Muchos clientes del comercio ele­c­tró­ni­co pagan online con sus tarjetas de crédito, ya sea para comprar viajes en avión, hacer reservas de hotel o adquirir ropa. A medida que se envía in­fo­r­ma­ción sensible, se deben tomar pre­cau­cio­nes es­pe­cia­les para ga­ra­n­ti­zar la seguridad del co­n­su­mi­dor. En el tra­n­s­cu­r­so de la PSD2, la UE ha impuesto exi­ge­n­cias aún mayores a los sistemas de pago en Internet, y las entidades de tarjetas de crédito han reac­cio­na­do en co­n­se­cue­n­cia. Con la nueva versión del proceso 3D Secure, VISA y Ma­s­te­r­ca­rd cumplen la normativa de la UE y mejoran la pro­te­c­ción del cliente.

¿Qué es 3D Secure: código, co­n­tra­se­ña y TAN?

La empresa de tarjetas de crédito VISA ya de­sa­rro­lló en el año 2000 un pro­ce­di­mie­n­to que debía hacer más seguro el uso de tarjetas de crédito en Internet. La propia empresa denomina a la te­c­no­lo­gía empleada “Verified by VISAˮ. Al mismo tiempo, otros pro­vee­do­res de tarjetas de crédito también han im­ple­me­n­ta­do el mecanismo de seguridad. Por ejemplo, 3D Secure en Ma­s­te­r­ca­rd se de­no­mi­na­ba “Se­cu­re­Co­deˮ (aunque ahora recibe el nombre de “Identity Checkˮ), “SafeKeyˮ para American Express y “J/Se­cu­reˮ­pa­ra JCB.

An­te­rio­r­me­n­te, el pago con tarjeta de crédito en Internet era muy sencillo. Si­m­ple­me­n­te in­tro­du­cías los datos de tu tarjeta de crédito en los campos co­rre­s­po­n­die­n­tes, co­n­fi­r­ma­bas la posesión de la tarjeta con el código de va­li­da­ción de la tarjeta (CVC por sus siglas en inglés) que se encuentra en la parte posterior de esta y hacías en cargo en la tarjeta con tan solo un clic del ratón. Esto suponía que cua­l­quie­ra que tuviera en su poder tu tarjeta de crédito podría comprar productos -incluso aquellos con precios altos- a través de Internet. Era obvio que este método no era seguro.

A medida que el sector del comercio ele­c­tró­ni­co siguió creciendo y cada vez más personas pagaban online con tarjetas de crédito, aumentó también el interés de los de­li­n­cue­n­tes por conseguir la in­fo­r­ma­ción de las tarjetas. Es­pe­cia­l­me­n­te a través del phishing y la in­ge­nie­ría social, los de­li­n­cue­n­tes co­n­se­guían tener acceso a los datos. Pre­ci­sa­me­n­te para contener este avance, se de­sa­rro­lló 3D Secure.

Este pro­ce­di­mie­n­to requiere, además de la in­fo­r­ma­ción contenida en la tarjeta (es decir, co­n­fi­r­ma­n­do su posesión), la provisión de in­fo­r­ma­ción adicional como, por ejemplo, una co­n­tra­se­ña que solo el titular legítimo de la tarjeta de crédito conoce. Por lo tanto, se trata de una au­te­n­ti­ca­ción de dos factores basada en la solicitud de dos elementos di­fe­re­n­tes para que se haga el cargo a la tarjeta de crédito.

Para ello, el co­n­su­mi­dor es re­di­ri­gi­do a la web de la compañía de la tarjeta de crédito y se le pide que in­tro­du­z­ca allí unos datos de seguridad adicional. El segundo factor sólo es co­mu­ni­ca­do por el usuario al banco o a la compañía de la tarjeta de crédito. El operador de la tienda online, fi­na­l­me­n­te, recibe la co­n­fi­r­ma­ción de que el uso de la tarjeta es legal. Pero incluso este método no ha resultado ser muy seguro. Durante el año 2016, el volumen de fraude en el área de la SEPA según el informe del Banco Central Europeo sobre el fraude con tarjetas en el área de la SEPA aumentó hasta llegar a 1.320 millones de euros.

El uso de co­n­tra­se­ñas estáticas no es adecuado desde el punto de vista de la seguridad. Una vez que haya terceros que lo sepan, la pro­te­c­ción de dicha in­fo­r­ma­ción se ve co­m­pro­me­ti­da. Los métodos dinámicos que se adaptan a cada proceso son, por lo tanto, más adecuados. Por ejemplo, puede uti­li­zar­se un mensaje de texto con un código seguro generado según pro­ce­di­mie­n­tos crípticos.

Tanto los clientes como los co­me­r­cia­n­tes online estaban in­sa­ti­s­fe­chos con la primera versión de 3D Secure. La página web para in­tro­du­cir el factor de seguridad adicional era muy poco atractiva, la apli­ca­ción y el uso de la co­n­tra­se­ña requerida no estaban claros y el proceso no podía in­te­grar­se sa­ti­s­fa­c­to­ria­me­n­te en las apli­ca­cio­nes móviles. Los clientes se enfadaban co­n­s­ta­n­te­me­n­te y ca­n­ce­la­ban los procesos de pedido, lo que a su vez dañaba las co­n­ve­r­sio­nes y enfurecía a los co­me­r­cia­n­tes online.

La segunda versión de 3D Secure, también conocida como 3DS2, aborda estos problemas y mejora la seguridad. Las nuevas ca­ra­c­te­rí­s­ti­cas también cumplen con las Di­re­c­ti­vas de servicios de pago de la UE. Además, las entidades de tarjetas de crédito están reac­cio­na­n­do a los avances técnicos con la nueva versión. Hoy en día, los di­s­po­si­ti­vos modernos (por ejemplo, los teléfonos in­te­li­ge­n­tes) ofrecen, sobre todo, la au­te­n­ti­ca­ción uti­li­za­n­do datos bio­mé­tri­cos: por huella dactilar o mediante el análisis de rasgos faciales.

