Post on 21-May-2015
description
EL PAPEL DE LOS BANCOS ADQUIRENTES
Barcelona 2 de Diciembre 2010
Jordi PascualDirector e-CommerceTelf. 93 4848125Jordi.pascual@catalunyacaixa.com
EXPERIENCIA CATALUNYACAIXA
El departamento de Comercio Electrónico de CatalunyaCaixa, somos un equipo de profesionales especializados en e-Commerce (nivel
técnico, operativo, normativo de las marcas de tarjetas, seguridad, disputa reclamaciones, ...) con 15 años de experiencia en el proceso de pagos tanto de comercios españoles como extranjeros (disponemos
de liciencia Cross-Border de Visa y Central Adquiring de Mastercard).
Además , mantenemos acuerdos de colaboración e integración técnica con grandes gateways, procesadores (IPSPs, ISOs, MSPs, ...) y
empresas de “Fraud-Scrubbing” internacionales (USA, Rusia, Holanda, UK, Alemania, Israel, China, Japón, ...).
Requisitos de los comercios
solicitados a los bancos adquirentes
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
OFERTA COMPETITIVA DE PRECIOS
SOPORTE ESPECIALIZADO Y PERSONALIZADO
Disponer de un gestor especializado en todos los temas del negocio de e-commerce: técnicos, operativos, normativos y de seguridad de las
marcas de tarjetas.
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MAYOR NUMERO POSIBLE DE “MULTIS”
Protocolos y lenguajes de programación
Multi-moneda
Multi-entornos
Multi-tarjetas
Multi-lenguaje
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MAYOR NUMERO POSIBLE DE “MULTIS”
• Autorización• Anulación total o parcial• Pre-autorización (solo hoteles, viajes y rent-a-car)• Pre-autorización 72 horas (resto sectores)• Autenticaciones• Operaciones recurrentes
Métodos de pago con tarjeta
Sistemas de pagos alternativos a las tarjetas
• Micropagos --- Pre/Post pagos
• Pagos “rápidos” --- Tokenización
para evitar PCI
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MAYOR NUMERO POSIBLE DE “MULTIS”
Protocolos de seguridad
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
LICENCIA CROSS-BORDER
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MODULO DE ADMINISTRACION ON-LINE
Via navegadorIntegrable en aplicacionespropietarias
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
INFORMACIÓN BATCH RELACIONADA CON PAGOS Y INCIDENCIAS
INFORMACION CONTABLE
(LIQUIDACION OPERACIONES, DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS RECIBIDOS
“CONFIRMED FRAUD” RECIBIDO
PETICIONES DE FOTOCOPIA O INFORMACION
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
SOPORTE EN CUMPLIMIENTO NORMATIVA PCI
De acuerdo con las Normativas vigentes de VISA y MASTERCARD, todas aquellas organizacionesque trasmitan, procesen o almacenen datos de titulares de tarjetas, tienen que cumplir conunos requisitos de seguridad, que varían en función del número de operaciones que procesenanualmente.
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
SOPORTE EN CUMPLIMIENTO NORMATIVA PCI
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
DISPUTA DE LAS RECLAMACIONES Y INCIDENCIAS DE FACTURACION
Presentación
Original
1er chargeback Precompliance Collection
Petición de fotocopia
Compliance
Entrgada No entregada
Representación
-Solo VISA –
Pre-Arbitraje
Arbitraje
Banco emisor a C.Cat.
Revisión del banco emisor
Cuenta comercio
Revisión de adquirente
Revisión del comercio
- Solo MASTER -
2do chargeback
Cuenta comercio
Revisión
VISA / MASTER
Cuenta comercio
Revisión
VISA / MASTER
Cuenta del comercio
Cuenta comercio
Petición de fotocopia
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
PROTOCOLOS WEBSERVICE TAMBIEN PARA COMPRAS PRESENCIALES
Implementado en protocolo
estándard SOAP(Simple Object
Access Protocol) basado en XML
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
SOPORTE EN LA GESTION DEL FRAUDE EN PAGOS CON TARJETA
REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
Gestión del fraude en e-Commerce
GESTION DEL FRAUDE EN E-COMMERCE
•Pérdidas económicas del comercio.
•Incumplimiento de los programas de monitorización de lasmarcas de tarjetas.
¿Por qué es importante gestionar el fraude?
•El propio comercio.
•El banco adquirente.
•Una tercera empresa especializada (IPSP, MSP, “Fraud-scrubbing” company, ...), contratada por el comercio.
¿Quien puede gestionar el fraude?
ENTORNOS DE GESTION DEL FRAUDE
GESTION DEL FRAUDE EN E-COMMERCE
• Disponer de una base de datos, consultable antes de enviar cadaoperación al banco, de CLIENTES REGISTRADOS o de NUMEROSDE TARJETAS(*) que, por su vinculación con el comercio (p.ej.tarjetas corporativas de empresas de los que el comercio es unproveedor habitual) o por ser clientes con un largo historial decompras sin incidencias; se les permita realizar nuevos pagos perocon un control mínimo de parámetros antifraude.
• La idea es que a un cliente VIP, debidamente identificado, nuncase le deniegue ningún pago por estar afectado por un parámetroantifraude general y riguroso.
LISTAS BLANCAS
GESTION DEL FRAUDE EN E-COMMERCE
•Disponer de una base de datos, consultable antes de enviar cada operación al banco,de usuarios con un historial inaceptable de incidencias de facturación.
•Dichas incidencias puede ser:
•Operaciones anteriores reportadas como Fraude Confirmado.
•Charge-backs reclamados por el cliente por motivos no justificables, o bien,asociados a Fraude.
•Autorizaciones denegadas por el banco emisor de la tarjeta por motivosrelacionados con fraude.
•Usuarios que en operaciones anteriores el sistema antifraude del comercio losclasificó con un “scoring de riesgo” inaceptable.
•Los parámetros que habitualmente se incluyen en listas negras suelen ser:
• Datos de registro del usuario (User Id,. Nombre, Teléfono, Dirección, E-mail, …).
• Datos de registro del receptor del servicio/producto (nombre de los viajeros si esAgencia de viajes o similar, domicilio de entrega de producto, teléfono decontacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).
• Dirección IP del comprador. Esta práctica es útil solo en países donde el uso deIP dinámicas no está muy extendido.
• Recientemente algunas empresas ofertan software de reconocimiento delHardware/MAC address (o similar) de los PCs de los compradores.
LISTAS NEGRAS
GESTION DEL FRAUDE EN E-COMMERCE
• Son filtros antifraude basados en el NUMERO DE OPERACIONES yel IMPORTE ACUMULADO, dentro de un PERÍODO ESTABLECIDO(por operación, diario, semanal, …), que exceden un indicadorriesgo.
• Estos indicadores pueden ser:
• Datos de registro del usuario (User Id., Nombre, …).
• Datos de registro del receptor del servicio/producto (nombrede los viajeros si es Agencia de viajes o similar, domicilio deentrega de producto, teléfono contacto, …)
• Numero de tarjeta (*).
• Posibles tarjetas (*) generadas (los 12 primeros dígitos decada tarjeta son iguales)
• Dirección IP del comprador.
• Recientemente algunas empresas ofertan software dereconocimiento del Hardware/MAC address (o similar) de losPCs de los compradores.
VELOCITY CHECKS
GESTION DEL FRAUDE EN E-COMMERCE
• Son validaciones automáticas basadas en reglas de comportamiento de loscompradores.
• El Fraud Screening que, según nuestra experiencia, permite un mejor“afinamiento” de las reglas de comportamiento es aquel que asigna un Scoring oporcentaje de riesgo a cada incumplimiento.
• Adjuntamos lista de diferentes reglas de comportamiento a tener en cuenta:
• Un mismo dato referido al usuario (dirección IP, User Id., Nombre, Teléfono,Dirección, E-mail, …) que excede un numero razonable de transaccionescon Números de Tarjetas (*) diferentes durante un período de tiempo.
• Un mismo dato referido al receptor del servicio/producto (nombre de losviajeros si es Agencia de viajes o similar, domicilio de entrega de producto,teléfono de contacto, …) que excede un numero razonable de transaccionescon Números de Tarjetas (*) diferentes durante un período de tiempo.
• Si el terminal ha rechazado la primera operación de un usuario registrado,IP o Números de Tarjeta (*) , verificar que no se han procesado másoperaciones con los mismos datos pero por importes más bajos.
• Comparar la geolocalización de la tarjeta con la IP del usuario o la del paísde registro.
• ...
