Jornada de Medios de Pago Online - Jordi Pascual, Caixa Catalunya
-
Upload
aecem-asociacion-espanola-de-comercio-electronico-y-marketing-relacional -
Category
Business
-
view
4.004 -
download
0
description
Transcript of Jornada de Medios de Pago Online - Jordi Pascual, Caixa Catalunya
Visión de los bancos adquirentes
Jordi PascualDirector e-commerce
Experiencia de Caixa Catalunya
Dept. e-COMMERCE
Departamento e-commerce de Caixa Catalunya
El departamento de Comercio Electrónico de Caixa Catalunya, somos
un equipo de profesionales especializados en e-comerce (nivel técnico,
operativo, normativo de las marcas de tarjetas, seguridad, disputa
reclamaciones, ...) con 15 años de experiencia en el proceso de pagos
tanto de comercios españoles como extranjeros (disponemos de
liciencia Cross-Border de Visa y Central Adquiring de Mastercard).
Además , mantemos acuerdos de colaboración e integración técnica con
grandes gateways, procesadores (IPSPs, ISOs, MSPs, ...) y empresas
de “Fraud-Scrubbing” internacionales (USA, Rusia, Holanda, UK,
Alemania, Israel, China, Japón, ...).
Tenemos experiencia en todos los sectores del negocio de e-
commerce (agencias de viajes, compañías aéreas, retail, ticketing, ...)
incluidos los considerados High Risk (contenido de adultos, e-gaming, ...).
Requisitos de los comercios on-line para cobros con tarjeta
Dept. e-COMMERCE
Oferta competitiva de precio
Dept. e-COMMERCE
Mayor número posible de “multis”
Protocolos y lenguajes de programación
Multi-moneda
Entornos
Multi-tarjetas
Multi-lenguaje
Dept. e-COMMERCE
Mayor número posible de “multis”
Protocolos de seguridad
• Autorización• Anulación total o parcial• Pre-autorización (solo hoteles, viajes y rent-a-car)• Pre-autorización 72 horas (resto sectores)• Autenticaciones• Operaciones recurrentes
Métodos de pago
Dept. e-COMMERCE
Adquiréncia Cross-Border
MasterCard (Licencia central para adquirentes)
Andorra, Alemania, Austria, Bélgica, Bulgaria, Estonia, Channel Islands, Chipre, República Checa,,
Dinamarca, Finlandia, Francia, Gibraltar, Grecia, Ungría, Islandia, Isle of Man, Italia, Letonia,
Liechtenstein, Lithuania, Luxemburgo, Malta, Mónaco, Holanda, Noruega, Portugal, Polonia,
Republica de Irlanda, Rumanía, San Marino, Eslovakia, Slovenia, España, Suecia, Suiza, Turquía,
Reino Unido y la ciudad del Vaticano.
Visa (Licencia Cross-border)
Andorra, Alemania, Austria, Bélgica, Bulgaria, Chipre, República Checa, Dinamarca, Estonia, Islas
Faeroe, Finlandia, Francia, Gibraltar, Grecia, Groenlandia, Ungría, Islandia, Irlanda, Israel, Italia,
Letonia, Lithuania, Luxemburgo, Malta, Holanda, Noruega, Polonia, Portugal, Rumania, Eslovakia,
Slovenia, España, Suecia, Suiza, Turquía y Reino Unido.
JCB (acuerdo)
Todo el mundo.
Dept. e-COMMERCE
Modulo de administración on-line
Via navegadorIntegrable en aplicacionespropietarias
Dept. e-COMMERCE
Información batch relacionada con los pagos y incidencias
INFORMACION CONTABLE
(LIQUIDACION OPERACIONES, DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS RECIBIDOS
“CONFIRMED FRAUD” RECIBIDO
PETICIONES DE FOTOCOPIA O INFORMACION
Dept. e-COMMERCE
Disputa de las reclamaciones y incidencias de facturación
Presentación
Original
1er chargebackPrecompliance Collection
Petición de fotocopia
Compliance
Entrgada No entregada
Representación
-Solo VISA –
Pre-Arbitraje
ArbitrajeBanco emisor a C.Cat.
Revisión del banco emisor
Cuenta comercio
Revisión de adquirente
Revisión del comercio
- Solo MASTER -
2do chargeback
Cuenta comercioRevisión
VISA / MASTER
Cuenta comercio
Revisión
VISA / MASTER
Cuenta del comercio
Cuenta comercio
Petición de fotocopia
Dept. e-COMMERCE
Las aplicaciones de clientes interactuan con el TPV-PC o TPV-PDA a modo de Web Service
Implementado en protocolo estándard SOAP (Simple Object
Access Protocol) basado en XML
Protocolos Web Service para compras presenciales
Dept. e-COMMERCE
Soporte en la gestión del fraude en pagos con tarjeta
Gestión del fraude en e-commerce
Dept. e-COMMERCE
• Pérdidas económicas del comercio.
• Incumplimiento de los programas de monitorización delas marcas de tarjetas.
¿Por qué es importante gestionar el fraude?
• El propio comercio.
• El banco adquirente.
• Una tercera empresa especializada (IPSP, MSP,“Fraud-scrubbing” company, ...), contratada por elcomercio.
¿Quien puede gestionar el fraude?
Gestión del fraude en e-commerce
Dept. e-COMMERCE
Entornos de gestión del fraude
Dept. e-COMMERCE
• Disponer de una base de datos, consultable antes de enviar cada operaciónal banco, de CLIENTES REGISTRADOS o de NUMEROS DE TARJETAS(*)
que, por su vinculación con el comercio (p.ej. tarjetas corporativas deempresas de los que el comercio es un proveedor habitual) o por serclientes con un largo historial de compras sin incidencias; se les permitarealizar nuevos pagos pero con un control mínimo de parámetros antifraude.
• La idea es que a un cliente VIP, debidamente identificado, nunca se ledeniegue ningún pago por estar afectado por un parámetro antifraudegeneral y riguroso.
LISTAS BLANCAS
Gestión “en on-line” del fraude
(*) Solo comercios certificados al programa de seguridad PCI están autorizados a acceder a Números
de Tarjetas
Dept. e-COMMERCE
• Disponer de una base de datos, consultable antes de enviar cada operación al banco,de usuarios con un historial inaceptable de incidencias de facturación.
• Dichas incidencias puede ser:
• Operaciones anteriores reportadas como Fraude Confirmado.
• Charge-backs reclamados por el cliente por motivos no justificables, o bien,asociados a Fraude.
• Autorizaciones denegadas por el banco emisor de la tarjeta por motivosrelacionados con fraude.
• Usuarios que en operaciones anteriores el sistema antifraude del comercio losclasificó con un “scoring de riesgo” inaceptable.
• Los parámetros que habitualmente se incluyen en listas negras suelen ser:
• Datos de registro del usuario (User Id,. Nombre, Teléfono, Dirección, E-mail, …).
• Datos de registro del receptor del servicio/producto (nombre de los viajeros si esAgencia de viajes o similar, domicilio de entrega de producto, teléfono decontacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).
• Dirección IP del comprador. Esta práctica es útil solo en países donde el uso deIP dinámicas no está muy extendido.
• Recientemente algunas empresas ofertan software de reconocimiento delHardware/MAC address (o similar) de los PCs de los compradores.
• Países .
LISTAS NEGRAS
Gestión “en on-line” del fraude
Dept. e-COMMERCE
• Son filtros antifraude basados en el NUMERO DE OPERACIONES y elIMPORTE ACUMULADO, dentro de un PERÍODO ESTABLECIDO (poroperación, diario, semanal, …), que exceden un indicador riesgo.
• Estos indicadores pueden ser:
• Datos de registro del usuario (User Id., Nombre, …).
• Datos de registro del receptor del servicio/producto (nombre de losviajeros si es Agencia de viajes o similar, domicilio de entrega deproducto, teléfono contacto, …)
• Numero de tarjeta (*).
• Posibles tarjetas (*) generadas (los 12 primeros dígitos de cada tarjetason iguales)
• Dirección IP del comprador.
• Recientemente algunas empresas ofertan software de reconocimientodel Hardware/MAC address (o similar) de los PCs de los compradores.
VELOCITY CHECKS
(*) Solo comercios certificados al programa de seguridad PCI están autorizados a acceder a Números
de Tarjetas
Gestión “en on-line” del fraude
Dept. e-COMMERCE
• Son validaciones automáticas basadas en reglas de comportamiento de loscompradores.
