Transacciones con Autenticación 3DSecure 1.0 y EMV3DS

 

Pasos para realizar una transacción con autenticación EMV3DS

 

Los pagos con autenticación EMV3DS en la conexión REST sigue los siguientes pasos:

·         Paso 1: Iniciar petición

El comercio deberá hacer una petición al TPV Virtual para saber si la tarjeta está registrada en el protocolo EMV3DS y poder así iniciar el proceso de autenticación con este protocolo, o si tiene que autenticarse con protocolo 3DSecure 1.0.

 

·         Paso 2: 3DSMethod (Si está incluida en protocolo EMV3DS)

El comercio ejecuta el 3DSMethod para que el emisor capture la información del dispositivo utilizado por el titular: User-Agent, modelo de dispositivo, etc. Más información sobre este paso en los apartados posteriores.

 

·         Paso 3: Solicitud de autorización

El comercio enviará la solicitud de autorización de la operación incluyendo el resultado del 3DSMethod y otros datos adicionales del protocolo EMV3DS, así como una posible solicitud de exención SCA dentro del marco de la PSD2.

El TPV Virtual iniciará la autenticación, donde se podrá obtener como resultado:

  1. Autenticación OK (Frictionless): la operación ha sido autenticada sin necesidad de solicitar ninguna acción al titular de la tarjeta y el TPV Virtual continuará el proceso de autorización.
  2. Challenge Required: La entidad emisora requiere verificar la autenticidad del cliente mediante una autenticación explícita o reto (challenge).
  3. Otro resultado: autenticación no disponible, autenticación rechazada, error en la autenticación,

El TPV Virtual decidirá, según el caso, autorizar o rechazar la operación.

 

·         Paso 4: Autenticación (Si procede)

En este paso la Entidad emisora verifica la autenticidad del titular de la tarjeta mediante una autenticación con participación del titular de la tarjeta (challenge) como OTP por SMS (One Time Password), contraseña estática, biometría, combinación de los anteriores, etc.

 

·         Paso 5: Confirmación de autorización

El comercio enviará la autorización, con el resultado del challenge, al TPV Virtual para finalizar el proceso de autorización.

 

NOTA IMPORTANTE

El comercio debe estar preparado para realizar cualquiera de los flujos que se muestran en los siguientes apartados, puesto que en función de la respuesta obtenida en el paso “Iniciar Petición” se deberá utilizar el flujo del protocolo 3DSecure 1.0 o EMV3DS. Además, en el caso del protocolo EMV3DS, el comercio también deberá estar preparado para soportar ambos procesos de Autenticación: Challenge (con intervención del titular) o Frictionless (sin intervención del titular). El emisor de la tarjeta será el encargado de determinar el proceso de Autenticación que se deberá llevar a cabo.

NOTA

Recomendamos que en el paso 3 el comercio proporcione toda la información adicional posible para ayudar al emisor a identificar que la operación se está realizando por el auténtico titular de la tarjeta. Esta información adicional aumentará la probabilidad de un flujo frictionless (autenticación sin intervención del titular, ayudando así a reducir la tasa de abandono El tiempo máximo desde el inicio de la petición y la solicitud de autorización es de 1 hora. Pasado este tiempo la petición se da como perdida y se deberá volver a realizar el flujo desde el principio.