Mastercard Identity Check: todo lo que emisores y comercios deben saber

El mundo del comercio digital presenta una tensión fundamental: ¿cómo pueden las empresas ofrecer una experiencia de pago en línea fluida y sin esfuerzo y, al mismo tiempo, protegerse a sí mismas y a sus clientes de la amenaza siempre presente del fraude? Las transacciones sin tarjeta presente (CNP), la columna vertebral del e-commerce, carecen de la seguridad inherente de presentar una tarjeta físicamente, lo que conduce a tasas de fraude significativamente más altas. Históricamente, las transacciones CNP han representado una parte desproporcionada de las pérdidas por fraude en comparación con su volumen. Además, el costo de prevenir el fraude mediante medidas demasiado agresivas, que dan como resultado el rechazo erróneo de transacciones legítimas (rechazos falsos o "insultos al cliente"), a veces puede superar el costo del fraude en sí, lo que provoca pérdidas de ventas y frustración en los clientes.

Aquí es donde entra en juego Mastercard Identity Check, el programa integral de Mastercard diseñado para abordar este desafío de frente. Construido sobre el estándar global EMV 3-D Secure, representa una evolución significativa en la autenticación de pagos en línea. Su misión principal es mejorar la seguridad, combatir el fraude, aumentar las tasas de aprobación de transacciones y agilizar el proceso de pago tanto para los titulares de tarjetas como para los bancos emisores (emisores) y las empresas (comercios).

Este artículo responde a preguntas críticas para emisores, comercios, proveedores de servicios de pago (PSP), desarrolladores de software, gerentes de producto y profesionales de la seguridad que buscan comprender a fondo Mastercard Identity Check:

1. ¿Qué es exactamente Mastercard Identity Check y por qué se desarrolló?

2. ¿Cómo aprovecha Mastercard Identity Check la tecnología EMV 3-D Secure para reducir el fraude y los rechazos falsos?

3. ¿Qué papel desempeñan las tecnologías avanzadas, como la biometría conductual de NuData, para permitir una autenticación de usuario sin fricción?

4. ¿Cómo pueden los comercios y los PSP integrar eficazmente Mastercard Identity Check en sus procesos de pago existentes?

5. ¿Qué beneficios tangibles, en términos de tasas de aprobación de transacciones, experiencia de usuario y reducción de fraude, pueden esperar las empresas al adoptar Mastercard Identity Check?

El camino hacia Mastercard Identity Check comenzó con las vulnerabilidades inherentes de los primeros días del e-commerce. A medida que las compras en línea aumentaban, los estafadores explotaban la falta de presencia física de la tarjeta, lo que llevaba a un aumento de las tasas de fraude CNP. La respuesta inicial de la industria llegó en 1999 con la introducción del protocolo 3-D Secure (3DS). La versión de marca de Mastercard de esta primera iteración se conocía como Mastercard SecureCode. Si bien SecureCode (3DS 1.0) tenía como objetivo replicar la seguridad de un pago físico agregando una capa de autenticación del titular de la tarjeta y ofrecía el beneficio crucial de transferir la responsabilidad de ciertos contracargos fraudulentos lejos de los comercios, sufría de importantes inconvenientes que obstaculizaron su eficacia y adopción:

• Alta fricción: la implementación más común implicaba contraseñas estáticas o preguntas de seguridad engorrosas, que a menudo requerían que los usuarios se registraran previamente y recordaran credenciales separadas. Esto agregó una fricción notable al proceso de pago.

• Mala experiencia de usuario: las redirecciones a páginas de la marca del emisor para la autenticación creaban una experiencia de usuario inconsistente y a menudo discordante, lo que generaba confusión y sospecha entre los compradores. Esta fricción contribuyó directamente a altas tasas de abandono del carrito de compras.

• Intercambio de datos limitado: 3DS 1.0 solo permitía el intercambio de unos 15 elementos de datos entre el comercio y el emisor, lo que proporcionaba un contexto insuficiente para una evaluación de riesgos precisa.

• Diseño centrado en el navegador: fue diseñado principalmente para transacciones basadas en navegador, lo que lo hacía poco adecuado para el mundo en rápido crecimiento de los pagos en aplicaciones móviles y el emergente comercio IoT.

• Mitigación inadecuada de rechazos falsos: los datos limitados y el enfoque en desafíos explícitos no abordaron eficazmente el problema significativo de los rechazos falsos, donde las transacciones legítimas se marcaban incorrectamente como fraudulentas, dañando las relaciones con los clientes y causando pérdidas de ingresos.

Se hizo evidente que el impacto negativo de una mala experiencia de usuario, manifestado en el abandono del carrito y los rechazos falsos, a menudo representaba una pérdida financiera mayor para las empresas que los costos directos del fraude. Esta realidad económica, junto con la necesidad de una prevención del fraude más sólida en un mundo cada vez más digital, impulsó el desarrollo de un enfoque modernizado.

El lanzamiento de Mastercard Identity Check, basado en el protocolo EMV 3-D Secure de próxima generación, tuvo como objetivo superar estas limitaciones con un conjunto claro de objetivos:

1. Reducir el fraude CNP: emplear técnicas más sofisticadas para detectar y prevenir transacciones no autorizadas.

2. Minimizar la fricción: crear flujos de autenticación sin fricción más fluidos y rápidos para la gran mayoría de las transacciones.

3. Aumentar las tasas de aprobación: reducir los rechazos falsos proporcionando a los emisores datos más ricos para evaluaciones de riesgo más precisas.

4. Soportar canales modernos: soportar de forma nativa la autenticación dentro de aplicaciones móviles, billeteras digitales y otros dispositivos conectados.

5. Permitir un rico intercambio de datos: facilitar el intercambio seguro de una cantidad significativamente mayor de datos transaccionales y contextuales.

