Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.
¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?
Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.
¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?
Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.
¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?
Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.
Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.
¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?
En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.
¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?
El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.
Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?
La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.
¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?
En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.
¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?
Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.
¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?
Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.
¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?
Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.
Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.
¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?
Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.
¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?
Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.
¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?
Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.
Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.
¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?
El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.
¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?
Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.
¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?
Si, aunque las entidades no parecen aplicar conscientemente esta situación.
¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?
Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:
¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?
En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.
¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?
El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.
Todo es electrónico 
Quisiera conocer su opinión acerca de las responsabiliades que asume una entidad bancaria al implementar EMV en sus tarjetas, responsabilidades tales como «Liability Shift». Gracias.
Pingback: 1.000.000 de visitas « Todo es electrónico
El 3D Secure es una MIERDA…sólo ha venido a perjudicarnos a los que no contamos con ese servicio. En ningún banco de mi país brindan el 3D Secure o Verified By Visa, he tenido demasiados problemas al intentar comprar en internet.
Hola. Tengo problema con un pago electronico que efectuo con tarjeta visa desde España en un comercio ruso.En ultimo paso de pago (segun me explicaron) Visa no deja pasar el pago por 3D Secure. No se que es y que puedo hacer.Les agradezco si me pueden dar alguna informacion. Ademas con la misma tarjeta hago compras en internet por PayPal o Moneybookers sin ningun problema. Gracias.