TPV Virtual - Credenciales en Archivo (COF)

Credenciales en Archivo (COF)

 

Una operación Credential-On-File (COF) es una transacción en la que el comercio está haciendo uso de los datos del titular de la tarjeta (PAN o PAN tokenizado y fecha de caducidad), de los cuales el titular ha dado autorización explícita al comercio para almacenarlos y para utilizarlos en esta transacción y posteriores.

Una transacción COF puede ser iniciada por el titular (p.e. compra en comercio electrónico u operación MOTO) o iniciada por el comercio como resultado de un acuerdo entre titular y comercio (p.e. pago recurrente o pago aplazado).

La normativa publicada por las marcas Visa y Mastercard obliga a identificar todas las transacciones que son COF así como el uso que se está haciendo de las credenciales. El objetivo de esta nueva normativa es reducir el número de denegaciones hacia los emisores en este tipo de operaciones.

Estas son las distintas operativas Credential On File:

 

Operativas principales COF

  • Installments: Pago aplazado. Siempre referido a una compra INDIVIDUAL, el im­porte de las diferentes transacciones es fijo, y con un intervalo de tiempo definido
  • Recurring: Pago recurrente. El importe de las transacciones puede ser fijo o variable, y con un intervalo de tiempo definido

 

Operativas especiales COF

  • Reauthorization: Normalmente ante envíos parciales. También cuando el cliente amplía la estancia en hotel / alquiler del vehículo o cuando habiendo una autorización estima­da, se solicita el importe final (“remate”)
  • Resubmission: Original denegada por “sal­do”; solo para ciertos sectores de actividad (para más detalle revisar la normativa de las marcas) y con un máximo de días desde la compra. Ejemplo relevante: “Transporte”
  • Delayed: los que suceden con posterioridad a la operación por servicios prestados / usados desconocidos al principio. (Minibar, daños vehículo, multas….)
  • Incremental: cuando durante el periodo de contrato se incurren en servicios adi­cionales
  • No Show: cuando el comercio cobra servicios a los que el titular se comprometió, pero luego no cumplió con los términos acordados. Ejemplo relevante: reservas en hoteles no atendidas sin cancelar.

 

Otras operativas COF:

  • El resto de operativas COF que no encajen con ninguna de las anteriores como, por ejemplo, la operativa de pago en 1-clic, donde se utilizan las credenciales almacenadas para facilitar el pago a los clientes, sin tener que pedir de nuevo introducir los datos en un formulario de pago.

 

Como requerimiento adicional será necesario diferenciar la primera transacción COF (aquella en la que el comercio está almacenando las credenciales), indicando igualmente el uso que se va a hacer de ellas posteriormente.

 

TIPOS DE PARÁMETROS ESPECÍFICOS EN EL SIS

 

Se han definido los siguientes parámetros en el protocolo de conexión al SIS para aplicar la operativa de COF según requerimientos de las marcas. En todas las operaciones COF:

  • Es necesario saber si es la primera oper­ación COF (almacenamiento de credencial­es) o es posterior (uso de credenciales)
  • Es necesario saber el uso que se hace de las credenciales. Si es la primera transac­ción se indicará el uso que se hace en la primera transacción y en sucesivas. Si la primera operación es de importe cero (validación) se indicará el uso que se hará de las credenciales en las transacciones posteriores.

 

Petición de operación Credential-On-File

 

Nombre

Longitud / Tipo

Descripción

DS_MERCHANT_COF_INI

1/AN

Indicador de transcción COF. Obligatorio para operativa COF Visa y MC. Valores posibles:

S”: Sí es primera transacción COF (almacenar credenciales)

N”: No es primera transacción COF

Cualquier otro valor no se tendrá en cuenta y la operación no se procesará como COF

DS_MERCHANT_COF_TYPE

1/AN

Tipo de transacción COF. Opcional para COF Visa y MC. Valores posibles:

I”: Installments

“R”: Recurring

H”: Reauthorization

“E”: Resubmission

“D”: Delayed

M”: Incremental

“N”: No Show

C”: Otras

DS_MERCHANT_COF_TXNID

15/AN

Identificador de transacción COF. Opcional. Este identificador es devuelto en la respuesta de la primera operación COF (almacenamiento de credenciales) y deberá enviarse en transacciones sucesivas realizadas con las credenciales que generaron este mismo Id_txn

 DS_MERCHANT_EXCEP_SCA

3 / AN

Exención que se desea aplica en la operación. En el caso de COF, tiene sentido usar este campo en los pagos que son realizados sin intervención del titular de la tarjeta, para indicar que son pagos en los que no es posible realizar la autenticación del titular. En este caso se deberá usar el valor: “MIT”

 

Respuesta de operación Credential-On-File

 

Nombre

Longitud / Tipo

Descripción

DS_MERCHANT_COF_TXNID

15/AN

Identificador de transacción COF. Opcional. El comercio recibirá este identificador como respuesta en las operaciones iniciales de almacenamiento de credenciales (CIT). Se deberá almacenar este valor para posteriormente enviarlo en autorizaciones COF sucesivas de forma que se vinculen todas operaciones sucesivas con su original correspondiente. .

 

Impacto en operativa de Pago con Referencia en el SIS

 

A continuación, vemos el impacto en los casos de que el comercio esté utilizando la operativa actual de Pago con Referencia.

