Términos generales

Las siguientes definiciones pretenden dar claridad sobre la información presentada a lo largo de este documento.

  • 3DS Client (Cliente 3DS): Componente orientado al consumidor que permite la interacción del consumidor con el Solicitante 3DS para iniciar el protocolo EMV 3-D Secure.
  • 3DS Integrator (Integrador 3DS): Participante de EMV 3-D Secure que facilita e integra el Entorno del Solicitante 3DS y, opcionalmente, facilita la integración entre el Comerciante y el Adquirente.
  • 3DS Method (Método 3DS): Una llamada de scripting proporcionada por el Integrador 3DS que se coloca en el sitio web del Solicitante 3DS. Opcionalmente utilizado para obtener información adicional del navegador para facilitar la toma de decisiones basada en riesgos.
  • 3DS Requestor (Solicitante 3DS): El iniciador de la Solicitud de Autenticación EMV 3-D Secure. Por ejemplo, puede ser un comerciante o una billetera digital que solicita autenticación dentro de un flujo de compra.
  • 3DS Requestor App (App del Solicitante 3DS): Una aplicación en un Dispositivo del Consumidor que puede procesar una transacción 3-D Secure mediante el uso de un SDK 3DS. La App del Solicitante 3DS se habilita a través de la integración con el SDK 3DS.
  • 3DS Requestor Environment (Entorno del Solicitante 3DS): Los componentes controlados por el Solicitante 3DS (App del Solicitante 3DS, SDK 3DS y Servidor 3DS) son típicamente facilitados por el Integrador 3DS. La implementación del Entorno del Solicitante 3DS variará según lo definido por el Integrador 3DS.
  • 3DS Requestor Initiated (3RI) (Iniciado por el Solicitante 3DS - 3RI): Transacción 3-D Secure iniciada por el Solicitante 3DS con el propósito de confirmar que una cuenta sigue siendo válida o para la autenticación del Titular de la Tarjeta. El primer caso de uso principal son las transacciones recurrentes (suscripciones a TV, pagos de servicios públicos, etc.) donde el comerciante quiere realizar una transacción de pago para recibir datos de autenticación para cada factura o una transacción no pagada para verificar que un usuario de suscripción todavía tiene una forma válida de pago. El segundo caso de uso principal es cuando el Solicitante 3DS solicita Autenticación Desacoplada como método para autenticar al Titular de la Tarjeta.
  • 3DS Requestor Website (Sitio Web del Solicitante 3DS): Componente que proporciona el sitio web que solicita las credenciales del Titular de la Tarjeta (ya sea archivadas o ingresadas por el Titular de la Tarjeta).
  • SDK 3DS: Kit de Desarrollo de Software 3-D Secure (SDK). Un componente que se incorpora en la App del Solicitante 3DS. El SDK 3DS realiza funciones relacionadas con 3-D Secure en nombre del Servidor 3DS.
  • 3DS Server (Servidor 3DS): Se refiere al servidor o sistemas del Integrador 3DS que manejan transacciones en línea y facilitan la comunicación entre el Solicitante 3DS y el DS.
  • 3-D Secure (3DS): Un protocolo de autenticación de comercio electrónico que permite el procesamiento seguro de transacciones de tarjetas de pago, no pago y confirmación de cuenta.
  • ACS - Servidor de Control de Acceso: Un componente que opera en el Dominio del Emisor, que verifica si la autenticación está disponible para un número de tarjeta y tipo de dispositivo, y auténtica a Titulares de Tarjetas específicas.
  • Acquirer Domain (Dominio del Adquirente): Contiene los sistemas y funciones del Entorno del Solicitante 3DS y, opcionalmente, del Adquirente.
  • Adquirente: Una institución financiera que establece una relación de servicio contractual con un Comerciante con el propósito de aceptar tarjetas de pago. En el contexto de 3-D Secure, además del rol tradicional de recibir y enviar mensajes de autorización y liquidación (introduce la transacción en el intercambio), el Adquirente también determina si un Comerciante es elegible para apoyar la participación del Comerciante en 3-D Secure.
  • Autenticación: En el contexto de 3-D Secure, el proceso de confirmar que la persona que realiza una transacción de comercio electrónico está autorizada para usar la tarjeta de pago.
  • Billetera Digital: Un componente de software que permite a un usuario realizar un pago electrónico con un instrumento financiero (como una tarjeta de crédito) mientras oculta los detalles técnicos de la ejecución del protocolo de pago, incluidas tareas como ingresar un número de cuenta y proporcionar información de envío e identificación del Titular de la Tarjeta.
  • Categoría de Mensaje: Indica la categoría del mensaje EMV 3-D Secure. Puede ser Pago (01-PA) o No Pago (02-NPA).
  • Comerciante: Entidad que contrata con un Adquirente para aceptar tarjetas de pago. Gestiona la experiencia de compra en línea con el Titular de la Tarjeta, obtiene el número de tarjeta y luego transfiere el control al Servidor 3DS, que realiza la autenticación de pago.
  • Contraseña de Un Solo Uso - OTP: Una contraseña que es válida para solo una sesión de inicio de sesión o transacción, en un sistema informático u otro dispositivo digital.
  • Desafío: El proceso en el que el ACS se comunica con el Cliente 3DS para obtener información adicional a través de la interacción con el Titular de la Tarjeta.
  • Dominio del Emisor: Contiene los sistemas y funciones del Emisor y sus clientes (Titulares de Tarjetas).
  • Emisor: Una institución financiera que emite tarjetas de pago, contrata con los Titulares de Tarjetas para proporcionar servicios de tarjetas, determina la elegibilidad de los Titulares de Tarjetas para participar en 3-D Secure e identifica para el Servidor de Directorio los rangos de números de tarjetas elegibles para participar en 3-D Secure.
  • EMV: Un término que se refiere a las especificaciones de EMVCo para la interoperabilidad global y aceptación de transacciones de pago seguras y/o productos y servicios que cumplen con dichas especificaciones.