RULES-BASED FRAUD SCREENING
GESTION DEL FRAUDE EN E-COMMERCE
• Comprobar la validez de los datos de registro del cliente:
• Validar los números de teléfono usando directorios de teléfonos.
• Validar que el código del teléfono y/o su prefijo coincide con el áreageográfica de la dirección de envío del pedido.
• Validar la correspondencia entre el código postal y la ciudad del envío.
• Validar la dirección email enviando una orden de confirmación.
• Validar que los datos de registro (nombre, dirección, …) no son del tipo“slang” (Por ej.; poner como nombre “Mickey Mouse”) o, a través de filtrosortográficos chequear que no se introducen nombres imposibles .
• Pedidos sospechosos:
• Pedidos consistentes en múltiples cantidades del mismo producto.
• Pedidos de importe superior al estándar.
• Pedidos en los que la entrega ha de ser urgente, o incluso “para el díasiguiente”. Los delincuentes quieren estos productos obtenidosfraudulentamente tan pronto como sea posible, para una posible reventa yno están preocupados por el sobrecoste del envío.
• Pedidos de productos de alto importe. Estos productos tienen un alto valorde reventa.
• Pedidos enviados a direcciones de países no habituales para el comercio.
RULES-BASED FRAUD SCREENING
GESTION DEL FRAUDE EN E-COMMERCE
• Al procesar la solicitud de autorización para el pago con la tarjeta,el banco emisor de la tarjeta rechaza aquellas en las que sucliente tiene incidencias financieras, de fraude o referidas a lasprestaciones de su tarjeta.
• Validación CVV2 (3 dígitos de seguridad impresos en el reverso decada tarjeta).
• AVS (Address Verification Service). Sistema por el que el bancoemisor valida la dirección y código postal del titular de la tarjeta.Solo es válido para titulares de USA, Canadá y UK.
• Soluciones de autenticación de clientes basados en protocolos 3DSecure.
PROCESAMIENTO DE LA OPERACION CON EL BANCO ADQUIRENTE
GESTION DEL FRAUDE EN E-COMMERCE
FRAUD SCORING
OPERACIONES RECHAZADAS
OPERACIONES SOSPECHOSAS
OPERACIONES PROCESADAS
GESTION DEL FRAUDE EN E-COMMERCE
INFORMACION CONTABLE
(LIQUIDACION OPERACIONES, DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS RECIBIDOS
“CONFIRMED FRAUD” RECIBIDO
PETICIONES DE FOTOCOPIA O INFORMACION
• Seleccionar charge-backs relacionados con fraude.
• Evitar, si es posible, entrega mercancia o servicio.
• Buscar en bb.dd. otras operaciones mismo cliente, tarjeta, IP, usuario registrado, ...
• Activar listas negras.
• Hacer devolución si es posible.
• Contactar cliente para “despejar dudas”.
• Siempre contestar al banco emisor con el máximo información disponible.
INFORMACION BANCO ADQUIRENTE
ACCIONES A REALIZARPOR EL GESTOR DE FRAUDE
GESTION DEL FRAUDE EN E-COMMERCE
Plataforma de Comercio
Electrónico de CatalunyaCaixa
PLATAFORMA COMERCIO ELECTRONICO CATALUNYACAIXA
TRES GAMAS DE PRODUCTOS/SERVICIOS
TPV VIRTUAL COMERCIOS
TPV VIRTUAL INSTITUCIONES
TPV VIRTUAL GRANDES EMPRESAS
PLATAFORMA COMERCIO ELECTRONICO CATALUNYACAIXA
SOPORTE ESPECIALIZADO Y PERSONALIZADO
15 MONEDAS SOPORTADAS
ENVIO DIARIO DE FICHEROS CON TODA LA INFORMACION
RELEVANTE
MULTIPLES SISTEMAS DE PAGOS
LICENCIA CROSS-BORDER (VISA, MASTERCARD Y JCB)
ACUERDOS COM EMPRESAS Y PASARELAS INTERNACIONALES
ESPECIALIZADAS
SOPORTE EN CUMPLIMIENTO NORMATIVA PCI
SOLUCIONES EN GESTION DEL FRAUDE
AMPLIA EXPERIENCIA EN LA DISPUTA DE CHARGEBACKS
… somos expertos en eCommerce¡¡¡
Jordi PascualDirector e-Commerce
Telf. 93 4848125Jordi.pascual@catalunyacaixa.com