Medidas de seguridad adicionales

 

Para proteger los intereses de su comercio y reducir al máximo el volumen de incidencias, recomendamos que monitorice la actividad de su web por si detecta alguna, o varias, de las siguientes señales sospechosas de fraude:

 

- En el módulo de administración del TPV Virtual se informa de la dirección IP del comprador y de la numeración de la tarjeta (debidamente enmascarada con asteriscos). Es sospechoso que:

  • Un mismo usuario (dirección IP) haya pagado (o haya intentado pagar) con más de dos tarjetas distintas.
  • Un mismo usuario (IP) o una misma tarjeta haya realizado múltiples operaciones en un corto período de tiempo.
  • Al realizar diferentes compras, un mismo usuario (IP) o una misma tarjeta se haya registrado en la web con datos diferentes.
  • Si el TPV ha rechazado la primera operación de la tarjeta, es sospechoso que a continuación se hayan procesado más operaciones con la misma IP o con la misma tarjeta por importes más bajos.
  • Operaciones consecutivas con números de tarjetas similares.

 

- En el mensaje de respuesta (campo “Ds_Response”) o en el módulo de administración del TPV Virtual se informa de si la operación ha sido aceptada (códigos 000 a 099) o denegada (resto de códigos). Los códigos de denegación del tipo "2xx" indican que la tarjeta está bloqueada por pérdida, robo, falsificación del plástico o por uso fraudulento de la numeración de la tarjeta. En estos casos el comercio deberá bloquear el usuario (identificable mediante dirección IP y datos de registro) para no permitirle la opción de intentar ningún nuevo pago.

 

- En el mensaje de respuesta se encuentra el campo “Ds_Card_Country” que informa del código ISO del país donde se ha emitido la tarjeta. Mediante la comparación con la dirección IP del comprador se pueden filtrar comportamientos sospechosos de ser fraudulentos (p. ej., una tarjeta emitida en un país pero que opera mediante una IP de otro país diferente).

 

- En la información de registro del com­prador:

  • Validar los números de teléfono usando directorios públicos de teléfonos.
  • Validar que el código del teléfono y/o su prefijo coincide con el área geográfica de la dirección de envío del pedido.
  • Validar la correspondencia entre el có­digo postal y la ciudad del envío.
  • Validar la dirección de correo electrónico enviando una orden de confirmación.
  • Verificar, en datos públicos de redes sociales, los datos de registro del com­prador.

 

- Y también revisar:

  • Pedidos con la misma dirección de entrega, pero realizados con múltiples tarjetas.
  • Pedidos consistentes en múltiples cantidades del mismo producto.
  • Pedidos de importe superior al habitual.
  • Pedidos en los que la entrega debe ser urgente, o incluso “para el día siguiente”. Los delincuentes quieren disponer de estos productos obtenidos fraudulentamente tan pronto como sea posible para una probable reventa y no están preocupados por el sobrecoste del envío.
  • Para webs no traducidas a idiomas internacionales, que los pagos se realicen con tarjetas extranjeras y/o desde IP internacionales y/o con pedidos para ser enviados a direcciones internacionales.

 

Adicionalmente a la monitorización de los parámetros anteriores, su comercio puede reducir considerablemente el riesgo de exposición al fraude aplicando controles de operaciones propios para identificar transacciones de alto riesgo. Estos controles pueden ser automáticos (velocity checks) y previos a enviar las solicitudes de autorización a Banco Sabadell, o bien revisiones manuales posteriores al procesamiento de la transacción con Banco Sabadell.

Los protocolos antifraude que implemente deberán estar basados en los datos de registro del usuario (user ID, nombre, teléfono, dirección, correo electrónico, etc.) y, también, en datos de registro del receptor del servicio/ producto (nombre de los viajeros si es agencia de viajes o similar, domicilio de entrega del producto, teléfono de contacto, etc.).

 

 

Para minimizar, por tanto, el riesgo de fraude es necesario que los responsables del comercio conozcan estas medidas de seguridad, desarrollen acciones de formación a todos los empleados que gestionen los pagos con tarjeta y verifiquen periódicamente el cumplimiento de estas medidas. En caso contrario, se corre el riesgo de que las operaciones fraudulentas se puedan retroceder al comercio y, si el número de operaciones retrocedidas o fraudulentas es significativo, se proceda al bloqueo del terminal y la rescisión del contrato con Banco Sabadell.