PSD2 & WooCommerce: Lo que necesitas saber para tu tienda online

7 Min.
WooCommerce PSD2
Última actualización en

¿Tienes tiendas en línea conWordPress ? ¿O los preparó para sus clientes? Entonces debería conocer la "Segunda Directiva Europea de Servicios de Pago", más conocida como PSD2. Prescribe nuevos procedimientos para la autenticación del cliente durante el proceso de pago. Nombramos las recomendaciones más importantes para la acción y PluginsparaWooCommerce...

Tl;dr - no entres en pánico.

Por lo general, el PSD2 es especialmente útil para usted como dueño de una tienda cuando sus clientes pagan con tarjeta de crédito. Y aún así, su proveedor de servicios tiene un deber. Todo lo que tienes que hacer es asegurarte de que tu proveedor de servicios ya es compatible con el PSD2. Para estar seguros, comprueba todas las demás opciones de pago que ofreces. Más sobre esto en un momento.

Lo mismo se aplica a las agencias y a los autónomos. Aquí debe comprobar el pagoPlugins o los proveedores asociados utilizados por sus clientes: ¿Han cambiado sus procesos a PSD2? De lo contrario, busque extensiones alternativas. Se puede WooCommerceencontrar información completa en nuestro libro electrónico de más de 70 páginas WooCommerce para los profesionales.

Nota

Esta entrada del blog no es un consejo legal. Como WordPress proveedores de hosting hemos estado estudiando el PSD2 nosotros mismos. Pero no somos abogados. Así que pide consejo a un bufete de abogados adecuado para el derecho online.

¿Qué es el PSD2 alias SCA? ¿Y de quién se trata?

A partir del 14 de septiembre de 2019, se aplicarán nuevas normas de la UE a las transacciones de pago: la Segunda Directiva Europea de Servicios de PagoPSD2 para abreviar. Esto incluye la obligación de una autenticación segura del cliente para las ofertas de la banca en línea. En inglés: Strong Customer Authentication (SCA).

La introducción de las nuevas normas de pago en Internet ha sido ahora aunque se posponga. "Temporalmente", como dicen. Esto se debe a que a las autoridades les preocupa que las empresas no estén aún suficientemente preparadas para la directiva. Y aún así debería implementar la directiva ahora o hacer que se implemente. Más sobre esto más tarde.

WooCommerce gratis Alojamiento

La cuestión central es hacer que comprar en Internet sea más seguro. A Autentificación fuerte del cliente - o también la autenticación de dos factores (2FA) - es entonces legalmente requerida. Muchos bancos ya han convertido sus procesos, y su banco ciertamente ya se ha puesto en contacto con usted.

En el caso de las tiendas online, esto afecta principalmente a los pagos con tarjeta de crédito. Si estos no están ya protegidos por un procedimiento seguro como 3-D Secure o una carrera 3D-S. Pero ten cuidado: Debido al PSD2, también se requiere un procedimiento extendido aquí, llamado 3D Secure 2.0corto 3DS2.

Hasta ahora, los clientes de las compras a menudo sólo necesitaban el número de su tarjeta de crédito y el dígito de control asociado para completar una compra. En el futuro, también se requerirá un número de transacción (TAN), que se envía al teléfono móvil o al smartphone, y una contraseña. Probablemente conozca este procedimiento por su banca en línea. Las listas en papel con números de transacción, iTAN para abreviar, ya no se permitirán en el futuro.

Nota

Las compras a cuenta y por domiciliación bancaria no se ven afectadas por el PSD2. Vea las explicaciones de la Bufete de abogados IT.

¿Qué necesitas saber como operador de tienda o profesional de WP?

En el futuro, debe asegurarse de que al pagar con tarjeta de crédito u otros servicios (PayPal, Stripe, Amazon Pay, Apple Pay, etc.) se utilice un procedimiento seguro. Sin embargo, por lo general no tiene que implementarlo usted mismo, los respectivos proveedores de servicios están muy solicitados aquí. A menos que uses una solución muy exótica o casera. Deberías hacer que un bufete de abogados especializado en derecho online lo revise para el PSD2.

Todos los principales proveedores están trabajando febrilmente en la aplicación de la nueva directiva. Comprueba con los servicios que usas: ¿Cuál es la situación aquí? ¿La autenticación ya es compatible con el PSD2? Las nuevas normas de la UE están finalmente entrando en vigor, y su proveedor de servicios no está aún listo? Entonces deberías comprobar que no ofreces la opción de pago hasta que se mejore.

