A confirmação de pagamento seguro (SPC, na sigla em inglês) é um padrão proposto da Web que permite que os clientes se autentiquem com um emissor de cartão de crédito, banco ou outro provedor de serviços de pagamento usando um autenticador de plataforma:
- Desbloquear recurso, incluindo o Touch ID em um dispositivo macOS
- Windows Hello em um dispositivo Windows
Com o SPC, os comerciantes podem permitir que os clientes autentiquem as compras de maneira rápida e fácil, enquanto os bancos emissores protegem os clientes contra fraudes.
O SPC tem dois estágios: registro e autenticação.
- Registro: o pagador vincula o dispositivo a uma parte confiável (RP, na sigla em inglês). A parte confiável pode ser um emissor de cartão de crédito, um banco ou outro provedor de serviços de pagamento.
- Autenticação: o pagador usa o dispositivo registrado para confirmar a identidade dele com a RP diretamente na plataforma do comerciante antes de confirmar os pagamentos.
Autenticação para prevenção de fraudes
A autenticação desempenha um papel importante na prevenção de fraudes de pagamento. No entanto, esse processo de verificação geralmente depende de mecanismos fracos, como uma combinação do número do cartão de crédito e o nome do proprietário do cartão ou um código CVC extra que está escrito no verso do cartão. Esses mecanismos são facilmente comprometidos e falsificados se as informações do cartão forem vazadas devido a violações de segurança de dados, como sequestros de conta ou ataques de phishing.
Foram introduzidos outros mecanismos de prevenção contra fraudes, como o EMV® 3-D Secure, em que o pagador pode ser solicitado a se autenticar no emissor do cartão ou no banco. Para autenticar, o usuário faz login com um nome de usuário e uma senha ou uma senha única (OTP) entregue ao smartphone do pagador por SMS. Isso protege os clientes contra fraudes, mas pode se tornar uma barreira para alguns clientes válidos concluírem o pagamento. O SPC visa reduzir o atrito de autenticação, o que reduz o abandono do carrinho.
Enquanto isso, há um novo padrão de autenticação em ascensão chamado WebAuthn.
O que é WebAuthn?
A autenticação da Web (WebAuthn, na sigla em inglês) é um padrão da Web que permite que servidores de parte confiável (RP, na sigla em inglês) registrem e autentiquem usuários no navegador usando criptografia de chave pública, em vez de uma senha.
As RPs dependem de autenticadores físicos, como uma chave de segurança. As RPs solicitam a chave de segurança para gerar um par de chaves pública/privada e, em seguida, armazenar a chave pública no servidor (registro). Essas chaves geradas são exclusivas do dispositivo, o que impede que invasores se passem pelo usuário. Esse padrão é resistente a phishing porque o par de chaves está vinculado à origem.
A FIDO Alliance padroniza o comportamento do autenticador. Alguns autenticadores oferecem suporte à verificação local do usuário com um fator biométrico (como impressão digital ou reconhecimento facial) ou um fator de conhecimento (como um código PIN). Muitos são integrados a dispositivos de computação, como laptops ou smartphones, conhecidos como autenticadores de plataforma. O WebAuthn tem suporte em todos os principais navegadores (computadores e dispositivos móveis), e os autenticadores estão disponíveis em bilhões de dispositivos. Os usuários podem se registrar e se autenticar verificando a identidade localmente na plataforma.
O SPC foi desenvolvido para funcionar com os autenticadores de plataforma de verificação do usuário (UVPA, na sigla em inglês).
Como funciona a confirmação de pagamento seguro?
A Confirmação de pagamento seguro (SPC, na sigla em inglês) é baseada na WebAuthn e foi projetada especificamente para fins de pagamento. Como as credenciais da WebAuthn são registradas para domínios específicos, elas não podem ser usadas para autenticação em sites não registrados que possam estar se passando por um comerciante. Esse recurso torna o WebAuthn eficaz contra ataques de phishing.
O SPC adiciona uma camada de informações de pagamento sobre o WebAuthn para que o emissor do cartão ou o banco possam oferecer uma experiência de pagamento consistente. Depois que um pagador registra um autenticador na parte confiável, ele pode ser usado para autenticar em diferentes sites de comerciantes. A parte confiável também pode optar por usar a credencial de pagamento como uma credencial normal do WebAuthn.
A Stripe executou um experimento com o SPC no ambiente de produção, como parte dos testes de origem do Chrome. Nesse experimento, a Stripe conseguiu uma taxa de conversão 8% melhor, e a taxa de finalização de compra foi três vezes mais rápida. Leia sobre os resultados no relatório de SPC no W3C Web Payments Working Group.
Como é a experiência dos usuários com a SPC?
O front-end do SPC consiste em dois estágios: registro e autenticação.
Primeiro, o cliente precisa registrar o dispositivo usando o autenticador de plataforma de verificação de usuário (UVPA, na sigla em inglês). Depois que o dispositivo for registrado, ele poderá ser usado para autenticar o usuário e confirmar pagamentos sempre que a SPC for realizada no site de um comerciante.
Inscrição
Os usuários podem se registrar no SPC de duas maneiras:
- Inscreva-se diretamente no site da RP.
- Registrar-se indiretamente no site de um comerciante.
Cadastro no site da RP
No site da RP, o registro SPC não é diferente do registro WebAuthn. Recomendamos que o RP peça para o cliente registrar o UVPA como parte de um fluxo de login.
Um cenário típico pode ser assim:
- Um cliente faz login no site do seu banco usando um nome de usuário, uma senha e uma etapa de verificação adicional (geralmente uma senha única ou OTP).
- Após a autenticação, mostre uma solicitação de permissão para o cliente registrar o dispositivo (UVPA).
- Depois que a permissão é concedida, o navegador mostra uma caixa de diálogo de registro do WebAuthn.
- O cliente consente em registrar o dispositivo fazendo uma autenticação biométrica.
- Agora o cliente pode fazer login e pagar com segurança usando o dispositivo.
Com a reauthentication, um usuário já está conectado, mas precisa se autenticar novamente para garantir que ele ainda esteja presente. Esse design é normalmente visto em uma operação de segurança crítica, como uma solicitação para alterar uma senha ou ao efetuar um pagamento. Com um UVPA da WebAuthn, a reautenticação é muito mais rápida e mais segura do que o uso de senhas.
Aprenda a criar um fluxo de registro e autenticação do WebAuthn para reautenticação em Criar seu primeiro app do WebAuthn.
Registro no site de um comerciante durante o pagamento
Se o cliente não registrar o dispositivo no site do emissor do pagamento, ele poderá fazer isso diretamente no site do comerciante. A interface é a mesma, mas o registro do usuário é iniciado pelo código da RP.
Essa opção é ideal quando os clientes não acessam o site da parte restrita com frequência, mas ela ainda quer oferecer a opção de autenticação.
Autenticação (confirmação de pagamento)
A autenticação é necessária quando um pagador fornece uma credencial de pagamento durante uma transação.
- O pagador fornece uma credencial de pagamento, como informações do cartão de crédito.
- O comerciante verifica se o navegador é compatível com a confirmação de pagamento seguro.
- Se o navegador for compatível com SPC, chame a API Payment Request com o SPC como uma forma de pagamento. Caso contrário, use o método de autenticação atual.
- O pagador confirma os detalhes da transação e conclui a autenticação (como tocando no autenticador da plataforma biométrica).
Plataformas compatíveis
Atualmente, o Google Chrome oferece suporte à confirmação de pagamento seguro no macOS e no Windows. Outras plataformas, como Android, iOS e ChromeOS, não têm suporte desde maio de 2022.