La Confirmación de pago seguro (SPC) es un estándar web propuesto que permite a los clientes autenticarse con una entidad emisora de tarjetas de crédito, un banco o cualquier otro proveedor de servicios de pago mediante un autenticador de plataforma:
- Función de desbloqueo con Touch ID en un dispositivo macOS
- Windows Hello en un dispositivo con Windows
Con la SPC, los comercios pueden permitir que los clientes autentiquen sus compras de forma rápida y sin inconvenientes, mientras que los bancos emisores protegen a sus clientes del fraude.
La SPC tiene dos etapas: registro y autenticación.
- Registro: El pagador vincula su dispositivo a un usuario de confianza (RP). La parte de confianza puede ser una entidad emisora de tarjetas de crédito, un banco o cualquier otro proveedor de servicios de pago.
- Autenticación: El pagador usa el dispositivo registrado para confirmar su identidad con el RP directamente desde la plataforma del comercio antes de confirmar los pagos.
Autenticación para la prevención de fraudes
La autenticación desempeña un papel importante en la prevención del fraude de pagos. Sin embargo, este proceso de verificación a menudo se basa en mecanismos débiles, como una combinación del número de tarjeta de crédito y el nombre del propietario de la tarjeta, o un código CVC adicional que está escrito en el reverso de la tarjeta. Estos mecanismos se vulneran y se suplantan fácilmente si se filtra la información de la tarjeta debido a violaciones de la seguridad de los datos, como usurpaciones de cuentas o ataques de phishing.
Se introdujeron mecanismos adicionales de prevención de fraudes, como EMV® 3-D Secure, en el que se le puede solicitar al pagador que se autentique ante la entidad emisora de la tarjeta o el banco. Para autenticarse, el usuario accede con un nombre de usuario y una contraseña, o una contraseña de un solo uso (OTP) que se envía al teléfono del pagador por SMS. Esto sirve para proteger a los clientes del fraude, pero puede convertirse en una barrera para que algunos clientes válidos completen el pago. El objetivo del SPC es reducir los inconvenientes de autenticación y, por lo tanto, el abandono del carrito.
Mientras tanto, hay un nuevo estándar de autenticación en auge llamado WebAuthn.
¿Qué es WebAuthn?
Web Authentication (WebAuthn, en resumen) es un estándar web que permite que los servidores de la entidad de confianza (RP) registren y autentiquen a los usuarios en el navegador mediante criptografía de clave pública, en lugar de una contraseña.
Los RP dependen de autenticadores físicos, como una llave de seguridad. Los RP solicitan la clave de seguridad para generar un par de claves pública y privada y, luego, almacenar la clave pública en el servidor (registro). Estas claves generadas son únicas para el dispositivo, lo que evita que los atacantes se hagan pasar por el usuario. Este estándar es resistente al phishing porque el par de claves está vinculado al origen.
FIDO Alliance estandariza el comportamiento del autenticador. Algunos autenticadores admiten la verificación de usuarios locales con un factor biométrico (como una huella dactilar o un reconocimiento facial) o un factor de conocimiento (como un código PIN). Muchos están integrados en dispositivos informáticos, como laptops o smartphones, conocidos como verificadores de plataforma. WebAuthn es compatible con todos los navegadores principales (para computadoras y dispositivos móviles), y los autenticadores están disponibles en miles de millones de dispositivos. Los usuarios pueden registrarse y autenticarse verificando su identidad de forma local en la plataforma.
SPC está diseñado para funcionar con autenticadores de plataformas de verificación de usuarios (UVPA).
¿Cómo funciona la Confirmación de pago seguro?
La Confirmación de pago seguro (SPC) se basa en WebAuthn y se diseñó específicamente para pagos. Como las credenciales de WebAuthn se registran para dominios específicos, no se pueden usar para autenticarse en sitios no registrados que puedan estar suplantando la identidad de un comercio. Esta función hace que WebAuthn sea eficaz contra los ataques de phishing.
El SPC agrega una capa de información de pago sobre WebAuthn para que el emisor de la tarjeta o el banco puedan proporcionar una experiencia de pago coherente. Una vez que un pagador registra un autenticador con la parte de confianza, se puede usar para autenticarse en diferentes sitios de comercios. La parte de confianza también puede optar por usar la credencial de pago como una credencial de WebAuthn normal.
Stripe ejecutó un experimento con SPC en su entorno de producción como parte de las pruebas de origen de Chrome. En este experimento, Stripe logró un porcentaje de conversiones un 8% mejor, y la tasa de confirmación de la compra fue tres veces más rápida. Obtén información sobre sus resultados en el informe de SPC en el grupo de trabajo de pagos web del W3C.
¿Cómo experimentan los usuarios el SPC?
El frontend de SPC consta de dos etapas: registro y autenticación.
Primero, el cliente debe registrar su dispositivo con el autenticador de la plataforma que verifica el usuario (UVPA). Una vez que el dispositivo esté registrado, se puede usar para autenticar al usuario y confirmar los pagos cada vez que se realice la SPC en el sitio de un comercio.
Registro
Los usuarios pueden registrarse en SPC de dos maneras:
- Regístrate directamente en el sitio web de RP.
- Registrarse de forma indirecta en el sitio web de un comercio
Registro en el sitio web del RP
En el sitio web del RP, el registro de SPC no es diferente del registro de WebAuthn. Nuestra recomendación es que el RP le solicite al cliente que registre su UVPA como parte de un flujo de acceso.
Una situación típica puede verse de la siguiente manera:
- Un cliente accede al sitio web de tu banco con un nombre de usuario, una contraseña y un paso de verificación adicional (por lo general, una contraseña de un solo uso o OTP).
- Después de una autenticación correcta, muestra una solicitud de permiso en la que se le pide al cliente que registre su dispositivo (UVPA).
- Una vez que se otorga el permiso, el navegador muestra un diálogo de registro de WebAuthn.
- El cliente otorga su consentimiento para registrar el dispositivo mediante una autenticación biométrica.
- Ahora el cliente puede acceder y pagar de forma segura con su dispositivo.
Con la reautenticación, un usuario ya accedió, pero se le solicita que se autentique nuevamente para garantizar que el mismo usuario siga presente. Por lo general, este diseño se ve en una operación de seguridad crítica, como una solicitud para cambiar una contraseña o cuando se realiza un pago. Con una UVPA de WebAuthn, la reautorización es mucho más rápida y segura que usar contraseñas.
Obtén información para compilar un flujo de registro y autenticación de WebAuthn para la reautorización en Cómo compilar tu primera app de WebAuthn.
Registro en el sitio web de un comercio durante el pago
Si el cliente no registra su dispositivo en el sitio web de la entidad emisora de pagos, puede hacerlo directamente en el sitio web de un comercio. La interfaz se ve igual, pero el código del RP inicia el registro del usuario.
Esta opción es ideal cuando los clientes no visitan el sitio web del RP con frecuencia, pero el RP aún desea ofrecer la opción de autenticación.
Autenticación (confirmación del pago)
La autenticación es obligatoria cuando un pagador proporciona una credencial de pago durante una transacción de pago.
- El pagador proporciona una credencial de pago (como la información de la tarjeta de crédito).
- El comercio verifica si el navegador admite la Confirmación de pago seguro.
- Si el navegador admite SPC, llama a la API de Payment Request con SPC como forma de pago. De lo contrario, recurre al método de autenticación existente.
- El pagador confirma los detalles de la transacción y completa la autenticación (por ejemplo, tocando el autenticador de la plataforma biométrica).
Plataformas compatibles
Actualmente, Google Chrome admite la Confirmación de pago segura en macOS y Windows. A partir de mayo de 2022, ya no se admiten otras plataformas, como Android, iOS y ChromeOS.