SCA o Autenticación reforzada

¿Qué es la SCA o Autenticación Reforzada? ¡Nueva normativa a la vista!

[kkstarratings]

La SCA (Strong Customer Authentication) o Autenticación Reforzada tiene como objetivo principal proteger los servicios de pago online de peligros como el fraude, el robo de credenciales o transferencias inapropiadas de fondos.

No sólo en pagos online. También incluye pagos en comercio físico como los realizados con tarjetas sin contacto o smartcard.

¿La pega? Hoy en día solo el 14% de los Ecommerce de Europa cumplirían este nuevo estándar según un informe realizado por Mastercard.

¿Cuándo será obligatorio cumplir la SCA o Autenticación Reforzada?

Esto entrará en vigencia el día 14 de septiembre de 2019. Hablamos de un reglamento y por tanto, es una norma de directa aplicación.

¿Cuál es el principal objetivo de la SCA?

Pretende incrementar la seguridad del usuario en los Ecommerce. Pero esto viene de la mano también de sistemas innovadores en los medios de pago y requiere utilizarlo como una referencia internacional, no sólo dentro de las fronteras de la Unión Europea.

¿En qué consiste la SCA?

La SCA requerirá un nivel más de autentificación para realizar pagos online.  Será obligatorio usar por lo menos dos de los tres siguientes:

  • Algo que posee el usuario, como su smartphone
  • Algo que conoce el usuario como una contraseña
  • Algo inherente al usuario como su huella digital por ejemplo.

Esto son ejemplos pero pueden ser otros siempre que cumplan con las características de seguridad marcadas por el reglamento.

También deben ser independientes, para que si una falla en un posible fraude, solo se pueda acceder a esta (y no a dos elementos).

¿Qué condiciones debe cumplir el código de autenticación?

Es un código de un solo uso, fruto de los previos elementos de autentificación. Deben cumplir ciertas premisas:

  • En una posible divulgación, nadie debe sacar información sobre dichos Elementos.
  • No se debe poder crear un nuevo código a partir del previo.
  • Debe ser imposible falsificar el código.

Igualmente las empresas proveedoras de servicios de pago tienen que proporcionar estas garantías:

  • Si cualquier cosa falla en el proceso de generación del código, no se debe saber qué es.
  • El número de errores para realizar un bloqueo temporal o definitivo es como mucho 5 en un período de tiempo limitado.
  • Las sesiones de comunicación estarán protegidas contra posible captación de datos de autentificación o manipulación por personas ajenas.
  • Tras la autenticación, el usuario no podrá permanecer inactivo más de 5 minutos.

 ¿Cómo van a conseguir esto?

Examinando ciertos mecanismos para detectar posibles operaciones fraudulentas o ‘no autorizadas’.

  • Las listas de elementos de autenticación sustraídos.
  • Importes de cada operación de pago.
  • Señales de infecciones por programas informáticos maliciosos en cualquier sesión del procedimiento de autentificación.
  • En el caso de que el dispositivo o el programa informático de acceso sea facilitado por el proveedor de servicios de pago, un registro de la utilización del mismo.

Proveedores de servicios de Pago

¿Es posible quedar exento de la SCA o Autenticación Reforzada?

En determinados casos, los proveedores de servicios de pago podrán no aplicar la SCA, pero para esto no deben dejar ninguna sospecha de fraude en los mecanismos de supervisión. ¿En qué casos?

  • En los Terminales Punto de Venta (TPV) con sistema sin contacto hasta en 5 operaciones consecutivas, siempre que el importe no supere los 150 € e individualmente, ninguna supere los 50 €.
  • En los Terminales de pago de Aparcamientos (no atendidos).
  • Cuando el beneficiario del pago esté incluido en una lista de beneficiarios de confianza y cumpla los requisitos de autenticación general.
  • En los casos en que un mismo usuario realice operaciones frecuentes con el mismo importe y beneficiario.
  • En transferencias entre dos cuentas de la misma persona (física o jurídica) en la misma entidad.
  • En pagos de personas jurídicas con protocolos especiales que no estén disponibles para los usuarios.

Aunque no es fácil, igual que no lo fue la GDPR, la SCA o Autenticación Reforzada sí presenta una oportunidad de seguridad para los clientes de Ecommerce, y de venta para empresas tecnológicamente avanzadas.

Estas podrán decidir si quieren convertirse en expertos SCA, o directamente contratar un socio estratégico para aplicar la normativa.

Como era de esperar, la SCA será especialmente influyente en el comercio online móvil con la llegada de una seguridad biométrica por parte de aplicaciones como Apple Pay o Google Pay.

¿Habías oído noticias de la SCA o Autenticación Reforzada? ¿Crees que estás preparado? ¡No dudes en dejarnos tu comentario!

Síguenos también en nuestras redes sociales:

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en una estrella para puntuar!

Promedio de puntuación 0 / 5. Recuento de votos: 0

Hasta ahora, ¡no hay votos!. Sé el primero en puntuar este contenido.

Compartir
Ir arriba