica una puntuación de este tipo en una transacción.
Gestionar las transacciones naranjas
Como hemos indicado anteriormente, se considera que las transacciones que tienen una puntuación naranja tienen un riesgo de fraude moderado. Con la matriz Global Fraud Score, puedes “congelar” las transacciones naranjas para revisarlas manualmente. Esto significa que tienes la oportunidad de revisar las transacciones personalmente antes de tomar una decisión final.
Recomendación: recomendamos que no esperes para tomar una decisión. Si no haces nada después de que termine el período de congelación, el pago se procesará automáticamente.
Puedes decidir la duración de tu período de congelación yendo a la pestaña Fraud Expert de cada método de pago.
Cuando hayas decidido un período de congelación, puedes ver todas las transacciones naranjas afectadas en Operations > View Transactions. Selecciona ADVANCED SEARCH CRITERIA. Busca las transacciones con el filtro Risk Category y Fraud Expert Manual Review.
En la lista de transacciones que se muestra, verás símbolos bajo la columna Global Fraud Score.
- Símbolo de una mano: haz clic en este símbolo para liberar o bloquear las transacciones.
- Símbolo de un reloj de arena: las transacciones con este símbolo están a la espera de ser liberadas o bloqueadas en base a los resultados de nuestra revisión con Fraud Expert.
Preguntas más frecuentes
3DS v2
Desde el 1 de enero 2021 en Europa y desde el 14 de septiembre 2021 en UK, las reglas de autenticación sólida de clientes (SCA) entrarán en vigor para todos los pagos digitales en Europa. En este momento, los bancos, los proveedores de servicios de pago y las redes de tarjetas están trabajando en soluciones técnicas que cumplan los requisitos de la PSD2. Para poder aceptar pagos después del 1 de enero, deberá asegurarse de que estas soluciones técnicas funcionen en su tienda en línea.
Para poder aceptar pagos de las redes de tarjetas más importantes del mundo (Visa, Mastercard y Amex) deberá haber implementado la solución de seguridad 3D Secure en su tienda en línea. 3D Secure se utiliza desde 2001 para mejorar la seguridad de las transacciones con tarjetas en línea, pero ahora se ha desarrollado una nueva versión que facilitará los requisitos de la autenticación sólida de clientes de la PSD2.
Recomendamos el uso de 3D Secure, ya que ayuda a prevenir el fraude y también lo protege de cualquier responsabilidad en caso de fraude. A partir del 1 de enero 2021 también será un requisito para aceptar los pagos de las tarjetas principales.
La Segunda Directiva de Servicios de Pago de la UE (2015/2366 PSD2) entró en vigor en enero de 2018 con el objetivo de garantizar la protección del consumidor en todos los tipos de pagos, promoviendo un panorama de pagos aún más abierto y competitivo. Como proveedor de servicios de pago, nos enorgullecemos de haber ratificado su conformidad con la PSD2 desde el 29 de mayo de 2018.
Uno de los requisitos clave de la PSD2 se refiere a la autenticación sólida de clientes (SCA) que se exigirá en todas las transacciones electrónicas en la UE a partir de Desde el 1 de enero 2021 en Europa y desde el 14 de septiembre 2021 en UK. La SCA exigirá a los titulares de tarjetas que se autentiquen usando al menos DOS de los tres métodos siguientes:
- Algo que conozcan (PIN, contraseña, etc.)
- Algo que posean (lector de tarjetas, dispositivo móvil, etc.)
- Algo que los distinga (reconocimiento de voz, huella dactilar, etc.)
Esto significa que, en la práctica, sus clientes ya no podrán realizar un pago con tarjeta en línea utilizando únicamente la información de sus tarjetas. En su lugar, deberán, por ejemplo, verificar su identidad en una aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar la compra.
Aquí puede encontrar más información sobre la PSD2: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf
3DSv2 está invitando a los comerciantes a enviar información adicional (obligatorio / recomendado ..). Todo lo que necesitas saber, como comerciante se puede encontrar aquí:
COF en pocas palabras: el cliente inicia una primera transacción con un comerciante con 3D-S (CIT). Desde esta primera experiencia de transacción, el comerciante tiene la posibilidad de realizar transacciones recurrentes (suscripción o con aprobación del cliente -> tokenización) marcadas como transacciones MIT.
Las MIT son una de las excepciones previstas dentro de 3DSv2 si cumplen las siguientes condiciones acumulativas:
- transacciones posteriores de un CIT inicial
- El CIT se realizó con una autenticación obligatoria
- Se establece un enlace de ID dinámico entre el CIT inicial y las MIT posteriores.
Después de la autenticación inicial, se pueden aplicar exenciones/exclusiones:
- Ya sea por las exenciones legales recurrentes que se aplican a las suscripciones con una cantidad fija y una periodicidad (de hecho, se recomienda a los comerciantes que se autentiquen por la cantidad completa y que proporcionen detalles sobre la cantidad de pagos acordados con los titulares de tarjetas)
- O porque otro tipo de transacciones están excluidas del alcance de la SCA... a riesgo exclusivo del comerciante en caso de devolución de cargo (protección limitada a la cantidad autenticada) Y la necesidad de que el emisor acepte ese riesgo:
- COF no programado: el principio de las transacciones posteriores se acuerda con el titular de la tarjeta, pero el importe y/o la periodicidad no son fijos
- Prácticas de la industria: incrementales, ausencia, etc...
Para el período de transición, los esquemas han definido el ID predeterminado que se utilizará para las MIT posteriores creadas antes de la introducción de 3DS v2.
Como los emisores aún no nos han proporcionado datos fiables, no tenemos información al respecto. MasterCard actualmente está realizando encuestas en Europa, pero los resultados pueden variar significativamente según el país. El estado continuará evolucionando hasta septiembre. En enero de 2019, solo 2/3 de los emisores completaron la certificación EMVCo v2.1 y, dentro de esta lista de emisores, el soporte de exenciones fluctuó del 80 % (recurrente) al 50 % (lista blanca).
Si utiliza nuestra página de pago Viveum, Viveum se encargará de todos los campos obligatorios.
Si está integrado en DirectLink, lo que significa que tiene su propia página de pago, tenemos un ejemplo de Javascript disponible en la página de soporte para recopilar los datos obligatorios.
Para la recopilación de información opcional, consulte nuestra página de soporte para así saber cómo integrarse con Viveum.
A menos que la autenticación sea un paso obligatorio (es decir, en el caso de un registro de tarjeta o la primera transacción de una serie de transacciones recurrentes), los emisores pueden decidir aprobar o no la autenticación. En este escenario, el emisor será responsable en caso de anulación.
El valor Añadir tarjeta se refiere al caso en que un proveedor de cartera usa el protocolo 3DS para añadir una tarjeta a su cartera. Esto será implementado por el respectivo proveedor de cartera.
Secure v2 es una evolución de los programas 3D Secure v1 existentes: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy y JCB J/Secure. Se basa en una especificación redactada por EMVCo. EMVCo existe para facilitar la interoperabilidad mundial y la aceptación de transacciones de pago seguras. Está supervisado por las seis organizaciones miembros de EMVCo, American Express, Discover, JCB, Mastercard, UnionPay y Visa, y cuenta con el respaldo de decenas de bancos, comerciantes, procesadores, proveedores y otros actores de la industria que participan como asociados de EMVCo.
Una de las diferencias principales de la versión 2 es que el emisor puede usar muchos puntos de datos de la transacción para determinar el riesgo de la transacción (análisis basado en el riesgo). En las transacciones de bajo riesgo, los emisores no impugnarán la transacción (por ejemplo, no se enviará un SMS al titular de la tarjeta) aunque autentiquen la transacción (sin fricción). A la inversa, en transacciones de alto riesgo, los emisores requerirán que el titular de la tarjeta se autentique con un SMS o por medios biométrico (desafío).
