Visão geral
A confirmação de pagamento seguro (SPC, na sigla em inglês) é um padrão da Web proposto que permite que os clientes façam a autenticação com um emissor de cartão de crédito, banco ou outro provedor de serviços de pagamento usando um autenticador de plataforma, normalmente ativado com um recurso de desbloqueio de tela de um dispositivo, como um sensor de impressão digital. Isso geralmente acontece durante um protocolo de autenticação de pagamentos, como EMV 3-D Secure ou Open Banking. O EMV 3-D Secure, por exemplo, tem suporte a SPC na versão v2.3 das especificações (link em inglês). Anunciamos anteriormente que o SPC foi lançado para o Google Chrome no macOS e no Windows e fornecemos guias para desenvolvedores para registro e autenticação.
A partir da versão M109 (atualmente no canal Beta), o SPC também estará disponível no Google Chrome para Android. Os usuários poderão usar o bloqueio de tela do dispositivo para concluir o processo de verificação de pagamento em sites de comerciantes que usam SPC.
Se você tiver interesse em testar o SPC, faça um teste no nosso site de demonstração ou pergunte ao seu provedor de serviços de pagamento se ele planeja oferecer compatibilidade com a autenticação de pagamentos de usuários.
Autenticação forte para pagamentos
A autenticação desempenha um papel importante na prevenção de fraudes de pagamento. No entanto, a autenticação de pagamento atual geralmente usa métodos de verificação fracos (por exemplo, código CVC) ou atípicos (por exemplo, OTP por SMS). Esses métodos de autenticação podem deixar os usuários vulneráveis a fraudes ou causar o abandono do carrinho devido a dificuldades.
O SPC se baseia na autenticação da Web (WebAuthn) para trazer uma autenticação forte para transações de pagamento, usando autenticadores de plataforma integrados aos dispositivos dos usuários. A parte autenticadora (conhecida como parte confiável no WebAuthn), como o banco emissor ou um provedor de serviços de pagamento, registra o usuário em um processo único no site ou durante uma transação tradicional. Eles podem usar o registro para autenticar o usuário nos fluxos de pagamento subsequentes.
Contanto que a parte confiável seja a mesma (por exemplo, o mesmo banco emissor), o usuário poderá usar um registro para todos os pagamentos futuros com essa parte confiável em qualquer comerciante que integre o SPC.
Mudanças na API
Os desenvolvedores podem seguir o guia de implementação atual escrito para integração em computadores para saber como a API funciona.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
A propriedade payment indica que essa é uma credencial de SPC. Consulte o
guia de registro
anterior para saber como usá-lo.
Atualmente, esse código cria credenciais não detectáveis que funcionam para SPC. Quando as credenciais detectáveis forem aceitas pelo SPC para Google Chrome no Android, esse código vai mudar automaticamente para a criação de credenciais detectáveis.
Recursos
Saiba como implementar a confirmação de pagamento seguro