--- url: 'https://www.corbado.com/pt/blog/servidor-controle-acesso-emv-3ds-passkeys-fido-spc' title: 'Servidor de Controle de Acesso EMV 3DS: Passkeys, FIDO e SPC' description: 'O cenário de fornecedores de ACS EMV 3DS: Saiba mais sobre dados de Passkeys e FIDO para fluxos sem atrito e a prontidão para o SPC em desafios de pagamento seguros.' lang: 'pt' author: 'Vincent Delitz' date: '2025-07-15T13:24:08.279Z' lastModified: '2026-03-25T10:03:49.108Z' keywords: 'Servidor de Controle de Acesso EMV 3DS, 3DS ACS, Passkeys, FIDO, SPC' category: 'Passkeys Strategy' --- # Servidor de Controle de Acesso EMV 3DS: Passkeys, FIDO e SPC ## 1. Introdução O cenário da [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) em [pagamentos](https://www.corbado.com/pt/blog/credenciais-digitais-pagamentos) online está passando por uma transformação significativa, impulsionada pela dupla necessidade de aprimorar a segurança contra fraudes sofisticadas e melhorar a experiência do usuário para reduzir o atrito e o abandono de carrinho. O protocolo EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) (3DS), especialmente suas versões mais recentes (EMV 3DS 2.x), serve como a tecnologia fundamental para autenticar transações de cartão não presente (CNP) globalmente. Gerenciado pela EMVCo, este protocolo facilita a troca de dados entre comerciantes, emissores (através de seu Servidor de Controle de Acesso - [ACS](https://www.corbado.com/glossary/acs)) e o domínio de interoperabilidade (Servidores de Diretório operados por esquemas de [pagamento](https://www.corbado.com/passkeys-for-payment)) para verificar a identidade do titular do cartão. Dentro dessa estrutura, dois avanços tecnológicos importantes relacionados aos padrões da [FIDO](https://www.corbado.com/pt/glossary/attestation) (Fast Identity Online) Alliance estão surgindo: 1. O uso de dados de [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) [FIDO](https://www.corbado.com/pt/glossary/attestation) gerados durante interações anteriores do usuário (por exemplo, login no site do comerciante) para enriquecer a avaliação de risco no [fluxo sem atrito (frictionless flow)](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) do EMV 3DS. 2. A integração do [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC), um padrão web do W3C construído sobre [FIDO](https://www.corbado.com/pt/glossary/attestation)/WebAuthn, como um método de "desafio" (challenge) simplificado e [resistente a phishing](https://www.corbado.com/pt/blog/como-eliminar-senhas-por-completo) dentro do fluxo EMV 3DS. Este artigo oferece uma visão geral do mercado global de soluções de Servidor de Controle de Acesso (ACS) EMV 3DS fornecidas a bancos emissores. Ele identifica os principais fornecedores e tenta avaliar seu suporte atual tanto para estruturas de dados FIDO não-[SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) quanto para o [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) para fluxos de desafio. Além disso, esclarece o mecanismo pelo qual os emissores podem usar suas próprias passkeys FIDO para verificação criptográfica dentro do fluxo de desafio 3DS via [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) e discute a aplicabilidade global deste padrão. ## 2. Visão Geral do EMV 3DS, FIDO e SPC ### 2.1 Fluxos Sem Atrito (Frictionless) vs. Fluxos de Desafio (Challenge) no EMV 3DS O EMV 3DS opera principalmente através de dois caminhos de [autenticação](https://www.corbado.com/pt/blog/passkeys-revolut) distintos: - **Fluxo Sem Atrito (Frictionless Flow):** Este é o caminho preferido, visando uma experiência de usuário contínua. O [ACS](https://www.corbado.com/glossary/acs) do emissor realiza uma avaliação de risco com base em um rico conjunto de dados trocados durante o início da transação (através da Mensagem de Requisição de Autenticação, ou AReq). Esses dados incluem detalhes da transação, informações do comerciante, características do dispositivo, dados do navegador (potencialmente coletados através do JavaScript 3DSMethod) e, possivelmente, informações de autenticação prévias. Se o risco for considerado baixo, a transação é autenticada sem exigir qualquer interação direta ou "desafio" do titular do cartão. Este fluxo representa a maioria das transações 3DS, especialmente onde os motores de risco estão [bem ajustados](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/). - **Fluxo de Desafio (Challenge Flow):** Se o [ACS](https://www.corbado.com/glossary/acs) determinar que o risco da transação é alto, ou se for exigido por regulamentações (como a [PSD2](https://www.corbado.com/blog/psd2-passkeys) [SCA](https://www.corbado.com/pt/blog/psd2-passkeys) na Europa) ou pela política do emissor, o titular do cartão é ativamente desafiado a verificar sua identidade. Métodos de desafio tradicionais incluem senhas de uso único (OTP) enviadas por SMS, perguntas baseadas em conhecimento ou autenticação Out-of-Band (OOB) através de um aplicativo de [banco](https://www.corbado.com/passkeys-for-banking). O objetivo das versões mais recentes do 3DS e tecnologias relacionadas como o [SPC](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) é tornar este fluxo de desafio mais seguro e menos complicado do que os [métodos legados](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf). ![three domains 3DS](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/domains_3_DS_1aac4ea7f0.png) ### 2.2 O Papel dos Dados FIDO (Não-SPC) na Melhoria do Fluxo Sem Atrito A EMVCo e a [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) [colaboraram para definir uma maneira padronizada](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) para os comerciantes passarem informações sobre autenticações FIDO anteriores (onde o _comerciante_ atuou como a [Relying Party](https://www.corbado.com/glossary/relying-party), por exemplo, durante o login do usuário) para o ACS do emissor dentro da [mensagem](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) AReq padrão do 3DS. Este mecanismo, suportado pela primeira vez no [EMV 3DS v2.1](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf), utiliza campos específicos dentro da AReq, principalmente a estrutura `threeDSRequestorAuthenticationInfo`, que contém subcampos como [`threeDSRequestorAuthenticationData`](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf). A [Nota Técnica da FIDO Alliance](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) e