La Confirmación de pago segura (SPC) es un estándar web propuesto que permite a los clientes autenticarse ante una entidad emisora de tarjetas de crédito, un banco o cualquier otro proveedor de servicios de pago mediante un autenticador de plataforma:
- Desbloquea la función que incluye Touch ID en un dispositivo macOS
- Windows Hello en un dispositivo Windows
Con SPC, los comercios pueden permitir que los clientes autentiquen sus compras con rapidez y sin problemas, mientras los bancos emisores protegen a sus clientes contra el fraude.
La SPC tiene dos etapas: el registro y la autenticación.
- Registro: El pagador vincula su dispositivo a un usuario de confianza (RP). La parte de confianza puede ser una entidad emisora de tarjetas de crédito, un banco o algún otro proveedor de servicios de pago.
- Autenticación: El pagador usa el dispositivo registrado para confirmar su identidad con el RP directamente desde la plataforma del comercio antes de confirmar los pagos.
Autenticación para la prevención de fraudes
La autenticación desempeña un papel importante en la prevención de fraudes en los pagos. Sin embargo, este proceso de verificación a menudo se basa en mecanismos débiles, como una combinación del número de tarjeta de crédito y el nombre del propietario de la tarjeta, o un código CVC adicional escrito en el reverso de la tarjeta. Estos mecanismos se vulneran con facilidad y suplantan la identidad si se filtra la información de la tarjeta debido a violaciones de la seguridad de los datos, como usurpaciones de cuentas o ataques de suplantación de identidad (phishing).
Se agregaron mecanismos adicionales de prevención de fraudes, como EMV® 3-D Secure, en los que se puede solicitar al pagador que se autentique en la entidad emisora de la tarjeta o el banco. Para autenticarse, el usuario accede con un nombre de usuario y una contraseña, o una contraseña de un solo uso (OTP) que se envía al teléfono del pagador mediante SMS. Esto sirve para proteger a los clientes contra el fraude, pero puede convertirse en un obstáculo para que algunos clientes válidos completen el pago. SPC tiene como objetivo reducir la fricción de la autenticación y, por lo tanto, reducir el abandono del carrito.
Mientras tanto, hay un nuevo estándar de autenticación en auge llamado WebAuthn.
¿Qué es WebAuthn?
La autenticación web (WebAuthn, en pocas palabras) es un estándar web que permite que los servidores de terceros de confianza (RP) registren y autentiquen usuarios en el navegador con criptografía de clave pública, en lugar de una contraseña.
Las RP dependen de autenticadores físicos, como una llave de seguridad. Las RP solicitan la llave de seguridad para generar un par de claves privadas y públicas y, luego, almacenan la clave pública en el servidor (registro). Estas claves generadas son exclusivas del dispositivo, lo que evita que los atacantes suplanten la identidad del usuario. Este estándar es resistente a la suplantación de identidad (phishing) porque el par de claves está vinculado al origen.
FIDO Alliance estandariza el comportamiento del autenticador. Algunos autenticadores admiten la verificación del usuario local con un factor biométrico (como una huella dactilar o el reconocimiento facial) o un factor de conocimiento (como un código PIN). Muchos están integrados en dispositivos informáticos, como laptops o smartphones, conocidos como autenticadores de plataforma. WebAuthn es compatible con todos los navegadores más importantes (computadoras de escritorio y dispositivos móviles), y los autenticadores están disponibles en miles de millones de dispositivos. Los usuarios pueden registrarse y autenticarse mediante la verificación de su identidad de forma local en la plataforma.
SPC está diseñado para funcionar con autenticadores de plataforma de verificación de usuarios (UVPA).
¿Cómo funciona la Confirmación de pago seguro?
La Confirmación de pago segura (SPC) se basa en WebAuthn y se diseñó específicamente para fines de pago. Dado que las credenciales de WebAuthn se registran para dominios específicos, no se pueden usar para autenticarse en sitios no registrados que podrían estar suplantando la identidad de un comercio. Esta función hace que WebAuthn sea eficaz contra los ataques de suplantación de identidad (phishing).
