Introducción
¿Es seguro comprar por internet? Las respuestas a esta pregunta siempre es motivo de polémica, pues la seguridad en las transacciones electrónicas deciden el èxito o fracaso del e-commerce. Esto queda demostrado al preguntarle a cualquier internauta si el confiarìa en registrar su nùmero de tarjeta de crèdito para realizar una compra en internet. Este temor existe porque un tercero solo con poseer el nùmero de tarjeta de crèdito y la fecha de expiraciòn de la misma, puede hacer compras vìa e-commerce y cargarle el costo al verdadero dueño de la tarjeta produciéndose un "fraude".
Por lo expuesto anteriormente es necesario "autenticar" al tarjetahabiente, es decir, asegurarse que quien està comprando en una determinada tienda virtual, es realmente el dueño de la tarjeta de crèdito, a este proceso se le llama "autenticaciòn". Es de esta manera que surge la necesidad de usar en e-commerce un mecanismo tecnológico que permita autenticar los pagos por internet. En este sentido VISA International ha desarrollado un protocolo de autenticación de pagos vìa internet al que le ha denominado 3-D Secure, y cuyo nombre comercial es "Verified by VISA", que permite ofrecer seguridad a las transacciones electrónicas que se realizan vìa e-commerce, reduciendo los altísimos niveles de fraude que hoy en dìa existen en e-commerce.
Comprando con Verified by VISA
A continuación se presentarà en forma resumida los pasos que involucran comprar para un tarjetahabiente cualquiera, usando Verified by VISA.
-
El tarjetahabiente o "dueño de una tarjeta de crèdito" ingresa a un comercio virtual en internet, añade los productos o servicios que desea comprar, ingresa su nùmero de tarjeta de crèdito y la fecha de expiraciòn de la misma y lanza la compra.
-
2A continuación le aparecerà una ventana indicándole los datos de su compra, el banco al que esta afiliada su tarjeta de crèdito para pedirle un password mediante el cual el tarjetahabiente se autenticarà y a su vez autenticarà la compra.
-
Una vez autenticada la compra se procederà al proceso de autorización de la compra en el cual el banco verificarà si la tarjeta de crèdito tiene los fondos suficientes para realizar la compra y harà el desacargo pertinente a la compra autorizando la misma.
Figura 1: Comprando con Verified by VISA (tomado de: http://usa.visa.com/)
Como funciona 3-D Secure
El protocolo 3-D Secure establece la existencia de 3 dominios para su funcionamiento:
-
El dominio del adquiriente
En el dominio del adquiriente se encuentran ubicados todos los comercios virtuales y físicos que existen a nivel mundial y los respectivos adquirientes que se encargan de procesar los pagos de sus comercios virtuales y físicos. Para que los comercios virtuales participen en Verified by VISA es necesario que tengan instalado un Merchant Plug-in Server que permite la interconexión con el dominio de interoperabilidad.
-
El dominio del emisor
En el dominio del emisor se encuentran al emisor o entidad financiera que emite las tarjeta de crèdito y los tarjetahabientes. Los emisores participantes en Verified by Visa deben tener un servidor que atienda las solicitudes de autenticación de pagos denominado Access Control Server (ACS).
-
El dominio de interoperbilidad.
En este dominio se encuentran los servidores de VISA International que dan soporte al funcionamiento del protocolo Verified by Visa. Para este fìn VISA tiene en este dominio a dos servidores: El Visa Directory Server (DS) y el Authentication History Server (AHS).
Los pasos o eventos que ocurren en toda autenticación de pagos utilizando el protocolo 3-D Secure son los siguientes:
-
El tarjetahabiente selecciona los productos y servicios a comprar y hace clic en el botòn comprar.
-
El comercio a traves del Merchant Plug-in Sever (MPI) envía esta petición al Visa Directory Server para verificar que el comercio que hizo la petición de autenticación es un comercio vàlido para VISA y participa en Verified by Visa. Además de esto el Visa Directory Server verifica que el nùmero de la tarjeta de crèdito se encuentra entre el rango de tarjetas participantes en Verified by VISA. Seguidamente el Visa Directory Server consulta al ACS del banco correspondiente la participación de la tarjeta de crèdito en Verified by Visa y envía esta respuesta al (MPI).
-
El Merchant Plug-in Server envía un pedido de autenticación al Access Control Server haciendo uso del browser del tarjetahabiente.
-
El Access Control Server del banco emisor de la tarjeta de crèdito, solicita la clave de autenticación del tarjetahabiente y valida que esta tarjeta sea la correcta.
-
El Access Control Server responde al pedido de autenticación que le hizo el Merchant Plug-in Server a travès del browser del tarjetahabiente.
-
El Merchant Plug-in Server recibe y valida la respuesta del Access Control Server.
-
Una vez culminado el proceso de autenticación de pagos se procede con el habitual proceso de autorización de pagos.
Figura 2: 3-D Secure: La tecnología detrás de Verified by Visa (tomado de http://www.alignet.com)
Proveedores de Verified by Visa
A nivel mundial existen cerca de 70 proveedores certificados por Visa International para brindar, tanto el servicio de autenticación para adquirientes (Merchan Plug-In Server) como el servicio de autenticación para instituciones financieras (Access Control Server) de los cuales una compañìa de software 100% peruana (http://www.alignet.com) ha logrado desarrollar con èxito esta tecnología de autenticación de pagos situándose además como el ùnico proveedor en Latinoamérica.
Referencias
Lista de proveedores Verified by Visa certificados por Visa International
http://international.visa.com/fb/paytech/secure/vendorlist.jsp
Documentación técnica del protocolo 3-D Secure (la tecnología detrás de Verified by Visa)
http://international.visa.com/fb/paytech/secure/main.jsp
|
