O comércio de produtos e serviços pela internet avança batendo recordes a cada mês. Entre os principais motivadores dessa modalidade de compra estão a facilidade em pesquisar preços, a comodidade de realizá-la de qualquer lugar e a possibilidade de pagamento com cartão.

Para entender o processo de autorização de uma transação de crédito ou débito é necessário conhecer os players envolvidos nessa operação:

  • Emissor do cartão: geralmente um banco, é quem tem o relacionamento com o portador do cartão, no caso, o comprador.
  • Adquirente : é a empresa que tem o relacionamento com o estabelecimento comercial, como Cielo, Rede, Elavon, Global Payments, Santander/Getnet, Banrisul.
  • Bandeira : São as empresas administradoras das marcas Visa, Mastercard, Diners etc.

Num pagamento pela internet, o seguinte fluxo é realizado:

  1. Os dados do cartão são solicitados. Esse ponto é extremamente importante e sensível. O comprador deve prestar atenção a sites não confiáveis que possam eventualmente coletar seus dados de cartão para operações fraudulentas. O ideal é verificar se o site possui o certificado PCI-DSS ou se utiliza um gateway de pagamento com esse certificado – como a plataforma PayZen, da Lyra Network;
  2. Os dados do cartão, assim como o valor da transação, código do estabelecimento e outras informações são encaminhados ao adquirente;
  3. O adquirente realiza uma série de verificações e, após a validação das informações, esses dados são repassados ao banco emissor;
  4. O banco emissor revalida alguns dados e verifica a disponibilidade de saldo/crédito para aprovar ou não a transação;
  5. A resposta (Autorizado ou Não) é transmitida ao comprador para confirmar a compra, seguindo o caminho inverso (banco > adquirente > gateway > loja > comprador).

Diminuindo a taxa de chargeback e aumentando a rentabilidade

Um dos grandes riscos das empresas que operam com vendas pela internet é de não receber o valor devido de uma transação previamente aprovada, pois o portador do cartão não reconheceu o lançamento em sua fatura e solicitou ao banco, emissor do seu cartão, o estorno do valor. Esse é o famoso processo de chargeback, onde quem assume o prejuízo, por se tratar de uma transação de cartão não presente, é o estabelecimento comercial.

Na maioria dos casos, o comprador é honesto e foi vitima de roubo dos dados do seu cartão, Mas em certos casos, sobretudo quando o produto adquirido é um serviço, o comprador pode agir de má fé e solicitar o cancelamento da compra depois de ter consumido o serviço. Em ambos, o prejuízo é assumido pelo lojista, o que pode pesar na rentabilidade da loja e até inviabilizar certos negócios quando são muito expostos a esse tipo de fraude.

As lojas podem se proteger desse tipo de fraude graças a um sistema de autenticação do portador do cartão, chamado MPI (Merchant Plug In). O MPI deve ser certificado pela Visa e pela Mastercard e é executado antes do envio da transação ao adquirente. Ele viabiliza a execução do processo de autenticação chamado 3DSecure adotado pela Visa e pela Mastercard (denominado por estes respectivamente como Verified By Visa e Mastercard SecureCode).

Garanta sua segurança ao comprar online

Com a utilização do processo 3DSecure, realizado com um sistema MPI, o fluxo transacional muda:

  1. Os dados do cartão são solicitados, conforme o fluxo normal descrito anteriormente;
  2. Antes de solicitar a autorização da transação para o Adquirente, os dados do cartão são encaminhados ao DS (Directory Server) da Visa ou da Mastercard que verifica se o estabelecimento e o cartão estão cadastrados no programa de autenticação 3DSecure. O cadastro do cartão do usuário e do estabelecimento no programa 3DSecure é conhecido como enrolment e é realizado em duas etapas distintas e independentes, são elas:
  • O estabelecimento será cadastrado no DS da Visa e da Mastercard por um processo automático que envolve a abertura de um canal de comunicação seguro e criptografado entre o MPI e o DS da VISA e da Mastercard para o envio de um arquivo específico, chamado “MAF file” (Merchant. Authentication File). Esse cadastro também poderá ser realizado pelo adquirente através de uma ferramenta específica fornecida pela Visa e pela Mastercard;
  • O cartão do usuário será cadastrado através do site do banco emissor ou através do próprio ACS (Access Control Server) do banco. O processo de enrollment do cartão pode ser diferente para cada banco, pois dependerá do ACS utilizado e das regras de segurança pré-definidas. Alguns bancos permitem o cadastramento do cartão no momento da autenticação do mesmo, outros solicitam que o usuário realize o cadastro antes de uma tentativa de compra.

