Certificación PCI 3DS
Como entidad certificadora del PCI 3DS (Three Domain Secure o 3-D Secure) en Europa, USA y LAC (Latinoamérica y Caribe) promovemos su cumplimiento ya que supone una capa de seguridad adicional que ayuda a prevenir transacciones no autorizadas en entornos de tarjeta no presente como comercio electrónico. Nuestros clientes son empresas que han implementado una solución 3DS y deben certificarse con las marcas de aceptación como son Visa, MasterCard y American Express.
Cumplir con PCI 3DS permite:
- Crear un marco transversal que permita la implantación masiva de este protocolo de seguridad en entornos de e-commerce y m-commerce o mobile commerce.
- Prevención de transacciones no autorizadas en entornos de comercio electrónico para los clientes de empresas certificadas.
- Protección de las empresas contra el fraude.
- Transmitir confianza y seguridad a consumidores y establecimientos.
¿Qué es PCI 3D SECURE?
EMV Three Domain Secure (3DS), es un protocolo de mensajería antifraude que permite a los consumidores autenticarse con el emisor de su tarjeta de pago en el momento de una transacción no presencial (CNP) en entornos de comercio electrónico.
Esta capa de seguridad adicional ayuda a evitar transacciones no autorizadas en el entorno de los e-commerce al mismo tiempo que protege el comercio contra el fraude.
Una certificación dirigida a aquellos proveedores que participan en los entornos en donde se realizan funciones de ACS, DS o 3DSS.
¿Por qué certificarse con nosotros?
- Contamos con auditores con amplia experiencia a nivel internacional.
- Certificamos PCI DSS, PCI 3DS, PCI PIN, y PCI Card Production.
- Herramienta automática de seguimiento de evidencias.
- Consultoría y auditoría en español, portugués e inglés.
¿Qué consecuencias puede tener no certificarse?
- No aceptación del producto para operar con las marcas Visa y MasterCard.
- Una mayor vulnerabilidad ante fraudes.
- Cuantiosas sanciones y multas.
- Pérdida de confianza ante los clientes.
- Pérdidas económicas que pueden, incluso, suponer el cierre de un negocio.
Preguntas frecuentes
Se denomina "Three Domain Secure” debido a la interacción de tres actores principales:
- El comercio.
- El emisor de la tarjeta.
- La red que procesa el pago, es decir, el banco del usuario que está haciendo la compra.
En el momento de la transacción, el emisor de la tarjeta solicita al titular de la tarjeta datos adicionales de autenticación, que pueden ser:
- UN PIN.
- Una contraseña o la respuesta a una pregunta secreta.
- Un código de una tarjeta de coordenadas.
- Un código enviado por SMS a un teléfono móvil registrado.
- Una clave de un solo uso.
El propósito de esta verificación es autenticar al tarjetahabiente.
El proceso completo ronda los 2 meses aproximadamente:
- Planificación: 2 días.
- Auditoría: 3 días.
- Documentación y entrega de certificados: 7 semanas.
- Tiempo total: 8 semanas.
Más sobre PCI 3DS
Esta certificación define los requisitos lógicos y físicos, así como los procedimientos de evaluación, para aquellas entidades que brindan o ejecutan las siguientes funciones establecidas en el documento EMV®3-D Secure Protocol and Core Functions Specification. PCI 3DS está compuesta por tres componentes cruciales: el servidor de control de acceso (ACS), el servidor de directorio (DS) y el servidor 3DS (3DSS).
- Servidor 3DS (3DSS): Proporciona la interfaz funcional entre el entorno de solicitud de la autenticación 3DS y el servidor de directorio (DS).
- Servidor de directorio 3DS (DS): Administra el listado de rangos de tarjetas para los cuales la autenticación está disponible y coordina la comunicación entre el servidor 3DS (3DSS) y el servidor de control de acceso (ACS) para determinar si la autenticación 3D-Secure está disponible para una tarjeta concreta y un dispositivo de acceso concreto.
- Servidor de control de acceso (ACS) de 3DS: Es un servidor que contiene las reglas de autenticación y es controlado por la entidad emisora. Dicho servidor comprueba si la autenticación es válida autentica al usuario en las transacciones bancarias relacionadas.
¿Cuál es la relación entre el estándar PCI DSS y el estándar PCI 3DS Core Security?
Dependiendo de la forma de implementación, un entorno 3D Secure puede ser parte de un entorno de datos de tarjetas de pago o estar completamente separado. Si un entorno 3DS contiene datos de tarjeta, puede estar sujeto al cumplimiento de PCI DSS.
Metodología de la certificación
El método de evaluación se realiza a través de los siguientes pasos:
- Curso de Formación Inicial
- Asesoramiento de expertos
- Análisis GAP
- Acompañamiento y asesoramiento
- Auditoría in situ
- Revisión final
Durante esta fase se abordan temas sobre conceptos generales, puntos clave para el cumplimiento y se promueve la conciencia dentro de la organización.
Realización de entrevistas y revisión de la documentación necesaria para establecer y registrar los procesos activos y los proveedores involucrados que determinarán el alcance de PCI 3DS.
Análisis GAP para nuevos clientes, mediante la recopilación de información, con el fin de analizar todos los procesos de seguridad existentes y determinar el nivel de cumplimiento de la organización.
Un consultor 3DS-SA brindará asesoramiento continuo durante todo el proceso de implementación.
Recuperamos información para determinar el debido cumplimiento de la PCI 3DS. La evaluación se incluye en el informe final ROC (Informe de Cumplimiento) y AOC (Atestiguación de Cumplimiento) junto con cualquier otra documentación solicitada.
Prepara la documentación del estado de cumplimiento de PCI 3DS y la posterior elaboración del informe ROC y AOC.
¿Necesita cumplir con el PCI 3DS?
Envíanos un correo a info@botech.info o bien rellena el siguiente formulario de contacto.