Servidor de Controle de Acesso EMV 3DS: Passkeys, FIDO e SPC
O cenário de fornecedores de ACS EMV 3DS: Saiba mais sobre dados de Passkeys e FIDO para fluxos sem atrito e a prontidão para o SPC em desafios de pagamento seguros.
O cenário da autenticação em pagamentos online está passando por
uma transformação significativa, impulsionada pela dupla necessidade de aprimorar a
segurança contra fraudes sofisticadas e melhorar a experiência do usuário para reduzir o
atrito e o abandono de carrinho. O protocolo EMV® 3-D Secure
(3DS), especialmente suas versões mais recentes (EMV 3DS 2.x), serve como a tecnologia
fundamental para autenticar transações de cartão não presente (CNP) globalmente.
Gerenciado pela EMVCo, este protocolo facilita a troca de dados entre
comerciantes, emissores (através de seu Servidor
de Controle de Acesso - ACS) e o domínio de interoperabilidade
(Servidores de Diretório operados por esquemas de pagamento) para
verificar a identidade do titular do cartão.
Dentro dessa estrutura, dois avanços tecnológicos importantes relacionados aos padrões da
FIDO (Fast Identity Online) Alliance estão surgindo:
O uso de dados de autenticação FIDO gerados durante interações
anteriores do usuário (por exemplo, login no site do comerciante)
para enriquecer a avaliação de risco no
fluxo sem atrito (frictionless flow)
do EMV 3DS.
A integração do Secure Payment Confirmation
(SPC), um padrão web do W3C construído sobre FIDO/WebAuthn,
como um método de "desafio" (challenge) simplificado e resistente a
phishing dentro do fluxo EMV 3DS.
Este artigo oferece uma visão geral do mercado global de soluções de Servidor de Controle
de Acesso (ACS) EMV 3DS fornecidas a bancos emissores. Ele identifica os principais
fornecedores e tenta avaliar seu suporte atual tanto para estruturas de dados FIDO
não-SPC quanto para o
Secure Payment Confirmation (SPC) para fluxos de
desafio. Além disso, esclarece o mecanismo pelo qual os emissores
podem usar suas próprias passkeys FIDO para verificação criptográfica dentro do fluxo de
desafio 3DS via SPC e discute a aplicabilidade
global deste padrão.
2.1 Fluxos Sem Atrito (Frictionless) vs. Fluxos de Desafio (Challenge) no EMV 3DS#
O EMV 3DS opera principalmente através de dois caminhos de autenticação distintos:
Fluxo Sem Atrito (Frictionless Flow): Este é o caminho preferido, visando uma
experiência de usuário contínua. O ACS do emissor realiza uma
avaliação de risco com base em um rico conjunto de dados trocados durante o início da
transação (através da Mensagem de Requisição de Autenticação, ou AReq). Esses dados
incluem detalhes da transação, informações do comerciante,
características do dispositivo, dados do navegador (potencialmente coletados através do
JavaScript 3DSMethod) e, possivelmente, informações de autenticação prévias. Se o risco
for considerado baixo, a transação é autenticada sem exigir qualquer interação direta ou
"desafio" do titular do cartão. Este fluxo representa a maioria das transações 3DS,
especialmente onde os motores de risco estão
bem ajustados.
Fluxo de Desafio (Challenge Flow): Se o ACS determinar que o risco da transação é
alto, ou se for exigido por regulamentações (como a PSD2SCA na Europa) ou pela política do
emissor, o titular do cartão é ativamente desafiado a verificar sua
identidade. Métodos de desafio tradicionais incluem senhas de uso único (OTP) enviadas
por SMS, perguntas baseadas em conhecimento ou autenticação Out-of-Band (OOB) através de
um aplicativo de banco. O objetivo das versões mais recentes do
3DS e tecnologias relacionadas como o SPC é tornar
este fluxo de desafio mais seguro e menos complicado do que os
métodos legados.
2.2 O Papel dos Dados FIDO (Não-SPC) na Melhoria do Fluxo Sem Atrito#
A lógica é que, se um comerciante realizou recentemente uma
autenticação FIDO forte (por exemplo, usando biometria ou uma passkey) para a sessão do
usuário que iniciou a compra, essa informação pode servir como um valioso sinal de risco
adicional para o ACS do emissor. Ao receber e
processar esses dados FIDO padronizados, o ACS pode ganhar maior confiança na legitimidade
da transação, aumentando a probabilidade de uma aprovação sem atrito e reduzindo a
necessidade de um
desafio separado.
É importante notar que, neste cenário, o comerciante é a FIDO RP, e o
emissor consome esses dados como uma entrada para seu motor de risco;
o emissor não verifica criptograficamente a
asserção FIDO em si dentro deste
fluxo
sem atrito. O ACS mantém a opção de ignorar esses dados se não estiver configurado para
processá-los.
2.3 O Papel do Secure Payment Confirmation no Fluxo de Desafio#
O Secure Payment Confirmation (SPC) representa uma
integração distinta dos padrões FIDO dentro do fluxo de desafio do EMV 3DS. O SPC é um
padrão web do W3C, desenvolvido em colaboração com a FIDO e a EMVCo, e construído sobre o
WebAuthn. Ele é formalmente suportado no EMV 3DS a partir da versão
2.3.
Quando o SPC é usado como método de desafio:
O emissor (ou uma parte explicitamente delegada pelo emissor, como um esquema de
pagamento) funciona como a FIDO Relying Party
(RP).
Isso é fundamentalmente diferente do fluxo de dados FIDO não-SPC descrito
anteriormente, onde o comerciante normalmente atua como a RP para seus próprios
propósitos
de login/autenticação.
Durante o desafio 3DS, o ACS sinaliza a necessidade de SPC e fornece os identificadores
de credencial FIDO necessários e um
desafio criptográfico ao comerciante/Servidor 3DS.
O sistema do comerciante invoca a API SPC do navegador,
apresentando os detalhes da transação (valor, moeda, beneficiário, instrumento) ao
usuário em um diálogo seguro controlado pelo navegador.
O usuário se autentica usando seu autenticador FIDO (por
exemplo, biometria do dispositivo, PIN, chave de segurança),
que assina os detalhes da transação e o desafio usando a chave privada associada à
passkey registrada pelo emissor.
A asserção FIDO resultante (prova criptográfica de autenticação
e consentimento) é enviada de volta através do protocolo 3DS (geralmente por meio de
uma segunda mensagem AReq) para o ACS do emissor.
O ACS, como a RP, valida criptograficamente a asserção usando a
chave pública correspondente, confirmando a identidade do titular do cartão e o
consentimento para os detalhes específicos da transação.
O SPC visa proporcionar uma experiência de desafio que seja mais segura (resistente a
phishing,
vinculação dinâmica da autenticação aos dados
da transação) e potencialmente com menos atrito (geralmente mais rápida que a digitação de
OTP) em comparação com os métodos tradicionais.
Os dois caminhos para a integração FIDO — um aproveitando dados de autenticação prévia do
comerciante para avaliação de risco sem atrito, e o outro usando credenciais gerenciadas
pelo emissor para um desafio direto baseado em FIDO via SPC — oferecem abordagens
distintas para aprimorar a segurança e a experiência do usuário dentro da estrutura EMV
3DS. Entender o suporte dos fornecedores para cada um é crucial para emissores e PSPs que
planejam suas estratégias de autenticação.
3. Análise dos Principais Fornecedores de ACS EMV 3DS#
Esta seção analisa as capacidades dos provedores globais de soluções de ACS EMV 3DS,
focando em sua presença de mercado e suporte para dados FIDO (não-SPC) e Secure Payment
Confirmation (SPC). Números precisos de participação de mercado são proprietários e
difíceis de obter publicamente; portanto, a presença é avaliada com base em alegações de
fornecedores, certificações, parcerias, alcance geográfico e relatórios de mercado.
3.1 Entersekt (incorporando Modirum) 3DS ACS#
Presença de Mercado: A Entersekt, especialmente após a aquisição do negócio de
software 3DS da Modirum em dezembro de 2023, se posiciona como um fornecedor global
líder de soluções EMV 3DS, visando uma
posição entre os cinco maiores do
mercado. A Modirum tinha mais de 20 anos de experiência em
3DS. A Entersekt destaca
um crescimento recorde impulsionado por novos clientes, especialmente na América do
Norte, e parcerias estratégicas, incluindo uma relação expandida com a
Mastercard. Eles afirmam proteger mais de 2,5 bilhões de
transações anualmente (dados do ano fiscal de 2024) e são classificados como nº 1 na
prevenção de ATO em bancos pela
Liminal.
Seu ACS está disponível hospedado (pela Entersekt ou pelo cliente) ou
on-premise. Eles atendem emissores
e processadores globalmente.
Suporte a Dados FIDO Não-SPC (Frictionless): A Entersekt enfatiza sua Autenticação
Context Aware™, análise de dispositivo e comportamental para sinais de risco, e
integração com vários serviços de
pontuação de risco. Seu ACS é
certificado FIDO EMVCo 2.2. Embora
destaquem o uso de dados de inteligência de risco e comportamental para
RBA, a confirmação explícita do
processamento dos dados de atestado FIDO padronizados de autenticações prévias de
comerciantes no campo threeDSRequestorAuthenticationInfo para aprimoramento do fluxo
sem atrito não é declarada explicitamente nos
materiais online. No entanto, seu
foco em autenticação avançada e sinais de risco sugere capacidade.
Suporte a SPC (Challenge): Fortes indicadores sugerem que a Entersekt suporta SPC. A
Modirum, cujo negócio 3DS foi adquirido pela Entersekt, forneceu componentes para o
piloto de SPC da Visa usando 3DS 2.2 com
extensões. A Entersekt lista
explicitamente o suporte à conformidade com SPC como parte de suas
capacidades de conformidade
regulatória. Seu ACS suporta autenticação
biométrica, é certificado para
EMV 3DS 2.2 e provavelmente
incorpora capacidades do envolvimento da Modirum no piloto. A combinação da aquisição da
Modirum, menção explícita da conformidade com SPC e certificação FIDO aponta fortemente
para o suporte a SPC em sua oferta atual.
3.2 Broadcom (Arcot) 3DS ACS#
Presença de Mercado: A Arcot da Broadcom é um player fundamental no mercado 3DS,
tendo co-inventado o protocolo original com a Visa. Eles se
posicionam como um líder global reconhecido, atendendo mais de 5.000 instituições
financeiras em todo o mundo e processando transações de 229
países. Sua Rede Arcot enfatiza uma vasta abordagem de
dados de consórcio (alegando mais de 600 milhões de assinaturas de dispositivos, 150
trilhões de pontos de dados) para alimentar seus
motores de pontuação de fraude
e risco. Eles têm uma forte presença na Europa, Austrália e América do
Norte.
Suporte a Dados FIDO Não-SPC (Frictionless): A Broadcom enfatiza fortemente a
riqueza de sua rede de dados e o uso de IA/redes neurais para detecção de fraudes e
avaliação baseada em risco, indo além dos
elementos de dados padrão do
EMV 3DS. Eles afirmam explicitamente que sua solução aproveita dados que fluem por
múltiplos emissores e incorpora dados digitais como dispositivo e
geolocalização.
Embora não mencionem explicitamente o processamento da estrutura JSON específica da
FIDO do threeDSRequestorAuthenticationData, seu foco em ingerir diversos pontos de
dados para RBA sugere fortemente que eles poderiam consumir tais dados se fornecidos,
alinhando-se com a intenção da orientação EMVCo/FIDO. Sua plataforma visa maximizar as
aprovações sem atrito através de uma
avaliação de risco superior.
Suporte a SPC (Challenge): A documentação da Broadcom confirma o suporte para
autenticadores FIDO (Chave de Segurança, Biometria, Passkey)
dentro de sua
suíte
mais ampla VIP Authentication Hub / Identity Security. Seu
3DS ACS suporta vários métodos de desafio,
incluindo OTPs e notificações push, e eles mencionam suporte para
biometria. Eles também oferecem
capacidades
de Autenticação Delegada e
introduziram
recursos
de avaliação de risco pós-desafio. No entanto, a confirmação explícita de que seu
produto EMV 3DS ACS atualmente suporta SPC como um método de desafio específico
(exigindo capacidades EMV 3DS v2.3+ e o fluxo de duas AReqs) está ausente na
documentação fornecida. Embora
sejam um grande player provavelmente capaz de implementá-lo, o material público atual
foca mais em seu motor de RBA e
métodos de desafio
tradicionais/OOB.
3.3 Netcetera 3DS ACS#
Presença de Mercado: A Netcetera se posiciona como um importante player
internacional de pagamentos, particularmente forte na Europa e no Oriente
Médio.
Eles afirmam que seu ACS é usado por mais de 800 bancos/emissores, protegendo mais de 50
milhões de cartões em todo o
mundo.
Eles enfatizam certificações com todas as principais redes de cartões (Visa,
Mastercard, Amex, Discover, JCB, UnionPay, etc.) e
conformidade
com PCI. Eles foram notavelmente o primeiro
fornecedor de ACS no mundo a obter a
certificação
EMV 3DS 2.3.1.
Suporte a Dados FIDO Não-SPC (Frictionless): A documentação da Netcetera destaca a
importância dos dados coletados via 3DSMethod para a avaliação de risco do ACS para
aumentar a autenticação sem atrito. Eles oferecem
integração com
ferramentas de
risco. No entanto, a confirmação específica do processamento de dados de autenticação
FIDO prévios do comerciante (de threeDSRequestorAuthenticationInfo) para avaliação de
risco não é explicitamente mencionada nos
materiais
revisados.
Suporte a SPC (Challenge): A Netcetera demonstra forte suporte para SPC. Eles foram
o primeiro fornecedor globalmente certificado para EMV 3DS 2.3.1, a versão que incorpora
o SPC. Eles participaram do piloto de SPC da Visa, fornecendo os
componentes v2.3.1. A
documentação de seu produto define explicitamente o SPC. Eles realizaram webinars
discutindo a integração de FIDO
e SPC e publicaram artigos destacando os
benefícios
do SPC. Essa combinação de certificação, participação em pilotos e documentação
explícita confirma seu suporte para desafios SPC.
3.4 Worldline 3DS ACS#
Presença de Mercado: A Worldline se posiciona como líder europeia em serviços de
pagamento e transacionais e um importante player global (alegando o
status
de 4º maior player de pagamentos do mundo). Eles processam bilhões de transações
anualmente e enfatizam a conformidade garantida, o controle de fraudes usando IA/ML e a
escalabilidade.
Seu ACS é declarado como certificado EMV 3DS e compatível com os principais esquemas
(Visa Secure, Mastercard Identity Check) e
PSD2. Eles relatam processar mais de 2,4 bilhões de transações
3DS anualmente para mais de 100 emissores.
Suporte a Dados FIDO Não-SPC (Frictionless): A oferta de ACS da Worldline inclui um
motor de regras RBA que permite aos emissores configurar fluxos sem atrito ou de desafio
com base no
risco.
Sua solução mais ampla "Trusted Authentication" aproveita a inteligência de dispositivo
e a análise comportamental.
Embora suportem FIDO
em geral,
a confirmação explícita do processamento de dados FIDO prévios do comerciante (não-SPC)
dentro do ACS para avaliação de risco não é detalhada nos
trechos
fornecidos.
Suporte a SPC (Challenge): A Worldline mostra indicações claras de suporte ao SPC.
Sua documentação reconhece a evolução do EMV 3DS 2.3 para incluir
SPC/FIDO.
Eles comercializam explicitamente sua solução "WL Trusted Authentication" como suporte à
autenticação FIDO e oferecem um "WL FIDO Server"
adequado para "casos de uso 3DS, com emvCO2.3 e SPC.
3.5 GPayments 3DS ACS#
Presença de Mercado: A GPayments posiciona o ActiveAccess como uma "plataforma
robusta de Servidor de Controle de Acesso (ACS) líder de mercado" com mais de 20 anos no
espaço 3D Secure.
Eles são certificados com os principais esquemas de cartão (Visa Secure,
Mastercard Identity Check, JCB J/Secure) tanto para
3DS1 quanto para EMV
3DS. Sua solução pode
ser
implantada on-premise ou hospedada na nuvem.
Relatórios de mercado identificam a GPayments como um player notável que oferece
soluções
de ACS.
Suporte a Dados FIDO Não-SPC (Frictionless): O ActiveAccess suporta integração com
soluções de RBA de terceiros e utiliza vários parâmetros para sua própria
avaliação de risco.
No entanto, a documentação fornecida não menciona explicitamente o suporte para ingerir
ou usar dados de autenticação FIDO prévios do comerciante (não-SPC) para
avaliação de risco
sem atrito.
Suporte a SPC (Challenge): A documentação revisada para o ActiveAccess não menciona
explicitamente o suporte para Secure Payment Confirmation (SPC), desafios WebAuthn ou
desafios FIDO como parte de suas
capacidades de fluxo
de desafio. Embora suportem vários métodos de autenticação, incluindo OOB (que pode
abranger biometria),
o suporte específico ao SPC não está claro a partir das
informações
disponíveis.
3.6 Visa (Visa Secure) 3DS ACS#
Presença de Mercado: A Visa, como uma grande rede de
pagamento global, define o programa Visa Secure com base no
padrão
EMV 3DS. Eles foram pioneiros no
protocolo
3DS original. Em vez de atuar principalmente como um fornecedor direto de ACS da mesma
forma que empresas de tecnologia como Entersekt ou Broadcom, a Visa opera o programa e
depende de uma lista de fornecedores 3DS aprovados (incluindo provedores de ACS) cujos
produtos são certificados como compatíveis com as
regras
do EMV 3DS e do Visa Secure. Os emissores normalmente adquirem
soluções de ACS desses fornecedores certificados. A própria Visa foca na rede (Servidor
de Diretório), definindo regras do programa, promovendo a adoção e impulsionando
inovações como os pilotos de SPC.
Suporte a Dados FIDO Não-SPC (Frictionless): O Visa Secure,
baseado no EMV 3DS, suporta inerentemente a troca de dados ricos para avaliação de risco
para permitir o
fluxo
sem atrito. A
estrutura EMVCo/FIDO
para passar dados FIDO prévios opera dentro do ecossistema Visa Secure se o fornecedor
de ACS escolhido suportar o processamento
deles.
Suporte a SPC (Challenge): A Visa está ativamente envolvida em pilotar e promover o
SPC. Eles estão trabalhando com parceiros (como Netcetera e Modirum/Entersekt em
pilotos) para testar e refinar o fluxo SPC dentro do
protocolo 3DS. Este forte
engajamento indica suporte estratégico para o SPC como um método de desafio dentro do
programa Visa Secure, dependendo da prontidão do ecossistema (suporte de ACS,
comerciante, navegador).
3.7 Mastercard (Identity Check) 3DS ACS#
Presença de Mercado: Semelhante à Visa, a Mastercard opera o programa
Mastercard Identity Check baseado no EMV
3DS.
Eles oferecem opções para emissores e comerciantes, incluindo
processamento stand-in e potencialmente aproveitando parceiros ou subsidiárias como a
NuData.
A Mastercard adquiriu a NuData Security, uma empresa de biometria comportamental, em
2017, aprimorando suas
capacidades
de avaliação de risco. Eles também enfatizam a inovação contínua em biometria, RBA e
IA. Como a Visa, eles
dependem de fornecedores certificados para componentes principais de ACS, mas podem
oferecer serviços agrupados ou aproveitar
tecnologia
adquirida.
Suporte a Dados FIDO Não-SPC (Frictionless): O
Mastercard Identity Check aproveita a rica troca de
dados do EMV 3DS 2.x para uma melhor tomada de decisão de risco e
fluxo
sem atrito. Sua aquisição da NuData sugere um forte foco em análise comportamental como
parte desta
avaliação
de risco. O suporte para processar dados FIDO prévios do comerciante dependeria da
implementação específica do ACS usada pelo emissor dentro do
programa
Identity Check.
Suporte a SPC (Challenge): A Mastercard é um membro chave da EMVCo e está envolvida
no desenvolvimento dos padrões EMV 3DS, incluindo a v2.3 que suporta SPC. Eles também
estão promovendo a adoção de passkeys de forma
mais
ampla.
Mais detalhes podem ser encontrados
aqui. Eles são fortes
apoiadores do SPC e impulsionam métodos de autenticação modernos.
3.8 Outros Fornecedores de ACS 3DS#
O mercado de ACS EMV 3DS apresenta inúmeros provedores além dos detalhados acima.
Fornecedores como /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop e
outros também oferecem soluções certificadas ou desempenham papéis significativos em
regiões ou segmentos específicos. Esta análise visa cobrir players globais proeminentes,
mas não é exaustiva devido à natureza dinâmica do mercado. As capacidades dos
fornecedores, particularmente em relação a padrões emergentes como o SPC, evoluem
rapidamente. Se você notar alguma imprecisão ou tiver informações atualizadas sobre o
suporte de fornecedores para dados FIDO ou Secure Payment Confirmation, por favor, entre
em contato para que possamos garantir que esta visão geral permaneça atual e precisa.
4. Autenticação de Passkey do Emissor via Secure Payment Confirmation#
4.1 Mecanismo Explicado: Emissor como Relying Party#
Um princípio central do uso do Secure Payment Confirmation (SPC) dentro do fluxo de
desafio do EMV 3DS é que o emissor do cartão (ou uma parte explicitamente delegada
pelo emissor, como um esquema de pagamento) funciona como a FIDO Relying Party
(RP).
Isso é fundamentalmente diferente do fluxo de dados FIDO não-SPC descrito anteriormente,
onde o comerciante normalmente atua como a RP para seus próprios
propósitos
de login/autenticação.
Para que o SPC funcione em um desafio 3DS, as seguintes etapas estão envolvidas:
Registro (Enrollment): O titular do cartão deve primeiro registrar um
autenticador FIDO (por exemplo, biometria do dispositivo
como impressão digital/ID facial, PIN do dispositivo ou uma
chave de segurança externa) com seu banco emissor. Este
processo cria uma passkey, onde a chave pública e um identificador de credencial único
são armazenados pelo emissor e associados à conta do titular do cartão ou a um
cartão
de pagamento específico. O registro pode ocorrer no aplicativo móvel do banco, no
portal de banco online ou, potencialmente, ser oferecido após
um desafio 3DS
tradicional bem-sucedido. Crucialmente, para que o SPC seja invocado por um terceiro,
como o site de um comerciante, a credencial deve ser criada com o consentimento
explícito do usuário, permitindo seu uso em tais contextos, muitas vezes envolvendo
extensões WebAuthn específicas durante o
registro.
Autenticação (durante o Desafio 3DS):
Quando uma transação 3DS aciona um desafio, e o emissor/ACS suporta e seleciona o
SPC, o ACS identifica o(s) ID(s) de credencial
FIDO relevante(s) vinculado(s) ao titular do cartão e ao
dispositivo.
O ACS inclui esse(s) ID(s) de credencial,
juntamente com um desafio criptográfico único e
detalhes da transação (valor, moeda, nome/origem do beneficiário, ícone/nome de
exibição do instrumento), na Resposta de Autenticação (ARes) enviada de volta ao
Servidor 3DS/Solicitante.
O componente Solicitante 3DS do comerciante usa essa
informação da ARes para invocar a API SPC do navegador.
O navegador apresenta um diálogo padronizado e seguro
exibindo os detalhes da transação fornecidos pelo ACS.
O usuário confirma a transação e se autentica usando seu autenticador FIDO
registrado (por exemplo, tocando em um sensor de impressão digital, reconhecimento
facial, inserindo o PIN do dispositivo, tocando em uma
chave de segurança). Essa ação desbloqueia a chave privada
armazenada com segurança no dispositivo/autenticador.
O autenticador assina os detalhes da transação apresentados e o
desafio criptográfico recebido do ACS.
O navegador retorna a asserção FIDO resultante (a carga de dados assinada) para o
Solicitante 3DS do comerciante.
O Solicitante 3DS transmite essa asserção de volta para o ACS do Emissor, geralmente
encapsulada em uma segunda mensagem AReq.
O Emissor/ACS, atuando como a Relying Party autoritativa,
usa a chave pública do titular do cartão, armazenada anteriormente, para verificar
criptograficamente a assinatura na asserção. A verificação bem-sucedida confirma que
o titular legítimo do cartão, usando seu autenticador registrado, aprovou os
detalhes específicos da transação apresentados.
4.2 Fluxo do Protocolo EMV 3DS com Desafio SPC#
A integração do SPC no fluxo de desafio do EMV 3DS exige modificações na sequência de
mensagens padrão, geralmente envolvendo duas trocas de AReq/ARes:
Requisição de Autenticação Inicial (AReq #1): O comerciante/Servidor 3DS inicia o
processo 3DS enviando uma AReq contendo dados da transação e do dispositivo. Para
sinalizar a capacidade para SPC, a requisição pode incluir um indicador como
threeDSRequestorSpcSupport definido como 'Y' (ou similar, dependendo da implementação
do fornecedor de ACS).
Resposta de Autenticação Inicial (ARes #1): Se o ACS determinar que um desafio é
necessário e optar pelo SPC, ele responde com uma ARes indicando isso. O transStatus
pode ser definido como 'S' (indicando SPC necessário) ou outro valor específico. Esta
ARes contém a carga de dados necessária para a chamada da API SPC.
Invocação da API SPC e Autenticação FIDO: O componente Solicitante 3DS do
comerciante recebe a ARes #1 e usa a carga de dados para invocar a API SPC do
navegador. O usuário interage com seu autenticador através da interface segura do
navegador.
Retorno da Asserção FIDO: Após a autenticação bem-sucedida do usuário, o navegador
retorna os dados da asserção FIDO para o Solicitante 3DS.
Segunda Requisição de Autenticação (AReq #2): O Solicitante 3DS constrói e envia
uma segunda mensagem AReq para o ACS. O objetivo principal desta mensagem é
transportar os dados da asserção FIDO. Geralmente inclui:
ReqAuthData: Contendo a asserção FIDO.
ReqAuthMethod: Definido como '09' (ou o valor designado para asserção SPC/FIDO).
Potencialmente o valor AuthenticationInformation da ARes #1 para vincular as
requisições.
Opcionalmente, um SPCIncompletionIndicator se a chamada da API SPC falhar ou
expirar.
Resposta de Autenticação Final (ARes #2): O ACS recebe a AReq #2, valida a asserção
FIDO usando a chave pública do titular do cartão e determina o resultado final da
autenticação. Ele envia de volta a ARes #2 contendo o status definitivo da transação
(por exemplo, transStatus = 'Y' para Autenticação Bem-sucedida, 'N' para Falha).
Este fluxo de duas AReqs representa um desvio dos métodos de desafio 3DS tradicionais
(como OTP ou OOB tratados via mensagens CReq/CRes ou RReq/RRes), que geralmente são
concluídos no ciclo inicial de AReq/ARes após o recebimento de um transStatus = 'C'.
Embora a parte de interação do usuário do SPC (leitura biométrica, entrada de PIN) seja
muitas vezes significativamente mais rápida do que digitar um
OTP, a introdução de
uma segunda rodada completa de AReq/ARes adiciona latência de rede entre o Servidor 3DS, o
Servidor de Diretório e o ACS. Implementadores e fornecedores devem otimizar
cuidadosamente este fluxo e lidar com possíveis timeouts para garantir que o tempo total
da transação de ponta a ponta permaneça competitivo e atenda às expectativas do usuário.
5. Considerações do Ecossistema para o SPC#
5.1 SPC como um Padrão Global (W3C/EMVCo)#
O Secure Payment Confirmation está posicionado para adoção global devido à sua dupla
padronização. Ele é formalmente definido como um padrão web pelo World Wide Web Consortium
(W3C), tendo alcançado o status de Candidate Recommendation em meados de 2023, com
trabalho contínuo para se tornar uma
Recomendação completa.
Simultaneamente, o SPC foi integrado às especificações do EMV®
3-D Secure a partir da versão 2.3, gerenciada pela EMVCo, o órgão
técnico global para
padrões de pagamento.
Essa integração garante que o SPC funcione dentro da estrutura global estabelecida para
autenticação de transações CNP. A colaboração entre W3C,
FIDO Alliance e EMVCo ressalta o esforço de toda a indústria
para criar padrões interoperáveis para
pagamentos online seguros e fáceis de usar.
5.2 Aplicabilidade Além de Mandatos Regulatórios (por exemplo, EUA, Canadá)#
Embora o design do SPC, particularmente sua capacidade de vincular criptograficamente a
autenticação do usuário a detalhes específicos da transação
("vinculação dinâmica"), ajude a satisfazer
os requisitos de
Autenticação Forte do Cliente (SCA) sob
regulamentações como a Diretiva de Serviços de Pagamento da Europa (PSD2), sua utilidade
não se limita a essas regiões com mandatos. O SPC é um padrão técnico global aplicável em
qualquer mercado, incluindo os Estados Unidos e o Canadá, desde que os componentes
necessários do ecossistema estejam
implementados.
Em mercados sem mandatos explícitos de SCA para
cada transação, os principais impulsionadores para a adoção do SPC são:
Melhor Experiência do Usuário: Oferecer um método de desafio potencialmente mais
rápido e conveniente (por exemplo, usando biometria do dispositivo) em comparação com
OTPs tradicionais ou perguntas baseadas em conhecimento, reduzindo potencialmente o
abandono de carrinho. Pilotos mostraram reduções significativas no tempo de autenticação
em comparação com
desafios
tradicionais.
Segurança Aprimorada: A autenticação baseada em FIDO inerente ao SPC é resistente a
ataques de phishing,
credential stuffing e outras ameaças comuns que visam
senhas e OTPs.
Portanto, emissores e comerciantes em regiões como a América do Norte podem optar por
implementar o SPC estrategicamente para aprimorar a segurança e fornecer uma melhor
experiência ao cliente, mesmo sem uma exigência regulatória para todas as transações.
5.3 Dependências e Prontidão do Ecossistema para SPC e FIDO/Passkeys#
A implementação bem-sucedida e a adoção generalizada do Secure Payment Confirmation (SPC)
dependem fortemente da prontidão coordenada de múltiplos componentes do ecossistema de
pagamentos. Embora os padrões FIDO subjacentes e a tecnologia de passkeys estejam
amadurecendo rapidamente, o suporte específico a nível de navegador para a API SPC e a
integração completa em toda a cadeia de pagamentos continuam sendo obstáculos críticos.
Outros players do ecossistema estão, em geral, avançando bem.
Resumo da Prontidão do Ecossistema (Status em Maio de 2025)
Ator do Ecossistema
Prontidão para SPC
Prontidão para FIDO/Passkeys (Geral)
Observações Principais (Maio de 2025)
Dispositivos e Autenticadores do Usuário
❌ Não usado
✅ Pronto
Praticamente todo laptop, celular e chave de segurança modernos vêm com autenticadores FIDO2/WebAuthn. Bilhões já estão disponíveis para os consumidores. O hardware não é o gargalo.
Navegadores Web (Software)
❌ Gargalo
✅ Pronto
SPC: Chromium (Chrome/Edge ≥ 95) suporta a linha de base do SPC v1, mas recursos avançados são experimentais. Safari (macOS & iOS) e Firefox NÃO oferecem suporte ao SPC.FIDO/Passkey Geral: Suporte completo ao WebAuthn nos principais navegadores para login, etc.
Emissores e Fornecedores de ACS
⚠️ Avançando
✅ Avançando
SPC: Líderes de mercado certificados para EMV 3DS 2.3.1 podem executar SPC; outros estão passando de piloto para produção. FIDO Geral: Muitos suportam FIDO para autenticação de app/OOB; a capacidade de ingestão de dados RBA existe, mas a adoção varia. Requer infraestrutura de servidor FIDO/RP.
Comerciantes
❌ Sem suporte
✅ Avançando
SPC: Requer pilha EMV 3DS v2.3+ e lógica de navegador. Os primeiros a adotar relatam benefícios. FIDO Geral: Uso crescente para login com a adoção de passkeys; pode passar dados via threeDSRequestorAuthenticationInfo. Esforço de integração necessário.
PSPs / Servidores 3DS
⚠️ Em implementação
✅ Avançando
SPC: Requer pilha EMV 3DS v2.3+ e lógica de navegador. Os primeiros a adotar relatam benefícios. FIDO Geral: Uso crescente para login; pode passar dados via threeDSRequestorAuthenticationInfo. Esforço de integração necessário.
Servidores de Diretório dos Esquemas
✅ Pronto
✅ Pronto
A infraestrutura (Visa, Mastercard, etc.) foi atualizada para mensagens EMV 3DS 2.3/2.3.1 (incluindo campos de dados SPC e FIDO) desde 2021, muito antes de as passkeys se tornarem populares.
O que isso significa na prática (Maio de 2025)
O principal fator limitante para a adoção do SPC é a camada do
user-agent (navegador):
Safari (macOS & iOS): ❌ O WebKit ainda não possui o método de Requisição de
Pagamento secure-payment-confirmation. Qualquer site visitado no Safari deve recorrer
a outros métodos de autenticação (OTP, OOB, potencialmente experiências WebAuthn
não-SPC). A Apple não manifestou interesse em implementar a extensão.
Chrome / Edge (Chromium): ⚠️ O SPC básico (criação de credencial + autenticação) é
estável, mas as chaves ainda não são armazenadas em
autenticadores de hardware e só foram usadas em pilotos. Os
implementadores devem esperar possíveis alterações disruptivas e estar preparados para
restringir a funcionalidade com base em verificações de disponibilidade da API (por
exemplo, canMakePayment()) ou flags de recursos.
Firefox: ❌ A equipe sinalizou interesse, mas não tem um cronograma de implementação
comprometido; os comerciantes devem planejar caminhos de fallback adequados.
Como a infraestrutura do emissor (ACS, servidores
FIDO) e os servidores de diretório dos esquemas estão em grande parte prontos ou avançando
rapidamente, e as ferramentas de
comerciante/PSP estão se tornando
disponíveis, a principal barreira para o uso generalizado do SPC é o suporte do
navegador. Assim que a cobertura dos navegadores melhorar, as tarefas restantes envolvem
principalmente a integração de
comerciante/PSP (atualização para EMV
3DS v2.3+, adição da lógica de invocação do SPC, tratamento do fluxo de duas AReqs) e a
ampliação do registro de passkeys pelos emissores especificamente para contextos de
pagamento.
Por enquanto, espere que o SPC apareça apenas para uma fatia limitada das transações.
Até que o Safari (e, portanto, todo o ecossistema iOS) ofereça suporte, o SPC não poderá
alcançar o suporte de mercado.
