Visão geral
A Confirmação de Pagamento Seguro (SPC, na sigla em inglês) é um padrão da Web proposto que permite que os clientes se autentiquem com um emissor de cartão de crédito, banco ou outro provedor de serviços de pagamento usando um autenticador de plataforma, normalmente ativado com um recurso de desbloqueio de tela do dispositivo, como um sensor de impressão digital. Isso geralmente acontece durante um protocolo de autenticação de pagamentos, como o EMV 3-D Secure ou o Open Banking. O EMV 3-D Secure, por exemplo, oferece suporte a SPC na versão da especificação v2.3. Anunciamos anteriormente que o SPC foi lançado para o Google Chrome no macOS e no Windows e oferecemos guias para desenvolvedores para registro e autenticação.
A partir da M109 (atualmente no canal Beta), o SPC também estará disponível no Google Chrome para Android. Os usuários poderão usar o bloqueio de tela do dispositivo para concluir o processo de verificação de pagamento em sites de comerciantes que usam o SPC.
Se você quiser testar o SPC, acesse nosso site de demonstração ou pergunte ao seu provedor de serviços de pagamento se ele planeja oferecer suporte para autenticação de pagamentos do usuário.
Autenticação forte para pagamentos
A autenticação desempenha um papel importante na prevenção de fraudes de pagamento. No entanto, a autenticação de pagamento hoje em dia geralmente usa métodos de verificação fracos (por exemplo, código CVC) ou com atrito (por exemplo, OTP por SMS). Esses métodos de autenticação podem deixar os usuários vulneráveis a fraudes ou causar o abandono do carrinho por causa da fricção.
O SPC é baseado na Autenticação da Web (WebAuthn) para trazer uma autenticação forte para as transações de pagamento, usando autenticador de plataforma integrado aos dispositivos dos usuários. A parte autenticante (conhecida como a parte confiável na WebAuthn), como o banco emissor ou um provedor de serviços de pagamento, registra o usuário em um processo único no site ou durante uma transação autenticada tradicionalmente. Em seguida, eles podem usar o registro para autenticar o usuário em fluxos de pagamento subsequentes.
Desde que a parte confiável seja a mesma (por exemplo, o mesmo banco emissor), o usuário poderá usar um registro para todos os pagamentos futuros com essa parte em qualquer comerciante que integre o SPC.
Mudanças na API
Os desenvolvedores podem seguir o guia de implementação atual escrito para integração de computadores para saber como a API funciona.
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
A propriedade payment indica que esta é uma credencial do SPC. Consulte o
guia de registro
anterior para saber como usá-lo.
No momento, esse código cria credenciais não detectáveis que funcionam para SPC. Quando as credenciais detectáveis forem compatíveis com o SPC para Google Chrome no Android, esse código vai mudar automaticamente para a criação de credenciais detectáveis.
Recursos
Saiba como implementar a confirmação de pagamento segura