X

We detected that you log in from the United States, do you want to visit our US website?  Haga clic aquí Recorrer las regiones

Seleccione una marca

PSD2 y SCA: esto es lo que necesita saber

En su papel de proveedor de servicios de pago, Ingenico se enorgullece de contar con la conformidad PSD2 desde el 29 de mayo de 2018.

Uno de los requisitos principales de PSD2 se refiere a la autenticación fuerte de cliente (SCA, por sus siglas en inglés) que será necesaria en todas las transacciones electrónicas en la UE a partir de septiembre de 2019.

Esto significa que tus clientes ya no podrán realizar un pago online con tarjeta utilizando solo la información de sus tarjetas. En su lugar, deberán verificar, por ejemplo, su identidad en una aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella digital para aprobar la compra.

Obtén soporte para la PSD2

Como partner de pagos, Igenico te ayudará en todo el proceso.

Ingenico se compromete a ser el socio adecuado para ti, hoy y mañana. Al utilizar nuestra página de pago propia, el cumplimiento de SCA se vuelve sencillo, ya que lo gestionamos por ti. Contáctanos si quieres que te ayudemos.

Contáctanos

Prepárate para la PSD2 con Stella

Preguntas frecuentes

  • ¿Qué es la PSD2?

    La Segunda Directiva de Servicios de Pago de la UE (2015/2366 PSD2) entró en vigor en enero de 2018 con el objetivo de garantizar la protección del consumidor en todos los tipos de pagos, promoviendo un panorama de pagos aún más abierto y competitivo. Como proveedor de servicios de pago, Ingenico ePayments se enorgullece de haber ratificado su conformidad con la PSD2 desde el 29 de mayo de 2018. 

    Uno de los requisitos clave de la PSD2 se refiere a la autenticación sólida de clientes (SCA) que es requerido en todas las transacciones electrónicas en la UE a partir de septiembre de 2019. La SCA exigirá a los titulares de tarjetas que se autentiquen usando al menos DOS de los tres métodos siguientes: 

    • Algo que conozcan (PIN, contraseña, etc.) 
    • Algo que posean (lector de tarjetas, dispositivo móvil, etc.)
    • Algo que los distinga (reconocimiento de voz, huella dactilar, etc.)

    Esto significa que, en la práctica, sus clientes ya no podrán realizar un pago con tarjeta en línea utilizando únicamente la información de sus tarjetas. En su lugar, deberán, por ejemplo, verificar su identidad en una aplicación bancaria que esté conectada a su teléfono y que requiera una contraseña o huella dactilar para aprobar la compra. 

    Aquí puede encontrar más información sobre la PSD2

  • Como comerciante, ¿de qué modo me afecta la PSD2?

    El 14 de septiembre, las reglas de autenticación sólida de clientes (SCA) entrarán en vigor para todos los pagos digitales en Europa. En este momento, los bancos, los proveedores de servicios de pago y las redes de tarjetas están trabajando en soluciones técnicas que cumplan los requisitos de la PSD2. Para poder aceptar pagos después del 14 de septiembre, deberá asegurarse de que estas soluciones técnicas funcionen en su tienda en línea. 

    Para poder aceptar pagos de las redes de tarjetas más importantes del mundo (Visa, Mastercard y Amex) deberá haber implementado la solución de seguridad 3D Secure en su tienda en línea. 3D Secure se utiliza desde 2001 para mejorar la seguridad de las transacciones con tarjetas en línea, pero ahora se ha desarrollado una nueva versión que facilitará los requisitos de la autenticación sólida de clientes de la PSD2.

    Ingenico ePayments recomienda el uso de 3D Secure, ya que ayuda a prevenir el fraude y también lo protege de cualquier responsabilidad en caso de fraude. A partir del 14 de septiembre también será un requisito para aceptar los pagos de las tarjetas principales. 

  • ¿Qué es el nuevo 3D Secure v2.1?

    Secure v2 es una evolución de los programas 3D Secure v1 existentes: Verified by Visa, Mastercard SecureCode, AmericanExpress SafeKey, Diners/Discover ProtectBuy y JCB J/Secure. Se basa en una especificación redactada por EMVCo. EMVCo existe para facilitar la interoperabilidad mundial y la aceptación de transacciones de pago seguras. Está supervisado por las seis organizaciones miembros de EMVCo, American Express, Discover, JCB, Mastercard, UnionPay y Visa, y cuenta con el respaldo de decenas de bancos, comerciantes, procesadores, proveedores y otros actores de la industria que participan como asociados de EMVCo. 

    Una de las diferencias principales de la versión 2 es que el emisor puede usar muchos puntos de datos de la transacción para determinar el riesgo de la transacción (análisis basado en el riesgo). En las transacciones de bajo riesgo, los emisores no impugnarán la transacción (por ejemplo, no se enviará un SMS al titular de la tarjeta) aunque autentiquen la transacción (sin fricción). A la inversa, en transacciones de alto riesgo, los emisores requerirán que el titular de la tarjeta se autentique con un SMS o por medios biométrico (desafío). 

    Por separado, la autenticación sólida de clientes (SCA) requerida en Europa para el 14 de septiembre de 2019 como se especifica en la PSD2 dará como resultado un aumento sustancial en el número de transacciones que requieren el uso de autenticación 3D Secure. El uso de 3D Secure v2 debería limitar tanto como sea posible el impacto potencial negativo en la conversión. En resumen, en 3D Secure v2: 

    • Deberá implementar 3D Secure antes del 14 de septiembre de 2019 si sus transacciones se ajustan a las pautas de la UE PSD2 SCA (en caso de que aún no sea compatible con 3D Secure)
    • Se recomienda (y en algunos casos se requiere) que envíe puntos de datos adicionales para respaldar la evaluación de riesgos realizada por el emisor en caso de 3D Secure v2
    • Es posible que deba actualizar su política de privacidad con respecto al RGPD, ya que podría estar compartiendo puntos de datos adicionales con terceros 
    • Conseguirá una experiencia de usuario mucho mejor para sus consumidores 

    La expectativa en el mercado es que un porcentaje sustancial de las transacciones que utilizan 3D Secure v2 seguirán el flujo sin fricción, y esto no requiere nada adicional del titular de la tarjeta en comparación con los flujos actuales de pago sin garantía 3D Secure. Esto significa que usted se beneficia de una mayor seguridad y responsabilidad provista por los programas 3D Secure, mientras que la conversión en su proceso de pago no debe verse afectada negativamente. 

  • ¿Cuál es la diferencia entre exención y exclusión?

    Las exclusiones son transacciones que están FUERA del alcance de los reglamentos PSD2 SCA: 

    • Pedidos por correo/pedidos por teléfono
    • Viaje de ida: El PSP del beneficiario (también conocido como adquirente del comerciante) o el PSP del pagador (también conocido como emisor del método de pago del comprador) se encuentra fuera de la zona del EEE.
    • Tarjetas prepago anónimas de hasta 150 € (artículo 63)
    • MIT - transacciones iniciadas por el comerciante

    Las exenciones son transacciones que están DENTRO del alcance de los reglamentos PSD2 SCA:

    • Transacciones de bajo valor
    • Suscripciones
    • Análisis de riesgo
    • Lista blanca
  • ¿Cuáles son las exenciones de la SCA?

    Para facilitar las cosas tanto a los comerciantes como a los consumidores, la PSD2 permite algunas exenciones en la autenticación sólida de clientes. Lo que es importante tener en cuenta es que todas las transacciones que califican para una exención no serán exentas automáticamente. En el caso de transacciones con tarjeta, por ejemplo, es el banco emisor de la tarjeta el que decide si se aprueba o no una exención. Por lo tanto, incluso si una transacción califica para una exención, el cliente podría tener que realizar una autenticación sólida de cliente si el banco emisor de la tarjeta decide exigirla. 

    • Transacciones de bajo valor: lo más probable es que esta exención sea la más utilizada. La exención dice que si un cliente realiza una compra por menos de 30 euros, puede quedar exento de realizar una autenticación sólida de cliente. Esta exención es limitada y si un cliente realiza cinco de estas transacciones seguidas o alcanza un valor de más de 100 euros, siempre se requerirá una autenticación sólida de cliente. 
    • Suscripciones: otro tipo de transacción que se puede eximir es el pago recurrente y los pagos de suscripción donde la suma de cada transacción es la misma. Para estas transacciones solo se requerirá una autenticación sólida de cliente cuando el cliente se registre por primera vez para la suscripción y no en cada transacción individual. 
    • Análisis de riesgo: también se pueden hacer exenciones en base a lo que se denomina “análisis de riesgo de transacción”. Esto significa que a un proveedor de servicios de pago, como Ingenico ePayments, se le puede permitir hacer exenciones en transacciones que se consideran de “bajo riesgo” según los requisitos de las normas técnicas de la PSD2. Esta exención tiene un límite cuando se trata del valor de transacción y solo se puede aplicar si el proveedor de servicios de pago tiene una tasa de fraude suficientemente baja para ese tipo específico de transacción. 
    • Lista blanca: otro tipo de exención se denomina destinatarios de la lista blanca. La lista blanca significa que un cliente puede registrar a ciertos destinatarios de pagos como “fiables” con el banco emisor de su tarjeta. Al hacerlo, no tendrán que llevar a cabo una autenticación sólida de cliente al pagar a ese destinatario específico sujeto al acuerdo bancario emisor.
  • ¿Está listo Ingenico ePayments?