Por separado, la autenticación sólida de clientes (SCA) requerida desde el 1 de enero 2021 en Europa y desde el 14 de septiembre 2021 en UK como se especifica en la PSD2 dará como resultado un aumento sustancial en el número de transacciones que requieren el uso de autenticación 3D Secure. El uso de 3D Secure v2 debería limitar tanto como sea posible el impacto potencial negativo en la conversión. En resumen, en 3D Secure v2:
- Deberá implementar 3D Secure antes del 1 de enero de 2021 si sus transacciones se ajustan a las pautas de la UE PSD2 SCA (en caso de que aún no sea compatible con 3D Secure)
- Se recomienda (y en algunos casos se requiere) que envíe puntos de datos adicionales para respaldar la evaluación de riesgos realizada por el emisor en caso de 3D Secure v2
- Es posible que deba actualizar su política de privacidad con respecto al RGPD, ya que podría estar compartiendo puntos de datos adicionales con terceros
- Conseguirá una experiencia de usuario mucho mejor para sus consumidores
La expectativa en el mercado es que un porcentaje sustancial de las transacciones que utilizan 3D Secure v2 seguirán el flujo sin fricción, y esto no requiere nada adicional del titular de la tarjeta en comparación con los flujos actuales de pago sin garantía 3D Secure. Esto significa que usted se beneficia de una mayor seguridad y responsabilidad provista por los programas 3D Secure, mientras que la conversión en su proceso de pago no debe verse afectada negativamente.
Esta situación solo es posible si está integrado únicamente a través de DirectLink (página propia del comerciante/FlexCheckOut), como en la página de pago de Viveum alojada, Viveum está recopilando los datos obligatorios.
En primer lugar, Viveum identificará el flujo que se dirigirá a v1 o v2 según los números de tarjeta.
Si la tarjeta es V2, existen los siguientes escenarios posibles:
Datos obligatorios:
- Si se transfieren los datos incorrectos, se bloquea la transacción
- Si faltan algunos datos, Viveum dirigirá su transacción al flujo v1
- Si no se transfieren datos, la transacción NO se bloquea, sino que se desvía al flujo v1
Datos opcionales o recomendados:
- si no se transfieren datos, la transacción NO se bloquea, pero no puede beneficiarse de la exención.
Como esto se define por la disposición de los compradores, la disponibilidad de 3DS v2 depende de los compradores individuales.
La mayoría de los compradores franceses adoptarán la autenticación sólida de clientes antes del 14 de septiembre de 2019, pero sin exenciones. La introducción de exenciones estará disponible para los compradores individuales entre octubre de 2019 y marzo de 2020.
Para facilitar las cosas tanto a los comerciantes como a los consumidores, la PSD2 permite algunas exenciones en la autenticación sólida de clientes. Lo que es importante tener en cuenta es que todas las transacciones que califican para una exención no serán exentas automáticamente. En el caso de transacciones con tarjeta, por ejemplo, es el banco emisor de la tarjeta el que decide si se aprueba o no una exención. Por lo tanto, incluso si una transacción califica para una exención, el cliente podría tener que realizar una autenticación sólida de cliente si el banco emisor de la tarjeta decide exigirla.
Nuestra plataforma de prueba está lista para realizar pruebas.
Nuestro simulador propone todos los diferentes escenarios. Se han proporcionado tarjetas de prueba y se encuentran en nuestra página de soporte, así como en el entorno de prueba (Configuración > Información técnica > Información de prueba).
Si quieres empezar a utilizar la versión 2 de 3DS (3DSv2) en producción, contáctenos.
Su certificado PCI es válido por un año y cumple con todas las condiciones de adquisición con cualquier banco adquiriente.
Estamos en el proceso de certificación de la v2.2 y estará en producción en el cuarto trimestre de 2020.
Además del lanzamiento de la plataforma en julio, hemos mejorado los detalles de nuestra descripción general de las transacciones. Las transacciones individuales accesibles ahora contienen información detallada sobre el flujo aplicado (3DS v1 o 3DS v2 heredado). Puede encontrar más información en nuestras notas de la versión 04.133 en Administración desde Soporte > Versiones de plataforma > Versión 04.133
Además, hemos añadido el nuevo parámetro VERSION_3DS a nuestra herramienta de informes electrónica.
Los valores posibles para VERSION_3DS son:
V1 (para 3DS v1)
V2C (para flujo Challenge 3DS v2)
V2F (para flujo Frictionless 3DS v2)
Para añadir este parámetro a las descargas de archivos de transacciones, siga las instrucciones que se muestran en este vídeo:
Las exclusiones son transacciones que están FUERA del alcance de los reglamentos PSD2 SCA:
- Pedidos por correo/pedidos por teléfono
- Viaje de ida: El PSP del beneficiario (también conocido como adquirente del comerciante) o el PSP del pagador (también conocido como emisor del método de pago del comprador) se encuentra fuera de la zona del EEE.
