Autenticação 3DS 2.0
O que é 3DS 2.0?
Com o objetivo de minimizar o índice de fraude sem prejudicar a taxa de conversão, a indústria de meio de pagamento desenvolveu o padrão de autenticação EMV 3DS, também chamado de 3DS 2.0. A nova versão é capaz de analisar dezenas de variáveis que são utilizadas como critérios para determinar se um comprador é de fato o portador cartão, permitindo em alguns casos, a autenticação silenciosa do mesmo (autenticação sem desafio), sem prejuízo à questão do Liability Shift dos estabelecimentos.
Principais benefícios:
- Integração facilitada via Java Script;
- Interface de autenticação é responsiva para mobile;
- Possibilidade de autenticação "silenciosa" (isenção do desafio);
- Minimiza transações com fraudes;
Palavras chaves: Autenticação de Cartão de Crédito e Débito, EMVCO, 3DS 2.0, Visa, Mastercard, E-Commerce
Quem pode usar o 3DS 2.0?
O 3DS 2.0 é válido para todas as transações de eCommerce, sejam de débito, crédito ou pré-pago. Aos segmentos que possuem alto índice de chargeback/fraude, a solução tende a ser ainda mais vantajosa frente ao benefício de passar o liability shift ao banco emissor.
Quais são requisitos para a utilização do 3DS 2.0?
O estabelecimento comercial deve atender aos requisitos abaixo para a utilização do 3DS 2.0:
- Ter afiliação do Cielo E-Commerce 1.5 ou 3.0;
- Ter o cadastro de 3DS 2.0 (solicitar para o Suporte eCommerce);
- Concluir a integração técnica do fluxo de autenticação;
- Concluir a integração técnica do fluxo de autorização;
O que é o Data Only – Somente Notificação
O Data Only é um campo opcional ao lojista que poderá ser utilizado exclusivamente para cartões Mastercard. Para esses casos, o ECI será sempre 04.
Para utilizá-lo, deverá ser parametrizado o campo bpmpi_auth_notifyonly descrito no item Etapa de Autenticação – passo 3 – Mapeamento de classes. No modelo Data Only, os campos adicionais do 3DS 2.0 são mapeados da mesma forma, e enviados para a Mastercard e Bancos Emissores, porém, sem solicitar a autenticação.
O benefício do uso do Data Only é enriquecer o banco de dados dos Bancos Emissores e da Mastercard, que passará a receber mais informações sobre os portadores de cada lojista. Esse campo busca aprimorar a autenticação silenciosa e o índice de aprovação dos Emissores, considerando o contexto atual onde o mercado está evoluindo para a integração com o novo protocolo de autenticação 2.0. Além disso, a partir de Maio de 2019, a bandeira Mastercard cobrará um fee adicional por transação não autenticada do adquirente, que poderá impactar no preço negociado entre a Cielo e o estabelecimento. O Data Only isenta o valor do fee cobrado.
Vale destacar que nesse modelo, visto que não há autenticação do Emissor, o risco de chargeback por fraude permanece com o lojista.
Fluxo de Pagamento 3DS 2.0 | Com desafio
- O Portador preenche os dados do cartão no checkout do estabelecimento.
- O Estabelecimento aciona a solução 3DS 2.0 da Cielo via script para autenticação.
- A solução 3DS 2.0 da Cielo envia ao MPI (plataforma de autenticação) os dados do comprador.
- O MPI se comunica com a Bandeira para processar a autenticação. A Bandeira identifica o emissor do cartão, e envia dos dados do comprador para análise. O emissor identifica o portador como um possível risco, desta forma, exige o desafio e retorna a URL de Autenticação.
- A Bandeira retorna a URL de autenticação ao MPI.
- O MPI retorna a URL de autenticação à solução 3DS 2.0.
- A solução 3DS 2.0 retorna a URL de Autenticação ao estabelecimento via script.
- O script apresenta a tela da autenticação via lightbox.
- O portador resolve o desafio na tela do emissor.
- O emissor retorna o resultado da autenticação à Bandeira.
- A Bandeira retorna o resultado da autenticação ao MPI.
- O MPI retorna o resultado da autenticação à solução 3DS 2.0.
- A solução 3DS 2.0 retorna o resultado da autenticação ao estabelecimento via script (CAVV, ECI e XID).
- O estabelecimento envia uma requisição de autorização com os dados da autentiação à API Cielo 3.0.
