EMVCO, FIDO Alliance e W3 trabalham juntos para estabelecer especificações técnicas interoperáveis para a segurança dos pagamentos online

Especificações técnicas interoperáveis

As três entidades trabalham em conjunto para definir padrões comuns de segurança, em seus domínios de atividades. A ação comum envolve os seguintes documentos:

Este POST foi produzido a partir do documento conjunto das entidades, publicado em 15 de setembro de 2020.

O escopo do esforço conjunto envolve o caso específico das compras realizadas por um consumidor num site Internet, usando um browser, onde o usuário fornece as informações. Ou seja, o escopo não contempla os casos das compras realizadas com dados do comprador em arquivo.

A ação envolve alguns desafios importantes:

Objetivos

Oferecer a melhor experiência do usuário

As premissas para este objetivo englobam:

Aumentar a segurança, reduzir as fraudes e ampliar as taxas de aprovação

Sobre este ponto de vista, o grupo de trabalho procura:

Reduzir o esforço e o custo de integração

A meta é reduzir os custos para os comerciantes e seus provedores de serviços de pagamento, para criar uma experiência segura e eficiente de checkout. A redução sugerida vai decorrer da padronização e da interoperabilidade, pelo uso de APIs.

Proteger a privacidade do usuário

Neste aspecto, o objetivo é reduzir ao mínimo o compartilhamento dos dados usuários, garantindo que somente as partes interessadas tenham acesso eles, além de evitar o rastreamento dos usuários em sites.

Atender aos requisitos das regulamentações

As entidades visam facilitar o cumprimento de normas regulatórias de autenticação dos clientes, como a diretiva PSD2 da Europa, além de outros regulamentos adotados na Índia, Cingapura etc. e cumprir os requisitos referentes às leis de proteção de dados como GRPD, LGPD e outras.

O que as tecnologias podem aportar

Em cada entidade podem existir especificações que atendem a capacidades ou necessidades comuns. Exemplos:

Tokenização EMV

Os padrões de tokenização EMV definem um ecossistema de informações que substitui os dados do cartão em uma variedade de casos de uso, incluindo as transações que utilizam cartões em arquivo (Card on File – COF). O comércio pode assumir a função de “token requestor”, substituindo o número do cartão por um token destinado às compras em seu estabelecimento, reduzindo o risco de vazamento da base de dados e cartões.

Os controles de restrição de domínio (Token Domains Restriction Controls) reduzem as oportunidades de uso não autorizado ou uso indevido, limitando o uso de um token de pagamento a um canal específico, como e-commerce, para uma determinada transação ou para um comerciante específico. Outros métodos de controle do uso dos cartões podem ser agregados ao processo, oferecendo ainda mais segurança.

Outros benefícios da Tokenização EMV:

EMV 3D Secure

O protocolo 3D Secure permite que o emissor do cartão avalie as informações referentes à transação para autenticar o portador utilizando métodos de análise de risco e solicitando informações adicionais, se necessário.

Numa atividade de responsabilidade compartilhada, comerciante e emissor avaliam as informações relativas à transação. Os dados compartilhados podem incluir dados de identidade FIDO. Desta forma é possível reduzir o atrito da autenticação, permitindo uma melhor experiência de compra.

EMV SRC – Secure remote Commerce

O SRC descreve uma arquitetura geral, estabelece requisitos gerais e de interface do usuário e contempla APIs e um SDK baseado em Java Script com os seguintes objetivos:

Na perspectiva do usuário, ele pode registrar seus cartões no SRC. Estes cartões são associados a uma identidade para que eles possam ser utilizados no mesmo ambiente ou em diversos ambientes distintos.

Durante uma transação, a identidade do usuário pode ser verificada para acessar a lista de cartões armazenados com sistemas SRC – os usuários recebem metadados (por exemplo, os últimos 4 dígitos do PAN de financiamento, arte do cartão) para facilitar a seleção de cartões elegíveis. Após a seleção de um cartão, os usuários podem precisar se autenticar para a transação e depois disso credenciais de pagamento, como por exemplo um token associado ao cartão são recuperadas no SRC e devolvidas para a parte que iniciou a solicitação de pagamento.

FIDO 2

FIDO 2 é o resultado combinação de de duas tecnologias: Autenticação da Web (patrocinado pelo consórcio W3C) e “Client to Authenticator Protocol” – CTAP (patrocinado pelo FIDO). Em resumo, a autenticação de um dispositivo é associada ao autenticação de um usuário web, criando protocolo unificado de autenticação. Exemplos:

Muitos smartphones e laptops vêm de fábrica com autenticadores FIDO já integrados, tornando a autenticação FIDO uma abordagem natural, de baixo atrito e escalonável para autenticação do consumidor (por exemplo, para uma lista de cartões ou para autenticar durante uma transação).

Os protocolos FIDO envolvem duas etapas:

API de solicitação de pagamento e aplicativos de pagamento

A API de solicitação de pagamento define um novo recurso do navegador que o torna mais fácil e rápido (do que formulários da Web) para o comerciante para solicitar o pagamento e para que os usuários concluam um check-out, retornando informações armazenadas (por exemplo, informações de contato, endereços e credenciais de pagamento). 

O comerciante declara os métodos de pagamento suportados por meio da API. Quando o usuário clica em um “botão de compra”, isso faz com que o navegador determine quais aplicativos de pagamento o usuário tem (ou pode instalar na hora) para esses métodos de pagamento. 

Existem três opções de aplicativos de pagamento: aplicativos móveis nativos, sites ou o próprio navegador (por exemplo, muitos navegadores armazenam informações básicas do cartão). 

Se apenas um aplicativo de pagamento corresponde ao que o comerciante aceita, o navegador pode iniciá-lo automaticamente. 

Se estão disponíveis vários aplicativos de pagamento, o navegador solicita que o usuário escolha um. O usuário interage com um aplicativo de pagamento para completar a transação. O navegador retorna dados do aplicativo de pagamento para o comerciante ou seu provedor de pagamentos, de acordo com quem chamou a API.

A Payment Handler API define como os aplicativos de pagamento baseados na Web registram os métodos de pagamento que eles suportam como o navegador inicia o aplicativo de pagamento e como o aplicativo de pagamento retorna dados após a conclusão da interação do usuário.

A API de solicitação de pagamento e os aplicativos de pagamento podem ser usados ​​com uma variedade de métodos de pagamento. O seguinte diagramailustra um exemplo de jornada do usuário que essas APIs permitem, com seleção opcional de aplicativo de pagamento.

Deixe um comentário