¿Qué es PSD2? ¿Cómo afecta a mi pasarela de pagos RedSys con WordPress?

Una de las novedades que nos ha traído el año nuevo, 2.021, es la puesta en marcha de la llamada versión 2 de la Directiva de Servicios de Pago, conocida por sus siglas en inglés  PSD2 de Payment Services Directive. Como sabéis aquí hablamos mucho de pago online y de comercio electrónico y es que entre otras cosas, desarrollamos muchos plugins para WordPress que son pasarelas de pago. Por ejemplo, la pasarela para RedSys y Bizum para WooCommerce, entre otros muchos. Y claro, como esta directiva trata sobre pagos electrónicos nos afecta. ¿Y cómo lo hace? ¿En qué afecta a tu pasarela RedSys con WooCommerce o a tu plugin para recibir pagos a través de RedSys o Ceca con Contact Form 7? A lo largo de esta entrada, vamos a explicaroslo lo mejor posible.

Comencemos con los conceptos previos para que quede todo lo más claro posible.

¿Qué es una pasarela de pago?

Una pasarela de pago es un servicio web que autoriza pagos entre dos partes, de forma electrónica. Es el equivalente al TPV (terminal de punto de venta) que usamos cada vez que pasamos la tarjeta por el contactless o por la ranura para leer el chip en un supermercado.

Los plugins de pasarela de pago, como los nuestros, ofrecen la posibilidad de unir una tecnología concreta (WooCommerce, Easy Digital Downloads, Contact Form 7 o WordPress directamente, entre otros) a un servicio de pasarela de pago. Nosotros siempre trabajamos con dos servicios de pago, que son los dos mayoritarios en España, RedSys y Ceca, aunque en su día también llegamos a trabajar con BBVA Bancomer y su servicio de pasarela de pago en México.

¿Qué problemas trata de resolver la normativa PSD2?

La Comisión Europea propuso la creación de esta nueva normativa en 2013. Su entrada en vigor, empezó a efectuarse de forma progresiva en enero de 2018 y ahora mismo, a estas alturas de enero, ya debería estar completamente operativa en todas las pasarelas de pago de España, entre ellas RedSys y Ceca.

Esta normativa resuelve, entre otras cosas, dos problemas que existen a día de hoy en el pago en tiendas electrónicas:

• Seguridad: saber que quien paga, es quien dice ser el que paga, básicamente que nadie pague «con la tarjeta de otro»
• Inter operatividad en la Unión Europea: de forma que cualquier servicio de pasarela de pago pueda recibir pagos de cualquier medio de pago europeo

Si os fijáis estos dos problemas, están, por lo general, resueltos en el uso de TPV en tiendas físicas:

• La seguridad en el pago con tarjeta en un TPV físico se puede demostrar de varias formas, a través del número PIN o enseñando el DNI para que se compruebe que quien paga es quien dice ser (esta práctica cada vez está más en desuso y de hecho el uso del PIN se solicita solo en ciertas operaciones de más cantidad)
• Por lo general, no sueles tener problemas en la Unión Europea con tus tarjetas a la hora de pagar y mucho menos si estás pagando en euros (otra cosa es pagar en otra divisa, pero eso es problema ya de los términos y condiciones a los que tengas sujeta tu tarjeta)

¿Cómo los resuelve? La parte que más nos afecta como proveedores de plugins para conectar tecnologías relacionadas con WordPress a pasarelas de pago españolas, como RedSys y Ceca; es la que corresponde a la seguridad. La interoperabilidad es algo que los bancos trabajan «entre bastidores» a nivel interno entre ellos.

¿Cómo mejora la seguridad y qué cambia para nosotros?

La incorporación de la normativa PSD2 ha mejorado la seguridad tanto en RedSys como en Ceca, ¿pero cómo? En las últimas versiones de nuestros plugins para RedSys y WooCommerce y Ceca y WooCommerce, ya lo incorporamos y trabajamos en el resto para que todos lo incorporen.

Realmente, como casi siempre usamos redirección por seguridad en nuestros terminales, no vais a tener ningún problema. Al redirigir el pago al banco este se encarga de reforzar la seguridad de la transacción mediante un mecanismo de autenticación reforzada (un SMS con una clave a la hora de pagar, el uso de una tarjeta de coordenadas o el uso de la app móvil del banco).

Sin embargo, para operaciones como el pago fraccionado que ofrecemos, o las futuras funcionalidades de pago insite y compatibilidad con diferentes plugins de suscripciones, ¿cómo se le da más seguridad al proceso? Básicamente añadiendo información a la petición de pago que se envía:

• La dirección del cliente, la de envío y la de facturación
• Si ambas direcciones coinciden o no
• Cuánto tiempo lleva el usuario registrado en el sitio
• Cuántas compras ha hecho últimamente
• Datos propios del usuario como su teléfono y su email

¿Qué se pretende con esto? Pues imaginaros el caso en que alguien intentara usar vuestra tarjeta sin vuestro consentimiento, se trata de buscar datos sospechosos:

• Si tu tarjeta está asociada a tu teléfono y el que indica en el pedido es diferente
• Que la dirección de facturación sea la tuya, pero que la de envío sea de un tercero que no tiene que ver con ningún dato de tu tarjeta
• Y no hablemos si no has hecho una compra nunca y estás comprando como invitado por primera vez en esa tienda

Estos datos facilitan al banco averiguar si la compra es potencialmente fraudulenta, de una forma similar a como lo hace un filtro de spam, entre el correo engañoso y el no engañoso.

¿Cómo se activan los datos PSD2 en nuestro plugin para RedSys y en nuestro plugin para Ceca?

En el plugin para Ceca, los datos se activan siempre. Llevan mucho tiempo incorporados y Ceca soporta esos datos sin problema. En RedSys, aún no es algo que esté totalmente operativo en todos los bancos, así que por ahora, esos datos siguen siendo opcionales, para evitar que terminales que no los soporten tengan problemas en caso de estar activados.

Tan solo tenéis que activar esta opción en los ajustes de la pasarela y estará disponible tanto en la pasarela para tarjetas, como en Bizum así como en la pasarela secundaria si es que la tenéis activada:

Espero haberme explicado bien y haberos dado un poco de luz acerca de todo lo que implica este tema y cómo lo resolvemos en nuestros plugins. Para cualquier duda ya sabéis que siempre podéis leer los comentarios.Nota: Hay una valoración incrustada en esta entrada, por favor, visita esta entrada para valorarla.

Almacenamos las IPs desde la que se envían las valoraciones para evitar fraudes