3.  Se a condição acima for satisfeita, a Visa ou a Mastercard retornam ao MPI utilizado pelo site da loja o endereço eletrônico (URL) do banco emissor do cartão, onde o usuário será autenticado.

4.  O usuário será direcionado para o processo de autenticação do seu banco, que é realizado por uma ferramenta chamada ACS (Access Control Server). A autenticação do usuário pode ser diferente para cada banco, alguns bancos solicitam ao usuário o número gerado pelo seu token físico, outros solicitam a resposta à perguntas previamente cadastradas, e outros encaminham um código via SMS para o celular do comprador, código esse que será solicitado na página de autenticação. O importante é que o comprador utiliza um processo rápido e conhecido por ele, muitas vezes o mesmo utilizado para acessar ao seu internet banking.

5.  Feita a autenticação, o MPI recebe do banco emissor um código (criptograma) indicando o sucesso ou não da autenticação e outro código que indicará o liability shift, ou seja, de quem será o risco da transação.

  • O liability shift dependerá do sucesso ou não da autenticação, se o cartão é local ou internacional, pessoal ou corporativo e das regras definidas no país pelos bancos, adquirentes e bandeiras;
  • Em linhas gerais, sempre que a autenticação ocorrer com sucesso, o código de liability shift indicará que o risco da transação será do banco emissor.

6.  O processo de autenticação realizado pelo MPI é totalmente independente do processo de autorização da transação. Isso significa que o lojista pode utilizar um MPI independente, desde que este seja homologado pela Visa e pela Mastercard e que esteja autorizado por um ou mais adquirentes a realizar o processo 3DSecure. A vantagem em utilizar um gateway de pagamentos, que possui um MPI independente, é o fato de realizar uma única integração entre o gateway e o site do estabelecimento e ter o controle para a apresentação ou não de transações que não foram autenticadas com sucesso. O risco e a taxa de perda de vendas passam a ser de controle da loja, o que não ocorre quando a loja contrata o serviço de um facilitador, por exemplo.

7. Se a autenticação ocorreu com sucesso, o gateway de pagamento (ou a loja) retoma o fluxo normal de transação e encaminha ao adquirente todos os dados do cartão, do estabelecimento, valor da compra e a assinatura digital recebida do banco, para solicitar a autorização.

8. O adquirente realiza o processo normal de autorização da transação, porém indica que se trata de uma transação autenticada, desta maneira o estabelecimento corre o risco de chargeback na transação.

Vantagens para a cadeia do negócio

Embora essa operação adicione uma etapa ao fluxo transacional, agrega vantagem em toda a cadeia do negócio:

  • O banco, que assumirá o risco da transação, terá a oportunidade de autenticar o comprador antes que a transação seja encaminhada ao adquirente, minimizando consideravelmente o risco de fraude;
  • O estabelecimento terá a certeza de que receberá pela venda realizada e não terá que aguardar por longos processos manuais de análise de risco;
  • O comprador terá a garantia fornecer seus dados de cartão a um ambiente seguro;
  • adquirente aumentará o volume de negócios em função do aumento da confiança de toda a cadeia e da abertura de novas possibilidades de venda de serviços pela internet, que atualmente não são realizadas, devido ao risco de chargeback.

Mudança de cenário para o comércio eletrônico

Esse processo de autenticação representa uma evolução importante no cenário atual do e-commerce no Brasil e, como toda novidade, deve passar por um período de adaptação cultural que certamente gerará críticas e dúvidas com relação ao passo adicional necessário para a autenticação, mas que será um diferencial para as empresas que o adotarem.

A partir de 2014, Visa e Mastercard incentivarão os portadores de cartão no Brasil a fazer a ativação dos seus cartões no programa 3DSecure. Esse movimento, promovido pelas bandeiras e os bancos, deve contribuir de forma significativa para o crescimento desse mercado e para a redução de fraudes.

verified-visa-securecode

 

A Lyra Network é a primeira empresa no Brasil a fornecer um gateway de pagamento com o certificado PCI-DSS e um MPI próprio homologado pela Visa e pela Mastercard para a realização dos processos Verify By Visa e Mastercard SecureCode, o que garante à empresa vantagem competitiva, aos estabelecimentos comerciais a possibilidade de realizar transações garantidas sem pagar um percentual adicional pela transação e ao comprador a certeza de que seus dados serão adquiridos por um ambiente seguro.