3D Secure 2

Un estándar de autenticación que reduce el fraude y proporciona más seguridad

Foto del avatar de Olivier Godement
Olivier Godement

Olivier lidera la labor de ayudar a las empresas a prepararse para la autenticación reforzada de clientes (SCA).

  1. Introducción
  2. Resumen
  3. Breve historia de 3D Secure 1
  4. ¿Cuáles son las diferencias con 3D Secure 2?
    1. Autenticación sin fricciones
    2. Una mejor experiencia del usuario
  5. 3D Secure 2 y la autenticación reforzada de clientes
  6. ¿De qué forma admite Stripe el estándar 3D Secure 2?

Resumen

La normativa 3D Secure, comúnmente conocida por nombres comerciales como Visa Secure, Mastercard Identity Check o American Express SafeKey, tiene como finalidad reducir el fraude y aportar más seguridad a los pagos por Internet.

3D Secure 2 (3DS2) incorpora una «autenticación sin fricciones» y mejora la experiencia de compra en comparación con 3D Secure 1. Es el principal método de autenticación de tarjetas utilizado para cumplir con la normativa de autenticación reforzada de clientes (SCA) en Europa y un mecanismo clave para que las empresas soliciten exenciones a la SCA.

Stripe admite 3D Secure 2 en nuestras API de pago, SDK para móviles y Stripe Checkout.

Breve historia de 3D Secure 1

A pesar de las medidas de seguridad adicionales, como el sistema de verificación de domicilio (AVS o la verificación CVC utilizada en algunos mercados, los pagos con tarjeta de crédito y débito aún pueden presentar un alto riesgo de fraude. (De hecho, es debido a este riesgo que los clientes tienen la posibilidad de disputar pagos fraudulentos realizados con su tarjeta).

Para abordar este problema, las redes de tarjetas implementaron la primera versión de 3D Secure en 2001. Si sueles comprar artículos por Internet, es posible que conozcas el flujo de 3D Secure: introduces los datos de tu tarjeta para confirmar un pago y luego se te redirige a otra página donde tu banco te solicita un código o contraseña para aprobar la compra. Debido a que las redes de tarjetas tienen una página de marca compartida con las páginas de autenticación, la mayoría de los clientes suelen estar más familiarizados con los nombres de marca de 3D Secure, como Visa Secure, Mastercard Identity Check o American Express SafeKey.

Para las empresas, las ventajas de 3D Secure son evidentes: al solicitar información adicional, se puede incorporar una capa adicional de protección contra el fraude y garantizar que solo se acepten pagos con tarjeta de clientes legítimos. Como incentivo adicional, al autenticar un pago con 3D Secure, se transfiere la responsabilidad por los contracargos debidos a fraude de la empresa al banco del cliente. Esta protección adicional es la razón por la que 3D Secure se aplica a menudo a compras grandes, como por ejemplo billetes de avión.

Desafortunadamente, el uso de 3D Secure 1 tiene algunos inconvenientes: el paso adicional requerido para completar el pago añade fricción al flujo del proceso de compra y puede hacer que los clientes abandonen la compra. Además, varios bancos todavía obligan a sus titulares de tarjetas a crear y recordar sus propias contraseñas estáticas para completar la verificación de 3D Secure. Estas contraseñas son fáciles de olvidar, lo que puede generar mayores tasas de abandono del carrito.

¿Cuáles son las diferencias con 3D Secure 2?

EMVCo, una organización formada por seis grandes redes de tarjetas, lanzó una versión más reciente de 3D Secure. 3D Secure 2 (también llamado EMV 3-D Secure, 3D Secure 2.0 o 3DS2) tiene como objetivo abordar muchas de las deficiencias de 3D Secure 1 mediante la introducción de una autenticación menos disruptiva y una mejor experiencia de usuario.

Autenticación sin fricciones

3D Secure 2 permite que las empresas y sus proveedores de servicios de pago envíen más datos sobre cada transacción al banco del titular de la tarjeta. Aquí se incluyen datos específicos del pago como la dirección de envío, así como datos contextuales, como el ID del dispositivo del cliente o el historial de transacciones anteriores.

El banco del titular de la tarjeta puede utilizar esta información para evaluar el nivel de riesgo de la transacción y seleccionar una respuesta adecuada:

  • Si los datos son suficientes para que el banco confíe en que el titular real de la tarjeta es quien realiza la compra, la transacción pasa por el flujo «sin fricción» y la autenticación se completa sin necesidad de más información del titular de la tarjeta.

  • Si el banco decide que necesita más pruebas, la transacción pasa por e flujo de «comprobación» y se pide al cliente que proporcione información adicional para autenticar el pago.

Aunque 3D Secure 1 ya admitía una forma limitada de autenticación basada en el riesgo, la capacidad de compartir más datos con 3D Secure 2 tiene como objetivo aumentar la cantidad de transacciones que se pueden autenticar sin necesitad de más información del cliente.

Ejemplo del flujo de autenticación de un pago usando 3D Secure 2 con soporte para 3D Secure 1 como alternativa

Aun cuando la transacción siga el flujo sin fricciones, la empresa tendrá el mismo beneficio de transferencia de la responsabilidad que con las transacciones que pasan por un flujo con comprobación.

Una mejor experiencia del usuario

A diferencia de 3D Secure 1, 3D Secure 2 se diseñó después del surgimiento de los smartphones y permite que los bancos ofrezcan experiencias innovadoras de autenticación a través de sus aplicaciones móviles bancarias (en ocasiones denominada «autenticación fuera de banda»). En lugar de introducir una contraseña o de recibir un mensaje de texto, el titular de la tarjeta puede autenticar el pago a través de la aplicación del banco usando simplemente su huella digital o incluso mediante el reconocimiento facial. Prevemos que muchos bancos ofrecerán estas experiencias de autenticación más fluidas con 3D Secure 2.

La segunda mejora en la experiencia del usuario es que 3D Secure 2 está diseñado para integrar el flujo con comprobación directamente dentro de los flujos del proceso de compra en la web y a través del móvil, sin requerir redireccionamientos a páginas completas. Si un cliente se autentica en tu sitio o página web, la confirmación de 3D Secure ahora aparece de forma predeterminada en un cuadro de diálogo modal en la página del proceso de compra (flujo de autenticación por navegador).

3D Secure 2 browser flow

Si estás creando una aplicación, los SDK móviles creados para 3D Secure 2 te permiten crear un flujo de autenticación «en la aplicación» y evitar al mismo tiempo los redireccionamientos del navegador.

3D Secure 1: flujo de autenticación móvil mediante redireccionamiento al navegador

3D Secure 2 (3DS2): flujo de autenticación móvil mejorado dentro de la aplicación

3D Secure 2 y la autenticación reforzada de clientes

La aplicación de la autenticación reforzada de clientes (SCA) hace que 3D Secure 2 sea aún más importante si llevas a cabo negocios en Europa. Como esta regulación requiere que apliques más autenticación en los pagos europeos, la experiencia de usuario mejorada de 3D Secure 2 puede reducir el impacto negativo en la conversión.

El protocolo 3D Secure 2 también permite a los proveedores de pago como Stripe solicitar exenciones a SCA y omitir la autenticación para pagos de bajo riesgo. Los pagos que requieren SCA deberán pasar por el flujo de «comprobación», mientras que las transacciones que pueden estar exentas de SCA se pueden enviar a través del flujo «sin fricción». Sin embargo, es importante señalar que si el proveedor de servicios de pago solicita una exención para los pagos que requieren SCA y la transacción pasa por el flujo «sin fricción», no se beneficiará de la transferencia de responsabilidad.

¿De qué forma admite Stripe el estándar 3D Secure 2?

Stripe admite el flujo de autenticación por navegador 3D Secure 2 en nuestras API de pagos y Checkout, lo que te permite aplicar 3D Secure de manera dinámica a los pagos de alto riesgo para proteger tu negocio contra el fraude. Aplicaremos 3D Secure 2 cuando sea compatible con el banco del titular de la tarjeta y recurriremos a 3D Secure 1 cuando la nueva versión todavía no sea compatible.

Si estás creando una aplicación móvil, nuestros SDK de iOS y Android te permiten crear un flujo de autenticación en la aplicación para ofrecer una experiencia de autenticación «nativa»; de este modo, también se evita redirigir a tus clientes fuera de la aplicación. Incluso si el banco del titular de la tarjeta no admite 3D Secure 2, nuestros SDK para dispositivos móviles recurrirán a mostrar 3D Secure 1 de forma dinámica en una vista web incrustada en tu aplicación.

Obtén más información sobre nuestras API de pago, los SDK para móviles o Stripe Checkout para empezar a usar 3D Secure 2.

¿A punto para empezar? Contáctanos o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. También puedes contactarnos para diseñar un paquete personalizado para tu empresa.