Adaptaciones PSD2

De acuerdo a la norma de PSD2 (entrada en vigor el 14 de septiembre de 2019), directiva europea que tiene como objetivo mejorar la seguridad y reforzar la autenticación del cliente en las operaciones de comercio electrónico se definen una serie de exenciones al uso de SCA que podrán venir marcadas en la petición de autorización.

• LWV: exención por bajo importe (hasta 30 €, con máx. 5 o 100 € acumulado por tarjeta, estos contadores son controlados a nivel de entidad emisora de la tarjeta)
• TRA: exención por utilizarse un sistema de análisis de riesgo (y considerarse bajo riesgo) por parte del adquirente/comercio.
• MIT: operación iniciada por el comercio (sin estar asociada a una acción o evento del cliente) que están fuera del alcance de la PSD2. Este es el caso de las operativas de pagos de subscripciones, recurrentes, etc. todas las que requieren el almacenamiento de las credenciales de pago del cliente (COF) o su equivalente mediante operativas de pagos programados tokenizados (uso funcionalidad “pago por referencia” en pagos iniciados por el comercio). Toda operativa de pago iniciada por el comercio (MIT) requiere que inicialmente cuando el cliente concede el permiso al comercio de uso de sus credenciales de pago, dicho “permiso o mandato” se haga mediante operación autenticada con SCA.
• COR: exención restringida a los casos de uso de un protocolo pago corporativo
• ATD: exención de autenticación delegada

Ejemplos de peticiones con exenciones

Como anteriormente podemos observar la normativa contemplan diferentes exenciones que se pueden marcar para no autenticar algunas de las operaciones de comercio electrónico. Tener en cuenta que al marcar exenciones la responsabilidad al fraude de la operación recae en el comercio.

Se contemplan dos tipos de mensajes donde podemos marcar una exención:

• Petición con datos EMV3DS. Las exenciones marcadas en peticiones con envió de datos EMV3DS, se marcarán en la autenticación. Si esta exención no es aceptada se devolverá una petición de CHALLENGE para que el titular se autentiqué con SCA. De esta forma la petición no se pierde y continuará el flujo habitual, sin que el titular se vea afectado. SE RECOMIENDA ESTA OPCIÓN.

• Petición sin datos EMV3DS. Las exenciones marcadas en las peticiones en las que no se han informado los datos EMV3DS, se marcarán en la autorización. Si esta exención no es aceptada se procederá a una denegación con Ds_Response = 0195 (Requiere SCA). Si se quiere volver a hacer la petición con datos EMV3DS se deberá enviar otra petición completamente

Mensaje Inicia Petición (Conocer mis exenciones permitidas)

Las exenciones dependen de la configuración y la activación por parte de la entidad, para conocer que exenciones podemos aplicar deberemos mandar el parámetro DS_MERCHANT_EXCEP_SCA con el valor “Y” y como respuesta obtendremos las posibles exenciones a marcar.

*Para la exención TRA, se establece un máximo de importe que vendrá también informado.

EJEMPLO DE INICIA PETICIÓN

• PHP

<DATOSENTRADA>
<DS_MERCHANT_AMOUNT>1000</DS_MERCHANT_AMOUNT>
<DS_MERCHANT_ORDER>1552571678</DS_MERCHANT_ORDER>
<DS_MERCHANT_MERCHANTCODE>999008881</DS_MERCHANT_MERCHANTCODE>
<DS_MERCHANT_TERMINAL>2</DS_MERCHANT_TERMINAL>
<DS_MERCHANT_CURRENCY>978</DS_MERCHANT_CURRENCY>
<DS_MERCHANT_TRANSACTIONTYPE>0</DS_MERCHANT_TRANSACTIONTYPE>
<DS_MERCHANT_PAN> XXXXXXXXXXXXXXXXXX </DS_MERCHANT_PAN>
<DS_MERCHANT_EMV3DS>{'threeDSInfo':'CardData'}</DS_MERCHANT_EMV3DS>
<DS_MERCHANT_EXCEP_SCA>Y</DS_MERCHANT_EXCEP_SCA>
</DATOSENTRADA>

Como respuesta se obtendrá lo siguiente:

• XML

<RETORNOXML>
<CODIGO>0</CODIGO>
<INFOTARJETA>
<Ds_Order>1553155286</Ds_Order>
<Ds_MerchantCode>999008881</Ds_MerchantCode>
<Ds_Terminal>2</Ds_Terminal>
<Ds_TransactionType>0</Ds_TransactionType>
<Ds_EMV3DS>{"protocolVersion":"2.1.0", "threeDSServerTransID":"8de84430-3336-4ff4-b18d-f073b546ccea ", "threeDSInfo":"CardConfiguration",
"threeDSMethodURL":"https://sis.redsys.es/sis-simulador-web/threeDsMethod.jsp"}</Ds_EMV3DS>
<Ds_Excep_SCA>LWV;TRA[30.0];COR;MIT;ATD;WHL</Ds_Excep_SCA>
<Ds_Card_PSD2>Y</Ds_Card_PSD2>
<Ds_Signature>7155jJYTzqeO/FoKjIQwUrjRJU7CxiOLHlC00d5c/RU=</Ds_Signature>
</INFOTARJETA>
</RETORNOXML>

Mensaje Trata Petición (Con EMV3DS)

• PHP

<DATOSENTRADA>
<DS_MERCHANT_AMOUNT>1000</DS_MERCHANT_AMOUNT>
<DS_MERCHANT_ORDER>1552572812</DS_MERCHANT_ORDER>
<DS_MERCHANT_MERCHANTCODE>999008881</DS_MERCHANT_MERCHANTCODE>
<DS_MERCHANT_TERMINAL>2</DS_MERCHANT_TERMINAL>
<DS_MERCHANT_CURRENCY>978</DS_MERCHANT_CURRENCY>
<DS_MERCHANT_TRANSACTIONTYPE>0</DS_MERCHANT_TRANSACTIONTYPE>
<DS_MERCHANT_PAN> XXXXXXXXXXXXXXXXXX </DS_MERCHANT_PAN>
<DS_MERCHANT_EXPIRYDATE >XXXX</ DS_MERCHANT_EXPIRYDATE>
<DS_MERCHANT_CVV2>XXX</ DS_MERCHANT_CVV2>
<DS_MERCHANT_EXCEP_SCA>LWV</DS_MERCHANT_EXCEP_SCA>
<DS_MERCHANT_EMV3DS>{
"threeDSInfo":"AuthenticationData", "protocolVersion":"2.1.0",
"browserAcceptHeader":"text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8,appli cation/json",
"browserUserAgent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36",
"browserJavaEnabled":"false", "browserLanguage":"ES-es", "browserColorDepth":"24", "browserScreenHeight":"1250", "browserScreenWidth":"1320", "browserTZ":"52",
"threeDSServerTransID":"8de84430-3336-4ff4-b18d-f073b546ccea", "notificationURL":"https://comercio-inventado.es/recibe-respuesta-autenticacion", "threeDSCompInd":"Y"
}</DS_MERCHANT_EMV3DS>
</DATOSENTRADA>

Mensaje Trata Petición (Sin EMV3DS)

• PHP

<DATOSENTRADA>
<DS_MERCHANT_AMOUNT>1000</DS_MERCHANT_AMOUNT>
<DS_MERCHANT_ORDER>1552572812</DS_MERCHANT_ORDER>
<DS_MERCHANT_MERCHANTCODE>999008881</DS_MERCHANT_MERCHANTCODE>
<DS_MERCHANT_TERMINAL>2</DS_MERCHANT_TERMINAL>
<DS_MERCHANT_CURRENCY>978</DS_MERCHANT_CURRENCY>
<DS_MERCHANT_TRANSACTIONTYPE>0</DS_MERCHANT_TRANSACTIONTYPE>
<DS_MERCHANT_PAN> XXXXXXXXXXXXXXXXXX </DS_MERCHANT_PAN>
<DS_MERCHANT_EXPIRYDATE >XXXX</ DS_MERCHANT_EXPIRYDATE>
<DS_MERCHANT_CVV2>XXX</ DS_MERCHANT_CVV2>
<DS_MERCHANT_EXCEP_SCA>LWV</DS_MERCHANT_EXCEP_SCA>
</DATOSENTRADA>

Transacciones iniciadas por el comercio (MIT)

• ¿Qué se considera una transacción MIT?