  • EMVCo: EMVCo, LLC, una compañía de responsabilidad limitada incorporada en Delaware, EE. UU. Propiedad de American Express, Discover, JCB, MasterCard, UnionPay y Visa. El cual facilita la interoperabilidad mundial y la aceptación de transacciones de pago seguras mediante la utilización de las especificaciones dadas por EMV.
  • Indicador de Comercio Electrónico - ECI: Valor específico del Sistema de Pago proporcionado por el ACS para indicar los resultados del intento de autenticar al Titular de la Tarjeta.
  • Flujo de Desafío: Un flujo 3-D Secure que involucra la interacción con el Titular de la Tarjeta.
  • Flujo Sin Fricción: Un flujo 3-D Secure que no involucra interacción con el Titular de la Tarjeta.
  • Fuera de Banda (Out Of Band - OOB): Una actividad de Desafío que se completa fuera de, pero en paralelo a, el flujo 3-D Secure. La Solicitud de Desafío final no se utiliza para transportar los datos que el ACS debe verificar, sino que sólo señala que la autenticación ha sido completada. Los métodos o implementaciones de autenticación del ACS no están definidos por la especificación 3-D Secure.
  • Mensaje de Solicitud de Autenticación - AReq: Un mensaje EMV 3-D Secure enviado por el Servidor 3DS a través del DS al ACS para iniciar el proceso de autenticación.
  • Mensaje de Respuesta de Autenticación - ARes: Un mensaje EMV 3-D Secure devuelto por el ACS a través del DS en respuesta a un mensaje de Solicitud de Autenticación.
  • Mensaje de Solicitud de Desafío - CReq: Un mensaje EMV 3-D Secure enviado por el SDK 3DS o el Servidor 3DS donde se envía información adicional del Titular de la Tarjeta al ACS para apoyar el proceso de autenticación.
  • Mensaje de Respuesta de Desafío - CRes: La respuesta del ACS al mensaje CReq. Puede indicar el resultado de la autenticación del Titular de la Tarjeta o, en el caso de un modelo basado en App, también señalar que se requiere más interacción con el Titular de la Tarjeta para completar la autenticación.
  • Mensaje de Solicitud de Preparación - PReq: Mensaje 3-D Secure enviado desde el Servidor 3DS al DS para solicitar la(s) Versión(es) de Protocolo del ACS y DS que corresponden a los rangos de tarjetas DS, así como una URL de Método 3DS opcional para actualizar la información de almacenamiento interno del Servidor 3DS.
  • Mensaje de Respuesta de Preparación - PRes: Respuesta al mensaje PReq que contiene los Rangos de Tarjetas DS, las Versiones de Protocolo activas para el ACS y DS y la URL del Método 3DS, de modo que se puedan realizar actualizaciones en el almacenamiento interno del Servidor 3DS.
  • Mensaje de Solicitud de Resultados - RReq: Mensaje enviado por el ACS a través del DS para transmitir los resultados de la transacción de autenticación al Servidor 3DS.
  • Mensaje de Respuesta de Resultados - RRes: Mensaje enviado por el Servidor 3DS al ACS a través del DS para reconocer la recepción del mensaje de Solicitud de Resultados.
  • Navegador: En el contexto de 3-D Secure, el navegador es un conducto para transportar mensajes entre el Servidor 3DS (en el Dominio del Adquirente) y el ACS (en el Dominio del Emisor).
  • Número de Identificación Bancaria (BIN): Los primeros seis dígitos del número de cuenta de una tarjeta de pago que identifican de manera única a la institución financiera emisora. También se conoce como Número de Identificación del Emisor (IIN) en la norma ISO 7812.
  • Servidor de Directorio - DS: Un componente de servidor operado en el Dominio de Interoperabilidad; realiza varias funciones que incluyen: autenticar el Servidor 3DS, enrutar mensajes entre el Servidor 3DS y el ACS, y validar el Servidor 3DS, el SDK 3DS y el Solicitante 3DS.
  • Sin Fricción: El proceso de autenticación logrado sin interacción con el Titular de la Tarjeta.
  • Sistema de Autorización: Los sistemas y servicios a través de los cuales un Sistema de Pago ofrece procesamiento financiero en línea, autorización, compensación y servicios de liquidación a Emisores y Adquirentes.
  • Sistema de Pago: Un Sistema de Pago define las reglas y condiciones operativas, y los requisitos para la emisión de tarjetas y la aceptación de Comerciantes.
  • Tarjeta: En esta especificación, es sinónimo de la cuenta de una tarjeta de pago.
  • Titular de la Tarjeta: Una persona a quien se le emite una tarjeta o que está autorizada para usar dicha tarjeta.
  • Token de autenticación: Es una cadena de texto que no pretende tener un significado alguno y representa un acceso de autorización que es emitido al cliente. El token permite reemplazar las credenciales de autenticación del propietario directamente, con el fin de proteger la información.
  • Valor de autenticación - AV: Un valor criptográfico generado por el ACS para proporcionar una forma, durante el procesamiento de autorización, para que el sistema de autorización valide la integridad del resultado de la autenticación. El algoritmo AV es definido por cada Sistema de Pago.
  • Versión del Mensaje: Se refiere a la versión del protocolo que será utilizada por todos los componentes para procesar la transacción 3-D Secure. La versión del mensaje siempre es consistente en todos los mensajes del protocolo 3-D Secure para una transacción específica.
  • Transacción iniciada por el Titular de la Tarjeta (CIT): Cualquier transacción en la que el titular de la tarjeta participa activamente en la transacción. Las transacciones pueden realizarse con base en las credenciales proporcionadas por el titular de la tarjeta en el momento de la transacción o una credencial almacenada de una interacción previa. Las transacciones pueden ocurrir como una transacción en punto de venta POS en tienda, una transacción de comercio electrónico, una orden por correo/teléfono, o en un cajero automático ATM.
  • Transacción Iniciada por el Comerciante (MIT): Una transacción donde el titular de la tarjeta no participa activamente en la transacción. Las MIT a menudo pueden ser precedidas por una CIT que involucre una PA - Payment Authentication o una Consulta de Estado de Cuenta ASI, por sus siglas en inglés.
  • Payment Authentication (PA): Implica monto de autenticación
  • Not Payment Authentication (NPA): No implica monto

Pago Recurrente / Cuotas

Una transacción que surge de un acuerdo entre el titular de la tarjeta y el comerciante mediante el cual el titular de la tarjeta acepta que el comerciante almacene la credencial del titular de la tarjeta y utilice esa credencial almacenada para una compra subsiguiente de bienes o servicios. Estas transacciones pueden clasificarse como:

  • Orden permanente
  • Suscripción
  • Cuota pagos diferidos
  • CREDENCIAL-ON-FILE no programada

Práctica de la Industria MIT

Una transacción iniciada por el comerciante para cumplir con una práctica comercial que ocurre más a menudo después de una interacción inicial con el titular de la tarjeta. Las transacciones pueden realizarse con credenciales que están almacenadas en archivo, o credenciales que no están almacenadas en archivo, sino que son temporalmente retenidas por el comerciante según lo acordado por el consumidor. Estas MIT de práctica de la industria pueden clasificarse como:

  • Envíos parciales
  • Entregas parciales o retrasadas
  • No presentación (Tarjetahabiente no está presente para tomar el servicio)
  • Reenvío

Tipos de mensajes 3RI admitidos

La funcionalidad 3RI abarca varios casos de uso técnicos y comerciales diferentes que son principalmente definidos por los siguientes campos EMV 3DS:

Canal de dispositivo (deviceChannel) = RI (03)

Campo Indicador 3RI (tresRIInd) en la solicitud de autenticación AReq que define el tipo de Transacción 3RI. No todos los valores de campo del indicador 3RI documentados en la especificación EMV 3DS actualmente son compatibles con las marcas

