Autenticação 3DS 2.0

O que é 3DS 2.0?

Com o objetivo de minimizar o índice de fraude sem prejudicar a taxa de conversão, a indústria de meio de pagamento desenvolveu um novo padrão de autenticação, chamado EMV 3DS, ou também chamado de 3DS 2.0. A nova versão é capaz de analisar dezenas de variáveis que são utilizadas como critérios para determinar se um comprador é de fato o portador cartão, permitindo em alguns casos, a autenticação silenciosa do mesmo (autenticação sem desafio), sem prejuízo à questão do Liability Shift dos estabelecimentos.

Principais benefícios:

• Integração facilitada via JavaScript;
• Interface de autenticação é responsiva para mobile;
• Possibilidade de autenticação "silenciosa" (isenção do desafio);
• Minimiza transações com fraudes;

Palavras chaves: Autenticação de Cartão de Crédito e Débito, EMVCO, 3DS 2.0, Visa, Mastercard, E-commerce

Quem pode usar o 3DS 2.0?

Qualquer estabelecimento comercial que tenha e-commerce ou um aplicativo pode utilizar a solução. É particularmente indicado para estabelecimentos que pertencem ao segmento de alto risco.

Quais são requisitos para a utilização do 3DS 2.0?

O estabelecimento comercial deve atender aos requisitos abaixo para a utilização do 3DS 2.0:

• Ter afiliação com uma das adquirentes suportadas (Cielo, Rede, Getnet ou Banorte);
• Concluir a integração técnica do fluxo de autenticação;
• Concluir a integração técnica do fluxo de autorização;

Bandeiras, Emissores e Adquirentes Disponíveis

Para envio de transações com pedido de autenticação 3DS 2.0 é fundamental que, além da adquirente, Emissor e Bandeira estejam prontos com a solução. Dentre as bandeiras do mercado, atualmente estão disponíveis Visa, Mastercard e Elo no 3DS 2.0 Cielo. As bandeiras Visa e Mastercard possuem um modelo de Stand-In, caso o Emissor ainda não esteja apto a responder um pedido de autenticação usando EMV 3DS 2.0. Nesse cenário, a bandeira avalia os dados enviados, como por exemplo o histórico comportamental do cliente e transacional, classificando os pedidos de autenticação como “Baixo Risco” e “Não Baixo Risco”. A partir dessas informações, os Emissores poderão contar com uma proteção mesmo não possuindo uma solução própria de 3DS 2.0, e terão uma maior confiança nas transações autenticadas. Em casos de Stand-In, a autenticação ocorre de forma silenciosa (sem desafio para o portador) e, uma vez que a transação foi autenticada, o liability em caso de fraude ficará com o Emissor. A decisão de autorizar ou não a transação é do Emissor. Em transações autenticadas pela bandeira, a decisão de autorizar ou não a transação ainda é do Emissor, que pode negar as transações na etapa de autorização da transação.

Em breve a bandeira American Express também estará disponível.

As adquirentes que operam a autenticação 3DS 2.0 com a Braspag são Cielo, Rede, Getnet e Banorte.

O que é o Data Only – Somente Notificação

O Data Only é um campo opcional ao lojista que poderá ser utilizado exclusivamente para cartões Mastercard. Para esses casos, o ECI será sempre 4.

Para utilizá-lo, deverá ser parametrizado o campo bpmpi_auth_notifyonly descrito no item Etapa de Autenticação – passo 3 – Mapeamento de classes. No modelo Data Only, os campos adicionais do 3DS 2.0 são mapeados da mesma forma, e enviados para a Mastercard e Bancos Emissores, porém, sem solicitar a autenticação.

O benefício do uso do Data Only é enriquecer o banco de dados dos Bancos Emissores e da Mastercard, que passará a receber mais informações sobre os portadores de cada lojista. Esse campo busca aprimorar a autenticação silenciosa e o índice de aprovação dos Emissores, considerando o contexto atual onde o mercado está evoluindo para a integração com o novo protocolo de autenticação 2.0. Além disso, desde maio de 2019 a bandeira Mastercard cobra um fee adicional por transação não autenticada do adquirente, que pode impactar no preço negociado entre a adquirente e o estabelecimento. O Data Only isenta o valor do fee cobrado.

Vale destacar que nesse modelo, visto que não há autenticação do Emissor, o risco de chargeback por fraude permanece com o lojista.

Como funciona a autorização com autenticação via 3DS 2.0?

O processo de autorização de cartão autenticada via 3DS 2.0 ocorre em duas etapas:

1. Etapa 1: Autenticação
2. Etapa 2: Autorização

O fluxo abaixo descreve as etapas em alto nível:

1. O portador escolhe pagar com cartão de crédito ou débito.
2. A loja executa um script, solicitando à Braspag autenticação através da solução 3DS 2.0.
3. A plataforma de autenticação da Braspag poderá seguir um dos seguintes fluxos: solicitar a autenticação do portador (passos 4 e 5 a seguir) ou realizar a autenticação de forma silenciosa (pulando para o passo 6).
4. A loja recebe a URL de autenticação do emissor, e apresenta a interface com desafio no lightbox.
5. O portador se autentica no emissor (processo conhecido como realizar o desafio).
6. O emissor retorna o resultado da autenticação à plataforma 3DS, que por sua vez repassa para a loja.
7. A loja poderá seguir ou não com o processo de autorização. Se optar por autorizar, deverá submeter o resultado da autenticação no contrato técnico de autorização.
8. A adquirente retorna o resultado da autorização para o estabelecimento que, por sua vez, retorna para o portador.

Autenticação

A solução é composta pelo passo de solicitação de token de acesso via API. Acesse o manual de Autenticação via Java Script para implementação em websites 

Autorização com Autenticação

Após autenticação ser concluída, submete-se ao processo de autorização, enviando os dados de autenticação no modelo de "autenticação externa" (nó ExternalAuthentication ). Veja maiores detalhes em: https://braspag.github.io/manual/autorizacao-com-autenticacao