Presentación de Jordi Pascual, Director de eCommerce de Caixa Catalunya, para la "Jornada de Medios de Pago Online", celebrada el pasado 26 de Noviembre de 2009.
3. Departamento e-commerce de Caixa Catalunya
El departamento de Comercio Electrónico de Caixa Catalunya, somos
un equipo de profesionales especializados en e-comerce (nivel técnico,
operativo, normativo de las marcas de tarjetas, seguridad, disputa
reclamaciones, ...) con 15 años de experiencia en el proceso de pagos
tanto de comercios españoles como extranjeros (disponemos de
liciencia Cross-Border de Visa y Central Adquiring de Mastercard).
Además , mantemos acuerdos de colaboración e integración técnica con
grandes gateways, procesadores (IPSPs, ISOs, MSPs, ...) y empresas
de “Fraud-Scrubbing” internacionales (USA, Rusia, Holanda, UK,
Alemania, Israel, China, Japón, ...).
Tenemos experiencia en todos los sectores del negocio de e-
commerce (agencias de viajes, compañías aéreas, retail, ticketing, ...)
incluidos los considerados High Risk (contenido de adultos, e-gaming, ...).
Dept. e-COMMERCE
6. Mayor número posible de “multis”
Multi-tarjetas
Multi-moneda
Multi-lenguaje
Protocolos y lenguajes de programación
Entornos
Dept. e-COMMERCE
7. Mayor número posible de “multis”
• Autorización
• Anulación total o parcial
• Pre-autorización (solo hoteles, viajes y rent-a-car)
• Pre-autorización 72 horas (resto sectores)
• Autenticaciones
• Operaciones recurrentes
Métodos de pago
Protocolos de seguridad
Dept. e-COMMERCE
8. Adquiréncia Cross-Border
MasterCard (Licencia central para adquirentes)
Andorra, Alemania, Austria, Bélgica, Bulgaria, Estonia, Channel Islands, Chipre, República Checa,,
Dinamarca, Finlandia, Francia, Gibraltar, Grecia, Ungría, Islandia, Isle of Man, Italia, Letonia,
Liechtenstein, Lithuania, Luxemburgo, Malta, Mónaco, Holanda, Noruega, Portugal, Polonia,
Republica de Irlanda, Rumanía, San Marino, Eslovakia, Slovenia, España, Suecia, Suiza, Turquía,
Reino Unido y la ciudad del Vaticano.
Visa (Licencia Cross-border)
Andorra, Alemania, Austria, Bélgica, Bulgaria, Chipre, República Checa, Dinamarca, Estonia, Islas
Faeroe, Finlandia, Francia, Gibraltar, Grecia, Groenlandia, Ungría, Islandia, Irlanda, Israel, Italia,
Letonia, Lithuania, Luxemburgo, Malta, Holanda, Noruega, Polonia, Portugal, Rumania, Eslovakia,
Slovenia, España, Suecia, Suiza, Turquía y Reino Unido.
JCB (acuerdo)
Todo el mundo.
Dept. e-COMMERCE
9. Modulo de administración on-line
Integrable en
Via navegador aplicaciones
propietarias
Dept. e-COMMERCE
10. Información batch relacionada con los pagos y incidencias
INFORMACION
CONTABLE
(LIQUIDACION OPERACIONES,
DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS
RECIBIDOS
“CONFIRMED
FRAUD” RECIBIDO
PETICIONES DE
FOTOCOPIA O
INFORMACION
Dept. e-COMMERCE
11. Disputa de las reclamaciones y incidencias de facturación
Presentación Cuenta del
comercio
Original
Petición de fotocopia
1er chargeback Collection
Precompliance
Entrgada No entregada Cuenta
comercio
Revisión del banco emisor Compliance
Revisión de adquirente
Revisión
Revisión del comercio VISA / MASTER
Petición de fotocopia
Cuenta
comercio
Representación
Cuenta
comercio
- Solo MASTER -
2do -Solo VISA –
chargeback Pre-Arbitraje
Arbitraje
Banco emisor a C.Cat.
Cuenta
Revisión comercio
VISA / MASTER
Dept. e-COMMERCE
12. Protocolos Web Service para compras presenciales
Las aplicaciones de
clientes interactuan con
el TPV-PC o TPV-PDA a
modo de Web Service
Implementado en
protocolo estándard
SOAP (Simple Object
Access Protocol) basado
en XML
Dept. e-COMMERCE
13. Soporte en la gestión del fraude en pagos con tarjeta
Dept. e-COMMERCE
15. Gestión del fraude en e-commerce
¿Por qué es importante gestionar el fraude?
• Pérdidas económicas del comercio.
• Incumplimiento de los programas de monitorización de
las marcas de tarjetas.
¿Quien puede gestionar el fraude?
• El propio comercio.
• El banco adquirente.
• Una tercera empresa especializada (IPSP, MSP,
“Fraud-scrubbing” company, ...), contratada por el
comercio.
Dept. e-COMMERCE
17. Gestión “en on-line” del fraude
LISTAS BLANCAS
• Disponer de una base de datos, consultable antes de enviar cada operación
al banco, de CLIENTES REGISTRADOS o de NUMEROS DE TARJETAS(*)
que, por su vinculación con el comercio (p.ej. tarjetas corporativas de
empresas de los que el comercio es un proveedor habitual) o por ser
clientes con un largo historial de compras sin incidencias; se les permita
realizar nuevos pagos pero con un control mínimo de parámetros antifraude.
• La idea es que a un cliente VIP, debidamente identificado, nunca se le
deniegue ningún pago por estar afectado por un parámetro antifraude
general y riguroso.
(*) Solo
comercios certificados al programa de seguridad PCI están autorizados a acceder a Números
de Tarjetas
Dept. e-COMMERCE
18. Gestión “en on-line” del fraude
LISTAS NEGRAS
• Disponer de una base de datos, consultable antes de enviar cada operación al banco,
de usuarios con un historial inaceptable de incidencias de facturación.
• Dichas incidencias puede ser:
• Operaciones anteriores reportadas como Fraude Confirmado.
• Charge-backs reclamados por el cliente por motivos no justificables, o bien,
asociados a Fraude.
• Autorizaciones denegadas por el banco emisor de la tarjeta por motivos
relacionados con fraude.
• Usuarios que en operaciones anteriores el sistema antifraude del comercio los
clasificó con un “scoring de riesgo” inaceptable.
• Los parámetros que habitualmente se incluyen en listas negras suelen ser:
• Datos de registro del usuario (User Id,. Nombre, Teléfono, Dirección, E-mail, …).
• Datos de registro del receptor del servicio/producto (nombre de los viajeros si es
Agencia de viajes o similar, domicilio de entrega de producto, teléfono de
contacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).
• Dirección IP del comprador. Esta práctica es útil solo en países donde el uso de
IP dinámicas no está muy extendido.
• Recientemente algunas empresas ofertan software de reconocimiento del
Hardware/MAC address (o similar) de los PCs de los compradores.
• Países .
Dept. e-COMMERCE
19. Gestión “en on-line” del fraude
VELOCITY CHECKS
• Son filtros antifraude basados en el NUMERO DE OPERACIONES y el
IMPORTE ACUMULADO, dentro de un PERÍODO ESTABLECIDO (por
operación, diario, semanal, …), que exceden un indicador riesgo.
• Estos indicadores pueden ser:
• Datos de registro del usuario (User Id., Nombre, …).
• Datos de registro del receptor del servicio/producto (nombre de los
viajeros si es Agencia de viajes o similar, domicilio de entrega de
producto, teléfono contacto, …)
• Numero de tarjeta (*).
• Posibles tarjetas (*) generadas (los 12 primeros dígitos de cada tarjeta
son iguales)
• Dirección IP del comprador.
• Recientemente algunas empresas ofertan software de reconocimiento
del Hardware/MAC address (o similar) de los PCs de los compradores.
(*) Solo
comercios certificados al programa de seguridad PCI están autorizados a acceder a Números
de Tarjetas
Dept. e-COMMERCE
20. Gestión “en on-line” del fraude
RULES-BASED FRAUD SCREENING
• Son validaciones automáticas basadas en reglas de comportamiento de los
compradores.
• El Fraud Screening que, según nuestra experiencia, permite un mejor “afinamiento” de
las reglas de comportamiento es aquel que asigna un Scoring o porcentaje de riesgo a
cada incumplimiento.
• Adjuntamos lista de diferentes reglas de comportamiento a tener en cuenta:
• Un mismo dato referido al usuario (dirección IP, User Id., Nombre, Teléfono,
Dirección, E-mail, …) que excede un numero razonable de transacciones con
Números de Tarjetas (*) diferentes durante un período de tiempo.
• Un mismo dato referido al receptor del servicio/producto (nombre de los viajeros
si es Agencia de viajes o similar, domicilio de entrega de producto, teléfono de
contacto, …) que excede un numero razonable de transacciones con Números
de Tarjetas (*) diferentes durante un período de tiempo.
• Si el terminal ha rechazado la primera operación de un usuario registrado, IP o
Números de Tarjeta (*) , verificar que no se han procesado más operaciones
con los mismos datos pero por importes más bajos.
• Comparar la geolocalización de la tarjeta con la IP del usuario o la del país de
registro.
• ...
(*) Solo
comercios certificados al programa de seguridad PCI están autorizados a acceder a Números
de Tarjetas
Dept. e-COMMERCE
21. Gestión “en on-line” del fraude
RULES-BASED FRAUD SCREENING
• Comprobar la validez de los datos de registro del cliente:
• Validar los números de teléfono usando directorios de teléfonos.
• Validar que el código del teléfono y/o su prefijo coincide con el área geográfica de
la dirección de envío del pedido.
• Validar la correspondencia entre el código postal y la ciudad del envío.
• Validar la dirección email enviando una orden de confirmación.
• Validar que los datos de registro (nombre, dirección, …) no son del tipo “slang”
(Por ej.; poner como nombre “Mickey Mouse”) o, a través de filtros ortográficos
chequear que no se introducen nombres imposibles .
• Pedidos sospechosos:
• Pedidos consistentes en múltiples cantidades del mismo producto.
• Pedidos de importe superior al estándar.
• Pedidos en los que la entrega ha de ser urgente, o incluso “para el día siguiente”.
Los delincuentes quieren estos productos obtenidos fraudulentamente tan pronto
como sea posible, para una posible reventa y no están preocupados por el
sobrecoste del envío.
• Pedidos de productos de alto importe. Estos productos tienen un alto valor de
reventa.
• Pedidos enviados a direcciones de países no habituales para el comercio.
Dept. e-COMMERCE
22. Gestión “en on-line” del fraude
PROCESAMIENTO DE LA OPERACION CON
EL BANCO ADQUIRENTE
• Al procesar la solicitud de autorización para el pago con la tarjeta, el banco
emisor de la tarjeta rechaza aquellas en las que su cliente tiene incidencias
financieras, de fraude o referidas a las prestaciones de su tarjeta.
• Validación CVV2 (3 dígitos de seguridad impresos en el reverso de cada
tarjeta).
• AVS (Address Verification Service). Sistema por el que el banco emisor
valida la dirección y código postal del titular de la tarjeta. Solo es válido
para titulares de USA, Canadá y UK.
• Soluciones de autenticación de clientes basados en protocolos 3D Secure.
Dept. e-COMMERCE
23. Supervisión manual después del pago
OPERACIONES
RECHAZADAS
FRAUD
SCORING
OPERACIONES OPERACIONES
PROCESADAS SOSPECHOSAS
Dept. e-COMMERCE
24. Gestión off-line
INFORMACION BANCO ADQUIRENTE
INFORMACION
CONTABLE
(LIQUIDACION OPERACIONES,
DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
ACCIONES A REALIZAR
POR EL GESTOR DE FRAUDE
CHARGEBACKS
RECIBIDOS
• Seleccionar charge-backs relacionados con fraude.
• Evitar, si es posible, entrega mercancia o servicio.
• Buscar en bb.dd. otras operaciones mismo cliente,
tarjeta, IP, usuario registrado, ...
• Activar listas negras.
“CONFIRMED
FRAUD” RECIBIDO
• Hacer devolución si es posible.
PETICIONES DE • Contactar cliente para “despejar dudas”.
FOTOCOPIA O • Siempre contestar al banco emisor con el máximo
INFORMACION información disponible.
Dept. e-COMMERCE