¿Qué es SCA y cómo habilitar 3D Secure 2.0 en WordPress?

¿Te has estado preguntando qué es SCA y cómo habilitar 3D Secure en tu sitio web de comercio electrónico de WordPress?

Probablemente hayas oído hablar de la Directiva de Servicios de Pago 2 (PSD2), la Autenticación Reforzada de Clientes (SCA) y 3D Secure 2.0.

En este artículo, explicaremos qué significan estos términos, cómo afectan a tu negocio de comercio electrónico, especialmente si tienes clientes en Europa, y cómo habilitar fácilmente 3D Secure 2.0 en WordPress.

¿Qué es la Autenticación Reforzada de Clientes?

La Autenticación Reforzada de Clientes (SCA) es un requisito europeo bajo la Directiva de Servicios de Pago 2 (PSD2), introducida por primera vez en 2007 para hacer los pagos en línea más seguros y reducir en gran medida el riesgo de fraude. La segunda iteración de SCA se hizo obligatoria en 2019.

Para cumplir con los requisitos de SCA, ahora se requiere una forma de autenticación de dos factores para muchos pagos con tarjeta en línea en Europa. Sin esta autenticación, muchos pagos corren el riesgo de ser rechazados por la entidad bancaria del cliente. 

Generalmente, verificamos las identidades con una contraseña. Esto se considera "algo que sabes". Es una información que conoces y que se supone que es secreta.

Pero las contraseñas rara vez son secretas. Creamos contraseñas a partir de información fácilmente obtenible, como fechas de nacimiento y nombres de mascotas. Las compartimos con otras personas todo el tiempo.

Según una encuesta reciente de Google, dos tercios de los estadounidenses usan la misma contraseña exacta en todas sus cuentas en línea. Por lo tanto, por ejemplo, digamos que un hacker obtiene tu contraseña de la cuenta de Apple.com, probablemente podría usarla para acceder también a tu cuenta de Google (o peor, a tu cuenta bancaria).

El objetivo de SCA es añadir capas adicionales de protección autenticando los pagos con más factores de identificación: "algo que posees" y "algo que eres".

• Algo que el cliente sabe (como una contraseña).
• Algo que el cliente tiene (como su teléfono).
• Algo que el cliente es (como su huella dactilar).

Cuando combinas dos o tres de esos puntos de datos, se vuelve significativamente más difícil para las partes malintencionadas acceder a tus cuentas.

Por ejemplo, si designaras una contraseña y tu teléfono móvil para autenticar tu identidad, una persona malintencionada tendría que robar tu contraseña y tu teléfono para acceder a tu cuenta. Este escenario es muy poco probable, por decir lo menos.

En el pasado, los europeos solo necesitaban un factor para realizar una transacción en línea: su tarjeta. Una tarjeta es algo que tienes.

Si bien todavía necesitaban tres puntos de datos: el número de tarjeta, la fecha de caducidad y el número CVV/CVC, los tres puntos de datos están en la misma pieza de plástico, por lo que la tarjeta cuenta como un solo factor. Así es como lo hacemos actualmente en los Estados Unidos.

El propósito de SCA es:

• Reducir la probabilidad de fraude, ya que los ladrones no tendrán múltiples factores de identificación.
• Reducir el coste de procesamiento de las transacciones. Menos fraude significa que los emisores de tarjetas de crédito pueden reducir sus comisiones para consumidores y empresas.
• Aumenta la confianza del titular de la tarjeta para que las personas se sientan seguras al comprar en línea.
• Cumple con las regulaciones internacionales para que una tarjeta pueda usarse de forma segura en cualquier lugar.

A partir de septiembre de 2019, los bancos han estado rechazando los pagos no autenticados. Los pagos rechazados deben volver a enviarse al cliente para la SCA.

Puedes leer las normas técnicas regulatorias completas aquí.

¿Qué es 3D Secure 2.0?

Durante una transacción en línea, se utiliza una herramienta llamada 3D Secure 1.0 para verificar la transacción de la tarjeta. Probablemente hayas visto este flujo antes: introduces los detalles de tu tarjeta para realizar un pago y te redirigen a una nueva página donde tu banco te pide una contraseña/código para aprobar la compra. Es en este momento cuando el cliente es redirigido a una nueva página para introducir un código.

Los beneficios de 3D Secure 1.0 fueron obvios desde el principio. No solo los clientes se sienten seguros (porque la página suele estar marcada por el banco o la red de tarjetas, por ejemplo, "MasterCard SecureCode" o "Verified by Visa"), sino que también traslada la responsabilidad del comerciante al banco emisor.

Sin embargo, 3D Secure 1.0 tenía dos grandes inconvenientes para los negocios en línea:

1. Es un paso más en el proceso de pago, lo que puede llevar a los clientes a abandonar el proceso de pago. Cada paso adicional en el proceso de pago reducirá tus conversiones, especialmente en dispositivos móviles.
2. Los compradores tenían que recordar otra contraseña del banco emisor de la tarjeta. Si olvidaban la contraseña, podían abandonar la compra.

Afortunadamente, existe una nueva herramienta llamada 3D Secure 2.0 que facilita el cumplimiento de los requisitos de la SCA sin interrumpir la experiencia del usuario. 3D Secure 2.0 está diseñado para integrar el flujo de desafíos directamente en los flujos de pago web y móvil, sin necesidad de redirecciones de página completa. 

Consulta nuestra guía sobre cómo proteger tu sitio de comercio electrónico de WordPress contra el fraude navideño.

3D Secure 2.0 envía más de 100 puntos de datos en cada transacción al banco del titular de la tarjeta. El titular de la tarjeta utiliza esta información para evaluar el riesgo de la transacción.

¿Qué puntos de datos se envían al banco? Todo, desde la dirección de envío hasta el ID del dispositivo del cliente, la dirección IP e incluso su historial de transacciones anteriores.

Si los datos son suficientes para que el banco considere que la transacción es legítima, el banco puede calificar la transacción para el flujo "sin fricciones". Esto significa que el usuario no tiene que hacer nada más para autenticar la transacción. El titular de la tarjeta ni siquiera es consciente de que se está utilizando 3D Secure.

Si los datos no son suficientes, la transacción se ve obligada a entrar en el flujo "desafiado". Esto es igual que 3D Secure 1.0: una página adicional, marcada por el banco, que solicita más información.

Lo interesante de 3D Secure 2.0 es que puede mejorar con el tiempo al añadir puntos de datos. Teóricamente, cada nuevo punto de datos que verifica la identidad de los clientes es más seguridad.

Pagos que requieren SCA

Según la legislación de la Unión Europea, la SCA se aplica a la mayoría de las transacciones en línea iniciadas por el cliente dentro de Europa. Esto incluye la mayoría de los pagos con tarjeta de crédito y débito, así como las transferencias de crédito. La primera transacción de una suscripción es iniciada por el cliente, pero los pagos recurrentes son iniciados por el comerciante, por lo que no requieren SCA.

Un pago se considera dentro del ámbito de la ley si el titular de la tarjeta y el comerciante se encuentran en el Espacio Económico Europeo. Algunos emisores de tarjetas requerirán SCA para todas las transacciones, independientemente de dónde se encuentre el comerciante.

Stripe lanzó una API preparada para SCA llamada PaymentIntents. Esta herramienta te permite aplicar 3D Secure 2.0 siempre que sea necesario o cuando una transacción en particular tenga un alto riesgo de fraude.

El procesador de pagos lo lanzó para todos en 2019.

Por lo tanto, si ya estás utilizando WP Simple Pay, el plugin de pagos de Stripe número 1 para WordPress, para aceptar pagos en tu sitio, ya cumples con la directiva europea.

Exenciones a la Autenticación Reforzada de Clientes

Algunos tipos de transacciones están exentos de SCA. Tu proveedor de pagos (como Stripe, Square o PayPal) puede solicitar una exención en tu nombre durante el procesamiento del pago. El banco del titular de la tarjeta decidirá si concede o rechaza la exención.

Estos son los tipos de exenciones más comunes:

1. Transacciones de bajo valor. Las transacciones inferiores a 30 € están exentas. Sin embargo, se requiere SCA si la tarjeta o el método de pago ha tenido más de cinco transacciones exentas o el total de transacciones exentas supera los 100 € en un día.
2. Transacciones de bajo riesgo. Los procesadores de pagos pueden realizar un análisis de riesgo en tiempo real para juzgar si aplicar SCA. El procesador solo puede hacerlo si sus tasas de fraude se mantienen bajas.
3. Suscripciones. Se requiere SCA para el primer pago, pero no para los pagos posteriores si son por el mismo importe al mismo negocio. Los importes variables (o facturación por uso) requieren SCA cada vez.
4. Beneficiarios de confianza en lista blanca. Los clientes pueden poner en lista blanca a los negocios en los que confían. Estos negocios se colocan en una lista de "beneficiarios de confianza" mantenida por el banco del cliente. Se requiere SCA para el primer pago a un negocio en lista blanca, pero no para los pagos posteriores.
5. Transacciones MOTO. Las transacciones por correo y pedido telefónico (MOTO) no se consideran pagos "electrónicos". No están reguladas por la SCA.

Qué significa esto para las empresas de EE. UU.

Por el momento, el cumplimiento de PCI es el principal marco para regular las transacciones en línea. El problema aquí, sin embargo, es que el cumplimiento de PCI no es una ley. Es solo una iniciativa entre las principales compañías de tarjetas de crédito. Tienes que cumplirla para trabajar con esas compañías, pero no hay multas ni sanciones por violarla.

Dicho todo esto, deberás cumplir con la legislación PSD2 y la SCA si planeas vender a clientes en Europa. Esto es en realidad algo bueno para ti porque reducirá la cantidad de fraude con tarjetas de crédito con la que tendrás que lidiar.

Afortunadamente, si usas WP Simple Pay, no has tenido que hacer mucho. Dado que Stripe procesa todas las transacciones a través de la cuenta del comerciante, ellos son los responsables de cumplir con la directiva de la UE.

Cómo habilitar 3D Secure 2.0 en WordPress

Usar WP Simple Pay es la forma más fácil de crear formularios de pago que admitan 3D Secure 2.0.

Debido a que WP Simple Pay ya tiene funciones de seguridad integradas compatibles con Stripe, sus usuarios pueden crear automáticamente formularios de pago compatibles con PCI y preparados para 3D Secure 2.0.

El plugin te permite aceptar pagos directamente en tu sitio sin configurar un carrito de compras, o a través de Stripe Checkout, que es una página de pago segura alojada por Stripe.

Las características y beneficios adicionales de WP Simple Pay incluyen:

• Plantillas de formularios de pago: Crea los formularios de pago perfectos para productos, eventos, inscripciones, donaciones y más en cuestión de minutos.
• Múltiples métodos de pago: Ofrece más de 10 opciones de métodos de pago para ampliar tu alcance y aumentar las ventas, incluidas las tarjetas de crédito y débito tradicionales, débito directo ACH, Apple Pay / Google Pay / Microsoft Pay, Cash App Pay, servicios de "Compra ahora, paga después" y más.
• Integraciones de terceros: Integra tus formularios de pago con plugins populares de WordPress como AffiliateWP y Uncanny Automator para automatizar tareas relacionadas con las compras.
• Constructor de formularios avanzado de arrastrar y soltar: Crea formularios de pago fácilmente sin necesidad de código.
• Recuperación de comisiones: Elimina la comisión adicional del 3% de procesamiento de Stripe para asegurarte de cobrar el importe total del pago.
• Páginas de destino dedicadas: Crea páginas de destino sin distracciones para tus formularios de pago directamente desde el constructor de formularios sin tener que contratar a un desarrollador.
• Y más…

A efectos de este tutorial, te mostraremos cómo asegurarte fácilmente de que 3D Secure 2.0 esté habilitado en WordPress para un formulario de pago en el sitio de WP Simple Pay.

La buena noticia es que los formularios de pago creados con WP Simple Pay ya utilizan 3D Secure 2.0 para recopilar autenticación adicional en las tarjetas.

Paso 1. Instalar y activar WP Simple Pay en WordPress

Para crear un formulario de pago habilitado para 3D Secure 2.0, lo primero que necesitarás hacer es instalar y activar WP Simple Pay en tu sitio de WordPress.

Simplemente ve a la página de precios y elige el mejor plan para tus necesidades.

A continuación, descarga el plugin desde tu cuenta de WP Simple Pay o desde tu correo electrónico de confirmación de pago. Luego, instálalo en WordPress.

Para más detalles, consulta nuestra guía paso a paso sobre cómo instalar WP Simple Pay.

Una vez que hayas terminado de activar el plugin, serás dirigido al asistente de configuración. El asistente de configuración te permite configurar una cuenta de Stripe si aún no tienes una y conectarla a tu sitio sin tener que introducir tus claves API manualmente.

2: Conecta WordPress con Stripe  

Para conectar tu sitio de WordPress con Stripe, haz clic en Conectar con Stripe.

A continuación, introduce la dirección de correo electrónico que utilizas para tu cuenta de Stripe y conéctala a tu sitio. Si no tienes una cuenta de Stripe, puedes crear una fácilmente introduciendo tu dirección de correo electrónico y completando el registro.

Al completar este proceso, se te mostrará una página de éxito que dice: “Configuración completa.” A continuación, haz clic en Crear un formulario de pago.

Paso 3: Crear un formulario de pago en el sitio

Ahora que has instalado y activado WP Simple Pay en tu sitio, necesitarás crear un formulario de pago que esté habilitado para 3D Secure 2.0.

Deberías haber llegado a la página de la biblioteca de plantillas de formularios de pago, donde puedes elegir entre muchísimas plantillas diferentes.

Elige la plantilla básica de Formulario de pago.

A continuación, en la pestaña General, selecciona Formulario de pago en el sitio como tipo de formulario.

Aunque tanto las páginas de pago de Stripe Checkout fuera del sitio como los formularios de pago en el sitio utilizan 3D Secure 2.0, es una buena idea mantener a tus visitantes en tu sitio durante todo el proceso de pago para reducir el abandono del proceso de compra.

Una vez que hayas introducido tu título y descripción, haz clic en la pestaña Pago.

Aquí, deberás introducir los importes de los precios, elegir entre un pago único o una suscripción, y seleccionar tus opciones de método de pago.

Para este tutorial, marca las casillas de Tarjeta, Domiciliación bancaria (ACH) y Cash App.

A continuación, en la pestaña Campos del formulario, añade Nombre y Dirección desde el menú desplegable.

Una vez que hayas terminado, haz clic en el botón Guardar borrador. Ahora puedes previsualizar tu formulario. Debería parecerse a este:

Paso 4: Publica tu formulario de pago en tu sitio

Una vez que estés satisfecho con tu formulario de pago, es hora de publicarlo en una página o entrada de tu sitio.

Simplemente ve a la página o entrada y haz clic en el icono + en la esquina superior izquierda para abrir el bloque WP Simple Pay.

A continuación, elige el formulario de pago que acabas de crear en el menú desplegable y haz clic en el botón Publicar.

Paso 5: Prueba la autenticación 3D Secure 2.0

Ahora que has creado tu formulario de pago y lo has añadido a tu sitio, el último paso es probar tu autenticación 3D Secure 2.0.

Simplemente puedes ir a la página del formulario de pago y realizar un pago de prueba utilizando los números de tarjeta de prueba proporcionados por Stripe.

Ten en cuenta que tu formulario de pago debe estar en Modo de prueba. Para obtener más información sobre cómo activar el Modo de prueba de Stripe en WordPress, consulta nuestra guía paso a paso.

Una vez que introduzcas la información requerida en los campos del formulario de pago, aparecerá un mensaje emergente de la página de pago de prueba 3D Secure.

¡Listo! Esperamos que este artículo te haya ayudado a aprender más sobre qué es SCA y cómo activar 3D Secure 2.0 en WordPress.

Si te ha gustado este artículo, también te pueden interesar las siguientes guías:

• Cómo proteger tu sitio de WordPress de las pruebas de tarjetas
• ¿Qué es Stripe Radar y cómo usarlo correctamente?
• Principales quejas de los clientes sobre los formularios de pago

¿A qué está esperando? ¡Empiece hoy mismo con WP Simple Pay!

Para leer más artículos como este, síguenos en X.