Visão geral
A Confirmação de Pagamento Seguro (SPC, na sigla em inglês) é um padrão da Web proposto que permite que os clientes se autentiquem com um emissor de cartão de crédito, banco ou outro provedor de serviços de pagamento usando um autenticador de plataforma, normalmente ativado com um recurso de desbloqueio de tela do dispositivo, como um sensor de impressão digital. Isso geralmente acontece durante um protocolo de autenticação de pagamentos, como EMV 3-D Secure ou Open Banking. O EMV 3-D Secure, por exemplo, oferece suporte a SPC na versão da especificação v2.3. Anunciamos anteriormente que o SPC foi lançado para o Google Chrome no macOS e no Windows e oferecemos guias para desenvolvedores para registro e autenticação.
A partir da versão M109 (atualmente no Canal Beta), o SPC também estará disponível no Google Chrome para Android. Os usuários poderão usar o bloqueio de tela do dispositivo para concluir o processo de verificação de pagamento em sites de comerciantes que usam o SPC.
Se você quiser testar o SPC, acesse nosso site de demonstração ou pergunte ao seu provedor de serviço de pagamento se ele planeja oferecer suporte para autenticar pagamentos do usuário.
Autenticação forte para pagamentos
A autenticação desempenha um papel importante na prevenção de fraudes de pagamento. No entanto, a autenticação de pagamento hoje em dia geralmente usa métodos de verificação fracos (por exemplo, código CVC) ou com atrito (por exemplo, OTP por SMS). Esses métodos de autenticação podem deixar os usuários vulneráveis a fraudes ou causar o abandono do carrinho por conta de atrito.
O SPC é baseado na Autenticação da Web (WebAuthn) para trazer uma autenticação forte para as transações de pagamento, usando autenticador de plataforma integrado aos dispositivos dos usuários. A parte autenticadora (conhecida como parte confiável no WebAuthn), como o banco emissor ou um provedor de serviços de pagamento, registra o usuário em um processo único no site dele ou durante uma transação tradicionalmente autenticada. Em seguida, eles podem usar o registro para autenticar o usuário em fluxos de pagamento subsequentes.
Contanto que a parte confiável seja a mesma (por exemplo, o mesmo banco emissor), o usuário vai poder usar um registro para todos os pagamentos futuros com essa parte confiável em qualquer comerciante que integre o SPC.
Mudanças na API
Os desenvolvedores podem seguir o guia de implementação atual escrito para integração de computadores para saber como a API funciona.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
A propriedade payment indica que esta é uma credencial do SPC. Consulte o
guia de registro
anterior para aprender a usar.
Atualmente, esse código cria credenciais não detectáveis que funcionam para SPC. Quando as credenciais detectáveis forem compatíveis com o SPC para Google Chrome no Android, esse código vai mudar automaticamente para a criação de credenciais detectáveis.
Recursos
Saiba como implementar a confirmação de pagamento segura