6. Mantener la transferencia de responsabilidad: preservar el beneficio de transferir la responsabilidad de las transacciones fraudulentas autenticadas lejos de los comercios participantes.

Mastercard Identity Check - Early Adopter Program Learnings

Es esencial distinguir entre el estándar tecnológico subyacente y la implementación específica de Mastercard.

EMV 3DS es la especificación del protocolo global desarrollado y gestionado por EMVCo, una organización de propiedad conjunta de las principales redes de pago globales, incluidas Mastercard, Visa, American Express, Discover, JCB y UnionPay. Define el marco técnico para la comunicación segura y el intercambio de datos entre los tres dominios clave involucrados en la autenticación de una transacción en línea:

1. Dominio del adquirente: incluye al comercio, su pasarela de pago y el banco adquirente (el banco del comercio). Este dominio inicia la solicitud de autenticación a través de un componente típicamente llamado 3DS Server (o históricamente, Merchant Plug-In/MPI).

2. Dominio del emisor: incluye al banco emisor (el banco del titular de la tarjeta) y al titular de la tarjeta. Este dominio es responsable de verificar la identidad del titular de la tarjeta a través de un componente llamado Servidor de Control de Acceso (ACS).

3. Dominio de interoperabilidad: consiste principalmente en el Servidor de Directorio (DS), operado por el esquema de tarjeta (como Mastercard). El DS actúa como un enrutador central, dirigiendo los mensajes de autenticación entre el 3DS Server y el ACS correctos según el número de la tarjeta (específicamente, el Número de Identificación Bancaria o BIN).

El protocolo EMV 3DS (a menudo denominado 3DS 2.0 o 2.x) introdujo mejoras significativas sobre el 3DS 1.0 original:

• 10 veces más datos: admite el intercambio de más de 150 elementos de datos (en comparación con ~15 en 3DS 1.0), proporcionando un contexto más rico para la evaluación de riesgos, incluida la información del dispositivo, el historial de transacciones, los detalles del navegador y los datos del comercio.

• Autenticación Basada en Riesgo (RBA): permite flujos de autenticación sin fricción donde las transacciones de bajo riesgo se aprueban silenciosamente en segundo plano basándose en el análisis de datos, sin requerir la interacción del titular de la tarjeta. El objetivo es alcanzar tasas de 90-95% sin fricción.

• Soporte nativo para móviles/apps: incluye kits de desarrollo de software (SDK) para una integración perfecta dentro de los flujos de pago de aplicaciones móviles, eliminando las molestas redirecciones del navegador.

• Métodos de autenticación mejorados: admite métodos de autenticación modernos como contraseñas de un solo uso (OTP) entregadas por SMS o aplicación, biometría (huella digital, reconocimiento facial) y autenticación fuera de banda, alejándose de las contraseñas estáticas.

• Casos de uso más amplios: se extiende más allá de la simple autenticación de pagos para admitir la autenticación sin pago (por ejemplo, agregar una tarjeta a una billetera digital), pagos recurrentes y tokenización.

Mastercard Identity Check

Corbado 3DS ACS Passkeys

Mastercard Identity Check es el nombre del programa específico de Mastercard que implementa y rige el uso del protocolo EMV 3DS dentro de su red. Es el sucesor del programa Mastercard SecureCode. Aunque se basa en el estándar EMV 3DS, Mastercard Identity Check incorpora los activos y tecnologías únicos de Mastercard para mejorar el rendimiento y la seguridad. Esto incluye:

• IA y Machine Learning propios: aprovechando los vastos datos de la red de Mastercard y las capacidades de IA para refinar la puntuación de riesgo y la toma de decisiones.

• Análisis de comportamiento (NuData): integrando conocimientos de la biometría conductual de NuData (discutido en la siguiente sección) para comprender los patrones de interacción del usuario y detectar intentos de fraude sofisticados.

• Inteligencia de red: utilizando conocimientos de miles de millones de transacciones procesadas a nivel mundial para informar las evaluaciones de riesgo.

• Gobernanza del programa: Mastercard establece Indicadores Clave de Rendimiento (KPI) y reglas específicas para los participantes (emisores, comercios, adquirentes) dentro del programa Identity Check para garantizar un rendimiento y una experiencia de usuario óptimos en toda su red.

Por lo tanto, Mastercard Identity Check no es simplemente un cambio de marca del protocolo EMV 3DS. Representa la superposición estratégica de Mastercard de su inteligencia y marco de gobernanza propios sobre la base del protocolo estandarizado. Esta sinergia tiene como objetivo ofrecer un servicio de autenticación potencialmente más eficaz y diferenciado en comparación con una implementación básica de EMV 3DS, ofreciendo una detección de riesgos mejorada y una optimización del rendimiento dentro del ecosistema de Mastercard.

Mastercard Identity Check

Mastercard Identity Check se basa en una interacción sofisticada de varios componentes tecnológicos centrales para lograr sus objetivos de seguridad y fluidez. Comprender estos componentes es crucial para apreciar cómo el sistema evalúa el riesgo y autentica a los usuarios.

Adquirida por Mastercard en 2017, la tecnología de biometría conductual de NuData es una piedra angular de las capacidades de autenticación avanzadas de Mastercard. A diferencia de la autenticación tradicional que se enfoca en lo que un usuario sabe (contraseña) o tiene (teléfono para OTP), la biometría conductual analiza cómo un usuario interactúa con su dispositivo y la aplicación. Se enfoca en la biometría pasiva: patrones de interacción inherentes, a menudo subconscientes.

• Cómo funciona: durante una sesión en línea (como el pago o incluso la apertura de una cuenta), la tecnología NuData recopila y analiza pasivamente cientos de sutiles señales de comportamiento. Estas pueden incluir:

  • Dinámica de escritura (velocidad, ritmo, presión)

  • Movimientos del ratón (patrones, velocidad, clics)

  • Manejo del dispositivo (ángulo, datos del acelerómetro)

  • Interacción con la pantalla táctil (presión, patrones de deslizamiento)

  • Patrones de navegación (usar Tab vs. hacer clic, progresión del formulario, comportamiento de 'dar marcha atrás')

  • Comportamiento de la sesión (familiaridad con el formulario, tiempo empleado, uso de copiar/pegar, cambio de ventana)

• Propósito e integración: estos datos de comportamiento se introducen en modelos de machine learning que construyen un perfil único para cada usuario legítimo. El sistema analiza miles de millones de puntos de datos anualmente para aprender y refinar continuamente estos perfiles. Su función principal dentro de Mastercard Identity Check es distinguir a los humanos genuinos de los bots automatizados y los estafadores sofisticados, incluso cuando poseen credenciales robadas. Detecta anomalías y señales de alto riesgo en tiempo real, proporcionando una entrada crítica al motor de Autenticación Basada en Riesgo.

La tecnología NuData es integral para la estrategia de seguridad por capas de Mastercard, impulsando soluciones como NuDetect y contribuyendo significativamente a la inteligencia detrás de Mastercard Identity Check. Es particularmente eficaz contra ataques automatizados como el credential stuffing y los intentos de toma de control de cuentas.

WSJ Mastercard Nudata

Aprovechando las ricas capacidades de intercambio de datos de EMV 3DS 2.0, Mastercard Identity Check incorpora una inteligencia de dispositivo integral. Esto implica recopilar y analizar una amplia gama de puntos de datos específicos del dispositivo que inicia la transacción.

• Puntos de datos: el protocolo EMV 3DS permite la transmisión de más de 150 variables. Esto incluye información como:

  • Tipo de dispositivo, modelo y sistema operativo

  • Tipo de navegador, versión, idioma y plugins instalados

  • Dirección IP y datos de geolocalización

  • Tipo de conexión de red y zona horaria

  • Identificadores o huellas dactilares del dispositivo

  • Resolución de pantalla y otras características del dispositivo

  • Mastercard también puede asociarse con empresas como Ekata para enriquecer aún más los datos de verificación de identidad y dispositivo

• Propósito: esta gran cantidad de información del dispositivo ayuda a construir un perfil de riesgo completo. Permite al sistema reconocer dispositivos de confianza, detectar anomalías como discrepancias de ubicación o intentos de suplantar la información del dispositivo, identificar conexiones de red de alto riesgo y marcar actividades potencialmente fraudulentas que se originan en dispositivos desconocidos o comprometidos. La inteligencia de dispositivo es otra entrada crítica para el motor RBA.

El motor RBA es el centro de inteligencia de Mastercard Identity Check, responsable de evaluar el riesgo general de una transacción en tiempo real y determinar la ruta de autenticación adecuada.

Cómo funciona: el motor sintetiza información de múltiples fuentes:

• Campos de datos de EMV 3DS (detalles de la transacción, información del comercio, inteligencia del dispositivo)

• Señales de biometría conductual de NuData

• Datos históricos de transacciones y perfiles de usuario

• Modelos de IA y machine learning propios de Mastercard, entrenados con datos de la red global

Propósito: basándose en este análisis holístico, el motor RBA calcula una puntuación de riesgo para la transacción. Esta puntuación informa la decisión sobre si proceder con una autenticación sin fricción (para transacciones de bajo riesgo) o iniciar un desafío de step-up (para transacciones de mayor riesgo) para verificar aún más la identidad del titular de la tarjeta. El resultado (una puntuación o recomendación) se envía típicamente al ACS del emisor para ayudar en su decisión final de autenticación. Mastercard también ofrece servicios de RBA Stand-In para proporcionar cobertura si el propio ACS de un emisor no está disponible o aún no está preparado para 3DS.

El poder de Mastercard Identity Check reside en la sinergia entre estos componentes. Si bien los datos ricos del dispositivo y de la transacción de EMV 3DS proporcionan un contexto esencial, la integración de la biometría conductual de NuData agrega una capa crítica de defensa. NuData a menudo puede detectar intentos de fraude sofisticados, como tomas de control de cuentas utilizando credenciales válidas o bots diseñados para imitar la interacción humana, que podrían eludir sistemas que dependen únicamente de puntos de datos tradicionales. Este enfoque multifacético permite que el motor RBA realice evaluaciones de riesgo más matizadas y seguras, permitiendo una mayor tasa de aprobaciones sin fricción mientras se mantiene una seguridad robusta.

Mastercard Identity Check Program

Un objetivo principal de Mastercard Identity Check es minimizar la interrupción durante el pago en línea al permitir flujos de autenticación sin fricción siempre que sea posible. Esta experiencia fluida, donde la autenticación ocurre silenciosamente en segundo plano, se basa en gran medida en aprobaciones basadas en datos, el uso inteligente de exenciones y una comprensión clara de las implicaciones de responsabilidad.

La base para el flujo sin fricción es la Autenticación Basada en Riesgo (RBA). El protocolo EMV 3DS facilita el intercambio de una gran cantidad de datos (más de 150 elementos potenciales) entre el entorno del comercio (a través del 3DS Server) y el entorno del emisor (el ACS). Mastercard mejora estos datos con su propia inteligencia de red, algoritmos de IA y conocimientos de biometría conductual de NuData. El ACS del emisor (o el servicio RBA de Mastercard) analiza este conjunto de datos completo en tiempo real. Si el análisis indica una baja probabilidad de fraude, basándose en factores como un dispositivo reconocido, un comportamiento de compra típico, una ubicación familiar, patrones de comportamiento consistentes y otras pistas contextuales, la transacción puede autenticarse pasivamente, sin requerir que el titular de la tarjeta realice ninguna acción (como ingresar un OTP o usar una huella digital). Esta es la esencia de una aprobación basada en datos que permite el flujo sin fricción, con el objetivo de cubrir el 90-95% de las autenticaciones.

