Configuraciones y actualizaciones

Pasarela de pago segura

Sistema que tienen las tiendas virtuales para aceptar los pagos por medio de tarjetas de crédito o débito. Es común que las proporcionen las entidades bancarias, recibiendo el nombre de «TPV virtual» o sim- plemente «TPV». La pasarela de pago que se implemente en la tienda debe de tener un certificado SSL de validación extendida, de esta ma- nera el cliente identificará la entidad bancaria a la que pertenece de manera inequívoca y sus datos bancarios viajarán cifrados.

Utilizar una pasarela de pago de una entidad bancaria hace que la tienda, al no tener acceso a los datos bancarios del cliente, no tiene la obligación de protegerlos como indica la LOPD (Ley Orgánica de Pro- tección de Datos).

Antes de implantar la pasarela de pago en la tienda virtual que se encuentra en producción es necesario realizar una serie de pruebas y configuraciones en «pre-producción» para comprobar su correcto funcionamiento y si no es así corregir los errores. Una vez que la pa- sarela de pago funciona correctamente es el momento de implemen- tarla en la tienda con acceso a internet, es decir, en pro-producción. La pasarela de pago que se implemente en la tienda debe de tener un área de administración propia o back-office desde donde poder con- sultar todos los accesos al TPV por parte de los clientes.

La pasarela de pago elegida debe tener unas medidas de seguridad antifraude, implementarlas es de gran importancia ya que de esta manera se reducen las posibles pérdidas económicas de la tienda virtual.
Las medidas necesarias de seguridad son:

CVV: código de tres dígitos visibles en la parte posterior de la tarje- ta junto a la banda magnética. Si solo se implementa esta medida de seguridad no se conseguirá la seguridad necesaria ya que el CVV está impreso en la tarjeta y cualquier persona que tenga acceso a ella tendrá acceso a la única medida de seguridad.

3DSecure: este sistema de seguridad está promovido por Visa y MasterCard y en un futuro será su utilización de obligado cumplimiento en toda transacción online. Al implementar el sistema 3DSecure en la pasarela de pago los negocios ya no son los responsables de las devoluciones a causa de las reclamaciones de fraude por parte de los propietarios de la tarjeta. Este sistema de verifica- ción transfiere la responsabilidad de una reclamación por fraude a la entidad que emitió la tarjeta. Es necesario confirmar los términos exactos en el desplazamiento de la responsabilidad con la entidad bancaria de la tienda virtual.

El sistema 3DSecure verifica que el cliente que está realizando la compra es el verdadero titular de la tarjeta. Antes de terminar el proceso de compra el cliente debe de introducir un numero PIN que solo él debe saber por lo que no podrá terminar el proceso de com- pra alguien que no sea su propietario.

El numero PIN pedido por el sistema 3DSecure puede ser de tres tipos dependiendo del protocolo de seguridad que tenga asignado la entidad bancaria propietaria de la tarjeta:

  • número PIN de la tarjeta: el mismo número que solicitan los ca- jeros cuando se hace cualquier operación;
  • número PIN específico: número PIN especial y que es necesario solicitar al banco emisor de la tarjeta. El uso de este número PIN es común en la banca online;
  • número PIN enviado por SMS: número PIN enviado por mensaje de texto o SMS al teléfono del propietario de la tarjeta. Este nú- mero PIN es válido para un único uso.

La implantación de este sistema de seguridad en la pasarela de pago reduce drásticamente el número de transacciones fraudulentas. Esto supone otra ventaja y es que los administradores de la tienda tendrán que invertir menos tiempo en analizar las ventas producidas en busca de fraude ya que no habrá tanto riesgo.