Iniciar sesión 

3D Secure 2

Un estándar de autenticación que reduce el fraude y brinda mayor protección

Foto del avatar de Olivier Godement
Olivier Godement

Olivier lidera la labor de Stripe de ayudar a las empresas a prepararse para la autenticación reforzada de clientes (SCA).

  1. Introducción
  2. Resumen
  3. Un breve historial de 3D Secure 1
  4. ¿En qué se diferencia 3D Secure 2?
    1. Autenticación sin fricciones
    2. Una mejor experiencia de usuario
  5. 3D Secure 2 y la autenticación reforzada de clientes
  6. ¿De qué forma Stripe admite 3D Secure 2?

Resumen

La norma 3D Secure, comúnmente conocida por sus nombres comerciales como «Visa Secure», «Mastercard Identity Check» o «American Express SafeKey», tiene el objetivo de reducir el fraude y lograr que los pagos electrónicos sean más seguros.

3D Secure 2 (3DS2) ofrece una «autenticación sin fricciones» y mejora la experiencia de compra en comparación con 3D Secure 1. Se trata del principal método de autenticación de tarjetas utilizado para cumplir con los requisitos de la autenticación reforzada de clientes (SCA) en Europa y un mecanismo clave para que las empresas soliciten exenciones con relación a la SCA.

Stripe admite 3D Secure 2 en nuestras API de pagos, SDK para móvilesStripe Checkout.

Un breve historial de 3D Secure 1

A pesar de las medidas de seguridad adicionales, como el Sistema de verificación de domicilio (AVS) o la verificación del CVC utilizados en algunos mercados, los pagos con tarjetas de crédito y débito aún pueden presentar un alto riesgo de fraude. (De hecho, es por este riesgo que los clientes tienen la posibilidad de disputar pagos fraudulentos efectuados con sus tarjetas).

Para abordar este problema, las redes de tarjeta implementaron la primera versión de 3D Secure en 2001. Si sueles comprar artículos en línea, es posible que estés familiarizado con el flujo de 3D Secure: ingresas los datos de tu tarjeta para confirmar un pago y, luego, se te redirige a otra página donde tu banco te solicita un código o una contraseña para aprobar la compra. Puesto que la página de autenticación asocia su marca con la de la red de tarjeta, la mayoría de los clientes suelen estar más familiarizados con los nombres comerciales de 3D Secure, como Visa Secure, Mastercard Identity Check o American Express SafeKey.

El beneficio que el uso de 3D Secure aporta a las empresas es claro: la solicitud de información adicional permite incorporar una capa adicional de protección contra fraudes y garantizar que solo se acepten pagos con tarjeta de clientes legítimos. Como incentivo adicional, autenticar un pago con 3D Secure traslada la responsabilidad de tu empresa al banco de tu cliente en casos de contracargos por fraude. Esta protección adicional es la razón por la que 3D Secure suele aplicarse a compras grandes, como billetes de avión.

Lamentablemente, el uso de 3D Secure 1 también tiene algunas desventajas: el paso adicional necesario para completar el pago agrega fricción al flujo de compra y puede llevar a los clientes a desistir de la compra. Además, muchos bancos aún obligan a sus titulares de tarjetas a crear y recordar sus propias contraseñas estáticas para completar la verificación con 3D Secure. Estas contraseñas se olvidan fácilmente, lo que puede incrementar las tasas de abandono del carrito.

¿En qué se diferencia 3D Secure 2?

EMVCo, una organización formada por seis grandes redes de tarjeta, lanzó una nueva versión de 3D Secure. El protocolo 3D Secure 2 (también llamado EMV 3-D Secure, 3D Secure 2.0 o 3DS2) tiene como objetivo solucionar muchos de los defectos de 3D Secure 1 con una autenticación menos problemática y una mejor experiencia de usuario.

Autenticación sin fricciones

3D Secure 2 permite que las empresas y los proveedores de servicios de pago envíen más datos sobre cada transacción al banco del titular de la tarjeta. Estos datos pueden ser específicos, como la dirección de envío, y también contextuales, como el ID del dispositivo del cliente o el historial de transacciones anteriores.

El banco del titular de la tarjeta puede utilizar esta información para evaluar el nivel de riesgo de la transacción y seleccionar una respuesta adecuada:

  • Si los datos son suficientes para que el banco confíe en que el titular real de la tarjeta es quien hace la compra, la transacción pasa por el flujo «sin fricciones» y la autenticación se completa sin necesidad de que el titular de la tarjeta ingrese más información.

  • Si el banco decide que necesita más pruebas, la transacción pasa por el flujo de «comprobación» y se le pide al cliente que proporcione información adicional para autenticar el pago.

Aunque 3D Secure 1 ya admitía una forma limitada de autenticación basada en el riesgo, la posibilidad de compartir más datos con 3D Secure 2 tiene como objetivo aumentar la cantidad de transacciones que puedan autenticarse sin que el cliente deba ingresar nuevos datos.

Ejemplo del flujo de autenticación de un pago mediante el uso de 3D Secure 2 con compatibilidad con 3D Secure 1 como alternativa

Aunque la transacción siga el flujo sin fricciones, la empresa obtendrá el mismo beneficio de la transferencia de responsabilidad que con las transacciones que pasen por un flujo de comprobación.

Una mejor experiencia de usuario

A diferencia de 3D Secure 1, 3D Secure 2 fue diseñado después del surgimiento de los teléfonos inteligentes y permite que los bancos ofrezcan experiencias innovadoras de autenticación a través de sus aplicaciones móviles (en ocasiones denominada «autenticación fuera de banda»). En lugar de ingresar una contraseña o de recibir un mensaje de texto, el titular de la tarjeta puede usar su huella digital o incluso el reconocimiento facial a través de la aplicación del banco para autenticar un pago. Prevemos que muchos bancos aceptarán estas experiencias de autenticación más fluidas con 3D Secure 2.

La segunda mejora con respecto a la experiencia de usuario es que 3D Secure 2 está diseñado para integrar el flujo de comprobación directamente dentro de los flujos de compra en la Web y a través del móvil, sin requerir redireccionamientos de páginas completas. Si un cliente realiza la autenticación en tu sitio o página web, la confirmación de 3D Secure ahora aparece de forma predeterminada en un cuadro de diálogo modal en la página de finalización de compra (flujo de navegador).

Si estás desarrollando una aplicación, los SDK para móviles creados para 3D Secure 2 te permitirán diseñar un flujo de autenticación «en la aplicación» y evitar por completo los redireccionamientos del navegador.

3D Secure 1: flujo de autenticación móvil con redireccionamiento del navegador

3D Secure 2: flujo de autenticación móvil mejorado dentro de la aplicación

3D Secure 2 y la autenticación reforzada de clientes

Debido a la aplicación de la autenticación reforzada de clientes (SCA), 3D Secure 2 resulta una función imprescindible si haces negocios en Europa. Puesto que esta normativa exige un paso adicional de autenticación en los pagos europeos, la experiencia de usuario mejorada que ofrece 3D Secure 2 puede reducir el impacto negativo en la conversión.

El protocolo 3D Secure 2 también permite que los proveedores de servicios de pago como Stripe soliciten exenciones en relación con la SCA y omitan la autenticación por completo en casos de pagos de bajo riesgo. Los pagos que requieran SCA deberán pasar por el flujo de «comprobación», mientras que las transacciones eximidas de dicha autenticación podrán pasar por el flujo «sin fricciones». Sin embargo, es importante tener en cuenta que si el proveedor de servicios de pago solicita una exención para los pagos que requieren SCA y la transacción pasa por el flujo «sin fricciones», no se obtendrá el beneficio de la transferencia de responsabilidad.

¿De qué forma Stripe admite 3D Secure 2?

Stripe admite el flujo de navegador de 3D Secure 2 en nuestras API de pagos y Checkout, lo que te permite aplicar 3D Secure de forma dinámica a los pagos de alto riesgo para proteger tu empresa contra el fraude. Aplicaremos 3D Secure 2 cuando el banco del titular de la tarjeta lo permita y recurriremos de manera alternativa a 3D Secure 1 si aún no admite la nueva versión.

Si estás desarrollando una aplicación móvil, nuestros SDK para iOS y Android te permiten crear un flujo de autenticación en la aplicación para ofrecer una experiencia de autenticación «nativa». De este modo, no es necesario redireccionar a los clientes fuera de la aplicación. Aunque el banco del titular de la tarjeta todavía no acepte 3D Secure 2, nuestros SDK para móviles mostrarán 3D Secure 1 de forma dinámica en una vista web incorporada en tu aplicación.

Obtén más información sobre nuestras API de pagosSDK para móviles o Stripe Checkout para empezar a usar 3D Secure 2.

¿Todo listo para empezar? Ponte en contacto con nosotros o crea una cuenta.

Crea una cuenta y empieza a aceptar pagos, sin necesidad de contratos ni datos bancarios. También puedes contactarnos para diseñar un paquete personalizado para tu empresa.