Autenticación 3-D Secure

La autenticación 3-Domain Secure™ (3-D Secure o 3DS) está diseñada para proteger las compras en línea contra fraudes de tarjeta de crédito, al permitirle autenticar al pagador antes de enviar una transacción Authorization o Pay. Mastercard Payment Gateway admite ambas versiones de 3DS: 3DS y EMV 3DS.

3DS, también conocido como 3DS1 en el motor de pagos, es la versión original que permite a los pagadores autenticarse en el servidor de control de acceso (ACS) de su emisor, al ingresar una contraseña previamente registrada con su emisor de tarjeta. Los esquemas de autenticación admitidos incluyen Mastercard SecureCode™, Verified by Visa™, American Express SafeKey™, J/Secure™ y Diners Club ProtectBuy™.

EMV 3DS, también conocido como 3DS2 en el motor de pagos, es la nueva versión diseñada para mejorar la seguridad en las compras en línea, mientras que proporciona procesos de pago sin problemas a los pagadores que son considerados de bajo riesgo por el servidor de control de acceso (ACS). El ACS puede determinar el riesgo mediante la información proporcionada por el negocio, las huellas digitales del explorador y/o las interacciones previas con el pagador. El servidor ACS plantea una tarea al pagador (por ejemplo, el ingreso de un PIN) solo cuando se requiere una verificación adicional para autenticar al pagador, lo que proporciona un aumento de las tasas de conversión. Los esquemas de autenticación admitidos incluyen Mastercard SecureCode™, Verified by Visa™ y American Express SafeKey™.

Aunque su proveedor de servicios de pago puede configurar 3DS1 y 3DS2 en su perfil de negocio con el motor de pagos, usted puede restringir las versiones que desea aceptar, al especificar su elección en la solicitud de autenticación. Si se aceptan ambos, el motor de pagos usa 3DS2 (si el emisor y la tarjeta lo admiten) y recurre como alternativa a 3DS1 solo cuando 3DS2 no está disponible. Si ninguno de los dos está disponible, la autenticación no continuará. Sin embargo, puede continuar igualmente con el pago si el motor de pagos le recomienda que lo haga.

Terminología

Estos son algunos términos clave a los que se hará referencia en toda la documentación de integración de 3DS.

Término Descripción
Servidor de control de acceso (ACS) Componente que opera en el dominio del emisor, que verifica si la autenticación está disponible para un número de tarjeta y el tipo de dispositivo y autentica transacciones específicas.
Llamada de método ACS Se aplica a la autenticación 3DS2. Es una llamada que le permite al ACS recopilar datos adicionales para determinar la clasificación de riesgo para el pagador. Cuando 3DS2 está disponible y cuando los detalles de la llamada de ACS se devuelven en la respuesta después de iniciar la autenticación, estos detalles se pasan al explorador del pagador, y se envían como un formulario publicado en un iframe oculto, para que el ACS pueda recopilar datos adicionales.
Flujo fluido Flujo de autenticación en el que no se requiere que el pagador responda a un desafío porque el ACS considera que el pagador es de bajo riesgo.
Flujo de desafío Flujo de autenticación en el que se redirige al pagador al ACS y se le pide que responda a un desafío para identificarse, porque el ACS no tiene suficiente información del pagador para considerarlo de bajo riesgo.
Sesión de pago Una sesión de pago, o simplemente sesión, es un contenedor temporal para cualquier campo de solicitud y valor de operaciones que hagan referencia a una sesión. Puede utilizarlo en una operación para hacer referencia a los campos de solicitud y valores, en lugar de proporcionarlos directamente en la solicitud de operación. Cuando el motor de pagos recibe una operación que hace referencia a una sesión, la solicitud final se forma al combinar los campos de solicitud de la sesión y aquellos proporcionados directamente en la solicitud. Para obtener más información, consulte sesión de pago.
Autenticación con sesión Autenticación mediante una sesión de pago. Esta autenticación permite a los pagadores proporcionar sus detalles de pago directamente al motor de pagos a través de una interacción del cliente con el motor de pagos, ya sea a través del explorador de un pagador o de una aplicación en el dispositivo móvil del pagador.
Utiliza un mecanismo básico de autenticación HTTP (similar a la autenticación con contraseña), en el que debe proporcionar 'merchant.<your gateway merchant ID>' en la parte de ID de usuario y el ID de sesión en la parte de contraseña. Para usar este tipo de autenticación, primero debe crear una sesión enviando una solicitud de sesión (consulte Create Session [REST][NVP]) desde su servidor al servidor de motor de pagos.
Autenticación de negocio Mecanismo que permite al negocio autenticar las solicitudes de API al motor de pagos, por ejemplo, contraseña/certificado/autenticación de sesión.
API de autenticación API del lado del servidor que consta de dos operaciones, Initiate Authentication y Authenticate Payer, que deben enviarse desde su servidor al servidor del motor de pagos. También se puede usar como API del lado del cliente mediante la autenticación basada en sesión.
API de JavaScript de 3DS API de JavaScript del lado del cliente que le permite iniciar la autenticación 3DS desde el explorador del pagador utilizando la autenticación basada en sesión.
Canal de autenticación Indica dónde se realiza la autenticación 3DS, en el explorador del pagador, en una aplicación en el dispositivo móvil del pagador o en su sistema sin pagador presente para interactuar. Esto tiene consecuencias en cuanto a qué tipos de autenticación y flujos están disponibles, por ejemplo, 3DS1 solo se puede admitir en el explorador con un pagador disponible para la interacción con el ACS.
Propósito de la autenticación La acción del pagador que provoca el intento de autenticación. Por ejemplo, la autenticación se puede realizar cuando un pagador ingresa su número de tarjeta en la página de pago o agrega una tarjeta a su cuenta (donde los negocios emplean alguna forma de tarjeta en archivo).

Prerrequisitos

Para usar el servicio de autenticación 3DS del motor de pagos:

  • Debe estar registrado con su adquirente para usar 3DS1 o 3DS2
  • Su perfil de negocio en el motor de pagos debe estar habilitado para al menos un esquema 3DS para una versión de 3DS compatible.
  • Usted debe estar integrado en API versión 55 o posterior.

Flujo de autenticación 3DS

El flujo de autenticación para un pago difiere, dependiendo de si la tarjeta que seleccionó el pagador admite 3DS1 o 3DS2 o ambos.

3DS1

El siguiente diagrama ilustra el flujo de autenticación para un pago en el que el pagador recurre como alternativa a la autenticación 3DS1 porque 3DS2 no está disponible para la tarjeta. El motor de pagos también intentará 3DS1 en otros casos; por ejemplo, cuando usted solo está habilitado para 3DS1 o ha restringido la versión de autenticación a solo 3DS1 en la solicitud de autenticación.

Flujo de autenticación 3-D Secure para 3DS1

El flujo de autenticación para una autenticación con éxito es el siguiente:

  1. Un pagador explora el sitio de la tienda, selecciona uno o más productos, se dirige a la página de pagos y selecciona pagar con una tarjeta que admite 3DS1, pero no 3DS2.
  2. Initiate Authentication: usted le pide al motor de pagos que consulte con el esquema de tarjeta si la tarjeta está inscrita para 3DS.
  3. Si la autenticación 3DS1 del pagador está disponible, el motor de pagos devuelve los datos de inscripción de tarjeta en la respuesta.
    Si la tarjeta admite 3DS1 y 3DS2, el motor de pagos intenta primero con 3DS2. Consulte Flujo 3DS2.
  4. Authenticate Payer: usted solicita al motor de pagos que realice la autenticación iniciada.
  5. El motor de pagos le proporciona detalles de la autenticación para un flujo de desafío (donde el pagador debe responder a un desafío presentado por el emisor).
  6. Usted redirige el explorador web del pagador al ACS, que presenta su IU de autenticación. El emisor devuelve el resultado de la autenticación al motor de pagos. El motor de pagos redirige al pagador directamente a su sitio web.
  7. Usar la ID de transacción de autenticación de 3DS en una operación de pago: usted envía el pago para procesamiento.
  8. La página de confirmación del pedido se le muestra al pagador.
3DS2

El siguiente diagrama ilustra el flujo de autenticación para un pago en el que el pagador se autentica utilizando 3DS2.

Flujo de autenticación 3-D Secure para 3DS2

El flujo de autenticación para una autenticación con éxito es el siguiente:

  1. Un pagador explora el sitio de la tienda, selecciona uno o más productos, se dirige a la página de pagos y selecciona pagar con una tarjeta que admite 3DS1 y 3DS2.
  2. Initiate Authentication: usted le pide al motor de pagos que consulte con el esquema de tarjeta si la tarjeta está inscrita para 3DS.
  3. Si la autenticación 3DS del pagador está disponible, el motor de pagos devuelve los datos de autenticación en la respuesta.
  4. El motor de pagos devuelve detalles de la llamada de ACS admitida. Se deben enviar los detalles de la llamada de ACS como una publicación de formulario en un iframe oculto, de manera que el ACS pueda recopilar datos adicionales.
  5. Authenticate Payer: usted solicita al motor de pagos que realice la autenticación iniciada.
  6. El motor de pagos le proporciona detalles de la autenticación ya sea para un flujo fluido o para un flujo de desafío (donde el pagador debe responder a un desafío presentado por el emisor).
    1. Flujo fluido: el motor de pagos redirige al pagador directamente a su sitio web.
    2. (Opcional) Flujo de desafío: si el emisor requiere que el pagador responda a un desafío, usted redirige el explorador web del pagador al ACS, que presenta su IU de autenticación. El emisor devuelve el resultado de la autenticación al motor de pagos. El motor de pagos redirige al pagador directamente a su sitio web.
  7. Usar la ID de transacción de autenticación de 3DS en una operación de pago: usted envía el pago para procesamiento.
  8. La página de confirmación del pedido se le muestra al pagador.

Modos de transacción de autenticación 3DS

El motor de pagos admite la autenticación 3DS para los siguientes modos de transacción:

  • Solo autenticación: la autenticación 3DS se realiza mediante el motor de pagos. Puede optar por enviar el pago (utilizando los detalles de autenticación) en una etapa posterior a través de este motor de pagos u otro motor de pagos.
  • Autenticación y transacción de pago: la autenticación 3DS se realiza usando este motor de pagos y se procede a enviar el pago (usando los detalles de autenticación) a través de este motor de pagos.
  • Transacción de pago previamente autenticada: la autenticación 3DS se realiza con un proveedor externo y se proporcionan los detalles de autenticación al enviar un pago a través de este motor de pagos.

Integración para utilizar 3DS

El motor de pagos admite las siguientes opciones de integración para 3DS.

Opción de integración Cuándo usar Modos de transacción admitidos
Hosted Checkout Esta es la opción de integración más sencilla. Con las integraciones de Hosted Checkout versión 55 y posterior, la autenticación 3DS estará automáticamente disponible cuando el proveedor de servicios de pago la haya habilitado correctamente.
Para iniciar la autenticación 3DS y otras operaciones de 3DS directamente desde el explorador del pagador, primero debe establecer el canal de autenticación donde su servidor de negocio debe comunicarse con el servidor del motor de pagos para crear una sesión en el motor de pagos. El ID de sesión generado por el motor de pagos se incluye en todas las solicitudes de autenticación iniciadas por el explorador como parámetro de contraseña (consulte autenticación basada en sesión)
Autenticación y transacción de pago
API de JavaScript de 3DS Esta es una integración de JavaScript del lado del cliente si desea iniciar la autenticación 3DS desde la página de pago de su sitio web. Use esta opción si desea permitir que el pagador envíe sus detalles de pago directamente al motor de pagos desde el explorador.
Para iniciar la autenticación 3DS y otras operaciones de 3DS directamente desde el explorador del pagador, primero debe establecer el canal de autenticación donde su servidor de negocio debe comunicarse con el servidor del motor de pagos para crear una sesión en el motor de pagos. El ID de sesión generado por el motor de pagos se incluye en todas las solicitudes de autenticación iniciadas por el explorador como parámetro de contraseña (consulte autenticación basada en sesión).
Solo autenticación
Autenticación y transacción de pago
API de autenticación Esta es una opción de integración del lado del servidor que le brinda control total sobre su integración, pero requiere el mayor esfuerzo de integración. Use esta opción si debe personalizar las interacciones de API entre el explorador del pagador y el motor de pagos.
Debe realizar las operaciones necesarias para administrar los flujos de integración de 3DS directamente desde su servidor de negocio al servidor del motor de pagos. También se puede usar como API del lado del cliente mediante la autenticación basada en sesión.
Solo autenticación
Autenticación y transacción de pago.

Derechos de autor © 2020 Mastercard