Blog

3D Secure 2 — O quê? quando? como?

Para iniciarmos é importante esclarecermos os nomes mais populares pelos quais este novo protocolo é reconhecido: EMV 3DS, 3DS2, EMV® 3-D Secure e 3D Secure 2.

História

O 3DS 2 é uma actualização / nova versão do 3DS (3D Secure), que foi criado há mais de 15 anos. São protocolos de segurança relativos a compras não físicas com cartões de crédito. Ambos os protocolos envolvem a troca de mensagens entre três domínios, que são o banco emissor, o banco do comerciante e a tecnologia envolvida.

O primeira versão no entanto, não alcançou a popularidade desejada devido ao seu modelo de funcionamento. Adiciona redirecionamentos ao pagamento, requerendo passwords adicionais que por vezes são esquecidas e tem um método de funcionamento linear e pouco dinâmico. Embora de facto esta primeira versão do protocolo aumente os níveis de segurança e reduza o número de fraudes, estas características causam também uma redução das taxas de conversão, além de que é tipicamente bastante complexo e dispendioso de implementar.

A nova versão 3DS2

Nesta nova versão os métodos de autenticação podem ser feitos dentro da app ou página de pagamento, sendo que há lugar a uma maior troca de informações contextuais (mais de 100) e de identidade com o banco emissor do cartão. Estes parâmetros podem ser dados de hardware (Mobile — DeviceId), da compra propriamente dita (morada de envio), de biometria e two factor authentication. Em termos mais simplistas, o 3DS2 muda o paradigma da autenticação, deixando de ser orientado a passwords, passando a ser orientado a tokens e biometria. É também mais dinâmico e inteligente, sendo que não responde da mesma forma em todas as transações, tem assim por base análises de risco contínuas à actividade do comprador, o que significa que para determinadas transações podem não ser necessárias acções concretas adicionais.

Relações com a PS2D e SCA

Durante este ano a directiva PSD2 impõe a implementação da SCA (Strong Customer Authentication) para grande parte das transações efectuadas. Existem isenções previstas, como a do valor da transação ser inferior a 30€, mas o requisito SCA é mandatório. Quando não implementado, ou implementado de forma incorrecta, a responsabilidade da transação não será imputada ao comprador em caso de disputa.

O protocolo 3DS2 é uma implementação da SCA, o que significa que a sua implementação será de extrema importância nos próximos meses.

Redes de cartões abrangidas

É de referir também que esta nova tecnologia foi desenvolvida pela EMVCo., o que significa que é suportada pelas maiores redes de cartões mundiais (VISA, Mastercard, Discover / Diners, JCB, UnionPay, American Express, Cartes Bancaires).

Fluxos de pagamento

Os fluxos de autenticação podem ser frictionless, challenge authentication flow, ou um fallback para a primeira versão do 3D Secure, caso não exista suporte;

Frictionless

Neste fluxo de pagamento, existem mais de 100 elementos que podem ser enviados ao banco emissor do cartão. Estes dados dão um conjunto elevado de elementos que permitem ao banco emissor decidir se requerem uma autenticação superior (challenge authentication flow), espera-se assim que um elevado número de transações possa ser realizado com um maior nível de segurança sobre a idoneidade da transação, sem qualquer necessidade de interação adicional por parte de quem compra.

Challenge authentication flow

Quando os dados contextuais não são suficientes para validar uma transação, ou esta não se enquadra no domínio das transações que não requerem um método de autenticação activo por parte do comprador, há lugar ao challenge authentication flow. Aqui será solicitado ao comprador uma interação típica de Two Factor Authentication, o que significa que poderá será solicitado por exemplo um código enviado via SMS, um PIN ou uma impressão digital.

E na actualidade? Quais as implicações?

É esperado que após setembro de 2019 mais de 95% das transações necessitam de requisitos adicionais que actualmente não estão implementados.

A VISA e MasterCard estão a requerer que a nova versão do 3D Secure esteja implementada para bancos emissores e lojas online a partir deste mês de Abril, para preparação de adopção em massa no próximo mês de Setembro.

O que pode a Paycritical fazer por si?

A Paycritical trabalha diariamente com os seus clientes, com o objectivo de garantir que estes têm as melhores soluções de pagamento adequadas ao seu negócio. Trabalhamos não apenas ao nível da solução contratual (TSC — Tarifas de Serviço de Cliente, garantias e responsabilidades), bem como a nível da implementação tecnológica, aspectos de segurança e compliance.