PSD2 & WooCommerce: Lo que necesitas saber para tu tienda online

Michael Firnkes Actualizado por última vez el 20.10.2020
6 Min.
WooCommerce PSD2
Actualizado por última vez el 20.10.2020

¿Tienes tiendas en línea conWordPress ? ¿O los preparó para los tu clientes? Entonces debería conocer la "Segunda Directiva Europea de Servicios de Pago", más conocida como PSD2. Prescribe nuevos procedimientos para la autenticación del cliente durante el proceso de pago. Nombramos las recomendaciones más importantes para la acción y Plugins paraWooCommerce...

Tl;dr - no entres en pánico.

Por regla general, el PSD2 es especialmente útil para usted como propietario de una tienda cuando tu los clientes pagan con tarjeta de crédito. Y aún así, tu los proveedores de servicios tienen un deber. Todo lo que tienes que hacer es asegurarte de que el proveedor de servicios ya es compatible con PSD2. Para estar seguros, comprueba todas las demás opciones de pago que ofreces. Más sobre esto en un momento.

Lo mismo se aplica a las agencias y a los autónomos. Aquí debe comprobar el pagoPlugins o los proveedores asociados utilizados por sus clientes: ¿Han cambiado sus procesos a PSD2? De lo contrario, busque extensiones alternativas. Se puede WooCommerceencontrar información completa en nuestro libro electrónico de más de 70 páginas WooCommerce para los profesionales.

Nota

Esta entrada de blog no es un consejo legal. Como WordPress proveedores de hosting hemos estado estudiando el PSD2 nosotros mismos. Pero no somos abogados. Así que pide consejo a un bufete de abogados adecuado para el derecho online.

¿Qué es el PSD2 alias SCA? ¿Y de quién se trata?

A partir del 14 de septiembre de 2019, se aplicarán nuevas normas de la UE a las transacciones de pago: la Segunda Directiva Europea de Servicios de PagoPSD2 para abreviar. Esto incluye la obligación de una autenticación segura del cliente para las ofertas de la banca en línea. En inglés: Strong Customer Authentication (SCA).

La introducción de las nuevas normas de pago en Internet ha sido ahora aunque se posponga. "Temporalmente", como dicen. Esto se debe a que a las autoridades les preocupa que las empresas no estén aún suficientemente preparadas para la directiva. Y aún así debería implementar la directiva ahora o hacer que se implemente. Más sobre esto más tarde.

La cuestión central es hacer que comprar en Internet sea más seguro. A Autentificación fuerte del cliente - o también la autenticación de dos factores (2FA) - es entonces legalmente requerida. Muchos bancos ya han convertido sus procesos, incluso su tu banco propio ya se ha puesto en contacto con usted.

En el caso de las tiendas online, esto afecta principalmente a los pagos con tarjeta de crédito. Si estos no están ya protegidos por un procedimiento seguro como 3-D Secure o una carrera 3D-S. Pero ten cuidado: Debido al PSD2, también se requiere un procedimiento extendido aquí, llamado 3D Secure 2.0corto 3DS2.

Hasta ahora, los clientes de las compras a menudo sólo necesitaban el número de su tarjeta de crédito y el dígito de control asociado para completar una compra. En el futuro, también se requerirá un número de transacción (TAN), que se envía al teléfono móvil o al smartphone, y una contraseña. Probablemente conozca este procedimiento por su banca en línea. Las listas en papel con números de transacción, iTAN para abreviar, ya no se permitirán en el futuro.

Nota

Las compras a cuenta y por domiciliación bancaria no se ven afectadas por el PSD2. Vea las explicaciones de la Bufete de abogados IT.

¿Qué necesitas saber como operador de tienda o profesional de WP?

En el futuro, debe asegurarse de que al pagar con tarjeta de crédito u otros servicios (PayPal, Stripe, Amazon Pay, Apple Pay, etc.) se utilice un procedimiento seguro. Sin embargo, por lo general no tiene que implementarlo usted mismo, los respectivos proveedores de servicios están muy solicitados aquí. A menos que uses una solución muy exótica o casera. Deberías hacer que un bufete de abogados especializado en derecho online lo revise para el PSD2.

Todos los principales proveedores están trabajando febrilmente en la aplicación de la nueva directiva. Comprueba con los servicios que usas: ¿Cuál es la situación aquí? ¿La autenticación ya es compatible con el PSD2? Las nuevas normas de la UE están finalmente entrando en vigor, y tu los proveedores de servicios aún no están listos? Entonces debería considerar no ofrecer la opción de pago hasta que las reglas sean mejoradas.

También hay cambios en la "transferencia bancaria instantánea". El procedimiento recibe según el proveedor Klarna un paso de autenticación adicional que será asumido por el banco respectivo. Debe observar qué servicio de pago se puede utilizar en el futuro, y si esto afectará tu Conversión en la tienda.

Importante

¿Tus proveedores transmiten datos diferentes a través del PSD2 que antes? ¿O integras nuevos servicios de pago? Entonces puede que tengas que cambiar tu Los textos legales en WooCommerce ajustar.

¿Qué dicesWooCommerce?

Los fabricantes de WooCommerce dedicar un propia entrada en el blog. Según ella, la mayoría de los proveedores de servicios de pago confían en 3D Secure 2 para cumplir los requisitos.

En general, los servicios apropiados tendrían que considerar por lo menos dos de los tres pasos siguientes para asegurar una "fuerte autentificación del cliente" en el futuro:

  • Solicitar información que sólo el cliente conoce. Por ejemplo, su contraseña o la respuesta a una pregunta de seguridad.
  • El envío de una autenticación a un "proceso controlado por el cliente". Esto puede ser un token de hardware en voz alta WooCommerce o una notificación push en un tu smartphone.
  • Uso de un identificador físico único para el cliente. Por ejemplo, una huella dactilar o una identificación facial.

¿Le interesan los detalles exactos? El grado de concreción de los requisitos, por ejemplo, si la respuesta a una pregunta sobre seguridad es suficiente, viene determinado por los tratados de la Unión Europea. Vea el última edición sobre "Normas reglamentarias para una autenticación sólida de los clientes".

Dependiendo del estado de la técnica -y de las técnicas más susceptibles de ser explotadas por los piratas informáticos- puede haber algunos ajustes que se hagan a medio y largo plazo. La lucha por más seguridad es siempre como un juego de gato y ratón.

¿Cuáles son las posibilidades de integración?

WooCommerce nombra algunos proveedores o tus plugins de WordPress, que se supone que ya están "PSD2 listos". Hemos conectado las extensiones aquí para ti:

¿Utiliza otros métodos y redes de pago además de los mencionados aquí? Pregunte a los respectivos desarrolladores si y cuándo se implementará el PSD2. Si no es así, entonces debería buscar una alternativa Plugin o un servicio.

Apreciamos tus comentarios

¿Ya has consultado con tu proveedor? ¿O tienes un consejo de plugin para nosotros? Comparte tus experiencias en los comentarios.

Las reglas del PSD2 también se aplican a los pagos en el modelo de suscripción. Por ejemplo, si se utiliza el Plugin WooCommerce Suscripciones trabajar para permitir pagos recurrentes.

¿El PSD2 o SCA también se aplica a los comerciantes fuera de la UE?

No depende necesariamente del domicilio social de los traficantes. Esto está WooCommercebastante claro:

La LPI también se aplica si el banco adquirente o el procesador adquirente está situado en el Espacio Económico Europeo (EEE) y el instrumento de pago del cliente se emitió en el EEE.

El Espacio Económico Europeo comprende todos los Estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega. Por lo tanto, un comerciante en el extranjero debe trabajar completamente con los proveedores de servicios domésticos, bancos y clientes para que no se vea afectado por el PSD2 o la autenticación fuerte del cliente. Esta es una de las razones por las que los proveedores de servicios de pago internacionales tienen tanta prisa por cumplir los requisitos. El llamamiento europeo a favor de una mayor seguridad en la red tiene implicaciones mundiales.

¿Seguirá estando permitido el TAN por SMS?

Al mismo tiempo que el PSD2, se ha desarrollado una discusión paralela en círculos de expertos sobre cuán segura es todavía la TAN vía SMS (también llamada mTAN). Ver el artículo Banca en línea y PSD2 en heise.com. Porque últimamente ha aumentado el número de denuncias de intentos de atentados en los que se toma el teléfono móvil o el smartphone de la víctima. Por ejemplo, a través de correos de phishing o aplicaciones manipuladas.

La Oficina Federal de Seguridad de la Información (BSI) escribe sobre esto:

Aunque el procedimiento de mTan es práctico y fácil de usar, lamentablemente también implica algunos riesgos. En determinadas circunstancias, los delincuentes pueden interceptar o redirigir los mensajes SMS enviados para su autenticación ... Por lo tanto, la BSI recomienda no utilizar los procedimientos de mTAN.

