Get your free and exclusive 80-page Banking Passkey Report
access control server passkeys

Servidor de Controle de Acesso EMV 3DS: Passkeys, FIDO e SPC

O cenário de fornecedores de ACS EMV 3DS: Saiba mais sobre dados de Passkeys e FIDO para fluxos sem atrito e a prontidão para o SPC em desafios de pagamento seguros.

Vincent Delitz

Vincent

Created: July 15, 2025

Updated: July 16, 2025


See the original blog version in English here.

WhitepaperBanking Icon

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

1. Introdução#

O cenário da autenticação em pagamentos online está passando por uma transformação significativa, impulsionada pela dupla necessidade de aprimorar a segurança contra fraudes sofisticadas e melhorar a experiência do usuário para reduzir o atrito e o abandono de carrinho. O protocolo EMV® 3-D Secure (3DS), especialmente suas versões mais recentes (EMV 3DS 2.x), serve como a tecnologia fundamental para autenticar transações de cartão não presente (CNP) globalmente. Gerenciado pela EMVCo, este protocolo facilita a troca de dados entre comerciantes, emissores (através de seu Servidor de Controle de Acesso - ACS) e o domínio de interoperabilidade (Servidores de Diretório operados por esquemas de pagamento) para verificar a identidade do titular do cartão.

Dentro dessa estrutura, dois avanços tecnológicos importantes relacionados aos padrões da FIDO (Fast Identity Online) Alliance estão surgindo:

  1. O uso de dados de autenticação FIDO gerados durante interações anteriores do usuário (por exemplo, login no site do comerciante) para enriquecer a avaliação de risco no fluxo sem atrito (frictionless flow) do EMV 3DS.
  2. A integração do Secure Payment Confirmation (SPC), um padrão web do W3C construído sobre FIDO/WebAuthn, como um método de "desafio" (challenge) simplificado e resistente a phishing dentro do fluxo EMV 3DS.

Este artigo oferece uma visão geral do mercado global de soluções de Servidor de Controle de Acesso (ACS) EMV 3DS fornecidas a bancos emissores. Ele identifica os principais fornecedores e tenta avaliar seu suporte atual tanto para estruturas de dados FIDO não-SPC quanto para o Secure Payment Confirmation (SPC) para fluxos de desafio. Além disso, esclarece o mecanismo pelo qual os emissores podem usar suas próprias passkeys FIDO para verificação criptográfica dentro do fluxo de desafio 3DS via SPC e discute a aplicabilidade global deste padrão.

2. Visão Geral do EMV 3DS, FIDO e SPC#

2.1 Fluxos Sem Atrito (Frictionless) vs. Fluxos de Desafio (Challenge) no EMV 3DS#

O EMV 3DS opera principalmente através de dois caminhos de autenticação distintos:

  • Fluxo Sem Atrito (Frictionless Flow): Este é o caminho preferido, visando uma experiência de usuário contínua. O ACS do emissor realiza uma avaliação de risco com base em um rico conjunto de dados trocados durante o início da transação (através da Mensagem de Requisição de Autenticação, ou AReq). Esses dados incluem detalhes da transação, informações do comerciante, características do dispositivo, dados do navegador (potencialmente coletados através do JavaScript 3DSMethod) e, possivelmente, informações de autenticação prévias. Se o risco for considerado baixo, a transação é autenticada sem exigir qualquer interação direta ou "desafio" do titular do cartão. Este fluxo representa a maioria das transações 3DS, especialmente onde os motores de risco estão bem ajustados.
  • Fluxo de Desafio (Challenge Flow): Se o ACS determinar que o risco da transação é alto, ou se for exigido por regulamentações (como a PSD2 SCA na Europa) ou pela política do emissor, o titular do cartão é ativamente desafiado a verificar sua identidade. Métodos de desafio tradicionais incluem senhas de uso único (OTP) enviadas por SMS, perguntas baseadas em conhecimento ou autenticação Out-of-Band (OOB) através de um aplicativo de banco. O objetivo das versões mais recentes do 3DS e tecnologias relacionadas como o SPC é tornar este fluxo de desafio mais seguro e menos complicado do que os métodos legados.

2.2 O Papel dos Dados FIDO (Não-SPC) na Melhoria do Fluxo Sem Atrito#

A EMVCo e a FIDO Alliance colaboraram para definir uma maneira padronizada para os comerciantes passarem informações sobre autenticações FIDO anteriores (onde o comerciante atuou como a Relying Party, por exemplo, durante o login do usuário) para o ACS do emissor dentro da mensagem AReq padrão do 3DS. Este mecanismo, suportado pela primeira vez no EMV 3DS v2.1, utiliza campos específicos dentro da AReq, principalmente a estrutura threeDSRequestorAuthenticationInfo, que contém subcampos como threeDSRequestorAuthenticationData.

A Nota Técnica da FIDO Alliance e o white paper relacionado da EMVCo especificam uma estrutura JSON para este campo threeDSRequestorAuthenticationData ao transmitir detalhes de autenticação FIDO prévia. Este objeto JSON inclui detalhes como o tempo de autenticação (authTime), o ID da Relying Party FIDO (rpId ou appId) e informações sobre o(s) autenticador(es) usados, incluindo a chave pública, AAGUID/AAID e indicadores de presença do usuário (UP) e verificação do usuário (UV).