3D Secure 2.0 está diseñado de tal manera que los co­me­r­cia­n­tes online pueden integrar el pro­ce­di­mie­n­to en el proceso de pago. Esto da lugar a una ex­pe­rie­n­cia de compra más agradable para el cliente pues se basa en un sistema in­te­li­ge­n­te. En co­n­se­cue­n­cia, el método de au­te­n­ti­ca­ción se adapta al riesgo; los re­qui­si­tos de seguridad son menos estrictos en el caso de pequeñas ca­n­ti­da­des de dinero que en el de las grandes. Además, 3DS2 se puede utilizar para pagos móviles y funciona con apli­ca­cio­nes de bancos.

Imagen: Procedimiento del sistema 3D Secure
3D Secure funciona con modernas técnicas de au­te­n­ti­ca­ción y conecta entre sí a co­n­su­mi­do­res, co­me­r­cia­n­tes y bancos.

Ventajas y de­s­ve­n­ta­jas de 3D Secure

El proceso 3D Secure tiene ventajas tanto para los mi­no­ri­s­tas como para los co­n­su­mi­do­res, pero también presenta de­s­ve­n­ta­jas.

Ventajas De­s­ve­n­ta­jas
Más seguridad para los clientes Más esfuerzo para los clientes
Los pro­vee­do­res de tarjetas de crédito soportan los costes del fraude a pesar de 3D Secure (inversión de re­s­po­n­sa­bi­li­dad). Los di­s­tri­bui­do­res pierden co­n­ve­r­sio­nes
El pro­ce­di­mie­n­to es gratuito para clientes y di­s­tri­bui­do­res No se puede ga­ra­n­ti­zar al cien por cien la seguridad

¿Para qué deben estar pre­pa­ra­dos los clientes?

Para los co­n­su­mi­do­res, el proceso 3D Secure debería pro­po­r­cio­nar una mejor ex­pe­rie­n­cia de pago. En lugar de utilizar el viejo proceso o abandonar por completo el control de seguridad, los usuarios pueden be­ne­fi­ciar­se ahora de un proceso seguro y moderno. Como cliente tienes que contar con esto:

  • Re­gí­s­tra­te: para poder utilizar una tarjeta con 3D Secure es necesario que te registres en tu banco. El banco que emitió la tarjeta de crédito es el re­s­po­n­sa­ble.
     
  • In­s­ta­la­ción: se puede suponer que en el futuro los bancos uti­li­za­rán apli­ca­cio­nes para enviar el código 3D Secure o solicitar datos bio­mé­tri­cos.
     
  • Manténte a la espera: al hacer el pago con 3D Secure tienes que tener cerca tu tarjeta de crédito y tu teléfono in­te­li­ge­n­te.
Nota

Incluso con 3D Secure, los usuarios deben prestar atención al pagar con su tarjeta de crédito en Internet. Sólo se pueden in­tro­du­cir datos co­n­fi­de­n­cia­les si estás seguro de que te en­cue­n­tras en el sitio web correcto. Un ce­r­ti­fi­ca­do válido SSL es una in­di­ca­ción de que puedes confiar en esa página web.

Im­pli­ca­cio­nes para el comercio online

La Directiva 2015/2366 sobre servicios de pago de la UE estipula que a partir del 14 de se­p­tie­m­bre de 2019 los pagos online deben cumplir una serie de normas de seguridad es­pe­cia­les y 3D Secure cumple con los nuevos re­qui­si­tos. Para poder utilizar el nuevo pro­ce­di­mie­n­to, los co­me­r­cia­n­tes online deben ponerse en contacto con su proveedor de servicios de pago (PSP). El PSP debe ofrecer una solución técnica que los co­me­r­cia­n­tes solo tendrán que im­ple­me­n­tar en su tienda online.

  • Contacto PSP: en primer lugar, los co­me­r­cia­n­tes online deben ponerse en contacto con sus pro­vee­do­res de servicios de pago. Muchos pro­vee­do­res ya han publicado in­fo­r­ma­ción sobre los co­me­r­cia­n­tes en sus sitios web.
     
  • Im­ple­me­n­tar 3DS2: dado que la au­te­n­ti­ca­ción 3D Secure ya no tiene lugar en otro sitio web, sino di­re­c­ta­me­n­te en la tienda, la te­c­no­lo­gía debe in­te­grar­se en la tienda online.

En términos de PSD2 y de la au­te­n­ti­ca­ción de cliente fuerte (SCA) anclada en él, no todos los pagos necesitan ser ve­ri­fi­ca­dos contra los altos es­tá­n­da­res ofrecidos por 3D Secure. Por ejemplo, los pagos in­fe­rio­res a 30 euros no requieren un alto nivel de seguridad. Pero ten cuidado porque estas y otras eva­lua­cio­nes de riesgo no están a di­s­cre­ción del co­me­r­cia­n­te, sino que son llevadas a cabo por el banco.

Incluso más allá de los re­qui­si­tos legales, vale la pena que los co­me­r­cia­n­tes ofrezcan 3D Secure en sus tiendas online. El nuevo sistema es mucho más fácil de usar para los clientes, se lleva a cabo ín­te­gra­me­n­te en la página web del co­me­r­cia­n­te y aumenta la confianza del co­n­su­mi­dor en el comercio ele­c­tró­ni­co. Esto, a su vez, lleva a más co­n­ve­r­sio­nes y, por tanto, a más ventas.

Ir al menú principal