 

Primera operación solicitando nueva referencia

  • DS_MERCHANT_COF_INI: no es necesario en este caso, ya se está indicando que es primera transacción en el Ds_Merchant_Identifier=”REQUIERED”
  • DS_MERCHANT_COF_TYPE: Este parámetro es opcional, si no se envía el SIS lo registrará como operativa COF tipo “C” (Otras). No obstante, para obtener los mejores resultados de autorización se recomienda incluir este campo para informar al emisor con la mayor precisión del motivo del almacenamiento de credenciales, y es de especial importancia con la PSD2 en los casos que en los que se enviaran MIT sin autenticar de forma posterior.
  • DS_MERCHANT_COF_TXNID: no aplica en la solicitud de referencia

 

Operaciones sucesivas

  • DS_MERCHANT_COF_INI: No es necesario, el valor lo gestiona internamente el SIS. 
  • DS_MERCHANT_COF_TYPE: No es obligatorio, pero altamente recomendable. En caso de no enviarse valor, el sistema recupera el utilizado en la operación de registro de credenciales inicial y lo incorpora antes de enviar la operación a autorizar.
  • DS_MERCHANT_COF_TXNID: Opcional, en caso de no incluirse, el valor lo incorpora el SIS antes de enviar la operación a autorización. El servicio de pago por referencia almacena internamente para cada referencia generada el identificador de transacción original obtenido en la primera operación para luego poder incorporarlo en todas las operaciones realizadas posteriormente con cada referencia. Esto evita que el comercio tenga que almacenar los TXID en sus sistemas.

 

 

 

Consideraciones para tener en cuenta con la entrada en vigor de PSD2

 

Con motivo de la entrada en vigor de la directiva de Europea de Pagos PSD2, se indican en esta guía algunas nuevas características que puede afectar a la funcionalidad de operaciones COF Se trata de describir las posibilidades que hay combinando la operativa COF con otras operativas existentes en el TPV Virtual (3DSecure, marcaje MIT, etc.) de forma que se garantice el cumpliendo de PSD2.

 

1. Todas las operaciones CIT – Cardholder Initiated Transaction (aquellas donde el titular participa activamente) deben ser autenticadas.

Esto implica que todas las transacciones en las que se piden los datos de tarjeta al titular para su almacenaje (COF iniciales) deberán ser autenticadas, a excepción de las realizadas en entornos remotos no electrónicos (MO/TO – Mail Order/Telephone Order) que no requieren autenticación.

 

2. Obligatoriedad de enviar el identificador de la transacción original - TID en COF sucesivas.

Será obligatorio enviar el TID (parámetro DS_MECHANT_COF_TXNID) de la COF inicial en todas las operaciones COF sucesivas. Esto es necesario para probar ante el emisor de la tarjeta que se está aplicando PSD2 correctamente y no se deniegue las operaciones sucesivas por no estar autenticadas. La vinculación de una transacción sucesiva generada por el comercio (MIT) con su operación original (CIT) que sí fue autenticada en su momento permite al emisor de la tarjeta verificar que se está haciendo un uso correcto de las credenciales de pago y autorizar las operaciones sin incumplir la normativa PSD2.

Para ello Redsys devolverá al comercio siempre el valor del TID en la respuesta de la COF inicial, de forma que el comercio pueda incorporarlo en las transacciones COF sucesivas.

Es posible que algunas operaciones COF iniciales realizadas antes de la entrada en vigor de PSD2 no dispongan de TID (porque no se generó o porque el comercio no lo guardó), en estos casos debe enviarse el siguiente valor para identificar de dicha situación al emisor

DS_MECHANT_COF_TXNID = “999999999999999”

 

No obstante, este valor no deberá usarse en transacciones para hacer referencia a operativas ya realizadas dentro del marco temporal de aplicación de la PSD2 y en el futuro será invalidado su uso.

 

3. Marcaje MIT en COF sucesivas.

Las COF subsiguientes podrán ser:

- CIT (Cardholder Initiated Transaction): se marcan como COF sucesivas, y requerirán autenticación del titular (o exención) al estar el titular participando activamente en la transacción.

- MIT (Merchant Initiated Transaction): para asegurar que no se deniegan por el emisor se deben marcar como COF sucesivas y como MIT mediante el parámetro siguiente:

DS_MERCHANT_EXCEP_SCA = “MIT”

De forma adicional, en las transacciones marcadas como MIT se deberá indicar el parámetro Ds_Merchant_DirectPayment=true para indicar que son pagos sin intervención del titular de la tarjeta y por lo tanto no es posible realizar la autenticación del mismo.

 

4. Operación COF inicial MO/TO (Mail Order/Telephone Order).

La operación COF inicial podría ser realizada en un entorno remoto no electrónico MO/TO. En este caso no será necesario autenticar al estar fuera de alcance de SCA-PSD2.

Las operaciones COF subsiguientes (cuando la inicial ha sido MOTO) al igual que las descritas anteriormente, pueden ser:

  • CIT por comercio electrónico/website/app: marcar la operación COF sucesiva, requerirá autenticación o exención.
  • CIT por canal telefónico: la operación por tanto se considera MOTO.
  • MIT: COF sucesivas con el TID obtenido en la operación MOTO inicial (COF inicial).