SCA o Autenticación Fuerte de Clientes

Para obtener más información y actualizaciones sobre la aplicación de la PSD2, consulte:

• ¿Cuándo entrará en vigor la PSD2/SCA?.
• Información sobre la 3DS v2

Su integración está preparada para SCA cuando todo su volumen de pagos se procesa utilizando productos preparados para SCA.

• • Su empresa debe utilizar un producto preparado para SCA, como la nueva versión de PayXpert Checkout, Hosted Payment Page, Billing, Payment API o una solución de socio preparada para SCA.
  • Pruebe la autenticación 3D Secure a fondo. Utilice nuestras tarjetas de prueba reglamentarias para asegurarse de que su integración puede manejar 3D Secure.
  • Para los pagos fuera de sesión, asegúrese de configurar y autenticar la tarjeta al guardar el método de pago, y los pagos fuera de sesión se marcan como fuera de sesión a través de la API.
  • Si su empresa utiliza las API de suscripciones o facturas de PayXpert Billing, asegúrese de que su integración puede manejar estados incompletos.

.

Si observa en el panel de control que sus pagos no avanzan más allá del estado incompleto (requires_action en la API), considere:

• • Si se trata de un pago en sesión, esto puede ser lo esperado. Su cliente podría estar en el proceso de autenticación o puede haber abandonado el flujo de pago.
  • Asegúrese de que está manejando las acciones requeridas en el lado del cliente.
  • Si se trata de un pago fuera de sesión, esto no se espera. Usted debe establecer off_session a true al crear el pago.

.

Para los pagos fuera de sesión, visite su panel de control y filtre por los pagos fallidos. Al pasar por encima de la insignia de estado, se resaltará el motivo de rechazo (por ejemplo, se requiere autenticación). Los pagos en sesión se pueden ver aplicando el filtro de pagos incompletos y viendo si el pago está incompleto ya que se requiere la autenticación.

Para los pagos fuera de sesión, asegúrese de que está autenticando la tarjeta al guardar los detalles de la tarjeta, ya sea sin un pago o durante un pago. Cuando guarde las tarjetas sin un pago, utilice la API Setup Intents y establezca el uso como off_session. Si guarda las tarjetas durante un pago, establezca setup_future_usage como off_session. Por último, tenga en cuenta que las exenciones no están garantizadas y que los pagos fuera de sesión pueden seguir requiriendo la autenticación del banco.

Puede ver una lista de los plugins comunes de PayXpert preparados para SCA aquí. Si no ve el plugin que utiliza su empresa aquí, visite la sección de actualizaciones de SCA del panel de control para obtener una orientación más detallada.

Los pagos que han sido autenticados con éxito utilizando 3D Secure están cubiertos por un cambio de responsabilidad. Si el titular de la tarjeta impugna un pago con 3D Secure por considerarlo fraudulento, la responsabilidad pasa de usted al emisor de la tarjeta. Si se aplican exenciones, el pago no se autentifica a través de 3D Secure y, por lo tanto, no está cubierto por un cambio de responsabilidad.

Cuando configura su flujo de pago para guardar correctamente una tarjeta con la API de intenciones de pago o de configuración, PayXpert marca cualquier pago posterior fuera de la sesión como una transacción iniciada por el comerciante (MIT) para reducir la necesidad de autenticación. Las transacciones iniciadas por el comerciante requieren un acuerdo (también conocido como mandato) entre usted y su cliente. Añada condiciones a su sitio web o aplicación sobre cómo planea procesar los pagos que su cliente pueda aceptar.

Como mínimo, asegúrese de que sus condiciones cubren lo siguiente:

• • El permiso del cliente para que usted inicie un pago o una serie de pagos en su nombre
  • La frecuencia prevista de los pagos (es decir, único o recurrente)
  • Cómo se determinará el importe del pago

Añada un texto en su flujo de pago que haga referencia a las condiciones del mismo, por ejemplo:

"Autorizo a [el nombre de su empresa] a enviar instrucciones a la institución financiera que emitió mi tarjeta para que tome los pagos de la cuenta de mi tarjeta de acuerdo con las condiciones de mi contrato con ustedes."

Hay un número limitado de exenciones para el SCA, y se espera que las más comunes sean:

• Transacciones de bajo riesgo, en las que el índice de fraude del proveedor de la tarjeta y del banco están por debajo de los niveles esperados en proporción a la transacción
• Transacciones de bajo valor (pagos inferiores a 30 euros)
• Suscripciones de tarifa fija (servicios de streaming en línea en los que el precio no varía)
• Transacciones iniciadas por el comerciante (pagos diferidos, facturación complementaria)

En estos casos, no se requerirá autenticación adicional. Sin embargo, el problema para los minoristas es que no todos los bancos tendrán sistemas para aprobar todas estas exenciones antes del 14 de septiembre. Incluso después de esa fecha, las exenciones pueden concederse de forma inconsistente entre los bancos. Esto significa que los minoristas deben crear flujos de pago que den por sentado que no se concederán las exenciones y que requerirán la autorización completa del cliente.

La información de la tarjeta guardada antes del 14 de septiembre se mantendrá y se considerará autentificada. En el caso de minoristas como Amazon, el cliente habrá iniciado la sesión en el sitio web cuando intente utilizar la tarjeta, por lo que, dependiendo de cómo implemente 3DS2 su procesador de pagos, la reautenticación de una tarjeta guardada puede hacerse sin necesidad de volver a introducir la información de la tarjeta.

Es un poco diferente en el caso de las suscripciones en las que se cobra a la tarjeta sin que el usuario esté presente (periódicos en línea, servicios de vídeo en streaming, etc.). No debería ser necesario volver a autorizar en cada periodo de facturación. Si el precio de la suscripción cambia, el banco evaluará el riesgo de la transacción (historial del titular de la tarjeta, historial del minorista, tasa de fraude del propio banco) y puede optar por pedir una autenticación adicional, o puede permitir que la transacción quede exenta de la SCA.

El principal reto para los minoristas es que las respuestas de los diferentes bancos a los mismos tipos de transacciones probablemente sean incoherentes. La tarea crítica es construir los flujos de pago de una manera resistente, para esperar desafíos de autenticación en todas las etapas del procesamiento de la transacción.

A diferencia de la mayoría de las cosas relacionadas con el Brexit, con el SCA hay certeza. Se espera que la normativa se aplique en el Reino Unido, independientemente de si se produce el Brexit, cuándo y cómo. De hecho, la Autoridad de Conducta Financiera del Reino Unido (FCA) ha añadido recientemente algo más de claridad a la situación actual. Ha adoptado las recomendaciones de UK Finance (un grupo de comercio de servicios bancarios y financieros) sobre la aplicación.

Subrayando las preocupaciones en torno a la concienciación de los consumidores, así como la preparación de los comerciantes y emisores, UK Finance abogó por un despliegue gradual, en lugar del enfoque "big bang" que vimos con el GDPR, por ejemplo. Esto podría resumirse simplemente como ningún cambio durante seis meses, seguido de pasos de bebé.

El hecho de que esta propuesta haya sido aceptada significa que hay una ventana de 18 meses en la que la SCA estará en los libros, pero en diferentes niveles de implementación y aplicación en el Reino Unido.

El Banco Central de Irlanda ha mencionado un "período de mitigación limitado", con varias otras autoridades de la UE haciendo ruidos similares, pero la FCA es la primera en poner algo de carne en los huesos del retraso.

Antes de seguir adelante, le recomendamos que utilice esta lista de comprobación para hacer un seguimiento de su progreso en el cumplimiento de la PSD2.

El mandato de la PSD2 es para los bancos, no para los comerciantes. Esto significa que los bancos emisores que aprueban transacciones no conformes están violando la ley en su país de origen.

Los bancos emisores implementan protocolos para cumplir con la normativa de PSD2 SCA. Usted, como comerciante, debe asegurarse de que sus transacciones cumplen con la normativa para evitar el riesgo de que los bancos emisores rechacen sus transacciones, lo que conllevaría unos índices de autorización más bajos.

Para aumentar las tasas de conversión, recomendamos a los comerciantes que recopilen información para todos los campos marcados como obligatorios y la pasen a la puerta de enlace. El uso de los campos opcionales mejorará aún más la tasa de conversión y permitirá a los comerciantes obtener más aprobaciones del Emisor.

1. INFORMACIÓN DE LA PÁGINA DE PAGO Y DE LAS TRANSACCIONES

2. INFORMACIÓN DE AUTENTICACIÓN DEL SOLICITANTE DE 3DS

3. INFORMACIÓN DE AUTENTICACIÓN DEL SOLICITANTE DE 3DS

4. INDICADOR DE RIESGO DEL COMERCIANTE

5. INFORMACIÓN DE LA CUENTA DEL TITULAR DE LA TARJETA