La Autenticación Reforzada de Cliente (SCA), la PSD2 y el PCI DSS son tres normativas distintas que se solapan en los pagos online europeos. Confundirlas genera lagunas de conformidad: quien implementa solo la SCA (Strong Customer Authentication) de la PSD2 cree estar al día, pero ignora los requisitos PCI DSS sobre la protección de los datos de las tarjetas. Este artículo aclara las diferencias, los solapamientos y cómo 3DS2 se sitúa en este contexto.
SCA, PSD2 y PCI DSS: tres normativas, un solo objetivo
La PSD2 (Payment Services Directive 2) es un reglamento europeo que obliga a los proveedores de servicios de pago a aplicar la SCA para las transacciones online en el Espacio Económico Europeo. La SCA exige al menos dos de los tres factores de autenticación: algo que el titular conoce (PIN, contraseña), algo que posee (teléfono inteligente, token físico) y algo que lo caracteriza biométricamente (huella dactilar, reconocimiento facial). Su objetivo es reducir el fraude en los pagos online.
El PCI DSS, en cambio, es un estándar técnico definido por el PCI SSC que regula la protección de los datos de las tarjetas a lo largo de todo el ciclo de vida de la transacción: recogida, transmisión, procesamiento y conservación. No se ocupa de la autenticación del titular, sino de cómo los sistemas del comercio, del procesador y del adquirente gestionan el dato de la tarjeta. Los dos marcos tienen objetivos complementarios, pero no se sustituyen mutuamente: respetar la SCA no equivale a ser conforme con PCI DSS y viceversa.
3DS2 y PCI DSS: cómo se integran técnicamente
El protocolo 3DS2 (3-D Secure versión 2) es el mecanismo técnico mediante el cual se implementa la SCA para los pagos sin presencia de tarjeta. Durante el flujo 3DS2, datos adicionales sobre la transacción (dirección IP, huella digital del dispositivo, historial del titular) se transmiten al ACS (Access Control Server) del emisor para una evaluación del riesgo. Si el riesgo es bajo, la transacción procede sin interacción del titular (flujo frictionless); de lo contrario, se solicita un segundo factor (flujo challenge).
Desde el punto de vista de PCI DSS, el flujo 3DS2 no reduce el perímetro del comercio: el PAN sigue siendo tratado durante la tokenización inicial y debe protegerse según los requisitos del estándar. Sin embargo, combinar 3DS2 con la tokenización de PCI Proxy EU permite optimizar ambos: el token se usa en los cobros recurrentes sin necesidad de volver a solicitar la SCA (gracias a las exenciones para las transacciones iniciadas por el comercio), y el PAN nunca transita por los sistemas del comercio.
Exenciones SCA e impacto en el perímetro PCI
La PSD2 prevé diversas exenciones a la SCA que los comercios pueden solicitar al emisor. Las principales son: transacciones de importe inferior a 30 euros (transacciones de bajo valor), transacciones con bajo índice de fraude (análisis de riesgo de la transacción), transacciones recurrentes de importe fijo (transacciones iniciadas por el comercio) y pagos efectuados por remitentes de confianza. El uso de las exenciones debe acordarse con el PSP (Payment Service Provider) y el adquirente.
Las exenciones SCA para las transacciones iniciadas por el comercio tienen un impacto directo en la gestión del perímetro PCI en los pagos recurrentes. Cuando el comercio inicia un cargo sobre un token previamente autorizado por el titular, no se necesita una nueva SCA, pero sí que el token sea válido y que la primera autorización haya incluido el consentimiento para los cargos futuros. PCI Proxy EU admite este flujo de forma nativa, permitiendo gestionar las suscripciones y los abonos en conformidad tanto con la SCA como con el PCI DSS.
Preguntas frecuentes
Si implemento 3DS2, ¿soy conforme con PCI DSS?
No. El 3DS2 responde a los requisitos SCA de la PSD2, no a los requisitos PCI DSS. Son dos marcos separados. El PCI DSS exige la protección del dato de la tarjeta (PAN, CVV, datos de la banda magnética) a lo largo de todo su ciclo de vida, independientemente del protocolo de autenticación utilizado. Un comercio puede implementar 3DS2 correctamente y al mismo tiempo tener graves lagunas PCI, por ejemplo, conservando los PAN en texto plano en la base de datos.
¿Las exenciones SCA aumentan el riesgo de fraude?
Las exenciones SCA están diseñadas para reducir la fricción en las transacciones de bajo riesgo, no para rebajar la seguridad general. La responsabilidad del contracargo en caso de fraude recae sobre el emisor cuando este aprueba la exención. Para el comercio, el principal riesgo es aplicar exenciones a transacciones de alto riesgo: es necesario monitorizar los índices de fraude y calibrar la estrategia de exención con el PSP.
¿PCI Proxy EU es compatible con el flujo 3DS2?
PCI Proxy EU admite el flujo 3DS2 tanto en modalidad frictionless como challenge. El token generado en el momento de la primera transacción incluye la información necesaria para los cargos merchant-initiated posteriores sin necesidad de una nueva SCA. El servicio es compatible con los principales procesadores europeos que admiten 3DS2 y con las API de los emisores que gestionan el ACS.
¿Quiere gestionar la SCA y el PCI DSS con una sola integración? Descubra cómo PCI Proxy EU admite el flujo 3DS2 y la tokenización. Descubra PCI Proxy EU.