Las transacciones iniciadas por el comercio sin que haya interacción posible con el cliente. Por ejemplo, pago mensual de un recibo o cuota de subscripción. Este tipo de exención requiere el marcaje de la operativa como COF (Credencial on File) de acuerdo al uso concreto que se esté haciendo de las credenciales almacenadas.

MIT inicial: Esta operación deberá ser autenticada con SCA. El titular está presente y es aquella en la que concede el permiso y acuerda con el comercio las condiciones para que se usen sus datos de pago para cargos posteriores de acuerdo a un servicio prestado continuado en el tiempo. Esta operativa debe marcarse debidamente siguiendo la especificación Card-on-file (COF) para indicar que los datos de tarjeta se están almacenando para pagos posteriores.

MIT posteriores: En estas operaciones MIT el titular no está presente y no puede ser autenticado. Esta operativa debe también marcarse debidamente siguiendo la especificación Card-on-file (COF) para indicar que se está realizando una operación recurrente sobre una inicial MIT que sí fue autenticada.

• ¿Cómo afecta PSD2 al pago 1 click?

No todas las operativas en las que se utilizan datos de tarjeta/credenciales almacenadas (COF) son consideradas MIT. Por ejemplo, la operativa de pago en 1 clic, donde las credenciales del cliente están almacenadas o tokenizadas (pago por referencia) con el objetivo de facilitar al máximo el momento del pago sin tener que solicitarlas de nuevo al cliente, NO se puede considerar una transacción iniciada por el comercio ya que, en el momento de la compra, el titular está presente. En tal caso según PSD2, y mientras no se aplique otra exención, se requiere el uso de autenticación reforzada (SCA).

Transacciones MIT y uso de tokenización (pago por referencia)

En muchos casos se suele utilizar la tokenización de las credenciales de pago del cliente para que Redsys se encargue del almacenamiento seguro de los mismos y asegurar el cumplimiento de los estándares de seguridad de PCI DSS, con el objetivo de generar más tarde pagos iniciados por el comercio sin estar presente el titular de la tarjeta.

En estos casos, en la transacción inicial en la que se solicitar el token o referencia, bajo PSD2 se debe utilizar 3D Secure para aplicar autenticación reforzada y además se debe marcar adecuadamente mediante los parámetros COF el uso que se dará a la misma, de forma que en usos posteriores iniciados por el comercio con el token/referencia, el propio tpv virtual SIS incorpore de forma automática la información de marcaje de uso adecuada e información adicional requerida según la marca de la tarjeta (pej: id transacción original requerido para los pagos COF en Visa “DS_MERCHANT_COF_TXNID”)

1. Uso de tokenización y MIT

En algunos casos se utiliza el pago por referencia o tokenización para realizar operaciones sucesivas sin que el titular esté presente. Para estos casos el comercio deberá marcar la primera operación como MIT y enviar los parámetros COF y la solicitud de generación de referencia. En los pagos posteriores solo deberá marcar la exención MIT y la referencia a utilizar.

• En la primera operación deberá marcar DS_MERCHANT_EXCEP_SCA como MIT y enviar los parámetros COF (DS_MERCHANT_COF_INI, DS_MERCHANT_COF_TYPE) y la solicitud de generación de referencia (DS_MERCHANT_IDENTIFIER con valor REQUIRED). 
• Pagos sucesivos deberá marcar DS_MERCHANT_EXCEP_SCA como MIT y la referencia a utilizar.