PSD2 & WooCommerce: Lo que necesita saber para su tienda online

Michael Firnkes Última actualización 20.10.2020
6 min.
WooCommerce PSD2
Última actualización 20.10.2020

¿Dispone de tiendas online con WordPress ? ¿O los prepara para los clientes de tu ? Entonces debes conocer la "Segunda Directiva Europea de Servicios de Pago", más conocida como PSD2. Prescribe nuevos procedimientos para la autentificación del cliente en el proceso de pago. Enumeramos las recomendaciones de actuación más importantes y Plugins para WooCommerce.

tl;dr - no te asustes.

Por regla general, la PSD2 entra en juego para usted como propietario de una tienda cuando los clientes de tu pagan con tarjeta de crédito. E incluso entonces tu proveedor de servicios está obligado. Solo tienes que asegurarte de que ya cumplen con la PSD2. Para estar seguro, compruebe también todas las demás opciones de pago que ofrece. Más sobre esto en un momento.

Lo mismo ocurre con las agencias y los autónomos. Aquí debe comprobar el pagoPlugins o los proveedores asociados que utilizan sus clientes: ¿Han convertido sus procesos a la PSD2? Si no es así, esté atento a las extensiones alternativas. Encontrará información completa sobre WooCommerce en nuestro libro electrónico de más de 70 páginas WooCommerce para profesionales.

Nota

Esta entrada del blog no es un consejo legal. Como WordPress -hoster nos hemos ocupado de la PSD2 nosotros mismos. Sin embargo, no somos abogados. Por ello, asesórese en un bufete de abogados adecuado para el derecho en línea.

¿Qué es la PSD2 o SCA? ¿Y a quién afecta?

A partir del 14 de septiembre de 2019 deben aplicarse las nuevas normas de la UE para las operaciones de pago: la Segunda Directiva Europea de Servicios de Pago, o PSD2 para abreviar. Esto incluye la obligación de autentificación segura del cliente para las ofertas de banca en línea. En inglés: Strong Customer Authentication (SCA).

La introducción de las nuevas normas de pago en Internet se ha pospuesto. "Temporalmente", como se dice. Porque a las autoridades les preocupa que las empresas no estén aún suficientemente preparadas para la directiva. Y, sin embargo, ya debería aplicar la directiva o hacerla aplicar. Más adelante se hablará de ello.

En el fondo, se trata de hacer más seguras las compras en Internet. La ley exige entonces una autenticación fuerte del cliente, o autenticación de 2 factores (2FA). Muchos bancos ya han cambiado sus procesos, y seguro que tu ya se ha puesto en contacto con usted.

En las tiendas online, esto afecta principalmente a los pagos con tarjeta de crédito. A menos que ya estén utilizando un procedimiento seguro como 3-D Secure o 3D-S. Pero cuidado: debido a la PSD2, aquí también se requiere un procedimiento ampliado, llamado 3D Secure 2.0, o 3DS2 para abreviar.

Hasta ahora, los clientes de compras a menudo sólo necesitaban el número de su tarjeta de crédito y el correspondiente dígito de control para completar una compra. En el futuro, también se requerirá un número de transacción (TAN), que se envía al teléfono móvil o smartphone, y una contraseña. Seguro que conoce este procedimiento desde su banca online. Las listas en papel con números de transacción, iTAN para abreviar, ya no se permitirán en el futuro.

Nota

Las compras a cuenta y mediante domiciliación bancaria no se ven afectadas por la DSP2. Véanse las explicaciones del IT-Recht Kanzlei.

¿Qué necesitas saber como propietario de una tienda o profesional de WP?

En el futuro, debe asegurarse de que se utiliza un procedimiento seguro cuando se paga con tarjeta de crédito u otros servicios (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). Sin embargo, por lo general no tiene que implementarlo usted mismo, sino que es tarea de los respectivos proveedores de servicios. A no ser que utilices una solución muy exótica o hecha por ti mismo. Deberías hacer que un bufete de abogados adecuado y especializado en derecho online revise esto en relación con la PSD2.

Todos los grandes proveedores están trabajando febrilmente para aplicar la nueva política. Consulte con los servicios que utiliza: ¿Cuál es la situación aquí? ¿La autenticación ya cumple con la PSD2? La nueva normativa de la UE entra por fin en vigor y tu aún no está preparada? Entonces debería considerar no ofrecer la opción de pago hasta que se hayan realizado mejoras.

