Medidas de seguridad

 

Phone&Sell sms/e-mail se ha configurado con una serie de medidas de seguridad con el objetivo de reducir el riesgo de que se realicen ventas pagadas con tarjetas fraudulentas (robadas, copiadas o utilizadas sin el consentimiento del legítimo titular).

 

1. Velocity checks

Son restricciones de seguridad que blo­quean operaciones y comportamientos de compra inusuales.

Como medida adicional de seguridad y prevención del fraude, Banco Sabadell aplicará una serie de límites de seguridad respecto de la operativa del comercio en función de su actividad y del tipo de operativa. Se trata de límites por importe y número de operaciones que han de ajustarse a unos valores que no condicionen las expectativas de venta del comercio pero que a su vez eviten desviaciones exageradas de su fac­turación habitual (en la mayoría de los casos significan que se está recibiendo un ataque con tarjetas robadas y/o fraudulentas).

Los parámetros iniciales configurados para su comercio son:

  • Número máximo de operaciones (acepta­das y denegadas) por tarjeta: 3 oper. / día
  • Número máximo de operaciones (acepta­das y denegadas) por usuario (dirección IP): 3 oper. / día
  • Importe máximo acumulado por tarjeta: 1.000 euros / día
  • Importe máximo acumulado por usuario (dirección IP): 1.000 euros / día
  • Denegar operación si el país de la tarjeta es distinto de España y distinto del país de la IP.

Si considera que estos parámetros no se ajustan con la operativa habitual de su comercio, rogamos solicite una modifi­cación a través de su oficina o gestor de Banco Sabadell.

Adicionalmente, también se pueden confi­gurar otras reglas en función de importes, número de operaciones, país de emisión de la tarjeta, país de localización de la IP del comprador, período de uso, etc.

Si considera que se debe implementar alguna de ellas, rogamos lo solicite a través de su oficina o gestor de Banco Sabadell.

 

2. Verificación del CVV2

El CVV2 es un código de tres cifras que está impreso en el reverso de todas las tarjetas financieras. La validación de este código se ha demostrado como una excelente herramienta para limitar el fraude.

Phone&Sell siempre solicitará en el proceso de pago el código CVV2 y lo validará, en on-line, con la entidad financiera que haya emitido la tarjeta.

 

3. Protocolo de compra segura (CES)

Para proteger al comercio ante pagos fraudulentos o retrocesiones de los compradores argumentando que ellos no los realizaron, Phone&Sell está homologado a los protocolos de Comercio Electrónico Seguro (CES) de los sistemas de tarjetas Visa (Verified by Visa) y MasterCard (MasterCard SecureCode).

En CES, dentro del proceso de pago Banco Sabadell requiere al titular de la tarjeta que se autentique en on-line con su entidad financiera. El sistema de autenticación es el previamente pactado entre el titular y su banco (contraseña, PIN, envío de un SMS de verificación, etc.)

A tener en cuenta:

  • A pesar de que CES aporta seguridad y protección, si algún comercio virtual dispone de sistemas alternativos de control del fraude y desea desactivar la compra CES en Phone&Sell, podrá solicitarlo a su oficina o gestor de Banco Sabadell para que se analice el caso e implemente la modificación si procede.
  • Habitualmente los sistemas de tarje­tas no permiten que las tarjetas llama­das de empresa (Business, Corporate, etc.) puedan llevar a cabo el proceso de autenticación del titular. Por ello, este tipo de tarjetas no son aceptadas por Phone&Sell. En el caso excepcional de que el comercio considere necesario aceptartarjetas de empresa, deberá solicitarlo a su oficina de Banco Sabadell, aceptando previa y explícitamente las retrocesiones que de esta operatoria se derivaran.
  • La autenticación del titular de la tarjeta no exime al comercio de asumir la retrocesión de operaciones producidas por otras cau­sas en las que el cliente argumente que sí realizó la transacción pero, por ejem­plo, reclame que no recibió el servicio o mercancía pagada. Para defenderse ante dichas retrocesiones, el comercio deberá facilitar a Banco Sabadell documentación donde se demuestre de manera inequí­voca que el titular de la tarjeta recibió el producto o servicio contratado.

