- Pautas de integración
- Cumplimiento y exenciones de PSD2 SCA
Cumplimiento y exenciones de PSD2 SCA
La Directiva revisada de servicios de pago (PSD2) es una legislación vigente en el Espacio Económico Europeo (EEE). PSD2 tiene como objetivo impulsar la eficiencia e integración del mercado, aumentar la protección del consumidor, crear competencia y mejorar la seguridad.
Esta página proporciona información sobre el cumplimiento y las exenciones de PSD2 SCA, para permitirle determinar si se aplican a usted y proporciona orientación sobre cuándo y cómo utilizar las exenciones.
Para obtener información sobre cómo cumplir con PSD2 SCA y reclamar exenciones, cuando corresponda, a través del Mastercard Gateway, consulte las pautas de integración para cada uno de los modelos de integración utilizando los siguientes vínculos:
- Integración de Hosted Checkout para PSD2 SCA
- Integración de API de autenticación para PSD2 SCA
- Integración de la API JavaScript de 3DS para PSD2 SCA
Descripción general
La directiva PSD2 solo se aplica a transacciones en las que tanto el emisor como el adquirente se encuentren en los países del Espacio Económico Europeo (EEE).
Si su adquirente se encuentra fuera del EEE, entonces PSD2 no se aplica a usted.
Si su adquirente está ubicado en el EEE, entonces PSD2 se aplica a sus transacciones donde se emitió la tarjeta del pagador en el EEE. Si acepta pagos de pagadores tanto dentro como fuera del EEE, debe tratar todas sus transacciones como si se aplicara PSD2.
Para lograr una mejor protección del consumidor, PSD2 exige que los proveedores de servicios de pago implementen la autenticación reforzada de clientes (SCA) para las transacciones de comercio electrónico. Para los pagos con tarjeta, debe lograr una SCA mediante la ejecución de la Autenticación 3-D Secure (3DS). Sin embargo, 3DS agrega un paso adicional al flujo de pago, solicitando al pagador que proporcione detalles adicionales durante el desafío de autenticación. Esto es un inconveniente para los pagadores y potencialmente resulta en tasas de abandono más altas cuando los pagadores abandonan el proceso de pago.
Por lo tanto, el mandato PSD2 incluye un conjunto de exenciones donde no se requiere SCA, lo que podría permitir que el pagador ignore este paso adicional durante el proceso de pago. El emisor puede aplicar una exención PSD2 (exención de emisor) o usted o su adquirente pueden solicitarla (exención de adquirente). El emisor podrá aplicar o no la exención del adquirente solicitada.
Si el emisor aplica una exención, la responsabilidad del contracargo pasa al emisor. Si el emisor concede una exención que usted o su adquirente han solicitado, la responsabilidad del contracargo permanece con usted. Un ejemplo de una exención del emisor es la exención para transacciones de bajo valor. Ejemplos de exenciones para adquirentes son las transacciones de bajo valor y aquellas en las que el pagador lo ha incluido en la lista blanca del emisor. Para obtener más detalles sobre las exenciones disponibles, consulte las secciones a continuación.
Puede solicitar una exención ya sea en la autenticación o en la solicitud de pago. Para obtener más detalles sobre las opciones viables, consulte las secciones siguientes.
Comprensión del cumplimiento y las exenciones de PSD2 SCA
Antes de continuar con la integración de un motor de pagos para el cumplimiento de PSD2 SCA, es posible que desee considerar las siguientes preguntas.
¿Qué es SCA?
La autenticación reforzada de clientes (SCA) requiere que el pagador proporcione dos de los siguientes tres factores durante el proceso de autenticación:
- Algo que solo él conozca, por ejemplo, una contraseña.
- Algo que solo él tenga, por ejemplo, un teléfono móvil.
- Algo que sea de su persona, por ejemplo, su huella digital o identificación facial.
Por ejemplo, se le puede pedir al pagador que proporcione un token de un solo uso que el emisor haya enviado a su teléfono celular (algo que el pagador tiene) y una contraseña (algo que el pagador conoce).
¿El mandato de PSD2 SCA se aplica a todas mis transacciones?
El mandato de PSD2 SCA solo se aplica a las transacciones de comercio electrónico. Las siguientes transacciones no requieren SCA bajo PSD2:
- Tarjeta presente, pedido por correo, pedido por teléfono, respuesta de voz y transacciones del centro de llamadas
- Transacciones con tarjetas anónimas, por ejemplo, tarjetas prepago y tarjetas de regalo
- Las transacciones que no son iniciadas por el pagador, por ejemplo, las transacciones recurrentes y a plazos, no requieren SCA según PSD2. Tenga en cuenta que se aplican requisitos específicos a los pagos iniciados por el titular de la tarjeta en una serie de pagos recurrentes. Para obtener más detalles, vea a continuación.