A lógica é que, se um comerciante realizou recentemente uma autenticação FIDO forte (por exemplo, usando biometria ou uma passkey) para a sessão do usuário que iniciou a compra, essa informação pode servir como um valioso sinal de risco adicional para o ACS do emissor. Ao receber e processar esses dados FIDO padronizados, o ACS pode ganhar maior confiança na legitimidade da transação, aumentando a probabilidade de uma aprovação sem atrito e reduzindo a necessidade de um desafio separado. É importante notar que, neste cenário, o comerciante é a FIDO RP, e o emissor consome esses dados como uma entrada para seu motor de risco; o emissor não verifica criptograficamente a asserção FIDO em si dentro deste fluxo sem atrito. O ACS mantém a opção de ignorar esses dados se não estiver configurado para processá-los.

2.3 O Papel do Secure Payment Confirmation no Fluxo de Desafio#

O Secure Payment Confirmation (SPC) representa uma integração distinta dos padrões FIDO dentro do fluxo de desafio do EMV 3DS. O SPC é um padrão web do W3C, desenvolvido em colaboração com a FIDO e a EMVCo, e construído sobre o WebAuthn. Ele é formalmente suportado no EMV 3DS a partir da versão 2.3.

Quando o SPC é usado como método de desafio:

  1. O emissor (ou uma parte explicitamente delegada pelo emissor, como um esquema de pagamento) funciona como a FIDO Relying Party (RP). Isso é fundamentalmente diferente do fluxo de dados FIDO não-SPC descrito anteriormente, onde o comerciante normalmente atua como a RP para seus próprios propósitos de login/autenticação.
  2. Durante o desafio 3DS, o ACS sinaliza a necessidade de SPC e fornece os identificadores de credencial FIDO necessários e um desafio criptográfico ao comerciante/Servidor 3DS.
  3. O sistema do comerciante invoca a API SPC do navegador, apresentando os detalhes da transação (valor, moeda, beneficiário, instrumento) ao usuário em um diálogo seguro controlado pelo navegador.
  4. O usuário se autentica usando seu autenticador FIDO (por exemplo, biometria do dispositivo, PIN, chave de segurança), que assina os detalhes da transação e o desafio usando a chave privada associada à passkey registrada pelo emissor.
  5. A asserção FIDO resultante (prova criptográfica de autenticação e consentimento) é enviada de volta através do protocolo 3DS (geralmente por meio de uma segunda mensagem AReq) para o ACS do emissor.
  6. O ACS, como a RP, valida criptograficamente a asserção usando a chave pública correspondente, confirmando a identidade do titular do cartão e o consentimento para os detalhes específicos da transação.

O SPC visa proporcionar uma experiência de desafio que seja mais segura (resistente a phishing, vinculação dinâmica da autenticação aos dados da transação) e potencialmente com menos atrito (geralmente mais rápida que a digitação de OTP) em comparação com os métodos tradicionais.

Os dois caminhos para a integração FIDO — um aproveitando dados de autenticação prévia do comerciante para avaliação de risco sem atrito, e o outro usando credenciais gerenciadas pelo emissor para um desafio direto baseado em FIDO via SPC — oferecem abordagens distintas para aprimorar a segurança e a experiência do usuário dentro da estrutura EMV 3DS. Entender o suporte dos fornecedores para cada um é crucial para emissores e PSPs que planejam suas estratégias de autenticação.

3. Análise dos Principais Fornecedores de ACS EMV 3DS#

Esta seção analisa as capacidades dos provedores globais de soluções de ACS EMV 3DS, focando em sua presença de mercado e suporte para dados FIDO (não-SPC) e Secure Payment Confirmation (SPC). Números precisos de participação de mercado são proprietários e difíceis de obter publicamente; portanto, a presença é avaliada com base em alegações de fornecedores, certificações, parcerias, alcance geográfico e relatórios de mercado.

3.1 Entersekt (incorporando Modirum) 3DS ACS#

  • Presença de Mercado: A Entersekt, especialmente após a aquisição do negócio de software 3DS da Modirum em dezembro de 2023, se posiciona como um fornecedor global líder de soluções EMV 3DS, visando uma posição entre os cinco maiores do mercado. A Modirum tinha mais de 20 anos de experiência em 3DS. A Entersekt destaca um crescimento recorde impulsionado por novos clientes, especialmente na América do Norte, e parcerias estratégicas, incluindo uma relação expandida com a Mastercard. Eles afirmam proteger mais de 2,5 bilhões de transações anualmente (dados do ano fiscal de 2024) e são classificados como nº 1 na prevenção de ATO em bancos pela Liminal. Seu ACS está disponível hospedado (pela Entersekt ou pelo cliente) ou on-premise. Eles atendem emissores e processadores globalmente.
  • Suporte a Dados FIDO Não-SPC (Frictionless): A Entersekt enfatiza sua Autenticação Context Aware™, análise de dispositivo e comportamental para sinais de risco, e integração com vários serviços de pontuação de risco. Seu ACS é certificado FIDO EMVCo 2.2. Embora destaquem o uso de dados de inteligência de risco e comportamental para RBA, a confirmação explícita do processamento dos dados de atestado FIDO padronizados de autenticações prévias de comerciantes no campo threeDSRequestorAuthenticationInfo para aprimoramento do fluxo sem atrito não é declarada explicitamente nos materiais online. No entanto, seu foco em autenticação avançada e sinais de risco sugere capacidade.
  • Suporte a SPC (Challenge): Fortes indicadores sugerem que a Entersekt suporta SPC. A Modirum, cujo negócio 3DS foi adquirido pela Entersekt, forneceu componentes para o piloto de SPC da Visa usando 3DS 2.2 com extensões. A Entersekt lista explicitamente o suporte à conformidade com SPC como parte de suas capacidades de conformidade regulatória. Seu ACS suporta autenticação biométrica, é certificado para EMV 3DS 2.2 e provavelmente incorpora capacidades do envolvimento da Modirum no piloto. A combinação da aquisição da Modirum, menção explícita da conformidade com SPC e certificação FIDO aponta fortemente para o suporte a SPC em sua oferta atual.

3.2 Broadcom (Arcot) 3DS ACS#

  • Presença de Mercado: A Arcot da Broadcom é um player fundamental no mercado 3DS, tendo co-inventado o protocolo original com a Visa. Eles se posicionam como um líder global reconhecido, atendendo mais de 5.000 instituições financeiras em todo o mundo e processando transações de 229 países. Sua Rede Arcot enfatiza uma vasta abordagem de dados de consórcio (alegando mais de 600 milhões de assinaturas de dispositivos, 150 trilhões de pontos de dados) para alimentar seus motores de pontuação de fraude e risco. Eles têm uma forte presença na Europa, Austrália e América do Norte.
  • Suporte a Dados FIDO Não-SPC (Frictionless): A Broadcom enfatiza fortemente a riqueza de sua rede de dados e o uso de IA/redes neurais para detecção de fraudes e avaliação baseada em risco, indo além dos elementos de dados padrão do EMV 3DS. Eles afirmam explicitamente que sua solução aproveita dados que fluem por múltiplos emissores e incorpora dados digitais como dispositivo e geolocalização. Embora não mencionem explicitamente o processamento da estrutura JSON específica da FIDO do threeDSRequestorAuthenticationData, seu foco em ingerir diversos pontos de dados para RBA sugere fortemente que eles poderiam consumir tais dados se fornecidos, alinhando-se com a intenção da orientação EMVCo/FIDO. Sua plataforma visa maximizar as aprovações sem atrito através de uma avaliação de risco superior.
  • Suporte a SPC (Challenge): A documentação da Broadcom confirma o suporte para autenticadores FIDO (Chave de Segurança, Biometria, Passkey) dentro de sua suíte mais ampla VIP Authentication Hub / Identity Security. Seu 3DS ACS suporta vários métodos de desafio, incluindo OTPs e notificações push, e eles mencionam suporte para biometria. Eles também oferecem capacidades de Autenticação Delegada e introduziram recursos de avaliação de risco pós-desafio. No entanto, a confirmação explícita de que seu produto EMV 3DS ACS atualmente suporta SPC como um método de desafio específico (exigindo capacidades EMV 3DS v2.3+ e o fluxo de duas AReqs) está ausente na documentação fornecida. Embora sejam um grande player provavelmente capaz de implementá-lo, o material público atual foca mais em seu motor de RBA e métodos de desafio tradicionais/OOB.

3.3 Netcetera 3DS ACS#

  • Presença de Mercado: A Netcetera se posiciona como um importante player internacional de pagamentos, particularmente forte na Europa e no Oriente Médio. Eles afirmam que seu ACS é usado por mais de 800 bancos/emissores, protegendo mais de 50 milhões de cartões em todo o mundo. Eles enfatizam certificações com todas as principais redes de cartões (Visa, Mastercard, Amex, Discover, JCB, UnionPay, etc.) e conformidade com PCI. Eles foram notavelmente o primeiro fornecedor de ACS no mundo a obter a certificação EMV 3DS 2.3.1.
  • Suporte a Dados FIDO Não-SPC (Frictionless): A documentação da Netcetera destaca a importância dos dados coletados via 3DSMethod para a avaliação de risco do ACS para aumentar a autenticação sem atrito. Eles oferecem integração com ferramentas de risco. No entanto, a confirmação específica do processamento de dados de autenticação FIDO prévios do comerciante (de threeDSRequestorAuthenticationInfo) para avaliação de risco não é explicitamente mencionada nos materiais revisados.
  • Suporte a SPC (Challenge): A Netcetera demonstra forte suporte para SPC. Eles foram o primeiro fornecedor globalmente certificado para EMV 3DS 2.3.1, a versão que incorpora o SPC. Eles participaram do piloto de SPC da Visa, fornecendo os componentes v2.3.1. A documentação de seu produto define explicitamente o SPC. Eles realizaram webinars discutindo a integração de FIDO e SPC e publicaram artigos destacando os benefícios do SPC. Essa combinação de certificação, participação em pilotos e documentação explícita confirma seu suporte para desafios SPC.

3.4 Worldline 3DS ACS#

  • Presença de Mercado: A Worldline se posiciona como líder europeia em serviços de pagamento e transacionais e um importante player global (alegando o status de 4º maior player de pagamentos do mundo). Eles processam bilhões de transações anualmente e enfatizam a conformidade garantida, o controle de fraudes usando IA/ML e a escalabilidade. Seu ACS é declarado como certificado EMV 3DS e compatível com os principais esquemas (Visa Secure, Mastercard Identity Check) e PSD2. Eles relatam processar mais de 2,4 bilhões de transações 3DS anualmente para mais de 100 emissores.
  • Suporte a Dados FIDO Não-SPC (Frictionless): A oferta de ACS da Worldline inclui um motor de regras RBA que permite aos emissores configurar fluxos sem atrito ou de desafio com base no risco. Sua solução mais ampla "Trusted Authentication" aproveita a inteligência de dispositivo e a análise comportamental. Embora suportem FIDO em geral, a confirmação explícita do processamento de dados FIDO prévios do comerciante (não-SPC) dentro do ACS para avaliação de risco não é detalhada nos trechos fornecidos.
  • Suporte a SPC (Challenge): A Worldline mostra indicações claras de suporte ao SPC. Sua documentação reconhece a evolução do EMV 3DS 2.3 para incluir SPC/FIDO. Eles comercializam explicitamente sua solução "WL Trusted Authentication" como suporte à autenticação FIDO e oferecem um "WL FIDO Server" adequado para "casos de uso 3DS, com emvCO2.3 e SPC.

3.5 GPayments 3DS ACS#

  • Presença de Mercado: A GPayments posiciona o ActiveAccess como uma "plataforma robusta de Servidor de Controle de Acesso (ACS) líder de mercado" com mais de 20 anos no espaço 3D Secure. Eles são certificados com os principais esquemas de cartão (Visa Secure, Mastercard Identity Check, JCB J/Secure) tanto para 3DS1 quanto para EMV 3DS. Sua solução pode ser implantada on-premise ou hospedada na nuvem. Relatórios de mercado identificam a GPayments como um player notável que oferece soluções de ACS.
  • Suporte a Dados FIDO Não-SPC (Frictionless): O ActiveAccess suporta integração com soluções de RBA de terceiros e utiliza vários parâmetros para sua própria avaliação de risco. No entanto, a documentação fornecida não menciona explicitamente o suporte para ingerir ou usar dados de autenticação FIDO prévios do comerciante (não-SPC) para avaliação de risco sem atrito.
  • Suporte a SPC (Challenge): A documentação revisada para o ActiveAccess não menciona explicitamente o suporte para Secure Payment Confirmation (SPC), desafios WebAuthn ou desafios FIDO como parte de suas capacidades de fluxo de desafio. Embora suportem vários métodos de autenticação, incluindo OOB (que pode abranger biometria), o suporte específico ao SPC não está claro a partir das informações disponíveis.

3.6 Visa (Visa Secure) 3DS ACS#

  • Presença de Mercado: A Visa, como uma grande rede de pagamento global, define o programa Visa Secure com base no padrão EMV 3DS. Eles foram pioneiros no protocolo 3DS original. Em vez de atuar principalmente como um fornecedor direto de ACS da mesma forma que empresas de tecnologia como Entersekt ou Broadcom, a Visa opera o programa e depende de uma lista de fornecedores 3DS aprovados (incluindo provedores de ACS) cujos produtos são certificados como compatíveis com as regras do EMV 3DS e do Visa Secure. Os emissores normalmente adquirem soluções de ACS desses fornecedores certificados. A própria Visa foca na rede (Servidor de Diretório), definindo regras do programa, promovendo a adoção e impulsionando inovações como os pilotos de SPC.
  • Suporte a Dados FIDO Não-SPC (Frictionless): O Visa Secure, baseado no EMV 3DS, suporta inerentemente a troca de dados ricos para avaliação de risco para permitir o fluxo sem atrito. A estrutura EMVCo/FIDO para passar dados FIDO prévios opera dentro do ecossistema Visa Secure se o fornecedor de ACS escolhido suportar o processamento deles.
  • Suporte a SPC (Challenge): A Visa está ativamente envolvida em pilotar e promover o SPC. Eles estão trabalhando com parceiros (como Netcetera e Modirum/Entersekt em pilotos) para testar e refinar o fluxo SPC dentro do protocolo 3DS. Este forte engajamento indica suporte estratégico para o SPC como um método de desafio dentro do programa Visa Secure, dependendo da prontidão do ecossistema (suporte de ACS, comerciante, navegador).

