Pular para o conteúdo principal

Autenticação 3DS

Para adicionar mais segurança em suas transações, é possível utilizar a funcionalidade de autenticação 3DS, que consiste em validações do portador do cartão junto ao próprio emissor do cartão. Esta funcionalidade está sujeita à oferta da bandeira e do emissor, mas as principais bandeiras já oferecem autenticação 3DS em versões mais atuais, como 2.0 ou acima.

Com uma transação autenticada pelo emissor com 3DS, em versões 2.0 ou superior, a responsabilidade em caso de chargeback por fraude é repassada ao emissor. Este processo é denominado liability shift. Mas ela também impede que fraudes aconteçam sem que o portador do cartão esteja ciente da transação, pois ele pode ser desafiado a confirmar sua posse logo antes de autorização acontecer.

Através das nossas APIs você tem o controle de quando deseja utilizar a autenticação 3DS, e também pode escolher quando deseja seguir com a autorização da transação conforme o resultado da autenticação.

Para conhecer mais sobre a autenticação 3DS: https://www.emvco.com/emv-technologies/3-d-secure/

Checkout Padrão e Lightbox

No momento da criação de um checkout, é possível solicitar o uso da autenticação 3DS. Além disso, já deve ser informada a decisão de seguir com a autorização ou não, conforme a resposta da autenticação. Se assim desejar, a autorização só será iniciada após uma autenticação de sucesso. Por outro lado, é possível seguir com a autorização mesmo sem que a autenticação tenha sido bem sucedida.

Como escolher se devemos autorizar?

Através do campo threeDomainSecurePolicy, você informa se:

  • Quer autorizar mesmo sem autenticar, enviando ACTIVE
  • Quer autorizar somente se autenticar, enviando EXCLUSIVE

Checkout Transparente

Neste tipo de integração você detém total controle do fluxo operacional. Logo antes de solicitar a autorização da transação, é possível solicitar a autenticação com os dados informados pelo pagador e tomar a decisão se solicita ou não a autorização da transação.

Como funciona?

Durante o processo de pagamento, o pagador fará o preenchimento dos dados para transacionar, como dados pessoais de identificação e dados do cartão que ele deseja utilizar. Através desses dados podemos realizar as seguintes operações:

  • Configuração (Setup): Valida a possibilidade de iniciar a autenticação com os dados informados e garante uma chave única para que todas as operações identifiquem o mesmo processo de autenticação.
  • Inscrição (Enrollment): Primeira etapa de autenticação, onde a bandeira e o emissor do cartão são acionados com os dados do portador e do cartão. A resposta dessa operação pode informar uma autenticação de sucesso, uma falha ou informar que deve ser feito um desafio ao portador (próxima operação).
  • Desafio (Challenge): Caso a operação de inscrição (enrollment) retorno a necessidade de desafio, o pagador deve visualizar uma experiência (iframe) de confronto de informação, onde o emissor pode decidir:
    • Enviar um SMS para o telefone cadastrado pelo portador do cartão em seus registros, que deve ser preenchido diretamente nesta experiência;
    • Solicitar o conteúdo de um token gerado por algum dispositivo ou aplicativo;
    • Solicitar a confirmação diretamente em um aplicativo;
    • Ou qualquer outra forma que desejar validar a autenticidade do pagamento com o portador do cartão.
  • Autorização: Os dados da autenticação são enviados junto ao pedido de autorização do pagamento para que a bandeira e o emissor responsáveis pelo cartão sejam informados da existência dessa autenticação e possam confrontar as informações. Caso esse confronto falhe por alguma razão, o emissor e a bandeira podem emitir uma resposta de autorização informando um rebaixamento (downgrade) da autenticação, e neste caso estão informando que o emissor não poderá assumir a responsabilidade em caso de chargeback.

Bandeiras aceitas

São aceitas autenticações para cartões das bandeiras Mastercard, Visa e Elo. Caso o pagador digite um cartão de outras bandeiras, a etapa de configuração já informará uma negativa, mas a autorização poderá ser realizada se assim você determinar.

Como obter acesso ao 3DS?

Para habilitar o uso da autenticação 3DS em sua operação, você deve solicitar ao seu contato comercial com a PicPay para avaliar a variação de custo nas taxas transacionais.

Consulte a Referência da API.