- A API Cielo 3.0 retorna o resultado da autorização ao estabelecimento.
- O estabelecimento informa o resultado do pagamento..
Fluxo de Pagamento 3DS 2.0 | Sem desafio
- O Portador preenche os dados do cartão no checkout do estabelecimento
- O Estabelecimento aciona a solução 3DS 2.0 da Cielo via script para autenticação
- A solução 3DS 2.0 da Cielo envia ao MPI (plataforma de autenticação) os dados do comprador
- O MPI se comunica com a Bandeira para processar a autenticação. A Bandeira identifica o emissor do cartão, e envia dos dados do comprador para análise.
- A Bandeira retorna o resultado da autenticação silenciosa (CAVV e ECI)
- O MPI retorna o resultado da autenticação silenciosa à solução 3DS 2.0
- A solução 3DS 2.0 retorna o resultado da autenticação silenciona ao estabelecimento via script
- O estabelecimento envia uma requisição de autorização com os dados da autentiação à API Cielo 3.0
- A API Cielo 3.0 retorna o resultado da autorização ao estabelecimento
- O estabelecimento informa o resutlado do pagamento
Como funciona a autorização com autenticação via 3DS 2.0?
O processo de autorização de cartão autenticada via 3DS 2.0 ocorre em duas etapas:
- Etapa 1: Autenticação
- Etapa 2: Autorização
O fluxo abaixo descreve as etapas em alto nível:
- O portador escolhe pagar com cartão de crédito ou débito
- O estabelecimento solicita a autenticação através da solução Cielo
- A plataforma de autenticação poderá seguir um dos dois fluxos: requisitar a autenticação do portador ou realizar a autenticação de forma silenciosa. No primeiro caso, a plataforma retornará a URL de Autenticação ao estabelecimento. No segundo caso, o passo seguinte já é o retorno com o resultado da autenticação.
- O estabelecimento apresenta a interface de autenticação no lightbox (URL de Autenticação do emissor)
- O portador se autentica no emissor (processo conhecido como realizar o desafio )
- O emissor retorna o resultado da autenticação à plataforma 3DS, que por sua vez repassa para o estabelecimento
- O estabelecimento poderá ou não, seguir com o processo de autorização. Quando optar por autorizar deverá submeter o resultado da autenticação no contrato técnico de autorização
- A Cielo retorna o resultado da autorização para o estabelecimento, que por sua vez, retorna para o portador
Autenticação
A solução é composta pelo passo de solicitação de token de acesso via API. Para implementação em websites, acesse o manual de Autenticação via JavaScript.
Autorização com Autenticação
Após autenticação ser concluída, submete-se ao processo de autorização, enviando os dados de autenticação no modelo de autenticação externa (nó ExternalAuthentication).
Veja mais detalhes em Autorização com Autenticação.
ECI (E-commerce Indicator)
E-Commerce Indicator (ECI) é retornado no processo de autenticação. Este código é um indicador do que exatamente ocorreu no processo de autenticação da transação. Por meio do ECI, pode-se verificar se a transação foi autenticada e quem foi o agente responsável por aquela autenticação, conforme tabela abaixo:
| Bandeira | ECI | Significado da Transação |
|---|---|---|
| Visa | 05 | Autenticada pelo Banco Emissor – risco de chargeback passa a ser do banco Emissor |
| Visa | 06 | Autenticada pela Bandeira – risco de chargeback passa a ser do banco Emissor |
| Visa | Diferente de 05 e 06 | Não autenticada – risco de chargeback permanece com o estabelecimento |
| Mastercard | 01 | Autenticada pela Bandeira – risco de chargeback passa a ser do banco Emissor |
| Mastercard | 02 | Autenticada pelo Banco Emissor – risco de chargeback passa a ser do banco Emissor |
| Mastercard | 04 | Não autenticada, transação caracterizada como Data Only – risco de chargeback permanece com o estabelecimento |
| Mastercard | Diferente de 01, 02 e 04 | Não autenticada – risco de chargeback permanece com o estabelecimento |
| Elo | 05 | Autenticada pelo Banco Emissor – risco de chargeback passa a ser do banco Emissor |
| Elo | 06 | Autenticada pela Bandeira – risco de chargeback passa a ser do banco Emissor |
| Elo | 07 | Não autenticada – risco de chargeback permanece com o estabelecimento |