¿Cómo puedo cumplir con el mandato de PSD2 SCA?
Para los pagos con tarjeta, puede cumplir con la PSD2 SCA al ejecutar la Autenticación 3-D Secure (3DS) o al aplicar una exención de PSD2 SCA.
Al decidir si debe solicitar autenticación 3DS o solicitar una exención PSD2, es posible que desee considerar las siguientes preguntas:
- ¿Necesito protección contra contracargos? Si la autenticación 3DS es exitosa y se concede la exención del emisor, la responsabilidad del contracargo pasa al emisor. Si solicita una exención de adquirente (y el emisor otorga la exención), la responsabilidad del contracargo permanece con usted.
- ¿Qué posibilidades hay de que el pagador abandone el proceso de pago si se le presenta el desafío 3DS? Para una transacción de un monto mayor, el pagador puede considerar este paso importante, mientras que en una transacción con un monto bajo puede decidir que el esfuerzo de superar el desafío 3DS es demasiado exigente.
- ¿Qué posibilidades hay de que el emisor conceda la exención o aplique una exención de emisor? Si el emisor no concede la exención que usted ha solicitado o no aplica una exención de emisor, deberá realizar 3DS para proceder con el pago. Esto agrega latencia al proceso de pago y es posible que deba pagar tarifas por dos solicitudes de transacción.
- ¿Cuál es mi tasa de fraude? Es menos probable que el emisor conceda la exención si tiene una alta tasa de fraude. Las altas tasas de fraude pueden afectar su posición con el esquema de tarjeta.
¿Qué exenciones de PSD2 SCA puedo solicitar?
Para una autenticación o un pago, puede solicitar una de las siguientes exenciones:
| Exención | Descripción |
|---|---|
| Riesgo bajo | Los emisores pueden aplicar exenciones de la SCA para transacciones que se consideran de "riesgo bajo" y cuyo monto está por debajo de un umbral definido. Los emisores pueden considerar las transacciones como de riesgo mínimo en función de la tasa de fraude promedio del emisor de la tarjeta, del adquirente o de ambos. Tenga en cuenta que esta tasa de fraude se aplica a todas las transacciones para el emisor/adquirente de la tarjeta, no específicamente para usted. Cuando la tasa de fraude de su adquirente está por debajo del umbral, pero la del emisor de la tarjeta está por encima del umbral, se espera que el emisor rechace la exención. Los umbrales aplicables son:
Si solicita la exención de bajo riesgo y el emisor la concede, la responsabilidad pasa a usted. La exención puede ser aplicada por el emisor, incluso si usted o su adquirente no la solicitaron (exención del emisor). En este caso, la responsabilidad del contracargo pasa al emisor. Puede aumentar las posibilidades de que el emisor aplique la exención proporcionando información adicional del pagador al iniciar la autenticación. * El límite puede estar sujeto a cambios según PSD2. |
| Bajo valor | Cuando el monto de la transacción sea de hasta 30 EUR* (o monto equivalente en la moneda de la transacción), puede solicitar una exención por valor bajo. Si el emisor otorga la exención, la responsabilidad se traslada a usted. Los emisores deben realizar un seguimiento del uso de esta exención para cada tarjeta, incluido el número y el valor total de todas las transacciones desde la última vez que se autenticó al pagador. Cuando el número sea superior a cinco y el valor total supere los 100 EUR* (o el monto equivalente en la moneda de la transacción) no deben aplicar la exención y aplicar el SCA. Como los umbrales no solo se aplican a los pagos que el pagador realiza con usted, sino a cualquier pago, no puede confiar en que se le conceda la exención. Además, como el emisor no puede realizar las comprobaciones requeridas al efectuar la autenticación, puede conceder la exención en la autenticación pero rechazar posteriormente el pago. Debido a las condiciones aplicables a esta exención, es posible que los emisores no la apoyen por completo. Por estos motivos, se recomienda que, cuando corresponda, considere solicitar la exención de bajo riesgo en lugar de la exención de bajo valor. |
| Lista blanca | Si permite que su pagador cree una cuenta con usted, para que no tenga que ingresar información como los detalles de su tarjeta, dirección facturación o de envío cada vez que compre con usted, entonces puede considerar la exención de lista blanca. Puede solicitarle al emisor que durante la autenticación (cuando se realiza la SCA) ofrezca al pagador la opción de agregarlo a una lista blanca. En este caso, el pagador podrá agregarlo a usted a la lista blanca de esta tarjeta que mantiene el emisor. Como resultado, el emisor no requerirá SCA en los pagos posteriores que el pagador realice con esta tarjeta al realizar una compra en su sitio web. Esto se aplica independientemente del monto de la transacción o de la frecuencia con la que el pagador compra con usted. El pagador podrá gestionar la lista blanca de su tarjeta con el emisor (o un proveedor de servicios que ofrezca este servicio en nombre del emisor). Es posible que el emisor no admita la inclusión en la lista blanca y, hasta ahora, la adopción de listas blancas por parte de los emisores ha sido lenta. Si desea ofrecer una lista blanca, deberá hacerle seguimiento a un pagador que lo haya incluido en la lista blanca para poder solicitar la exención de la lista blanca al enviar un pago para su procesamiento. Para los pagos iniciados por el titular de la tarjeta con datos almacenados de la tarjeta, si el pagador no lo ha incluido en la lista blanca, se exigirá la SCA para cada pago individual activado por el pagador, incluso si está utilizando los detalles de pago almacenados del pagador |
| Pagos iniciados por negocios incluidos los pagos recurrentes (monto variable) |
Si tiene un acuerdo con su pagador que le permite enviar periódicamente pagos iniciados por el negocio (no cubiertos en Pagos recurrentes (cantidad fija) a continuación) para la provisión de bienes o servicios, estos pagos están exentos de los requisitos de PSD2 SCA. Esto incluye, por ejemplo, pagos de facturas de servicios públicos (por ejemplo, facturas de electricidad), suscripciones a televisión de pago y telefonía móvil, transacciones para compartir coches/bicicletas, suscripciones a servicios digitales, pagos de primas de seguros, pagos en números de pagos y recargas automáticas de cuentas. También incluye actualizaciones de autorización, por ejemplo, cuando amplía la validez de la autorización o actualiza el monto de la autorización. Para pagos recurrentes con monto fijo, consulte Exención de pagos recurrentes (monto fijo) a continuación. Solo necesita ejecutar la SCA cuando almacena los detalles de pago en el primer pago de la serie iniciado por el titular de la tarjeta. Para los pagos posteriores iniciados por el negocio de la serie, debe solicitar una exención de pago iniciado por el negocio. Tenga en cuenta que esto no es técnicamente una exención, si no que está indicando que se trata de un pago iniciado por el negocio que queda fuera del alcance de la PSD2 SCA. Y al igual que con cualquier otra exención, sigue siendo el emisor quien decide si se requiere autenticación. Cuando el emisor concede la exención de pago iniciada por el negocio, no se requiere la SCA y la responsabilidad del contracargo pasa al emisor. Si el emisor no otorga la exención, debe enviar un pago iniciado por el titular de la tarjeta y ejecutar la SCA para este pago. Si los detalles de la tarjeta utilizados para este acuerdo cambian, debe enviar otro pago iniciado por el titular de la tarjeta y ejecutar la SCA para este pago. Es un prerrequisito que identifique correctamente el pago como un pago iniciado por el negocio. Para obtener más detalles, consulte transacciones iniciadas por negocios.
|
| Pagos recurrentes (monto fijo) | Si tiene un acuerdo con el pagador para pagos recurrentes, es decir, una suscripción con un monto fijo, solo necesita realizar la SCA cuando almacene los detalles del pago o envíe el pago inicial iniciado por el titular de la tarjeta. Para los pagos posteriores iniciados por el negocio, debe solicitar una exención de pago recurrente. Si el emisor otorga la exención para pagos recurrentes, no se requiere la SCA y la responsabilidad del contracargo se traslada al emisor. Si el monto o los detalles de la tarjeta utilizados para el acuerdo de pago recurrente cambian, debe enviar otro pago iniciado por el cliente y ejecutar la SCA para este pago. Para pagos recurrentes con un monto fijo, reclame la exención para pagos recurrentes en lugar de una exención para pagos iniciados por el negocio (descrita anteriormente) ya que probablemente las tasas de aprobación del emisor para las exenciones para pago recurrentes sean más altas que para las transacciones iniciadas por el negocio. Es un prerrequisito que identifique correctamente el pago como un pago iniciado por el negocio. Para obtener más detalles, consulte transacciones iniciadas por negocios.