SPC agrega una capa de información de pago sobre WebAuthn para que la entidad emisora de la tarjeta o el banco puedan proporcionar una experiencia de pago coherente. Una vez que el pagador registra un autenticador con el usuario de confianza, se puede usar para autenticarse en diferentes sitios de comercios. El usuario de confianza también puede elegir usar la credencial de pago como una credencial normal de WebAuthn.
Stripe ejecutó un experimento con SPC en su entorno de producción, como parte de las pruebas de origen de Chrome. En este experimento, Stripe mejoró el porcentaje de conversiones en un 8% y el porcentaje de confirmación de la compra fue tres veces más rápido. Obtén información sobre sus resultados en el informe de SPC del grupo de trabajo de pagos web de W3C.
¿Cómo experimentan los usuarios SPC?
El frontend de SPC consta de dos etapas: registro y autenticación.
Primero, el cliente debe registrar su dispositivo con el autenticador de plataforma que verifica el usuario (UVPA). Una vez que se registra el dispositivo, se puede usar para autenticar al usuario y confirmar pagos cada vez que se realice una SPC en el sitio de un comercio.
Registro
Los usuarios pueden registrarse en SPC de dos maneras:
- Regístrate directamente en el sitio web de RP.
- Registrarse indirectamente en el sitio web de un comercio
Registro en el sitio web de RP
En el sitio web del RP, el registro de SPC no es diferente del registro en WebAuthn. Nuestra recomendación es que el RP le pida al cliente que registre su UVPA como parte de un flujo de acceso.
Una situación típica podría verse así:
- Un cliente accede al sitio web de tu banco con un nombre de usuario, una contraseña y un paso de verificación adicional (por lo general, una OTP o una contraseña de un solo uso).
- Después de que la autenticación se realice correctamente, muestra una solicitud de permiso en la que se le pida al cliente que registre su dispositivo (UVPA).
- Una vez que se otorgue el permiso, el navegador mostrará un diálogo de registro de WebAuthn.
- El cliente da su consentimiento para registrar el dispositivo mediante una autenticación biométrica.
- Ahora el cliente puede acceder y pagar de forma segura con su dispositivo.
Con la reauthentication, un usuario ya accedió, pero se le pide que vuelva a autenticarse para asegurarse de que el mismo usuario aún esté presente. Por lo general, este diseño se ve en una operación fundamental para la seguridad, como una solicitud para cambiar una contraseña o cuando se realiza un pago. Con un UVPA de WebAuthn, la reautenticación es mucho más rápida y segura que usar contraseñas.
Obtén información para compilar un flujo de registro y autenticación de WebAuthn para la reautenticación en Compila tu primera app de WebAuthn.
Registro en el sitio web de un comercio durante el pago
Si tu cliente no registra su dispositivo en el sitio web de la entidad emisora de pagos, podrá hacerlo directamente en el sitio web de un comercio. La interfaz tiene el mismo aspecto, pero el código del RP inicia el registro del usuario.
Esto es ideal cuando los clientes no visitan el sitio web del RP con frecuencia, pero el RP desea ofrecer la opción de autenticación de todos modos.
Autenticación (confirmación de pago)
Se requiere autenticación cuando un pagador proporciona una credencial de pago durante una transacción de pago.
- El pagador proporciona una credencial de pago (por ejemplo, información de la tarjeta de crédito).
- El comercio verifica si el navegador admite la Confirmación de pago seguro.
- Si el navegador admite SPC, llame a la API de Payment Request con SPC como forma de pago. De lo contrario, recurre al método de autenticación existente.
- El pagador confirma los detalles de la transacción y completa la autenticación (por ejemplo, tocando el autenticador de la plataforma biométrica).
Plataformas compatibles
Por el momento, la confirmación de pago seguro es compatible con Google Chrome en macOS y Windows. Otras plataformas, como Android, iOS y ChromeOS, no son compatibles desde mayo de 2022.