o [white paper relacionado da EMVCo](https://www.emvco.com/wp-content/uploads/news/EMV-3DS-white-paper-PR_FINAL.pdf) especificam uma estrutura JSON para este campo `threeDSRequestorAuthenticationData` ao transmitir [detalhes](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) de autenticação FIDO prévia. Este objeto JSON inclui detalhes como o tempo de autenticação (`authTime`), o ID da [Relying Party](https://www.corbado.com/glossary/relying-party) FIDO (`rpId` ou `appId`) e informações sobre o(s) autenticador(es) usados, incluindo a [chave pública](https://www.corbado.com/pt/glossary/jwks), [AAGUID](https://www.corbado.com/glossary/aaguid)/AAID e indicadores de presença do usuário (UP) e verificação do usuário ([UV](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf)). A lógica é que, se um comerciante realizou recentemente uma autenticação FIDO forte (por exemplo, usando [biometria](https://www.corbado.com/pt/blog/biometria-confirmacao-pagador) ou uma passkey) para a sessão do usuário que iniciou a compra, essa informação pode servir como um valioso sinal de risco adicional para o ACS do emissor. Ao receber e processar esses dados FIDO padronizados, o ACS pode ganhar maior confiança na legitimidade da transação, aumentando a probabilidade de uma aprovação sem atrito e reduzindo a necessidade de um [desafio](https://www.emvco.com/wp-content/uploads/2022/10/EMV-3DS-FIDO-FAQ.pdf) separado. É importante notar que, neste cenário, o comerciante é a FIDO RP, e o emissor consome esses dados como uma entrada para seu motor de risco; o emissor não verifica criptograficamente a asserção FIDO em si dentro deste [fluxo](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) sem atrito. O ACS mantém a opção de ignorar esses dados se não estiver configurado para processá-[los](https://www.youtube.com/watch?v=a8iGYQXmDlM). ### 2.3 O Papel do Secure Payment Confirmation no Fluxo de Desafio O [Secure Payment Confirmation](https://www.corbado.com/blog/dynamic-linking-passkeys-spc) (SPC) representa uma integração distinta dos padrões FIDO dentro do _fluxo de desafio_ do EMV 3DS. O SPC é um padrão web do W3C, desenvolvido em colaboração com a FIDO e a EMVCo, e construído sobre o WebAuthn. Ele é formalmente suportado no EMV 3DS a partir da versão [2.3](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/). Quando o SPC é usado como método de desafio: 1. O **emissor** (ou uma parte explicitamente delegada pelo emissor, como um esquema de [pagamento](https://www.corbado.com/passkeys-for-payment)) funciona como a **FIDO Relying Party ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))**. Isso é fundamentalmente diferente do fluxo de dados FIDO não-SPC descrito anteriormente, onde o comerciante normalmente atua como a RP para seus próprios [propósitos](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) de login/autenticação. 2. Durante o desafio 3DS, o ACS sinaliza a necessidade de SPC e fornece os identificadores de credencial FIDO necessários e um desafio criptográfico ao comerciante/Servidor 3DS. 3. O sistema do comerciante invoca a API SPC do navegador, apresentando os detalhes da transação (valor, moeda, beneficiário, instrumento) ao usuário em um diálogo seguro controlado pelo navegador. 4. O usuário se autentica usando seu autenticador FIDO (por exemplo, [biometria](https://www.corbado.com/pt/blog/biometria-confirmacao-pagador) do dispositivo, PIN, [chave de segurança](https://www.corbado.com/pt/blog/melhores-fido2-chaves-de-seguranca-hardware)), que assina os detalhes da transação e o desafio usando a chave privada associada à passkey registrada pelo emissor. 5. A asserção FIDO resultante (prova criptográfica de autenticação e consentimento) é enviada de volta através do protocolo 3DS (geralmente por meio de uma segunda mensagem AReq) para o ACS do emissor. 6. O ACS, como a RP, valida criptograficamente a asserção usando a [chave pública](https://www.corbado.com/pt/glossary/jwks) correspondente, confirmando a identidade do titular do cartão e o consentimento para os detalhes específicos da transação. O SPC [visa](https://www.corbado.com/blog/visa-passkeys) proporcionar uma experiência de desafio que seja mais segura (resistente a [phishing](https://www.corbado.com/glossary/phishing), [vinculação dinâmica](https://www.corbado.com/pt/blog/biometria-confirmacao-pagador) da autenticação aos dados da transação) e potencialmente com menos atrito (geralmente mais rápida que a digitação de OTP) em comparação com os métodos tradicionais. Os dois caminhos para a integração FIDO — um aproveitando dados de autenticação prévia do comerciante para avaliação de risco sem atrito, e o outro usando credenciais gerenciadas pelo emissor para um desafio direto baseado em FIDO via SPC — oferecem abordagens distintas para aprimorar a segurança e a experiência do usuário dentro da estrutura EMV 3DS. Entender o suporte dos fornecedores para cada um é crucial para emissores e PSPs que planejam suas estratégias de autenticação. ![overview emv 3ds](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_emv_3ds_97db9721b6.png) ## 3. Análise dos Principais Fornecedores de ACS EMV 3DS Esta seção analisa as capacidades dos provedores globais de soluções de ACS EMV 3DS, focando em sua presença de mercado e suporte para dados FIDO (não-SPC) e Secure [Payment](https://www.corbado.com/passkeys-for-payment) Confirmation (SPC). Números precisos de participação de mercado são proprietários e difíceis de obter publicamente; portanto, a presença é avaliada com base em alegações de fornecedores, certificações, parcerias, alcance geográfico e relatórios de mercado. ### 3.1 Entersekt (incorporando Modirum) 3DS ACS - **Presença de Mercado:** A Entersekt, especialmente após a aquisição do negócio de software 3DS da Modirum em dezembro de 2023, se posiciona como um fornecedor global líder de soluções EMV 3DS, visando uma [posição](https://www.entersekt.com/solutions/3d-secure-acs) entre os cinco maiores do mercado. A Modirum tinha mais de 20 anos de experiência em [3DS](https://www.entersekt.com/solutions/3d-secure-authentication). A Entersekt destaca um crescimento recorde impulsionado por novos clientes, especialmente na América do Norte, e parcerias estratégicas, incluindo uma relação expandida com a [Mastercard](https://www.corbado.com/blog/mastercard-passkeys). Eles afirmam proteger mais de 2,5 bilhões de transações