Saltar al contenido

El seminario web Seamless SCA de Signifyd ayuda a educar sobre PSD2

Suscríbete a nuestra newsletter

Manténte al día con lo último sobre cómo la COVID-19 está afectando al retail y cómo los comercios pueden continuar haciendo negocios de la mejor manera en la época del coronavirus.

barra lateral-ipad

When the new PSD2 requirements were announced for the European Economic Area (EEA), merchants and customers had a lot of questions and few answers. The regulations promise a more secure online payment environment for everyone, but the challenges in implementing requirements like strong customer authentication (SCA) and delays in the official timeline for enforcement have diverted attention from the good that comes with PSD2 and SCA.

Signifyd organizó recientemente un seminario web con el presidente de Vendorcom, Paul Rodgers, para presentar su nuevo producto Seamless SCA y ayudar a los comercios a comprender lo que pueden hacer para ponerse al día con las regulaciones PSD2 en el EEE. El seminario web contó con una demostración de Seamless SCA más antecedentes sobre las nuevas regulaciones. Compartimos algunas preguntas clave del seminario web con respuestas claras y concisas para ayudar a los comercios a comprender mejor los requisitos.

Puntos clave: 

  • El último seminario web de Signifyd se centra en PSD2 y en cómo el nuevo producto Signifyd Seamless SCA ayuda a los comercios a proporcionar las actualizaciones de privacidad necesarias a los consumidores.
  • Los líderes de Signifyd y el experto en SCA, Paul Rodgers, aclaran qué significa PSD2 y los acrónimos asociados (SCA, 3DS) para ayudar a los consumidores a comprender mejor las próximas regulaciones en el Espacio Económico Europeo (EEE).
  • Nuestro equipo de expertos fomenta una mayor educación y transparencia entre comercios, consumidores y proveedores de pagos para ayudar a todos a comprender mejor las regulaciones PSD2.

PSD2, 3DS, SCA: ¿Qué significan estas siglas? 

En el seminario web, los líderes de Signfiyd, J. Bennett y Ed Whitehead, definieron lo que significa cada una de las siglas clave de las regulaciones PSD2 :

  • PSD2 es la segunda Directiva de servicios de pago (el número 2 se agregó al final del acrónimo para actualizar la directiva). El principal objetivo de PSD2 es regular los servicios de pago y los proveedores de servicios de pago en la Unión Europea (UE) y el EEE. La protección del consumidor es un principio clave de las regulaciones, y los proveedores de pagos tienen derechos y obligaciones específicos para aceptar pagos de comercio electrónico.
  • SCA es sinónimo de autenticación sólida de clientes . Es el método principal para que los proveedores de servicios de pago y los comercios aseguren sus transacciones bajo PSD2. SCA requiere una autenticación básica de dos factores para aumentar la seguridad de los pagos electrónicos y autenticar una compra.
  • 3DS significa 3-D Secure o Three-Domain Secure. Permite a los consumidores autenticar sus compras directamente con el emisor de su tarjeta cuando realizan compras de comercio electrónico con tarjeta ausente (CNP). La capa de seguridad adicional ayuda a prevenir transacciones CNP no autorizadas y protege al comercio del fraude. Los tres dominios se refieren al comercio, al emisor de pagos y al proveedor de sistemas de pago.

Los tres protocolos o capas de seguridad buscan proteger a los consumidores, comercios y proveedores de pagos contra el fraude en las compras de comercio electrónico. Su estrecha relación ayuda a definir por qué la seguridad adicional es esencial para mejorar las operaciones de comercio electrónico. PSD2 requiere mejores protocolos de seguridad, por lo que Signifyd organizó el seminario web para presentar Seamless SCA y compartir información sobre los problemas actuales que enfrentan los comercios y consumidores en el EEE.

¿Cuáles son los tres métodos de autenticación para SCA?

El objetivo de SCA es obtener la información necesaria para autenticar los pagos a un nivel más personal. La privacidad es más importante en SCA, tanto para defender la información personal como para devolver el control de los datos de las transacciones a cada usuario.

PSD2 requiere al menos dos factores de autenticación para SCA. Cada uno de estos métodos se incluye en un grupo único de datos que se relaciona directamente con el usuario autorizado: algo que sabe, algo que tiene y algo que es.

Lo que sabe es información protegida por medidas de mitigación para evitar su divulgación a terceros. Es el primer paso para probar si una persona real autorizada está solicitando la transacción.

  • Qué funciona: preguntas de desafío basadas en el conocimiento. Solo el usuario autorizado debe conocer las respuestas a preguntas de identificación como, "¿Cuál era el apodo de tu abuela cuando era pequeña?"
  • Lo que no funciona: detalles de la tarjeta de la propia tarjeta. Cualquiera puede obtener esta información para transacciones CNP. Gracias a la sofisticación en evolución del arte de la estafa, los detalles de la tarjeta son más fáciles de deslizar que nunca. Tenga en cuenta que los números se pueden memorizar y utilizar en cualquier transacción CNP.

Lo que tiene es una validación segura, dinámica generada o recibida en su dispositivo. El procesador de pagos enviará algún tipo de solicitud de autorización al comprador para determinar si el pedido es legítimo. Luego, el usuario autorizado debe responder para validar la solicitud para finalizar la transacción.

  • Qué funciona: una firma generada por un dispositivo a través de un token de hardware o software. El usuario autorizado debe iniciar el envío del token para completar la transacción, a menudo en un breve lapso de tiempo (a menudo menos de 15 minutos).
  • Lo que no funciona: una aplicación instalada sin registro. No hay nada en la aplicación que garantice transacciones seguras desde el primer momento. A menudo se necesitan pasos adicionales para autenticar al usuario dentro de la aplicación, y desde allí se recomiendan capas de seguridad adicionales.

Lo que eres es un rasgo físico, una característica fisiológica o un proceso de comportamiento de un ser humano. Es el más seguro de los tres métodos de autenticación SCA porque es el más exclusivo y personal de todos, porque estas características pertenecen solo a la persona y no se pueden copiar (todavía no, al menos). La biometría está dando grandes pasos en el espacio de la tecnología de seguridad por esta misma razón.

  • Qué funciona: escaneo de huellas dactilares o iris. Los piratas informáticos aún no han determinado cómo descifrar la biometría a una escala confiable. Dado que es imposible (o al menos no recomendado) arrancarse la piel o sacar el ojo para compartir información biométrica como esta, es mucho más difícil para los defraudadores hacerse con material biológico para llevar a cabo sus trucos en las sombras.
  • Lo que no funciona: EMV 3-D Secure por sí solo. La Autoridad Bancaria Europea explicó en junio en un memorando que “los protocolos de comunicación como EMV 3-D Secure versión 2.0 y posteriores no parecen constituir elementos de inherencia en la actualidad, ya que ninguno de los puntos de datos, o su combinación, se intercambian a través de esta herramienta de comunicación. parece incluir información relacionada con la biometría biológica y del comportamiento ".

La autenticación multifactor de SCA se puede dividir en datos aún más granulares. En el seminario web, Bennett compartió una descripción general de los factores utilizados en SCA y cómo encajan en aspectos clave de facilidad de uso y seguridad, porque la experiencia del cliente es el corazón de una estrategia SCA exitosa.

¿Qué métodos de autenticación funcionan para SCA?

Idealmente, los métodos de autenticación para SCA deberían lograr una gran facilidad de uso y seguridad. Los clientes quieren que sus datos personales y de pago estén seguros, pero hacerlos pasar por muchos obstáculos para completar una transacción conduce al abandono del carrito. Algunos métodos SCA aceptables son menos seguros que otros, aunque cumplen con los estándares de seguridad. Los comercios deben considerar las necesidades de sus clientes y su capacidad para invertir e implementar métodos de seguridad que respalden la mejor experiencia de compra posible.

En el seminario web, Bennett presentó un modelo matricial que muestra dónde se encuentran los métodos SCA más comunes en las dos escalas de facilidad de uso y seguridad. Los mejores métodos de autenticación combinan tanto la usabilidad como la seguridad, como un token enviado directamente al dispositivo del usuario autorizado para cada transacción, o dinámicas de pulsación de teclas que coinciden con los patrones de comportamiento del usuario autorizado.

Otros métodos que no marcan todas las casillas siguen siendo seguros para SCA. Por ejemplo, el reconocimiento de venas tiene una gran facilidad de uso, pero ofrece menor seguridad que otras opciones. Otro método, como una frase de contraseña, tiene una puntuación baja tanto en la escala de usabilidad como en la de seguridad, en parte porque ingresar varias palabras puede ser un desafío en un dispositivo móvil. Pero cada uno es un método SCA aprobado y puede funcionar con la implementación correcta.

¿Cuál es el cronograma de PSD2?

La aplicación de PSD2 y SCA puede parecer una fecha límite estricta. En este punto, diferentes autoridades en diferentes jurisdicciones están enviando diferentes mensajes sobre cuándo se harán cumplir los requisitos. El Reino Unido, por ejemplo, ha esbozado un despliegue de 18 meses, mientras que la autoridad competente en Francia ha publicado un cronograma que abarca dos años. Parte del problema en la implementación de estándares de seguridad más estrictos es la falta de liderazgo y orientación en el EEE, como señaló el anfitrión invitado del seminario web Paul Rodgers. Rogers, presidente de Vendorcom y miembro del panel de Reguladores de Sistemas de Pago, citó una alineación deficiente de las políticas entre los diferentes países de Europa.

La “fecha límite” del 14 de septiembre de 2019 se estableció como la fecha de cumplimiento original de la SCA. Ahora, a solo unos días de distancia, esta "fecha límite" se ha convertido más bien en una llamada de atención para llamar la atención de los comercios y animarlos a informarse sobre PSD2 y SCA.

Rodgers presentó una diapositiva con el cronograma para la implementación administrada respaldada por la Autoridad de Conducta Financiera en el Reino Unido. Ese plan reconoce la fecha de inicio oficial del 14 de septiembre y establece tres etapas hacia la aplicación total esperada de la regulación a principios de 2021. Para el 14 de marzo de 2020, los comercios deben completar sus evaluaciones de proveedores de pagos que cumplen con la SCA. La fase dos es el período de implementación y prueba de las soluciones SCA y finaliza el 14 de septiembre de 2020. La fase final es donde los comercios deben implementar y optimizar sus nuevas opciones de pago seguro antes del 14 de marzo de 2021, la fecha de cumplimiento designada (por ahora) de PSD2.

La implementación de tres etapas se desarrolló para ayudar a los comercios a mejorar sus sistemas de pago para incluir soluciones listas para PSD2. Cada fase está espaciada a lo largo de seis meses para ayudar a los comercios a avanzar gradualmente hacia la implementación. Los próximos 18 meses son cruciales para la implementación exitosa de PSD2 y SCA. Con herramientas como Seamless SCA de Signifyd, los comercios pueden llegar un poco más rápido.

¿Cómo pueden prepararse los comercios para los próximos requisitos de PSD2?

In the webinar, Rodgers advocated for harmonized language around SCA and PSD2 requirements to empower merchants and customers. He created the #SCADay tag on LinkedIn to share his expertise on the issues and to break down communication barriers.

Rodgers dijo que la respuesta de los medios de comunicación del Reino Unido a PSD2 no ha proporcionado mucha información procesable, alimentando respuestas negativas al conjunto de regulaciones que están diseñadas para proteger a las personas, no para quitarles nada. Agregue eso a los enfoques contradictorios de los bancos y los emisores de pagos, y es fácil ver por qué los comercios y los consumidores no saben dónde encontrar la información correcta para ayudarlos a implementar SCA.

A través de actividades como este seminario web y #SCADay en LinkedIn, Rodgers ha creado una conversación SCA abierta que espera que se convierta en un diálogo generalizado entre cualquiera que compra en línea y depende de los pagos CNP. También está decidido a educar a los consumidores sobre las estafas que utilizan SCA en intentos de phishing y ayudarlos a identificar métodos SCA legítimos de intentos de robo de identidad.

Se acerca el cambio: aprenda a aceptarlo

La principal conclusión de la presentación de Bennett, Whitehead y Rodgers es que es mejor trabajar con PSD2 y SCA que contra ellos. Como dijo Bennett en el comunicado de prensa de Signifyd que anunciaba el lanzamiento de Seamless SCA , “las estrategias de evasión, como la optimización de exenciones para evitar la necesidad de SCA, no son una solución real. Ofrecer una gran experiencia SCA lo es. Los comercios que se preparen ahora tendrán una ventaja competitiva cuando comience la aplicación ".

PSD2 and SCA are designed with the best interests of merchants and consumers in mind. The webinar “Meet PSD2 Requirements With Signifyd Seamless SCA” is now available to watch on-demand. Get an overview of the Seamless SCA product with a live demo on an ecommerce storefront and an expanded look at how SCA and PSD2 work together to protect consumer privacy.

Vea el seminario web bajo demanda ahora .

Chris Martinez

Chris Martinez

Chris es estratega de contenido en Signifyd.