Cuando se anunciaron los nuevos requisitos de PSD2 para el Espacio Económico Europeo (EEE), los comercios y clientes tenían muchas preguntas y pocas respuestas. Las regulaciones prometen un entorno de pago en línea más seguro para todos, pero los desafíos en la implementación de requisitos como la autenticación sólida del cliente (pagos SCA) y los retrasos en el cronograma oficial para la aplicación han desviado la atención de lo bueno que viene con PSD2 y SCA.
Signifyd organizó recientemente un seminario web con el presidente de Vendorcom, Paul Rodgers, para presentar su nuevo producto Seamless SCA y ayudar a los comerciantes a entender qué pueden hacer para ponerse al día con los requisitos de autenticación de la PSD2 en el EEE. En el seminario web se mostró una demostración de Seamless SCA y los antecedentes de la nueva normativa. Compartimos algunas preguntas clave del seminario web con respuestas claras y concisas para ayudar a los comerciantes a entender mejor los requisitos.
Puntos clave:
- El último seminario web de Signifyd se centra en PSD2 y en cómo el nuevo producto Signifyd Seamless SCA ayuda a los comercios a proporcionar las actualizaciones de privacidad necesarias a los consumidores.
- Los responsables de Signifyd y el experto en SCA Paul Rodgers aclaran lo que significa la PSD2 y las siglas asociadas (SCA, 3DS) para ayudar a los consumidores a entender mejor la próxima normativa en el Espacio Económico Europeo (EEE).
- Nuestro equipo de expertos fomenta una mayor educación y transparencia entre comercios, consumidores y proveedores de pagos para ayudar a todos a comprender mejor las regulaciones PSD2.
PSD2, 3DS, SCA: ¿Qué significan estas siglas?
En el seminario web, los líderes de Signfiyd, J. Bennett y Ed Whitehead, definieron qué significa cada uno de los acrónimos clave de la normativa PSD2:
- La PSD2 es la segunda Directiva de Servicios de Pago (el número 2 se añadió al final del acrónimo para actualizar la directiva). El principal objetivo de la PSD2 es regular los servicios de pago y los proveedores de servicios de pago en la Unión Europea (UE) y el EEE. La protección del consumidor es un principio fundamental de la normativa, y los proveedores de servicios de pago tienen derechos y obligaciones específicos para aceptar pagos de comercio electrónico.
- SCA es sinónimo de autenticación sólida de clientes. Es el método principal para que los proveedores de servicios de pago y los comercios aseguren sus transacciones bajo PSD2. SCA requiere una autenticación básica de dos factores para aumentar la seguridad de los pagos electrónicos y autenticar una compra.
- 3DS significa 3-D Secure o Three-Domain Secure. Permite a los consumidores autenticar sus compras directamente con el emisor de su tarjeta cuando realizan compras de comercio electrónico con tarjeta ausente (CNP). La capa de seguridad adicional ayuda a prevenir transacciones CNP no autorizadas y protege al comercio del fraude. Los tres dominios se refieren al comercio, al emisor de pagos y al proveedor de sistemas de pago.
Los tres protocolos o capas de seguridad buscan proteger a los consumidores, comercios y proveedores de pagos contra el fraude en las compras de comercio electrónico. Su estrecha relación ayuda a definir por qué la seguridad adicional es esencial para mejorar las operaciones de comercio electrónico. Las soluciones PSD2 SCA requiere mejores protocolos de seguridad, por lo que Signifyd organizó el seminario web para presentar Seamless SCA y compartir información sobre los problemas actuales que enfrentan los comercios y consumidores en el EEE.
¿Cuáles son los tres métodos de autenticación para SCA?
El objetivo de SCA es obtener la información necesaria para autentificar los pagos a un nivel más personal. La privacidad es lo más importante en SCA, tanto para defender la información personal como para devolver el control de los datos de las transacciones a cada usuario.
La PSD2 exige al menos dos factores de autenticación para la SCA. Cada uno de estos métodos entra dentro de un grupo único de datos que se relacionan directamente con el usuario autorizado: algo que sabe, algo que tiene y algo que es.
Lo que usted sabe es información protegida por medidas de mitigación para evitar su divulgación a terceros. Es el primer paso para comprobar si una persona real y autorizada solicita la transacción.
- Lo que funciona: Preguntas de desafío basadas en el conocimiento. Sólo el usuario autorizado debe conocer las respuestas a preguntas identificativas como: «¿Cuál era el apodo de tu abuela de pequeño?».
- Lo que no funciona: Los datos de la tarjeta desde la propia tarjeta. Cualquiera puede obtener esta información para las transacciones CNP. Gracias a la creciente sofisticación del arte de la estafa, los detalles de la tarjeta son más fáciles de pasar que nunca. Tenga en cuenta que los números pueden ser memorizados y utilizados en cualquier transacción CNP.
Lo que tiene es una validación segura y dinámica generada o recibida en su dispositivo. El procesador de pagos enviará algún tipo de solicitud de autorización al comprador para determinar si el pedido es legítimo. El usuario autorizado debe entonces responder para validar la solicitud para finalizar la transacción.
- Lo que funciona: Una firma generada por un dispositivo a través de un token de hardware o software. El usuario autorizado debe iniciar el envío del token para completar la transacción, a menudo en un breve espacio de tiempo (a menudo menos de 15 minutos).
- Lo que no funciona: Una aplicación instalada sin registro. No hay nada en la aplicación que garantice transacciones seguras desde el principio. A menudo se necesitan pasos adicionales para autenticar al usuario dentro de la app, y a partir de ahí se recomiendan capas de seguridad adicionales.
Lo que es un rasgo físico, una característica fisiológica o un proceso de comportamiento de un ser humano. Es el método más seguro de los tres métodos de autenticación SCA de pago porque es el más único y personal de todos, ya que estas características pertenecen sólo a la persona y no pueden ser copiadas (al menos no todavía). La biometría está avanzando a pasos agigantados en el ámbito de la tecnología de seguridad por esta misma razón.
- Qué funciona: escaneo de huellas dactilares o iris. Los piratas informáticos aún no han determinado cómo descifrar la biometría a una escala confiable. Dado que es imposible (o al menos no recomendado) arrancarse la piel o sacar el ojo para compartir información biométrica como esta, es mucho más difícil para los defraudadores hacerse con material biológico para llevar a cabo sus trucos en las sombras.
- Lo que no funciona: EMV 3-D Secure por sí solo. La Autoridad Bancaria Europea explicó en junio en un memorando que «los protocolos de comunicación como EMV 3-D Secure versión 2.0 y más recientes no parecen constituir actualmente elementos de inherencia, ya que ninguno de los puntos de datos, o su combinación, intercambiados a través de esta herramienta de comunicación parece incluir información relacionada con la biometría biológica y de comportamiento.»
La autenticación multifactorial de SCA puede desglosarse en datos aún más granulares. En el seminario web, Bennett compartió una visión general de los factores utilizados en SCA y cómo encajan en los aspectos clave de la facilidad de uso y la seguridad, porque la experiencia del cliente está en el centro de una estrategia exitosa de SCA.
¿Qué métodos de autenticación funcionan para SCA?
Idealmente, los métodos de autenticación para SCA deberían lograr una gran facilidad de uso y seguridad. Los clientes quieren que sus datos personales y de pago estén seguros, pero hacerlos pasar por muchos obstáculos para completar una transacción conduce al abandono del carrito. Algunos métodos SCA aceptables son menos seguros que otros, aunque cumplen con los estándares de seguridad. Los comercios deben considerar las necesidades de sus clientes y su capacidad para invertir e implementar métodos de seguridad que respalden la mejor experiencia de compra posible.
En el seminario web, Bennett presentó un modelo de matriz que muestra dónde se sitúan los métodos de SCA más comunes en las dos escalas de facilidad de uso y seguridad. Los mejores métodos de autenticación combinan facilidad de uso y seguridad, como un token enviado directamente al dispositivo del usuario autorizado para cada transacción, o dinámicas de pulsación de teclas que coinciden con los patrones de comportamiento del usuario autorizado.
Otros métodos que no marcan todas las casillas siguen siendo seguros para SCA. Por ejemplo, el reconocimiento de venas tiene una gran facilidad de uso pero ofrece menos seguridad que otras opciones. Otro método, como la frase de paso, tiene una puntuación baja tanto en la escala de facilidad de uso como en la de seguridad, en parte porque introducir varias palabras puede ser un reto en un dispositivo móvil. Pero cada uno de ellos es un método de SCA aprobado y puede funcionar con la implementación correcta.
¿Cuál es el calendario de la DSP2?