|
| Delegación de SCA | Si ya ha autenticado al pagador mediante un mecanismo compatible con PSD2 SCA, es posible que pueda reclamar una exención de delegación de SCA. Para poder hacer esto, los esquemas requieren que proporcione evidencia de la autenticación del pagador. Sin embargo, los esquemas aún están ultimando sus soluciones para verificar los datos de autenticación proporcionados para lograr la exención del mandato de la SCA. Por lo tanto, la funcionalidad de exención de delegación de SCA aún no se admite en el motor de pagos. |
| Pagos corporativos seguros | Si es un negocio de empresa a empresa (B2B), todos o algunos de sus pagos pueden estar exentos del mandato PSD2 SCA. La exención de pagos corporativos seguros cubre los pagos realizados a través de un proceso o protocolo de pagos corporativos dedicado iniciado por empresas que no está disponible para los consumidores. Estos incluyen pagos realizados a través de cuentas de viaje centrales, tarjetas para gastos de viajes corporativos, tarjetas virtuales y tarjetas corporativas seguras. Sin embargo, la exención no incluye automáticamente todos los pagos B2B. Las tarjetas corporativas que no se procesan utilizando métodos de seguridad adicionales, como las tarjetas de compra corporativas tradicionales para empleados, requieren SCA según el mandato PSD2. El pago corporativo seguro es una exención del emisor, lo que significa que el emisor decide si se puede aplicar. Si tiene una forma de reconocer que la exención se aplica a una transacción, simplemente puede enviar el pago y el emisor aplicará la exención. Si se utilizó un canal corporativo seguro, indíquelo solicitando la exención de pago corporativo seguro en la autenticación o solicitud de pago. Esto es fundamental para las tarjetas corporativas físicas, ya que en este caso el emisor no puede identificar una transacción de pago corporativo seguro basándose únicamente en el número de tarjeta. Si desea hacer uso de esta exención, debe ponerse en contacto con your payment service provider o con el adquirente. Deben asegurarse de que sus pagos cumplan con el umbral de mitigación de fraude requerido para las transacciones que no están exentas de SCA e informar habitualmente al regulador nacional para poder ofrecer esta exención. |
¿Puedo reclamar más de una exención de PSD2 SCA?
No, solo puede reclamar una única exención en una autenticación o solicitud de pago.
¿Cuál es la diferencia entre una exención de PSD2 SCA de un adquirente y de un emisor?
Una exención de adquirente es una exención que usted o su adquirente han solicitado. Sin embargo, en última instancia, corresponde al emisor decidir si se puede aplicar una exención. Si el emisor concede la exención al adquirente, el pago no requiere SCA. El pagador experimentará un flujo sin fricciones.
Si el emisor rechaza la exención del adquirente, aún puede utilizar una exención de emisor. En este caso, el pago no requiere SCA. El pagador experimentará un flujo sin fricciones. Si el emisor rechaza la exención del adquirente y no aplica una exención de emisor, el pago requiere SCA. Al pagador se le presentará un flujo de desafío.
El emisor puede aplicar una exención del emisor, aun cuando usted o su adquirente no la hayan solicitado. Esto solo se aplica a las exenciones de bajo valor, bajo riesgo, listas blancas y pagos corporativos seguros.
¿Se traslada la responsabilidad al emisor cuando se aplica una exención de PSD2 SCA?
Cuando se ejecuta una SCA, la responsabilidad del contracargo se traslada al emisor.
Cuando reclama una exención del adquirente y el emisor otorga la exención, la SCA no se ejecuta y la responsabilidad permanece con usted. Cuando el emisor aplica una exención de SCA (exención del emisor), la SCA no se ejecuta, pero la responsabilidad se traslada al emisor.
¿Cómo reclamo una exención de PSD2 SCA?
Puede reclamar una exención cuando ejecute la autenticación o ignorar la autenticación y reclamar una exención cuando envíe el pago para su procesamiento. A continuación se enumeran las opciones viables disponibles para usted.
Exenciones en una solicitud de autenticación
- Puede solicitar una exención cuando envíe una solicitud de autenticación al emisor.
Si el emisor otorga la exención, su pagador experimentará un flujo fluido para 3DS, lo que significa que no tiene que seguir ningún paso adicional relacionado con la autenticación del pagador. La respuesta de autenticación contendrá detalles que indiquen que se otorgó la exención. Los detalles de autenticación deben enviarse al emisor en la solicitud de pago.
Si el emisor no otorga la exención solicitada y no aplica una exención de emisor, se le presentará a su pagador el flujo de desafío.
- Si no reclama una exención en la autenticación, el emisor aún puede aplicar una exención. En este caso, el pagador experimentará un flujo fluido para 3DS. La respuesta de autenticación indicará que la autenticación se realizó correctamente.
Si el emisor no aplica una exención, se le presentará al pagador el flujo de desafío.
Exenciones en una solicitud de pago
- Puede enviar una solicitud de pago con los detalles de autenticación para una autenticación exitosa, un intento de autenticación o una exención otorgada. Esto le indica al emisor que usted cumple con la PSD2 SCA.
- Puede enviar una solicitud de pago sin los detalles de autenticación y en su lugar solicitar una exención. Esto significa que usted avanza directamente al pago sin intentar autenticar al pagador. Sin embargo, si el requisito de PSD2 SCA se aplica a la transacción, el emisor rechazará el pago a menos que usted solicite una exención y el emisor la otorgue, o que el emisor aplique una exención del emisor.
Si reclama una exención y el emisor la otorga, la transacción se procesará sin la SCA. Si el emisor no otorga la exención solicitada y no aplica una exención del emisor, la transacción será rechazada por el emisor. El código de respuesta indicará que se requiere la autenticación del pagador. Usted puede realizar la autenticación del pagador y volver a enviar la solicitud.
¿Debo solicitar una exención de PSD2 SCA cuando realice la autenticación o cuando realice el pago?
Si solicita una exención en la solicitud de autenticación al emisor, maximiza la posibilidad de que la SCA se ejecute de inmediato, cuando sea necesario. Y, cuando el emisor aplica una exención, el pagador no tiene que realizar un paso adicional durante el proceso de pago.
Sin embargo, para algunas exenciones, cuando el emisor otorga la exención durante el proceso de autenticación, puede que el pago sea rechazado posteriormente porque se requiere la SCA. Esto se aplica, por ejemplo, a la exención de bajo valor, donde el emisor solo puede realizar las comprobaciones necesarias cuando se realiza el pago.
Si solicita la exención en la solicitud de pago, cuando el emisor otorga la exención o cuando aplica una exención del emisor, el pago se realizará sin un paso de autenticación. Sin embargo, si el emisor determina que se requiere la SCA, el pago se rechaza (con un código de respuesta que indica que se requiere la SCA). Luego, debe realizar la autenticación y volver a enviar el pago con los detalles de autenticación. Esto agrega latencia al proceso de pago para el pagador y es posible que se apliquen tarifas por la autenticación y las solicitudes de pago.
¿Qué sucede si el emisor no está preparado para 3DS2?
Si el emisor no está preparado para 3DS2, el esquema de la tarjeta puede responder en nombre del emisor; esto se denomina procesamiento de sustitución o procesamiento de intentos. El plan no otorgará ninguna exención al adquirente, pero podrá aplicar una exención al emisor y devolver los detalles de autenticación en consecuencia. Si el esquema no aplica una exención del emisor, no autenticará al pagador. El esquema devolverá detalles de autenticación que indican que se intentó la autenticación.
¿Qué sucede si el emisor no admite las exenciones de PSD2 SCA?
Si el emisor no admite una exención de PSD2 SCA, por ejemplo, si el emisor está preparado para 3DS2, pero no está preparado para una o más exenciones de PSD2 SCA, el emisor nunca otorgará este tipo de exenciones cuando usted o su adquirente lo soliciten (exención del adquirente) y nunca aplicará esta exención (exención del emisor).
Tenga en cuenta que esto puede aplicarse a todas o algunas de las exenciones. Si el emisor no admite ninguna exención de SCA, se aplicará la SCA en todas las transacciones de tarjetas de este emisor, lo que significa que al pagador siempre se le presentará el flujo de desafío.
¿Qué sucede si solicito una exención de PSD2 SCA y no se puede contactar al emisor (problema de conectividad)?
Si no se puede contactar al emisor, el esquema puede responder en nombre del emisor. El plan no concederá ninguna exención a los adquirentes ni aplicará ninguna exención a los emisores.
El esquema devolverá detalles de autenticación que usted debe enviar al emisor en la solicitud de pago. El emisor aplicará una exención de emisor y procesará el pago o rechazará el pago porque la SCA es obligatoria. Si el pago se realiza correctamente, la responsabilidad se traslada al emisor debido a la imposibilidad de contactarlo durante el proceso de autenticación.
¿Qué significa PSD2 SCA para los pagos con dispositivos?
Los pagos con dispositivos, como Apple Pay y Google Pay, requieren que el pagador se autentique mediante su teléfono (algo que tenga) y una contraseña (algo que conozca) o huella digital o identificación facial (algo que sea de su persona). Por lo tanto, ya cumplen con el mandato de PSD2 SCA.
¿Qué significa PSD2 SCA para los pagos mediante explorador?
Los pagos mediante explorador, como PayPal y métodos de pago europeos comunes como iDEAL o Multibanco, en su mayoría ya cumplen con el mandato de PSD2 SCA o han realizado cambios en su flujo de pago para cumplir.