- Tarjetas prepago anónimas de hasta 150 € (artículo 63)
- MIT - transacciones iniciadas por el comerciante
Las exenciones son transacciones que están DENTRO del alcance de los reglamentos PSD2 SCA:
- Transacciones de bajo valor
- Suscripciones
- Análisis de riesgo
- Lista blanca
No y tampoco está previsto que lo haga.
En un caso así, Viveum gestionará automáticamente una reserva en 3-D Secure v1.
La Autoridad Bancaria Europea (ABE), así como los bancos nacionales de los respectivos países, acordaron establecer un período de gracia (como mínimo hasta marzo de 2020). Esto permitirá a todas las partes involucradas en el comercio electrónico tener la oportunidad de aclarar todos los detalles relativos a este nuevo reglamento. No obstante, recomendamos encarecidamente activar 3DS en su cuenta lo antes posible.
Dado que nuestro entorno de pruebas está listo, le recomendamos que comience a probar su integración lo antes posible.
Si el emisor está aplicando un nuevo conjunto de reglas PSD2, y 3DS no está activo en la cuenta del comerciante, la transacción será rechazada con un nuevo código de error-rechazo suave (soft decline). Por ello, es muy importante tener 3DS activo para cada marca de su(s) cuenta(s). Si estás integrado con Directlink (servidor a servidor), deberá implementar un mecanismo de rechazo suave (soft decline) end como se describe aquí.
Dado que 3DS v2 introduce autenticación sin fricción, el tiempo para procesar una transacción puede reducirse. Por el contrario, si se solicita una autenticación sólida de clientes, el tiempo de procesamiento puede ser más largo.
Desde el 1 de enero 2021 en Europa y desde el 14 de septiembre 2021 en UK, las reglas de autenticación sólida de clientes (SCA) entrarán en vigor para todos los pagos digitales en Europa. En este momento, los bancos, los proveedores de servicios de pago y las redes de tarjetas están trabajando en soluciones técnicas que cumplan los requisitos de la PSD2. Para poder aceptar pagos después del 1 de enero, deberá asegurarse de que estas soluciones técnicas funcionen en su tienda en línea.
Para poder aceptar pagos de las redes de tarjetas más importantes del mundo (Visa, Mastercard y Amex) deberá haber implementado la solución de seguridad 3D Secure en su tienda en línea. 3D Secure se utiliza desde 2001 para mejorar la seguridad de las transacciones con tarjetas en línea, pero ahora se ha desarrollado una nueva versión que facilitará los requisitos de la autenticación sólida de clientes de la PSD2.
Recomendamos el uso de 3D Secure, ya que ayuda a prevenir el fraude y también lo protege de cualquier responsabilidad en caso de fraude. A partir del 1 de enero 2021 también será un requisito para aceptar los pagos de las tarjetas principales.
La Segunda Directiva de Servicios de Pago de la UE (2015/2366 PSD2) entró en vigor en enero de 2018 con el objetivo de garantizar la protección del consumidor en todos los tipos de pagos, promoviendo un panorama de pagos aún más abierto y competitivo. Como proveedor de servicios de pago, nos enorgullecemos de haber ratificado su conformidad con la PSD2 desde el 29 de mayo de 2018.
Uno de los requisitos clave de la PSD2 se refiere a la autenticación sólida de clientes (SCA) que se exigirá en todas las transacciones electrónicas en la UE a partir de Desde el 1 de enero 2021 en Europa y desde el 14 de septiembre 2021 en UK. La SCA exigirá a los titulares de tarjetas que se autentiquen usando al menos DOS de los tres métodos siguientes:
- Algo que conozcan (PIN, contraseña, etc.)
- Algo que posean (lector de tarjetas, dispositivo móvil, etc.)
- Algo que los distinga (reconocimiento de voz, huella dactilar, etc.)
Esto significa que, en la práctica, sus clientes ya no podrán realizar un pago con tarjeta en línea utilizando únicamente la información de sus tarjetas. En su lugar, deberán, por ejemplo, verificar su identidad en una aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar la compra.
Aquí puede encontrar más información sobre la PSD2: https://www.europeanpaymentscouncil.eu/sites/default/files/infographic/2018-04/EPC_Infographic_PSD2_April%202018.pdf
3DSv2 está invitando a los comerciantes a enviar información adicional (obligatorio / recomendado ..). Todo lo que necesitas saber, como comerciante se puede encontrar aquí:
COF en pocas palabras: el cliente inicia una primera transacción con un comerciante con 3D-S (CIT). Desde esta primera experiencia de transacción, el comerciante tiene la posibilidad de realizar transacciones recurrentes (suscripción o con aprobación del cliente -> tokenización) marcadas como transacciones MIT.
Las MIT son una de las excepciones previstas dentro de 3DSv2 si cumplen las siguientes condiciones acumulativas:
- transacciones posteriores de un CIT inicial
- El CIT se realizó con una autenticación obligatoria
- Se establece un enlace de ID dinámico entre el CIT inicial y las MIT posteriores.
Después de la autenticación inicial, se pueden aplicar exenciones/exclusiones:
- Ya sea por las exenciones legales recurrentes que se aplican a las suscripciones con una cantidad fija y una periodicidad (de hecho, se recomienda a los comerciantes que se autentiquen por la cantidad completa y que proporcionen detalles sobre la cantidad de pagos acordados con los titulares de tarjetas)
- O porque otro tipo de transacciones están excluidas del alcance de la SCA... a riesgo exclusivo del comerciante en caso de devolución de cargo (protección limitada a la cantidad autenticada) Y la necesidad de que el emisor acepte ese riesgo:
- COF no programado: el principio de las transacciones posteriores se acuerda con el titular de la tarjeta, pero el importe y/o la periodicidad no son fijos
- Prácticas de la industria: incrementales, ausencia, etc...
Para el período de transición, los esquemas han definido el ID predeterminado que se utilizará para las MIT posteriores creadas antes de la introducción de 3DS v2.
Si utiliza nuestra página de pago Viveum, Viveum se encargará de todos los campos obligatorios.
Si está integrado en DirectLink, lo que significa que tiene su propia página de pago, tenemos un ejemplo de Javascript disponible en la página de soporte para recopilar los datos obligatorios.
Para la recopilación de información opcional, consulte nuestra página de soporte para así saber cómo integrarse con Viveum.
Secure v2 es una evolución de los programas 3D Secure v1 existentes: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy y JCB J/Secure. Se basa en una especificación redactada por EMVCo. EMVCo existe para facilitar la interoperabilidad mundial y la aceptación de transacciones de pago seguras. Está supervisado por las seis organizaciones miembros de EMVCo, American Express, Discover, JCB, Mastercard, UnionPay y Visa, y cuenta con el respaldo de decenas de bancos, comerciantes, procesadores, proveedores y otros actores de la industria que participan como asociados de EMVCo.
Una de las diferencias principales de la versión 2 es que el emisor puede usar muchos puntos de datos de la transacción para determinar el riesgo de la transacción (análisis basado en el riesgo). En las transacciones de bajo riesgo, los emisores no impugnarán la transacción (por ejemplo, no se enviará un SMS al titular de la tarjeta) aunque autentiquen la transacción (sin fricción). A la inversa, en transacciones de alto riesgo, los emisores requerirán que el titular de la tarjeta se autentique con un SMS o por medios biométrico (desafío).
Por separado, la autenticación sólida de clientes (SCA) requerida desde el 1 de enero 2021 en Europa y desde el 14 de septiembre 2021 en UK como se especifica en la PSD2 dará como resultado un aumento sustancial en el número de transacciones que requieren el uso de autenticación 3D Secure. El uso de 3D Secure v2 debería limitar tanto como sea posible el impacto potencial negativo en la conversión. En resumen, en 3D Secure v2:
- Deberá implementar 3D Secure antes del 1 de enero de 2021 si sus transacciones se ajustan a las pautas de la UE PSD2 SCA (en caso de que aún no sea compatible con 3D Secure)
- Se recomienda (y en algunos casos se requiere) que envíe puntos de datos adicionales para respaldar la evaluación de riesgos realizada por el emisor en caso de 3D Secure v2
- Es posible que deba actualizar su política de privacidad con respecto al RGPD, ya que podría estar compartiendo puntos de datos adicionales con terceros
- Conseguirá una experiencia de usuario mucho mejor para sus consumidores
La expectativa en el mercado es que un porcentaje sustancial de las transacciones que utilizan 3D Secure v2 seguirán el flujo sin fricción, y esto no requiere nada adicional del titular de la tarjeta en comparación con los flujos actuales de pago sin garantía 3D Secure. Esto significa que usted se beneficia de una mayor seguridad y responsabilidad provista por los programas 3D Secure, mientras que la conversión en su proceso de pago no debe verse afectada negativamente.
