De acuerdo a la norma de PSD2 (entrada en vigor el 14 de septiembre de 2019), directiva europea que tiene como objetivo mejorar la seguridad y reforzar la autenticación del cliente en las operaciones de comercio electrónico se definen una serie de exenciones al uso de SCA que podrán venir marcadas en la petición de autorización.
PARÁMETRO |
VALORES POSIBLES |
DS_MERCHANT_EXCEP_SCA |
MIT, LWV, TRA, COR, ATD |
Como anteriormente podemos observar la normativa contemplan diferentes exenciones que se pueden marcar para no autenticar algunas de las operaciones de comercio electrónico. Tener en cuenta que al marcar exenciones la responsabilidad al fraude de la operación recae en el comercio.
Se contemplan dos tipos de mensajes donde podemos marcar una exención:
Las exenciones dependen de la configuración y la activación por parte de la entidad, para conocer que exenciones podemos aplicar deberemos mandar el parámetro DS_MERCHANT_EXCEP_SCA con el valor “Y” y como respuesta obtendremos las posibles exenciones a marcar.
*Para la exención TRA, se establece un máximo de importe que vendrá también informado.
<DATOSENTRADA> <DS_MERCHANT_AMOUNT>1000</DS_MERCHANT_AMOUNT> <DS_MERCHANT_ORDER>1552571678</DS_MERCHANT_ORDER> <DS_MERCHANT_MERCHANTCODE>999008881</DS_MERCHANT_MERCHANTCODE> <DS_MERCHANT_TERMINAL>2</DS_MERCHANT_TERMINAL> <DS_MERCHANT_CURRENCY>978</DS_MERCHANT_CURRENCY> <DS_MERCHANT_TRANSACTIONTYPE>0</DS_MERCHANT_TRANSACTIONTYPE> <DS_MERCHANT_PAN> XXXXXXXXXXXXXXXXXX </DS_MERCHANT_PAN> <DS_MERCHANT_EMV3DS>{'threeDSInfo':'CardData'}</DS_MERCHANT_EMV3DS> <DS_MERCHANT_EXCEP_SCA>Y</DS_MERCHANT_EXCEP_SCA> </DATOSENTRADA>
Como respuesta se obtendrá lo siguiente:
<RETORNOXML> <CODIGO>0</CODIGO> <INFOTARJETA> <Ds_Order>1553155286</Ds_Order> <Ds_MerchantCode>999008881</Ds_MerchantCode> <Ds_Terminal>2</Ds_Terminal> <Ds_TransactionType>0</Ds_TransactionType> <Ds_EMV3DS>{"protocolVersion":"2.1.0", "threeDSServerTransID":"8de84430-3336-4ff4-b18d-f073b546ccea ", "threeDSInfo":"CardConfiguration", "threeDSMethodURL":"https://sis.redsys.es/sis-simulador-web/threeDsMethod.jsp"}</Ds_EMV3DS> <Ds_Excep_SCA>LWV;TRA[30.0];COR;MIT;ATD;WHL</Ds_Excep_SCA> <Ds_Card_PSD2>Y</Ds_Card_PSD2> <Ds_Signature>7155jJYTzqeO/FoKjIQwUrjRJU7CxiOLHlC00d5c/RU=</Ds_Signature> </INFOTARJETA> </RETORNOXML>
<DATOSENTRADA> <DS_MERCHANT_AMOUNT>1000</DS_MERCHANT_AMOUNT> <DS_MERCHANT_ORDER>1552572812</DS_MERCHANT_ORDER> <DS_MERCHANT_MERCHANTCODE>999008881</DS_MERCHANT_MERCHANTCODE> <DS_MERCHANT_TERMINAL>2</DS_MERCHANT_TERMINAL> <DS_MERCHANT_CURRENCY>978</DS_MERCHANT_CURRENCY> <DS_MERCHANT_TRANSACTIONTYPE>0</DS_MERCHANT_TRANSACTIONTYPE> <DS_MERCHANT_PAN> XXXXXXXXXXXXXXXXXX </DS_MERCHANT_PAN> <DS_MERCHANT_EXPIRYDATE >XXXX</ DS_MERCHANT_EXPIRYDATE> <DS_MERCHANT_CVV2>XXX</ DS_MERCHANT_CVV2> <DS_MERCHANT_EXCEP_SCA>LWV</DS_MERCHANT_EXCEP_SCA> <DS_MERCHANT_EMV3DS>{ "threeDSInfo":"AuthenticationData", "protocolVersion":"2.1.0", "browserAcceptHeader":"text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8,appli cation/json", "browserUserAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36", "browserJavaEnabled":"false", "browserLanguage":"ES-es", "browserColorDepth":"24", "browserScreenHeight":"1250", "browserScreenWidth":"1320", "browserTZ":"52", "threeDSServerTransID":"8de84430-3336-4ff4-b18d-f073b546ccea", "notificationURL":"https://comercio-inventado.es/recibe-respuesta-autenticacion", "threeDSCompInd":"Y" }</DS_MERCHANT_EMV3DS> </DATOSENTRADA>
