0

Normativa PSD2

28 de junio de 2019
  • SI GESTIONAS UN ECOMMERCE, SEA CUAL SEA EL TAMAÑO O SECTOR, SEGURO QUE TIENES MARCADO EN ROJO EL 14 DE SEPTIEMBRE EN TU CALENDARIO. ESE DÍA ENTRA EN VIGOR LA IMPLANTACIÓN DE LA PARTE DE LA NORMATIVA PSD2 (DIRECTIVA EUROPEA SOBRE LOS SERVICIOS DE PAGO) REFERIDA A SCA (STRONG CUSTOMER AUTHENTICATION).

  • SE TRATA DE UNA REGULACIÓN COMPLEJA, CON MATICES, EXCEPCIONES Y EXCLUSIONES. DE SU CONOCIMIENTO Y CORRECTA APLICACIÓN DEPENDERÁ EN GRAN MEDIDA LA EVOLUCIÓN DE LOS RESULTADOS DEL COMERCIO ONLINE EN LOS PRÓXIMOS MESES.

  • PARA AYUDARTE EN LA PLANIFICACIÓN Y FACILITARTE EL PROCESO DE TOMA DE DECISIONES, HEMOS ELABORADO UN PLAN DE ACCIÓN QUE ESPERAMOS QUE SE CONVIERTA EN TU MANUAL DE AYUDA PARA ADAPTARTE A SCA:


1. No te compliques con la normativa, pero apréndete muy bien estos 3 puntos:

- Según norma, de obligado cumplimiento, la mayoría de las transacciones de venta online tendrán que estar autenticadas mínimo por dos de estos tres factores de seguridad a partir del 14 de septiembre. O lo que es lo mismo, tendrán que procesarse por un protocolo de “Compra segura” (3D Secure) adaptado.

Los 3 factores son:

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

- La buena noticia es que la habilitación del SCA o Doble Factor de Autenticación no te corresponde a ti como comercio. Son los emisores de los sistemas de pago, o sea, los bancos y las marcas de tarjetas, los encargados de adaptar los protocolos e informar a sus usuarios para que conozcan y dispongan del doble factor de autenticación a partir de Septiembre. A ti, como responsable de un ecommerce, te toca asegurarte de procesar como “compra segura” (3D Secure) todas las operaciones que realmente lo requieran.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

- Como toda norma que se precie, existen excepciones e incluso exclusiones. Este punto es muy importante si te interesa poder procesar algunas o la mayoría de las transacciones sin necesidad de autenticar con los 2 factores

2. Sabemos que te preocupa el impacto que el SCA va a suponer en el nivel de fricción y en los ratios de denegaciones, conversión y fidelización. Por eso te detallamos cada una de las exclusiones y excepciones, para que identifiques bien las que pueden aplicar en tu caso particular.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1 EXCLUSIONES
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Las operaciones “excluidas” se enviarán por el comercio como “compra no segura” (No 3D Secure). La entidad emisora del medio de pago o tarjeta podrá aceptarlas o denegarlas, pero nunca requerir una autenticación a su cliente.


PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1   

“One leg transactions”: cuando o bien medio de pago (tarjeta, cuenta…) o bien el cobro (TPV…) quedan fuera del Espacio Económico Europeo.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1   

Pagos con tarjetas prepago anónimas.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1   

MO/TO Operaciones en las que el pago se ha iniciado por teléfono, correo o

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1   

MIT (Merchant Initiated Transactions o pagos repetitivos, suscripciones): operaciones iniciadas por el comercio, con el pagador “ausente” en el momento del pago, siempre y cuando haya un acuerdo preexistente entre comercio y comprador. Se requiere una autenticación SCA en el pago inicial, en la primera compra. Se pueden considerar MIT los pagos repetitivos, en procesos tipo “batch” en los que el importe es variable. También en suscripciones digitales sin importe fijo como, por ejemplo, campañas de publicidad online o en cargos extras en el alquiler de un coche o reservas hoteleras …



PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1 EXCEPCIONES
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

A diferencia de las “exclusiones”, las “excepciones” se tienen que enviar por una canal de “compra segura” (3D Secure). La entidad emisora de la tarjeta o medio de pago puede aceptarlas o denegarlas, pero también, requerir una autenticación de su cliente antes de responder.


PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Transacciones de ≤ 30€. La entidad emisora solo la aceptará sin autenticar a su cliente si, desde la última vez que lo autenticó, el importe exento acumulado es ≤ 100€ o el número transacciones exentas es ≤ 5.



PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Excepción por TRA (Transaction Risk Analysis). Operaciones claramente de bajo riesgo de fraude, siempre y cuando el ratio global de fraude de la Entidad de Pago que procesa el pago del comercio (el banco o la plataforma propietaria del TPV Virtual), esté identificado y certificado por el Regulador:

- Operaciones < 500€ si ratio <0’01%
- Operaciones < 250€ si ratio <0’06%
- Operaciones < 100€ si ratio <0’13%

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Transacciones recurrentes. Operativa periódica con mismos importes, sistema de pago, periodicidad y beneficiario. Se requiere autenticación en la primera transacción. Muy importante: las suscripciones iniciadas con anterioridad al 14 de Septiembre no tendrán que ser autenticadas.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Lista blanca de beneficiarios. No la puedes solicitar como comercio. Aplica a entidades emisoras de sistemas de pago. Consiste en la habilitación de protocolos para que sus clientes les puedan reportar “comercios de confianza”.

3. Contacta con tu proveedor de TPV Virtual o pasarela de pagos y pregúntale qué acciones están llevando a cabo para poder procesar excepciones y exclusiones. El cambio normativo lleva asociado un cambio tecnológico y tu pasarela de pagos tiene que estar preparada.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Existen nuevas especificaciones del protocolo 3D Secure adaptado a los requerimientos de PSD2/SCA.

El nuevo canal incluye nuevos campos que el comercio tiene que informar obligatoriamente como, por ejemplo, los referidos a ciertos parámetros del navegador del comprador. También hay campos que se tendrán que enviar si quieres acogerte a alguna de las excepciones.

4. Si habitualmente procesas en 3D Secure, tienes que conocer esta información como profesional del ecommerce, pero realmente no afecta demasiado a tu tienda online.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1 PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

Simplemente tienes que asegurarte que tu proveedor de pasarela de pagos o TPV Virtual esté actualizando su tecnología con el nuevo protocolo y que los nuevos campos obligatorios ya estén implementados en los formularios


5. En cambio, si te interesa procesar todas o parte de las operaciones sin autenticar, analiza bien las exclusiones y excepciones que te hemos explicado y, si consideras que puedes aplicarte alguna de ellas, comunícaselo a tu proveedor de TPV Virtual. Éste deberá informarte sobre cómo proceder y configurar el envío de los campos adicionales necesarios.


PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

6. En cualquier caso, te recomendamos que durante las primeras semanas después del 14 de septiembre, intensifiques los controles sobre la conversión de las ventas en tu tienda online. Si detectas incrementos inusuales en los ratios de denegaciones, deberías contactar con un proveedor de plataforma de pagos para que te asesore.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1

7. Al margen de todo lo anterior, si eres el gestor de un marketplace o plataforma online con gestión de fondos de terceros, tienes que saber que otra de las normas asociadas a PSD2 requiere que tu marketplace disponga de una Licencia de Entidad de Pago del Banco de España o bien delegar la gestión en un partner con licencia, como PAYCOMET.

PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1
PAYCOMET Pasarela de pagos certificada PCI-DSS Nivel 1