Esta situación solo es posible si está integrado únicamente a través de DirectLink (página propia del comerciante/FlexCheckOut), como en la página de pago de Viveum alojada, Viveum está recopilando los datos obligatorios.
En primer lugar, Viveum identificará el flujo que se dirigirá a v1 o v2 según los números de tarjeta.
Si la tarjeta es V2, existen los siguientes escenarios posibles:
Datos obligatorios:
- Si se transfieren los datos incorrectos, se bloquea la transacción
- Si faltan algunos datos, Viveum dirigirá su transacción al flujo v1
- Si no se transfieren datos, la transacción NO se bloquea, sino que se desvía al flujo v1
- si no se transfieren datos, la transacción NO se bloquea, pero no puede beneficiarse de la exención.
La mayoría de los compradores franceses adoptarán la autenticación sólida de clientes antes del 14 de septiembre de 2019, pero sin exenciones. La introducción de exenciones estará disponible para los compradores individuales entre octubre de 2019 y marzo de 2020.
Para facilitar las cosas tanto a los comerciantes como a los consumidores, la PSD2 permite algunas exenciones en la autenticación sólida de clientes. Lo que es importante tener en cuenta es que todas las transacciones que califican para una exención no serán exentas automáticamente. En el caso de transacciones con tarjeta, por ejemplo, es el banco emisor de la tarjeta el que decide si se aprueba o no una exención. Por lo tanto, incluso si una transacción califica para una exención, el cliente podría tener que realizar una autenticación sólida de cliente si el banco emisor de la tarjeta decide exigirla.
Nuestra plataforma de prueba está lista para realizar pruebas.
Nuestro simulador propone todos los diferentes escenarios. Se han proporcionado tarjetas de prueba y se encuentran en nuestra página de soporte, así como en el entorno de prueba (Configuración > Información técnica > Información de prueba).
Si quieres empezar a utilizar la versión 2 de 3DS (3DSv2) en producción, contáctenos.
Estamos en el proceso de certificación de la v2.2 y estará en producción en el cuarto trimestre de 2020.
V1 (para 3DS v1)
V2C (para flujo Challenge 3DS v2)
V2F (para flujo Frictionless 3DS v2)
Para añadir este parámetro a las descargas de archivos de transacciones, siga las instrucciones que se muestran en este vídeo:
- Pedidos por correo/pedidos por teléfono
- Viaje de ida: El PSP del beneficiario (también conocido como adquirente del comerciante) o el PSP del pagador (también conocido como emisor del método de pago del comprador) se encuentra fuera de la zona del EEE.
- Tarjetas prepago anónimas de hasta 150 € (artículo 63)
- MIT - transacciones iniciadas por el comerciante
Las exenciones son transacciones que están DENTRO del alcance de los reglamentos PSD2 SCA:
- Transacciones de bajo valor
- Suscripciones
- Análisis de riesgo
- Lista blanca
La Autoridad Bancaria Europea (ABE), así como los bancos nacionales de los respectivos países, acordaron establecer un período de gracia (como mínimo hasta marzo de 2020). Esto permitirá a todas las partes involucradas en el comercio electrónico tener la oportunidad de aclarar todos los detalles relativos a este nuevo reglamento. No obstante, recomendamos encarecidamente activar 3DS en su cuenta lo antes posible.
Dado que nuestro entorno de pruebas está listo, le recomendamos que comience a probar su integración lo antes posible.
Si el emisor está aplicando un nuevo conjunto de reglas PSD2, y 3DS no está activo en la cuenta del comerciante, la transacción será rechazada con un nuevo código de error-rechazo suave (soft decline). Por ello, es muy importante tener 3DS activo para cada marca de su(s) cuenta(s). Si estás integrado con Directlink (servidor a servidor), deberá implementar un mecanismo de rechazo suave (soft decline) end como se describe aquí.