Libro Blanco de Medios de Pago en Internet

Transcripción

LIBRO
BLANCO
DE INNOVACION
EN MEDIOS DE PAGO
PARA ECOMMERCE
LIBRO BLANCO
DE INNOVACIÓN
EN MEDIOS DE
PAGO PARA
ECOMMERCE
¿Cómo gestiono los pagos
en mi eCommerce? PayPal,
NFC, Bitcoins... ¿Qué son y
para qué sirven?
Sumario
Prólogos
8
1
MEDIOS DE PAGO TRADICIONALES
13
#1. Tipologías: transferencia, contra reembolso, débito, crédito, PayPal
#2. Tarjetas, características, comisiones para eCommerce
#3. Medios de pago habituales en España
#4. Medios de pago internacionales
#5. Pasarelas de pago
13
17
22
24
28
2
3
PASARELAS DE PAGO EN ECOMMERCE
33
#1. Integración tecnológica de las pasarelas de pago
#2. Qué es el «ratio de abandono» y cómo disminuirlo
#3. Gestión del riesgo y control del fraude online
#4. La seguridad de los datos personales de la Industria de Tarjetas de Pago: PCI DSS
34
43
46
55
SEGURIDAD EN EL PAGO CON TARJETA
59
#1. Proceso de pago con tarjeta online y offline
#2. Normativa PCI DSS
#3. Estrategias de cumplimiento
#4. Obligaciones de cumplimiento con la normativa PCI DSS
#5. Nuevas tendencias
59
67
77
86
95
4
PAYPAL
101
#1. PayPal en eCommerce
#2. Internacionalización
#3. Seguridad y control del fraude
#4. Pagos móviles y apps para móvil
#5. El reto offline de PayPal
101
107
111
114
117
5
MOBILE COMMERCE
121
#1. Carrier Billing
#2. Pagos con el móvil
#3. Pago mediante códigos de barras y QRS
#4. Pagos NFC con la SIM como elemento seguro
#5. Pagos NFC con Host Card Emulation
#6. Apple Pay
122
127
129
131
136
140
6
INNOVACIÓN Y NUEVAS TENDENCIAS EN MEDIOS DE PAGO
145
#1. Nuevos actores
#2. Pagos en entornos no bancarizados
#3. Monedas virtuales: Bitcoin
145
148
156
2
Libros Blancos de Observatorio eCommerce
Edición Noviembre 2015
© Del texto Observatorio eCommerce de Foro de Economía Digital
© De esta edición Publixed
Diseño de la portada: Foro de Economía Digital
Ilustraciones Freepik.es
Observatorio eCommerce de Foro de Economía Digital
Calle Príncipe de Vergara 120 Escalera 1 6ºA
28002 Madrid (España)
Tlf: 902 55 60 30
E-mail: [email protected]
http://observatorioecommerce.com
Publixed
E-mail: [email protected]
www.publixed.com www.libreriapublixed.com
ISBN: 978-84-942514-9-8
DL: M-21620-2015
Queda prohibida la reproducción total o parcial de la obra sin autorización previa de la
editorial o el autor
3
Editorial
Director editorial
Foro de Economía Digital
Jorge Ordovás Oromendía
Director de la Cátedra en innovación
en medios de pago online
Con la colaboración de
Ingenico
Oscar Martínez Tomé
Head of Sales Spain & Portugal
Joaquín Diaz de Terán
Sales Manager Spain & Portugal
ING Direct
Ana María Fernández-Polo García
Payments Strategy
David Manuel García Asín
Payments Strategy
Snap
Pablo Nebreda Cespedosa
Director de Marketing
Internet Security Auditors
Daniel Fernández Bleda
Sales Manager / Partner
Guillem Fàbregas Margenats
Consultor Senior Seguridad
PayPal
Raimundo Sala Albert
General Manager
Foro de Economía Digital
Héctor Iglesias
4
Bienvenidos al cambio
Amuda Goueli,
CEO de Destinia
De pequeño en Nubia (Egipto), no necesitábamos dinero para comprar. Simplemente
intercambiábamos unas cosas por otras. Es posible que mi experiencia vital de la
infancia explique por qué siempre he sentido una curiosidad fascinante por lo que
el dinero significa: por su historia y su evolución, desde el metal al papel, desde los
primeros babilonios hasta las burbujas del siglo XXI. Vivimos una globalización del
poder económico (y del dinero que hay detrás) como nunca antes habíamos visto. Pero
vivimos también una revolución digital que está sacudiendo el statu quo tradicional. Por
eso es para mí un honor prologar este Libro Blanco de innovación en medios de pago
para eCommerce, en el que de una manera muy didáctica y amena se va explicar la
gran transformación que la tecnología ha traído a este mercado.
Destinia nació con Internet, convencidos de que la Red traería una nueva forma de
hacer y entender los negocios. Y así ha sido. Una revolución a la que ni la industria
financiera ha podido escapar: el dinero en metálico se va desvaneciendo y la innovación
llega a golpe de bit. Las monedas virtuales y los nuevos actores en escena como Google
o Apple están forzando una desintermediación inédita del sistema financiero. Si a estas
premisas sumamos nuestro innato espíritu provocativo, se entiende que decidiéramos
sumarnos al bitcoin. Una moneda virtual pensada para el comercio electrónico del siglo
XXI: sin fronteras, segura, sencilla, cómoda y sin comisiones. Es cierto que el bitcoin es
aún un mercado volátil, de nicho, y que despierta muchos interrogantes, pero en parte
lo es porque se le sigue juzgando con la mentalidad y los ojos del presente y no con una
visión de futuro. Y en el futuro los medios de pago serán diferentes. Se llamará bitcoin
o no, pero las monedas virtuales serán claros protagonistas, y nosotros queremos estar
preparados para cuando ese cambio ocurra.
5
Prólogos
Hace ahora un año fuimos pioneros y abrimos una vía para el uso de una moneda
que es fácil de comprar y vender pero que entonces no era tan sencillo de gastar,
al menos en servicios de ocio y viaje. Y la acogida por la comunidad bitcoin ha
sido espectacular: tenemos clientes de casi 50 nacionalidades diferentes. Cuando
incorporamos la pasarela de pagos estimamos que tardaríamos 15 días en recibir
la primera operación en BTC, pero solo transcurrieron ¡4 horas! Un polaco compró
un paquete de vuelo+hotel por 2.197,3 miliBTC, esto es, 1.280 euros. Bitcoin ha
exigido adaptar nuestros sistemas pero también hemos recibido muchos consejos de
los usuarios para mejorar la experiencia de compra. Hoy, más del 80% de nuestra oferta
de vuelos se puede pagar con este sistema, así como hoteles, billetes de tren… Y
celebramos que la comunidad de comercios que aceptan bitcoin siga creciendo, con
nombres de la talla de Expedia, Microsoft o la propia PayPal.
El salto a bitcoin implica, sobre todo, un cambio de mentalidad. Como empresa estamos
abiertos al cambio aunque a veces lo desconocido genera miedo a la mayoría. El bitcoin
no es la primera moneda virtual ni tampoco será la última, pero ha conseguido poner
de los nervios a los sistemas centrales de países como Estados Unidos, Europa, Rusia
o China. Unos la regulan como propiedad, no como divisa, otros la prohíben.... ¡Tienen
miedo! Es cierto que como toda novedad disruptiva necesita una cierta regulación para
establecer unas garantías que redunden en una mayor confianza para el usuario. Pero
el bitcoin es, o mí me gusta creerlo así, el principio de un cambio en el que ya no hay
marcha atrás.
¡Bienvenidos!
6
La innovación tecnológica en
medios de pago es estratégica
Roberto Palencia
Director General
Foro de Economía Digital, Business School
Estamos ante uno de los momentos clave dentro de cualquier proceso basado en
negocio digital, la fase en la que todo el trabajo anterior que hemos estado preparando
junto al cliente final tiene que materializarse en una transacción económica que justifique
y sostenga el modelo de negocio que tenemos detrás, por eso es estratégico este
proceso ya que su organización será completamente diferente en función del producto o
servicio que estemos prestando, el país en el que opere el cliente online, las normativas
legales que afectan al pago y, sobre todo, a la capacidad de generación de confianza en
este momento de la compra.
La adaptación a los diferentes soportes, especialmente los denominados Mobile
Payments que suponen el futuro mas cercano, y la consolidación de las monedas virtuales
son dos de los aspectos que más apuesta generan como motores de crecimiento para el
próximo periodo, por eso les prestamos una atención especial.
En este libro analizamos las tendencias y oportunidades que se están planteando
para innovar, crecer y fortalecer el proceso de pago en las transacciones vinculadas
al comercio electrónico, donde hay una decidida apuesta tanto por los operadores
puros del mundo digital —que fueron los primeros en ganar cuota de mercado—, el
sector bancario más tradicional —que ahora definitivamente está apostando por este
mercado—, y los siempre decisivos «emprendedores» que a base de innovación y
capacidad de adaptación son los que siempre ayudan a mejorar nuestras capacidades.
Gracias a todos los profesionales y empresas que colaboran en esta edición del Libro
Blanco y que con sus experiencias cotidianas liderando la evolución de los medios de
pago nos permiten abrir este conocimiento a más comercios y clientes online cada día.
7
8
1
CAPÍTULO
9
MEDIOS DE PAGO
TRADICIONALES
#1. Tipologías: transferencia, contra
reembolso, débito, crédito, PayPal
Dentro de los medios que un comercio online puede utilizar
para cobrar las ventas que realice, es necesario diferenciar
dos tipologías en función del momento en que se efectúe el
pago, que puede ser en el mismo instante de la compra o en
un momento posterior.
En cuanto a los medios en los que el pago se realiza en el
mismo instante de la compra, los más utilizados son las tarjetas y las carteras digitales (PayPal, Iupay…). Estos métodos
garantizan la inmediatez del procesamiento del pedido, y los
avances en la red han hecho que actualmente cuenten con
importantes niveles de seguridad para los consumidores.
Los medios de pago en los que el abono se realiza en un
momento posterior basan su popularidad en la confianza que
les genera a los compradores que sus datos viajen fuera de
la red. El cliente confirma su compra en la tienda virtual, pero
realiza el pago después, ya sea por transferencia o contra
reembolso. Sin embargo, su principal desventaja es el retraso
y la complejidad que añaden a los procesos de compra.
Actualmente, la distribución del uso de estos métodos de
pago en Internet es la siguiente:
10
Transferencia
El comercio proporciona al cliente los datos de una cuenta
bancaria para que realice el pago del pedido, que se gestionará una vez se confirme dicho pago. Es el método menos
utilizado en la actualidad, siendo su principal ventaja el bajo
coste para el comercio, debido a que no requiere desarrollos
técnicos específicos de conexión en la tienda virtual.
Los principales inconvenientes se basan en el retraso del
proceso de compra, ya que hasta que el vendedor no reciba
la transferencia y sea capaz de conciliarla con el comprador,
no se procederá al envío del producto. Este método conlleva
además cierto riesgo de que el comprador no llegue a realizar
el pago, lo cual disminuye la conversión y puede dificultar
otras tareas como la gestión del stock.
11
Medios de pago tradicionales
Contra reembolso
El comprador realiza el pago en el momento en el que recibe
la mercancía, lo que supone que se perciba como un método
de pago seguro para quienes no confían en las ventas por Internet, ya que pueden comprobar la calidad del pedido antes
de proceder a su abono.
Para el vendedor suele suponer un aumento de costes, siendo el principal inconveniente el riesgo de devoluciones o entregas fallidas, puesto que la vuelta de la mercancía conlleva
asumir los gastos del mensajero de manera íntegra.
El comprador normalmente ve incrementado el importe de la
compra, debido a que se repercute la comisión que cobra
la empresa de mensajería. En los últimos años ha perdido
fuerza como método de pago en tiendas virtuales, debido
fundamentalmente al aumento de la confianza en el mercado
online y al retraso que añade al proceso de compra.
Tarjeta de débito/crédito
Se trata del método de pago más utilizado en las ventas online. El instrumento que se utiliza para materializar estos pagos es el TPV (Terminal de Punto de Venta) virtual, la versión
online del clásico datáfono que se encuentra en las tiendas
tradicionales.
12
El comercio tiene que solicitar el terminal en su entidad
bancaria y, una vez concedido, deberá instalarlo en su página
web.
Después de la instalación, cuando sus clientes realicen las
compras solo tendrán que introducir los datos de sus tarjetas para validar el pago. El banco que suministra el terminal
virtual, denominado «banco adquirente», se encargará de
abonar al comercio online las compras realizadas a través de
este método en su correspondiente cuenta bancaria.
El concepto más habitual por el que el comercio tendrá que
pagar al adquirente es la tasa de descuento, una comisión
por transacción cuya media de mercado actual es del 0,67%1,
aunque algunas entidades cobran también por otros conceptos, como el alta, el servicio, la instalación y el mantenimiento.
En cuanto a la seguridad, los terminales virtuales de las entidades bancarias cumplen con estándares de seguridad que
garantizan que el comercio no tenga acceso a los datos de
las tarjetas, ya que el pago se realiza en el servidor del banco.
Adicionalmente, las entidades tienden a implantar en las validaciones de las compras el sistema 3D Secure, que consiste en un proceso de validación de la identidad del titular de
la tarjeta mediante la introducción de una clave durante el
proceso de pago, que normalmente llega a nuestro teléfono
móvil a través de un SMS o mensaje push.
1 Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) – 2014
13
PayPal
Actualmente se presenta como una alternativa consolidada
en las formas de pago online a nivel internacional. El comprador utiliza la plataforma como una cartera digital, considerándolo un método seguro y sencillo, mientras que el vendedor
percibe como una ventaja la confianza que ha adquirido la
marca.
Utilizar esta plataforma de pago supone para el comercio virtual asumir una comisión variable de entre el 1,9% y el 3,4%
del total de las ventas (en función del volumen), más una tarifa fija de 0,35€ por transacción.
#2. Tarjetas, características,
comisiones para eCommerce
El mundo de los medios de pago está sufriendo cambios a
gran velocidad debido a la entrada de nuevos competidores
en el mercado. En la mayoría de las ocasiones, cada vez que
realizamos un pago, está implícito el uso de una tarjeta financiera, ya sea porque hemos ido a un cajero a extraer efectivo
o porque hemos pagado con la propia tarjeta.
Actualmente existen cuatro tipos distintos de tarjeta para pagar ya sea en comercios físicos o a través de Internet: tarjeta
de crédito, débito, prepago y virtual.
14
Vamos a analizar en qué consiste cada una: sus ventajas y
desventajas, la operativa que podemos realizar con ellas, así
como las posibles comisiones que podemos encontrar a la
hora de realizar un pago tanto en un comercio físico como a
través de Internet.
Tarjeta de crédito
A diferencia de una tarjeta de débito, en las que las cantidades se cargan en la cuenta bancaria en el momento de
realizar la compra, las tarjetas de crédito ofrecen distintas
posibilidades de pago, siendo la más común la de abono a
fin de mes.
Las ventajas de esta modalidad de pago son las de contar
con una financiación a tipo cero por parte de la entidad emisora de la tarjeta, además de poder ver los movimientos agrupados en un solo extracto. Nuestro banco nos otorgará un
límite de crédito para disponer al mes en función de una serie
de criterios del área de riesgos.
Además, este producto permite financiar las compras, en
momentos puntuales, sin necesidad de solicitar un préstamo,
tanto la totalidad del importe del extracto (operativa revolving) como financiar una compra puntual (operativa compra
aplazada). Ambas modalidades llevan asociado el pago de
un tipo de interés para el titular de la tarjeta, que varía según
nuestra entidad bancaria.
15
Por último, la gran mayoría de tarjetas de crédito tienen un
seguro de accidentes en viajes que nos puede resultar de
gran utilidad ante imprevistos.
En nuestro país, debido a la crisis financiera de los últimos
tiempos, se ha detectado un aumento de la aversión al uso
de las tarjetas de crédito, al igual que una menor concesión
de las mismas por parte de las entidades bancarias. Sin embargo, en el último año se ha experimentando un incremento
en términos absolutos de la emisión de ellas.
16
Tarjeta de débito
Con la tarjeta de débito, el importe de las adquisiciones que
hagamos se descontará de nuestra cuenta bancaria en el
momento de la compra.
Para muchos consumidores, el control del gasto con este tipo
de tarjeta es mayor que con la de crédito.
Las posibles retiradas de efectivo que tengamos que realizar
en cajeros, llevarán asociado un coste o no, dependiendo de
la red de cajeros y de nuestro banco. Para ello, lo mejor será
consultar el libro de tarifas del mismo.
Tarjeta prepago
Las tarjetas prepago son muy similares a las de débito, con la
única diferencia que hay que cargarlas previamente a su utilización con dinero para disponer de saldo y por consiguiente
realizar compras.
Es una solución que algún banco ya ofrece a sus clientes.
Nos pueden llegar a cobrar comisiones por cada recarga que
hagamos en la misma.
17
Tarjeta virtual
Las tarjetas virtuales son un medio de pago que todavía no
se ha extendido entre los consumidores. Es muy similar a
las tarjetas prepago, ya que hay que cargarlas para poder
realizar compras, con la única diferencia que la tarjeta no es
física sino virtual, es decir, la numeración de la misma la tendremos en la página web de nuestro banco donde realizamos
la operativa común.
La finalidad de la tarjeta virtual y prepago es aportar un extra de seguridad al consumidor en el momento de realizar
las compras por Internet, debido a que solo dispondremos
de una cantidad determinada a gastar, según el saldo que
hayamos cargado en ella.
En general las tarjetas mencionadas anteriormente no tienen
comisiones por compras en Internet salvo en aquellas operaciones que tengan asociado un tipo de cambio, es decir,
aquellas en que la moneda sea distinta del euro. No obstante, en determinados comercios online, como aerolíneas, la
compra puede llevar aparejada una comisión por pagar con
tarjeta.
18
#3. Medios de pago habituales en España
En cuanto a la forma de pagar de los consumidores, la más
usada es la tarjeta de débito o crédito con un 72%, seguido de las carteras digitales con un 35% (como por ejemplo
PayPal y la solución de la banca española, Iupay). Además,
hay otras carteras internacionales como MasterPass y V.me.
Un 15% usa las transferencias como forma de pago preferida y un 20% usa otros métodos como, por ejemplo, el pago
contra reembolso.
19
En el gráfico podemos apreciar cómo ha cambiado la distribución entre el año 2011 y 2014:
• Las tarjetas siguen siendo el medio de pago más utilizado.
• Se registra un cambio significativo en las carteras digitales,
•
•
pasando del 21% en 2011 al 35% en 2014. El uso de las
carteras digitales está cada vez más extendido entre los
consumidores que compran a través de Internet.
El pago a través de transferencia se mantiene estable a lo
largo de estos últimos 4 años.
En cuanto a otros medios de pago como el contra
reembolso, ha caído un 20% con respecto a 2011.
Casi 13 millones de españoles
realizaron alguna compra durante
2014 en nuestro país a través de
Internet. En este último año la cifra
ha crecido un 17% comparado con
2013.
El incremento en las compras por
Internet viene derivado de la posibilidad de obtener precios más
competitivos, comodidad por el
envío a domicilio, condiciones favorables, posibilidad de encontrar
algo que en el comercio físico no
se encuentra, etc.
20
#4. Medios de pago internacionales
Vamos a ver que, a nivel mundial, el liderazgo en cuanto a
forma de pago es para la tarjeta de crédito. Las principales
marcas de tarjetas financieras a nivel mundial son MasterCard, Visa, American Express, Diners Club y Discover.
No obstante, dependiendo del país en el que nos encontremos, podremos destacar otros tipos de medios de pago.
El número de jugadores que no son entidades financieras e
irrumpen en el mercado es cada vez mayor: Google, Apple,
Amazon, Facebook o Twitter, entre otros muchos.
El éxito de estos nuevos entrantes se debe principalmente a
dos factores: tienen un gran volumen de capital para invertir
y realizar proyectos de innovación, y conocen perfectamente
a sus usuarios gracias al Big Data.
Además, no nos podemos olvidar de la irrupción de las monedas virtuales, como la mundialmente conocida Bitcoin, que
explicaremos con más detalle en el último capítulo.
En África las compras por Internet son escasas, dada la
limitación en el acceso a la red y la falta de regulación específica de los sistemas de pago por parte de gobiernos y
entidades financieras. A pesar de que la sociedad africana
usa mayoritariamente el dinero en efectivo, es sorprendente
21
el auge que tiene el uso de los teléfonos móviles como medio para hacer transacciones bancarias y cada vez más para
hacer compras online. En África, solamente un 9,8% de la
población es usuaria de Internet. Compañías africanas como
M-PESA o PesaPal son claros casos de éxito de cómo han
sabido superar esa barrera a la hora de pagar ofreciendo un
servicio a comercios para recibir pagos a través del teléfono
móvil.
América del Norte es el lugar más desarrollado del mundo en cuanto a pagos online. Los norteamericanos prefieren
como medio de pago en eCommerce las tarjetas de crédito y
débito seguido de PayPal y Google Checkout. El resto prefiere pagar con tarjetas prepago o tarjetas de crédito emitidas
por comercios.
Destacar el uso de las tarjetas de crédito en América del
Sur, seguido de pagos por transferencia. No obstante, los
países donde más auge tienen las compras online son Brasil
y México. El caso de Brasil es el más notable debido al elevado número de habitantes y la alta penetración de Internet. La
pasarela de pago Boleto Bancário, una solución basada en
pagos por transferencia y contra-reembolso, a día de hoy representa el 30% de todas las transacciones online en el país.
En el caso de México, debido a que la población está menos bancarizada, el medio de pago más usado para compras
online es el pago contra-reembolso seguido de la tarjeta de
crédito.
22
Europa está a la cabeza junto con América del Norte en
cuanto a compras por Internet. La elevada penetración de
Internet y un marco regulatorio y legal sólido hacen que sea
posible un elevado número de transacciones online. Cabe
destacar el uso mayoritario de las tarjetas de crédito como
medio de pago preferido por los europeos; sin embargo hay
soluciones locales que toman mucha relevancia en determinados países; estamos hablando de las llamadas Credit
Transfers, pagos realizados por transferencia que ordena un
tercero, previa facilitación de las credenciales bancarias por
parte del usuario al proveedor del servicio.
Este es el caso de iDEAL en Holanda. Una pasarela de pago
creada por los bancos holandeses en 2005, y cerrada para
las entidades participantes. La mayoría de holandeses usan
este medio de pago debido a la seguridad y sencillez que
ofrece. El uso de esta solución no solo está disponible en
comercios online sino que poco a poco se va extendiendo a
entornos físicos como por ejemplo medios de transporte.
Otro caso de éxito de pasarelas de pago para Credit Transfer es Trustly y Sofort en Alemania. La idea es muy similar a
iDEAL, ofreciendo seguridad y sencillez a la hora de realizar
el pago ya que solo se necesitan las credenciales de nuestra
entidad financiera para llevar a cabo el pago.
Hay casos como los de Irlanda e Italia donde el pago de las
compras online se reparte entre pagos con tarjeta, pagos
contra-reembolso y transferencia.
23
Otras naciones, como Eslovaquia y República Checa, destacan como países en los que el uso de las tarjetas de crédito
ocupa el último lugar en pagos por Internet. Allí las compras
son principalmente contra-reembolso, seguidas de pago por
transferencia y en último lugar las tarjetas de crédito.
Por último, destacar el Reino Unido, país donde el uso tanto
de la tarjeta de crédito y débito representa el 80% del total de
pagos online, seguido de PayPal y otros métodos.
Asía-Pacífico: El continente oriental ha conseguido pasar
de estar a la cola en comercio electrónico a unirse junto con
América del Norte y Europa a la cabeza del ranking, gracias
al aumento de la penetración de Internet en el continente y al
mayor gasto realizado por sus habitantes.
En concreto, los japoneses, chinos y surcoreanos lideran
dentro de Asia el uso de Internet para hacer compras online.
Alipay, a día de hoy, es la plataforma de pago más utilizada
en el mundo con alrededor de 500 millones de cuentas.
Asimismo, Tenpay, otra pasarela de pago china, junto con
Alipay, se consolidan como referentes a la hora de realizar
pagos por Internet.
En Australia predomina el uso de tarjetas de crédito para hacer pagos por Internet seguido de pasarelas de pago como
PayPal, BPAY o Paymate.
India, un país con un potencial de crecimiento económico muy
alto, se encuentra en fase de crecimiento en compras por Internet. Actualmente está superando barreras tales como el
acceso a la tecnología por parte de sus ciudadanos, falta de
marcos regulatorios y legales y escasez en las soluciones de
pago online. Una de las plataformas más conocidas es PayU.
24
Como conclusión, a nivel mundial todavía queda camino por
recorrer en los medios de pago para encontrar una solución
universal, segura y fácil de utilizar.
Actualmente estamos viendo que cada país adopta soluciones
distintas según las necesidades de sus habitantes y su acceso
a Internet. No obstante, el éxito de las distintas soluciones radica en un buen marco regulatorio y en la seguridad que ofrezcan a la hora de realizar el pago a los usuarios.
#5. Pasarelas de pago
Los comercios que optan por utilizar un TPV virtual como
medio de pago dentro su eCommerce tienen varias opciones
para empezar a operar. Lo más habitual es acudir en primer
lugar a su entidad bancaria. El Banco analizará la solicitud y,
siempre que se cumplan una serie de criterios de riesgo de
crédito y política de fraude, se concederá el terminal.
En los últimos años se puede acudir también a un Proveedor
de Servicios de Pago (PSP), habitualmente empresas tecnológicas especializadas en servicios de pago online. Estas
lidian con el proceso de alta de cuenta bancaria y ofrecen
servicios dedicados en todos los aspectos clave del eCommerce: herramientas de detección de fraude, soporte de
atención al cliente 24/7, etc.
25
Tras la concesión, el procedimiento más común entre las entidades suele ser el envío de claves de seguridad e instrucciones para que el comercio realice la instalación en su tienda
virtual.
Para proceder a la integración de la pasarela de pago, el comercio o su departamento informático pueden utilizar la guía
de instalación que le proporcione su entidad o PSP, o incluso
acudir a los servicios técnicos de ayuda y soporte a la instalación que ponen a su disposición. Siguiendo las instrucciones técnicas podrán integrar el TPV virtual de forma rápida y
sencilla.
En el proceso de instalación, la tienda virtual deberá incluir en
su página de pagos un botón de pago con tarjeta y vincularlo
a la pasarela. Como resultado, cuando los clientes seleccionen esta opción para confirmar la compra se establecerá una
conexión con el servidor seguro de la entidad o PSP, y se
mostrará una pantalla para que introduzcan los datos de su
tarjeta.
Una vez el cliente seleccione el pedido y opte por la opción
de pago con tarjeta, el esquema básico que seguirá una operación segura es el siguiente:
• El comercio conectará con el TPV de la entidad adquirente
•
26
indicándole los datos de la operación (nombre del
comercio, importe, fecha, moneda, etc.).
El titular de la tarjeta (comprador) introduce los datos de su
tarjeta en la pantalla del terminal virtual.
• El TPV establece conexión con la entidad emisora (entidad
•
financiera que ha emitido la tarjeta del comprador) y solicita
la autorización de la operación.
El Banco emisor solicita autenticación a su cliente.
El sistema más común de validación de la identidad
consiste en solicitarle la introducción de una clave que
habrá acordado antes con el Banco, o que recibirá en el
momento. Si la entidad no cuenta con procedimientos de
autenticación, este paso no se realizará.
En cuanto a la gestión y consulta de las operaciones, en la
mayoría de los casos el comercio contará con un módulo de
administración en un portal externo donde entre otras acciones podrá consultar el detalle de las ventas realizadas, realizar devoluciones, etc.
Una vez se complete el proceso de integración, el comercio
tendrá la opción de pago con tarjeta disponible en su tienda
virtual. La principal ventaja operativa de este método de pago
es que tanto el vendedor como el comprador confirmarán la
operación online, y el pedido se podrá tramitar de forma inmediata.
Posteriormente, el comercio recibirá los importes de las compras en su cuenta bancaria, con una periodicidad que puede
variar en función de la entidad. En concepto de gastos de
servicio, las entidades bancarias cobran una comisión por
operación (denominada tasa de descuento) cuya media de
mercado actual está en torno al 0,67% 2
En el próximo capítulo analizaremos en detalle todos los aspectos relacionados con las pasarelas de pago.
2. Inmark Europa (Comportamiento financiero de las empresas entre 1 y 50 millones) - 2014
27
Expertos en
Normas PCI
PCI Data Security Standard (PCI DSS) es un estándar de
seguridad que define el conjunto de requerimientos para
gestionar la seguridad, definir políticas y procedimientos de
seguridad, arquitectura de red, diseño de software y todo tipo
de medidas de protección que intervienen en el tratamiento,
procesado y almacenamiento de información de datos de
tarjetas de pago.
Internet Security Auditors es líder en consultoría
para la implantación y certificación de PCI DSS y
PCI PA-DSS.
Desde el año 2007 aportamos las mejores ideas y propuestas
en multitud de proyectos desarrollados con éxito en Europa y
América, colaborando activamente con el PCI Security Standards Council en la mejora de los estándares PCI.
Permítanos ayudarle a garantizar la seguridad de sus
procesos y aplicaciones de pago.
C. Santander, 101. Edificio A. 2º
E-08030 Barcelona (Spain)
Tel.: +34 93 305 13 18
Fax: +34 93 278 22 48
28
C. Arequipa, 1
E-28043 Madrid (Spain)
Tel.: +34 91 763 40 47
Fax: +34 91 382 03 96
Calle 90 # 12-28.
Bogotá (Colombia)
Tel.: +57 (1) 638 68 88
Fax: +57 (1) 638Libros
68 88
www.isecauditors.com
Blancos
de Observatorio eCommerce
[email protected]
2
CAPÍTULO
29
PASARELAS DE PAGO
EN ECOMMERCE
Las pasarelas de pago son un punto estratégico de la experiencia online dentro del eCommerce. Una mala elección o implementación de la pasarela de pago del comercio tendrá un
impacto directo en la tasa de conversión a ventas y en el éxito
del proyecto, ya que garantiza que el cliente pueda pagar de
una forma eficaz. Una vez que nuestro cliente está dispuesto
a comprar, el proceso de pago debe ser lo más rápido, sencillo
y seguro posible.
La pasarela de pago es un servicio por el que un comercio
online puede aceptar pagos digitales, permitiendo finalizar las
transacciones de venta en todas sus variantes. Es el equivalente online al TPV físico (el terminal donde se introducen las
tarjetas en un comercio).
Con la irrupción de los procesadores de servicios de pago, las
pasarelas han ido añadiendo a lo largo del tiempo servicios y
funcionalidades adicionales con las que mejorar la experiencia
de compra online adaptada a cada negocio, habitualmente:
• Varias
•
•
•
•
•
30
opciones de integración con plataforma de
eCommerce.
Páginas de pago adaptadas a dispositivos móviles
(Responsive Web Design) o nativas para estos dispositivos.
Soporte 24/7.
Herramientas de prevención del fraude.
Cumplimiento de los diferentes estándares de seguridad,
como por ejemplo PCI DSS.
Ventas en canales adicionales como televenta y mail.
eleventa.
• Personalización de pantallas de pago, adaptándose a la
•
•
•
•
estética del comercio.
Integración con otros medios de pago alternativos (locales
y globales).
Sistemas de valor añadido como pagos recurrentes,
diferidos o almacenamiento de tarjetas bancarias para
garantizar la agilidad en compras sucesivas mediante la
funcionalidad «1-click shopping».
Multidivisa y conversión dinámica de divisa (DCC).
Fácil integración con soluciones de gestión y contables.
Además, las pasarelas de pago cifran información sensible,
tal como números de tarjetas de crédito, para garantizar que
la información se procesa de forma segura.
#1. Integración tecnológica de
las pasarelas de pago
En la fase inicial de plantificación y toma de requisitos de
cualquier proyecto de eCommerce, la elección de la plataforma CMS (Content Management System), es fundamental
para garantizar la viabilidad y éxito del proyecto. Se debe elegir una u otra según variables como: presupuesto, tamaño de
la comunidad de desarrolladores específica (Open Source),
modelo económico de coste fijo o bajo demanda, necesidades de escalabilidad (multisite), compatibilidad con tecnologías previas, nivel de integración con aplicaciones externas o
arquitecturas de información corporativas, o necesidades de
31
Pasarelas de pago en eCommerce
negocio específicas de las diferentes áreas funcionales de la
empresa (operaciones, marketing, ventas).
Es bastante frecuente que la elección de la pasarela de pago
quede relegada a las fases finales dentro del proceso de implantación de un eCommerce, cuando esta decisión debería
ser una de las primeras a tener en cuenta, ya que de ello
dependerán factores tan críticos para el éxito o fracaso de
nuestro negocio como la mejora de las tasas de conversión,
la prevención del fraude, la seguridad de nuestras transacciones o la diversidad de los métodos de pago que ponemos al
alcance de nuestros clientes.
Esquema de funcionamiento de una pasarela de pago
Fuente: elaboración equipo Snap
32
Concepto de integración
Desde el primer momento que elegimos una plataforma CMS
para nuestro eCommerce, bien sea un desarrollo ad-hoc, con
licencia, u Open Source (Magento, OsCommerce, Prestashop, Wordpress, Drupal, etc.) debemos tener en cuenta qué
opciones de integración ofrece para la integración con nuestra pasarela de pago. Cabe destacar que sea cual sea la tecnología del CMS se podrá integrar con la mayoría de las pasarelas del mercado, pero existen soluciones paquetizadas
o módulos que facilitan este trabajo. Cuanto más conocido y
extendido sea el CMS, más opciones de integración ofrecerá
la comunidad de desarroladores a través de los marketplaces
de cada plataforma.
Para integraciones con necesidades más específicas y avanzadas (ERP, CRM) algunas pasarelas ofrecen la posibilidad
de integración directamente con APIs o arquitecturas orientadas a servicios (WebServices–XML).
Aspectos a tener en cuenta
La integración entre nuestra plataforma de eCommerce y la
pasarela de pago debe permitir:
• Compatibilidad con múltiples opciones de integración (P
Formulario de pago, InFrame o WebServices XML-API).
33
• Sencillez de la integración.
• Soporte 24/7 en la fase
•
•
•
•
34
de integración, puesta en
producción y despliegue. Control de los pagos desde el
Back Office, con el objetivo de tener el control total de las
transacciones pudiendo ejecutar operativas diarias de
devoluciones, cancelaciones, etc. Aceptación de diversos
tipos de transacción. Cada negocio exige diferentes
modelos de ingresos. El pago «diferido», por ejemplo,
bloquea los fondos en la tarjeta del cliente y procesa
el pago más tarde, cuando se ha hecho la entrega del
producto. El pago «pre-autorizado» permite verificar los
datos de la tarjeta en el momento de la compra, pero solo
procesa el pago cuando el importe final se ha comprobado
(muy frecuente si vendemos productos cuyo precio varía
según el peso, o hemos de comprobar los tipos de cambio
con otra moneda).
Proceso de checkout sin costuras, a través de la
customización de las páginas de pago.
Selección y gestión permanente de las herramientas de
prevención del fraude desde el módulo de la plataforma de
eCommerce (CVV, 3D Secure, etc.).
Opciones avanzadas de valor añadido, como el
almacenamiento de tarjetas, la tokenización para la
seguridad y la facilidad de compras sucesivas, etc.
Selección de medios de pago alternativos, según el
mercado target: el cliente debe poder escoger entre
cualquiera de las tarjetas de crédito o débito más comunes
y otros medios de pago alternativos como monederos
digitales, pago por banca online u otros medios de pago
locales, etc.
Tipos de integración
Existen varias formas de integración con una plataforma de
eCommerce a elegir dependiendo de las características del
negocio: tamaño del comercio, necesidades de integración
con sistemas externos, recursos de desarrollo, tipo de servicio o producto que se comercializa, número de transacciones
esperadas, nivel de seguridad requerido, etc.
Formulario de pago
La integración más simple, recomendada si:
• Quieres separar del proceso de compra el pago online.
• Quieres aceptar pagos de forma rápida y fácilmente.
• No tienes necesidades avanzadas de integración con
•
•
•
•
35
sistemas externos.
Quieres la seguridad que te proporciona la externalización
de los pagos online.
Quieres reducir al mínimo tus requisitos de cumplimiento
de PCI DSS.
Estás buscando una pasarela de pago compatible con
numerosos carritos de compra.
No deseas recoger ni almacenar información confidencial
en tu sitio web.
Ejemplo de integración con Formulario de pago con Snap*
36
InFrame
Esta alternativa es preferible si:
• Quieres que los clientes no abandonen tu sitio web cuando
•
•
•
•
•
realicen una compra, es decir, que no sean redireccionados
a una página externa.
Deseas una apariencia final igual a las soluciones de
alojamiento propio.
No deseas gestionar datos de tarjeta en tu web pero sí
recopilar información adicional de clientes.
Estás buscando una pasarela de pago compatible con
los carritos compra y plataformas de comercio electrónico
más utilizadas.
Quieres la seguridad que ofrece la externalización de los
pagos online.
Quieres reducir al mínimo tus requisitos de cumplimiento
de PCI DSS.
Ejemplo de integración inFrame
37
Web Services XML-API
La alternativa que permite mayor control, a costa de una mayor complejidad de integración. A valorar si:
• Quieres obtener un control completo sobre el proceso de
•
•
•
•
•
•
checkout.
Quieres gestionar internamente todo el proceso de pago.
Quieres desarrollar tu propio software de pago (por
ejemplo, para un call center).
Estás buscando una pasarela de pago que se integre con
las plataformas de comercio electrónico más comunes, o
tu programa de Back Office ya implementado.
Cuentas con un área de gestión y elaboración de informes
de las transacciones propia.
Puedes invertir en medidas de seguridad de datos como
certificados, auditorías y análisis de riesgos.
Deseas mantener un nivel más elevado de cumplimiento
de PCI DSS (lo que suele implicar mayores costes).
Ejemplo de integración por Web Services XML-API con Snap
38
39
services
XML-API
inFrame
Formulario
de pago
Opción de
integración
Dispones de Back Office propio.
Tu cliente nunca abandona
tu sitio web.
No
Sí
Esta es la opción de integración
más rápida y sencilla.
Sí
¿Mis páginas de pago se
alojan en mi PSP?
Se trata de un servicio de
marca blanca, de modo que
existe un control completo del
aspecto. Tú provees toda la
parte visible por el cliente.
Sí
Control completo sobre el
Branding y el formato de
la página, a excepción de
los campos necesarios
para el pago.
Sí
No
¿Las páginas de pago
son personalizables?
La siguiente tabla resume las principales características
de los distintos tipos de integración:
Es necesario invertir en un
certificado digital propio.
Debes cumplir con PCI DSS.
Análisis de vulnerabilidades
mensual o trimestral.
Análisis de riesgos realizado
por la entidad adquirente.
Sin auditoría.
Cuestionario de
autoevaluación online.
Sin auditoría.
¿Cuáles son mis requisitos
para cumplir con PCI DSS?
#2. Qué es el «ratio de abandono»
y cómo disminuirlo
Tras todos los esfuerzos encaminados a dirigir tráfico a la
web, destacar aquello que los clientes demandan y ofrecer
el mejor precio por ello, todavía hay un gran porcentaje de
nuestras pequeñas y medianas empresas que ni siquiera saben dónde ni por qué se abandonan los procesos de compra.
Y es que muchas veces se nos olvida que es muy importante proporcionar una experiencia de usuario satisfactoria, es
decir: que comprar en un website sea fácil, intuitivo, seguro y
que no requiera de muchos pasos.
La elección de una pasarela de pago u otra puede contribuir
a que los ratios de abandono disminuyan, al proporcionar la
experiencia de usuario que los clientes están buscando.
Los ratios de abandono en España
Los principales motivos son los siguientes:
22% carrito de la compra.
15% página de confirmación.
10% página 3D Secure.
40
Estrategias para disminuir la tasa de abandono
La integración con una buena pasarela de pago permite abordar distintas alternativas para la disminución de la tasa de
abandono, gracias a varios factores:
• Minimizar
•
•
•
41
el número de pasos para el pago: con las
integraciones tipo Inframe los pasos pueden reducirse a
1-2, acelerando el proceso de checkout.
Branding: una marca genera confianza. La pasarela de
pago debe permitir que esta esté presente en las páginas
de pago, al menos con su logotipo, o a través de la completa
personalización de las mismas con el look & feel del
comercio. El cliente tendrá la sensación de permanecer en
todo momento en el mismo, incrementando su seguridad,
confianza y nivel de conocimiento durante todo el proceso
de pago.
Mostrar la información al cliente en su propio idioma:
de este modo, se podrá informar a los compradores de
detalles cruciales sobre el pago en su idioma, aumentando
la sensación de seguridad.
Acelerar el proceso de checkout: es posible almacenar de
manera segura los detalles de las tarjetas de los clientes
a través de un token o alias cifrado. El comercio no
almacena la información de tarjeta, sino el PSP (Proveedor
de Servicios de Pago), pero el sistema permite que los
clientes no tengan que introducir los datos de su tarjeta
cada vez que realizan una compra en la web (lo que se
denomina pago en one-click).
• Elegir
•
un adquirente de confianza, y mostrarlo en las
páginas de pago. Para los pequeños comercios puede
resultar difícil convencer a sus clientes de que los pagos
son seguros. Ser transparente y mostrar qué compañía se
encarga de procesar las transacciones facilitará que estos
perciban que sus pagos se encuentran en buenas manos.
Ofrecer una gran variedad de medios de pago: cada país
tiene su idiosincrasia y preferencias a la hora de escoger
sus medios de pago online. Puesto que los clientes de un
eCommerce pueden encontrarse en cualquier lugar del
planeta, cuanto mayor sea el abanico de opciones que se
les ofrezca, mejor será su respuesta.
Formas de pago preferidas en España por los internautas que compran online
Fuente: Estudio sobre Comercio Electrónico B2C 2013 (Edición 2014) – ONTSI
42
#3. Gestión del riesgo y
control del fraude online
Según el último Informe sobre eCommerce de la Comisión
Nacional de los Mercados y la Competencia , en el primer
trimestre de 2014 los ingresos del comercio electrónico en
España alcanzaron los 3 578,7 millones de euros, con un aumento interanual del 26,8%. Estos ratios se han mantenido
incluso durante la crisis económica, lo que demuestra la consolidación del eCommerce en nuestro país.
Evolución trimestral del volumen de negocio del Comercio Electrónico y variación interanual
Fuente: CNMC - Informe sobre el Comercio Electrónico en España a través de Entidades de Medios de Pago
43
El fraude online. Datos en España
Desde el punto de vista del usuario, en España durante 2014
continúa la tendencia a la baja, ya que se observa menor proporción de situaciones que pudieran derivar en fraude, como
afirma un 49,6% de los usuarios entrevistados en el Informe
Estudio sobre la Ciberseguridad y Confianza en los hogares
españoles de INTECO , lo que supone un cambio de tendencia con respecto a 2013 (cuando esta proporción alcanzaba
el 52,9%).
Estadísticas sobre intentos de fraude online en España
Fuente: ONTSI-INTECO - Estudio sobre la Ciberseguridad y Confianza en los hogares españoles
44
Sin embargo, si observamos el fenómeno del fraude desde
el punto de vista del comercio online, obtenemos unos datos
algo más preocupantes, puesto que el 45% de las pequeñas
y medianas empresas reconocen no utilizar herramientas
anti-fraude.
Importe anual de las pérdidas derivadas del fraude online
Fuente:Javelin Strategy & Research
45
Principales tipos de fraude online
Profundizando en las características del fraude online, podemos destacar las siguientes tipologías:
• Robo de identidad: robo de los datos de la tarjeta, la propia
•
•
•
•
tarjeta o los datos del usuario en PayPal.
Ingeniería
social:
los
consumidores
reciben
comunicaciones donde se les solicitan los detalles de sus
tarjetas, fingiendo ser su banco, o un comercio.
Fraude interno: los empleados de un eCommerce utilizan
los datos de sus clientes de un modo fraudulento.
Fraude de afiliación: construcción de réplicas falsas de un
comercio online, fingiendo todas las transacciones.
Fraude amistoso: el consumidor declara no haber recibido
los productos y rechaza la transacción, cuando esto no es
cierto.
Visión de las principales herramientas anti-fraude.
Beneficios y limitaciones
Existen distintas alternativas, no excluyentes, que permiten
reducir la probabilidad de generar fraude en eCommerce, y
sus consecuencias.
46
CVV/CVV2
El sector bancario introdujo las herramientas CVV y CVV2
para contribuir en la lucha contra los crecientes problemas de
autenticación del consumidor durante las transacciones CNP
(Card Not Present), correspondientes a los pagos online, en
los que no hay una verificación de autenticidad de la tarjeta
bancaria.
CVV y CVV2 son los acrónimos de Card Verification Value,
utilizados por Visa y MasterCard. Se trata del código de tres
dígitos que aparece en la parte posterior de la tarjeta del comprador, junto a la banda magnética.
En el caso de American Express se denomina CID (Card
Identification Digits), que aparecen normalmente como un
código de 4 dígitos en la parte anterior de la tarjeta.
Estas herramientas son servicios de notificación electrónica
que permiten la verificación tanto en procesos de pago online
como en transacciones a través del teléfono o correo electrónico. Tienen por objetivo proporcionar información adicional
en cada transacción, ofreciendo así más seguridad al comercio a la hora de minimizar el riesgo de pagos fraudulentos.
Beneficios:
• Rapidez:
la verificación de CVV/CVV2 se ejecuta en
tiempo real, por lo que se reciben los resultados antes de
la autorización de la operación.
47
• CVV/CVV2
•
•
proporciona más información sobre la
transacción, de manera que es posible decidir si se
requiere realizar algún tipo de comprobación anti-fraude
adicional.
Los fallos en CVV/CVV2 son indicadores tempranos de
que la tarjeta se está utilizando de forma fraudulenta, lo
que evitará otras comprobaciones manuales.
Respuestas detalladas que limitan los errores: los
resultados se dividen en 3 categorías para reducir el
número de respuestas fallidas originadas por un error del
usuario.
Limitaciones:
• No se pueden utilizar en tarjetas privadas: si el comercio
acepta pagos con tarjetas de empresa puede recibir el
resultado «datos no comprobados», ya que los bancos no
tienen acceso a esta información para este tipo de tarjetas.
3D Secure
3D Secure, denominado Verified by Visa (VbV) o MasterCard
Secure Code (MSC), se trata de una iniciativa contra el fraude lanzada por los emisores de tarjetas como el método más
seguro para la autenticación del titular de la tarjeta en tiempo
real antes de una transacción.
3D Secure (3 Domain Secure) hace referencia a las partes
que participan en este proceso:
48
• El comercio.
• El banco adquirente.
• Visa y MasterCard.
Beneficios:
• Traslado del riesgo de la transacción fraudulenta al emisor:
•
•
el riesgo no es imputable al comercio si procesa sus pagos
a través de un proceso 3D Secure. Si la transacción resulta
ser fraudulenta, el comercio estará protegido por el emisor
de la tarjeta contra el repudio de operaciones, ya que será
el propio banco emisor quien asumirá los importes.
Flexibilidad: es posible definir si se activa o no, a criterio
del comercio, en función de las características de la
transacción (potencial riesgo de fraude), si bien el emisor
puede denegar una transacción que no se gestione
mediante 3D Secure.
Tarjetas que pertenecen a 3D Secure: VISA, VISA
DELTA, MASTERCARD, MASTERCARD DÉBITO,
INTERNATIONAL MAESTRO, LASER y VISA ELECTRON.
Limitaciones:
• Las devoluciones pueden ocurrir: una transacción validada
•
49
por 3D Secure no garantiza que un cliente pueda ejercer
su derecho a anular una venta en los plazos y condiciones
determinados por la ley de comercio.
No todas las tarjetas participan: no existen iniciativas
similares para American Express, JCB o Diner’s Club.
Consejos adicionales para minimizar el fraude
Debido a las limitaciones que hemos comentado, es recomendable que el comercio no base su política de detección
del fraude únicamente en estas herramientas (CVV/CVV2 y
3D Secure), tratando de implementar en la medida de lo posible comprobaciones adicionales:
• Cotejar el número de teléfono y la dirección de entrega
con la dirección de facturación. Llamar al número indicado
para comprobar que es real, y (para entregas dentro del
territorio nacional) comprobar que el prefijo concuerda.
Incluso verificar si el edificio encaja con las expectativas
revisando la dirección en Google Street View.
• Desconfiar de una transacción de bajo importe seguida de
varias de importes altos. Los delincuentes siempre hacen
una prueba inicial a través de pequeñas compras antes
de abordar el gran asalto. Además, se aprovechan de
las temporadas de gran actividad para esconderse entre
el volumen de datos. Es imprescindible incrementar la
cautela durante esos periodos.
• Tener especial cuidado con los países de «alto riesgo»,
algo que cada vez es más importante dado el gran alcance
de los negocios online en los últimos tiempos.
• Comprobar la concordancia del país de entrega con la
dirección IP del usuario.
50
• «Velocity
Checks». Comprobar aquellas transacciones
que se repiten de forma intermitente o un cierto número de
veces en un lapso de tiempo concreto.
• Comprobar
que la dirección de correo electrónico sea
válida (el correo será devuelto si no lo es), y sospechar
de aquellas cuentas de correo gratuitas, temporales o
anónimas.
• Si
todas las comprobaciones anteriores son correctas,
pero todavía existen sospechas, considera la opción de un
envío certificado para asegurar que el propio destinatario
firmará su recepción y así evitar reclamaciones en la
entrega.
• Hoy en día existe tecnología que consigue el compromiso
casi perfecto entre riesgo y crecimiento. Se trata de
herramientas basadas en el análisis pre y post transaccional
que son capaces de definir un scoring transaccional en
tiempo real.
51
#4. La seguridad de los datos
personales de la Industria de
Tarjetas de Pago: PCI DSS
Independientemente de su tamaño, cuando un negocio acepta pagos con tarjeta debe cumplir la normativa PCI DSS (Payment Card Industry Data Security Standard) como condición
imprescindible para la prestación de sus servicios.
Estos estándares ayudan a las entidades que procesan, almacenan y/o transmiten datos de titulares de tarjeta a proteger dicha información, con el fin de prevenir los fraudes que
involucran tarjetas de pago de débito y crédito.
El cumplimiento de PCI DSS permite:
• Mayor seguridad para las compras por Internet, al reducir
•
•
•
•
52
las brechas de seguridad online.
Impedir el robo y el uso no autorizado de tarjetas de crédito
y débito.
Proteger a los consumidores y a los negocios ante
actividades fraudulentas.
Garantizar que los comerciantes almacenan, procesan y
transmiten los datos de tarjetas de forma segura.
Evitar los daños en la reputación y los costes financieros
asociados a un fallo en la seguridad de los datos.
Puesto que la norma PCI DSS afecta a todos los actores partícipes en el proceso de pago procesando, almacenando y/o
transmitiendo datos de tarjeta, la forma más sencilla para reducir el impacto de su cumplimiento para los comercios pasa
por evitar en todo momento el «contacto» con esta información. Pero si se quieren ofrecer al cliente opciones avanzadas
de pago (one click, compras recurrentes, etc.) se necesita
almacenar estos datos.
La solución pasa por el uso de tokens, una referencia de los
datos de un comprador (número de tarjeta, dirección de facturación, etc.) asociado a un comercio y almacenado en el
servidor, ofreciendo al comercio flexibilidad para procesar las
transacciones sin comprometerse a la seguridad que implica
el almacenamiento de datos de tarjetas. Únicamente los proveedores de pago que cumplan el nivel 1 de la normativa PCI
DSS pueden almacenar datos de tarjetas.
El uso de tokens es ideal para ofrecer soluciones avanzadas
de pago, delegando en su proveedor (que es quien proporciona estos tokens) el procesamiento y almacenamiento de la
información de tarjeta:
• Agilizar el proceso de compra 1-click en las futuras visitas
•
•
•
de los clientes.
Facilitar al comprador los pagos recurrentes.
Realizar ventas 1-touch a través de dispositivos móviles.
Reducir la tasa de abandono en el proceso de compra.
En el siguiente capítulo profundizaremos en estos aspectos
relacionados directamente con el cumplimiento de la normativa PCI DSS.
53
3
CAPÍTULO
55
SEGURIDAD EN EL
PAGO CON TARJETA
Pagar con una tarjeta de plástico hoy en día es algo básico
para cualquier ser humano que no viva alejado de la civilización. Nadie podría plantearse no disponer de alternativas al
dinero físico para realizar unos pagos que, además, serían
imposibles en un mundo «virtualizado», donde la necesidad
de tener herramientas adecuadas para realizar compras implica disponer de tarjetas bancarias con uno u otro formato,
físico o virtual.
La cuestión que se presenta es si estos sistemas de pago,
que en los últimos cinco años han sufrido una revolución importante, han ido implementando los requerimientos de seguridad acordes a sus riesgos.
En este capítulo se presentarán las más recientes iniciativas,
técnicas y estándares tanto en el pago con tarjeta como las
medidas de seguridad en él, cuyo fin es reducir el fraude y
proteger al usuario final.
#1. Proceso de pago con
tarjeta online y offline
Las tarjetas bancarias son facilitadas por una entidad financiera, que a su vez están vinculada a las marcas de tarjetas
de pago (VISA, MasterCard, American Express, etc.), para la
realización de una transacción monetaria.
56
Gracias a la comodidad, facilidad de uso y seguridad que
proporcionan a las personas, al evitar llevar encima grandes cantidades de dinero en efectivo, estas tarjetas se han
convertido en una parte muy común de nuestras vidas y son
ampliamente conocidas y aceptadas tanto por usuarios como
por comercios.
Existen dos métodos fundamentales de pago a través de
tarjetas bancarias: el pago online, vigente cuando existe
conexión directa con los centros autorizadores, y el pago
offline, que se da cuando no existe conexión directa con
dichos centros. En este último caso, los datos de tarjeta son
habitualmente almacenados en el terminal o sistemas de la
entidad, para la realización posterior de la transacción, en el
momento en que sí exista conectividad directa con el centro
autorizador.
Además, existen dos categorías principales de pago para este
tipo de tarjetas: el pago presencial y el pago no presencial,
que son detalladas a continuación.
Pago presencial
Esta categoría incluye los pagos donde la transacción se realiza de manera presencial, a través de una tarjeta de pago en
una compra física, y mediante un Terminal de Punto de Venta
(TPV) o Datáfono.
57
Seguridad en el pago con tarjeta
En dicho proceso, y en el momento de la realización del pago,
el usuario interactuará con su tarjeta de crédito o débito en
este TPV, de manera que la transacción se realizará a través
de redes que pueden ser o bien cableadas (telefónicas, redes
Ethernet, etc.) o bien inalámbricas (GSM, GPRS, WiFi, etc.).
Para interactuar con el terminal, el usuario dispone de varios
métodos para realizar la transacción. Estos métodos son la
Banda Magnética, el Chip EMV y el Contactless, que vemos
con más detalle seguidamente.
Banda Magnética
La banda magnética de una tarjeta de pago puede contener
hasta tres pistas de grabación. En dichas pistas se almacena
la información asociada a la tarjeta, como puede ser el
Número Personal de la Cuenta o PAN (Personal Account
Number), el Valor de Verificación de la Tarjeta o CVV (Card
Verification Value) o el Valor de Verificación PIN PVV (Pin
Verification Value).
En el momento del pago (o reembolso monetario), el usuario «deslizará» la banda magnética de su tarjeta por el TPV,
de manera que el dispositivo accederá a la información que
contiene. Una vez identificada y validada la tarjeta, se procederá al cobro del importe del pago a la cuenta asociada a la
misma.
58
EMV
EMV es un estándar de interoperabilidad entre tarjetas con
microprocesador (chip) y dispositivos TPV con soporte para
este tipo de tecnología.
Las transacciones mediante EMV ofrecen una mayor seguridad frente el fraude que los pagos mediante la banda
magnética. Esto se debe al uso de algoritmos de cifrado
como DES, Triple DES, RSA y SHA para el cifrado de la
información contenida en el chip.
En el momento del pago, el usuario introducirá su tarjeta
con chip en el lector y este extraerá la información asociada a dicha tarjeta, como el PAN o el PVV. Si es necesario, el TPV solicitará al usuario que introduzca su PIN en el
terminal, para garantizar su identidad (la necesidad de ello
vendrá determinado por la entidad financiera, aunque para
importes inferiores a 20 € la mayoría no solicitará la introducción del PIN).
Contactless
Para facilitar el pago en los terminales TPV, hace pocos años
se desarrolló la tecnología Contactless3 , que permite el intercambio de información entre la tarjeta y el TPV sin que exista
contacto físico, solo la proximidad (unos centímetros).
3. Mastercard contactless http://www.mastercard.com/contactless/
59
La tecnología utilizada para operar de esta manera se
conoce como NFC (Near Field Communication), un sistema
de comunicación inalámbrico de corto alcance que funciona
por proximidad. La ventaja principal consiste en que no es
necesario introducir la tarjeta en un TPV, sino que únicamente
tendremos que acercar la tarjeta al dispositivo y el traspaso
de información se realizará de manera automática.
Así pues, en el momento de la transacción, el usuario
acercará su tarjeta al terminal y este obtendrá la información
necesaria para su identificación y validación. Como en el
caso del EMV, una vez obtenidos los datos necesarios, si es
preciso, el TPV solicitará al usuario su PIN, de manera que se
garantice su identificación antes de proceder a la aceptación
de la transacción.
Pago no presencial
Esta categoría de métodos de pago incluye todas las transacciones donde la tarjeta no se puede validar de manera presencial (físicamente), como pueden ser las compras o pagos
a través de comercios electrónicos (eCommerce), así como
los canales de venta por teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order).
Dentro de la subcategoría de comercios electrónicos, podemos encontrar tres métodos diferenciados de pago: TPV Virtual, TPV Virtual con autenticación adicional y Pago online a
través de un intermediario.
60
TPV Virtual
La mayoría de eCommerce disponen de esta modalidad de
pago, mediante la cual un TPV físico es emulado a través de
un programa o recurso de una entidad bancaria.
Para efectuar un pago con este método, la página web o portal de compra realiza una redirección hacia el TPV virtual del
banco, donde el usuario debe introducir los datos asociados
a su tarjeta (PAN, fecha de caducidad y CVV2/CVC2/CID/
CAV2).
Una vez introducidos, a través de TPV se solicita autorización
al emisor de la tarjeta (entidad bancaria relacionada), que es
quien autoriza o deniega la operación. En ocasiones, y como
medida de seguridad adicional, el portal del banco solicitará
al usuario que introduzca algún dato más, como el valor de
una tarjeta de coordenadas propia de ese usuario o el contenido de un mensaje de texto, que el banco enviará en ese
instante al usuario.
TPV Virtual con autorización adicional
Para evitar que el comercio pueda acceder a los datos de
la tarjeta del usuario empleada en la realización del pago,
algunos TPV virtuales utilizan sistemas como 3D Secure, en
el que se requiere de una autenticación adicional en los sistemas de la entidad bancaria para disminuir aún más la posibilidad de fraude.
61
Para la realización de este tipo de pagos, el usuario debe
asociar su tarjeta de pago a una contraseña o clave secreta
a través del portal de su entidad financiera. En el momento
del pago online, se añade un paso más respecto al caso anterior, que consiste en una redirección adicional a un portal
propio del banco donde se requiere al usuario que introduzca
dicha clave, además de un documento de identidad adicional,
como puede ser su DNI o Pasaporte.
Una vez hecha la validación de todos estos datos, el pago se
realizará como en el caso de un TPV virtual normal.
Pago online a través de un intermediario
Existen también procedimientos de pago online en los que la
transacción se realiza a través de un intermediario o tercero.
En este tipo de pagos nos podemos encontrar dos métodos
principales, el monedero virtual y la pasarela de pago:
• En
el primero de estos métodos, conocido como
monedero virtual, el usuario deberá crear una cuenta
en uno de estos proveedores, asociada a su tarjeta
de pago, y posteriormente, en el momento del
pago, introducir los datos asociados a dicha cuenta.
Con esto, el usuario no necesitará aportar los datos
confidenciales de su tarjeta de pago en la web del
comercio, sino que los datos introducidos serán los
62
asociados a su cuenta en el intermediario (datos no tan
sensibles), y la entidad tercera será a su vez la encargada
de facilitar a la entidad bancaria la información necesaria
para la realización de la transacción.
• En
el segundo método, conocido como pasarela de
pago, será el comercio el que tendrá un contrato con
un intermediario, de manera que la transacción se
realizará a través de dicha pasarela. El intermediario
será el encargado de interactuar con la entidad financiera
asociada al comercio para que la transacción se lleve a
término de manera correcta.
Otra subcategoría dentro de los pagos no presenciales son
las ventas a través de teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order), en las que los datos de tarjetas son o bien enviados por su titular a través de un correo
electrónico, o bien facilitados directamente a un operador telefónico.
En ambos casos, la entidad responsable de recibir dichos datos será la encargada de realizar la transacción monetaria,
normalmente a través de un TPV Virtual con conexión con el
centro autorizador.
63
#2. Normativa PCI DSS
La PCI DSS (Payment Card Industry Data Security Standard)4 es una normativa de seguridad que se aplica a entornos que procesan, transmiten o almacenan datos de tarjetas
bancarias. Por lo tanto, vemos que dicha normativa es de
total aplicación para plataformas de eCommerce que integren
pagos con tarjetas.
Los diferentes agentes implicados en la normativa se describen a continuación:
Titular de tarjeta (Cardholder): persona que posee una
tarjeta bancaria de crédito o débito, asociada a una cuenta
bancaria.
Marca de pago: organizaciones responsables de las tarjetas de crédito y débito. Las marcas de pago que forman el
PCI SSC5 (responsable de la normativa PCI DSS) son VISA6,
MasterCard7, American Express8, JCB9 y Discover10.
4. Normativa PCI DSS v3.0 https://www.pcisecuritystandards.org/documents/PCI_DSS_v3_
05Nov13_Final_ES-LA.pdf
5. PCI SSC https://www.pcisecuritystandards.org
6. VISA https://www.visaeurope.es
7. Mastercard https://www.mastercard.com
8. American Express https://www.americanexpress.com
9. JCB http://www.jcbeurope.eu/
10. Discover https://www.discover.com/
64
Emisor: institución financiera que mantiene contratos y
emisiones de tarjetas con sus titulares. Son los responsables de la administración de las cuentas de los titulares,
así como de aprobar las solicitudes de autorización.
Adquiriente: miembro de una marca de tarjetas de
pago que mantiene relaciones y cuentas para los comercios que aceptan las tarjetas (intermediario entre un comercio y una marca de tarjeta, normalmente una entidad
bancaria).
Comercio: negocio que cumple con los estándares de
calificación de una marca de pago y que se encuentra
aprobado por un adquiriente.
Proveedor de servicio: entidad que presta servicios a
otras entidades afectadas por el estándar PCI DSS. Algunos ejemplos de servicios pueden ser: acceso a Internet,
desarrollo de software a medida, alojamiento de aplicaciones web, etc.
Los datos de tarjeta a los que aplica la normativa son
tanto los datos del titular (PAN, nombre del titular, caducidad y código de servicio), como los datos sensibles de
autenticación (banda magnética, CVV2/CVC2/CAV2/CID
y PIN/PIN block).
Aunque la normativa permite el almacenamiento de algunos de estos datos (siempre que exista justificación de
negocio y se empleen las medidas de seguridad adecuadas), prohíbe el almacenamiento de otros de estos datos,
como se puede observar en la siguiente tabla.
65
Almacenamiento de datos de tarjeta
Tipos de dato
Datos del titular de la
tarjeta
Datos sensibles de
autenticación
Dato
Almacenamiento
permitido
Protección de
datos según
Req. 3.4
PAN
Sí
Sí
Nombre del titular
Sí
No
Código de Servicio
Sí
No
Caducidad
Sí
No
Banda magnética
No
N/A
CVV2/CVC2/CAV2/CID
No
N/A
PIN/PIN Block
No
N/A
Cada versión de la normativa PCI DSS dispone de un ciclo
de vida de 3 años, y es monitorizada durante este tiempo
por el PCI Security Standards Council, que es un organismo
formado por las principales marcas de tarjeta (VISA, MasterCard, American Express, JCB y Discover) y que se encarga
de publicar y mantener los estándares PCI. La versión actual
es la 3.0, vigente desde Octubre/Noviembre de 2013, y de
obligado cumplimiento desde Enero de 2015.
Dicha normativa está conformada por 12 Requerimientos
principales, y estos son agrupados a su vez en 6 Principios,
que aparecen en la tabla a continuación.
66
Requerimientos PCI DSS (versión 3.0)
Principio
Requerimiento
1.
Instalar y mantener una configuración de firewall
para
proteger
los datos del titular de la tarjeta.
Desarrolle y mantenga
redes y sistemas seguros 2.
No utilizar contraseñas de sistemas y otros
parámetros de seguridad provistos por los proveedores.
3. Proteger los datos del titular de la tarjeta que fueron
Proteger los datos del almacenados.
titular de la tarjeta
4.
Cifrar la transmisión de datos del titular en redes
públicas abiertas.
5. Utilizar y actualizar con regularidad los programas o
Mantener un programa software antivirus.
de administración de
6.
Desarrollar y mantener sistemas y aplicaciones
vulnerabilidades
seguras.
7. Restringir el acceso a los datos del titular de la tarjeta
según la «necesidad de saber» que tenga la empresa.
Implementar
medidas
8. Identificar y autenticar el acceso a los componentes
sólidas de control de
del sistema.
acceso
9. Restringir el acceso físico a los datos del titular de
la tarjeta.
10. Rastrear y supervisar todos los accesos a los
recursos de red y a los datos de los titulares de las
Supervisar y evaluar las tarjetas.
redes con regularidad
11. Probar con regularidad los sistemas y procesos de
seguridad.
Mantener una política de 12. Mantener una política que aborde la seguridad de la
seguridad de información información para todo el personal.
67
A continuación, procedemos a analizar cada uno de estos 12
requerimientos de seguridad, haciendo énfasis en sus puntos
clave y dando consejos sobre cómo lograr el cumplimiento
de los mismos.
Req 1. Instalar y mantener una configuración de firewall
para proteger los datos del titular de la tarjeta
Este requerimiento se centra en la seguridad perimetral del
entorno de cumplimiento y su objetivo es que se instale y se
mantenga una infraestructura de firewalls o cortafuegos, así
como de otros dispositivos de red, que supongan un primer
nivel de protección frente a amenazas que provengan del entorno exterior hacia el entorno PCI DSS.
Req 2. No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores
Este requerimiento está enfocado a la debida fortificación de
los parámetros de seguridad de todos los elementos que conforman el entorno de cumplimiento PCI DSS, y eso incluye
servidores, elementos de red y otros dispositivos configurables relacionados con el entorno.
Para ello, es necesario que se desarrollen normas de configuración para todos ellos, actualizadas y basadas en las
mejores prácticas de la industria, que den pautas sobre su
correcto abastionamiento.
68
Req 3. Proteger los datos del titular de la tarjeta que
fueron almacenados
Este requerimiento se enfoca hacia la protección de la información relativa a tarjetas de pago que sea almacenada
en un entorno PCI DSS, tanto de manera temporal como de
manera permanente.
Para lograrlo, se debe almacenar la menor cantidad de información de tarjetas de pago necesaria para el curso del
negocio, y el menor tiempo posible. Cuando el PAN sea almacenado en el entorno, dicho almacenamiento se deberá realizar bajo métodos que lo hagan ilegible en cualquier
ubicación.
Req 4. Cifrar la transmisión de los datos del titular de la
tarjeta en redes públicas abiertas
Este requerimiento cubre la necesidad de que se cifren todas las comunicaciones por redes públicas en las que se
transmitan datos de tarjetas.
En este tipo de canales de transmisión, se deben utilizar
metodologías de cifrado robusto reconocidas por la industria, como TLS 1.2, IPSEC, SSH v2, VPN, etc. Las redes
inalámbricas, por su parte, deberán implementar también
métodos de cifrado robustos (como WPA2 con 802.11i en el
caso de las redes WiFi).
69
Req 5. Utilizar y actualizar con regularidad los programas
o software antivirus
Este requerimiento establece las pautas necesarias para que
los diferentes servidores y equipos del entorno de cumplimiento cuenten con software antivirus activo y actualizado,
de manera que se encuentren protegidos contra antivirus,
gusanos, troyanos y todo tipo de malware en general.
Para lograr dichos objetivos, se deberá instalar y mantener
operativo software antivirus en todos los sistemas del entorno
de cumplimiento susceptibles de ser afectados por malware.
Req 6. Desarrollar y mantener sistemas y aplicaciones
seguras
Este requerimiento pretende que se establezca una metodología de desarrollo de software que incorpore la seguridad en
todo el ciclo de vida del desarrollo, así como que el nivel de
parcheado de sistemas sea el adecuado, de manera que las
aplicaciones y sistemas resultantes sean seguros frente a los
ataques más comunes.
Para ello, será necesario definir un correcto ciclo de vida de
desarrollo de software (SDLC-Software Development Life
Cicle), así como seguir guías de desarrollo seguro para los
diferentes lenguajes de programación utilizados, basadas en
las normas o mejores prácticas de la industria.
70
Req 7. Restringir el acceso a los datos del titular de la tarjeta según la «necesidad de saber» que tenga la empresa
Dicho requerimiento se ocupa de que solo el personal autorizado y con necesidad de negocio para ello, pueda acceder
a los datos de tarjetas de pago contenidos en el entorno de
cumplimiento.
Para ello, se deberá limitar el acceso a los datos y componentes de sistema a aquellos individuos que lo necesiten, bajo
justificación y para la operativa de negocio a la que están
asignados.
Req 8. Identificar y autenticar el acceso a los componentes del sistema
Este requerimiento va muy ligado al anterior, y en él se especifican las medidas de seguridad a seguir para que la identificación y la autenticación de los usuarios en los accesos a
datos o componentes de sistema del entorno sean las adecuadas.
Además, las cuentas con acceso al entorno deberán disponer de una política de seguridad adecuada, con bloqueo tras
seis intentos de acceso fallidos, caducidad de 90 días, histórico de cuatro contraseñas, etc. Y las conexiones remotas al
entorno deberán realizarse a través de una autenticación de
doble factor.
71
Req 9. Restringir el acceso físico a los datos del titular de la tarjeta
El requerimiento 9 contempla la seguridad física del entorno de cumplimiento, incluyendo en su alcance las instalaciones, Centros de Procesado de Datos (CPD) y todas las áreas que lo conforman.
Para ello, se deberán implementar controles de acceso
físico, de manera que se limiten los accesos a los imprescindibles para la operativa de negocio de la entidad.
Req 10. Rastrear y supervisar todos los accesos a los
recursos de red y a los datos de los titulares de las
tarjetas
Este requerimiento cubre la necesidad de disponer y
mantener registros de auditoría o logs en todas y cada
una de las tecnologías del entorno de cumplimiento, de
manera que se monitoricen todos los accesos y acciones
realizadas tanto a datos de tarjeta como a las configuraciones de los sistemas.
Dichas pistas o registros de auditoría deberán registrar
todas las acciones realizadas sobre el entorno de cumplimiento PCI DSS.
72
Req 11. Probar con regularidad los sistemas y procesos
de seguridad
Este requerimiento cubre la necesidad de realizar pruebas de seguridad periódicamente en el entorno de cumplimiento, de manera que se asegure que no existan vulnerabilidades en el mismo.
Para ello, es necesario que se implementen escaneos trimestrales de vulnerabilidades, además de escaneos de búsqueda
de puntos de acceso inalámbricos y pruebas de penetración.
También será necesario implementar Sistemas de Detección/
Prevención de Intrusos (IDS/IPS), así como mecanismos de
Monitorización de Integridad de Ficheros (FIM-File Integrity
Monitoring) en el entorno.
Req 12. Mantener una política que aborde la seguridad de
la información para todo el personal
El último requerimiento de la normativa establece la necesidad de que exista y se mantenga una correcta política de seguridad en todos los procedimientos y aspectos de seguridad
relativos al entorno de cumplimiento. Para ello, será necesario que se establezca, se mantenga actualizada y se distribuya al personal implicado una correcta política de seguridad,
que cubra las necesidades, obligaciones y responsabilidades
de todo personal implicado en el entorno.
Además, también se deberá realizar un análisis de riesgos anual,
implantar programas formales de concienciación, implementar
estrictas medidas de control y monitorización de proveedores, y
definir un plan de respuesta a incidentes de seguridad en la entidad.
73
#3. Estrategias de cumplimiento
Como hemos podido observar, la normativa PCI DSS es muy
extensa, profunda y exigente, y sus doce requerimientos cubren un amplio abanico de controles y procedimientos de seguridad, tanto a nivel técnico como a nivel procedimental y
organizativo.
Todo esto comporta que alcanzar la adecuación con el estándar implique en muchos casos una elevada inversión, tanto
a nivel económico como temporal, requiriendo un gran nivel
de esfuerzo de todos los actores implicados. Por todo esto,
es importante hacer énfasis en aquellas estrategias que nos
faciliten el cumplimiento del estándar.
Identificación del entorno de cumplimiento
Una de las primeras consideraciones a tener en cuenta antes de abordar la implantación del estándar es realizar una
correcta identificación del entorno de cumplimiento afectado
por la normativa, de manera que se puedan concentrar los
esfuerzos de implantación en los elementos del mismo.
Para ello, es necesario que se identifiquen todos aquellos sistemas y tecnologías relacionados con el tratamiento, procesado y almacenamiento de los datos de tarjetas de pago, así
como todos los elementos que pueden alterar la seguridad
74
del entorno, entre los que destacan los procesos de negocio,
los proveedores externos y el personal con acceso a los datos de tarjeta.
Si dicha identificación no se realiza de manera correcta, se
corre el peligro de tener una falsa sensación de cumplimiento, ya que puede darse el caso de que una entidad haya aplicado todos los controles de la normativa solo a una parte del
entorno (con el elevado esfuerzo que eso supone), omitiendo
elementos que hacen que no se consiga un debido alineamiento con el estándar.
Reducción del entorno de cumplimiento
Una vez se ha identificado de manera clara el entorno de
cumplimiento de una entidad, se deben aplicar procedimientos de reducción del mismo, y es que es importante que el
número de sistemas y procedimientos operativos a los que
aplicar los doce requerimientos de seguridad de la PCI DSS
sean los mínimos posibles, de manera que se reduzca el alcance de lo que definimos como entorno de cumplimiento.
La primera consideración a tener en cuenta es que el PAN
no se debe almacenar a no ser que sea imprescindible para
el negocio. Y en el caso de que sea necesario, se deberá
hacerlo en el número mínimo de puntos posible. Con esto,
conseguiremos que los requerimientos de la normativa relacionados con el almacenamiento seguro de los datos se
apliquen al menor número de elementos, de manera que se
nos facilitará en gran medida el cumplimiento del estándar.
75
Además, se podrán llevar a cabo otras técnicas de reducción
del entorno PCI DSS, entre las que destacan la segmentación de red, la tokenización, las soluciones P2PE (Point-topoint encryption) o la externalización a proveedores certificados PCI DSS, que son detalladas seguidamente.
Segmentación de red
Para lograr la reducción del entorno de cumplimiento,
se puede llevar a cabo el procedimiento conocido como
segmentación de red11.
Una vez identificados todos los elementos que conformarán
el entorno de cumplimiento (ver puntos anteriores), se crea
una especie de «burbuja» PCI a nivel conceptual, que incluya todos estos elementos identificados. Dicha burbuja es lo
que llamamos entorno de cumplimiento PCI DSS, también
conocido como Entorno de Datos de Tarjeta (CDE-Cardholder Data Environment).
Hay que tener en cuenta, no obstante, que todos aquellos
elementos que interactúen de manera directa con la burbuja
PCI DSS también deberán ser considerados como parte de la
propia burbuja. Un ejemplo de esto pueden ser elementos de
seguridad como consolas de antivirus o herramientas de monitorización, que, a pesar de no tratar con datos de tarjeta de
manera directa, tienen interacción con elementos del entorno
que sí que los tratan, y por tanto, si se llegaran a comprometer
11. Internet Security Auditors – Usando la segmentación de red para reducir el alcance de PCI DSS
76
dichos elementos, esto podría conducir a una afectación de
la seguridad del entorno de cumplimiento.
Por tanto, una vez identificados todos los elementos de la burbuja PCI DSS será necesario aislarlos adecuadamente del resto de
elementos de la infraestructura, de manera que no sea necesario
aplicar los requerimientos de la normativa a dichos elementos exteriores. Para realizar este aislamiento, debe existir una segmentación
a nivel del firewall perimetral del entorno.
Además, se debe estudiar cada caso por separado, así como asegurar que los elementos exteriores no puedan generar tráfico de
entrada a la burbuja PCI DSS que pueda modificar su nivel de seguridad. En el caso de que así fuera, dichos elementos exteriores se
deberían incluir también dentro de la burbuja, y así sucesivamente
con todos aquellos elementos que interactúen con el entorno de
cumplimiento.
Una vez aislados todos los elementos que conforman el entorno de
cumplimiento, será necesario aplicar los doce requerimientos de la
normativa PCI DSS solo en ellos, excluyendo aquellos elementos
exteriores a la burbuja de alcance del estándar. De esta manera, el
alcance de la normativa se verá reducido en gran escala.