En regiones como Europa, regidas por la Directiva de Servicios de Pago (PSD2), la Autenticación Reforzada de Cliente (SCA), que generalmente requiere dos factores de autenticación independientes, suele ser obligatoria para los pagos en línea. Sin embargo, la regulación y el protocolo EMV 3DS permiten exenciones específicas donde no se requiere SCA, lo que facilita aún más las experiencias sin fricción. Mastercard Identity Check admite la aplicación de estas exenciones. Las exenciones clave incluyen:

• Análisis de Riesgo de la Transacción (TRA): si el adquirente o el emisor realizan un análisis de riesgo en tiempo real y consideran que la transacción es de bajo riesgo, y el monto de la transacción está por debajo de ciertos umbrales vinculados a la tasa de fraude general de la entidad, se puede eximir la SCA.

• Pagos de bajo valor: las transacciones por debajo de un valor específico (por ejemplo, 30 € en Europa) pueden estar exentas, aunque se aplican límites acumulativos (por ejemplo, monto total o número de transacciones desde la última SCA).

• Beneficiarios de confianza (lista blanca de comercios): los titulares de tarjetas pueden designar a comercios específicos como "de confianza" con su emisor. Las transacciones posteriores con estos comercios en la lista blanca pueden estar exentas de SCA.

• Pagos recurrentes y transacciones iniciadas por el comercio (MIT): si bien la configuración inicial de un pago recurrente o un acuerdo de tarjeta registrada generalmente requiere SCA, los pagos posteriores iniciados por el comercio que utilizan esas credenciales pueden considerarse fuera de alcance o exentos bajo ciertas condiciones. EMV 3DS 2.2 y versiones posteriores brindan soporte específico para estas transacciones 3RI (iniciadas por el solicitante de 3DS).

• Pagos corporativos seguros: pueden aplicarse exenciones específicas a los pagos corporativos realizados mediante protocolos seguros dedicados.

Los comercios y los PSP pueden indicar su solicitud de una exención dentro del mensaje de autenticación EMV 3DS.

Corbado Outcome Based SCA Passkey

Un beneficio significativo de usar 3-D Secure siempre ha sido la posible transferencia de responsabilidad para ciertos tipos de contracargos fraudulentos.

• Transacciones autenticadas con éxito: cuando una transacción se autentica con éxito a través de Mastercard Identity Check (ya sea mediante un flujo sin fricción o un desafío), la responsabilidad de los contracargos reclamados como "no autorizados" generalmente se transfiere del comercio al emisor de la tarjeta. Esta protección se aplica incluso si la autenticación fue sin fricción, aunque pueden aplicarse reglas y escenarios específicos del esquema de la tarjeta.

• Impacto de las exenciones: este es un punto crítico: si un comercio o su PSP solicita una exención de SCA (como TRA o bajo valor) y el emisor la concede, la responsabilidad por fraude generalmente permanece con el comercio. El comercio obtiene el beneficio de un pago más fluido pero retiene el riesgo financiero del fraude. Sin embargo, si el emisor decide unilateralmente aplicar una exención (por ejemplo, basándose en su propia evaluación de riesgos), la responsabilidad puede transferirse al emisor.

• Autenticación intentada/fallida: las reglas sobre la responsabilidad cuando se intenta la autenticación pero falla o no se puede completar (por ejemplo, el ACS del emisor no está disponible) pueden ser complejas y dependen de las circunstancias específicas y las reglas del esquema de la tarjeta. Las reglas de Mastercard pueden ofrecer protección al comercio en ciertos escenarios, incluso si el emisor no ha migrado por completo.

• Flujos de solo datos: flujos específicos como "Identity Check Insights" de Mastercard, que implican compartir datos para la evaluación de riesgos sin realizar un intento de autenticación completo, explícitamente no otorgan la transferencia de responsabilidad al comercio.

Esto crea un punto de decisión estratégico importante para los comercios y los PSP. Solicitar exenciones puede optimizar las tasas de conversión al garantizar una experiencia sin fricción, pero tiene el costo de retener la responsabilidad por fraude. Por el contrario, forzar la autenticación (incluso si resulta en un flujo sin fricción aprobado por el emisor) podría asegurar la transferencia de responsabilidad, pero podría introducir fricción si se requiere un desafío. Por lo tanto, se necesita una estrategia de gestión de riesgos sofisticada para determinar el enfoque óptimo en cada transacción, equilibrando los objetivos de conversión con la tolerancia al riesgo de fraude.

Además, el éxito del flujo sin fricción y la precisión de la decisión de RBA dependen en gran medida de la calidad y la integridad de los datos proporcionados por el comercio y su PSP a través de los mensajes EMV 3DS. Los datos incompletos o inexactos dificultan la capacidad del emisor para realizar evaluaciones de riesgo fiables, lo que podría llevar a más desafíos o incluso a rechazos, socavando así los beneficios del sistema. Lograr un rendimiento óptimo sin fricción es un esfuerzo colaborativo que requiere una gestión diligente de los datos por parte del adquirente.

Mastercard Identity Check Program

Mastercard Frictionless Future

Para los emisores de tarjetas, la integración con el programa Mastercard Identity Check es esencial para aprovechar sus beneficios de seguridad y experiencia de usuario. Esto implica habilitar sus carteras de tarjetas (identificadas por Números de Identificación Bancaria, o BIN) y conectarse a la infraestructura de autenticación, principalmente a través de un Servidor de Control de Acceso (ACS).

El ACS reside dentro del dominio del emisor y es el corazón tecnológico del proceso de autenticación desde la perspectiva del emisor. Sus responsabilidades clave incluyen:

• Recibir solicitudes de autenticación (mensajes AReq) enrutadas desde el comercio a través del Servidor de Directorio (DS) de Mastercard

• Verificar si el número de tarjeta específico está inscrito y es elegible para Mastercard Identity Check

• Realizar una evaluación de riesgos (a menudo aprovechando los motores RBA y datos como la puntuación de Mastercard Smart Authentication)

• Decidir si autenticar sin fricción o iniciar un desafío

• Gestionar el proceso de desafío si es necesario (por ejemplo, enviar un OTP por SMS, solicitar verificación biométrica a través de una aplicación de banca)

• Generar y devolver la respuesta de autenticación (mensaje ARes), incluido el crucial Valor de Autenticación del Titular de la Cuenta (AAV) para transacciones autenticadas con éxito, de vuelta al DS

Los emisores tienen varias vías para implementar la funcionalidad de ACS:

1. ACS interno: un emisor puede optar por construir, implementar, alojar y gestionar su propia solución de software ACS dentro de su propio entorno de TI.

   • Ventajas: ofrece el máximo control sobre la lógica de autenticación, las reglas de riesgo, la personalización de la experiencia del usuario y la integración con los sistemas internos.

   • Desventajas: requiere una experiencia técnica interna sustancial, importantes recursos de desarrollo y mantenimiento, y un cumplimiento riguroso de los estándares de cumplimiento continuos de EMVCo y PCI 3DS.

2. ACS alojado (proveedor externo): los emisores pueden asociarse con proveedores de ACS especializados y aprobados por Mastercard que proporcionan el ACS como un servicio gestionado. El emisor en este modelo a menudo se conoce como "Principal Alojado".

   • Ventajas: reduce la complejidad operativa del emisor, los costos de infraestructura y la carga de cumplimiento. Aprovecha la experiencia del proveedor y potencialmente ofrece un tiempo de comercialización más rápido.

   • Desventajas: puede ofrecer menos control granular y personalización en comparación con una solución interna. Dependencia de un tercero para una función crítica.

   • Ecosistema de proveedores: Mastercard mantiene una lista de proveedores de ACS compatibles, con ejemplos que incluyen empresas como Entersekt, Netcetera, GPayments y Logibiztech.

3. Servicios suplementarios de Mastercard: Mastercard ofrece servicios de valor agregado que pueden aumentar la ruta de ACS elegida por un emisor:

   • Mastercard Smart Authentication para ACS/Emisores: proporciona inteligencia RBA para mejorar las capacidades de toma de decisiones del ACS.

   • Mastercard Stand-In RBA: ofrece procesamiento RBA de respaldo si el ACS principal del emisor no está disponible o si ciertos BIN aún no están completamente habilitados para EMV 3DS.

   • Mastercard 3-D Secure Authentication Challenge Service: proporciona capacidades de desafío biométrico (aprovechando los estándares FIDO) que se pueden integrar con el flujo de ACS.

La selección entre un ACS interno y uno alojado representa una decisión estratégica significativa para los emisores, equilibrando el deseo de control con la necesidad de eficiencia, rentabilidad y velocidad de implementación.

Habilitar rangos específicos de Números de Identificación Bancaria (BIN) para Mastercard Identity Check implica una serie de pasos coordinados:

1. Seleccionar la ruta de ACS: determinar si se utilizará un ACS interno o un proveedor alojado.

2. Garantizar el cumplimiento del ACS: verificar que la solución de ACS elegida (interna o de proveedor) cumpla con las reglas actuales del programa Mastercard Identity Check y la versión relevante de la especificación EMV 3DS. Esto generalmente implica que el operador del ACS complete las pruebas de cumplimiento de Mastercard.

3. Registrarse en Mastercard Identity Check: inscribir a la institución emisora en el programa a través de la plataforma de prueba de Mastercard Identity Check en Mastercard Connect, aceptando los términos y proporcionando los identificadores necesarios como el ID de la empresa (CID) y el número de la Asociación de Tarjetas Interbancarias (ICA).

4. Inscribir rangos de BIN con el Servidor de Directorio: utilizar la herramienta de Gestión de Servicios de Soluciones de Identidad (ISSM) en Mastercard Connect para registrar los rangos de BIN específicos que participarán en Identity Check. Para cada rango inscrito, se debe proporcionar la URL del ACS correspondiente. Tenga en cuenta que los rangos de BIN previamente inscritos para Mastercard SecureCode (3DS 1.0) requieren una inscripción separada para Identity Check (EMV 3DS).

5. Configurar reglas de autenticación: definir los métodos de autenticación principales (por ejemplo, RBA) y cualquier método de desafío de step-up (por ejemplo, OTP por SMS, biometría) que se utilizarán para los BIN inscritos. Asegurarse de que el soporte para flujos sin fricción y con desafío esté configurado.

6. Gestionar certificados: obtener y gestionar los certificados de servidor/cliente de Transport Layer Security (TLS) necesarios para la comunicación segura con el Servidor de Directorio de Mastercard, y los certificados de firma digital si corresponde, utilizando el Portal de Gestión de Claves de Mastercard.

7. Implementar la validación de AAV: establecer procesos para validar el Valor de Autenticación del Titular de la Cuenta (AAV) recibido en los mensajes de autorización para transacciones autenticadas. Esto se puede hacer internamente o utilizando el servicio de validación de AAV de Mastercard.

8. Coordinar con el procesador: asegurarse de que el procesador de pagos del emisor sea capaz de manejar cualquier nuevo elemento de datos asociado con Mastercard Identity Check, como Digital Transaction Insights.

9. Puesta en marcha y monitoreo: una vez que la configuración y las pruebas estén completas, activar los rangos de BIN inscritos en el entorno de producción y monitorear continuamente el rendimiento de las transacciones y los KPI.

Es importante reconocer que la gestión de BIN es un proceso continuo. Los cambios en la industria, como la migración de BIN de 6 a 8 dígitos, requieren que los emisores evalúen proactivamente sus carteras, consoliden potencialmente los BIN y actualicen sus sistemas y configuraciones en consecuencia para garantizar el funcionamiento continuo y sin problemas de servicios de autenticación como Mastercard Identity Check.

Mastercard Identity Check Program

La adopción de Mastercard Identity Check y el programa subyacente EMV 3DS de Mastercard ofrece ventajas significativas para los comercios y los Proveedores de Servicios de Pago (PSP) que los atienden. Los impactos principales giran en torno a la mejora de las tasas de éxito de las transacciones, la mejora de la experiencia del cliente y la simplificación de las operaciones en el panorama global del e-commerce.

Uno de los beneficios más convincentes es el potencial para aumentar las tasas de aprobación de autorizaciones.

• Cómo funciona: el intercambio de datos más rico a través de EMV 3DS, combinado con sofisticados motores RBA que utilizan IA y análisis de comportamiento, proporciona a los emisores una visión mucho mayor de la legitimidad de una transacción. Esto les permite distinguir con mayor precisión entre clientes genuinos y estafadores, lo que lleva a una reducción de los rechazos falsos, situaciones en las que una transacción legítima se rechaza por error debido a una sospecha de fraude.

• Resultados cuantificados: estudios e informes indican mejoras significativas. Los datos de Mastercard han mostrado aumentos promedio en la tasa de aprobación de 10 a 12 puntos básicos (0.10-0.12%) o incluso aumentos de hasta el 14% en miles de millones de transacciones en un año. Otras fuentes mencionan posibles aumentos del 12%. Los estudios de caso, como uno que involucra a un minorista de ropa, demostraron aumentos sustanciales en las ventas atribuidos a mejores aprobaciones y reducción de fraude a través de Identity Check.

• Beneficios: para los comercios, tasas de aprobación más altas se traducen directamente en un aumento de las ventas completadas, mayores ingresos y una mejor satisfacción del cliente. Para los PSP, ofrecer una solución que impulse demostrablemente las tasas de aprobación de sus clientes mejora su propuesta de valor y competitividad.

Una consecuencia directa de una RBA eficaz es una reducción significativa de la necesidad de autenticación reforzada, donde se desafía activamente al titular de la tarjeta a proporcionar una prueba adicional de identidad.

• Cómo funciona: el objetivo es que la gran mayoría (a menudo citada como >90% o 95%) de las transacciones se autentiquen sin fricción basándose en la evaluación de riesgos. Esto significa menos interrupciones para el cliente durante el pago.

• Beneficios: esto mejora drásticamente la experiencia del usuario al eliminar obstáculos innecesarios. La reducción de la fricción conduce directamente a menores tasas de abandono del carrito de compras y mayores tasas de conversión para los comercios.

La base de Mastercard Identity Check en el estándar global EMV 3DS facilita una implementación y gestión más sencillas para las empresas que operan a través de las fronteras.

• Cómo funciona: EMV 3DS proporciona un lenguaje técnico y un marco común para la autenticación reconocido por los emisores y adquirentes participantes en todo el mundo.

• Beneficios: esta estandarización reduce la complejidad para los comercios y PSP internacionales, que de otro modo podrían necesitar integrar múltiples soluciones de autenticación regionales y dispares. La integración se agiliza a través de protocolos, API y SDK estandarizados proporcionados por Mastercard y sus socios. Además, el uso de una solución basada en EMV 3DS como Mastercard Identity Check ayuda a las empresas a cumplir con los requisitos regulatorios como la PSD2 SCA en Europa y mandatos similares que surgen en otros lugares.

Para los PSP, estos beneficios para los comercios se amplifican. Al ofrecer una solución de autenticación robusta, globalmente consistente y de alto rendimiento como Mastercard Identity Check, los PSP pueden atraer a más comercios, reducir sus propios gastos operativos relacionados con la gestión de diversos métodos de autenticación y potencialmente reducir su exposición a los costos relacionados con el fraude transferidos por los comercios.

Mastercard Identity Check

Para gestionar y optimizar eficazmente el rendimiento de Mastercard Identity Check, los emisores, adquirentes y comercios necesitan un marco claro de Indicadores Clave de Rendimiento (KPI). El seguimiento de estas métricas proporciona información sobre la experiencia del usuario, la eficacia de la seguridad y el cumplimiento de las reglas del programa EMV 3DS de Mastercard.

Basado en las guías del programa y las mejores prácticas, los siguientes KPI son cruciales para monitorear el rendimiento de Mastercard Identity Check:

1. Tasa de desafío: mide el porcentaje de solicitudes de autenticación que resultan en un desafío activo para el titular de la tarjeta (por ejemplo, se le pide un OTP o una verificación biométrica). Una tasa de desafío más baja generalmente indica una experiencia de usuario mejor y más fluida. La guía de Mastercard sugiere apuntar a desafíos en menos del 10% de las transacciones, confiando en la RBA para la mayoría.

2. Tasa de éxito de la autenticación: realiza un seguimiento del porcentaje de intentos de autenticación (tanto sin fricción como con desafío) que son completados con éxito por el titular de la tarjeta y verificados por el emisor. Las altas tasas de éxito son vitales para minimizar el abandono de transacciones. Mastercard puede establecer umbrales mínimos para las tasas de aprobación de transacciones autenticadas en general (por ejemplo, 90%) y monitorear específicamente las tasas de éxito de los desafíos.

3. Tasa sin fricción: el inverso de la tasa de desafío, mide el porcentaje de autenticaciones completadas con éxito sin requerir la interacción del titular de la tarjeta. Una alta tasa sin fricción es un objetivo principal de EMV 3DS y está fuertemente correlacionada con tasas de éxito generales más altas y una mejor experiencia de usuario.

