Sistemas de seguridad de los TPV para evitar el fraude en las compras online

Mejorar seguridad pagos online TPV virtual

Comercios | 10/11/2014

Cualquier TPV virtual que se pueda contratar en el mercado, tiene como objetivo permitir ejecutar transacciones de compraventa en comercios online. Estas transacciones tienen que ser seguras, algo lógico dado el coste que suponen las operaciones fraudulentas en cualquier negocio. Compras con tarjetas robadas, con tarjetas falsificadas o suplantando la identidad de otra persona, son algunos de los intentos de fraude típicos contra los que el sector retail online lucha cada día y contra los que no queda más remedio que utilizar el “armamento” disponible para tratar de minimizar el impacto de estos intentos de fraude.

La solución base pasa por montar una buena pasarela de pagos y configurarla bien, tratando de disponer en todo momento de un nivel de seguridad suficiente y acorde con el proceso de compra. Esto significa que es necesario determinar un proceso de compra efectivo, que sea seguro pero, al mismo tiempo, sin pasarse de la raya, para no perder al cliente justo cuando está en la recta final del proceso de compra. Este equilibrio se puede conseguir configurando los distintos sistemas de seguridad y opciones anti-fraude que acompañan a la pasarela de pago, como los siguientes:

AVS: comprobación de dirección, seguridad básica para compras con tarjeta

El sistema de seguridad AVS (Address Verification Service) para en las compras con tarjeta de crédito en el canal online, permite que, durante el proceso de pago, el comercio lance una comprobación de la dirección que se indica en la tarjeta y la que tiene registrada el banco emisor en sus sistemas. Esta comprobación se realiza en el entorno del banco, quedando al margen del comercio. 

Si la comprobación de los datos de dirección resulta satisfactoria, el comercio recibe una respuesta positiva y continúa el proceso de pago; en caso contrario, el proceso de compra se detiene y no se autoriza la operación. Esta comprobación es bastante básica, ya que la dirección del propietario de una tarjeta puede ser obtenida sin demasiado esfuerzo, así que este sistema está bien, pero no garantiza el éxito en el 100 % de las transacciones. Se necesita algo más potente, como son los que se exponen a continuación.

CVV/CV2: seguridad básica pero no suficiente en las compras con tarjeta

El sistema CVV o CV2 (Card Verification Value) en los pagos en comercios online añade la obligación de indicar junto con el número de la tarjeta el dato del criptograma visual (CVV) que acompaña a la mayoría de plásticos hoy en día. Dependiendo del emisor de la tarjeta (VISA, AmericanExpress o MasterCard), constará de 3 o 4 números que van grabados en la tarjeta y que sólo deberá conocer el titular.

Este control se realiza en el entorno del banco, abriéndose durante el pago una pasarela específica para que el titular de la tarjeta indique el código y se compruebe si es correcto o no. En caso de ser correcto, el sistema del banco devuelve al comercio una respuesta positiva y, en caso contrario, no autoriza la operación y el proceso de pago se para. Por la propia naturaleza del sistema, en caso de que el titular pierda la tarjeta o se la roben, cualquiera podría usarla en un comercio online y pasar este control, ya que el número está visible en la tarjeta. Por tanto, hace falta algo más.

Protocolo 3D Secure: cerrando el círculo para legitimar las compras con tarjeta

El protocolo 3D secure es utilizado por las principales plataformas de tarjetas de crédito, (Visa, Mastercard y American Express), nombrando cada una su adaptación del sistema con su propio sello. De esta manera, en los comercios y entidades que trabajan con TPV virtual con tecnología 3D Secure, se pueden encontrar los distintivos “Verified by VISA” (VISA), “SecureCode” (MasterCard) y “SafeKey” (American Express).

En todas estas adaptaciones del protocolo 3D Secure, lo que se persigue es poner freno a las operaciones fraudulentas en las que se intenta comprar con una “tarjeta no presente”, es decir, usando números de tarjeta que han sido robados y que, por tanto, no son los legítimos autorizados para usar el medio de pago. Para lograrlo, en el momento del pago se pide al cliente del comercio que, además de los datos del número, fecha de caducidad de la tarjeta y código CVV (criptograma visual), introduzca un dato adicional que sólo esta persona debería saber.

Para hacer esta comprobación, el comercio online se conecta directamente con la web del banco y se realiza la transacción en un entorno seguro de la entidad, de tal manera que el comercio nunca podrá saber qué datos se le han pedido al cliente. Este dato adicional puede ser un código de una tarjeta de coordenadas, una contraseña, una clave generada con un sistema de token o una app móvil, un código enviado por sms o, en los casos más débiles, la fecha de nacimiento o un dato personal y el banco responde al comercio con un “OK”, si la comprobación es correcta, o “Error”, en caso de que no se supere la prueba. 

Con el protocolo 3D secure, se reduce el nivel de fraude, al añadir a los datos de la tarjeta de crédito una información adicional que sólo debería conocer el legítimo propietario, aunque no es perfecto. Está bastante extendido en el mercado y la mayor parte de las tarjetas crédito que se emiten hoy en día son compatibles con este sistema. En caso de que un cliente quiera pagar con una tarjeta que no sea compatible con el protocolo 3D Secure, el comercio puede aceptar el pago o no, en función de los parámetros que haya configurado en su TPV virtual.

Esta opción de 3D Secure es recomendable que todos los comercios online la tengan habilitada por defecto, valorando en base a su experiencia y nivel de exposición al riesgo de fraude la conveniencia de aceptar o no las transacciones con tarjetas que no sean compatibles con el protocolo. Tal vez no le interese a algunos comercios que gestionan todo el proceso online pero puede haber otros en los que se produzca un contacto offline que ayude a garantizar la compra en estos casos.

Opciones anti-fraude adicionales 

Además de las opciones anteriores, en algunos sistemas de pago es posible filtrar las compras que se realicen con determinados parámetros, como el tipo de tarjeta, acotando el sistema (VISA, MasterCard, AmericanExpress) y otros asociados a la localización geográfica. Con los parámetros geográficos, es posible abortar intentos de fraude desde países desde los que no tiene sentido una compra.

Por ejemplo, se pueden filtrar las tarjetas emitidas por bancos de países considerados “de riesgo” y también por la IP de origen de la compra, filtrando las que estén localizadas en un territorio de riesgo o acotando para que sólo se admitan las que provengan desde un determinado país. Este último parámetro se puede saltar con una VPN, pero sumando este control a otros de los comentados, se pueden evitar compras fraudulentas.

En BBVA con tu Empresa | El pago sin contacto está aquí para quedarse: así lo puedes implementar

Imagen | danielfoster437