3RI Indicador (threeRIInd)
Marcas
Pago (PA)
No Pago (NPA)
RECURRING_TRANSACTION (01)
Visa con DAF, Mastercard
SI
NO
INSTALMENT_TRANSACTION (02)
Visa con DAF, Mastercard
SI
NO
ADD_CARD (03)
Visa, Mastercard
NO
SI
MAINTAIN_CARD_INFORMATION (04)
Visa, Mastercard
NO
SI
ACCOUNT_VERIFICATION (05)
Visa, Mastercard
NO
SI
SPLIT_OR_DELAYED_SHIPMENT (06)
Visa, Mastercard
SI
NO
TOP_UP (07)
Visa, Mastercard
NO
NO
MAIL_ORDER (08)
Visa, Mastercard
NO
NO
TELEPHONE_ORDER (09)
Visa, Mastercard
NO
NO
WHITELIST_STATUS_CHECK (10)
Visa, Mastercard
NO
SI
OTHER_PAYMENT (11)
Visa, Mastercard
SI
NO
VISA_UNSCHEDULED_CREDENTIAL_ON_FILE (81)
Visa con DAF
SI
NO

Preguntas frecuentes

  • ¿Es posible Agregar Tarjeta "threeDSAuthenticationInd": ADD_CARD (04) y hacer la Autenticación de un Pago (PA) al mismo tiempo?

No es posible. En el proceso de Agregar Tarjeta a un comercio para validar la identidad de la tarjeta habiente, es permitido enviar un monto, en cuyo caso se descontará el monto para la verificación de fondos y DEBE ser reembolsado posteriormente por el comercio, lo cual no representa una Autenticación Pago en sí mismo.

Es necesario enviar posterior al proceso de Agregar Tarjeta otra autenticación con el monto a Autenticacior

  • ¿Se puede usar una CIT NPA como PriorInformation para una MIT PA?

Es posible UNICAMENTE en el escenario de un pago único, en este caso, se podrá utilizar una CIT NPA de tipo “Agregar Tarjeta” este es el único caso confirmado para este uso. La transacción MIT deberá mandarse con el indicativo threeRIInd=81 Unscheduled Credential-on-File, este tipo de transacción no requiere ningún valor de recurrencia recurringExpiry, recurringFrequency únicamente el monto que se va a pagar. Eventualmente otros casos de uso pueden ser agregados en versiones del Protocolo. Esto aplica exclusivamente para VISA usando la extensión DAF

La razón principal es que estas dos categorías de transacciones tienen naturalezas diferentes y propósitos distintos:

  1. MIT (Merchant Initiated Transaction): Una MIT es iniciada por el comerciante en lugar del titular de la tarjeta. Por lo general, las MIT se utilizan para pagos recurrentes, como suscripciones mensuales o anuales, donde el comerciante tiene la autorización del titular de la tarjeta para cargar periódicamente el monto acordado en su tarjeta. En las MIT, la autenticación suele ser realizada por el comerciante y no requiere la interacción activa del titular de la tarjeta en el momento de la transacción.
  2. CIT NPA Customer Initiated Transaction - Non Payment Authentication: Una CIT NPA es una transacción iniciada por el titular de la tarjeta que no implica un pago directo, sino que se utiliza para otros fines, como la verificación de la tarjeta o la consulta de saldo. En una CIT NPA, se puede realizar una autenticación sin que se realice una transferencia de fondos directa.

Dado que una MIT implica un pago por parte del comerciante y una CIT NPA no implica un pago directo, no tendría sentido lanzar una transacción MIT junto con una CIT NPA. Cada tipo de transacción tiene su propio propósito y aplicación específica en el contexto del protocolo 3D Secure.

En pocas palabras: es posible unsar una CIT NPA en una MIT PA si el pago es único no recurrente.

Unscheduled card-on-file transactions UCOF: A transaction using a stored credential for a fixed or variable amount that does not occur on a scheduled or regularly occurring transaction date, where the cardholder has provided consent for the merchant to initiate one or more future transactions

  • Visa Digital Authentication Framework DAF

Visa Digital Authentication Framework DAF es una extensión de mensaje del protocolo 3DS que le permite a Visa identificar a titulares de tarjetas que superaron el flujo de autenticación con desafío en un determinado comercio - adquirente, para así otorgarles un estado de confiabilidad al determinarlos como credencial de pago autenticada Authenticated Credential Payment - ACP, esto permite que las siguientes transacciones que ejecute el tarjetahabiente en el mismo comercio sean autenticadas de inmediato.