• El Fraud Screening que, según nuestra experiencia, permite un mejor “afinamiento” delas reglas de comportamiento es aquel que asigna un Scoring o porcentaje de riesgo acada incumplimiento.
• Adjuntamos lista de diferentes reglas de comportamiento a tener en cuenta:
• Un mismo dato referido al usuario (dirección IP, User Id., Nombre, Teléfono,Dirección, E-mail, …) que excede un numero razonable de transacciones conNúmeros de Tarjetas (*) diferentes durante un período de tiempo.
• Un mismo dato referido al receptor del servicio/producto (nombre de los viajerossi es Agencia de viajes o similar, domicilio de entrega de producto, teléfono decontacto, …) que excede un numero razonable de transacciones con Númerosde Tarjetas (*) diferentes durante un período de tiempo.
• Si el terminal ha rechazado la primera operación de un usuario registrado, IP oNúmeros de Tarjeta (*) , verificar que no se han procesado más operacionescon los mismos datos pero por importes más bajos.
• Comparar la geolocalización de la tarjeta con la IP del usuario o la del país deregistro.
• ...
RULES-BASED FRAUD SCREENING
(*) Solo comercios certificados al programa de seguridad PCI están autorizados a acceder a Números
de Tarjetas
Gestión “en on-line” del fraude
Dept. e-COMMERCE
• Comprobar la validez de los datos de registro del cliente:
• Validar los números de teléfono usando directorios de teléfonos.
• Validar que el código del teléfono y/o su prefijo coincide con el área geográfica dela dirección de envío del pedido.
• Validar la correspondencia entre el código postal y la ciudad del envío.
• Validar la dirección email enviando una orden de confirmación.
• Validar que los datos de registro (nombre, dirección, …) no son del tipo “slang”(Por ej.; poner como nombre “Mickey Mouse”) o, a través de filtros ortográficoschequear que no se introducen nombres imposibles .
• Pedidos sospechosos:
• Pedidos consistentes en múltiples cantidades del mismo producto.
• Pedidos de importe superior al estándar.
• Pedidos en los que la entrega ha de ser urgente, o incluso “para el día siguiente”.Los delincuentes quieren estos productos obtenidos fraudulentamente tan prontocomo sea posible, para una posible reventa y no están preocupados por elsobrecoste del envío.
• Pedidos de productos de alto importe. Estos productos tienen un alto valor dereventa.
• Pedidos enviados a direcciones de países no habituales para el comercio.
RULES-BASED FRAUD SCREENING
Gestión “en on-line” del fraude
Dept. e-COMMERCE
• Al procesar la solicitud de autorización para el pago con la tarjeta, el bancoemisor de la tarjeta rechaza aquellas en las que su cliente tiene incidenciasfinancieras, de fraude o referidas a las prestaciones de su tarjeta.
• Validación CVV2 (3 dígitos de seguridad impresos en el reverso de cadatarjeta).
• AVS (Address Verification Service). Sistema por el que el banco emisorvalida la dirección y código postal del titular de la tarjeta. Solo es válidopara titulares de USA, Canadá y UK.
• Soluciones de autenticación de clientes basados en protocolos 3D Secure.
PROCESAMIENTO DE LA OPERACION CON EL BANCO ADQUIRENTE
Gestión “en on-line” del fraude
Dept. e-COMMERCE
FRAUD SCORING
OPERACIONES RECHAZADAS
OPERACIONES SOSPECHOSAS
OPERACIONES PROCESADAS
Supervisión manual después del pago
Dept. e-COMMERCE
INFORMACION CONTABLE
(LIQUIDACION OPERACIONES, DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS RECIBIDOS
“CONFIRMED FRAUD” RECIBIDO
PETICIONES DE FOTOCOPIA O INFORMACION
Gestión off-line
• Seleccionar charge-backs relacionados con fraude.
• Evitar, si es posible, entrega mercancia o servicio.
• Buscar en bb.dd. otras operaciones mismo cliente, tarjeta, IP, usuario registrado, ...
• Activar listas negras.
• Hacer devolución si es posible.
• Contactar cliente para “despejar dudas”.
• Siempre contestar al banco emisor con el máximo información disponible.
INFORMACION BANCO ADQUIRENTE
ACCIONES A REALIZAR
POR EL GESTOR DE FRAUDE