anualmente (dados do ano fiscal de 2024) e são classificados como nº 1 na prevenção de ATO em [bancos](https://www.corbado.com/passkeys-for-banking) pela [Liminal](https://www.entersekt.com/company/newsroom_old/tpost/gmmthc53z1-entersekt-closes-record-year-of-growth-a). Seu ACS está disponível hospedado (pela Entersekt ou pelo cliente) ou [on-premise](https://www.entersekt.com/solutions/3d-secure-acs). Eles atendem emissores e processadores [globalmente](https://www.entersekt.com/solutions/3d-secure-acs). - **Suporte a Dados FIDO Não-SPC (Frictionless):** A Entersekt enfatiza sua Autenticação Context Aware™, análise de dispositivo e comportamental para sinais de risco, e integração com vários [serviços](https://www.entersekt.com/solutions/3d-secure-acs) de pontuação de risco. Seu ACS é [certificado](https://www.entersekt.com/solutions/3d-secure-acs) FIDO EMVCo 2.2. Embora destaquem o uso de dados de inteligência de risco e comportamental para [RBA](https://www.entersekt.com/solutions/3d-secure-acs), a confirmação explícita do _processamento dos dados de atestado FIDO padronizados_ de autenticações prévias de comerciantes no campo `threeDSRequestorAuthenticationInfo` para aprimoramento do fluxo sem atrito não é declarada explicitamente nos [materiais](https://www.entersekt.com/solutions/3d-secure-acs) online. No entanto, seu foco em autenticação avançada e sinais de risco sugere capacidade. - **Suporte a SPC (Challenge):** Fortes indicadores sugerem que a Entersekt suporta SPC. A Modirum, cujo negócio 3DS foi adquirido pela Entersekt, forneceu componentes para o piloto de SPC da [Visa](https://www.corbado.com/blog/visa-passkeys) usando 3DS 2.2 com [extensões](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). A Entersekt lista explicitamente o suporte à conformidade com SPC como parte de suas [capacidades](https://www.entersekt.com/use-cases/regulatory-compliance) de conformidade regulatória. Seu ACS suporta autenticação biométrica, é certificado para [EMV 3DS 2.2](https://www.entersekt.com/use-cases/regulatory-compliance) e provavelmente incorpora capacidades do envolvimento da Modirum no piloto. A combinação da aquisição da Modirum, menção explícita da conformidade com SPC e certificação FIDO aponta fortemente para o suporte a SPC em sua oferta atual. ### 3.2 Broadcom (Arcot) 3DS ACS - **Presença de Mercado:** A Arcot da Broadcom é um player fundamental no mercado 3DS, tendo co-inventado o protocolo original com a [Visa](https://www.corbado.com/blog/visa-passkeys). Eles se posicionam como um líder global reconhecido, atendendo mais de 5.000 instituições financeiras em todo o mundo e processando transações de 229 [países](https://arcot.broadcom.com/). Sua Rede Arcot enfatiza uma vasta abordagem de dados de consórcio (alegando mais de 600 milhões de assinaturas de dispositivos, 150 trilhões de pontos de dados) para alimentar seus [motores](https://www.broadcom.com/info/cybersecurity/3d-secure) de pontuação de fraude e risco. Eles têm uma forte presença na Europa, Austrália e América do [Norte](https://arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot-TRA3DS.pdf). - **Suporte a Dados FIDO Não-SPC (Frictionless):** A Broadcom enfatiza fortemente a riqueza de sua rede de dados e o uso de IA/redes neurais para detecção de fraudes e avaliação baseada em risco, indo além dos [elementos](https://www.broadcom.com/info/cybersecurity/3d-secure) de dados padrão do EMV 3DS. Eles afirmam explicitamente que sua solução aproveita dados que fluem por múltiplos emissores e incorpora dados digitais como dispositivo e [geolocalização](https://www.software.broadcom.com/hubfs/Broadcom%20PaySec/Resources/ArcotNetwork_Brief.pdf). Embora não mencionem explicitamente o processamento da estrutura JSON _específica_ da FIDO do `threeDSRequestorAuthenticationData`, seu foco em ingerir diversos pontos de dados para RBA sugere fortemente que eles _poderiam_ consumir tais dados se fornecidos, alinhando-se com a intenção da orientação EMVCo/FIDO. Sua plataforma visa maximizar as aprovações sem atrito através de uma [avaliação](https://www.broadcom.com/info/cybersecurity/3d-secure) de risco superior. - **Suporte a SPC (Challenge):** A documentação da Broadcom confirma o suporte para autenticadores FIDO (Chave de Segurança, [Biometria](https://www.corbado.com/pt/blog/biometria-confirmacao-pagador), Passkey) dentro de sua [suíte](https://techdocs.broadcom.com/us/en/symantec-security-software/identity-security/vip-authentication-hub/3-3/Using/Authentication-services/factor-services/Fido-Microservice.html) mais ampla VIP Authentication Hub / Identity Security. Seu [3DS ACS](https://www.corbado.com/blog/emv-3ds-acs-passkeys-fido-and-spc) suporta vários métodos de desafio, incluindo OTPs e notificações push, e eles mencionam suporte para biometria. Eles também oferecem [capacidades](https://www.arcot.broadcom.com/hubfs/Broadcom%20PaySec/Resources/Arcot%20Delegated%20Authentication%20Brief.pdf) de [Autenticação Delegada](https://www.corbado.com/pt/blog/autenticacao-delegada-psd3-psr-passkeys) e introduziram [recursos](https://techdocs.broadcom.com/us/en/payment-security/arcot-network/arcot-for-issuers/AFI/manage-risk/managing-rules/understanding-the-building-blocks-of-rules/ChallengeRiskEval.html) de avaliação de risco pós-desafio. No entanto, a confirmação explícita de que seu _produto EMV 3DS ACS_ atualmente suporta _SPC_ como um método de desafio específico (exigindo capacidades EMV 3DS v2.3+ e o fluxo de duas AReqs) está ausente na [documentação](https://www.broadcom.com/info/cybersecurity/3d-secure) fornecida. Embora sejam um grande player provavelmente capaz de implementá-lo, o material público atual foca mais em seu motor de RBA e [métodos](https://www.broadcom.com/info/cybersecurity/3d-secure) de desafio tradicionais/OOB. ### 3.3 Netcetera 3DS ACS - **Presença de Mercado:** A Netcetera se posiciona como um importante player internacional de [pagamentos](https://www.corbado.com/pt/blog/credenciais-digitais-pagamentos), particularmente forte na Europa e no Oriente [Médio](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376). Eles afirmam que seu ACS é usado por mais de 800 bancos/emissores, protegendo mais de 50 milhões de cartões em todo o [mundo](https://www.fime.com/blog/case-studies-16/post/ensuring-emv-3ds-compliance-with-the-latest-standards-376). Eles enfatizam certificações com todas as principais redes de cartões (Visa, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys), Amex, Discover, JCB, UnionPay, etc.) e [conformidade](https://thepaymentsassociation.org/article/netcetera-3ds-acs-is-discover-global-network-certified/) com [PCI](https://www.corbado.com/blog/pci-dss-4-0-authentication-passkeys). Eles foram notavelmente o primeiro fornecedor de ACS no mundo a obter a [certificação](https://www.netcetera.com/stories/expertise/emv-3ds-new-opportunities.html) EMV 3DS 2.3.1. - **Suporte a Dados FIDO Não-SPC (Frictionless):** A documentação da Netcetera destaca a importância dos dados coletados via 3DSMethod para a avaliação de risco do ACS para aumentar a autenticação sem atrito. Eles oferecem integração com [ferramentas](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) de risco. No entanto, a confirmação específica do processamento de dados de autenticação FIDO prévios do comerciante (de `threeDSRequestorAuthenticationInfo`) para avaliação de risco não é explicitamente mencionada nos [materiais](https://www.netcetera.com/payments/Issuing/3DS-Issuing-Service.html) revisados. - **Suporte a SPC (Challenge):** A Netcetera demonstra forte suporte para SPC. Eles foram o primeiro fornecedor globalmente certificado para EMV 3DS 2.3.1, a versão que incorpora o SPC. Eles participaram do piloto de SPC da Visa, fornecendo os [componentes](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) v2.3.1. A documentação de seu produto define explicitamente o SPC. Eles realizaram webinars discutindo a [integração](https://www.netcetera.com/payments/knowledge-hub.html) de FIDO e SPC e publicaram artigos destacando os [benefícios](https://www.netcetera.com/stories/expertise/Secure-Payment-Confirmation-meets-customer-demands.html) do SPC. Essa combinação de certificação, participação em pilotos e documentação explícita confirma seu suporte para desafios SPC. ### 3.4 Worldline 3DS ACS - **Presença de Mercado:** A Worldline se posiciona como líder europeia em serviços de pagamento e transacionais e um importante player global (alegando o [status](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) de 4º maior player de [pagamentos](https://www.corbado.com/pt/blog/credenciais-digitais-pagamentos) do mundo). Eles processam bilhões de transações anualmente e enfatizam a conformidade garantida, o controle de fraudes usando IA/ML e a [escalabilidade](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server). Seu ACS é declarado como certificado EMV 3DS e compatível com os principais esquemas (Visa Secure, [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check)) e [PSD2](https://www.corbado.com/blog/psd2-passkeys). Eles relatam processar mais de 2,4 bilhões de transações 3DS anualmente para mais de 100 emissores. - **Suporte a Dados FIDO Não-SPC (Frictionless):** A oferta de ACS da Worldline inclui um motor de regras RBA que permite aos emissores configurar fluxos sem atrito ou de desafio com base no [risco](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server). Sua solução mais ampla "Trusted Authentication" aproveita a inteligência de dispositivo e a [análise](https://business.worldline.com/l/130471/2025-02-04/33tlg4) comportamental. Embora suportem FIDO [em geral](https://www.biometricupdate.com/202308/worldline-gets-fido-certified-vincss-makes-deal-to-boost-passwordless-authentication), a confirmação explícita do processamento de dados FIDO prévios do comerciante (não-SPC) dentro do ACS para avaliação de risco não é detalhada nos [trechos](https://worldline.com/en/home/main-navigation/solutions/financial-institutions/authentication-and-security/authentication-solutions/access-control-server) fornecidos. - **Suporte a SPC (Challenge):** A Worldline mostra indicações claras de suporte ao SPC. Sua documentação reconhece a evolução do EMV 3DS 2.3 para incluir [SPC/FIDO](https://worldline.com/content/dam/worldline/global/documents/reports/Fraud%20Prevention%20Report%202022_Worldline.pdf). Eles comercializam explicitamente sua solução "WL Trusted Authentication" como suporte à autenticação FIDO e oferecem um "WL FIDO Server" adequado para "casos de uso 3DS, com emvCO2.3 e SPC. ### 3.5 GPayments 3DS ACS - **Presença de Mercado:** A GPayments posiciona o ActiveAccess como uma "plataforma robusta de Servidor de Controle de Acesso (ACS) líder de mercado" com mais de 20 anos no [espaço](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) 3D Secure. Eles são certificados com os principais esquemas de cartão (Visa Secure, [Mastercard](https://www.corbado.com/blog/mastercard-passkeys) Identity Check, JCB J/Secure) tanto para 3DS1 quanto para EMV [3DS](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Sua solução pode ser [implantada on-premise ou hospedada na nuvem](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/). Relatórios de mercado identificam a GPayments como um player notável que oferece [soluções](https://www.grandviewresearch.com/industry-analysis/3d-secure-payment-authentication-market-report) de ACS. - **Suporte a Dados FIDO Não-SPC (Frictionless):** O ActiveAccess suporta integração com soluções de RBA de terceiros e utiliza vários parâmetros para sua própria [avaliação](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) de risco. No entanto, a documentação fornecida não menciona explicitamente o suporte para ingerir ou usar dados de autenticação FIDO prévios do comerciante (não-SPC) para [avaliação](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) de risco sem atrito. - **Suporte a SPC (Challenge):** A documentação revisada para o ActiveAccess não menciona explicitamente o suporte para Secure Payment Confirmation (SPC), desafios WebAuthn ou desafios FIDO como parte de suas [capacidades](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) de fluxo de desafio. Embora suportem vários métodos de autenticação, incluindo OOB (que pode abranger [biometria)](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/), o suporte específico ao SPC não está claro a partir das [informações](https://www.gpayments.com/solutions/3d-secure-acs-activeaccess/) disponíveis. ### 3.6 Visa (Visa Secure) 3DS ACS - **Presença de Mercado:** A Visa, como uma grande rede de pagamento global, define o programa [Visa Secure](https://www.corbado.com/blog/visa-secure) com base no [padrão](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) EMV 3DS. Eles foram pioneiros no [protocolo](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) 3DS original. Em vez de atuar principalmente como um _fornecedor_ direto de ACS da mesma forma que empresas de tecnologia como Entersekt ou Broadcom, a Visa opera o programa e depende de uma lista de fornecedores 3DS aprovados (incluindo provedores de ACS) cujos produtos são certificados como compatíveis com as [regras](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) do EMV 3DS e do [Visa Secure](https://www.corbado.com/blog/visa-secure). Os emissores normalmente adquirem soluções de ACS desses fornecedores certificados. A própria Visa foca na rede (Servidor de Diretório), definindo regras do programa, promovendo a adoção e impulsionando inovações como os [pilotos](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) de SPC. - **Suporte a Dados FIDO Não-SPC (Frictionless):** O [Visa Secure](https://www.corbado.com/blog/visa-secure), baseado no EMV 3DS, suporta inerentemente a troca de dados ricos para avaliação de risco para permitir o [fluxo](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html) sem atrito. A [estrutura EMVCo/FIDO](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) para passar dados FIDO prévios opera dentro do ecossistema Visa Secure se o fornecedor de ACS escolhido suportar o processamento [deles](https://usa.visa.com/run-your-business/small-business-tools/payment-technology/visa-secure.html). - **Suporte a SPC (Challenge):** A Visa está ativamente envolvida em pilotar e promover o SPC. Eles estão trabalhando com parceiros (como Netcetera e Modirum/Entersekt em pilotos) para testar e refinar o fluxo SPC dentro do [protocolo](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) 3DS. Este forte engajamento indica suporte estratégico para o SPC como um método de desafio dentro do programa Visa Secure, dependendo da prontidão do ecossistema (suporte de ACS, comerciante, navegador). ### 3.7 Mastercard (Identity Check) 3DS ACS - **Presença de Mercado:** Semelhante à Visa, a Mastercard opera o programa Mastercard Identity Check baseado no EMV [3DS](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html). Eles oferecem opções para emissores e comerciantes, incluindo processamento stand-in e potencialmente aproveitando parceiros ou subsidiárias como a [NuData](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf). A Mastercard adquiriu a NuData Security, uma empresa de biometria comportamental, em 2017, aprimorando suas [capacidades](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) de avaliação de risco. Eles também enfatizam a inovação contínua em biometria, RBA e [IA](https://developer.mastercard.com/product/identity-check/). Como a Visa, eles dependem de fornecedores certificados para componentes principais de ACS, mas podem oferecer serviços agrupados ou aproveitar [tecnologia](https://www.mastercard.com/content/dam/public/mastercardcom/globalrisk/pdf/Top-10-Things-to-Know-About-3DS.pdf) adquirida. - **Suporte a Dados FIDO Não-SPC (Frictionless):** O [Mastercard Identity Check](https://www.corbado.com/blog/mastercard-identity-check) aproveita a rica troca de dados do EMV 3DS 2.x para uma melhor tomada de decisão de risco e [fluxo](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) sem atrito. Sua aquisição da NuData sugere um forte foco em análise comportamental como parte desta [avaliação](https://www.retaildive.com/news/mastercard-acquires-behavioral-biometrics-security-firm-nudata-to-boost-iot/439407/) de risco. O suporte para processar dados FIDO prévios do comerciante dependeria da implementação específica do ACS usada pelo emissor dentro do [programa](https://www.mastercard.com/global/en/business/overview/safety-and-security/identity-check.html) Identity Check. - **Suporte a SPC (Challenge):** A Mastercard é um membro chave da EMVCo e está envolvida no desenvolvimento dos padrões EMV 3DS, incluindo a v2.3 que suporta SPC. Eles também estão promovendo a [adoção de passkeys](https://www.corbado.com/pt/blog/passkeys-adocao-business-case) de forma mais [ampla](https://fidoalliance.org/goodbye-to-manual-card-entry-mastercard-reveals-when-the-new-era-of-one-click-online-payments-begins/). Mais detalhes podem ser encontrados [aqui](https://developer.mastercard.com/product/identity-check/). Eles são fortes apoiadores do SPC e impulsionam métodos de autenticação modernos. ### 3.8 Outros Fornecedores de ACS 3DS O mercado de ACS EMV 3DS apresenta inúmeros provedores além dos detalhados acima. Fornecedores como /n software, RSA, 2C2P, 3dsecure.[io](https://www.corbado.com/blog/webauthn-errors), Adyen, ACI Worldwide, Computop e outros também oferecem soluções certificadas ou desempenham papéis significativos em regiões ou segmentos específicos. Esta análise visa cobrir players globais proeminentes, mas não é exaustiva devido à natureza dinâmica do mercado. As capacidades dos fornecedores, particularmente em relação a padrões emergentes como o SPC, evoluem rapidamente. Se você notar alguma imprecisão ou tiver informações atualizadas sobre o suporte de fornecedores para dados FIDO ou Secure Payment Confirmation, por favor, entre em contato para que possamos garantir que esta visão geral permaneça atual e precisa. ## 4. Autenticação de Passkey do Emissor via Secure Payment Confirmation ### 4.1 Mecanismo Explicado: Emissor como Relying Party Um princípio central do uso do Secure Payment Confirmation (SPC) dentro do fluxo de desafio do EMV 3DS é que o **emissor do cartão** (ou uma parte explicitamente delegada pelo emissor, como um esquema de pagamento) funciona como a **FIDO Relying Party ([RP](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/))**. Isso é fundamentalmente diferente do fluxo de dados FIDO não-SPC descrito anteriormente, onde o comerciante normalmente atua como a RP para seus próprios [propósitos](https://fidoalliance.org/wp-content/uploads/2020/09/FIDO-and-EMV-3DS-Technical-Note-2020-09-01.pdf) de login/autenticação. Para que o SPC funcione em um desafio 3DS, as seguintes etapas estão envolvidas: 1. **Registro (Enrollment):** O titular do cartão deve primeiro registrar um autenticador FIDO (por exemplo, biometria do dispositivo como impressão digital/ID facial, PIN do dispositivo ou uma [chave de segurança](https://www.corbado.com/pt/blog/melhores-fido2-chaves-de-seguranca-hardware) externa) com seu banco emissor. Este processo cria uma passkey, onde a [chave pública](https://www.corbado.com/pt/glossary/jwks) e um identificador de credencial único são armazenados pelo emissor e associados à conta do titular do cartão ou a um [cartão](https://www.w3.org/blog/wpwg/2021/02/18/an-emv-3-d-secure-view-of-emvco-fido-and-w3c-activities/) de pagamento específico. O registro pode ocorrer no aplicativo móvel do banco, no portal de [banco](https://www.corbado.com/passkeys-for-banking) online ou, potencialmente, ser oferecido após um [desafio](https://fidoalliance.org/white-paper-secure-payment-confirmation/) 3DS tradicional bem-sucedido. Crucialmente, para que o SPC seja invocado por um terceiro, como o site de um comerciante, a credencial deve ser criada com o consentimento explícito do usuário, permitindo seu uso em tais contextos, muitas vezes envolvendo extensões WebAuthn específicas durante o [registro](https://www.w3.org/TR/secure-payment-confirmation/). 2. **Autenticação (durante o Desafio 3DS):** - Quando uma transação 3DS aciona um desafio, e o emissor/ACS suporta e seleciona o SPC, o ACS identifica o(s) ID(s) de credencial FIDO relevante(s) vinculado(s) ao titular do cartão e ao [dispositivo](https://fidoalliance.org/white-paper-secure-payment-confirmation/). - O ACS inclui esse(s) ID(s) de credencial, juntamente com um desafio criptográfico único e detalhes da transação (valor, moeda, nome/origem do beneficiário, ícone/nome de exibição do instrumento), na Resposta de Autenticação (ARes) enviada de volta ao Servidor 3DS/[Solicitante](https://www.nsoftware.com/kb/entries/04252301). - O componente Solicitante 3DS do comerciante usa essa informação da ARes para invocar a API SPC do navegador. - O navegador apresenta um diálogo padronizado e seguro exibindo os detalhes da transação fornecidos pelo ACS. - O usuário confirma a transação e se autentica usando seu autenticador FIDO registrado (por exemplo, tocando em um sensor de impressão digital, reconhecimento facial, inserindo o PIN do dispositivo, tocando em uma [chave de segurança](https://www.corbado.com/pt/blog/melhores-fido2-chaves-de-seguranca-hardware)). Essa ação desbloqueia a chave privada armazenada com segurança no dispositivo/autenticador. - O autenticador assina os detalhes da transação apresentados e o desafio criptográfico recebido do ACS. - O navegador retorna a asserção FIDO resultante (a carga de dados assinada) para o Solicitante 3DS do comerciante. - O Solicitante 3DS transmite essa asserção de volta para o ACS do Emissor, geralmente encapsulada em uma segunda mensagem AReq. - O Emissor/ACS, atuando como a [Relying Party](https://www.corbado.com/glossary/relying-party) autoritativa, usa a chave pública do titular do cartão, armazenada anteriormente, para verificar criptograficamente a assinatura na asserção. A verificação bem-sucedida confirma que o titular legítimo do cartão, usando seu autenticador registrado, aprovou os detalhes específicos da transação apresentados. ### 4.2 Fluxo do Protocolo EMV 3DS com Desafio SPC A integração do SPC no fluxo de desafio do EMV 3DS exige modificações na sequência de mensagens padrão, geralmente envolvendo duas trocas de AReq/ARes: 1. **Requisição de Autenticação Inicial (AReq #1):** O comerciante/Servidor 3DS inicia o processo 3DS enviando uma AReq contendo dados da transação e do dispositivo. Para sinalizar a capacidade para SPC, a requisição pode incluir um indicador como `threeDSRequestorSpcSupport` definido como 'Y' (ou similar, dependendo da implementação do fornecedor de ACS). 2. **Resposta de Autenticação Inicial (ARes #1):** Se o ACS determinar que um desafio é necessário e optar pelo SPC, ele responde com uma ARes indicando isso. O `transStatus` pode ser definido como 'S' (indicando SPC necessário) ou outro valor específico. Esta ARes contém a carga de dados necessária para a chamada da API SPC. 3. **Invocação da API SPC e Autenticação FIDO:** O componente Solicitante 3DS do comerciante recebe a ARes #1 e usa a carga de dados para invocar a API SPC do navegador. O usuário interage com seu autenticador através da interface segura do navegador. 4. **Retorno da Asserção FIDO:** Após a autenticação bem-sucedida do usuário, o navegador retorna os dados da asserção FIDO para o Solicitante 3DS. 5. **Segunda Requisição de Autenticação (AReq #2):** O Solicitante 3DS constrói e envia uma _segunda_ mensagem AReq para o ACS. O objetivo principal desta mensagem é transportar os dados da asserção FIDO. Geralmente inclui: - `ReqAuthData`: Contendo a asserção FIDO. - `ReqAuthMethod`: Definido como '09' (ou o valor designado para asserção SPC/FIDO). - Potencialmente o valor `AuthenticationInformation` da ARes #1 para vincular as requisições. - Opcionalmente, um `SPCIncompletionIndicator` se a chamada da API SPC falhar ou expirar. 6. **Resposta de Autenticação Final (ARes #2):** O ACS recebe a AReq #2, valida a asserção FIDO usando a chave pública do titular do cartão e determina o resultado final da autenticação. Ele envia de volta a ARes #2 contendo o status definitivo da transação (por exemplo, `transStatus` = 'Y' para Autenticação Bem-sucedida, 'N' para Falha). Este fluxo de duas AReqs representa um desvio dos métodos de desafio 3DS tradicionais (como OTP ou OOB tratados via mensagens CReq/CRes ou RReq/RRes), que geralmente são concluídos no ciclo inicial de AReq/ARes após o recebimento de um `transStatus` = 'C'. Embora a parte de interação do usuário do SPC (leitura biométrica, entrada de PIN) seja muitas vezes significativamente mais rápida do que digitar um [OTP](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf), a introdução de uma segunda rodada completa de AReq/ARes adiciona latência de rede entre o Servidor 3DS, o Servidor de Diretório e o ACS. Implementadores e fornecedores devem otimizar cuidadosamente este fluxo e lidar com possíveis timeouts para garantir que o tempo total da transação de ponta a ponta permaneça competitivo e atenda às expectativas do usuário. ## 5. Considerações do Ecossistema para o SPC ### 5.1 SPC como um Padrão Global (W3C/EMVCo) O Secure Payment Confirmation está posicionado para adoção global devido à sua dupla padronização. Ele é formalmente definido como um padrão web pelo World Wide Web Consortium (W3C), tendo alcançado o status de Candidate Recommendation em meados de 2023, com trabalho contínuo para se tornar uma [Recomendação](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf) completa. Simultaneamente, o SPC foi integrado às especificações do EMV® [3-D Secure](https://www.corbado.com/glossary/3d-secure) a partir da versão 2.3, gerenciada pela EMVCo, o órgão técnico global para [padrões](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf) de pagamento. Essa integração garante que o SPC funcione dentro da estrutura global estabelecida para autenticação de transações [CNP](https://www.corbado.com/glossary/cnp). A colaboração entre W3C, [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) e EMVCo ressalta o esforço de toda a indústria para criar padrões interoperáveis para [pagamentos online seguros e fáceis de usar](https://www.w3.org/2024/Talks/w3c-in-europe/fime-payments-spc.pdf). ### 5.2 Aplicabilidade Além de Mandatos Regulatórios (por exemplo, EUA, Canadá) Embora o design do SPC, particularmente sua capacidade de vincular criptograficamente a autenticação do usuário a detalhes específicos da transação ("[vinculação dinâmica](https://www.corbado.com/pt/blog/biometria-confirmacao-pagador)"), ajude a satisfazer os requisitos de [Autenticação Forte do Cliente](https://www.corbado.com/blog/psd2-sca-requirements) (SCA) sob regulamentações como a Diretiva de Serviços de Pagamento da Europa (PSD2), sua utilidade não se limita a essas regiões com mandatos. O SPC é um padrão técnico global aplicável em qualquer mercado, incluindo os Estados Unidos e o Canadá, desde que os componentes necessários do ecossistema estejam [implementados](https://www.w3.org/2023/Talks/visa-spc-20230911.pdf). Em mercados sem mandatos explícitos de [SCA](https://www.corbado.com/pt/blog/psd2-passkeys) para cada transação, os principais impulsionadores para a adoção do SPC são: - **Melhor Experiência do Usuário:** Oferecer um método de desafio potencialmente mais rápido e conveniente (por exemplo, usando biometria do dispositivo) em comparação com OTPs tradicionais ou perguntas baseadas em conhecimento, reduzindo potencialmente o abandono de carrinho. Pilotos mostraram reduções significativas no tempo de autenticação em comparação com [desafios](https://sdtimes.com/w3c-advances-technology-to-streamline-payment-authentication-secure-payment-confirmation-spc-published-as-a-candidate-recommendation/) tradicionais. - **Segurança Aprimorada:** A autenticação baseada em FIDO inerente ao SPC é resistente a ataques de [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing) e outras ameaças comuns que visam senhas e OTPs. Portanto, emissores e comerciantes em regiões como a América do Norte podem optar por implementar o SPC estrategicamente para aprimorar a segurança e fornecer uma melhor experiência ao cliente, mesmo sem uma exigência regulatória para todas as transações. ### 5.3 Dependências e Prontidão do Ecossistema para SPC e FIDO/Passkeys A implementação bem-sucedida e a adoção generalizada do Secure Payment Confirmation (SPC) dependem fortemente da prontidão coordenada de múltiplos componentes do ecossistema de pagamentos. Embora os padrões FIDO subjacentes e a tecnologia de passkeys estejam amadurecendo rapidamente, o suporte específico a nível de navegador para a API SPC e a integração completa em toda a cadeia de pagamentos continuam sendo obstáculos críticos. Outros players do ecossistema estão, em geral, avançando bem. **Resumo da Prontidão do Ecossistema (Status em Maio de 2025)** | Ator do Ecossistema | Prontidão para SPC | Prontidão para FIDO/Passkeys (Geral) | Observações Principais (Maio de 2025) | | :------------------------------------------- | :------------------ | :----------------------------------- | :------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Dispositivos e Autenticadores do Usuário** | ❌ Não usado | ✅ Pronto | Praticamente todo laptop, celular e chave de segurança modernos vêm com autenticadores FIDO2/WebAuthn. Bilhões já estão disponíveis para os consumidores. O hardware não é o gargalo. | | **Navegadores Web (Software)** | ❌ Gargalo | ✅ Pronto | **SPC:** Chromium (Chrome/Edge ≥ 95) suporta a linha de base do SPC v1, mas recursos avançados são experimentais. **Safari (macOS & iOS) e Firefox NÃO oferecem suporte ao SPC.** **FIDO/Passkey Geral:** Suporte completo ao WebAuthn nos principais navegadores para login, etc. | | **Emissores e Fornecedores de ACS** | ⚠️ Avançando | ✅ Avançando | **SPC:** Líderes de mercado certificados para EMV 3DS 2.3.1 podem executar SPC; outros estão passando de piloto para produção. **FIDO Geral:** Muitos suportam FIDO para autenticação de app/OOB; a capacidade de ingestão de dados RBA existe, mas a adoção varia. Requer infraestrutura de servidor FIDO/RP. | | **Comerciantes** | ❌ Sem suporte | ✅ Avançando | **SPC:** Requer pilha EMV 3DS v2.3+ e lógica de navegador. Os primeiros a adotar relatam benefícios. **FIDO Geral:** Uso crescente para login com a adoção de passkeys; pode passar dados via `threeDSRequestorAuthenticationInfo`. Esforço de integração necessário. | | **PSPs / Servidores 3DS** | ⚠️ Em implementação | ✅ Avançando | **SPC:** Requer pilha EMV 3DS v2.3+ e lógica de navegador. Os primeiros a adotar relatam benefícios. **FIDO Geral:** Uso crescente para login; pode passar dados via `threeDSRequestorAuthenticationInfo`. Esforço de integração necessário. | | **Servidores de Diretório dos Esquemas** | ✅ Pronto | ✅ Pronto | A infraestrutura (Visa, Mastercard, etc.) foi atualizada para mensagens EMV 3DS 2.3/2.3.1 (incluindo campos de dados SPC e FIDO) desde 2021, muito antes de as passkeys se tornarem populares. | **O que isso significa na prática (Maio de 2025)** O principal fator limitante para a **adoção do SPC** é a camada do [user-agent](https://www.corbado.com/blog/client-hints-user-agent-chrome-safari-firefox) (navegador): - **Safari (macOS & iOS):** ❌ O WebKit ainda não possui o método de Requisição de Pagamento `secure-payment-confirmation`. Qualquer site visitado no Safari deve recorrer a outros métodos de autenticação (OTP, OOB, potencialmente experiências WebAuthn não-SPC). A Apple não manifestou interesse em implementar a extensão. - **Chrome / Edge (Chromium):** ⚠️ O SPC básico (criação de credencial + autenticação) é estável, mas as chaves ainda não são armazenadas em autenticadores de hardware e só foram usadas em pilotos. Os implementadores devem esperar possíveis alterações disruptivas e estar preparados para restringir a funcionalidade com base em verificações de disponibilidade da API (por exemplo, `canMakePayment()`) ou flags de recursos. - **Firefox:** ❌ A equipe sinalizou interesse, mas não tem um cronograma de implementação comprometido; os comerciantes devem planejar caminhos de fallback adequados. Como a [infraestrutura](https://www.corbado.com/passkeys-for-critical-infrastructure) do emissor (ACS, servidores FIDO) e os servidores de diretório dos esquemas estão em grande parte prontos ou avançando rapidamente, e as ferramentas de comerciante/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) estão se tornando disponíveis, **a principal barreira para o uso generalizado do SPC é o suporte do navegador.** Assim que a cobertura dos navegadores melhorar, as tarefas restantes envolvem principalmente a integração de comerciante/[PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk) (atualização para EMV 3DS v2.3+, adição da lógica de invocação do SPC, tratamento do fluxo de duas AReqs) e a ampliação do registro de passkeys pelos emissores especificamente para contextos de pagamento. **Por enquanto, espere que o SPC apareça apenas para uma fatia limitada das transações. Até que o Safari (e, portanto, todo o ecossistema iOS) ofereça suporte, o SPC não poderá alcançar o suporte de mercado.** ![overview secure payment confirmation](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/overview_secure_payment_confirmation_e92645aa7f.png) ## 6. Conclusão e Recomendações Estratégicas ### 6.1 Resumo: Foco no Fluxo Sem Atrito Agora, Preparação para o SPC Mais Tarde A análise revela uma clara divergência na prontidão das duas principais integrações FIDO dentro do EMV 3DS em maio de 2025. Embora os elementos fundamentais para o **Secure Payment Confirmation (SPC)** como método de desafio estejam avançando – particularmente as capacidades do emissor/ACS e a prontidão dos esquemas – sua adoção generalizada é significativamente prejudicada pelo **gargalo crítico do suporte de navegadores**, mais notavelmente a falta de implementação no Safari da Apple (bloqueando todos os dispositivos [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios)/iPadOS) e no Firefox, juntamente com limitações nas implementações atuais do Chromium. O SPC continua sendo um estado futuro promissor, mas não é uma solução prática e onipresente hoje. ### 6.2 Recomendações para os Principais Participantes Com base no estado atual do ecossistema, as seguintes recomendações estão em vigor: - **Comerciantes:** - **Priorize a Adoção de Passkeys:** Implemente passkeys para login e autenticação de usuários. Além de melhorar sua própria segurança e experiência do usuário (fatores não detalhados aqui), isso cria os dados necessários para os fluxos sem atrito do 3DS. - **Passe os Dados FIDO:** Garanta que sua integração 3DS preencha corretamente o campo `threeDSRequestorAuthenticationInfo` com detalhes de autenticações de passkey prévias bem-sucedidas durante a sessão de checkout. Trabalhe com seu provedor de [PSP](https://www.corbado.com/blog/payment-provider-passkeys-third-party-sdk)/Servidor 3DS para habilitar isso. - **Emissores:** - **Registre as Passkeys dos Usuários:** Comece a oferecer e incentivar os titulares de cartão a registrar passkeys diretamente com você (para acesso ao aplicativo do banco, futuro SPC, etc.). Construa a [infraestrutura](https://www.corbado.com/passkeys-for-critical-infrastructure) FIDO Relying Party necessária. - **Aproveite os Dados de Passkey do Comerciante Agora:** Instrua seu fornecedor de ACS a ingerir e utilizar os dados FIDO passados pelos comerciantes (`threeDSRequestorAuthenticationInfo`) como um forte sinal positivo em seu motor de RBA. Mantenha registros de passkeys de comerciantes confiáveis associadas aos usuários, sempre que possível. Vise aumentar significativamente as aprovações sem atrito para transações precedidas por uma forte autenticação de passkey do comerciante. - **Prepare-se para o SPC, Monitore Ativamente:** Garanta que o roadmap do seu ACS inclua suporte completo ao SPC do EMV 3DS v2.3.1+, mas trate-o como uma melhoria futura. Monitore continuamente os desenvolvimentos dos navegadores (especialmente o Safari) para avaliar quando o SPC pode se tornar viável em escala. - **Fornecedores de ACS:** - **Aprimore o RBA com Inteligência de Passkey:** Invista pesadamente na capacidade do seu motor de RBA de processar e confiar nos dados de FIDO/passkey fornecidos pelo comerciante. Desenvolva lógica para rastrear o uso de passkeys em compras de comerciantes para um determinado usuário/dispositivo. Armazene chaves públicas (do registro direto do emissor) para verificar a integridade criptográfica dos dados de autenticação do comerciante, se fornecidos. Vincule o uso bem-sucedido de passkeys diretamente a taxas mais altas de aprovação sem atrito. - **Construa Capacidades Robustas de SPC:** Continue desenvolvendo e certificando o suporte completo ao fluxo de desafio SPC (EMV 3DS v2.3.1+) em preparação para a futura adoção pelo mercado. - **Esquemas/Redes de Pagamento:** - **Promova os Dados FIDO para o Fluxo Sem Atrito:** Promova ativamente e, potencialmente, incentive a passagem e utilização de dados de autenticação FIDO do comerciante (`threeDSRequestorAuthenticationInfo`) dentro do fluxo 3DS. Forneça orientação clara e suporte a emissores e fornecedores de ACS sobre como aproveitar esses dados de forma eficaz para RBA. - **Continue a Defesa do SPC e o Engajamento com Navegadores:** Mantenha os esforços para padronizar e promover o SPC, engajando-se criticamente com os fornecedores de navegadores (Apple, Mozilla, Google) para incentivar a implementação completa e interoperável do padrão da API SPC. ### 6.3 Direção Estratégica Geral A oportunidade imediata e tangível reside em aprimorar o **fluxo sem atrito**, aproveitando a crescente [adoção de passkeys](https://www.corbado.com/pt/blog/passkeys-adocao-business-case) no nível do comerciante. Todos os participantes do ecossistema devem priorizar a habilitação da criação, transmissão e consumo inteligente desses dados de autenticação prévia dentro da estrutura EMV 3DS existente. Este caminho oferece benefícios a curto prazo na redução do atrito e, potencialmente, da fraude, sem esperar pelo suporte universal do navegador para o SPC. Concomitantemente, preparar o terreno para o SPC – particularmente o registro de passkeys pelo emissor e a prontidão do ACS – garante que o ecossistema esteja posicionado para adotar este método de desafio superior assim que o gargalo do navegador for resolvido.