6. Conclusão e Recomendações Estratégicas#
6.1 Resumo: Foco no Fluxo Sem Atrito Agora, Preparação para o SPC Mais Tarde#
A análise revela uma clara divergência na prontidão das duas principais integrações FIDO
dentro do EMV 3DS em maio de 2025. Embora os elementos fundamentais para o Secure
Payment Confirmation (SPC) como método de desafio estejam avançando – particularmente as
capacidades do emissor/ACS e a prontidão dos esquemas – sua adoção generalizada é
significativamente prejudicada pelo gargalo crítico do suporte de navegadores, mais
notavelmente a falta de implementação no Safari da Apple (bloqueando todos os dispositivos
iOS/iPadOS) e no Firefox, juntamente com limitações
nas implementações atuais do Chromium. O SPC continua sendo um estado futuro promissor,
mas não é uma solução prática e onipresente hoje.
6.2 Recomendações para os Principais Participantes#
Com base no estado atual do ecossistema, as seguintes recomendações estão em vigor:
Comerciantes:
Priorize a Adoção de Passkeys: Implemente passkeys para login e autenticação de
usuários. Além de melhorar sua própria segurança e experiência do usuário (fatores
não detalhados aqui), isso cria os dados necessários para os fluxos sem atrito do
3DS.
Passe os Dados FIDO: Garanta que sua integração 3DS preencha corretamente o
campo threeDSRequestorAuthenticationInfo com detalhes de autenticações de passkey
prévias bem-sucedidas durante a sessão de checkout. Trabalhe com seu provedor de
PSP/Servidor 3DS para habilitar
isso.
Emissores:
Registre as Passkeys dos Usuários: Comece a oferecer e incentivar os titulares
de cartão a registrar passkeys diretamente com você (para acesso ao aplicativo do
banco, futuro SPC, etc.). Construa a
infraestrutura FIDO Relying Party
necessária.
Aproveite os Dados de Passkey do Comerciante Agora: Instrua seu fornecedor de
ACS a ingerir e utilizar os dados FIDO passados pelos comerciantes
(threeDSRequestorAuthenticationInfo) como um forte sinal positivo em seu motor de
RBA. Mantenha registros de passkeys de comerciantes confiáveis associadas aos
usuários, sempre que possível. Vise aumentar significativamente as aprovações sem
atrito para transações precedidas por uma forte autenticação de passkey do
comerciante.
Prepare-se para o SPC, Monitore Ativamente: Garanta que o roadmap do seu ACS
inclua suporte completo ao SPC do EMV 3DS v2.3.1+, mas trate-o como uma melhoria
futura. Monitore continuamente os desenvolvimentos dos navegadores (especialmente o
Safari) para avaliar quando o SPC pode se tornar viável em escala.
Fornecedores de ACS:
Aprimore o RBA com Inteligência de Passkey: Invista pesadamente na capacidade do
seu motor de RBA de processar e confiar nos
dados de FIDO/passkey fornecidos pelo comerciante.
Desenvolva lógica para rastrear o uso de passkeys em compras de comerciantes para um
determinado usuário/dispositivo. Armazene chaves públicas (do registro direto do
emissor) para verificar a integridade criptográfica dos dados de autenticação do
comerciante, se fornecidos. Vincule o uso bem-sucedido de passkeys diretamente a
taxas mais altas de aprovação sem atrito.
Construa Capacidades Robustas de SPC: Continue desenvolvendo e certificando o
suporte completo ao fluxo de desafio SPC (EMV 3DS v2.3.1+) em preparação para a
futura adoção pelo mercado.
Esquemas/Redes de Pagamento:
Promova os Dados FIDO para o Fluxo Sem Atrito: Promova ativamente e,
potencialmente, incentive a passagem e utilização de dados de autenticação FIDO do
comerciante (threeDSRequestorAuthenticationInfo) dentro do fluxo 3DS. Forneça
orientação clara e suporte a emissores e fornecedores de ACS sobre como aproveitar
esses dados de forma eficaz para RBA.
Continue a Defesa do SPC e o Engajamento com Navegadores: Mantenha os esforços
para padronizar e promover o SPC, engajando-se criticamente com os fornecedores de
navegadores (Apple, Mozilla, Google) para incentivar a implementação completa e
interoperável do padrão da API SPC.
6.3 Direção Estratégica Geral#
A oportunidade imediata e tangível reside em aprimorar o fluxo sem atrito,
aproveitando a crescente adoção de passkeys no
nível do comerciante. Todos os participantes do ecossistema devem priorizar a habilitação
da criação, transmissão e consumo inteligente desses dados de autenticação prévia dentro
da estrutura EMV 3DS existente. Este caminho oferece benefícios a curto prazo na redução
do atrito e, potencialmente, da fraude, sem esperar pelo suporte universal do navegador
para o SPC. Concomitantemente, preparar o terreno para o SPC – particularmente o registro
de passkeys pelo emissor e a prontidão do ACS – garante que o ecossistema esteja
posicionado para adotar este método de desafio superior assim que o gargalo do navegador
for resolvido.
Schedule a call to get your free enterprise passkey assessment.