Transacciones con Autenticación 3DSecure 1.0 y EMV3DS

 

Pasos para realizar una transacción con autenticación EMV3DS (Avance)

 

Los pagos con autenticación EMV3DS en la conexión REST sigue los siguientes pasos:

·         Paso 1: Iniciar petición

El comercio deberá hacer una petición al TPV Virtual para obtener información sobre las posibilidades de la tarjeta en cuanto a autenticación (versión protocolo 3DS), posibilidad de aplicación de exenciones, operativas especiales (por ej. si permite DCC) y por tanto como deben gestionarse los siguientes pasos.

·         Paso 2: 3DSMethod (Si está incluida en protocolo EMV3DS)

El comercio ejecuta el 3DSMethod para que el emisor capture la información del dispositivo utilizado por el titular: User-Agent, modelo de dispositivo, etc. Más información sobre este paso en los apartados posteriores.

·         Paso 3: Solicitud de autorización

El comercio enviará la solicitud de autorización de la operación incluyendo el resultado del 3DSMethod y otros datos adicionales del protocolo EMV3DS, así como una posible solicitud de exención SCA dentro del marco de la PSD2.

El TPV Virtual iniciará la autenticación, donde se podrá obtener como resultado:

  1. Autenticación OK (Frictionless): la operación ha sido autenticada sin necesidad de solicitar ninguna acción al titular de la tarjeta y el TPV Virtual continuará el proceso de autorización.
  2. Challenge Required: La entidad emisora requiere verificar la autenticidad del cliente mediante una autenticación explícita o reto (challenge).
  3. Otro resultado: autenticación no disponible, autenticación rechazada, error en la autenticación,

El TPV Virtual decidirá, según el caso, autorizar o rechazar la operación.

·         Paso 4: Autenticación (Si procede)

En este paso la Entidad emisora verifica la autenticidad del titular de la tarjeta mediante una autenticación con participación del titular de la tarjeta (challenge) como OTP por SMS (One Time Password), contraseña estática, biometría, combinación de los anteriores, etc.

·         Paso 5: Confirmación de autorización

El comercio enviará la autorización, con el resultado del challenge, al TPV Virtual para finalizar el proceso de autorización.

NOTA IMPORTANTE

El comercio debe estar preparado para realizar cualquiera de los flujos que se muestran en los siguientes apartados, puesto que en función de la respuesta obtenida en el paso “Iniciar Petición” se deberá utilizar el flujo del protocolo 3DSecure 1.0 o EMV3DS. Además, en el caso del protocolo EMV3DS, el comercio también deberá estar preparado para soportar ambos procesos de Autenticación: Challenge (con intervención del titular) o Frictionless (sin intervención del titular). El emisor de la tarjeta será el encargado de determinar el proceso de Autenticación que se deberá llevar a cabo.

NOTA

Recomendamos que en el paso 3 el comercio proporcione toda la información adicional posible para ayudar al emisor a identificar que la operación se está realizando por el auténtico titular de la tarjeta. Esta información adicional aumentará la probabilidad de un flujo frictionless (autenticación sin intervención del titular, ayudando así a reducir la tasa de abandono El tiempo máximo desde el inicio de la petición y la solicitud de autorización es de 1 hora. Pasado este tiempo la petición se da como perdida y se deberá volver a realizar el flujo desde el principio.

 

 

Ejemplo del flujo de una Autorización con autenticación EMV3DS Frictionless

 

El siguiente esquema presenta el flujo general de una operación con autenticación frictionless realizada a través del TPV Virtual.

 

 

  1. El titular selecciona los productos que desea comprar e introduce los datos de tarjeta en un formulario mostrado por el
  2. El comercio realiza un inicia petición enviando los datos al TPV
  3. El TPV Virtual comprueba la configuración de la tarjeta, y en la respuesta informará si la tarjeta soporta autenticación EMV3DS y la versión de protocolo EMV3DS que se

Si la tarjeta lo requiere, ejecutar el 3DSMethod: se inicia conexión desde el browser con el ACS y este devuelve el resultado de la ejecución al

  1. El comercio envía la solicitud de autorización con tarjeta que soporta EMV3DS. Además de los datos de pago, es necesario enviar el resultado del 3DSMethod y los datos adicionales para la autenticación.

El TPV Virtual inicia la autenticación, y el emisor, en base a los datos recibidos, autentica la operación sin necesidad de intervención del titular. A continuación, el TPV Virtual procesará la autorización

  1. Una vez realizado el pago, el TPV virtual informa del resultado de la operación.
  2. El comercio muestra el resultado del pago al

 

NOTA: en los diagramas solo se tienen en cuenta los flujos del comercio y los actores con lo que interviene en contacto directo.

 

 

Ejemplo del flujo de una Autorización con autenticación EMV3DS Challenge

 

El siguiente esquema presenta el flujo general de una operación con autenticación por challenge realizada a través del TPV Virtual:

 

 

  1. El titular selecciona los productos que desea comprar e introduce los datos de tarjeta en un formulario mostrado por el
  2. El comercio realiza un inicia petición enviando los datos al TPV
  3. El TPV Virtual comprueba la configuración de la tarjeta, y en la respuesta informará si la tarjeta soporta autenticación EMV3DS y la versión de protocolo EMV3DS que se
    • Si la tarjeta lo requiere, ejecutar el 3DSMethod: se inicia conexión desde el browser con el ACS y este devuelve el resultado de la ejecución al comercio
  4. El comercio envía la solicitud de autorización con tarjeta que soporta EMV3DS. Además de los datos de pago es necesario enviar el resultado del 3DSMethod y los datos adicionales para la autenticación.

El TPV Virtual inicia la autenticación, y el emisor en base a los datos recibidos decide que el titular debe verificar su autenticidad (challenge)

  1. El TPV Virtual devuelve la información para que el titular pueda realizar el challenge (autenticación) con su banco En este momento, y hasta que se reciba la respuesta de la autenticación en el paso 9, las peticiones quedarán marcadas en el Portal de administración como “Sin Finalizar” con el código = 8210.
  2. El comercio redirige al titular vía browser para que conecte con su emisor
  3. El titular completa el challenge (autenticación)
  4. La entidad emisora devuelve el resultado del challenge (autenticación) a la url indicada por el comercio
  5. El comercio envía el resultado del challenge (autenticación) al TPV Virtual para finalizar el proceso de autorización
  6. Una vez realizado el pago, el TPV virtual responde con el resultado de la operación.
  7. El comercio responde con la información del resultado del pago al titular

 

NOTA: en los diagramas solo se tienen en cuenta los flujos del comercio y los actores con lo que interviene en contacto directo.

 

 

Ejemplo del flujo de una Autorización con autenticación 3DSecure 1.0

 

El siguiente esquema presenta el flujo general de una operación con autenticación EMV3DS v1, en la que se ha determinado que es necesario realizar la autenticación del titular.

 

 

  1. El titular selecciona los productos que desea comprar, e introduce los datos de tarjeta en un formulario mostrado por el
  2. El comercio realiza un inicia petición enviando los datos al TPV
  3. El TPV Virtual comprueba la configuración de la tarjeta, y en la respuesta al comercio informará de la versión de protocolo de autenticación que soporta la operación.
    • Si la tarjeta no permite EMV3DS, se recibirá un valor protocolo NO_3DS_v2. En este caso el comercio puede solicitar la autenticación mediante protocolo 3DSecure 0.
  4. El comercio envía la solicitud de autorización al TPV Virtual, indicando que está preparado para3DSecure 0.
  5. El TPV Virtual devolverá la información necesaria para que el titular pueda realizar la autenticación con su banco emisor. En este momento, y hasta que se reciba la respuesta de la autenticación en el paso 9, las peticiones quedarán marcadas en el Portal de administración como “Sin Finalizar” con el código =
  6. El comercio redirige al titular vía browser para que conecte con su
  7. El titular completa la autenticación.

 

 

 

  1. La entidad emisora devuelve el resultado de la autenticación a la URL indicada facilitada por el comercio.
  2. El comercio envía el resultado de la autenticación al TPV Virtual para finalizar el proceso de autorización.
  3. Una vez realizado el pago, el TPV virtual responde con el resultado de la operación.
  4. El comercio responde con la información del resultado del pago al titular

NOTA: en los diagramas solo se tienen en cuenta los flujos del comercio y los actores con lo que interviene en contacto directo.