¿Qué es el Protocolo 3-D Secure?

El protocolo 3-D Secure es un documento que describe la infraestructura y los componentes del EMV 3-D Secure para la autenticación del tarjetahabiente durante una transacción de comercio electrónico. Fue creado por EMVCo, un organismo global que busca la interoperabilidad en transacciones electrónicas de modo seguro.

El protocolo de autenticación 3-D Secure se basa en un modelo de tres dominios, en el que el Dominio del Adquirente y el Dominio del Emisor están conectados por el Dominio de Interoperabilidad a través de una serie de mensajes, con el fin de autenticar a un tarjetahabiente durante una transacción de comercio electrónico (e-commerce) o para verificar la identidad o la cuenta del tarjetahabiente en autenticaciones de no pago.

De esta forma, el proceso de autenticación puede darse mediante un flujo sin fricción o con fricción, entendiendo la fricción como el reto para autenticarse. Siendo el componente de ACS, quien decide cual de estos flujos es el adecuado para completar una autenticación, dependiendo del nivel de legitimidad evaluado en la información provista por el tarjetabiente y de la versión utilizada del protocolo.

Dominios y Componentes

El protocolo 3-D Secure en su modelo posee tres dominios que se comunican entre sí y entre los cuales fluyen los mensajes para el proceso de autenticación. Así mismo, estos dominios poseen una serie de componentes en cada uno, los cuales cumplen funciones específicas en el flujo de autenticación.

Los dominios son los siguientes:

1. Dominio Adquiriente: Inicia y finaliza el flujo de autenticación.

El dominio Adquiriente tiene los siguientes componentes:

  • Entorno de solicitud de 3DS (3DS Requestor Environment)
    • Solicitante 3DS (3DS Requestor)
    • Cliente 3DS (3DS Client)
    • Servidor 3DS (3DS Server)
  • Integrador 3DS (3DS Integrator)
  • Adquiriente (Acquirer)

2. Dominio de Interoperabilidad: Conecta al dominio Adquiriente y Emisor a través de los mensajes que recibe y envía entre uno y otro componente y los cuales contienen información acerca de la autenticación.

El dominio de Interoperabilidad tiene los siguientes componentes:

  • Servidor de Directorio (Directory Server, DS)
  • Autoridad de Certificación del Servidor de Directorio (Directory Server Certificate Authority, DS CA)
  • Sistema de autorización (Authorisation System)

3. Dominio Emisor: Las transacciones se autentican en este dominio, es el que decide si una autenticación es satisfactoria o no. El dominio Emisor tiene los siguientes componentes:

  • Titular de la tarjeta (Cardholder)
  • Dispositivo de consumo (Consumer Device)
  • Emisor (Issuer)
  • Servidor de Control de Acceso (Access Control Server, ACS)

Este dominio está representado por la aplicación de ACS.

Mensajes del Procolo 3-D Secure

El protocolo 3-D Secure define una serie de mensajes de petición y de respuesta, para ofrecer información acerca del estado del proceso de autenticación y del tipo de flujo en el que se encuentra.

El componente ACS crea los mensajes ARes, CRes, RReq y Erro.

Mensajes de autenticación:

AReq (Authentication Request Message): El mensaje AReq es el mensaje inicial en el flujo de autenticación 3-D Secure. El 3DS Server crea este mensaje cuando inicia el proceso de autenticación. Puede contener información del titular de la tarjeta, el pago y el dispositivo para la transacción.

ARes (Authentication Response Message): El mensaje ARes es la respuesta al mensaje AReq. Puede indicar que el tarjetahabiente ha sido autenticado, o que se requiere una mayor interacción del tarjetahabiente para completar la autenticación (autenticación con challenge).

Mensajes de desafío:

CReq (Challenge Request Message):
Inicia la interacción del tarjetahabiente en un flujo con challenge. Este mensaje solo se presenta en un flujo con fricción o challenge.

CRes (Challenge Response Message):
Indica el resultado de la autenticación o también puede indicar que se requiere la interacción del tarjetahabiente para completar la autenticación. Este mensaje solo se presenta en un flujo con fricción o challenge.

Mensajes de resultados:

RReq (Results Request Message):
El mensaje RReq comunica los resultados de la autenticación. Este mensaje es enviado por el componente ACS al DS y es recibido por el 3DS Server. Solo hay un mensaje RReq por mensaje AReq. Este mensaje no está presente en una transacción sin fricción.

RRes (Results Response Message): El mensaje RRes comunica la respuesta para el mensaje RReq. El mensaje es creado y enviado por el 3DS Server a través del DS al ACS.

Mensajes de preparación:

PReq (Preparation Request Message): El mensaje PReq se crea y envía desde el 3DS Server al DS para solicitar información sobre el ACS y DS, como los rangos de tarjeta. Este mensaje no forma parte del flujo de mensajes de autenticación de 3-D Secure.