 

4. Medidas de seguridad adicionales

Para proteger los intereses de su comercio y reducir al máximo el volumen de incidencias, recomendamos que monitorice la actividad de su web por si detecta alguna, o varias, de las siguientes señales sospechosas de fraude:

  • En el módulo de administración de Phone&Sell se informa de la dirección IP del comprador y de la numeración de la tarjeta (debidamente enmascarada con asteriscos). Es sospechoso que:

- Un mismo usuario (dirección IP) haya pagado (o haya intentado pagar) con más de dos tarjetas distintas.

- Un mismo usuario (IP) o una misma tarjeta hayan realizado múltiples operaciones en un corto período de tiempo.

- Al realizar diferentes compras, un mis­mo usuario (IP) o una misma tarjeta se hayan registrado en la web con datos diferentes.

- Si Phone&Sell ha rechazado la primera operación de la tarjeta, es sospechoso que a continuación se hayan procesa­do más operaciones con la misma IP o con la misma tarjeta por importes más bajos.

- Operaciones consecutivas con números de tarjetas similares.

  • En el mensaje de respuesta (campo “DS_Response”) o en el módulo de ad­ministración de Phone&Sell se informa acerca de si la operación ha sido aceptada (códigos 000 a 099) o denegada (resto de códigos). Los códigos de denegación tipo 2xx, indican que la tarjeta está bloqueada por pérdida, robo, falsificación del plástico o por uso fraudulento de la numeración de la tarjeta. En estos casos el comercio deberá bloquear el usuario (identificable mediante dirección IP y datos de registro) para no permitirle la opción de intentar ningún nuevo pago.
  • En el mensaje de respuesta se encuentra el campo “Ds_Card_Country”, que informa del código ISO del país donde se ha emitido la tarjeta. Mediante la comparación con la dirección IP del comprador se pueden filtrar comportamientos sospechosos de ser fraudulentos (p.ej., una tarjeta emitida en un país pero que opera mediante una IP de otro país diferente).
  • En la información de registro del com­prador:

– Validar los números de teléfono usando directorios públicos de teléfonos.

– Validar que el código del teléfono y/o su prefijo coincide con el área geográfica de la dirección de envío del pedido.

– Validar la correspondencia entre el código postal y la ciudad del envío.

– Validar la dirección e-mail enviando una orden de confirmación.

– Verificar en datos públicos de redes sociales, los datos de registro del com­prador.

  • Y también revisar:

– Pedidos con la misma dirección de entrega pero realizados con múltiples tarjetas.

– Pedidos consistentes en múltiples can­tidades del mismo producto.

– Pedidos de importe superior al habitual.

– Pedidos en los que la entrega debe ser urgente, o incluso “para el día siguiente”. Los delincuentes quieren disponer de estos productos obtenidos fraudulentamente tan pronto como sea posible, para una probable reventa, y no están preocupados por el sobrecoste del envío.

– Para webs no traducidas a idiomas in­ternacionales, que los pagos se realicen con tarjetas extranjeras y/o desde IP internacionales y/o con pedidos para ser enviados a direcciones internacionales.

 

Adicionalmente a la monitorización de los parámetros anteriores, su comercio puede reducir considerablemente el riesgo de exposición al fraude aplicando controles de operaciones propios para identificar transacciones de alto riesgo. Estos controles pueden ser automáticos (velocity checks) y previos a enviar las solicitudes de autorización a Banco Sabadell, o bien, revisiones manuales posteriores al procesamiento de la transacción con Banco Sabadell.

Los protocolos de prevención del fraude que implemente deberán estar basados en los datos de registro del usuario (User Id., nombre, teléfono, dirección, e-mail, etc.) y, también, en datos de registro del receptor del servicio/producto (nombre de los viajeros si es Agencia de viajes o similar, domicilio de entrega de producto, teléfono de contacto, etc.).

En caso de que la operación no supere todos los controles indicados, el comercio debe rechazar la tarjeta como medio de pago y anular la operación si esta ya se hubiera realizado.

Para minimizar, por tanto el riesgo de fraude, es necesario que los responsables del comercio conozcan estas medidas de seguridad, desarrollen acciones de formación a todos los empleados que gestionen los pagos con tarjeta y verifiquen periódicamente el cumplimiento de estas medidas. En caso contrario, se corre el riesgo de que las operaciones fraudulentas se puedan retroceder al comercio y, si el número de operaciones retrocedidas o fraudulentas es significativo, se proceda al bloqueo del terminal y la rescisión del contrato con Banco Sabadell.