3D Secure
Agrega una capa de autenticación a las transacciones online de tus clientes para reducir el fraude y trasladar la responsabilidad al comercio.
Introducción
3D Secure es un protocolo de seguridad que confirma la identidad de las personas que realizan transacciones en línea con tarjetas de crédito o débito. Al activarlo, reduces el riesgo de fraude y trasladas la responsabilidad de las transacciones autenticadas al comercio.
Cuando una transacción lo requiere, el ACS evalúa el riesgo en tiempo real. Dependiendo del resultado y de las reglas que hayas configurado, la transacción puede autenticarse automáticamente (flujo sin fricciones) o requerir que el titular de la tarjeta demuestre activamente su identidad (flujo con desafío). El método de desafío que hayas activado (OTP u OOB) determina cómo se lleva a cabo esa verificación.
Alcance
Esta solución está disponible para Mastercard y Visa en todos los mercados en los que operamos como procesador o BIN sponsor: 🇦🇷 Argentina, 🇧🇷 Brasil, 🇨🇱Chile, 🇨🇴 Colombia,🇲🇽 México, 🇵🇦Panamá, 🇵🇪 Perú y 🇵🇷Puerto Rico.
Beneficios
| Beneficio | Descripción |
|---|---|
| Seguridad mejorada | Verificamos la identidad del titular de la tarjeta antes de autorizar cada transacción online. |
| Mayor confianza | Tus clientes saben que tomas medidas activas para proteger sus datos financieros. |
| Responsabilidad compartida | Las transacciones autenticadas con éxito dejan de ser tu responsabilidad ante un fraude. |
| Reducción de contracargos | Disminuyes los contracargos por transacciones no autorizadas y los costos operativos asociados. |
| Versión 2.2.0 | Soportamos la versión 2.2.0 del protocolo, con autenticación adaptable, mejor UX y cumplimiento normativo. |
Liability shift
Al implementar 3D Secure, las transacciones autenticadas con éxito dejan de ser tu responsabilidad en caso de fraude: no asumes los costos de esa disputa. Esto reduce tu exposición al riesgo y puede generar ahorros operativos significativos.
Funcionamiento
El protocolo puede resolverse de dos formas: con un flujo sin fricciones o con un flujo con desafío. La elección entre uno u otro no depende únicamente del score de riesgo; también depende de las reglas que hayas configurado. Por ejemplo, puedes tener una regla que fuerce un desafío para montos mayores a cierto umbral, incluso si el score de riesgo es bajo.
Tu rol como emisor es verificar la identidad del titular de la tarjeta antes de autorizar una transacción online.
Flujo sin fricciones
Según las reglas que hayas configurado, el ACS puede resolver la autenticación de forma automática, sin requerir ninguna acción del titular. Esto incluye tanto aprobar como rechazar la transacción: una compra desde el mismo dispositivo e IP que la última sesión puede aprobarse automáticamente, mientras que una transacción con señales de alerta puede rechazarse sin exponer al usuario a un desafío. En ningún caso el titular experimenta interrupciones.
Flujo con desafío
Cuando según tus reglas la transacción requiere verificación activa, el ACS activa el challenge method configurado y el titular de la tarjeta debe demostrar su identidad para continuar.
Glosario de componentes
| Componente | Descripción |
|---|---|
| Access Control Server (ACS) | Autentica al titular de la tarjeta a través de las reglas de autenticación configuradas previamente. |
| Risk-Based Authenticator (RBA) | Componente dentro del ACS que evalúa el riesgo de la transacción y devuelve un score para informar la decisión de autenticación. |
| Directory Server (DS) | Permite la comunicación entre el 3D Server y el ACS, validando y redirigiendo las transacciones. |
Challenge methods
Los challenge methods son los mecanismos a través de los cuales el titular de la tarjeta demuestra su identidad cuando la transacción requiere autenticación adicional. Soportamos dos métodos:
One-Time Password
Generamos un código de uso único y lo entregamos al titular de la tarjeta. El usuario debe ingresar ese código en la pantalla de desafío para completar la autenticación.
Canales disponibles:
- Email — enviamos el código al email registrado del titular.
- SMS — enviamos el código por mensaje de texto al número registrado.
- Webhook — te notificamos vía webhook para que puedas entregarlo por tu propio canal (por ejemplo, una notificación push desde tu app).
OOB (Out-of-Band)
En lugar de enviar un código, la autenticación ocurre directamente en la aplicación del titular de la tarjeta, a través de biometría (Face ID, huella digital) o confirmación push, sin exponer ningún dato que pueda ser interceptado.
¿Cómo funciona?
- Detectamos que la transacción requiere autenticación y te notificamos vía webhook con los datos transaccionales (monto, comercio, fecha, etc.).
- Tu sistema construye la experiencia de autenticación: le muestras al titular una pantalla del estilo "¿Eres tú quien está intentando comprar {transaction_amount} en {merchant_name}?" y le solicitas que confirme con biometría (Face ID, huella) o su PIN.
- El titular confirma la transacción en tu app.
- Tu sistema nos informa que recibió la aprobación del usuario.
- Le comunicamos el resultado al ACS.
- El ACS responde a la red y la autorización continúa su curso.
OOB vs OTP
| OTP | OOB | |
|---|---|---|
| Factores de autenticación | Posesión | Posesión + Inherencia (biometría) |
| Exposición a interceptación | Alta | Ninguna |
| Experiencia del usuario | Ingresar código manualmente | Un toque o biometría en la app |
| Tasa de éxito | Variable | Alta |
| Cumple MFA Mastercard (oct 2026) | ❌ Solo no cumple | ✅ Sí cumple |
Preguntas frecuentes
¿Siempre se le pide al titular de la tarjeta que se autentique?
No. Según las reglas que hayas configurado, el ACS puede resolver la autenticación automáticamente (aprobando o rechazando) sin requerir ninguna acción del titular.
¿Quién es responsable en caso de fraude?
Depende de si tienes 3D Secure activo. Sin 3D Secure, asumes la responsabilidad de las transacciones fraudulentas. Con el protocolo activo, las transacciones autenticadas con éxito dejan de ser tu responsabilidad.
¿Por qué migrar a OOB si ya tengo OTP funcionando?
Además de ser más seguro y ofrecer mejor experiencia al usuario, OOB es necesario para cumplir con el mandate GLB 12982.1 de Mastercard a partir del 13 de octubre de 2026. Si operas con tarjetas Mastercard y tienes 3DS activo, OTP solo ya no será suficiente después de esa fecha.
¿Qué pasa si después del 13 de octubre no migro a OOB?
El incumplimiento puede derivar en multas que Mastercard aplica a través de su proceso de monitoreo de editos. En el caso de clientes que operan bajo BIN Sponsorship de Pomelo, estas multas podrían ser trasladadas. Contacta a tu CSM para coordinar la migración antes de la fecha límite.
¿Puedo operar sin 3D Secure?
Sí, pero asumes mayor riesgo de fraude y mayor responsabilidad en disputas.
¿Qué sucede si la autenticación falla?
La transacción no se completará y tu cliente recibirá un mensaje de error. Dependiendo del motivo, puede ser necesario que proporcione información adicional o que contacte a su emisor de tarjeta.
¿Qué banderas soportan 3D Secure?
Visa y Mastercard son las dos principales marcas que soportan 3D Secure.