3.7 Mastercard (Identity Check) 3DS ACS#

  • Presença de Mercado: Semelhante à Visa, a Mastercard opera o programa Mastercard Identity Check baseado no EMV 3DS. Eles oferecem opções para emissores e comerciantes, incluindo processamento stand-in e potencialmente aproveitando parceiros ou subsidiárias como a NuData. A Mastercard adquiriu a NuData Security, uma empresa de biometria comportamental, em 2017, aprimorando suas capacidades de avaliação de risco. Eles também enfatizam a inovação contínua em biometria, RBA e IA. Como a Visa, eles dependem de fornecedores certificados para componentes principais de ACS, mas podem oferecer serviços agrupados ou aproveitar tecnologia adquirida.
  • Suporte a Dados FIDO Não-SPC (Frictionless): O Mastercard Identity Check aproveita a rica troca de dados do EMV 3DS 2.x para uma melhor tomada de decisão de risco e fluxo sem atrito. Sua aquisição da NuData sugere um forte foco em análise comportamental como parte desta avaliação de risco. O suporte para processar dados FIDO prévios do comerciante dependeria da implementação específica do ACS usada pelo emissor dentro do programa Identity Check.
  • Suporte a SPC (Challenge): A Mastercard é um membro chave da EMVCo e está envolvida no desenvolvimento dos padrões EMV 3DS, incluindo a v2.3 que suporta SPC. Eles também estão promovendo a adoção de passkeys de forma mais ampla. Mais detalhes podem ser encontrados aqui. Eles são fortes apoiadores do SPC e impulsionam métodos de autenticação modernos.

3.8 Outros Fornecedores de ACS 3DS#

O mercado de ACS EMV 3DS apresenta inúmeros provedores além dos detalhados acima. Fornecedores como /n software, RSA, 2C2P, 3dsecure.io, Adyen, ACI Worldwide, Computop e outros também oferecem soluções certificadas ou desempenham papéis significativos em regiões ou segmentos específicos. Esta análise visa cobrir players globais proeminentes, mas não é exaustiva devido à natureza dinâmica do mercado. As capacidades dos fornecedores, particularmente em relação a padrões emergentes como o SPC, evoluem rapidamente. Se você notar alguma imprecisão ou tiver informações atualizadas sobre o suporte de fornecedores para dados FIDO ou Secure Payment Confirmation, por favor, entre em contato para que possamos garantir que esta visão geral permaneça atual e precisa.

4. Autenticação de Passkey do Emissor via Secure Payment Confirmation#

4.1 Mecanismo Explicado: Emissor como Relying Party#

Um princípio central do uso do Secure Payment Confirmation (SPC) dentro do fluxo de desafio do EMV 3DS é que o emissor do cartão (ou uma parte explicitamente delegada pelo emissor, como um esquema de pagamento) funciona como a FIDO Relying Party (RP). Isso é fundamentalmente diferente do fluxo de dados FIDO não-SPC descrito anteriormente, onde o comerciante normalmente atua como a RP para seus próprios propósitos de login/autenticação.

Para que o SPC funcione em um desafio 3DS, as seguintes etapas estão envolvidas:

  1. Registro (Enrollment): O titular do cartão deve primeiro registrar um autenticador FIDO (por exemplo, biometria do dispositivo como impressão digital/ID facial, PIN do dispositivo ou uma chave de segurança externa) com seu banco emissor. Este processo cria uma passkey, onde a chave pública e um identificador de credencial único são armazenados pelo emissor e associados à conta do titular do cartão ou a um cartão de pagamento específico. O registro pode ocorrer no aplicativo móvel do banco, no portal de banco online ou, potencialmente, ser oferecido após um desafio 3DS tradicional bem-sucedido. Crucialmente, para que o SPC seja invocado por um terceiro, como o site de um comerciante, a credencial deve ser criada com o consentimento explícito do usuário, permitindo seu uso em tais contextos, muitas vezes envolvendo extensões WebAuthn específicas durante o registro.
  2. Autenticação (durante o Desafio 3DS):
    • Quando uma transação 3DS aciona um desafio, e o emissor/ACS suporta e seleciona o SPC, o ACS identifica o(s) ID(s) de credencial FIDO relevante(s) vinculado(s) ao titular do cartão e ao dispositivo.
    • O ACS inclui esse(s) ID(s) de credencial, juntamente com um desafio criptográfico único e detalhes da transação (valor, moeda, nome/origem do beneficiário, ícone/nome de exibição do instrumento), na Resposta de Autenticação (ARes) enviada de volta ao Servidor 3DS/Solicitante.
    • O componente Solicitante 3DS do comerciante usa essa informação da ARes para invocar a API SPC do navegador.
    • O navegador apresenta um diálogo padronizado e seguro exibindo os detalhes da transação fornecidos pelo ACS.
    • O usuário confirma a transação e se autentica usando seu autenticador FIDO registrado (por exemplo, tocando em um sensor de impressão digital, reconhecimento facial, inserindo o PIN do dispositivo, tocando em uma chave de segurança). Essa ação desbloqueia a chave privada armazenada com segurança no dispositivo/autenticador.
    • O autenticador assina os detalhes da transação apresentados e o desafio criptográfico recebido do ACS.
    • O navegador retorna a asserção FIDO resultante (a carga de dados assinada) para o Solicitante 3DS do comerciante.
    • O Solicitante 3DS transmite essa asserção de volta para o ACS do Emissor, geralmente encapsulada em uma segunda mensagem AReq.
    • O Emissor/ACS, atuando como a Relying Party autoritativa, usa a chave pública do titular do cartão, armazenada anteriormente, para verificar criptograficamente a assinatura na asserção. A verificação bem-sucedida confirma que o titular legítimo do cartão, usando seu autenticador registrado, aprovou os detalhes específicos da transação apresentados.

4.2 Fluxo do Protocolo EMV 3DS com Desafio SPC#

A integração do SPC no fluxo de desafio do EMV 3DS exige modificações na sequência de mensagens padrão, geralmente envolvendo duas trocas de AReq/ARes:

  1. Requisição de Autenticação Inicial (AReq #1): O comerciante/Servidor 3DS inicia o processo 3DS enviando uma AReq contendo dados da transação e do dispositivo. Para sinalizar a capacidade para SPC, a requisição pode incluir um indicador como threeDSRequestorSpcSupport definido como 'Y' (ou similar, dependendo da implementação do fornecedor de ACS).
  2. Resposta de Autenticação Inicial (ARes #1): Se o ACS determinar que um desafio é necessário e optar pelo SPC, ele responde com uma ARes indicando isso. O transStatus pode ser definido como 'S' (indicando SPC necessário) ou outro valor específico. Esta ARes contém a carga de dados necessária para a chamada da API SPC.
  3. Invocação da API SPC e Autenticação FIDO: O componente Solicitante 3DS do comerciante recebe a ARes #1 e usa a carga de dados para invocar a API SPC do navegador. O usuário interage com seu autenticador através da interface segura do navegador.
  4. Retorno da Asserção FIDO: Após a autenticação bem-sucedida do usuário, o navegador retorna os dados da asserção FIDO para o Solicitante 3DS.
  5. Segunda Requisição de Autenticação (AReq #2): O Solicitante 3DS constrói e envia uma segunda mensagem AReq para o ACS. O objetivo principal desta mensagem é transportar os dados da asserção FIDO. Geralmente inclui:
    • ReqAuthData: Contendo a asserção FIDO.
    • ReqAuthMethod: Definido como '09' (ou o valor designado para asserção SPC/FIDO).
    • Potencialmente o valor AuthenticationInformation da ARes #1 para vincular as requisições.
    • Opcionalmente, um SPCIncompletionIndicator se a chamada da API SPC falhar ou expirar.
  6. Resposta de Autenticação Final (ARes #2): O ACS recebe a AReq #2, valida a asserção FIDO usando a chave pública do titular do cartão e determina o resultado final da autenticação. Ele envia de volta a ARes #2 contendo o status definitivo da transação (por exemplo, transStatus = 'Y' para Autenticação Bem-sucedida, 'N' para Falha).

Este fluxo de duas AReqs representa um desvio dos métodos de desafio 3DS tradicionais (como OTP ou OOB tratados via mensagens CReq/CRes ou RReq/RRes), que geralmente são concluídos no ciclo inicial de AReq/ARes após o recebimento de um transStatus = 'C'. Embora a parte de interação do usuário do SPC (leitura biométrica, entrada de PIN) seja muitas vezes significativamente mais rápida do que digitar um OTP, a introdução de uma segunda rodada completa de AReq/ARes adiciona latência de rede entre o Servidor 3DS, o Servidor de Diretório e o ACS. Implementadores e fornecedores devem otimizar cuidadosamente este fluxo e lidar com possíveis timeouts para garantir que o tempo total da transação de ponta a ponta permaneça competitivo e atenda às expectativas do usuário.

5. Considerações do Ecossistema para o SPC#

5.1 SPC como um Padrão Global (W3C/EMVCo)#

O Secure Payment Confirmation está posicionado para adoção global devido à sua dupla padronização. Ele é formalmente definido como um padrão web pelo World Wide Web Consortium (W3C), tendo alcançado o status de Candidate Recommendation em meados de 2023, com trabalho contínuo para se tornar uma Recomendação completa. Simultaneamente, o SPC foi integrado às especificações do EMV® 3-D Secure a partir da versão 2.3, gerenciada pela EMVCo, o órgão técnico global para padrões de pagamento. Essa integração garante que o SPC funcione dentro da estrutura global estabelecida para autenticação de transações CNP. A colaboração entre W3C, FIDO Alliance e EMVCo ressalta o esforço de toda a indústria para criar padrões interoperáveis para pagamentos online seguros e fáceis de usar.

5.2 Aplicabilidade Além de Mandatos Regulatórios (por exemplo, EUA, Canadá)#

Embora o design do SPC, particularmente sua capacidade de vincular criptograficamente a autenticação do usuário a detalhes específicos da transação ("vinculação dinâmica"), ajude a satisfazer os requisitos de Autenticação Forte do Cliente (SCA) sob regulamentações como a Diretiva de Serviços de Pagamento da Europa (PSD2), sua utilidade não se limita a essas regiões com mandatos. O SPC é um padrão técnico global aplicável em qualquer mercado, incluindo os Estados Unidos e o Canadá, desde que os componentes necessários do ecossistema estejam implementados.

Em mercados sem mandatos explícitos de SCA para cada transação, os principais impulsionadores para a adoção do SPC são:

  • Melhor Experiência do Usuário: Oferecer um método de desafio potencialmente mais rápido e conveniente (por exemplo, usando biometria do dispositivo) em comparação com OTPs tradicionais ou perguntas baseadas em conhecimento, reduzindo potencialmente o abandono de carrinho. Pilotos mostraram reduções significativas no tempo de autenticação em comparação com desafios tradicionais.
  • Segurança Aprimorada: A autenticação baseada em FIDO inerente ao SPC é resistente a ataques de phishing, credential stuffing e outras ameaças comuns que visam senhas e OTPs.