4. Tasa de fraude: monitorear la tasa de transacciones fraudulentas confirmadas, particularmente aquellas que fueron autenticadas a través de Identity Check, es esencial para medir la efectividad del sistema en la prevención del fraude. Mastercard monitorea los niveles de fraude de los comercios a través de programas como el programa Excessive Fraud Merchant (EFM). Un objetivo clave es ver una reducción del fraude en comparación con las transacciones no autenticadas.

5. Tasa de aprobación de autorización: la medida final del éxito de la transacción es la tasa de aprobación de autorización final por parte del emisor. Identity Check tiene como objetivo elevar esta tasa reduciendo los rechazos falsos.

6. Rendimiento técnico: métricas como el tiempo de actividad del ACS y del 3DS Server (Mastercard requiere una disponibilidad del 99.0% para los proveedores), los tiempos de procesamiento de transacciones y las tasas de error en los mensajes de autenticación también son críticas.

El monitoreo de estos KPI se basa en varios canales de informes:

• Monitoreo del programa de Mastercard: Mastercard monitorea activamente el rendimiento de los participantes frente a los KPI del programa establecidos. El incumplimiento puede desencadenar notificaciones y posibles evaluaciones o multas bajo programas como DIMP o EFM.

• Informes del Programa de Monitoreo de Integridad de Datos (DIMP): este programa se enfoca específicamente en la precisión e integridad de los datos de las transacciones que fluyen a través de la red de Mastercard. Los emisores y adquirentes pueden acceder a los informes DIMP a través de un portal dedicado para identificar transacciones marcadas por problemas de integridad de datos. Varias "ediciones" de DIMP se relacionan directamente con los datos de EMV 3DS, como ID de transacción de DS faltantes o no válidos, indicadores de exención faltantes, AAV no válidos o montos de transacción no coincidentes.111 Los emisores pueden suscribirse específicamente a un Informe de Monitoreo de Integridad de Datos de Mastercard para rastrear su rendimiento frente a los objetivos de tasa sin fricción.

• Informes del Proveedor de Servicios de Pago (PSP) / Proveedor: los comercios y emisores a menudo utilizan los paneles de informes y análisis proporcionados por sus PSP, proveedores de 3DS Server o proveedores de ACS para rastrear sus métricas de rendimiento de autenticación.

El uso eficaz de estos KPI y mecanismos de informes permite a los stakeholders identificar áreas de mejora, optimizar configuraciones (como las reglas de RBA), solucionar problemas técnicos y, en última instancia, maximizar los beneficios del programa Mastercard Identity Check.

Mastercard Identity Check Program

El panorama de la autenticación de pagos en línea está en constante evolución, impulsado por la necesidad de una mayor seguridad, cambios regulatorios y la demanda de experiencias de usuario cada vez más fluidas. Mastercard Identity Check, al estar construido sobre el programa EMV 3DS de Mastercard, está intrínsecamente vinculado a la hoja de ruta establecida por EMVCo para el protocolo 3-D Secure.

Evolución de EMV 3DS (v2.1, v2.2, v2.3)

El protocolo EMV 3DS ha visto varias iteraciones desde su lanzamiento inicial (versión 2.0), cada una introduciendo nuevas características y refinamientos:

• EMV 3DS 2.1: se convirtió en la línea de base obligatoria, incorporando soporte fundamental para un intercambio de datos más rico y experiencias móviles mejoradas en comparación con 3DS 1.0. Mastercard requirió soporte para mediados de 2020.

• EMV 3DS 2.2: introdujo mejoras adicionales, incluido un mejor soporte para las exenciones de SCA (como TRA del adquirente y la lista de comercios de confianza a través de extensiones de mensajes de Mastercard) y elementos de datos refinados. Mastercard comenzó a admitir pruebas de cumplimiento para 2.2, con mandatos que siguieron más tarde. Mastercard Gateway planeó retirar el soporte para 2.1 en septiembre de 2024, convirtiendo a 2.2 en el mínimo efectivo.

• EMV 3DS 2.3 (específicamente 2.3.1): lanzada por EMVCo a finales de 2021/2022, esta versión representa el último avance significativo, centrándose en mejorar aún más la seguridad, la experiencia del usuario y el soporte de canales. Las características clave relevantes para el futuro de la autenticación incluyen:

  • Datos y flujos mejorados: elementos de datos y flujos de mensajes adicionales para agilizar aún más la autenticación y mejorar la detección de fraude. Incluye datos más ricos para pagos recurrentes y tokens de pago.

  • Soporte para Secure Payment Confirmation (SPC): puntos de integración para SPC, permitiendo la confirmación criptográfica de los detalles de la transacción utilizando autenticadores FIDO dentro del flujo 3DS.

  • Soporte para WebAuthn: soporte explícito para usar el estándar Web Authentication (WebAuthn) del W3C, facilitando el uso de passkeys y autenticadores de plataforma (como la biometría del dispositivo) para los desafíos.

  • Mejoras en la autenticación fuera de banda (OOB): transiciones automatizadas para agilizar la experiencia del usuario cuando la autenticación debe ocurrir a través de un canal separado, como una aplicación de banca.

  • Vinculación de dispositivos: permite a los usuarios vincular un dispositivo de confianza a su cuenta, reduciendo potencialmente los desafíos futuros en ese dispositivo.

  • Modelo Split-SDK: ofrece una mayor flexibilidad para implementar SDK de 3DS en diversas plataformas, incluidas las web/móviles tradicionales y los canales emergentes como los dispositivos IoT.

  • Mejoras en la interfaz de usuario: más opciones para que los emisores y comercios personalicen la interfaz de usuario durante los desafíos.