PRes (Preparation Response Message):
Respuesta al mensaje PREQ que contiene los rangos de tarjetas DS, las versiones de protocolo activas para ACS y DS y la URL del método 3DS para que se puedan realizar actualizaciones en el almacenamiento interno del servidor 3DS. Este mensaje no forma parte del flujo de mensajes de autenticación de 3-D Secure.

Mensaje de error:

Error Message: Los mensajes de error proporcionan información adicional sobre un error que se se haya podido generar durante el procesamiento de un mensaje. Estos pueden originarse en cualquiera de los componentes del 3-D Secure.

El componente ACS valida los mensajes AReq, CReq y RRes.

Canales del dispositivo

Los canales son los medios por los cuales un cliente puede iniciar el flujo de autenticación, dependiendo del dispositivo utilizado al momento de realizar la transacción electrónica.

Los campos de un mensaje específico pueden variar dependiendo del dispositivo utilizado por el cliente.

Los siguientes son los canales del dispositivo posibles:

  • APP: Autenticación de una transacción originada en una aplicación del comercio o pasarela de pago.

  • BRW: Autenticación de una transacción originada en un sitio web del comercio o pasarela de pago, que utiliza un navegador.

  • RI: Autenticación para confirmar la cuenta y verificar la identidad del tarjetahabiente. Este tipo de autenticación es de no pago y no requiere la presencia del tarjetahabiente. Se puede utilizar por ejemplo para confirmar suscripciones.

Categorías de los mensajes

Los mensajes creados por el Procolo 3-D Secure, están categorizados en dos grupos:

  • PA (Payment Authentication): Autenticación para transacciones de comercio electrónico que incluyen pago.

  • NPA (Non-Payment Authentication): Autenticación de no pago, utilizada para verificar la identidad y la cuenta del tarjetahabiente.

Flujos de autenticación

El protocolo 3-D Secure contiene dos posibles flujos para el proceso de autenticación del tarjetahabiente:

  • Flujo sin fricción:

    El flujo sin fricción o sin challenge, no requiere interacción adicional por parte del tarjetahabiente para lograr una autenticación exitosa con 3-D Secure, ya que se evalúa la información obtenida del tarjetahabiente como legítima, muy completa y de bajo riesgo. Se considera información de bajo riesgo por ejemplo cuando el tarjetabiente registra los mismos datos personales que suele registrar o cuando diligencia los campos opcionales de la autenticación.

    Este flujo inicia el proceso de autenticación de 3-D Secure y consiste en el envío de un mensaje de petición de autenticación (AReq) y posteriormente, un mensaje de respuesta a la autenticación (ARes). El flujo sin challenge solo se presenta en la version 2.2.0 del protocolo.

  • Flujo con fricción o challenge:

    Este flujo se presenta si el componente ACS determina que la interacción del tarjetahabiente es necesaria para completar la autenticación. Esta determinación puede originarse porque la transacción es considerada de alto riesgo, se encuentra por encima de ciertos umbrales, requiere un mayor nivel de autenticación debido a mandatos o regulaciones del país, o según la versión del protocolo 3DS con la cual se procese.

    Ocurre entonces que el flujo sin fricción pasa a ser un flujo con fricción o challenge, donde el challenge consiste en un desafío que se le presenta al tarjetahabiente para comprobar la legitimidad de su identidad y de su cuenta.

Los tipos de desafío posibles son:

  • Autenticación con challenge: Se suele presentar al tarjetahabiente un formulario de preguntas sobre información personal adicional a la aportada, verificación de clave u OTP (autenticación con contraseña de un solo uso).

  • Autenticación desacoplada: En esta autenticación el flujo se pone en pausa y la transacción entra en un proceso de desacoplamiento donde la aplicación de ACS ejecuta validaciones manuales para verificar la identidad del tarjetahabiente. En este proceso puede intermediar el emisor.

  • Autenticación fuera de banda: El proceso de comprobación de los datos del tarjetabiente queda a cargo del emisor de la tarjeta, el cual se encarga de hacer un proceso de validación manual que puede incluir otros medios de autenticación como un QR, un código enviado a una APP, autenticación por biometría, entre otras que disponga el emisor correspondiente.

En cuanto a los mensajes presentes en este tipo de flujo, en adición a los mensajes AReq y ARes que comprenden el flujo sin fricción. El flujo con fricción o challenge, comprende los mensajes CReq y CRes (excepto en el caso de una autenticación desacoplada) y los mensajes RReq y RRes.

  • El mensaje CReq se construye basado en la información recibida en el mensaje ARes.

  • El mensaje CRes puede indicar el resultado del desafío presentado al cliente o puede indicar que se requiere mayor interacción del tarjetahabiente para completar la autenticación. Este mensaje es la respuesta al mensaje CReq.

Para la autenticación desacoplada, en lugar de utilizar los mensajes CReq y CRes, el ACS autentica al titular de la tarjeta fuera del 3-D Secure protocolo.

  • El mensaje RReq se construye basado en la información recibida en el mensaje ARes y comunica los resultados del desafío al 3DS Server.

  • El mensaje RRes comunica la recepción del mensaje RReq y los resultados de la autenticación y su estado.