Las soluciones de PSD2 SCA podrían parecer un plazo difícil de cumplir. En este momento, las distintas autoridades de las diferentes jurisdicciones están enviando mensajes diferentes sobre cuándo se aplicarán los requisitos. El Reino Unido, por ejemplo, ha esbozado un despliegue de 18 meses, mientras que la autoridad competente de Francia ha publicado un calendario que abarca dos años. Parte del problema de la aplicación de las normas de seguridad más estrictas es la falta de liderazgo y orientación en el EEE, como señaló el anfitrión del seminario Paul Rodgers. Rogers, presidente de Vendorcom y miembro del panel de reguladores de sistemas de pago, citó la escasa armonización de políticas entre los distintos países de Europa.
La “fecha límite” del 14 de septiembre de 2019 se estableció como la fecha de cumplimiento original de la SCA. Ahora, a solo unos días de distancia, esta «fecha límite» se ha convertido más bien en una llamada de atención para llamar la atención de los comercios y animarlos a informarse sobre PSD2 y SCA.
Rodgers presentó una diapositiva con el cronograma para la implementación administrada respaldada por la Autoridad de Conducta Financiera en el Reino Unido. Ese plan reconoce la fecha de inicio oficial del 14 de septiembre y establece tres etapas hacia la aplicación total esperada de la regulación a principios de 2021. Para el 14 de marzo de 2020, los comercios deben completar sus evaluaciones de proveedores de pagos que cumplen con la SCA. La fase dos es el período de implementación y prueba de las soluciones SCA y finaliza el 14 de septiembre de 2020. La fase final es donde los comercios deben implementar y optimizar sus nuevas opciones de pago seguro antes del 14 de marzo de 2021, la fecha de cumplimiento designada (por ahora) de PSD2.
La implementación de tres etapas se desarrolló para ayudar a los comercios a mejorar sus sistemas de pago para incluir soluciones listas para PSD2. Cada fase está espaciada a lo largo de seis meses para ayudar a los comercios a avanzar gradualmente hacia la implementación. Los próximos 18 meses son cruciales para la implementación exitosa de PSD2 y SCA. Con herramientas como Seamless SCA de Signifyd, los comercios pueden llegar un poco más rápido.
¿Cómo pueden prepararse los comercios para los próximos requisitos de PSD2?
En el seminario web, Rodgers abogó por un lenguaje armonizado en torno a los requisitos de SCA y PSD2 para empoderar a los comercios y clientes. Creó la etiqueta #SCADay en LinkedIn para compartir su experiencia sobre los problemas y romper las barreras de comunicación.
Rodgers dijo que la respuesta de los medios de comunicación del Reino Unido a PSD2 no ha proporcionado mucha información procesable, alimentando respuestas negativas al conjunto de regulaciones que están diseñadas para proteger a las personas, no para quitarles nada. Agregue eso a los enfoques contradictorios de los bancos y los emisores de pagos, y es fácil ver por qué los comercios y los consumidores no saben dónde encontrar la información correcta para ayudarlos a implementar SCA.
A través de actividades como este seminario web y el #SCADay en LinkedIn, Rodgers ha creado una conversación abierta sobre SCA que espera que se convierta en un diálogo generalizado entre todos los que compran en línea y dependen de los pagos CNP. También está decidido a educar a los consumidores acerca de las estafas que utilizan SCA en los intentos de phishing y ayudarles a identificar los métodos legítimos de SCA de los intentos de robo de identidad.
El cambio se acerca: aprenda a aceptarlo
La principal conclusión de la presentación de Bennett, Whitehead y Rodgers es que es mejor trabajar con PSD2 y SCA que contra ellos. Como dijo Bennett en el comunicado de prensa de Signifyd que anunciaba el lanzamiento de Seamless SCA, “las estrategias de evasión, como la optimización de exenciones para evitar la necesidad de SCA, no son una solución real. Ofrecer una gran experiencia SCA lo es. Los comercios que se preparen ahora tendrán una ventaja competitiva cuando comience la aplicación «.
PSD2 y SCA están diseñados pensando en los mejores intereses de los comercios y consumidores. El seminario web “Cumpla con los requisitos de PSD2 con Signifyd Seamless SCA” ahora está disponible para verlo a pedido. Obtén una descripción general del producto Seamless SCA con una demostración en vivo en un escaparate de comercio electrónico y una visión ampliada de cómo SCA y PSD2 trabajan juntos para proteger la privacidad del consumidor.
Vea el seminario web a la carta ahora.