También hay cambios en la "Sofortüberweisung". Según el proveedor Klarna, el procedimiento recibirá un paso adicional de autentificación, que será asumido por el banco respectivo. Hay que observar qué servicio de pago se puede utilizar en el futuro y en qué medida, y si esto repercute en laconversión de tu en la tienda.

Importante

tu ¿Pasan los proveedores de la PSD2 datos diferentes a los de antes? ¿O integra nuevos servicios de pago? Entonces, es posible que tenga que adaptarlos textos legales de tu en WooCommerce.

¿Qué dice WooCommerce ?

Los creadores de WooCommerce dedicar una entrada del blog al tema. Según ellos, la mayoría de los proveedores de servicios de pago confían en 3D Secure 2 para cumplir los requisitos.

En general, los servicios adecuados en el futuro tendrían que tener en cuenta al menos dos de los tres pasos siguientes para garantizar la "autentificación fuerte del cliente":

  • Solicitar información que sólo el cliente conoce. Por ejemplo, su contraseña o la respuesta a una pregunta de seguridad.
  • Enviar la autenticación a un "proceso controlado por el cliente". Según WooCommerce , puede tratarse de un token de hardware o de una notificación push al smartphone tu .
  • Uso de un identificador físico que es único para el cliente. Por ejemplo, una huella dactilar o el Face ID.

¿Le interesan los detalles exactos? El grado de concreción de los requisitos, es decir, si la respuesta a una pregunta de seguridad es suficiente, lo determinan los tratados de la UE. Véase la versión actual de las "Normas reglamentarias para la autentificación fuerte de los clientes".

En función del estado de la técnica -y de los métodos más susceptibles de ser explotados por los piratas informáticos- es probable que se produzcan algunos ajustes a medio y largo plazo. La lucha por una mayor seguridad siempre se parece a un juego del gato y el ratón.

¿Cuáles son las posibilidades de integración?

WooCommerce nombra algunos proveedores o tus plugins de WordPress, que se supone que ya están "PSD2 listos". Hemos conectado las extensiones aquí para ti:

¿Utiliza otros métodos y redes de pago distintos de los mencionados aquí? Pregunte a los respectivos promotores si se aplicará la DSP2 y cuándo. Si no es así, debe buscar una alternativa Plugin o un servicio.

Apreciamos tus comentarios

¿Ya has consultado con tu proveedor? ¿O tienes un consejo de plugin para nosotros? Comparte tus experiencias en los comentarios.

Las normas de la PSD2 también se aplican a los pagos en el modelo de suscripción. Por ejemplo, si trabaja con Plugin WooCommerce Subscriptions para habilitar los pagos recurrentes.

¿Se aplica la PSD2 o la SCA también a los comerciantes de fuera de la UE?

No depende necesariamente del lugar en el que se encuentren los concesionarios. Aquí WooCommerce se expresa con toda claridad:

La SCA también se aplica si el banco adquirente o el procesador están situados en el Espacio Económico Europeo (EEE) y el instrumento de pago del cliente fue emitido en el EEE.

El Espacio Económico Europeo incluye todos los Estados miembros de la Unión Europea, así como Islandia, Liechtenstein y Noruega. Así que un comerciante en el extranjero debe trabajar completamente con los proveedores de servicios nacionales, los bancos y los clientes para evitar verse afectado por la PSD2 o la Autenticación Fuerte de Clientes. Esta, entre otras razones, es la razón por la que los proveedores de servicios de pago internacionales tienen tanta prisa por cumplir la normativa. La petición europea de más seguridad en línea tiene implicaciones mundiales.

¿Seguirán estando permitidos los TAN por SMS?

Paralelamente a la PSD2, se ha desarrollado un debate paralelo en los círculos especializados sobre el grado de seguridad del TAN por SMS (también conocido como mTAN). Consulte el artículo La banca online y la PSD2 en heise.de. Últimamente, se ha registrado un número creciente de informes sobre intentos de ataques en los que se toma el teléfono móvil o el smartphone de la víctima. Por ejemplo, a través de correos electrónicos de phishing o aplicaciones manipuladas.

La Oficina Federal de Seguridad de la Información (BSI) escribe al respecto:

Aunque el procedimiento mTan es práctico y fácil de usar, desgraciadamente también alberga algunos riesgos. En determinadas circunstancias, los delincuentes pueden interceptar o redirigir los mensajes SMS enviados para la autenticación... Por ello, la BSI recomienda no utilizar los procedimientos mTAN.

En el marco de la PSD2, el mTAN seguirá estando permitido hasta ahora. Sin embargo, los bancos ya están buscando alternativas. Heise menciona pushTAN, chipTAN, photoTAN, appTAN y signaturTAN.

¿Qué se supone que consigue la PSD2?

La directiva no sólo pretende hacer más seguras las transacciones de pago (en línea). Los iniciadores también esperan que la competencia en el mercado sea más fuerte. El españoles Bundesbank lo expresa así en su información sobre la PSD2:

Por ejemplo, los consumidores no tienen que conectarse al sistema bancario en línea de su entidad de crédito cuando hacen una compra en Internet, sino que pueden iniciar la transferencia a través de un servicio de iniciación de pagos ofrecido en el sitio web del comerciante.

Continúa:

La DSP2 regula el acceso de estos "terceros proveedores de servicios de pago" a las cuentas de pago en los proveedores de servicios de pago titulares de cuentas. Sin embargo, sólo se concede acceso a estos proveedores si usted, como titular de la cuenta, lo acepta explícitamente.

En el futuro, habrá muchos más actores en el mercado de los pagos en línea. Los bancos y las entidades de crédito están perdiendo poder. La integración de "terceros proveedores de servicios de pago" -que, sin embargo, están bajo la supervisión y el control de las autoridades nacionales de supervisión- permite el desarrollo de servicios e ideas de negocio totalmente nuevos. En España , esta autoridad de supervisión es la Autoridad Federal de Supervisión Financiera (BaFin).

Excepciones a la DSP2

Varios medios de comunicación y bancos informan de casos excepcionales en los que los proveedores de servicios de pago pueden prescindir de la autenticación fuerte de los clientes. Por ejemplo, se menciona un límite de 30 euros para las "operaciones de pago electrónico a distancia". Por debajo de este umbral, la autenticación bidireccional no sería necesariamente necesaria. Puede encontrar más información en la entrada del blog PSD2 y SCA del bufete de abogados Wilde Beuger Solmecke.

La propia BaFin menciona un umbral de 50 euros, pero para los pagos con tarjeta sin contacto. En el caso de los pagos con tarjeta en Internet, se expresa de forma más vaga. Los proveedores de servicios de pago podrían llevar a cabo aquí el llamado análisis de riesgo de las transacciones. La Agencia Federal dice:

Cada pago entrante se comprueba automáticamente para determinar si el riesgo de fraude es bajo... Si la información sobre el pago de que dispone el proveedor de servicios de pago da la impresión de que existe un mayor riesgo de fraude, el proveedor de servicios de pago debe llevar a cabo una autenticación fuerte del cliente.

Los indicios de un mayor riesgo de fraude deben ser, por ejemplo, una desviación de las pautas de comportamiento habituales del cliente. O una similitud con patrones de fraude conocidos. También se prevén las correspondientes flexibilidades en el B2B. Y habrá una lista blanca en la que un banco podrá clasificar a sus clientes corporativos como receptores de pagos de confianza.

Sin embargo, como operador de una tienda no suele tener que preocuparse por estos límites, siempre que se interponga un proveedor de servicios.

Otras fuentes

¿Quiere saber más sobre la PSD2 alias SCA? Aquí hay artículos adecuados para usuarios y desarrolladores:

Puede encontrar más consejos sobre WooCommerce en nuestro libro electrónico de más de 70 páginas WooCommerce para profesionales: Tiendas online con WordPress . Está dirigido a autónomos, agencias, profesionales de WP, pero también a principiantes.

¿Tiene preguntas sobre la PSD2 y WooCommerce? No dudes en utilizar la función de comentarios. ¿Quieres más consejos sobre WordPress & WooCommerce? Entonces síguenos en Twitter, Facebook o a través de nuestra newsletter.

Foto colaboradora: William Iven

Michael es responsable del departamento de contenidos y Salud Mental en RAIDBOXES. Participa activamente en la comunidad de bloggers y en WordPress desde 2007. Entre otras cosas, como coorganizador de eventos WordPress, autor de libros y formador de blogs corporativos. Disfruta increíblemente de los blogs, tanto a nivel profesional como personal. Michael trabaja y escribe a distancia desde la soleada ciudad alemana de Friburgo.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.