Exclusividad: pago en línea con autenticación 3DSecure

El comercio de productos y servicios por Internet avanza batiendo récords cada mes. Entre los principales motivadores de esta modalidad de compra están la facilidad en buscar precios, la comodidad de realizarla desde cualquier lugar y la posibilidad de pago con tarjeta.

Para entender el proceso de autorización de una transacción de crédito o débito es necesario conocer a los jugadores involucrados en esa operación:

• Emisor de la tarjeta: generalmente un banco, es quien tiene la relación con el portador de la tarjeta, en el caso, el comprador.
• Adquirente: es la empresa que tiene la relación con el establecimiento comercial, como Cielo, Rede, Elavon, Global Payments, Getnet, Banrisul.
• Bandera: Son las empresas administradoras de las marcas Visa, Mastercard, Diners, etc.

En un pago por Internet, el siguiente flujo se realiza:

1. Los datos de la tarjeta son solicitados. Este punto es extremadamente importante y sensible. El comprador debe prestar atención a sitios no confiables que puedan recopilar sus datos de tarjeta para operaciones fraudulentas. Lo ideal es verificar si el sitio tiene el certificado PCI-DSS o si utiliza una plataforma de pago con ese certificado – como la plataforma PayZen, de Lyra;
2. Los datos de la tarjeta, así como el valor de la transacción, el código de establecimiento y otra información se envían al comprador;
3. La adquirente realiza una serie de comprobaciones y, tras la validación de la información, estos datos se transfieren al banco emisor;
4. El banco emisor revalida algunos datos y comprueba la disponibilidad de saldo / crédito para aprobar o no la transacción;
5. La respuesta (autorizada o no) se transmite al comprador para confirmar la compra, siguiendo el camino inverso (banco> adquirente> puerta de puerta> tienda> comprador).

Disminuyendo la tasa de chargeback y aumentando la rentabilidad

Uno de los grandes riesgos de las empresas que operan con ventas por Internet es no recibir el valor debido de una transacción previamente aprobada, pues el portador de la tarjeta no reconoció el lanzamiento en su factura y solicitó al banco, emisor de su tarjeta, valor. Este es el famoso proceso de chargeback, donde quien asume el perjuicio, por tratarse de una transacción de tarjeta no presente, es el establecimiento comercial.

En la mayoría de los casos, el comprador es honesto y ha sido víctima de robo de los datos de su tarjeta. Pero en ciertos casos, sobre todo cuando el producto adquirido es un servicio, el comprador puede actuar de mala fe y solicitar la cancelación de la compra después de tener consumido el servicio. En ambos, el perjuicio es asumido por el comerciante, lo que puede pesar en la rentabilidad de la tienda e incluso inviabilizar ciertos negocios cuando son muy expuestos a ese tipo de fraude.

Las tiendas pueden protegerse de este tipo de fraude gracias a un sistema de autenticación del portador de la tarjeta, llamado MPI (Merchant Plug In). El MPI debe ser certificado por Visa y Mastercard y se ejecuta antes del envío de la transacción al adquirente. Se permite la ejecución del proceso de autenticación denominado 3DSecure adoptado por Visa y Mastercard (denominado por estos respectivamente como Verified By Visa y Mastercard SecureCode).

Con el uso del proceso 3DSecure, realizado con un sistema MPI, el flujo transaccional cambia:

1. Los datos de la tarjeta se solicitan, según el flujo normal descrito anteriormente;
2. Antes de solicitar la autorización de la transacción al usuario, los datos de la tarjeta se reenvían al DS (Directory Server) de Visa o Mastercard que comprueba si el establecimiento y la tarjeta se registran en el programa de autenticación 3DSecure. El registro de la tarjeta del usuario y del establecimiento en el programa 3DSecure se conoce como enrollamiento y se realiza en dos etapas distintas e independientes, son ellas:

• El establecimiento se registrará en el DS de Visa y Mastercard por un proceso automático que implica la apertura de un canal de comunicación seguro y encriptado entre el MPI y el DS de VISA y de la Mastercard para el envío de un archivo específico llamado «MAF file «(Merchant. Authentication File). Este registro también podrá ser realizado por el adquirente a través de una herramienta específica proporcionada por Visa y Mastercard;
• La tarjeta del usuario será registrada a través del sitio del banco emisor oa través del propio ACS (Access Control Server) del banco. El proceso de inscripción de la tarjeta puede ser diferente para cada banco, ya que dependerá del ACS utilizado y de las reglas de seguridad predefinidas. Algunos bancos permiten el registro de la tarjeta en el momento de la autenticación del mismo, otros solicitan que el usuario realice el registro antes de un intento de compra.

3.  Si la condición anterior es satisfecha, Visa o Mastercard regresan al MPI utilizado por el sitio de la tienda la dirección electrónica (URL) del banco emisor de la tarjeta, donde el usuario será autenticado.

4.  El usuario se dirigirá al proceso de autenticación de su banco, que es realizado por una herramienta llamada ACS (Access Control Server). La autenticación del usuario puede ser diferente para cada banco, algunos bancos solicitan al usuario el número generado por su token físico, otros solicitan la respuesta a las preguntas previamente catastradas, y otros encaminan un código vía SMS al celular del comprador, código que será solicitado en la página de autenticación. Lo importante es que el comprador utiliza un proceso rápido y conocido por él, a menudo el mismo utilizado para acceder a su internet banking.

5.  En el caso de que se produzca un error en el registro, el MPI recibe del banco emisor un código (criptograma) indicando el éxito o no de la autenticación y otro código que indicará el cambio de responsabilidad (liability shift), es decir, de quién será el riesgo de la transacción.

• El liability shift dependerá del éxito o no de la autenticación, si la tarjeta es local o internacional, personal o corporativa y de las reglas definidas en el país por los bancos, adquirentes y banderas;
• En líneas generales, siempre que la autenticación se produzca con éxito, el código de liability shift indicará que el riesgo de la transacción será del banco emisor.

6.  El proceso de autenticación realizado por el MPI es totalmente independiente del proceso de autorización de la transacción. Esto significa que el comerciante puede utilizar un MPI independiente, siempre que esté homologado por Visa y Mastercard y que esté autorizado por uno o más compradores a realizar el proceso 3DSecure. La ventaja de utilizar una plataforma de pagos, que posee un MPI independiente, es el hecho de realizar una única integración entre ella y el sitio del establecimiento y tener el control para la presentación o no de transacciones que no han sido autenticadas con éxito. El riesgo y la tasa de pérdida de ventas pasan a ser de control de la tienda, lo que no ocurre cuando la tienda contrata el servicio de un facilitador, por ejemplo.

7. Si la autenticación se produjo con éxito, la plataforma de pago (o la tienda) retoma el flujo normal de transacción y reenvía al comprador todos los datos de la tarjeta, el establecimiento, el valor de la compra y la firma digital recibida del banco, para solicitar la autorización.

8. La adquirente realiza el proceso normal de autorización de la transacción, pero indica que se trata de una transacción autenticada, de esta manera el establecimiento no corre el riesgo de chargeback en la transacción.

Ventajas para la cadena del negocio

Aunque esta operación agrega un paso al flujo transaccional, agrega ventaja en toda la cadena del negocio:

• El banco, que asumirá el riesgo de la transacción, tendrá la oportunidad de autenticar al comprador antes de que la transacción sea encaminada al comprador, minimizando considerablemente el riesgo de fraude;
• El establecimiento tendrá la certeza de que recibirá por la venta realizada y no tendrá que aguardar por largos procesos manuales de análisis de riesgo;
• El comprador tendrá la garantía de proporcionar sus datos de tarjeta a un ambiente seguro;
• La adquirente aumentará el volumen de negocios en función del aumento de la confianza de toda la cadena y de la apertura de nuevas posibilidades de venta de servicios por Internet que actualmente no se realizan debido al riesgo de chargeback.

Cambio de escenario para el comercio electrónico

Este proceso de autenticación representa una evolución importante en el escenario actual del e-commerce (en Brasil) y, como toda nueva, debe pasar por un período de adaptación cultural que seguramente generará críticas y dudas con respecto al paso adicional necesario para la autenticación, pero que será un diferencial para las empresas que lo adopten.

A partir de 2014, Visa y Mastercard animarán a los portadores de tarjetas en Brasil a hacer la activación de sus tarjetas en el programa 3DSecure. Este movimiento, promovido por las banderas y los bancos, debe contribuir de forma significativa al crecimiento de ese mercado ya la reducción de fraudes.

Lyra es la primera empresa en Brasil que proporciona una plataforma de pago con el certificado PCI-DSS y un MPI propio homologado por Visa y Mastercard para la realización de los procesos Verify By Visa y Mastercard SecureCode. Esto garantiza a la empresa ventaja competitiva, a los establecimientos comerciales la posibilidad de realizar transacciones garantizadas sin pagar un porcentaje adicional por la transacción y al comprador la certeza de que sus datos serán adquiridos por un ambiente seguro.