<DATOSENTRADA> <DS_MERCHANT_AMOUNT>1000</DS_MERCHANT_AMOUNT> <DS_MERCHANT_ORDER>1552572812</DS_MERCHANT_ORDER> <DS_MERCHANT_MERCHANTCODE>999008881</DS_MERCHANT_MERCHANTCODE> <DS_MERCHANT_TERMINAL>2</DS_MERCHANT_TERMINAL> <DS_MERCHANT_CURRENCY>978</DS_MERCHANT_CURRENCY> <DS_MERCHANT_TRANSACTIONTYPE>0</DS_MERCHANT_TRANSACTIONTYPE> <DS_MERCHANT_PAN> XXXXXXXXXXXXXXXXXX </DS_MERCHANT_PAN> <DS_MERCHANT_EXPIRYDATE >XXXX</ DS_MERCHANT_EXPIRYDATE> <DS_MERCHANT_CVV2>XXX</ DS_MERCHANT_CVV2> <DS_MERCHANT_EXCEP_SCA>LWV</DS_MERCHANT_EXCEP_SCA> </DATOSENTRADA>
Las transacciones iniciadas por el comercio sin que haya interacción posible con el cliente. Por ejemplo, pago mensual de un recibo o cuota de subscripción. Este tipo de exención requiere el marcaje de la operativa como COF (Credencial on File) de acuerdo al uso concreto que se esté haciendo de las credenciales almacenadas.
MIT inicial: Esta operación deberá ser autenticada con SCA. El titular está presente y es aquella en la que concede el permiso y acuerda con el comercio las condiciones para que se usen sus datos de pago para cargos posteriores de acuerdo a un servicio prestado continuado en el tiempo. Esta operativa debe marcarse debidamente siguiendo la especificación Card-on-file (COF) para indicar que los datos de tarjeta se están almacenando para pagos posteriores.
MIT posteriores: En estas operaciones MIT el titular no está presente y no puede ser autenticado. Esta operativa debe también marcarse debidamente siguiendo la especificación Card-on-file (COF) para indicar que se está realizando una operación recurrente sobre una inicial MIT que sí fue autenticada.
No todas las operativas en las que se utilizan datos de tarjeta/credenciales almacenadas (COF) son consideradas MIT. Por ejemplo, la operativa de pago en 1 clic, donde las credenciales del cliente están almacenadas o tokenizadas (pago por referencia) con el objetivo de facilitar al máximo el momento del pago sin tener que solicitarlas de nuevo al cliente, NO se puede considerar una transacción iniciada por el comercio ya que, en el momento de la compra, el titular está presente. En tal caso según PSD2, y mientras no se aplique otra exención, se requiere el uso de autenticación reforzada (SCA).
En muchos casos se suele utilizar la tokenización de las credenciales de pago del cliente para que Redsys se encargue del almacenamiento seguro de los mismos y asegurar el cumplimiento de los estándares de seguridad de PCI DSS, con el objetivo de generar más tarde pagos iniciados por el comercio sin estar presente el titular de la tarjeta.
En estos casos, en la transacción inicial en la que se solicitar el token o referencia, bajo PSD2 se debe utilizar 3D Secure para aplicar autenticación reforzada y además se debe marcar adecuadamente mediante los parámetros COF el uso que se dará a la misma, de forma que en usos posteriores iniciados por el comercio con el token/referencia, el propio tpv virtual SIS incorpore de forma automática la información de marcaje de uso adecuada e información adicional requerida según la marca de la tarjeta (pej: id transacción original requerido para los pagos COF en Visa “DS_MERCHANT_COF_TXNID”)
En algunos casos se utiliza el pago por referencia o tokenización para realizar operaciones sucesivas sin que el titular esté presente. Para estos casos el comercio deberá marcar la primera operación como MIT y enviar los parámetros COF y la solicitud de generación de referencia. En los pagos posteriores solo deberá marcar la exención MIT y la referencia a utilizar.