La Autenticação Reforçada de Cliente (SCA), la PSD2 e el PCI DSS são tres normativas distintas que se solapan en los pagos online europeus. Confundirlas genera lagunas de conformidade: quien implementa apenas la SCA (Strong Customer Authentication) de la PSD2 cree estar al día, mas ignora los requisitos PCI DSS sobre la proteção de los dados de las cartões. Este artigo aclara las diferencias, los solapamientos e como 3DS2 se sitúa en este contexto.
SCA, PSD2 e PCI DSS: tres normativas, un apenas objetivo
La PSD2 (Payment Services Directive 2) es un reglamento europeu que obliga a los fornecedores de serviços de pago a aplicar la SCA para las transações online en el Espacio Económico Europeu. La SCA exige al menos dos de los tres factores de autenticação: algo que el titular conoce (PIN, contraseña), algo que posee (telefone inteligente, token físico) e algo que lo caracteriza biométricamente (huella dactilar, reconocimiento facial). Su objetivo es reduzir el fraude en los pagos online.
El PCI DSS, en cambio, es un estándar técnico definido por el PCI SSC que regula la proteção de los dados de las cartões a lo largo de todo el ciclo de vida de la transação: recogida, transmisión, processamento e conservação. No se ocupa de la autenticação del titular, sino de como los sistemas del comércio, del procesador e del adquirente gerem el dato de la cartão. Los dos marcos têm objetivos complementarios, mas no se sustituyen mutuamente: respetar la SCA no equivale a ser conforme con PCI DSS e viceversa.
3DS2 e PCI DSS: como se integran técnicamente
El protocolo 3DS2 (3-D Secure versión 2) es el mecanismo técnico mediante el cual se implementa la SCA para los pagos sin presencia de cartão. Durante el fluxo 3DS2, dados adicionales sobre la transação (direcção IP, huella digital del dispositivo, historial del titular) se transmiten al ACS (Access Control Server) del emisor para una evaluação del riesgo. Si el riesgo es bajo, la transação procede sin interacção del titular (fluxo frictionless); de lo contrario, se solicita un segundo factor (fluxo challenge).
Desde el punto de vista de PCI DSS, el fluxo 3DS2 no reduz el perímetro del comércio: el PAN sigue siendo tratado durante la tokenização inicial e deve protegerse según los requisitos del estándar. Sin embargo, combinar 3DS2 con la tokenização de PCI Proxy EU permite optimizar ambos: el token se usa en los cobros recurrentes sin necesidade de volver a solicitar la SCA (gracias a las exenciones para las transações iniciadas por el comércio), e el PAN nunca transita por los sistemas del comércio.
Exenciones SCA e impacto en el perímetro PCI
La PSD2 prevé diversas exenciones a la SCA que los comerciantes podem solicitar al emisor. Las principales são: transações de importe inferior a 30 euros (transações de bajo valor), transações con bajo índice de fraude (análise de riesgo de la transação), transações recurrentes de importe fijo (transações iniciadas por el comércio) e pagos efectuados por remitentes de confianza. El uso de las exenciones deve acordarse con el PSP (Payment Service Provider) e el adquirente.
Las exenciones SCA para las transações iniciadas por el comércio têm un impacto directo en la gestão del perímetro PCI en los pagos recurrentes. Cuando el comércio inicia un cargo sobre un token previamente autorizado por el titular, no se precisa una nueva SCA, mas sí que el token sea válido e que la primera autorização haya incluido el consentimiento para los cargos futuros. PCI Proxy EU admite este fluxo de forma nativa, permitiendo gerir las suscripciones e los abonos en conformidade tanto con la SCA como con el PCI DSS.
Preguntas frecuentes
Si implemento 3DS2, soy conforme con PCI DSS?
No. El 3DS2 responde a los requisitos SCA de la PSD2, no a los requisitos PCI DSS. São dos marcos separados. El PCI DSS exige la proteção del dato de la cartão (PAN, CVV, dados de la banda magnética) a lo largo de todo su ciclo de vida, independientemente del protocolo de autenticação utilizado. Un comércio pode implementar 3DS2 correctamente e al mismo tiempo ter graves lagunas PCI, por ejemplo, conservando los PAN en texto plano en la base de dados.
Las exenciones SCA aumentan el riesgo de fraude?
Las exenciones SCA estão diseñadas para reduzir la fricção en las transações de bajo riesgo, no para rebajar la segurança general. La responsabilidade del contracargo en caso de fraude recae sobre el emisor quando este aprueba la exenção. Para el comércio, el principal riesgo es aplicar exenciones a transações de alto riesgo: es necesario monitorizar los índices de fraude e calibrar la estratégia de exenção con el PSP.
PCI Proxy EU es compatible con el fluxo 3DS2?
PCI Proxy EU admite el fluxo 3DS2 tanto en modalidade frictionless como challenge. El token generado en el momento de la primera transação inclui la informação necesaria para los cargos merchant-initiated posteriores sin necesidade de una nueva SCA. El serviço es compatible con los principales procesadores europeus que admiten 3DS2 e con las API de los emisores que gerem el ACS.
Quiere gerir la SCA e el PCI DSS con una sola integração? Descubra como PCI Proxy EU admite el fluxo 3DS2 e la tokenização. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos