Ultima actualización 5/06/2015

1. 3-D Secure v1.0

1.1 Introducción

**La versión 1 de esta guía no estará publicada hasta abril de 2019.**

El protocolo 3-D permite la identificación del titular de la tarjeta durante el proceso de compra. El titular de la tarjeta debe estar conectado a Internet durante el proceso de identificación. Por tanto, 3-D Secure no funciona para centros de llamadas o pagos periódicos.

Visa ha implementado el protocolo 3-D Secure con el nombre Verified By Visa, MasterCard con el nombre SecureCode, JCB con el nombre J-Secure y American Express con el nombre SafeKey.

El principio de la integración de DirectLink con 3-D Secure es iniciar un pago en modo DirectLink y finalizarlo en modo e-Commerce si se solicita la autenticación del titular.

Este documento describe la integración del protocolo 3-D Secure en DirectLink. Para obtener más información sobre DirectLink o e-Commerce, consulte la documentación de DirectLink o e-Commerce.

El flujo de transacciones implica los siguientes pasos:

  1. Envíenos una solicitud de DirectLink para la transacción con el número de parámetros adicionales (véase Parámetros de solicitud extra).
  2. Nuestro sistema recibe el número de tarjeta en su solicitud y comprueba en línea si la tarjeta está registrada en el directorio VISA/MasterCard/JCB/AmEx (registrada significa que la identificación es posible para el número de tarjeta; por ejemplo, es una tarjeta 3-D Secure).
  3. Si el titular de la tarjeta está registrado, la respuesta a la solicitud de DirectLink contendrá un estado de pago específico y código html que se devolverá al cliente para iniciar el proceso de identificación (véase Campos devueltos adicionales). El bloque de código html iniciará automáticamente el proceso de identificación entre el titular de la tarjeta (cliente) y su banco emisor.
  4. El titular de la tarjeta se identifica a sí mismo en la página del banco emisor.
  5. Nuestro sistema recibe la respuesta de identificación del emisor.
  6. Si la identificación ha sido correcta, nuestro sistema enviará la transacción financiera real a la entidad adquirente.
  7. Recibirá el resultado de la identificación global y el proceso de autorización en línea a través de los canales de respuesta del modo e-Commerce.

Comentarios:

  • La aplicación de la transferencia de responsabilidad dependerá del contrato de su entidad adquirente. Por tanto, le recomendamos consultar los términos y condiciones con su entidad adquirente.
  • Si el titular de la tarjeta no está registrado (en el paso 3), recibirá la respuesta XML de DirectLink estándar que contiene el resultado del proceso de autorización en línea.
  • Para recibir los códigos de estado/error de pago exactos (en el paso 7), deberá implementar la respuesta posventa en línea o sin conexión, tal como se describe en la documentación de e-Commerce.

Aparte de los parámetros de DirectLink estándar, también es posible que tenga que enviar la siguiente información:

Campo Descripción
FLAG3D

Valor fijo: ‘Y’

Indica a nuestro sistema que lleve a cabo una identificación 3-D Secure si es necesario.

HTTP_ACCEPT El campo Aceptar de la cabecera de la solicitud en el navegador del titular de la tarjeta se utiliza para especificar determinados tipos de medios aceptables para la respuesta. El emisor utiliza este valor para comprobar si el navegador del titular de la tarjeta es compatible con el sistema de identificación del emisor. Por ejemplo:
Aceptar: */*
HTTP_USER_AGENT El campo Agente del usuario de la cabecera de la solicitud en el navegador del titular de la tarjeta contiene información sobre el agente del usuario que originó la solicitud. El emisor utiliza este valor para comprobar si el navegador del titular de la tarjeta es compatible con el sistema de identificación del emisor. Por ejemplo: Agente del usuario: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
WIN3DS Forma de mostrar la página de identificación al cliente. Valores posibles:
  • MAINW: muestra la página de identificación en la ventana principal (valor predeterminado).
  • POPUP: muestra la página de identificación en una ventana emergente y vuelve a la ventana principal al final.
  • POPIX: muestra la página de identificación en una ventana emergente y permanece en la ventana emergente.
ACCEPTURL URL de la página web para mostrar al cliente cuando se autoriza el pago. (o se espera que se autorice).
DECLINEURL URL al que se redirecciona al cliente si se ha alcanzado el máximo número de intentos de autorización fallidos (10 de forma predeterminada, pero que puede cambiar en la página Información técnica, pestaña "Parámetros de transacción globales", sección "Reintento de pago").
EXCEPTIONURL URL de la página web para mostrar al cliente cuando el resultado del pago es dudoso.
PARAMPLUS Campo para enviar parámetros varios y los valores que desea que se devuelvan en la solicitud de posventa o en el redireccionamiento final.
COMPLUS Campo para enviar un valor que desea que se devuelva en la solicitud de postventa o en la respuesta.
LANGUAGE Idioma del cliente, por ejemplo: “en_US”
Opcional
TP Para cambiar el diseño de la página "order_A3DS", puede enviar un nombre/url de plantilla con este parámetro. (vaya a e-Commerce: Plantilla dinámica).