En el marco del PSD2, el mTAN seguirá estando permitido hasta ahora. Sin embargo, los bancos ya están buscando alternativas. Heise nombra a pushTAN, chipTAN, photoTAN, appTAN y signatureTAN.

¿Qué debería hacer el PSD2?

La directiva no sólo tiene por objeto hacer más seguras las transacciones de pago (en línea). Los iniciadores también esperan que la competencia en el mercado se haga más fuerte. El españolesBundesbank lo formula en su Información sobre el PSD2 de la siguiente manera:

Los consumidores no necesitan conectarse al sistema de banca en línea de su banco cuando compran en Internet, por ejemplo, pero pueden pedir la transferencia mediante un servicio de iniciación de pagos que se ofrece en el sitio web del comerciante.

Continúa:

El PSD2 regula el acceso de estos "terceros proveedores de servicios de pago" a las cuentas de pago con los proveedores de servicios de pago titulares de la cuenta. Sin embargo, el acceso sólo se concede a estos proveedores si usted, como titular de la cuenta, está explícitamente de acuerdo con ello.

Por lo tanto, en el futuro habrá muchos más actores en el mercado de los pagos en línea. Los bancos y las instituciones de crédito están perdiendo poder. La participación de "terceros proveedores de servicios de pago" -que, sin embargo, están bajo la supervisión y el control de las autoridades nacionales de supervisión- permitirá el desarrollo de servicios e ideas comerciales completamente nuevos. Esta autoridad de supervisión Españaes la Autoridad Federal de Supervisión Financiera (BaFin).

Excepciones al PSD2

Diversos medios de comunicación y bancos informan de casos excepcionales en que los proveedores de servicios de pago pueden prescindir de una autenticación sólida del cliente. Por ejemplo, se menciona un límite de 30 euros para las "transacciones electrónicas de pago a distancia". Por debajo de este umbral, no se requiere necesariamente una autenticación bidireccional. Más información en el blog PSD2 y SCA del bufete de abogados Wilde Beuger Solmecke.

El El propio BaFin menciona un umbral de 50 euros, pero para los pagos con tarjeta sin contacto En el caso de los pagos con tarjeta en Internet, se expresa más vagamente. Los proveedores de servicios de pago podrían llevar a cabo aquí el llamado análisis de riesgo de la transacción. Esto es lo que dice la Agencia Federal:

Cada pago entrante se comprueba automáticamente para determinar si el riesgo de fraude es bajo... Si la información de pago de que dispone el proveedor de servicios de pago da la impresión de un mayor riesgo de fraude, debe llevar a cabo una fuerte autenticación del cliente.

Los indicios de un mayor riesgo de fraude deben ser, por ejemplo, una desviación de las pautas de comportamiento habituales del cliente. O una similitud con los patrones de fraude conocidos. También se prevén las correspondientes relajaciones para el B2B. Y debe haber una lista blanca en la que un banco pueda clasificar a sus clientes corporativos como beneficiarios de confianza.

Sin embargo, usted, como operador de una tienda, normalmente no tiene que preocuparse de tales límites por sí mismo, si un proveedor de servicios está involucrado.

Otras fuentes

¿Quieres saber más sobre el PSD2, también conocido como SCA? Aquí encontrará artículos técnicos adecuados para usuarios y desarrolladores:

Se pueden WooCommerceencontrar más consejos en nuestro libro electrónico de más de 70 páginas WooCommerce para profesionales: tiendas online con WordPress. Está dirigido a freelancer, agencias, profesionales de WP pero también a principiantes.

Tiene preguntas sobre el PSD2 y WooCommerce? Siéntase libre de usar la función de comentarios. ¿Quieres más consejos sobre WordPress & WooCommerce? Entonces síguenos. Twitter, Facebook o sobre nuestro Boletín de noticias.

Foto: William Iven

Michael se ocupa RAIDBOXES de las áreas de contenido y salud mental. Ha estado activo en la WordPress comunidad de los bloggers desde 2007. Entre otras cosas como co-organizador de WordPress eventos, autor de libros y entrenador de blogs corporativos. Le encanta bloguear increíblemente, profesionalmente pero también en privado. Michael trabaja y escribe Remoto desde la soleada Friburgo.

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

tu La dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con * marcado.