La confirmación de pago segura (SPC) es un estándar web propuesto que permite a los clientes autenticarse con una entidad emisora de tarjetas de crédito, un banco o cualquier otro proveedor de servicios de pago mediante un autenticador de plataforma:
- Desbloquea una función que incluye Touch ID en un dispositivo macOS
- Windows Hello en un dispositivo con Windows
Con la SPC, los comercios pueden permitir que los clientes autentiquen sus compras de forma rápida y sin inconvenientes, mientras que los bancos emisores protegen a sus clientes del fraude.
La SPC tiene dos etapas: registro y autenticación.
- Registro: El pagador vincula su dispositivo a un usuario de confianza (RP). La parte de confianza puede ser una entidad emisora de tarjetas de crédito, un banco o cualquier otro proveedor de servicios de pago.
- Autenticación: El pagador usa el dispositivo registrado para confirmar su identidad con el RP directamente desde la plataforma del comercio antes de confirmar los pagos.
Autenticación para la prevención de fraudes
La autenticación desempeña un papel importante en la prevención del fraude de pagos. Sin embargo, este proceso de verificación a menudo se basa en mecanismos débiles, como una combinación del número de tarjeta de crédito y el nombre del propietario de la tarjeta, o un código CVC adicional que está escrito en el reverso de la tarjeta. Estos mecanismos se vulneran y se suplantan fácilmente si se filtra la información de la tarjeta debido a violaciones de la seguridad de los datos, como usurpaciones de cuentas o ataques de phishing.
Se introdujeron mecanismos adicionales de prevención de fraudes, como EMV® 3-D Secure, en el que se le puede solicitar al pagador que se autentique ante la entidad emisora de la tarjeta o el banco. Para autenticarse, el usuario accede con un nombre de usuario y una contraseña, o una contraseña de un solo uso (OTP) que se envía al teléfono del pagador por SMS. Esto funciona para proteger a los clientes contra el fraude, pero puede convertirse en un obstáculo para que algunos clientes válidos completen el pago. El objetivo de SPC es reducir la fricción en la autenticación y el abandono de carritos.
Mientras tanto, hay un nuevo estándar de autenticación en auge llamado WebAuthn.
¿Qué es WebAuthn?
Web Authentication (WebAuthn, en resumen) es un estándar web que permite que los servidores de la entidad de confianza (RP) registren y autentiquen a los usuarios en el navegador mediante criptografía de clave pública, en lugar de una contraseña.
Los RP dependen de autenticadores físicos, como una llave de seguridad. Los RP solicitan a la llave de seguridad para generar un par de claves pública/privada y, luego, almacenar la clave pública en el servidor (registro). Estas claves generadas son exclusivas del dispositivo y evitan que los atacantes suplanten la identidad del usuario. Este estándar es resistente al phishing porque el par de claves está vinculado al origen.
La Alianza FIDO estandariza el comportamiento del autenticador. Algunos autenticadores admiten la verificación de usuarios locales con un factor biométrico (como una huella dactilar o un reconocimiento facial) o un factor de conocimiento (como un código PIN). Muchos están integrados en dispositivos informáticos, como laptops o smartphones, conocidos como verificadores de plataforma. WebAuthn es compatible con todos los navegadores principales (para computadoras y dispositivos móviles), y los autenticadores están disponibles en miles de millones de dispositivos. Los usuarios pueden registrarse y autenticarse verificando su identidad de forma local en la plataforma.
SPC está diseñado para funcionar con autenticadores de plataformas de verificación de usuarios (UVPA).
¿Cómo funciona la Confirmación de pago seguro?
La Confirmación de pago seguro (SPC) se basa en WebAuthn y se diseñó específicamente para pagos. Como las credenciales de WebAuthn se registran para dominios específicos, no se pueden usar para autenticarse en sitios no registrados que puedan estar suplantando la identidad de un comercio. Esta función hace que WebAuthn sea eficaz contra los ataques de suplantación de identidad (phishing).
El SPC agrega una capa de información de pago sobre WebAuthn para que el emisor de la tarjeta o el banco puedan proporcionar una experiencia de pago coherente. Una vez que un pagador registra un autenticador con la parte de confianza, se puede usar para autenticarse en diferentes sitios de comercios. La parte de confianza también puede optar por usar la credencial de pago como una credencial de WebAuthn normal.
Stripe ejecutó un experimento con SPC en su entorno de producción como parte de las pruebas de origen de Chrome. En este experimento, Stripe logró un aumento del 8% en el porcentaje de conversiones, y el porcentaje de confirmación de la compra fue tres veces más rápido. Obtén información sobre sus resultados en el informe de SPC en el grupo de trabajo de pagos web del W3C.
¿Cómo experimentan los usuarios el SPC?
El frontend de SPC consta de dos etapas: registro y autenticación.
Primero, el cliente debe registrar su dispositivo con el autenticador de la plataforma que verifica el usuario (UVPA). Una vez que el dispositivo esté registrado, se puede usar para autenticar al usuario y confirmar los pagos cada vez que se realice la SPC en el sitio de un comercio.
Registro
Los usuarios pueden registrarse en SPC de dos maneras:
- Regístrate directamente en el sitio web de RP.
- Registrarse indirectamente en el sitio web de un comercio.
Registro en el sitio web del RP
En el sitio web del RP, el registro de SPC no es diferente del registro de WebAuthn. Nuestra recomendación es que el RP le solicite al cliente que registre su UVPA como parte de un flujo de acceso.
Una situación típica puede verse de la siguiente manera:
- Un cliente accede al sitio web de tu banco con un nombre de usuario, una contraseña y un paso de verificación adicional (por lo general, una contraseña de un solo uso o OTP).
- Después de una autenticación exitosa, muestra una solicitud de permiso en la que se le pida al cliente que registre su dispositivo (UVPA).
- Una vez que se otorga el permiso, el navegador muestra un diálogo de registro de WebAuthn.
- El cliente otorga su consentimiento para registrar el dispositivo mediante una autenticación biométrica.
- Ahora, el cliente puede acceder y pagar de forma segura con su dispositivo.
Con la reautenticación, un usuario ya accedió, pero se le solicita que se autentique nuevamente para garantizar que el mismo usuario siga presente. Este diseño suele verse en una operación fundamental para la seguridad, como una solicitud para cambiar una contraseña o cuando se realiza un pago. Con una UVPA de WebAuthn, la revalidación es mucho más rápida y segura que el uso de contraseñas.
Obtén información para compilar un flujo de registro y autenticación de WebAuthn para la reautorización en Cómo compilar tu primera app de WebAuthn.
Registro en el sitio web de un comercio durante el pago
Si el cliente no registra su dispositivo en el sitio web de la entidad emisora de pagos, puede hacerlo directamente en el sitio web de un comercio. La interfaz se ve igual, pero el código del RP inicia el registro del usuario.
Esto es ideal cuando los clientes no visitan el sitio web de la parte restringida con frecuencia, pero la parte restringida quisiera ofrecer la opción de autenticación.
Autenticación (confirmación del pago)
Se requiere autenticación cuando un pagador proporciona una credencial de pago durante una transacción de pago.
- El pagador proporciona una credencial de pago (como la información de la tarjeta de crédito).
- El comercio verifica si el navegador es compatible con la confirmación de pago seguro.
- Si el navegador admite SPC, llama a la API de Payment Request con SPC como forma de pago. De lo contrario, recurre al método de autenticación existente.
- El pagador confirma los detalles de la transacción y completa la autenticación (por ejemplo, tocando el autenticador de la plataforma biométrica).
Plataformas compatibles
Actualmente, Google Chrome admite la Confirmación de pago segura en macOS y Windows. Otras plataformas, incluidas Android, iOS y ChromeOS, no son compatibles desde mayo de 2022.