Presentación de Jordi Pascual, Director de ecommerce de Catalunya Caixa, para la jornada adigital "Medios de pago Online", celebrada el pasado día 2 de Diciembre de 2010
1. EL PAPEL DE LOS BANCOS
ADQUIRENTES
Barcelona 2 de Diciembre 2010
Jordi Pascual
Director e-Commerce
Telf. 93 4848125
Jordi.pascual@catalunyacaixa.com
2. EXPERIENCIA CATALUNYACAIXA
El departamento de Comercio Electrónico de CatalunyaCaixa,
somos un equipo de profesionales especializados en e-Commerce (nivel
técnico, operativo, normativo de las marcas de tarjetas, seguridad,
disputa reclamaciones, ...) con 15 años de experiencia en el proceso de
pagos tanto de comercios españoles como extranjeros (disponemos
de liciencia Cross-Border de Visa y Central Adquiring de Mastercard).
Además , mantenemos acuerdos de colaboración e integración técnica
con grandes gateways, procesadores (IPSPs, ISOs, MSPs, ...) y
empresas de “Fraud-Scrubbing” internacionales (USA, Rusia,
Holanda, UK, Alemania, Israel, China, Japón, ...).
5. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
SOPORTE ESPECIALIZADO Y PERSONALIZADO
Disponer de un gestor especializado en
todos los temas del negocio de e-
commerce: técnicos, operativos,
normativos y de seguridad de las
marcas de tarjetas.
6. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MAYOR NUMERO POSIBLE DE “MULTIS”
Multi-tarjetas
Multi-moneda
Multi-lenguaje
Protocolos y lenguajes de programación
Multi-entornos
7. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MAYOR NUMERO POSIBLE DE “MULTIS”
• Micropagos --- Pre/Post pagos
• Autorización
• Anulación total o parcial
• Pre-autorización (solo hoteles, viajes y rent-a-car)
• Pre-autorización 72 horas (resto sectores)
• Pagos “rápidos” --- Tokenización
• Autenticaciones
• Operaciones recurrentes para evitar PCI
Métodos de pago con tarjeta
Sistemas de pagos alternativos a las tarjetas
8. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MAYOR NUMERO POSIBLE DE “MULTIS”
Protocolos de seguridad
10. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
MODULO DE ADMINISTRACION ON-LINE
Integrable en
Via navegador aplicaciones
propietarias
11. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
INFORMACIÓN BATCH RELACIONADA CON PAGOS Y INCIDENCIAS
INFORMACION
CONTABLE
(LIQUIDACION OPERACIONES,
DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
CHARGEBACKS
RECIBIDOS
“CONFIRMED FRAUD”
RECIBIDO
PETICIONES DE
FOTOCOPIA O
INFORMACION
12. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
SOPORTE EN CUMPLIMIENTO NORMATIVA PCI
De acuerdo con las Normativas vigentes de VISA y MASTERCARD, todas aquellas organizaciones
que trasmitan, procesen o almacenen datos de titulares de tarjetas, tienen que cumplir con
unos requisitos de seguridad, que varían en función del número de operaciones que procesen
anualmente.
14. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
DISPUTA DE LAS RECLAMACIONES Y INCIDENCIAS DE FACTURACION
Presentación Cuenta del
Original comercio
Petición de fotocopia
1er chargeback Precompliance Collection
Entrgada No entregada
Cuenta
comercio
Complianc
Revisión del banco emisor e
Revisión de adquirente
Revisión
Revisión del comercio VISA / MASTER
Petición de fotocopia Cuenta
comercio
Representación
Cuenta
comercio
- Solo MASTER - -Solo VISA –
2do chargeback Pre-Arbitraje
Arbitraje
Banco emisor a C.Cat.
Revisión Cuenta
VISA / MASTER comercio
15. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
PROTOCOLOS WEBSERVICE TAMBIEN PARA COMPRAS PRESENCIALES
Implementado en
protocolo
estándard SOAP
(Simple Object
Access Protocol)
basado en XML
16. REQUISITOS SOLICITADOS A LOS BANCOS ADQUIRENTES
SOPORTE EN LA GESTION DEL FRAUDE EN PAGOS CON TARJETA
18. GESTION DEL FRAUDE EN E-COMMERCE
¿Por qué es importante gestionar el fraude?
•Pérdidas económicas del comercio.
•Incumplimiento de los programas de monitorización de las
marcas de tarjetas.
¿Quien puede gestionar el fraude?
•El propio comercio.
•El banco adquirente.
•Una tercera empresa especializada (IPSP, MSP, “Fraud-
scrubbing” company, ...), contratada por el comercio.
20. GESTION DEL FRAUDE EN E-COMMERCE
LISTAS BLANCAS
• Disponer de una base de datos, consultable antes de enviar cada
operación al banco, de CLIENTES REGISTRADOS o de NUMEROS
DE TARJETAS(*) que, por su vinculación con el comercio (p.ej.
tarjetas corporativas de empresas de los que el comercio es un
proveedor habitual) o por ser clientes con un largo historial de
compras sin incidencias; se les permita realizar nuevos pagos pero
con un control mínimo de parámetros antifraude.
• La idea es que a un cliente VIP, debidamente identificado, nunca
se le deniegue ningún pago por estar afectado por un parámetro
antifraude general y riguroso.
21. GESTION DEL FRAUDE EN E-COMMERCE
LISTAS NEGRAS
•Disponer de una base de datos, consultable antes de enviar cada operación al banco,
de usuarios con un historial inaceptable de incidencias de facturación.
•Dichas incidencias puede ser:
•Operaciones anteriores reportadas como Fraude Confirmado.
•Charge-backs reclamados por el cliente por motivos no justificables, o bien,
asociados a Fraude.
•Autorizaciones denegadas por el banco emisor de la tarjeta por motivos
relacionados con fraude.
•Usuarios que en operaciones anteriores el sistema antifraude del comercio los
clasificó con un “scoring de riesgo” inaceptable.
•Los parámetros que habitualmente se incluyen en listas negras suelen ser:
• Datos de registro del usuario (User Id,. Nombre, Teléfono, Dirección, E-mail, …).
• Datos de registro del receptor del servicio/producto (nombre de los viajeros si es
Agencia de viajes o similar, domicilio de entrega de producto, teléfono de
contacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).
• Dirección IP del comprador. Esta práctica es útil solo en países donde el uso de
IP dinámicas no está muy extendido.
• Recientemente algunas empresas ofertan software de reconocimiento del
Hardware/MAC address (o similar) de los PCs de los compradores.
22. GESTION DEL FRAUDE EN E-COMMERCE
VELOCITY
CHECKS
• Son filtros antifraude basados en el NUMERO DE OPERACIONES y
el IMPORTE ACUMULADO, dentro de un PERÍODO ESTABLECIDO
(por operación, diario, semanal, …), que exceden un indicador
riesgo.
• Estos indicadores pueden ser:
• Datos de registro del usuario (User Id., Nombre, …).
• Datos de registro del receptor del servicio/producto (nombre
de los viajeros si es Agencia de viajes o similar, domicilio de
entrega de producto, teléfono contacto, …)
• Numero de tarjeta (*).
• Posibles tarjetas (*) generadas (los 12 primeros dígitos de
cada tarjeta son iguales)
• Dirección IP del comprador.
• Recientemente algunas empresas ofertan software de
reconocimiento del Hardware/MAC address (o similar) de los
PCs de los compradores.
23. GESTION DEL FRAUDE EN E-COMMERCE
RULES-BASED FRAUD SCREENING
• Son validaciones automáticas basadas en reglas de comportamiento de los
compradores.
• El Fraud Screening que, según nuestra experiencia, permite un mejor
“afinamiento” de las reglas de comportamiento es aquel que asigna un Scoring o
porcentaje de riesgo a cada incumplimiento.
• Adjuntamos lista de diferentes reglas de comportamiento a tener en cuenta:
• Un mismo dato referido al usuario (dirección IP, User Id., Nombre, Teléfono,
Dirección, E-mail, …) que excede un numero razonable de transacciones
con Números de Tarjetas (*) diferentes durante un período de tiempo.
• Un mismo dato referido al receptor del servicio/producto (nombre de los
viajeros si es Agencia de viajes o similar, domicilio de entrega de producto,
teléfono de contacto, …) que excede un numero razonable de transacciones
con Números de Tarjetas (*) diferentes durante un período de tiempo.
• Si el terminal ha rechazado la primera operación de un usuario registrado,
IP o Números de Tarjeta (*) , verificar que no se han procesado más
operaciones con los mismos datos pero por importes más bajos.
• Comparar la geolocalización de la tarjeta con la IP del usuario o la del país
de registro.
• ...
