3-D Secure, también conocido como 3DS, es una solución de autenticación globalmente aceptada diseñada por la red de esquemas de tarjetas "EMVCo" para hacer las transacciones sin tarjeta (CNP) más seguras. Los tres dominios consisten en el dominio del comerciante/adquirente, el dominio del emisor y el dominio de interoperabilidad (por ejemplo, sistemas de pago).
3-D Secure proporciona una capa adicional de seguridad para las transacciones sin tarjeta (CNP) antes de la autorización. Permite el intercambio de datos entre el comerciante, el emisor de la tarjeta y, si es necesario, el titular de la tarjeta para verificar que la persona legítima propietaria de la cuenta está realizando la transacción.
HiTRUST es un proveedor certificado por EMVCo que admite las principales soluciones en el ecosistema 3-D Secure: servidor 3DS, servidor de control de acceso (ACS), autenticación basada en riesgo (RBA) y SDK para Android e iOS. HiTRUST no solo ocupa el mercado en la región de Gran China, sino que también ha estado proporcionando servicios de autenticación global durante más de dos décadas.
En 3-D Secure 2.0, existen dos flujos de transacciones: Challenge y Frictionless. Cuando se realiza la autenticación basada en riesgos en el ACS (Access Control Server), el flujo Frictionless permite a los emisores aprobar una transacción sin la interacción del titular de la tarjeta. Para los titulares de la tarjeta, simplemente hacen clic en "Comprar" y el pago se aprueba. Con el flujo Frictionless, se logra una mejor experiencia de compra para los clientes, menos páginas de redirección, aprobación más rápida y una minimización de la complejidad durante el proceso de compra.
Por otro lado, el flujo Challenge requiere el uso de un OTP (contraseña de un solo uso) o OOB (Out of Band), donde se le solicita al titular de la tarjeta que se autentique para asegurarse de que la transacción ha sido iniciada por el titular legítimo de la cuenta.
El servidor 3DS es el componente que inicia la autenticación, proporcionando a los comerciantes, adquirentes y pasarelas de pago la protección 3DS, lo que transfiere la responsabilidad por pérdidas por fraude. Además, el servidor 3DS mejora la seguridad de las transacciones y reduce el abandono de carrito. HiTRUST3DSsvr es compatible con los seis principales esquemas de tarjetas: Visa, Mastercard, American Express, China UnionPay, JCB y Discover.
La autenticación basada en riesgos (RBA), que generalmente trabaja con Servidores de Control de Acceso (ACS), evalúa el perfil de riesgo de una transacción, analizando diversos datos relacionados con la transacción, el titular de la tarjeta y el comerciante.
RBA permite a los emisores autenticar a sus titulares de tarjetas para transacciones de bajo riesgo sin solicitar información adicional (flujo sin fricción) para transacciones de bajo riesgo, y realizar la autenticación solo para transacciones sospechosas (flujo de desafío) mediante métodos como el OTP.
Veri-ID es la solución de autenticación basada en riesgos de HiTRUST. Los módulos de IA pueden auto-aprender y generar un modelo RBA personalizado para proteger a las instituciones financieras del fraude, aumentar la tasa de transacciones sin fricción y ofrecer una mejor experiencia para todas las partes involucradas.
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) es un estándar de seguridad de la información establecido por los esquemas de tarjetas para garantizar que se mantenga un entorno seguro para todas las partes involucradas en la recepción, procesamiento, almacenamiento o transmisión de información de tarjetas de crédito. Específicamente, se refiere a los estándares técnicos y operacionales que todas las partes deben seguir para proteger los datos de las tarjetas de crédito.
Para los clientes que implementan el Servicio en la Nube 3DS de HiTRUST, dado que HiTRUST ya ha obtenido la certificación PCI-DSS y se actualiza anualmente, el entorno 3DS de los clientes no necesita pasar la certificación PCI-DSS por separado.
Para tanto HiTRUST3DSsvr como HiTRUSTacs, HiTRUST ofrece soluciones en las instalaciones y servicio en la nube. La opción en las instalaciones requiere que construyas el entorno de pruebas/producción y mantengas los servidores. Servicio en la nube está listo para usar y puedes seguir nuestras APIs para completar el proceso de integración.
HiTRUST admite los seis principales esquemas de tarjetas: Visa, Mastercard, American Express, China Union Pay, JCB y Discover.
Para el servicio en la nube de HiTRUST 3DS, hemos creado interfaces fáciles de usar. Simplemente integre los servidores basados en nuestras API y el servicio en la nube estará listo para usarse.
Para soluciones en las instalaciones, por favor contáctenos para más información.
Los comerciantes pueden optar por aprovechar los beneficios de 3DS, incluida la protección contra el cambio de responsabilidad. Esto significa que cuando un emisor autentica una transacción de comercio electrónico, están seguros de que el propietario legítimo está iniciando la transacción y, si resulta ser fraudulenta, asumirán la responsabilidad del fraude. Por el contrario, si el comerciante envía una transacción sin 3DS, la responsabilidad del fraude recae sobre el comerciante.
Los emisores están obligados a participar en 3DS. En algunos casos, si un emisor no participa en 3DS, el servidor de directorio (DS) operado por las redes de tarjetas intervendrá y eludirá la autenticación. Sin embargo, la responsabilidad sigue recayendo sobre el emisor.
Cuando 3DS 1.0 se lanzó por primera vez en los esquemas de tarjetas en línea hace 20 años, las compras móviles aún no eran una gran tendencia. Por lo tanto, existen algunos problemas de compatibilidad cuando los titulares de tarjetas usan dispositivos diversos. Todos los esquemas de tarjetas importantes han anunciado que el final de la versión 3DS 1.0 será en octubre de 2022.
3-D Secure 2.1 admite dispositivos móviles (tanto en navegador como en aplicaciones), autenticación fuera de banda (OOB, por sus siglas en inglés), como la autenticación por Face ID o Touch ID en aplicaciones, y la característica más crucial llamada Frictionless Flow, que ofrece una excelente experiencia de usuario.
3-D Secure 2.2 admite exenciones de la Autenticación Reforzada de Clientes (SCA, por sus siglas en inglés) para la región del EEE, autenticación de pagos en transacciones iniciadas por el comerciante (entorno 3RI) y autenticación desacoplada. Mastercard requirió que todos los puntos finales admitieran 3-D Secure 2.2 antes de julio de 2023.
La solución híbrida de HiTRUST admite todas las versiones mencionadas. Aunque 3DS 1.0 se va a descontinuar, durante el período de transición, en el que algunos emisores y comerciantes todavía usan 1.0 y otros han adoptado 2.x, sería prudente tener la capacidad de admitir todas ellas.
ACS es el componente que opera en el dominio del emisor para verificar si el legítimo propietario de la cuenta está realizando una transacción. En la mayoría de los casos, ACS trabaja con un servidor de autenticación basada en riesgos (RBA) para prevenir fraudes y determinar si se debe aplicar el flujo Frictionless o el flujo Challenge. Además de RBA, ACS generalmente trabaja con sistemas de tarjetas, Módulos de Seguridad de Hardware (HSM), (OTP) y Servicio de Mensajes Cortos (SMS).
El SDK proporciona la funcionalidad de transacciones 3DS para los comerciantes que usan aplicaciones nativas. HiTRUST3DSSDK ofrece una integración fácil de usar y directa con un SDK totalmente certificado y altamente avanzado para la recuperación/transmisión de datos, así como el procesamiento de desafíos en nombre del 3DS Server.
El PCI-3DS Core Security Standard proporciona un marco para implementar controles de seguridad en las funciones críticas de 3-D Secure que respaldan la integridad y confidencialidad de las transacciones 3DS. Este estándar se aplica a las partes que realizan o proporcionan funciones de 3DS, DS y ACS. Los proveedores de servicios de terceros que puedan afectar estas funciones de 3DS o la seguridad de los entornos en los que se realizan estas funciones también pueden estar obligados a cumplir con los requisitos del PCI-3DS.
Para los clientes que implementan el HiTRUST 3DS servicio en la nube, dado que HiTRUST ya ha obtenido la certificación PCI-3DS y se actualiza anualmente, el entorno 3DS del cliente no necesita pasar por una certificación PCI-3DS adicional.
Servicio en la nube de HiTRUST 3DS es fácil de acceder a través de APIs, y es mantenido y actualizado por HiTRUST. Esto beneficiará a aquellos que busquen una solución que se pueda implementar en poco tiempo sin la necesidad de contar con una gran cantidad de ingenieros de TI internos.
La solución en las instalaciones de HiTRUST requiere una implementación local y debe conectarse con los esquemas de tarjetas para realizar las pruebas de integración. Se requiere la certificación PCI-DSS y, en algunos casos, certificación PCI-3DS. Sin embargo, todos los datos de las transacciones se almacenan a nivel nacional.
HiTRUST tiene una amplia experiencia ayudando a nuestros clientes a inscribirse en cada uno de los esquemas de tarjetas.
HiTRUST lo guiará a través de los requisitos de configuración.