También hay cambios en la "transferencia bancaria instantánea". El procedimiento recibe según el proveedor Klarna un paso de autenticación adicional que será asumido por el banco respectivo. Debe observar qué servicio de pago se puede utilizar en el futuro y si esto afectará a su Conversión en la tienda.

Importante

¿Sus proveedores transmiten datos diferentes a través del PSD2 que antes? ¿O integras nuevos servicios de pago? Entonces puede que tengas que cambiar tu Los textos legales en WooCommerce ajustar.

¿Qué dicesWooCommerce?

Los fabricantes de WooCommerce dedicar un propia entrada en el blog. Según ella, la mayoría de los proveedores de servicios de pago confían en 3D Secure 2 para cumplir los requisitos.

En general, los servicios apropiados tendrían que considerar por lo menos dos de los tres pasos siguientes para asegurar una "fuerte autentificación del cliente" en el futuro:

  • Solicitar información que sólo el cliente conoce. Por ejemplo, su contraseña o la respuesta a una pregunta de seguridad.
  • El envío de una autenticación a un "proceso controlado por el cliente". Esto puede ser en voz alta WooCommerceun token de hardware o una notificación push a tu smartphone.
  • Uso de un identificador físico único para el cliente. Por ejemplo, una huella dactilar o una identificación facial.

¿Le interesan los detalles exactos? El grado de concreción de los requisitos, por ejemplo, si la respuesta a una pregunta sobre seguridad es suficiente, viene determinado por los tratados de la Unión Europea. Vea el última edición sobre "Normas reglamentarias para una autenticación sólida de los clientes".

Dependiendo del estado de la técnica -y de las técnicas más susceptibles de ser explotadas por los piratas informáticos- puede haber algunos ajustes que se hagan a medio y largo plazo. La lucha por más seguridad es siempre como un juego de gato y ratón.

¿Cuáles son las posibilidades de integración?

WooCommerce nombra algunos proveedores o sus WordPress -Plugins, que se supone que ya están "PSD2 listos". Hemos conectado las extensiones aquí para usted:

¿Utiliza otros métodos y redes de pago además de los mencionados aquí? Pregunte a los respectivos desarrolladores si y cuándo se implementará el PSD2. Si no es así, entonces debería buscar una alternativa Plugin o un servicio.

Apreciamos sus comentarios

¿Ya ha consultado con su proveedor? ¿O tienes un Pluginconsejo para nosotros? Comparte tus experiencias en los comentarios.

Las reglas del PSD2 también se aplican a los pagos en el modelo de suscripción. Por ejemplo, si se utiliza el Plugin WooCommerce Suscripciones trabajar para permitir pagos recurrentes.

WooCommerce para autónomos y agencias

¿El PSD2 o SCA también se aplica a los comerciantes fuera de la UE?

No depende necesariamente del domicilio social de los traficantes. Esto está WooCommercebastante claro:

La LPI también se aplica si el banco adquirente o el procesador adquirente está situado en el Espacio Económico Europeo (EEE) y el instrumento de pago del cliente se emitió en el EEE.

El Espacio Económico Europeo comprende todos los Estados miembros de la Unión Europea más Islandia, Liechtenstein y Noruega. Por lo tanto, un comerciante en el extranjero debe trabajar completamente con los proveedores de servicios domésticos, bancos y clientes para que no se vea afectado por el PSD2 o la autenticación fuerte del cliente. Esta es una de las razones por las que los proveedores de servicios de pago internacionales tienen tanta prisa por cumplir los requisitos. El llamamiento europeo a favor de una mayor seguridad en la red tiene implicaciones mundiales.

¿Seguirá estando permitido el TAN por SMS?

Al mismo tiempo que el PSD2, se ha desarrollado una discusión paralela en círculos de expertos sobre cuán segura es todavía la TAN vía SMS (también llamada mTAN). Ver el artículo Banca en línea y PSD2 en heise.com. Porque últimamente ha aumentado el número de denuncias de intentos de atentados en los que se toma el teléfono móvil o el smartphone de la víctima. Por ejemplo, a través de correos de phishing o aplicaciones manipuladas.

La Oficina Federal de Seguridad de la Información (BSI) escribe sobre esto:

Aunque el procedimiento de mTan es práctico y fácil de usar, lamentablemente también implica algunos riesgos. En determinadas circunstancias, los delincuentes pueden interceptar o redirigir los mensajes SMS enviados para su autenticación ... Por lo tanto, la BSI recomienda no utilizar los procedimientos de mTAN.

En el marco del PSD2, el mTAN seguirá estando permitido hasta ahora. Sin embargo, los bancos ya están buscando alternativas. Heise nombra a pushTAN, chipTAN, photoTAN, appTAN y signatureTAN.

¿Qué debería hacer el PSD2?

La directiva no sólo tiene por objeto hacer más seguras las transacciones de pago (en línea). Los iniciadores también esperan que la competencia en el mercado se haga más fuerte. El españolesBundesbank lo formula en su Información sobre el PSD2 de la siguiente manera:

Los consumidores no necesitan conectarse al sistema de banca en línea de su banco cuando compran en Internet, por ejemplo, pero pueden pedir la transferencia mediante un servicio de iniciación de pagos que se ofrece en el sitio web del comerciante.

Continúa:

El PSD2 regula el acceso de estos "terceros proveedores de servicios de pago" a las cuentas de pago con los proveedores de servicios de pago titulares de la cuenta. Sin embargo, el acceso sólo se concede a estos proveedores si usted, como titular de la cuenta, está explícitamente de acuerdo con ello.

Por lo tanto, en el futuro habrá muchos más actores en el mercado de los pagos en línea. Los bancos y las instituciones de crédito están perdiendo poder. La participación de "terceros proveedores de servicios de pago" -que, sin embargo, están bajo la supervisión y el control de las autoridades nacionales de supervisión- permitirá el desarrollo de servicios e ideas comerciales completamente nuevos. Esta autoridad de supervisión Españaes la Autoridad Federal de Supervisión Financiera (BaFin).

Excepciones al PSD2

Diversos medios de comunicación y bancos informan de casos excepcionales en que los proveedores de servicios de pago pueden prescindir de una autenticación sólida del cliente. Por ejemplo, se menciona un límite de 30 euros para las "transacciones electrónicas de pago a distancia". Por debajo de este umbral, no se requiere necesariamente una autenticación bidireccional. Más información en el blog PSD2 y SCA del bufete de abogados Wilde Beuger Solmecke.

El alojamiento positivo WordPress para el clima

El El propio BaFin menciona un umbral de 50 euros, pero para los pagos con tarjeta sin contacto En el caso de los pagos con tarjeta en Internet, se expresa más vagamente. Los proveedores de servicios de pago podrían llevar a cabo aquí el llamado análisis de riesgo de la transacción. Esto es lo que dice la Agencia Federal:

Cada pago entrante se comprueba automáticamente para determinar si el riesgo de fraude es bajo... Si la información de pago de que dispone el proveedor de servicios de pago da la impresión de un mayor riesgo de fraude, debe llevar a cabo una fuerte autenticación del cliente.

Los indicios de un mayor riesgo de fraude deben ser, por ejemplo, una desviación de las pautas de comportamiento habituales del cliente. O una similitud con los patrones de fraude conocidos. También se prevén las correspondientes relajaciones para el B2B. Y debe haber una lista blanca en la que un banco pueda clasificar a sus clientes corporativos como beneficiarios de confianza.

Sin embargo, usted, como operador de una tienda, normalmente no tiene que preocuparse de tales límites por sí mismo, si un proveedor de servicios está involucrado.

Otras fuentes

¿Quieres saber más sobre el PSD2, también conocido como SCA? Aquí encontrará artículos técnicos adecuados para usuarios y desarrolladores:

Se pueden WooCommerceencontrar más consejos en nuestro libro electrónico de más de 70 páginas WooCommerce para profesionales: tiendas online con WordPress. Está dirigido a autónomos, agencias, profesionales del WP pero también a principiantes.

Tiene preguntas sobre el PSD2 y WooCommerce? Siéntase libre de usar la función de comentarios. ¿Quieres más consejos sobre WordPress & WooCommerce? Entonces síguenos. Twitter, Facebook o sobre nuestra Boletín de noticias.

Foto: William Iven

Artículos relacionados

Comentarios sobre este artículo

Escriba un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con * marcado.