Portanto, emissores e comerciantes em regiões como a América do Norte podem optar por implementar o SPC estrategicamente para aprimorar a segurança e fornecer uma melhor experiência ao cliente, mesmo sem uma exigência regulatória para todas as transações.

5.3 Dependências e Prontidão do Ecossistema para SPC e FIDO/Passkeys#

A implementação bem-sucedida e a adoção generalizada do Secure Payment Confirmation (SPC) dependem fortemente da prontidão coordenada de múltiplos componentes do ecossistema de pagamentos. Embora os padrões FIDO subjacentes e a tecnologia de passkeys estejam amadurecendo rapidamente, o suporte específico a nível de navegador para a API SPC e a integração completa em toda a cadeia de pagamentos continuam sendo obstáculos críticos. Outros players do ecossistema estão, em geral, avançando bem.

Resumo da Prontidão do Ecossistema (Status em Maio de 2025)

Ator do EcossistemaProntidão para SPCProntidão para FIDO/Passkeys (Geral)Observações Principais (Maio de 2025)
Dispositivos e Autenticadores do Usuário❌ Não usado✅ ProntoPraticamente todo laptop, celular e chave de segurança modernos vêm com autenticadores FIDO2/WebAuthn. Bilhões já estão disponíveis para os consumidores. O hardware não é o gargalo.
Navegadores Web (Software)❌ Gargalo✅ ProntoSPC: Chromium (Chrome/Edge ≥ 95) suporta a linha de base do SPC v1, mas recursos avançados são experimentais. Safari (macOS & iOS) e Firefox NÃO oferecem suporte ao SPC. FIDO/Passkey Geral: Suporte completo ao WebAuthn nos principais navegadores para login, etc.
Emissores e Fornecedores de ACS⚠️ Avançando✅ AvançandoSPC: Líderes de mercado certificados para EMV 3DS 2.3.1 podem executar SPC; outros estão passando de piloto para produção. FIDO Geral: Muitos suportam FIDO para autenticação de app/OOB; a capacidade de ingestão de dados RBA existe, mas a adoção varia. Requer infraestrutura de servidor FIDO/RP.
Comerciantes❌ Sem suporte✅ AvançandoSPC: Requer pilha EMV 3DS v2.3+ e lógica de navegador. Os primeiros a adotar relatam benefícios. FIDO Geral: Uso crescente para login com a adoção de passkeys; pode passar dados via threeDSRequestorAuthenticationInfo. Esforço de integração necessário.
PSPs / Servidores 3DS⚠️ Em implementação✅ AvançandoSPC: Requer pilha EMV 3DS v2.3+ e lógica de navegador. Os primeiros a adotar relatam benefícios. FIDO Geral: Uso crescente para login; pode passar dados via threeDSRequestorAuthenticationInfo. Esforço de integração necessário.
Servidores de Diretório dos Esquemas✅ Pronto✅ ProntoA infraestrutura (Visa, Mastercard, etc.) foi atualizada para mensagens EMV 3DS 2.3/2.3.1 (incluindo campos de dados SPC e FIDO) desde 2021, muito antes de as passkeys se tornarem populares.

O que isso significa na prática (Maio de 2025)

O principal fator limitante para a adoção do SPC é a camada do user-agent (navegador):

  • Safari (macOS & iOS): ❌ O WebKit ainda não possui o método de Requisição de Pagamento secure-payment-confirmation. Qualquer site visitado no Safari deve recorrer a outros métodos de autenticação (OTP, OOB, potencialmente experiências WebAuthn não-SPC). A Apple não manifestou interesse em implementar a extensão.
  • Chrome / Edge (Chromium): ⚠️ O SPC básico (criação de credencial + autenticação) é estável, mas as chaves ainda não são armazenadas em autenticadores de hardware e só foram usadas em pilotos. Os implementadores devem esperar possíveis alterações disruptivas e estar preparados para restringir a funcionalidade com base em verificações de disponibilidade da API (por exemplo, canMakePayment()) ou flags de recursos.
  • Firefox: ❌ A equipe sinalizou interesse, mas não tem um cronograma de implementação comprometido; os comerciantes devem planejar caminhos de fallback adequados.

Como a infraestrutura do emissor (ACS, servidores FIDO) e os servidores de diretório dos esquemas estão em grande parte prontos ou avançando rapidamente, e as ferramentas de comerciante/PSP estão se tornando disponíveis, a principal barreira para o uso generalizado do SPC é o suporte do navegador. Assim que a cobertura dos navegadores melhorar, as tarefas restantes envolvem principalmente a integração de comerciante/PSP (atualização para EMV 3DS v2.3+, adição da lógica de invocação do SPC, tratamento do fluxo de duas AReqs) e a ampliação do registro de passkeys pelos emissores especificamente para contextos de pagamento.

Por enquanto, espere que o SPC apareça apenas para uma fatia limitada das transações. Até que o Safari (e, portanto, todo o ecossistema iOS) ofereça suporte, o SPC não poderá alcançar o suporte de mercado.