24. GESTION DEL FRAUDE EN E-COMMERCE
RULES-BASED FRAUD SCREENING
• Comprobar la validez de los datos de registro del cliente:
• Validar los números de teléfono usando directorios de teléfonos.
• Validar que el código del teléfono y/o su prefijo coincide con el área
geográfica de la dirección de envío del pedido.
• Validar la correspondencia entre el código postal y la ciudad del envío.
• Validar la dirección email enviando una orden de confirmación.
• Validar que los datos de registro (nombre, dirección, …) no son del tipo
“slang” (Por ej.; poner como nombre “Mickey Mouse”) o, a través de filtros
ortográficos chequear que no se introducen nombres imposibles .
• Pedidos sospechosos:
• Pedidos consistentes en múltiples cantidades del mismo producto.
• Pedidos de importe superior al estándar.
• Pedidos en los que la entrega ha de ser urgente, o incluso “para el día
siguiente”. Los delincuentes quieren estos productos obtenidos
fraudulentamente tan pronto como sea posible, para una posible reventa y
no están preocupados por el sobrecoste del envío.
• Pedidos de productos de alto importe. Estos productos tienen un alto valor
de reventa.
• Pedidos enviados a direcciones de países no habituales para el comercio.
25. GESTION DEL FRAUDE EN E-COMMERCE
PROCESAMIENTO DE LA OPERACION
CON EL BANCO ADQUIRENTE
• Al procesar la solicitud de autorización para el pago con la tarjeta,
el banco emisor de la tarjeta rechaza aquellas en las que su
cliente tiene incidencias financieras, de fraude o referidas a las
prestaciones de su tarjeta.
• Validación CVV2 (3 dígitos de seguridad impresos en el reverso de
cada tarjeta).
• AVS (Address Verification Service). Sistema por el que el banco
emisor valida la dirección y código postal del titular de la tarjeta.
Solo es válido para titulares de USA, Canadá y UK.
• Soluciones de autenticación de clientes basados en protocolos 3D
Secure.
26. GESTION DEL FRAUDE EN E-COMMERCE
OPERACIONES
RECHAZADAS
FRAUD
SCORING
OPERACIONES OPERACIONES
PROCESADAS SOSPECHOSAS
27. GESTION DEL FRAUDE EN E-COMMERCE
INFORMACION BANCO ADQUIRENTE
INFORMACION
CONTABLE
(LIQUIDACION OPERACIONES,
DEVOLUCIONES Y
CHARGEBACKS CARGADOS)
ACCIONES A REALIZAR
POR EL GESTOR DE FRAUDE
CHARGEBACKS
RECIBIDOS
• Seleccionar charge-backs relacionados con fraude.
• Evitar, si es posible, entrega mercancia o servicio.
• Buscar en bb.dd. otras operaciones mismo cliente,
tarjeta, IP, usuario registrado, ...
• Activar listas negras.
“CONFIRMED
FRAUD” RECIBIDO
• Hacer devolución si es posible.
PETICIONES DE • Contactar cliente para “despejar dudas”.
FOTOCOPIA O • Siempre contestar al banco emisor con el máximo
INFORMACION información disponible.
28. Plataforma de
Comercio
Electrónico de
CatalunyaCaixa
29. PLATAFORMA COMERCIO ELECTRONICO CATALUNYACAIXA
TRES GAMAS DE PRODUCTOS/SERVICIOS
TPV VIRTUAL
COMERCIOS
TPV VIRTUAL
INSTITUCIONES
TPV VIRTUAL
GRANDES
EMPRESAS
30. PLATAFORMA COMERCIO ELECTRONICO CATALUNYACAIXA
ACUERDOS COM EMPRESAS Y
SOPORTE ESPECIALIZADO Y
PASARELAS INTERNACIONALES
PERSONALIZADO ESPECIALIZADAS
SOPORTE EN CUMPLIMIENTO
15 MONEDAS SOPORTADAS NORMATIVA PCI
ENVIO DIARIO DE FICHEROS
SOLUCIONES EN GESTION DEL
CON TODA LA INFORMACION FRAUDE
RELEVANTE
MULTIPLES SISTEMAS DE AMPLIA EXPERIENCIA EN LA
PAGOS DISPUTA DE CHARGEBACKS
LICENCIA CROSS-BORDER … somos expertos en
(VISA, MASTERCARD Y JCB) eCommerce¡¡¡
31. Jordi Pascual
Director e-Commerce
Telf. 93 4848125
Jordi.pascual@catalunyacaixa.com