Si desea más información, vaya a Respuesta de transacción.

Si el titular no está registrado, se devolverá la respuesta de DirectLink normal. Si el titular está registrado, se devolverán los siguientes campos (adicionales):

Campo Descripción
STATUS
Nuevo valor: “46” (esperando identificación)
HTML_ANSWER

Se puede añadir código HTML codificado con BASE64 en la página HTML devuelta al cliente.

Esta etiqueta se añade como elemento secundario de la etiqueta global XML <ncresponse>. El campo HTML_Answer contiene código HTML que añadirse a la página HTML devuelta al navegador del cliente.

Este código cargará automáticamente la página de identificación del banco emisor en una ventana emergente en la ventana principal, dependiendo del valor del parámetro WIN3DS.

Para evitar cualquier interferencia entre las etiquetas HTML incluidas en el contenido de la etiqueta HTML_ANSWER XML con el resto del XML devuelto como respuesta a la solicitud de DirectLink, el contenido de HTML_ANSWER es codificado mediante BASE64 por nuestro sistema antes de enviar la respuesta. En consecuencia, se debe descodificar mediante BASE64 antes de incluirlo en la página HTML enviada al titular de la tarjeta.

Tarjetas de prueba

Puede usar las siguientes tarjetas de prueba para simular una tarjeta registrada 3-D Secure en nuestro entorno de prueba:

Marca Número de tarjeta Fecha de caducidad Contraseña
VISA 4000000000000002 Cualquier fecha del futuro 11111
MasterCard 5300000000000006 Cualquier fecha del futuro 11111
American Express 371449635311004 Cualquier fecha del futuro 11111
Identificación incorrecta

Si una transacción está bloqueada debido a una identificación incorrecta, el resultado de la transacción será:

STATUS = 0

NCSTATUS = 5

NCERROR = 40001134

2. 3-D Secure v2.0 (Disponible a partir de abril de 2019)

2.1 Introducción

En 2013, la Comisión Europea publicó una propuesta para elaborar una versión revisada de la Directiva sobre servicios de pago, conocida como PSD2, para simplificar el procesamiento de pagos y crear reglas y reglamentos para los servicios de pago en la UE, lo que desencadenó la necesidad de desarrollar una versión nueva de 3-D Secure, denominada v2.1.

El cambio más importante es que se le solicita que, en calidad de comerciante, comparta más datos: los emisores tienen un gran interés en que los puntos de datos mejoren la precisión en las decisiones, lo que en última instancia conducirá a un escenario libre de problemas, pero son ustedes, los comerciantes, los que están en primera línea en lo que se refiere a la captura de datos. El enfoque de 3DS v2 sobre la evaluación de riesgos es más efectivo, pero le obliga a cambiar todo el ecosistema para que pueda hacer llegar los datos al emisor.

El flujo de la transacción implica los pasos siguientes:

1. Nos envía una solicitud de DirectLink para la transacción que contiene una serie de parámetros adicionales. 

Estos parámetros se pueden agrupar en tres conjuntos:

a. Los parámetros obligatorios que deben capturarse en la página de pago donde el titular de la tarjeta está ingresando los detalles de la tarjeta.

Parámetros Descripción
browserAcceptHeader

Contenido exacto de los encabezados HTTP Accept, tal como se envían al comerciante desde el navegador del titular de la tarjeta.

browserColorDepth Valor que representa la profundidad de bits de la paleta de colores para visualizar imágenes, en bits por píxel. La proporciona el navegador del titular de la tarjeta mediante la propiedad de profundidad de color de pantalla.
browserJavaEnabled Valor booleano que representa la capacidad del navegador del titular de la tarjeta para ejecutar Java. El valor es devuelto por la propiedad de Java Enabled del navegador.
browserLanguage Valor que representa el idioma del navegador, tal como se define en IETF BCP47. Lo devuelve la propiedad Language del navegador.
browserScreenHeight Altura total de la pantalla del titular de la tarjeta, en píxeles. El valor es devuelto por la propiedad Screen Height.
browserScreenWidth Anchura total de la pantalla del titular de la tarjeta, en píxeles. El valor es devuelto por la propiedad Screen Width.
browserTimeZone Diferencia horaria entre la hora UTC y la hora local del navegador del titular de la tarjeta, en minutos.
browserUserAgent Contenido exacto del encabezado HTTP User-Agent.

Nota: No olvide calcular los parámetros en su firma SHA.

b. Parámetros adicionales obligatorios (véase Parámetros de solicitud extra)

c. Parámetros recomendados (lista de parámetros) que, si se envían, tendrán un efecto positivo en la tasa de conversión de las transacciones. De acuerdo con la información que contienen estos parámetros, puede producirse un flujo de autenticación sin problemas, en el que ya no se tenga que autenticar al titular de la tarjeta, por lo que se prevé que la transacción se complete de forma más rápida. Por el contrario, si no se proporciona ninguno de estos parámetros, se llevará a cabo el redireccionamiento relacionado con la autenticación normal.

Nuestro sistema recibe el número de tarjeta en su solicitud y comprueba en línea si la tarjeta está registrada en el directorio VISA/MasterCard/JCB/AmEx (registrada significa que la identificación es posible para el número de tarjeta; por ejemplo, es una tarjeta 3-D Secure).

2. De acuerdo con la respuesta del directorio de los sistemas, si el titular de la tarjeta está registrado para 3-D Secure, se prevén dos posibles flujos, en función de si se han proporcionado los parámetros adicionales indicados en el apartado 1.c (Parámetros recomendados-lista de parámetros) anterior:

2.1. Un flujo sin problemas: El titular de la tarjeta no necesita físicamente autenticarse porque la autenticación se realizó en segundo plano sin su aportación. En este caso, el cambio de responsabilidad es del banco emisor.>

2.2. Un flujo con comprobación: Se debe realizar una identificación adicional del titular de la tarjeta.

i. La respuesta a la solicitud de DirectLink contiene un estado de pago específico y un código html que se debe devolver al cliente para iniciar el proceso de identificación (véase Campos de devolución adicionales). El bloque de código html iniciará automáticamente el proceso de identificación entre el (cliente) titular de la tarjeta y el banco emisor.

ii. El titular de la tarjeta se identifica a sí mismo en la página del banco emisor.

iii. Nuestro sistema recibe la respuesta de identificación del emisor.

iv. Si la identificación ha sido correcta, nuestro sistema enviará la transacción financiera real a la entidad adquirente.
3. Recibirá el resultado de la identificación global y el proceso de autorización en línea a través de los canales de respuesta del modo e-Commerce.

Aparte de los parámetros de DirectLink estándar, también es posible que tenga que enviar la siguiente información:

Campo Descripción
FLAG3D

Valor fijo: ‘Y’

Indica a nuestro sistema que lleve a cabo una identificación 3-D Secure si es necesario.

HTTP_ACCEPT El campo Aceptar de la cabecera de la solicitud en el navegador del titular de la tarjeta se utiliza para especificar determinados tipos de medios aceptables para la respuesta. El emisor utiliza este valor para comprobar si el navegador del titular de la tarjeta es compatible con el sistema de identificación del emisor. Por ejemplo:
Aceptar: */*
HTTP_USER_AGENT El campo Agente del usuario de la cabecera de la solicitud en el navegador del titular de la tarjeta contiene información sobre el agente del usuario que originó la solicitud. El emisor utiliza este valor para comprobar si el navegador del titular de la tarjeta es compatible con el sistema de identificación del emisor. Por ejemplo: Agente del usuario: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
WIN3DS Forma de mostrar la página de identificación al cliente. Valores posibles:
  • MAINW: muestra la página de identificación en la ventana principal (valor predeterminado).
  • POPUP: muestra la página de identificación en una ventana emergente y vuelve a la ventana principal al final.
  • POPIX: muestra la página de identificación en una ventana emergente y permanece en la ventana emergente.
ACCEPTURL URL de la página web para mostrar al cliente cuando se autoriza el pago. (o se espera que se autorice).
DECLINEURL URL al que se redirecciona al cliente si se ha alcanzado el máximo número de intentos de autorización fallidos (10 de forma predeterminada, pero que puede cambiar en la página Información técnica, pestaña "Parámetros de transacción globales", sección "Reintento de pago").
EXCEPTIONURL URL de la página web para mostrar al cliente cuando el resultado del pago es dudoso.
PARAMPLUS Campo para enviar parámetros varios y los valores que desea que se devuelvan en la solicitud de posventa o en el redireccionamiento final.
COMPLUS Campo para enviar un valor que desea que se devuelva en la solicitud de postventa o en la respuesta.
LANGUAGE Idioma del cliente, por ejemplo: “en_US”
Opcional
TP Para cambiar el diseño de la página "order_A3DS", puede enviar un nombre/url de plantilla con este parámetro. (vaya a e-Commerce: Plantilla dinámica).

Si desea más información, vaya a Respuesta de transacción.

Si el titular no está registrado, se devolverá la respuesta de DirectLink normal. Si el titular está registrado, se devolverán los siguientes campos (adicionales):

Campo Descripción
STATUS
Nuevo valor: “46” (esperando identificación)
HTML_ANSWER

Se puede añadir código HTML codificado con BASE64 en la página HTML devuelta al cliente.

Esta etiqueta se añade como elemento secundario de la etiqueta global XML <ncresponse>. El campo HTML_Answer contiene código HTML que añadirse a la página HTML devuelta al navegador del cliente.

Este código cargará automáticamente la página de identificación del banco emisor en una ventana emergente en la ventana principal, dependiendo del valor del parámetro WIN3DS.

Para evitar cualquier interferencia entre las etiquetas HTML incluidas en el contenido de la etiqueta HTML_ANSWER XML con el resto del XML devuelto como respuesta a la solicitud de DirectLink, el contenido de HTML_ANSWER es codificado mediante BASE64 por nuestro sistema antes de enviar la respuesta. En consecuencia, se debe descodificar mediante BASE64 antes de incluirlo en la página HTML enviada al titular de la tarjeta.

Tarjetas de prueba

Puede usar las siguientes tarjetas de prueba para simular una tarjeta registrada 3-D Secure en nuestro entorno de prueba:

Flujo sin problemas
Marca Número de tarjeta Fecha de caducidad
VISA 4186455175836497 Cualquier fecha del futuro
Mastercard
5137009801943438 Cualquier fecha del futuro
American Express
375418081197346 Cualquier fecha del futuro

Flujo con comprobación
Marca Número de tarjeta Fecha de caducidad
VISA 4874970686672022 Cualquier fecha del futuro
Mastercard
5130257474533310 Cualquier fecha del futuro
American Express
379764422997381 Cualquier fecha del futuro
Identificación incorrecta

Si una transacción está bloqueada debido a una identificación incorrecta, el resultado de la transacción será:

STATUS = 0

NCSTATUS = 5

NCERROR = 40001134

Este sitio web utiliza cookies para poder darle la mejor experiencia de usuario. Si usted no desea aceptar estas cookies, permitimos que cambie la configuración de cookies. Haga clic en "Aceptar" para permitir todas las cookies de este sitio web.

Ajustes de cookies

Introducción

Funcional

Cookies funcionales son necesarios para el sitio web funcione correctamente. Estas cookies no se pueden desactivar.

Optimizado

Cookies de optimización nos permiten analizar el uso del sitio para que podamos medir y mejorar nuestro sitio web.
Este es el nivel predeterminado.

Personalizado

Cookies de personalización se utilizan para los medios sociales y la personalización antelación. Ellos nos permiten mostrarle información relacionada con su empresa. 


Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma

Ejemplo de funcionalidad no permitido

  • Guardar los datos personales
  • Seguimiento anónimo a través de Google Analytics
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics
  • Servir contenido relevante a sus intereses
  • Servir anuncios relevantes para sus intereses
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale