Uno de los principales problemas de las transacciones no presenciales (Card not-present – CNP) con tarjetas de pago (aquellas en las que no se requiere insertar, deslizar o acercar la tarjeta física a un lector) tiene que ver con la autenticación del titular en el momento de realizar la transacción. A diferencia de las transacciones presenciales, en las cuales el titular requiere la presencia de 2 factores de autenticación (el plástico de la tarjeta (lo que tiene) y el PIN (lo que sabe)), en las transacciones no presenciales por lo general se emplea el mismo factor de autenticación dos veces (el PAN y el CVV2, que ambos están impresos en el plástico), por lo cual un delincuente que tenga acceso a estos datos tendría la posibilidad de hacer transacciones fraudulentas. Por ello, en el artículo “Breve análisis de 9 técnicas para la minimización del fraude en transacciones de comercio electrónico” hacíamos un listado de diferentes alternativas que se podrían emplear para minimizar este riesgo y su impacto asociado. Precisamente, dentro de esa lista se encontraba 3D-Secure (3DS).

En octubre de 2017, en el marco del PCI Europe Community Meeting realizado en Barcelona (España), el PCI SSC anunció el resultado del trabajo de varios años: la integración del estándar 3D-Secure (3DS) con el resto de estándares del PCI SSC (PCI 3DS Core Security Standard). Dicho estándar tiene como base el protocolo EMV® 3-D Secure (3DS) y el objetivo de dicha integración es la creación de un marco de trabajo trasversal que permita la implementación en forma masiva de este protocolo de seguridad en entornos de comercio electrónico (e-commerce) y compras a través de teléfonos móviles (m-commerce).

¿En qué consiste 3-D Secure (3DS)?

EMV® Three-Domain Secure (3-D Secure o 3DS) es un protocolo de mensajería antifraude que le permite a los consumidores autenticarse a sí mismos con el emisor de su tarjeta de pago en el momento de la realización de transacciones no presenciales (CNP). Se trata de una capa de seguridad adicional que ayuda a prevenir transacciones no autorizadas en entornos de comercio electrónico y, a su vez, protege al comercio de fraudes. Se denomina “MasterCard SecureCode” (MSC), “Verified by Visa” (VBV), “JCB J/Secure” y “American Express Safekey” en función de la marca de pago que haga uso de sus funcionalidades.

Ejemplo de 3DS con AMEX SafeKey

Como tal, en el momento en el que se realiza la transacción, el emisor de la tarjeta (es decir: el banco del titular de tarjeta que ha emitido el plástico) le solicita al titular un dato de autenticación adicional al CVV2, que por lo general puede ser:

  • Un PIN.
  • Una contraseña o la respuesta a una pregunta secreta
  • Un código de una tarjeta de coordenadas.
  • Un código enviado vía SMS a un teléfono móvil registrado.
  • Una clave de un solo uso (“One Time Password” – OTP) generado por un dispositivo electrónico o una aplicación instalada en un teléfono móvil.

El objetivo es que el acceso a este dato adicional solamente sea por parte del banco emisor, razon por la cual el comercio y cualquier otra entidad intermedia solamente deben recibir la respuesta a dicha validación: aprobado o no.

Ejemplo de 3DS con VBV mediante un código SMS

Se denomina “Three Domains” (tres dominios) debido a la interacción de tres actores principales:

  • El dominio del comercio/adquiriente,
  • El dominio del emisor, y
  • El dominio de interoperabilidad (por ejemplo, un sistema de pagos).

Flujo de la transacción a través de los 3 dominios (fuente: Wikipedia)

Ejemplo de implementación de 3DS a través de “Verified By Visa” (VBV)

¿Cuál es el ámbito de aplicación de PCI 3-D Secure (PCI 3DS)?

El nuevo documento “PCI 3DS Core Security Standard“, publicado por el PCI SSC, define los requerimientos lógicos y físicos y los procedimientos de evaluación para aquellas entidades que proveen o ejecutan las siguientes funciones, establecidas en el documento EMV®3-D Secure Protocol and Core Functions Specification:

  • 3DS Server (3DSS): provee la interfaz funcional entre el entorno desde donde se solicita la funcionalidad 3DS y el servidor de directorio (DS).
  • 3DS Directory Server (DS): gestiona la lista de rangos de tarjetas para los cuales la autenticación se encuentra disponible y coordina la comunicación entre el servidor 3DS (3DSS) y el servidor de control de acceso (ACS) para determinar cuál autenticación está disponible para un número particular de tarjeta y tipo de dispositivo.
  • 3DS Access Control Server (ACS): el ACS contiene las reglas de autenticación y es controlado por el emisor. Verifica qué tipo de autenticación está disponible y autentica la transacción específica.

Por lo tanto, la aplicabilidad de este nuevo estándar estará vinculada a aquellos entornos en donde se realizan funciones de ACS, DS o 3DSS. Típicamente, contempla el entorno 3DS (3DS Environment), el cual contiene los componentes de sistema involucrados en ejecución  de transacciones 3DS, así como los componentes que soportan el 3DE.

¿Cuál es el contenido del estándar PCI 3DS Core Security?

El nuevo estándar “PCI 3DS Core Security” está dividido en dos partes:

  • Part 1: Baseline Security Requirements, que proveen los requerimeintos técnicos y operacionales de seguridad diseñados para proteger los entornos en donde las funciones de 3DS se realizan. Estos requerimientos reflejan los principios generales y prácticas de seguridad de la información comunes a múltiples estándares de la industria y deberían ser considerados en cualquier tipo de entorno.
  • Part 2: 3DS Security Requirements, que describe los controles de seguridad específicos para proteger los datos de transacciones 3DS, tecnologías y procesos.

Requisitos de PCI 3DS

Adicionalmente, el estándar viene acompañado de los siguientes documentos:

Como parte de las actuaciones de evaluación y certificación de entornos, el PCI SSC estará encargado de la formación de auditores, mantenimiento de la lista de auditores certificados y gestión de un programa de calidad. Estas acciones están descritas en los siguientes documentos:

Los cursos de formación para QSA (Qualified Security Assessors) de 3D-Ssecure empezará en el primer trimestre de 2018. Mientras tanto, los asesores PCI P2PE y asesores de VISA 3D Secure v1 podrán realizar auditorías a este tipo de entornos posterior a la realización de una formación específica.

¿Cuál es la relación entre el estándar PCI DSS y el estándar PCI 3DS Core Security?

Dependiendo de la forma de implementación, un entorno 3D-Secure (3DE) puede ser parte de un entorno de datos de tarjetas de pago (Cardholder Data Environment – CDE) o estar completamente separado. Si un entorno 3DS contiene datos de tarjetas, puede estar sujeto al cumplimiento de PCI DSS.

No obstante, si el entorno en el cual se implementan las acciones de autenticación 3DS también cumple con PCI DSS, entonces se puede cumplir de forma directa con los controles de la parte 1 de 3DS:

Correspondencia de requerimientos de PCI DSS y PCI 3DS parte 1

La aplicabilidad de 3DS parte 2 no se encuentra afectada por el cumplimiento o no de PCI DSS.

Si tienes alguna duda o requieres soporte, no dudes en visitar nuestro foro y seguirnos en Twitter, LinkedIn, Facebook o Google+ y vía RSS.