    Dado que nuestro entorno de pruebas está listo, le recomendamos que comience a probar su integración lo antes posible.

    Haga clic aquí isi utiliza la página de eCommerce. Si utiliza su propia página, haga clic aquí.

  • ¿Es Credenciales/Tarjeta en archivo (COF) parte de la lista de exclusión/exenciones?

    COF en pocas palabras: el cliente inicia una primera transacción con un comerciante con 3D-S (CIT). Desde esta primera experiencia de transacción, el comerciante tiene la posibilidad de realizar transacciones recurrentes (suscripción o con aprobación del cliente -> tokenización) marcadas como transacciones MIT.

    Las MIT son una de las excepciones previstas dentro de 3DSv2 si cumplen las siguientes condiciones acumulativas:

    • transacciones posteriores de un CIT inicial 
    • El CIT se realizó con una autenticación obligatoria
    • Se establece un enlace de ID dinámico entre el CIT inicial y las MIT posteriores.

    Después de la autenticación inicial, se pueden aplicar exenciones/exclusiones:

    • Ya sea por las exenciones legales recurrentes que se aplican a las suscripciones con una cantidad fija y una periodicidad (de hecho, se recomienda a los comerciantes que se autentiquen por la cantidad completa y que proporcionen detalles sobre la cantidad de pagos acordados con los titulares de tarjetas)
    • O porque otro tipo de transacciones están excluidas del alcance de la SCA ... a riesgo exclusivo del comerciante en caso de devolución de cargo (protección limitada a la cantidad autenticada) Y la necesidad de que el emisor acepte ese riesgo:
      • COF no programado: el principio de las transacciones posteriores se acuerda con el titular de la tarjeta, pero el importe y/o la periodicidad no son fijos
      • Prácticas de la industria: incrementales, ausencia, etc...

    Para el período de transición, los esquemas han definido el ID predeterminado que se utilizará para las MIT posteriores creadas antes de la introducción de 3DS v2.

  • ¿Qué debo hacer para cumplir con PSD2 y SCA?

    Primero, debe asegurarse de que 3-DS esté habilitado en su tienda en línea para todos sus métodos de pago (Visa, MasterCard, American Express, Carte Bancaire, JCB). Asegúrate de que esté hecho. De lo contrario, solicite a nuestro soporte que lo active.

    Como 3-D Secure versión 2 (3DSv2) tiene como objetivo otorgar el desencadenante Strong Customer Authentication (SCA) al banco emisor, el banco emisor debe evaluar mejor el riesgo involucrado dentro de la transacción. Como consecuencia, la especificación 3DSv2 contiene muchos elementos de datos. ¡Buenas noticias si está utilizando nuestra herramienta de fraude, ya que algunas de ellas ya se usan comúnmente en nuestra detección de fraude! Por supuesto, algunos son nuevos y específicos de 3-D Secure v2. En resumen, los elementos de datos se pueden clasificar de la siguiente manera:

    • Información obligatoria - datos del navegador:
      • Integración con carritos de compras? Le invitamos amablemente a ir al mercado del carrito de compras para instalar la última versión del complemento Ingenico ePayments o ponerse en contacto directamente con su proveedor.
      • Si está utilizando nuestra página de comercio electrónico, Ingenico ePayments recopila información obligatoria. Puede ir directamente a la información recomendada a continuación.
      • SI está utilizando su propia página de pago, deberá recopilar información obligatoria usted mismo como se detalla a continuación. Le recomendamos que consulte nuestra página de soporte para averiguar cómo y ver el ejemplo del script java.
      • Nombre del titular de la tarjeta (CN)
      • Lea más en la guía Directlink 3D
    • Información recomendada: posiblemente podría usarse como parte de la detección de prevención de fraude:
      • Correo electrónico (EMAIL)
      • Dirección IP (REMOTE_ADDR)
      • Número de teléfono (Mpi.WorkPhone.subscriber, Mpi.HomePhone.subscriber ...)
      • Dirección de facturación (ECOM_BILLTO_POSTAL_CITY, ECOM_BILLTO_POSTAL_COUNTRYCODE, ECOM_BILLTO_POSTAL_STREET_LINE1 ...)
      • Dirección de envío (ECOM_SHIPTO_POSTAL_CITY, ECOM_SHIPTO_POSTAL_COUNTRYCODE, ECOM_SHIPTO_POSTAL_STREET_LINE1 ...)
    • Tenga en cuenta que los parámetros recomendados / opcionales deben proporcionarse para beneficiarse del flujo sin fricción que puede aumentar su conversión.
       
    • Información opcional: datos extendidos del titular de la tarjeta / cuenta introducidos por EMVCo:
      • Mpi.cardholderAccountAgeIndicator
      • Mpi.cardholderAccountChange
      • Mpi.cardholderAccountPasswordChange
      • Mpi.suspiciousAccountActivityDetected
      • Mpi.threeDSRequestorChallengeIndicator

    Nuestras API existentes ya capturan muchos elementos de datos, pero estamos agregando muchos elementos de datos nuevos. La razón es que creemos que todos en el ecosistema de pagos se benefician de una mayor seguridad, con la menor cantidad de impacto negativo para la experiencia del consumidor. Los pagos se basan en la confianza y al proporcionar más datos, es más fácil para las partes confiar entre sí, sin requerir desafíos adicionales para autenticar al consumidor. Casi todos los elementos de datos recién agregados son opcionales, pero le recomendamos que proporcione la mayor cantidad posible. Esto aumenta la probabilidad de que sus transacciones sigan el flujo sin fricción, mientras se beneficia del cambio de responsabilidad. En caso de que use la página de pago alojada de Ingenico ePayments, capturaremos los datos relacionados con el navegador automáticamente.

    El nivel de los cambios requeridos diferirá según el tipo de integración que tenga con Ingenico ePayments.

  • ¿Cómo puedo capturar datos adicionales para SCA?

    Si utiliza nuestra página de pago Ingenico ePayments, Ingenico ePayments se encargará de todos los campos obligatorios.

    Si está integrado en DirectLink, lo que significa que tiene su propia página de pago, tenemos un ejemplo de Javascript disponible en la página de soporte para recopilar los datos obligatorios.

    Para la recopilación de información opcional, consulte nuestra página de soporte para así saber cómo integrarse con Ingenico ePayments.

  • ¿Podríamos proporcionar autenticación segura realizada en otro MPI que no sea Ingenico ePayments one?

    No y tampoco está previsto que lo haga.

  • ¿Qué sucede si el comerciante no está enviando campos obligatorios V2?

    Esta situación solo es posible si está integrado únicamente a través de DirectLink (página propia del comerciante/FlexCheckOut), como en la página de pago de Ingenico ePayments alojada, Ingenico ePayments está recopilando los datos obligatorios.

    En primer lugar, Ingenico ePayments identificará el flujo que se dirigirá a v1 o v2 según los números de tarjeta.

    Si la tarjeta es V2, existen los siguientes escenarios posibles: 

    Datos obligatorios:

    • Si se transfieren los datos incorrectos, se bloquea la transacción
    • Si faltan algunos datos, Ingenico ePayments dirigirá su transacción al flujo v1
    • Si no se transfieren datos, la transacción NO se bloquea, sino que se desvía al flujo v1

    Datos opcionales o recomendados:

    • si no se transfieren datos, la transacción NO se bloquea, pero no puede beneficiarse de la exención. 
  • ¿Qué necesito saber sobre PSD2 y el intercambio de datos personales (GDPR)?

    3DSv2 está invitando a los comerciantes a enviar información adicional (obligatorio / recomendado ..). Todo lo que necesitas saber, como comerciante se puede encontrar aquí:

    https://www.ingenico.es/privacidad  sección 3.

  • Mi certificación PCI tiene menos de 1 año. ¿Debo pasarla de nuevo si cambio de banco adquirente?

    Su certificado PCI es válido por un año y cumple con todas las condiciones de adquisición con cualquier banco adquiriente.