6. Conclusão e Recomendações Estratégicas#

6.1 Resumo: Foco no Fluxo Sem Atrito Agora, Preparação para o SPC Mais Tarde#

A análise revela uma clara divergência na prontidão das duas principais integrações FIDO dentro do EMV 3DS em maio de 2025. Embora os elementos fundamentais para o Secure Payment Confirmation (SPC) como método de desafio estejam avançando – particularmente as capacidades do emissor/ACS e a prontidão dos esquemas – sua adoção generalizada é significativamente prejudicada pelo gargalo crítico do suporte de navegadores, mais notavelmente a falta de implementação no Safari da Apple (bloqueando todos os dispositivos iOS/iPadOS) e no Firefox, juntamente com limitações nas implementações atuais do Chromium. O SPC continua sendo um estado futuro promissor, mas não é uma solução prática e onipresente hoje.

6.2 Recomendações para os Principais Participantes#

Com base no estado atual do ecossistema, as seguintes recomendações estão em vigor:

  • Comerciantes:
    • Priorize a Adoção de Passkeys: Implemente passkeys para login e autenticação de usuários. Além de melhorar sua própria segurança e experiência do usuário (fatores não detalhados aqui), isso cria os dados necessários para os fluxos sem atrito do 3DS.
    • Passe os Dados FIDO: Garanta que sua integração 3DS preencha corretamente o campo threeDSRequestorAuthenticationInfo com detalhes de autenticações de passkey prévias bem-sucedidas durante a sessão de checkout. Trabalhe com seu provedor de PSP/Servidor 3DS para habilitar isso.
  • Emissores:
    • Registre as Passkeys dos Usuários: Comece a oferecer e incentivar os titulares de cartão a registrar passkeys diretamente com você (para acesso ao aplicativo do banco, futuro SPC, etc.). Construa a infraestrutura FIDO Relying Party necessária.
    • Aproveite os Dados de Passkey do Comerciante Agora: Instrua seu fornecedor de ACS a ingerir e utilizar os dados FIDO passados pelos comerciantes (threeDSRequestorAuthenticationInfo) como um forte sinal positivo em seu motor de RBA. Mantenha registros de passkeys de comerciantes confiáveis associadas aos usuários, sempre que possível. Vise aumentar significativamente as aprovações sem atrito para transações precedidas por uma forte autenticação de passkey do comerciante.
    • Prepare-se para o SPC, Monitore Ativamente: Garanta que o roadmap do seu ACS inclua suporte completo ao SPC do EMV 3DS v2.3.1+, mas trate-o como uma melhoria futura. Monitore continuamente os desenvolvimentos dos navegadores (especialmente o Safari) para avaliar quando o SPC pode se tornar viável em escala.
  • Fornecedores de ACS:
    • Aprimore o RBA com Inteligência de Passkey: Invista pesadamente na capacidade do seu motor de RBA de processar e confiar nos dados de FIDO/passkey fornecidos pelo comerciante. Desenvolva lógica para rastrear o uso de passkeys em compras de comerciantes para um determinado usuário/dispositivo. Armazene chaves públicas (do registro direto do emissor) para verificar a integridade criptográfica dos dados de autenticação do comerciante, se fornecidos. Vincule o uso bem-sucedido de passkeys diretamente a taxas mais altas de aprovação sem atrito.
    • Construa Capacidades Robustas de SPC: Continue desenvolvendo e certificando o suporte completo ao fluxo de desafio SPC (EMV 3DS v2.3.1+) em preparação para a futura adoção pelo mercado.
  • Esquemas/Redes de Pagamento:
    • Promova os Dados FIDO para o Fluxo Sem Atrito: Promova ativamente e, potencialmente, incentive a passagem e utilização de dados de autenticação FIDO do comerciante (threeDSRequestorAuthenticationInfo) dentro do fluxo 3DS. Forneça orientação clara e suporte a emissores e fornecedores de ACS sobre como aproveitar esses dados de forma eficaz para RBA.
    • Continue a Defesa do SPC e o Engajamento com Navegadores: Mantenha os esforços para padronizar e promover o SPC, engajando-se criticamente com os fornecedores de navegadores (Apple, Mozilla, Google) para incentivar a implementação completa e interoperável do padrão da API SPC.

6.3 Direção Estratégica Geral#

A oportunidade imediata e tangível reside em aprimorar o fluxo sem atrito, aproveitando a crescente adoção de passkeys no nível do comerciante. Todos os participantes do ecossistema devem priorizar a habilitação da criação, transmissão e consumo inteligente desses dados de autenticação prévia dentro da estrutura EMV 3DS existente. Este caminho oferece benefícios a curto prazo na redução do atrito e, potencialmente, da fraude, sem esperar pelo suporte universal do navegador para o SPC. Concomitantemente, preparar o terreno para o SPC – particularmente o registro de passkeys pelo emissor e a prontidão do ACS – garante que o ecossistema esteja posicionado para adotar este método de desafio superior assim que o gargalo do navegador for resolvido.

Schedule a call to get your free enterprise passkey assessment.

Talk to a Passkey Expert

Share this article


LinkedInTwitterFacebook

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Related Articles