Las tres claves del pago en eCommerce

Jorge Ordovás    3 abril, 2014

Convertir una idea de negocio on line en realidad es un proceso complejo, en el que hay que tener presentes múltiples aspectos: marketing, diseño, logística, posicionamiento… Tanto que muchas veces pasamos por alto cómo vamos a asegurar el retorno de la inversión. En este artículo  analizo tres aspectos clave: gestión del riesgo y fraude , medios de pago y normativas de obligado cumplimiento.

Gestión del riesgo y fraude on line

El pasado 5 de marzo se celebró el III Foro de Medios de Pago y Fraude On line de aDigital, una de las citas de referencia del sector, en la que, entre otros aspectos, se presentaron los resultados del informe anual  que realiza entre sus asociados.

Como suele ser habitual en este foro y otros similares, uno de los aspectos más debatidos fue el control del fraude y las medidas que los comercios pueden adoptar para evitar sufrirlo, especialmente cuando existan situaciones atípicas (múltiples operaciones con una misma tarjeta, distintas tarjetas utilizadas desde una misma dirección IP, etc) o en determinados escenarios que se pueden considerar más arriesgados, como las compras realizadas desde otros países.

La solución adoptada tradicionalmente por la industria para el pago con tarjeta (entidades financieras y marcas de tarjeta, como VISA y Mastercard) es el uso de 3D Secure, una solución técnicamente compleja, que implica pasos adicionales para el comprador y por  ello redunda en un mayor riesgo de abandono de la compra, frente al uso de otras soluciones menos seguras (como la validación de la tarjeta en base al CVV, código impreso en la parte trasera de la tarjeta).

Este impacto está claramente identificado en las estadísticas: utilizar 3D Secure implica casi triplicar la tasa de abandono  frente a otras alternativas:

 grafico

Fuente: III Informe medios de pago y fraude on line en España – aDigital

Sin embargo, ofrecer la posibilidad de pagar con tarjeta sin 3D Secure tiene una importante pega: el chargeback.

Cualquier usuario puede reclamar a la entidad financiera que ha emitido su tarjeta que rechace un cargo, si no reconoce haberlo realizado. Se establece entonces un proceso de disputa de la entidad financiera con el comercio.

La entidad inicialmente retrotrae el pago (es decir, deshace la transacción de venta con cargo al comercio) hasta que éste acredite la validez de la transacción (correcta identificación del titular, entrega de bienes, etc). Y eso es un problema, especialmente para aquellos negocios que tengan una facturación reducida, que no pueden permitirse el lujo de ver cómo desaparece de su balance mensual una venta (sobre todo si es de importe elevado, como suele suceder en los casos de fraude).

Si queremos evitar este riesgo, la solución es… utilizar 3D Secure. Las transacciones realizadas mediante este mecanismo no tienen chargeback por definición, ya que el titular de la tarjeta no puede argumentar a posteriori que no ha realizado la compra ( se realiza un proceso on line de autenticación por parte de su entidad financiera).

¿Cómo podemos entonces minimizar el riesgo de fraude, sin penalizar las ventas? ¿Es posible la cuadratura del círculo del eCommerce?

La solución pasa por aplicar controles por parte del comercio (y/o su proveedor de pasarela de pagos) antes de lanzar el proceso de compra, tipificando aquellas de mayor riesgo para ser procesadas mediante 3D Secure y simplificando el proceso en las de riesgo bajo (usuarios conocidos, compras recurrentes, pequeño importe, etc) para asegurar que se completan.

Qué medios de pago aceptar

En España lo tenemos claro: compramos en Internet con tarjeta o Paypal mayoritariamente, aunque seguimos usando los pagos contra reembolso y transferencias (cuyo volumen va reduciéndose año tras año).

grafico2

Fuente: Métodos de pago utilizados en compra por Internet – 16ª Encuesta AIMC a usuarios de Internet (respuesta múltiple)

Pero es imprescindible entender que esta foto cambia radicalmente de un país a otro. Sobre todo si tenemos un negocio con aspiraciones de expansión internacional debemos tenerlo presente desde el principio, o nos expondremos a fracasar estrepitosamente en la conquista de nuevos mercados.

Como ejemplo, sólo tenemos que pasearnos por nuestros vecinos europeos para ver realidades completamente distintas:

  • En países del centro y norte de Europa triunfan las transferencias bancarias (on line bank transfer), con soluciones como iDEAL  que es el medio más utilizado en Holanda.
  • También en Alemania gustan de este método, pero el primer puesto lo ocupa Paypal (no usan mucho las tarjetas).
  • En Reino Unido,sólo se usan tarjetas y Paypal (a partes iguales). Nada más.
  • ¡Y en Italia son muy de tarjetas prepago!

La integración de nuestro comercio con proveedores de servicio que ofrezcan distintas soluciones de pago y tengan además presencia internacional puede simplificar enormemente este proceso, y permitir unaadaptación progresiva a los mercados en los que queramos posicionarnos, además de facilitar la incorporación de nuevos métodos de pago sin necesidad de nuevas integraciones.

PCI-DSS:

Si tienes presencia en Internet, permites el pago con tarjeta en tu comercio y no conoces qué significa esta sigla… puedes tener un serio problema.

La norma PCI-DSS (Payment Card Industry – Data Security Standard) establece un conjunto de requisitos de obligado cumplimiento para todas aquellas empresas que intervengan en el tratamiento, procesamiento, transmisión o almacenamiento de información de tarjetas.

El objetivo de la norma (actualmente en su versión 3) es prevenir el fraude respecto a los datos de los titulares de tarjetas. El siguiente vídeo ayuda a entender, de forma sencilla, cuales son algunos de los principales aspectos que cubre.

PCI-DSS Rocks! (vídeo publicado por el PCI Security Standards Council)

Los niveles de cumplimiento de PCI-DSS definen la complejidad (coste y tiempo) de las medidas que los comercios deben aplicar, en función del volumen de transacciones que éstos procesan.

Aunque cada marca de tarjetas define sus reglas, en líneas generales los criterios son los definidos por VISA, que se resumen en la siguiente tabla:

Nivel

Volumen de transacciones

Complejidad cumplimiento

1

Más de 6 millones de transacciones (y comercios que han sufrido un robo de datos de tarjeta)

Alta

2

Entre 1 y 6 millones de transacciones/año

Media

3

Entre 20.000 y 1 millón de transacciones/año

Media-baja

4

Resto

Baja

El cumplimiento de la certificación supone un coste, pero no cumplir puede resultar todavía más caro. Si sufriéramos un robo de datos de tarjeta, nos enfrentaríamos a multas y reclamaciones económicas por parte de entidades financieras y marcas de tarjetas, demandas por parte de los usuarios afectados, además del impacto en la reputación que se deriva de esta publicidad tremendamente negativa.

 

Como ejemplo, el robo de 77 millones de números de tarjeta que sufrió Sony Playstation Network provocó un considerable impacto económico en la compañía: reconoció un coste de 170 millones de dólares, si bien algunos analistas incrementarían esa cifra hasta los ¡24 billones de dólares americanos!

 

La clave para el cumplimiento PCI-DSS de un comercio al menor coste pasa por evitar el almacenamiento o procesamiento de los datos de tarjeta en sus sistemas, y delegar su gestión en un proveedor de servicio que acredite el cumplimiento al máximo nivel.

 

Las marcas de tarjetas mantienen listados actualizados con dicha información, por lo que la selección del proveedor que utilicemos para gestionar los pagos con tarjeta en nuestro comercio pasa obligatoriamente por verificar previamente su inclusión en la lista VISA Europe Merchant Agents List.

 

Recuerda: si no son PCI-DSS Nivel 1, no son los auténticos. Y el responsable eres tú…

Imagen: LendingMemo

 

Comentarios

  1. Ahora mismo, para mi que no me ofrezcan la posibilidad de pagar con Paypal es una barrera a la compra que probablemente haga que no compre a menos que sea imprescindible (por ejemplo, billetes de tren o avión, que o compras o compras, y ninguno te deja pagar con Paypal).
    En cuanto a las tarjetas, el 3DSecure es algo más engorroso para el cliente, pero ofrece mucha más seguridad. Supongo que cada empresa tendrá que estudiar qué método de pago y de verificación es mejor para ella.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *