WooCommerce PSD2

PSD2 & WooCommerce: Lo que necesitas saber para tu tienda online

¿Tienes tiendas online con WordPress? ¿O las preparas para tus clientes? Entonces debes conocer la "Segunda Directiva Europea de Servicios de Pago", más conocida como PSD2. Prescribe nuevos procedimientos para la autentificación del cliente en el proceso de pago. Enumeramos las recomendaciones y complementos más importantes para WooCommerce.

Por regla general, la PSD2 entra en juego para ti como propietario/a de una tienda cuando tu clientela paga con tarjeta de crédito. E incluso entonces tu proveedor de servicios está obligado. Solo tienes que asegurarte de que ya cumplen con la PSD2. Para estar seguro/a, comprueba también todas las demás opciones de pago que ofreces. Más información al respecto en un momento.

Lo mismo ocurre con las agencias y freelancers. Aquí deberías comprobar el plugin de pago o los proveedores asociados que utilizan tus clientes/as: ¿han convertido sus procesos a la PSD2? Si no es así, ten en cuenta las extensiones alternativas. Encontrarás información completa sobre WooCommerce en nuestro libro electrónico de más de 70 páginas WooCommerce para profesionales.

Nota

Este post no es un consejo legal. Como proveedores de hosting WordPress nos hemos ocupado de la PSD2 nosotros/as mismos/as. Sin embargo, no somos abogados/as. Por ello, asesórate en un bufete de abogados adecuado para el derecho en línea.

¿Qué es la PSD2, también conocida como SCA?

A partir del 14 de septiembre de 2019 deben aplicarse las nuevas normas de la UE para las operaciones de pago: la Segunda Directiva Europea de Servicios de Pago, o PSD2 para abreviar. Esto incluye la obligación de autentificación segura del cliente para las ofertas de banca en línea. En inglés: Strong Customer Authentication (SCA).

La introducción de las nuevas normas de pago en internet se ha pospuesto. "Temporalmente", como se dice. Porque a las autoridades les preocupa que las empresas no estén todavía suficientemente preparadas para la directiva. Y, sin embargo, ya deberías aplicar la directiva o hacerla aplicar. Más adelante se hablará de esto.

En el fondo, se trata de hacer más seguras las compras en internet. La ley exige entonces una autenticación fuerte del cliente, o autenticación de 2 factores (2FA). Muchos bancos ya han cambiado sus procesos, y seguro que el tuyo ya se ha puesto en contacto contigo.

En las tiendas online, esto afecta principalmente a los pagos con tarjeta de crédito. A menos que ya estén utilizando un procedimiento seguro como 3-D Secure o 3D-S. Pero cuidado: debido a la PSD2, aquí también se requiere un procedimiento ampliado, llamado 3D Secure 2.0, o 3DS2 para abreviar.

Hasta ahora, los/as clientes/as de compras a menudo solo necesitaban el número de su tarjeta de crédito y el correspondiente dígito de control para completar una compra. En el futuro, también se requerirá un número de transacción (TAN), que se envía al teléfono móvil o smartphone, y una contraseña. Seguro que conoces este procedimiento desde tu banca online. Las listas en papel con números de transacción, iTAN para abreviar, ya no se permitirán en el futuro.

Nota

Las compras a cuenta y mediante domiciliación bancaria no se ven afectadas por la DSP2. Consulta las explicaciones del IT-Recht Kanzlei.

¿Qué necesitas saber?

En el futuro, debe asegurarse de que se utiliza un procedimiento seguro cuando se paga con tarjeta de crédito u otros servicios (PayPal, Stripe, Amazon Pay, Apple Pay, etc.). Sin embargo, por lo general no tiene que implementarlo usted mismo, sino que es tarea de los respectivos proveedores de servicios. A no ser que utilices una solución muy exótica o hecha por ti mismo. Deberías hacer que un bufete de abogados adecuado y especializado en derecho online revise esto en relación con la PSD2.

Todos los grandes proveedores están trabajando febrilmente para aplicar la nueva política. Consulte con los servicios que utiliza: ¿Cuál es la situación aquí? ¿La autenticación ya cumple con la PSD2? La nueva normativa de la UE entra por fin en vigor y tu aún no está preparada? Entonces debería considerar no ofrecer la opción de pago hasta que se hayan realizado mejoras.

También hay cambios en el método de pago "Paga ahora", también conocido como "Sofort". Según el proveedor Klarna, este procedimiento tendrá un paso adicional de autentificación que será asumido por el banco correspondiente. Deberías observar qué servicio de pago se puede utilizar en el futuro y con qué eficacia, y si esto tiene un impacto en tu conversión en la tienda.

Importante

¿Pasan tus proveedores de la PSD2 datos diferentes a los de antes? ¿O integras nuevos servicios de pago? Entonces, es posible que tengas que adaptartus textos legales en WooCommerce.

¿Qué dice WooCommerce?

Los/as creadores/as de WooCommerce dedican una entrada del blog al tema. Según ellos/as, la mayoría de proveedores de servicios de pago confían en 3D Secure 2 para cumplir los requisitos.

En general, los servicios adecuados en el futuro tendrían que tener en cuenta al menos dos de los tres pasos siguientes para garantizar la "Autenticación reforzada de clientes":

  • Solicita información que solo el/la cliente/a conoce. Por ejemplo, su contraseña o la respuesta a una pregunta de seguridad.
  • Envía una autentificación a un "proceso controlado por el cliente". Según WooCommerce, puede tratarse de un token de hardware o de una notificación push a tu smartphone.
  • Usa un identificador físico único para el/la cliente/a. Por ejemplo, una huella dactilar o el Face ID.

¿Te interesan los detalles exactos? Los tratados de la UE determinan los requisitos específicos, es decir, si la respuesta a una pregunta de seguridad es suficiente. Consulta la versión actual de las "Normas reglamentarias para la autentificación fuerte de clientes/as".

En función del estado de la técnica (y de los métodos más susceptibles de ser explotados por los piratas informáticos) es probable que haya algunos ajustes a medio y largo plazo. La lucha por una mayor seguridad siempre se parece a un juego del gato y el ratón.

Posibilidades de integración

WooCommerce nombra algunos proveedores y sus plugins WordPress que ya están "preparados para la PSD2". Hemos enlazado las extensiones aquí para ti:

¿Utilizas otros métodos y redes de pago distintos de los mencionados aquí? Pregunta a los respectivos promotores si se aplicará la PSD2 y cuándo. Si no es así, deberías buscar un plugin o servicio alternativo.

Apreciamos tus comentarios

¿Ya has consultado con tu proveedor? ¿O tienes un consejo de plugin para nosotros? Comparte tus experiencias en los comentarios.

Las normas de la PSD2 también se aplican a los pagos en el modelo de suscripción. Por ejemplo, si trabajas con el plugin WooCommerce Subscriptions para habilitar los pagos recurrentes.

¿Se aplica la PSD2 o la SCA también a comerciantes fuera de la UE?

No depende necesariamente del lugar en el que se encuentren las filiales principales. Aquí WooCommerce se expresa con toda claridad:

La SCA también se aplica si el banco adquirente o el procesador están situados en el Espacio Económico Europeo (EEE) y el instrumento de pago del cliente fue emitido en el EEE.

El Espacio Económico Europeo incluye todos los Estados miembros de la Unión Europea, así como Islandia, Liechtenstein y Noruega. Un o una comerciante en el extranjero debe trabajar completamente con los proveedores de servicios nacionales, los bancos y los clientes para evitar verse afectado/a por la PSD2 o la Strong Customer Authentication. Esta, entre otras razones, es la razón por la que los proveedores de servicios de pago internacionales tienen tanta prisa por cumplir la normativa. La petición europea de más seguridad en línea tiene implicaciones mundiales.

¿Seguirán estando permitidos los TAN por SMS?

Paralelamente a la PSD2, se ha desarrollado un debate paralelo en los círculos especializados sobre el grado de seguridad del TAN por SMS (también conocido como mTAN). Consulta el artículo sobre online banking y la PSD2 en https://www.bbva.com/es/lo-saber-la-psd2/. Últimamente, se ha registrado un número creciente de informes sobre intentos de ataques en los que se toma el teléfono móvil o el smartphone de la víctima. Por ejemplo, a través de correos electrónicos de phishing o aplicaciones manipuladas.

La Oficina Federal Alemana de Seguridad de la Información (BSI) escribe al respecto:

Aunque el procedimiento mTan es práctico y fácil de usar, desgraciadamente también conlleva algunos riesgos. En determinadas circunstancias, delincuentes pueden interceptar o redirigir los mensajes SMS enviados para la autenticación... Por ello, la BSI recomienda no utilizar procedimientos mTAN.

En el marco de la PSD2, el mTAN seguirá estando permitido hasta ahora. Sin embargo, los bancos ya están buscando alternativas como pushTAN, chipTAN, photoTAN, appTAN y signaturTAN.

¿Qué se supone que consigue la PSD2?

La directiva no solo pretende hacer más seguras las transacciones de pago (en línea). Los iniciadores también esperan que la competencia en el mercado sea más fuerte. El Bundesbank alemán lo expresa así en su información sobre la PSD2:

Por ejemplo, los consumidores no tienen que conectarse al sistema bancario en línea de su entidad de crédito cuando hacen una compra en internet, sino que pueden iniciar la transferencia a través de un servicio de iniciación de pagos ofrecido en el sitio web del comerciante.

Continúa:

La PSD2 regula el acceso de estos "terceros proveedores de servicios de pago" a las cuentas de pago de los proveedores de servicios de pago titulares de cuentas. Sin embargo, solo se concede acceso a estos proveedores si tú, como titular de la cuenta, lo aceptas explícitamente.

En el futuro, habrá muchos más actores en el mercado de los pagos en línea. Los bancos y las entidades de crédito están perdiendo poder. La integración de "terceros proveedores de servicios de pago" (que, sin embargo, están bajo la supervisión y el control de las autoridades nacionales de supervisión) permite el desarrollo de servicios e ideas de negocio totalmente nuevos. En España, esta autoridad de supervisión es la Autoridad Federal de Supervisión Financiera (BaFin).

Excepciones a la PSD2

Varios medios de comunicación y bancos informan de casos excepcionales en los que los proveedores de servicios de pago pueden prescindir de la autenticación reforzada de clientes. Por ejemplo, se menciona un límite de 30 euros para las "operaciones de pago electrónico a distancia". Por debajo de este umbral, la autenticación bidireccional no es necesariamente necesaria.

La propia BaFin (Autoridad Federal de Supervisión Financiera en Alemania) menciona un umbral de 50 euros, pero para los pagos con tarjeta sin contacto. En el caso de los pagos con tarjeta en internet, se expresa de forma más vaga. Los proveedores de servicios de pago podrían llevar a cabo aquí el llamado análisis de riesgo de las transacciones. La Agencia Federal dice:

Cada pago entrante se comprueba automáticamente para determinar si el riesgo de fraude es bajo... Si la información sobre el pago de que dispone el proveedor de servicios de pago da la impresión de que existe un mayor riesgo de fraude, el proveedor de servicios de pago debe llevar a cabo una autenticación reforzada de clientes.

Los indicios de un mayor riesgo de fraude deben ser, por ejemplo, una desviación de las pautas de comportamiento habituales del cliente. O una similitud con patrones de fraude conocidos. También se prevén las correspondientes flexibilidades en el B2B. Y habrá una lista blanca en la que un banco podrá clasificar a sus clientes corporativos como receptores de pagos de confianza.

Sin embargo, como operador/a de una tienda no sueles tener que preocuparte por estos límites, siempre que se interponga un proveedor de servicios.

Otras fuentes

¿Quieres saber más sobre la PSD2 o SCA? Aquí hay artículos adecuados para usuarios/as y desarrolladores/as:

Puedes encontrar más consejos sobre WooCommerce en nuestro libro electrónico de más de 70 páginas WooCommerce para profesionales: tiendas online con WordPress. Está dirigido a freelancers, agencias, profesionales de WP, pero también a principiantes.

Tus dudas sobre la PSD2

¿Qué preguntas tienes? No dudes en utilizar la función de comentarios. ¿Quieres más consejos sobre WordPress y WooCommerce? Entonces síguenos en Twitter, Facebook o a través de nuestra newsletter.

Foto colaboradora: William Iven

¿Te ha gustado el artículo?

Con tu valoración nos ayudas a mejorar aún más nuestro contenido.

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.