Mastercard, como miembro clave de EMVCo, participa activamente en el desarrollo de estos estándares. Son firmes partidarios de SPC y del movimiento más amplio hacia métodos de autenticación sin contraseña modernos como las passkeys. Empresas como DECTA ya han logrado la certificación temprana para EMV 3DS 2.3.1.1 con Mastercard, lo que indica que la adopción está en marcha. Integración de Secure Payment Confirmation (SPC) SPC es un estándar web del W3C diseñado para funcionar junto con protocolos de autenticación como EMV 3DS. Aprovecha las credenciales FIDO/WebAuthn (passkeys) para permitir a los usuarios autenticarse y confirmar explícitamente los detalles de la transacción (monto, beneficiario) directamente en el navegador, utilizando el autenticador integrado de su dispositivo (por ejemplo, huella digital, Face ID, PIN).

• Cómo se integra con EMV 3DS 2.3: durante un flujo de desafío 3DS, si el emisor admite SPC y el usuario tiene una credencial FIDO registrada (passkey) con el emisor para ese dispositivo, el ACS del emisor puede devolver la información necesaria en el mensaje ARes. El sitio web del comercio invoca entonces la API SPC del navegador, presentando un diálogo de confirmación estandarizado y seguro. El usuario se autentica localmente (por ejemplo, mediante biometría), firmando criptográficamente los detalles de la transacción. Esta aserción firmada se envía de vuelta al ACS para su verificación.

• Beneficios: SPC promete una experiencia de desafío altamente segura (resistente al phishing) y potencialmente de muy baja fricción en comparación con los OTP, mejorando las tasas de conversión. Proporciona una fuerte prueba criptográfica del consentimiento del usuario vinculada a detalles específicos de la transacción. Mastercard está promoviendo activamente la adopción de passkeys y el soporte de SPC.

La visión más amplia de Mastercard: hacia un futuro sin contraseñas Más allá de la hoja de ruta inmediata de EMV 3DS, Mastercard ha articulado una visión más amplia para el futuro de la autenticación en línea, con el objetivo de eliminar por completo la entrada manual de tarjetas y las contraseñas para 2030. Esta estrategia se basa en la convergencia de:

• Tokenización: reemplazar los Números de Cuenta Primarios (PAN) sensibles con tokens de red seguros (a través de MDES - Mastercard Digital Enablement Service) para proteger los datos de la tarjeta subyacentes. Mastercard apunta a una tokenización del 100% del comercio electrónico en regiones como Europa para 2030.

• Autenticación biométrica: aprovechar la biometría en el dispositivo (huellas dactilares, reconocimiento facial - "sonrisas y huellas dactilares") a través de estándares como FIDO/WebAuthn y tecnologías como SPC y el Servicio de Payment Passkey de Mastercard.

• Click to Pay: la solución de pago en línea optimizada de Mastercard basada en los estándares EMV Secure Remote Commerce (SRC), diseñada para funcionar sin problemas con la tokenización y la autenticación moderna.

Este estado futuro prevé una experiencia de pago en la que los usuarios se autentican de forma segura y confirman los pagos con una simple acción biométrica, sin necesidad de escribir manualmente números de tarjeta o contraseñas. La evolución continua de EMV 3DS, incluida la versión 2.3 y la integración de SPC, son pasos críticos para alcanzar este ambicioso objetivo.

Corbado EMV 3DS ACS Passkeys

Mastercard Identity Check, impulsado por el programa EMV 3DS de Mastercard, representa una evolución crítica en la seguridad del ecosistema de pagos digitales. Superando las limitaciones de su predecesor, Mastercard SecureCode, aborda el desafío central de equilibrar una sólida prevención del fraude con el imperativo de los flujos de autenticación sin fricción en el comercio electrónico moderno.

Para los emisores y comercios, los beneficios son tangibles:

• Seguridad mejorada: aprovechar el rico intercambio de datos, los sofisticados motores de Autenticación Basada en Riesgo (RBA), la biometría conductual de NuData y la inteligencia de dispositivos mejora significativamente la precisión en la detección de fraudes.

• Experiencia de usuario mejorada: el enfoque en los flujos sin fricción minimiza las interrupciones en el pago, reduciendo el abandono del carrito y fomentando la lealtad del cliente.

• Tasas de aprobación más altas: una evaluación de riesgos más precisa conduce a menos rechazos falsos, impulsando las ventas legítimas y los ingresos.

• Protección de responsabilidad: el potencial de transferencia de responsabilidad en transacciones autenticadas sigue siendo un incentivo clave para la adopción.

La implementación de Mastercard Identity Check requiere una cuidadosa consideración de las rutas de integración, particularmente la elección de ACS para los emisores, y una gestión diligente de la habilitación de BIN y la calidad de los datos. Monitorear el rendimiento a través del marco de KPI y las herramientas de informes proporcionadas, como el Informe de Monitoreo de Integridad de Datos, es esencial para la optimización y el cumplimiento. De cara al futuro, la evolución continúa con EMV 3DS 2.3 y más allá, incorporando estándares como Secure Payment Confirmation (SPC) y WebAuthn para permitir una autenticación aún más segura y fácil de usar utilizando passkeys y biometría del dispositivo. Esto se alinea con la visión más amplia de Mastercard de un futuro sin contraseñas ni números para los pagos en línea para 2030, anclado en la tokenización y la biometría.

A medida que el panorama de la autenticación se desplaza hacia estos métodos más modernos y resistentes al phishing, comprender los fundamentos establecidos por programas como Mastercard Identity Check es crucial. Para las empresas que buscan implementar una autenticación de próxima generación que combine una seguridad robusta con una comodidad para el usuario sin igual, explorar soluciones basadas en los estándares FIDO, como las passkeys ofrecidas por proveedores como Corbado, representa el siguiente paso lógico para preparar las interacciones y los pagos en línea para el futuro.