Tokenización
Otro procedimiento o técnica que es importante tener en cuenta para
reducir el alcance de la normativa PCI DSS es la tokenización12 , que
consiste en el reemplazo de un dato confidencial por otro que no lo
es, garantizando la misma operatividad sobre el dato en cuestión:
77
1. Un sistema recibe un dato confidencial, como el PAN de una
tarjeta de pago.
2. El dato confidencial se almacena en una ubicación segura,
bajo métodos de cifrado robustos, que garanticen su protección y confidencialidad.
3. El sistema asocia dicho dato confidencial cifrado a un valor
token único, que no es más que un dato no confidencial único,
y a través del cual y sin más información es imposible deducir
el valor del dato confidencial asociado al mismo.
4. A partir de este punto, todas las acciones operativas asociadas a dicho dato se realizan sobre el token, en vez de sobre
el dato confidencial en cuestión. A no ser, obviamente, que se
necesite el valor del dato original para alguna operación (como
puede ser el cobro de un importe bancario), momento en el
cual se realiza una consulta al dato original.
Visto el funcionamiento de dicha técnica, y teniendo en cuenta
que la PCI DSS solo se aplica sobre sistemas que almacenen,
transmitan o procesen datos de tarjetas de pago, vemos que
esta técnica también nos puede ayudar a reducir en gran medida el alcance del entorno de cumplimiento.
Para entender cómo llevar a cabo dicho procedimiento, lo primero
que hay que tener en cuenta es que un token NO es un dato de
tarjeta, y que, por tanto, si tenemos un sistema o proceso que trata,
procesa o almacena solo dicho token, y se encuentra debidamente
segmentado del resto de sistemas o procesos de la burbuja PCI
DSS, este sistema se podrá omitir del alcance del estándar.
12. PCI DSS Tokenization Guidelines
78
La idea será entonces emplear dicha técnica para tokenizar los
datos de tarjeta confidenciales (como el PAN), y proceder a realizar el mayor número de acciones operativas de negocio posibles
sobre dicho token, de manera que el dato original no se utilice a
no ser que sea estrictamente necesario. Una vez empleado dicho
procedimiento, se podrán omitir del alcance del estándar todos
aquellos sistemas y operaciones que traten solo con los token.
No obstante, para que dicha técnica sea válida para lograr la reducción del alcance de un entorno de cumplimiento, se deberán
cumplir ciertas premisas, como es el hecho de que el sistema encargado de la tokenización debe estar ubicado en una red interna,
que el valor del token no pueda aportar ninguna información a
un atacante, etc. Dichas premisas, así como el resto de detalles
sobre esta técnica, pueden ser consultadas en el sitio oficial del
PCI SSC.
Hay que tener en cuenta, además, que esta técnica se puede
implementar partiendo de cero en los propios sistemas de una
entidad afectada, o bien implementarse a través de alguna solución de tokenización externa y comercial, diseñada previamente
para tal efecto.
Point-to-point encryption (P2PE)
Otra técnica para conseguir la reducción del alcance de la normativa es el uso de una solución de Point-to-point encryption
(P2PE)13, certificada previamente por el PCI SSC.
13 PCI SSC – Point-to-Point Encryption
79
Dicha técnica se basa en la realización de una transmisión
con cifrado punto a punto de los datos de tarjeta, con el uso
de una solución de cifrado ya certificada previamente, para
conseguir así sacar el canal de transmisión de los datos del
alcance de la normativa PCI DSS.
Para su uso, el primer paso a realizar por un comercio será
contratar alguna solución comercial y certificada por la normativa PCI P2PE, e implementarla en su propio entorno de
cumplimiento. De esta forma, cuando se desee transmitir
datos de tarjeta, estos serán cifrados previamente con dicha
solución, y, a continuación, serán transmitidos por el canal
habitual.
En el momento en el que los datos lleguen a su destino, volverán a ser descifrados, de manera que sea posible el acceso
a los mismos por parte de su legítimo receptor.
Como la solución P2PE ya ha sido certificada previamente
por parte del PCI SSC (según el estándar PCI P2PE), se garantiza que cumple con las medidas de seguridad adecuadas, como puede ser la implementación de algoritmos de
cifrado robustos de los datos, la realización de una correcta
gestión de las claves de cifrado, etc. Y, por lo tanto, todos
los sistemas por los que se transmiten los datos cifrados con
dicha solución quedaran fuera del alcance del entorno de
cumplimiento.
No obstante, para que esta reducción del entorno sea válida,
el comercio deberá tener en cuenta una serie de premisas de
80
obligado cumplimiento, como puede ser el aislamiento correcto
del entorno P2PE, que el propio comercio no disponga de acceso a las claves de cifrado/descifrado de los datos, etc. Dichas
premisas, así como el detalle de la normativa PCI P2PE, pueden ser consultados en la documentación oficial del PCI SSC.
Externalización a proveedores certificados PCI DSS
La última técnica comentada para lograr la reducción del entorno de cumplimiento de la normativa PCI DSS es la externalización (outsourcing) de parte del entorno a proveedores
certificados PCI DSS.
Esta técnica se basa en utilizar soluciones operativas ofrecidas por proveedores externos, y ya certificadas previamente
por el estándar PCI DSS, de manera que una entidad se ahorre el cumplimiento de la normativa PCI DSS en las partes del
entorno cubiertas por dichas soluciones.
Un ejemplo claro de estas técnicas puede ser el uso del
Cloud computing, que una entidad puede contratar para externalizar el almacenamiento de los datos de tarjeta de su
propio entorno de cumplimiento.
Haciendo esto, y si, como hemos indicado, el servicio contratado cumple con la normativa PCI DSS, todos los requerimientos
relativos a la seguridad de los datos almacenados en dicho entorno pasarán a ser de aplicación por el proveedor externo y el
alcance de la normativa PCI DSS en el propio comercio se verá
reducido en gran medida.
81
No obstante, es importante destacar que el cumplimiento de
los requerimientos PCI DSS que afecten a un proveedor externo serán en última instancia responsabilidad de la entidad
contratante, y no del proveedor.
Por ello, es necesario que la entidad estudie cada caso en
detalle, y que firme los acuerdos y cláusulas adecuadas con
dicho proveedor, de manera que este se comprometa al continuo cumplimiento de los requerimientos de la normativa.
Además, tal y como se indica en el requerimiento 12 del estándar,
se deberá implementar un programa de monitorización y control
periódico de estos proveedores, de manera que se asegure el continuo cumplimiento de los requerimientos PCI DSS implicados.
#4. Obligaciones de cumplimiento
con la normativa PCI DSS
Para demostrar el cumplimiento de la normativa, las entidades afectadas por su cumplimiento deben realizar una validación formal de manera anual.
A pesar de que el PCI SSC gestiona el estándar de manera
común para todas las marcas de tarjeta, cada una de ellas
dispone de su propio programa independiente de cumplimiento (AIS-Account information Security) para VISA14, SDP
(Site Data Protection) para Mastercard15, etc.
14 VISA Account Information Security (AIS)
15. Mastercard Site Data Protection
82
Y, por lo tanto, la manera de evidenciar el cumplimiento de
la normativa será diferente para cada una de estas marcas.
Las medidas de validación de cumplimiento varían en función
del nivel con el que está identificado un negocio, que a su vez
depende del número de transacciones con datos de tarjeta
que procese el entorno de cumplimiento durante un periodo
anual.
Podemos observar en la siguiente tabla una relación de los
niveles definidos por VISA Europa para los comercios en su
programa de cumplimiento AIS, así como los requerimientos
de validación necesarios para cada nivel, para poder
demostrar el cumplimiento anual con la normativa (ver tabla
Niveles de comercios y requerimientos por VISA Europa).
Podemos observar también los niveles de comercios y requerimientos de validación de cumplimiento anuales definidos
por Mastercard en su programa de cumplimiento SDP (ver
tabla Niveles de comercios y requerimientos por Mastercard).
83
84
4
3
2
Comercios no electrónicos que procesen más de un millón de transacciones
anuales de tarjetas VISA.
-
eCommerce que procesen menos
de
20
000
transacciones anuales de o
tarjetas VISA.
-
Comercios que procesen entre 20 000 y un millón de o
transacciones anuales de
tarjetas VISA.
-
Comercios que procesen entre uno y seis millones de transacciones anuales de
tarjetas VISA.
-
1
Escaneo de vulnerabilidades trimestral externo, realizado por un ASV.
Declaración de cumplimiento (AoC).
Cuestionario de auto-evaluación anual (SAQ).
Emplear un proveedor de servicios que cumpla con PCI DSS.
Auditoría anual en sitio, realizada por un QSA, demostrable a través de la
Comercios que procesen entrega de un RoC firmado por dicho QSA.
más de seis millones de Declaración de cumplimiento (AoC).
transacciones anuales de
tarjetas VISA.
Escaneo de vulnerabilidades trimestral externo, realizado por un Approved
Scanning Vendor (ASV).
Requerimientos de validación
Criterio de Nivel
Nivel
Niveles de comercios y requerimientos por VISA Europa
85
Comercios que procesen entre uno y
seis millones de transacciones anuales
de tarjetas VISA.
2
4
3
Comercios que procesen más de seis
millones de transacciones anuales de
tarjetas VISA.
1
Comercios
no
electrónicos
que
procesen más de un millón de
transacciones anuales de tarjetas VISA.
eCommerce que procesen menos
de 20 000 transacciones anuales de
tarjetas VISA.
Comercios que procesen entre 20 000 y
un millón de transacciones anuales de
tarjetas VISA.
Criterio de Nivel
Nivel
-
-
-
o
-
o
-
-
Escaneo de vulnerabilidades trimestral externo, realizado por un Approved
Scanning Vendor (ASV).
-
Auditoría anual en sitio, realizada por un QSA, demostrable a través de la
entrega de un RoC firmado por dicho QSA.
Requerimientos de validación
Niveles de comercios y requerimientos por Mastercard
A continuación, procedemos a describir cada uno de los
documentos requeridos por ambas marcas para poder
demostrar el cumplimiento con la normativa PCI DSS, así
como las acciones anuales necesarias que se deben llevar a
cabo para su obtención:
Reporte de Cumplimiento (RoC - Report on Compliance)
El Informe de Cumplimiento (RoC) es un documento
que debe ser completado de manera anual por todos los
comercios calificados como de nivel 1, y se utiliza para validar
de manera oficial que un entorno concreto cumple con el
estándar PCI DSS. Para la obtención de dicho documento,
es necesario que un Asesor de Seguridad Calificado (QSA
- Qualified Security Assessor) por el PCI SSC realice una
auditoría en sitio del estándar, de manera que dicho asesor
pueda verificar que todos los requerimientos de la normativa
se cumplen en el entorno revisado.
Declaración de Cumplimiento (AoC - Attestation of
Compliance)
La Declaración de Cumplimiento (AoC) es un formulario que
debe ser completado de manera anual por todas las entidades
a las que se aplique la normativa PCI DSS (entidades que
procesen, transmitan o almacenen datos de tarjetas de
pago), para garantizar que el entorno afectado cumple con los
requisitos de seguridad de la misma. A diferencia del RoC, dicho
documento es de alto nivel y no incluye información en detalle
sobre el entorno de cumplimiento revisado. Este documento
deberá ser completado por un QSA o por los propios empleados
de la entidad, según el nivel del comercio tratado.
86
Cuestionario de auto-evaluación (SAQ - Self-Assessment
Questionnaire)
En comercios de niveles 2, 3 y 4, no será necesaria la realización de una auditoría en sitio del entorno de cumplimiento por
parte de un QSA, y por tanto no habrá que completar ningún
RoC. En cambio, sí será imprescindible que se complete un
cuestionario SAQ que acredite la alineación del entorno de
cumplimiento con cada uno de los requerimientos del estándar PCI DSS, pero sin entrar tanto en detalle (como en el
caso del RoC). Dicho documento es parecido a un checklist,
donde para cada uno de los requerimientos de la normativa
se indica con un check si el entorno de cumplimiento se encuentra alineado con el mismo.
Existen diferentes tipos de SAQ16, en los que varían los requerimientos de la normativa PCI DSS solicitados en función
las características de un entorno de cumplimiento concreto.
El SAQ A es el cuestionario con el número mínimo de requisitos, y dicho número va aumentando hasta llegar al SAQ D,
que supone el cumplimiento de todos los requerimientos del
estándar.
Por lo tanto, y debido a la complejidad de la normativa, es
importante que un comercio ajuste su entorno de cumplimiento al mínimo imprescindible, para poder demostrar el cumplimiento de la normativa rellenando un SAQ lo más reducido
posible (con el número mínimo de requerimientos).
16. PCI SSC – Self Assessment Questionnaire
87
En el caso de un eCommerce, el criterio de elegibilidad entre
el SAQ A y el SAQ A-EP es muy sutil, y se puede prestar a
interpretaciones erróneas. Es por ello que VISA publicó una
guía17, en la cual analiza dichos SAQ, las diferentes maneras
de capturar y enviar los datos de tarjetas de pago al centro
autorizador en estos comercios, el riesgo de cada escenario y
la documentación a presentar para demostrar el cumplimiento de PCI DSS en cada caso.
Se puede observar una relación entre los tipos de SAQ existentes en la página siguiente.
17. VISA - Processing eCommerce payments. A guide to security and PCI DSS requirements
88
89
Se aplica a entornos que solamente utilicen para tratar los datos de tarjetas una de los dos opciones siguientes:
B
B-IP
Se aplica a entornos de eCommerce, los cuales tengan externalizados todos los procesos relativos
a tarjetas de pago a proveedores externos que cumplan con la PCI DSS, y que además no
reciban directamente datos de tarjetas de pago. No debe existir almacenamiento, transmisión y
procesamiento electrónico de datos de tarjetas en el entorno de cumplimiento del comercio.
A-EP
Dicho SAQ no se aplica a canales de eCommerce.
Se aplica a entornos que utilicen únicamente puntos de interacción (POI - point-of-interaction)
aprobados por la normativa PCI PTS, conectados vía IP al procesador de pago.
·
Terminales independientes con discado externo que no estén conectadas
a ningún otro sistema en el entorno, ni a Internet.
Impresoras sin almacenamiento de datos de tarjetas.
Se aplica a entornos en los que la tarjeta de pago no esté presente de manera «física» (eCommerce, correo
electrónico o teléfono), y si además se tienen completamente externalizadas en proveedores que cumplan con PCI
DSS todas las funciones relativas a los datos de tarjetas de pago. No debe existir almacenamiento, transmisión
y procesamiento electrónico de datos de tarjetas en el entorno de cumplimiento del comercio afectado.
A
·
Descripción
SAQ
Tipos de SAQ existentes
90
D
P2PEHW
C
C-VT
SAQ D para proveedores: se aplica a todos los entornos de proveedores en los
que no sea necesario realizar una auditoría PCI DSS en sitio.
SAQ D para comercios: se aplica a todos los entornos de comercios no incluidos en el resto de SAQ existentes.
Se aplica a entornos en los que se utilicen solamente terminales de punto de venta
a nivel de hardware (TPV), que cumplan con la normativa PCI P2PE, sin que exista
almacenamiento de datos de tarjeta en el entorno de cumplimiento de la entidad.
Se aplica a entornos con aplicaciones de pago conectadas a Internet, sin que exista
almacenamiento de datos de tarjeta en el entorno de cumplimiento de la entidad.
DSS. Pueden ser, por ejemplo, comercios que procesen transacciones presenciales, o bien pagos por teléfono
o correo (tarjeta no presente), y que no almacenen datos de tarjetas de pago en ningún sistema informático.
Se aplica a entornos en los que se ingrese de manera manual una transacción cada vez, empleando un teclado y
un terminal virtual de pago conectado a Internet, y proporcionado por un proveedor externo que cumpla con PCI
Escaneo de vulnerabilidades trimestral
Para cumplir con el requerimiento 11.2.2 de PCI DSS, es necesario
que una Entidad de Escaneo Aprobada (ASV - Approved Scanning
Vendors), homologada por el PCI SSC, realice un escaneo de vulnerabilidades trimestral externo al entorno de cumplimiento.
Una vez obtenidos los documentos necesarios para acreditar
el cumplimiento de un entorno concreto con la normativa PCI
DSS, el siguiente paso es hacer llegar dichos documentos
a los actores implicados. En el caso de los comercios (un
eCommerce, por ejemplo), solo se deben hacer llegar a las
entidades con relación comercial vigente que así lo soliciten
(bancos, etc.), mientras que en el caso de los proveedores de
servicio se deben hacer llegar tanto a las marcas de tarjetas
de pago (VISA y Mastercard) como a las entidades interesadas en sus servicios que así lo soliciten.
En este capítulo hemos hablado principalmente de entornos
de eCommerce, pero si se desea profundizar en las particularidades de cumplimiento para entornos de proveedores de
servicio, se pueden encontrar en los sitios web de VISA18,
Mastercard19 y los otros programas de seguridad de cada
marca de pago: American Express20, JCB21 y Discover22.
18. VISA Europe Merchant Agents
19. Mastercard Service Provider Level and Validation Requirements
20. American Express Data Security Operating Policy (DSOP)
21. JCB Data Security Program
22. Discover Information Security Compliance (DISC)
91
#5. Nuevas tendencias
En los últimos tiempos, han aparecido nuevas tendencias y/o
tecnologías en el mundo del pago a través de tarjetas bancarias que tratamos, de manera somera, a continuación.
Transacciones a través de smartphones
Una de las novedades aparecidas en los últimos años en relación al pago con tarjetas es la posibilidad de utilizar smartphones para llevar a cabo dichas transacciones, de manera
que la tarjeta física deje de ser necesaria en los pagos presenciales.
Para ello es necesario el uso de la tecnología NFC (Near
Field Communications), que permite el intercambio inalámbrico y bidireccional de información entre dos dispositivos,
siempre que estos se coloquen a una distancia reducida entre ellos (unos pocos centímetros).
Con dicha tecnología ha surgido el uso de Carteras Móviles
(Mobile Wallet), aplicaciones instaladas en un smartphone
que gestionan los datos de las tarjetas para la realización
de los pagos, así como la aparición de nuevos actores que
intervienen en el procesamiento de las transacciones y que
se ven por tanto afectados por la normativa PCI DSS.
92
Mobile Point of Sale (mPOS)
Dentro del mundo de los métodos de pago a través de smartphones se ha introducido recientemente otra novedad, la
aparición de terminales mPOS (Mobile Point of Sale)23.
Dicha solución permite convertir un smartphone o tablet de
un comercio en un TPV, utilizando una aplicación móvil y un
lector de tarjetas externo asociado a la misma (bien un dispositivo que se conecta al terminal, bien un pinpad independiente que también incluye teclado). Este método puede ser muy
útil para pequeños comercios o autónomos, ya que gracias a
él se puede disponer de TPV de manera muy sencilla.
El procedimiento de pago es este caso es muy parecido al
pago presencial a través de TPV físicos, en el que el cliente
introduce, desliza o acerca la tarjeta al lector, de manera que
el TPV (en este caso el smartphone o la tablet) obtiene los
datos necesarios para la realización de la transacción, como
puede ser el PAN. Posteriormente, el TPV solicita al cliente
la introducción de su PIN en el pinpad, en caso de que sea
necesario (obligatorio en cantidades monetarias elevadas).
Si la validación de dicho dato es correcta, el TPV procede a
comunicarse con el centro autorizador para la realización de
la transacción indicada.
Hay que tener en cuenta, no obstante, que la seguridad de
este método puede verse comprometida con más facilidad
23. Mastercard Mobile Point of Sale Best Practices
93
que al usar un terminal TPV convencional. Esto es debido a
que el dispositivo con el que estamos realizando el pago es
de propósito general, y el número de posibles vulnerabilidades en dichos dispositivos es mucho mayor al existente para
terminales TPV corrientes.
Hay que destacar también que, hasta el momento, el PCI
SSC no ha oficializado ninguna normativa de cumplimiento
obligatoria y específica para los métodos24 de pago a través
de dispositivos móviles, y por tanto las entidades asociadas a
dichos métodos siguen estando ligadas al cumplimiento de la
normativa PCI DSS. No obstante, sí ha publicado dos guías
con recomendaciones, tanto para comercios que utilicen dichos métodos como para las entidades encargadas del desarrollo de las aplicaciones móviles relacionadas25.
Wearables
Otra innovación en el mundo de los pagos a través de datos
de tarjetas bancarias son los dispositivos wearables («vestibles» o «llevables»). Dichos dispositivos son prendas inteligentes que un usuario puede llevar encima de manera cómoda, como puede ser una pulsera26, un reloj27 o un llavero, y
que disponen de un chip o microprocesador incorporado que
proporciona la tecnología NFC.
24. PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users
25. PCI Mobile Payment Acceptance Security Guidelines for Developers
26. CaixaBank - pulsera Visa contactless
27. Apple Watch
94
En este caso, la metodología de pago es casi idéntica a la
vista en los procesos de pago a través de smartphone, y se
basa en almacenar los datos asociados a una tarjeta de pago
en uno de estos dispositivos (en su chip interno), e intercambiar los datos de tarjeta con un TPV a través de la proximidad física de este elemento. A partir de ese punto, y tras la
introducción del PIN del titular de la tarjeta en el TPV, este se
comunicará con el centro autorizador para la realización de la
transacción como en el caso anteriormente comentado.
Podemos ver que la seguridad en estos métodos de pago es
superior a las técnicas de pago a través de smartphones, ya
que los wearables son mucho menos susceptibles a virus,
troyanos y todo tipo de malware en general.
Actualmente, se han empezado a implementar estas metodologías y se espera que en los próximos meses su aceptación
cada vez sea mayor por parte de comercios y entidades bancarias en general.
95
4
CAPÍTULO
97
PAYPAL
#1. PayPal en eCommerce
El éxito de PayPal como método de pago preferido por los
usuarios ha impulsado su adopción a su vez por parte de los
comercios como sistema alternativo a las tarjetas. La sencillez y seguridad que ofrece al usuario permite al comercio incrementar las tasas de conversión en el proceso de checkout
y recuperar ventas que se perdían por el pago con tarjeta.
Desde el punto de vista del consumidor, una vez creada la
cuenta en PayPal, puede elegir cuál será su fuente de fondos: tarjetas de débito o crédito, cuenta bancaria, etc. A la
hora de realizar un pago, el consumidor solo necesita iniciar
sesión en su cuenta PayPal con su correo electrónico y contraseña, elegir la fuente de fondo con la que quiere realizar el
pago y confirmar dicho pago.
El comercio puede recibir pagos con PayPal desde el mismo
momento en que se registra (proceso que dura menos de
un minuto), sin necesidad de pasos adicionales ni integraciones, lo que permite aprovechar Internet como canal de venta
incluso sin disponer de una web propia. Es una alternativa
para desarrollar una estrategia de venta reduciendo al máximo los costes: vendiendo directamente en un marketplace
como eBay o mediante campañas de email, asociado a la
cuenta PayPal.
Los comercios que disponen de un portal de eCommerce propio disponen también de varias vías para integrar su proceso
de checkout con PayPal (mediante un botón, vía API o utilizando etiquetas HTML).
98
La opción más sencilla de integración pasa por la creación
de botones dentro de la página de configuración de PayPal.
Basta con elegir el tipo de botón e introducir la información
sobre el producto para obtener un código HTML que se inserta en la web en la que se vende el producto.
La página de configuración de PayPal permite crear distintos
tipos de botones:
• «Compra ahora», para artículos individuales.
• «Añadir al carrito», para agrupar varios artículos con el
•
•
•
99
carro gratuito de PayPal.
«Suscribirse»,
para
ofrecer
pagos
recurrentes
automatizados.
«Donar», para aceptar donativos.
«Comprar certificado de regalo», para cupones regalo de
productos y servicios.
PayPal
Creación de botón de pago en PayPal
100
La integración vía API y vía HTML requiere de conocimientos más
técnicos y disponer de una cuenta de desarrollador (es necesaria en caso de querer hacer pruebas usando SandBox, en caso
contrario solo es preciso tener una cuenta Business). Para facilitar
el proceso, PayPal ofrece guías de integración, así como información sobre múltiples partners que han desarrollado módulos para
las más importantes plataformas de eCommerce, como Magento,
PrestaShop, WooCommerce, WordPress, Joombla, etc.
Además de las distintas alternativas de integración, existen diferentes opciones de checkout, permitiendo a un comercio adaptarse a sus necesidades. Basados en estas tecnologías, PayPal
ofrece un abanico de productos para satisfacer las necesidades
de los comercios, entre los que destacamos:
• PayPal
•
101
estándar: permite disponer de un botón en la
web, que deriva en una página de PayPal del comercio
en el que se incluyen los datos de la compra, para que el
usuario introduzca sus credenciales y elija el método de
pago que desea utilizar. Finalizado el proceso, se notifica
al comercio la operación para que realice sus procesos de
envío de los bienes o la prestación de los servicios.
PayPal Express CheckOut Shortcut: PayPal Express
facilita la dirección de envío almacenada en la cuenta
PayPal al comercio para simplificar el proceso de
Checkout, de forma que estos usuarios no necesitan
registrarse. El proceso de compra se realiza con solo tres
clics, mejorando así la conversión (cuantos menos datos
se introduzcan, menor posibilidad de que se abandone el
carrito).
PayPal
Ejemplo de checkout utilizando PayPal estándar
102
Este producto de PayPal requiere una mayor integración con
los sistemas del comercio, al remitirse la información de entrega. El API de este proceso implica una mayor programación para integrarlo con el CRM.
Ejemplo de checkout utilizando PayPal Express
103
PayPal
#2. Internacionalización
Para adaptarse a un escenario internacional no basta con
disponer de una página traducida al idioma del país donde
queremos vender, ni tener un contrato con un operador logístico que nos permita realizar envíos internacionales.
Entre otros aspectos, existe un alto componente cultural en
cada país que se traduce en costumbres y conductas de
compra completamente distintas (no compra igual un español
que un alemán o un japonés). Esta adaptación a la idiosincrasia de cada mercado debe reflejarse en el escaparate del
comercio electrónico.
En el caso de los métodos de pago ocurre exactamente lo
mismo. Como ya hemos comentado, en España estamos
muy acostumbrados a usar la tarjeta como sistema de pago,
mientras que en otros países prefieren las transferencias
bancarias o las tarjetas prepago.
Hay además barreras legales a tener en cuenta, puesto que
existen productos cuya venta online no está permitida en
determinados países (como bebidas alcohólicas o algunos
bienes digitales) o sobre los que existen legislaciones específicas. Un ejemplo representativo es la venta de billetes de
avión: hay países en los que no se pueden aplicar sobrecostes y el precio indicado debe ser el precio final, mientras que
en otros no se pueden repercutir al usuario los costes del
método de pago seleccionado.
104
Por último hay que tener en cuenta la barrera relativa a los
impuestos a aplicar sobre el valor de los productos, donde
cada país y región (Unión Europea, Estados Unidos, etc.) establece su propia legislación. Para las ventas online en Estados Unidos se debe aplicar el impuesto del estado emisor de
la tarjeta (si se realiza una compra el comercio debe aplicar
diferentes impuestos si la tarjeta está emitida por Citibank de
Nueva York o de California, por ejemplo). En la Unión Europea, desde el 1 de Enero de 2015, se aplica el IVA del país
del comprador, estableciendo unos requisitos para identificar
dicho país. Además en Europa se tiene que reflejar el precio
final en la web, impuestos incluidos.
Por todo ello, la internacionalización de un comercio electrónico no es un proceso sencillo. En el caso de las PYMES,
esta dificultad se agudiza ya que, en la mayoría de las ocasiones, no disponen de los recursos suficientes para poner
en marcha una estrategia de internacionalización que cubra
todos los aspectos señalados.
PayPal está presente en 203 mercados y cuenta con 165
millones de cuentas activas en todo el mundo, permite pagar
en más de 100 monedas diferentes, retirar fondos de sus
cuentas bancarias en 56 divisas y 26 en las que puedes
mantener el saldo. Todo ello le otorga una ventaja competitiva
y le convierte en un proveedor clave para cualquier negocio
que quiera vender a nivel internacional. Según indica PayPal
el comercio global supuso el 25% del volumen total de pagos
en PayPal en 2013.
105
PayPal
Pese a no ser el método de pago más usado en todos los
países, está muy estandarizado y representa un importante
volumen en cada uno de los mercados en los que está presente. Al tratarse de una cartera virtual donde los usuarios
dan de alta sus fuentes de fondos, permite que estos puedan
elegir la que más se amolde a sus costumbres, por lo que es
un aliado clave a la hora de plantearse un proceso de internacionalización. Incluso en aquellos países que admiten únicamente tarjetas locales, PayPal facilita la obtención de ventas.
Para facilitar la internacionalización y el comercio transfronterizo en el caso de las PYMES, PayPal lanzó en 2014 PassPort (www.paypal.com/es/passport), la primera plataforma
web dirigida a las pequeñas y medianas empresas que quieran expandir sus ventas globales.
En ella se ofrece el asesoramiento necesario para la expansión internacional de los comercios, se informa sobre las costumbres de diferentes países y se traslada información de
los días más relevantes para las ventas en otros países (un
ejemplo muy sencillo es el día del padre o de la madre, que
se celebra en diferentes fechas según el país, o campañas
específicas como el día de los solteros en China, la Golden
Week en Japón o la Click Frenzy en Australia). Gracias a esta
información los comercios pueden optimizar sus recursos
para focalizar sus campañas en función de las costumbres o
días especiales de compras de estos países. La plataforma
también ayuda a los comercios a adaptarse a las particularidades de las aduanas e impuestos aplicables.
106
Por último, pero no menos importante, PayPal opera en 26
monedas diferentes, lo que permite a un comercio trabajar directamente en la divisa que necesite en función del país, sin
que existan dobles conversiones para el comprador, evitando
posibles variaciones en el precio final. Aunque existen pasarelas que ofrecen DCC (Dinamic Currency Conversion) para
adaptar los pagos a la moneda del comprador, no suelen estar accesibles para las pequeñas y medianas empresas.
PayPal PassPort ofrece además una herramienta de envío
gracias a la cual es posible calcular los costes de envío, divisas y tasas. Una importante información para las PYMES con
limitados recursos a nivel administrativo y financiero.
107
PayPal
#3. Seguridad y control del fraude
Uno de los principales pilares de PayPal es la seguridad. Activar una cuenta PayPal requiere diferentes procesos de alta
para el usuario, que vamos a detallar.
En el proceso de la creación de una cuenta PayPal se requiere una identificación del usuario, que conlleva introducir
una dirección de correo electrónico, una contraseña y ciertos
datos personales. Una vez verificado el correo electrónico se
procede al alta de la cuenta.
En el siguiente paso se especifican las distintas fuentes de
fondos (tarjeta o cuenta bancaria), aplicando ya sus distintos
mecanismos de validación:
• A la hora de introducir una tarjeta (débito o crédito) se
realiza un microcargo (1,50 €) para autenticar dicha
tarjeta. El usuario debe acceder a su extracto de tarjeta
para verificar dicho cargo e introducir en nuestra cuenta
PayPal el código que aparece en el concepto del cargo.
De esta manera el sistema se asegura de que la persona
que ha introducido la tarjeta tiene acceso a la información
financiera de la misma, autenticándose la titularidad. Por
supuesto, el microcargo se devuelve automáticamente
una vez introducida esa cantidad. La certificación PCI
DSS de PayPal garantiza además que la información de
las tarjetas de sus usuarios se almacena y gestiona de
forma segura.
108
• En
el proceso de verificación de una cuenta bancaria,
PayPal realiza dos pequeños abonos en la cuenta bancaria
a verificar. El usuario deberá introducir los dos importes
depositados en su cuenta bancaria en la cuenta PayPal
para verificar que el propietario de la cuenta bancaria tiene
acceso a los datos y movimientos de dicha cuenta.
Por último, también se hace una validación mediante teléfono
móvil enviando un SMS con un código. Esto último permite
verificar el teléfono del usuario, por si fuera necesario realizar
alguna comunicación de seguridad.
Este proceso de verificaciones del usuario y sus métodos de
pago son una garantía de seguridad para cualquier comercio
electrónico, ya que las ventas realizadas mediante PayPal
les protegen de compras fraudulentas con tarjetas robadas,
lo que minimiza considerablemente el riesgo de fraude. Además PayPal cuenta con sistemas adicionales para la prevención del fraude:
109
PayPal
• Se supervisan todas las transacciones que se realizan las
24 horas del día y los 7 días de la semana, analizando
pautas de comportamiento de usuarios y velocity checks
que permiten detectar, con gran agilidad, una operación
sospechosa.
• Disponen de un equipo antifraude en continua comunicación
con usuarios, comercios y cuerpos de seguridad, para
identificar y denunciar cualquier fraude (por ejemplo,
detectando redes que intentan suplantar identidades o webs
fraudulentas que no envían sus productos), así como los
sistemas antifraudes más avanzados del mercado.
PayPal dispone también de un «Centro de resoluciones» en
el que los usuarios y comercios pueden solicitar que PayPal
investigue una operación en la que el artículo no haya sido recibido, sea distinto de lo descrito o hayan realizado un cargo no
autorizado desde una cuenta PayPal, evitando así más operaciones fraudulentas.
Una vez que un usuario abre una disputa en PayPal, el comercio debe remitir información de la compra (albaranes de
entrega, actividad del usuario dentro del eCommerce, etc.). El
proceso funciona de la siguiente manera:
1. El comprador abre una disputa dentro del «Centro de resoluciones» de su cuenta PayPal.
2. Allí se pueden leer los mensajes de atención al cliente que se
han publicado sobre los retrasos en los envíos u otros problemas. A menudo esto detiene la disputa antes de que empiece.
110
3. Si el usuario desea iniciar la disputa, describe sus preocupaciones en el «Centro de resoluciones».
4. La disputa nueva se comunica por correo electrónico al
vendedor y se muestra de igual manera en el «Centro de resoluciones».
5. El comprador y el vendedor se comunican directamente
desde el «Centro de resoluciones» de PayPal. Si el vendedor no responde o no llega a un acuerdo con el comprador,
este puede elevar la disputa a reclamación para que PayPal
pueda revisar el caso tanto con el comprador como con el
vendedor, y pueda tomar una decisión. Por ello es importante
que se aporte la mayor documentación posible.
6. Si la disputa no se eleva a reclamación durante los 20 primeros días desde que se abre, se cierra de forma automática.
#4. Pagos móviles y apps para móvil
El comercio electrónico a través de dispositivos móviles se
ha incrementado considerablemente, sobre todo a partir de
2014. Según un estudio de ComScore28 , en Europa hay más
de 104 millones de smartphones, con una tasa de penetración del 44%. En el caso de España la tasa de penetración es
muy superior a la media, alcanzando el 85%.
28 ComScore study - State of consumer purchasing behaviour on mobiles (m-commerce) in the
five main European markets (France, Germany, Italy, Spain and the United Kingdom)
111
PayPal
PayPal ha sido pionera en el pago móvil. Desde mediados de
2011, la compañía apostó por la estrategia «mobile first», es
decir, diseñar las aplicaciones pensando en el pago a través del
móvil para, después, llevarlas a la web y que la experiencia de
usuario sea lo más completa y satisfactoria posible. Es decir, no
adaptan los contenidos de la web al móvil, sino del móvil a la web.
En 2014, PayPal procesó 46 000 millones dólares en volumen de
pagos móviles, un 68% más que en el 2013. Muestra de ello es
el incremento registrado en las operaciones realizadas por móvil
en el Black Friday del 2014, un 62%29 respecto al año anterior,
demostrando que los pagos por móvil son decisivos a la hora de
establecer la estrategia de ventas.
Sin embargo, la tasa de conversión a través del móvil es todavía inferior respecto al acceso con otros dispositivos como el PC.
En general, uno de los motivos que justifican esta baja tasa de
conversión de las compras realizadas en dispositivos móviles
está relacionado con los métodos de pago, siendo imprescindible disponer de soluciones que hagan cómodo poder finalizar la
transacción, ya sea desde apps o a través del navegador web de
nuestro smartphone.
PayPal ha sabido adaptarse a estas circunstancias optimizando
su checkout para dispositivos móviles. Un caso muy representativo es el de Privalia. El outlet de moda online español registra unas
ventas superiores desde dispositivos móviles respecto a la web,
registrando incluso picos de ventas cercanos al 70% del total30.
29 PayPal - Nota de Prensa One Touch
30 eCommerce news – Privalia vende más en dispositivos móviles que en su web
112
Dichas ventas proceden tanto de la app como de su página
adaptada para móviles. La integración de PayPal en ambos
casos, tanto en la app como su checkout optimizado para navegador web desde móvil, son claros ejemplos de cómo PayPal
está adaptada a la nueva forma de consumir del usuario.
Pero PayPal ha ido más allá para ofrecer soluciones específicas en entornos móviles. En septiembre de 2013 adquirió
la empresa Braintree, especializada en este segmento. Esta
compañía ofrecía un SDK (tanto para plataformas IOS como
para Android) que facilitaba el proceso de compra desde aplicaciones, gestionando completamente el procesamiento de
los pagos (asegurando además que los datos relacionados
con tarjetas se gestionaban en todo momento siguiendo la
normativa PCI DSS). Para el usuario el mecanismo resulta
muy intuitivo y sencillo, puesto que no necesita salir nunca de
la propia aplicación.
En 2014, gracias a la compra de Braintree, PayPal lanzó One
Touch, un producto que hace las compras desde aplicaciones mucho más sencillas, con un solo clic. Si el usuario ya
está autenticado mediante la aplicación de PayPal instalada
en su smartphone, solo tiene que elegirla como método de
pago y, automáticamente, se abre su aplicación de PayPal
para confirmar la compra, sin necesidad de tener que utilizar
contraseñas.
Esta opción facilita mucho las compras dentro de aplicaciones, evitando introducir datos bancarios en la aplicación del
comercio para poder realizar una compra.
113
PayPal
Ejemplo de checkout con One Touch
#5. El reto offline de PayPal
En su enfoque orientado a la innovación, PayPal propone
también soluciones para el mundo offline.
PayPal Here es una de las propuestas destacadas en este
ámbito, permitiendo ofrecer una solución de mPOS (Mobile
Point-of-Sale) para el pago con tarjetas a través del móvil.
114
En un inicio se articulaba mediante un lector hardware específico de forma triangular, conectado a la salida de auriculares del Smartphone. A través de una app se solicitaba
la ejecución de la transacción y mediante este dispositivo se
realizaba la lectura de la banda magnética de las tarjetas de
forma segura.
En Europa esta solución ha evolucionado para permitir el
pago con EMV (tarjetas con chip), en cuyo caso el dispositivo
se conecta mediante bluetooth con el Smartphone. El usuario
introduce su tarjeta en dicho dispositivo y teclea su número personal para confirmar el pago. Actualmente en Estados
Unidos se está agilizando la migración hacia tarjetas con chip
EMV, por lo que el modelo lanzado para Europa se utilizará
allí también.
Otra iniciativa en el mundo físico viene de la mano del acuerdo entre PayPal y Samsung para posibilitar el pago con autenticación biométrica, utilizando el lector de huellas dactilares del Samsung Galaxy S5. De esta forma, pagando con la
aplicación de PayPal para móvil no se requiere la autenticación mediante usuario y contraseña, basta con deslizar el
dedo sobre el lector.
PayPal ha desarrollado también aplicaciones para dispositivos wearables que permiten disponer de una pulsera para
identificar al usuario en determinadas zonas, y realizar pagos
vinculando previamente la cuenta PayPal al dispositivo.
Así, en julio de 2014 los asistentes al festival de música Low
Festival pudieron pagar sus consumiciones con la pulsera,
y, desde agosto de 2014, los clientes de los establecimientos más emblemáticos que posee Palladium Hotel Group en
Ibiza, pueden adquirir la pulsera Smart VIB (Very Important
Bracelet), vincularla a sus cuentas PayPal y realizar pagos
acercándola a los lectores habilitados. Ha sido la primera incursión de PayPal en un proyecto de tecnología wearable en
el sector turístico.
115
116
5
CAPÍTULO
117
MOBILE COMMERCE
Según los datos presentados por Telefónica en su XV Informe de la Sociedad de la Información31, la consolidación del
sector en 2014 y las perspectivas de crecimiento a futuro son
muy positivas:
La penetración de smartphones en España alcanza ya el
81% de todos los terminales.
26,25 millones de españoles acceden regularmente a
Internet (el 78% de ellos todos los días), y 21 millones lo
han hecho desde el móvil.
El acceso a contenidos de medios digitales desde el móvil
supera por primera vez al PC: 53% frente a 47%.
•
•
•
En este entorno, el desarrollo de una estrategia de Mobile
Commerce (mCommerce) es una de las prioridades para
aprovechar el negocio originado en los dispositivos móviles,
tal y como recoge el estudio realizado por Forrester Consulting junto con PayPal32 en 2013.
Entre las conclusiones obtenidas cabe destacar el notable incremento del mCommerce en España (superior al de países
como Francia u Holanda). El informe prevé que los ingresos
por mCommerce en nuestro país aumenten de 202 millones
de euros a finales de 2012 a 1 500 millones de euros a finales
de 2017. Y sostiene que la creación de un canal de mCommerce para un negocio online puede aumentar hasta un 30%
sus ventas, dependiendo del sector de actividad, proviniendo
estas principalmente de nuevos clientes.
31 Fundacion Telefónica: XV Informe de la Sociedad de la Información
32 Estudio de Forrester Consulting para Paypal sobre mCommerce (nota de prensa)
118
El Estudio sobre Comercio Electrónico B2C realizado por
el Observatorio Nacional de las Telecomunicaciones y de la
Sociedad de la Información (ONTSI)33 destaca también el
mCommerce como una de las nuevas vías de desarrollo del
comercio electrónico. Según este informe, el 25,6% de los
internautas que compran en Internet lo han hecho a través
de smartphones o tablets, y la tendencia se incrementa año
tras año.
Cabe destacar que los principales motivos que frenan las
compras online están relacionados con las formas de pago
(41,5%) y la seguridad en las transacciones (40,4%).
Analizaremos en este capítulo algunas de las nuevas tendencias en medios de pago que pueden permitir el incremento de
las ventas desde dispositivos móviles.
#1. Carrier Billing
Según Garnter, en 2017 se registrarán más de 268 billones
de descargas de apps en smartphones y tablets34, generando
unos ingresos superiores a 77 billones de dólares.
33 ONTSI - Estudio sobre Comercio Electrónico B2C 2013
34 Gartner Says by 2017, Mobile Users Will Provide Personalized Data Streams to More Than
100 Apps and Services Every Day
119
Mobile commerce
Las apps se están convirtiendo a un ritmo vertiginoso en el
medio más común por el que los usuarios acceden a servicios
y contenidos e interactúan con su entorno, de forma más
natural e intuitiva que con sus ordenadores. Esta revolución
llega incluso a sectores de la población que tradicionalmente
no tenían contacto con las nuevas tecnologías y que ahora se
convierten en potenciales clientes.
Las apps ofrecen por tanto una nueva vía para acceder a los
servicios y productos que ya ofrecemos, y, además, una oportunidad de capturar negocio directo mediante su monetización.
Es muy común el modelo freemium, en el que la aplicación se
descarga de forma gratuita permitiendo un uso limitado y obligando a pagar por funcionalidades avanzadas o contenidos
adicionales (por ejemplo, en los juegos).
En este ámbito de las apps una de las modalidades de pago
más interesantes es el conocido como direct carrier billing, que
permite comprar aplicaciones y contenidos o servicios digitales
contra la factura del móvil o saldo prepago, desde cualquier
dispositivo (smartphone, tablet, PC…).
La facilidad de uso de este medio de pago, que no requiere
facilitar datos en el momento de la compra, permite obtener
unos ratios de conversión significativamente superiores a otras
alternativas como las tarjetas de crédito (donde se requiere
introducir el número de tarjeta, fecha de caducidad, CVV, etc.),
especialmente en entornos in-app, compras «por impulso» y
micropagos.
120
El funcionamiento (en el caso de Pagos Movistar, por ejemplo) es ligeramente distinto, en función de si el pago se realiza
directamente desde el móvil o desde otro tipo de dispositivo:
• Si es desde el móvil, se presenta la información sobre
la compra (comercio e importe), y tras la aceptación se
realizará el cargo sobre la próxima factura (o descontando
el saldo disponible en el caso de clientes prepago).
• Si se está navegando desde otro dispositivo y se quiere
realizar un pago con esta modalidad, se introduce el
número de móvil y el cliente recibe un mensaje con un
PIN, que tendrá que introducir para poder realizar el
pago. Posteriormente, recibirá un mensaje confirmando la
compra.
En muchos operadores es posible también definir suscripciones, de forma que se pueden establecer pagos recurrentes
(siempre con la activación previa de esta suscripción por
parte del cliente). Cuando se ejecuta un pago recurrente, el
usuario recibirá un SMS con los datos del pago, indicando
que se trata de una suscripción, y los datos requeridos para
descargar el contenido o acceder al servicio adquirido.
En la actualidad Google, Blackberry, Windows Phone o Firefox, entre otros, permiten esta modalidad de pago en las
apps, y en sus marketplaces (algo que también hacen Facebook, Amazon o Samsung), e incluso Sony lo utiliza en su
Playstation Network, puesto que permite monetizar de forma
rápida y sencilla contenidos digitales.
121
Mobile commerce
Una de las ventajas adicionales del uso de Carrier Billing es
la universalidad, cualquier terminal es válido para poder realizar pagos y no es necesario registrar datos adicionales (número de tarjeta, por ejemplo), ya que la interacción necesaria
para autorizar el pago se puede realizar mediante SMS.
Este es uno de los aspectos más interesantes para su utilización en países en desarrollo donde no existen medios de
pago «tradicionales», ya que además de permitir la compra
de bienes digitales, es posible utilizar este medio de pago
para la compra de bienes físicos (online o presencialmente),
pagar billetes de transporte, etc.
Teniendo en cuenta el incremento de la penetración del móvil en
países en desarrollo frente al porcentaje de población bancarizada, Analysis Mason y World Bank35 identifican claras posibilidades
de crecimiento en varios países de Latinoamérica, Africa y Asia.
35 Analysis Mason - Direct carrier billing has the greatest potential for
success in emerging markets
122
Análisis de mercados atractivos para el desarrollo de direct carrier billing
Fuente: Analysis Mason y World Bank 2014
El potencial de este medio de pago alternativo está todavía
por explotar, tanto en países desarrollados como en vías de
desarrollo (con distintos enfoques), apoyado por el imparable
crecimiento de los móviles en el mundo (según varias fuentes, en 2015 habrá ya más terminales que personas en nuestro planeta).
123
Mobile commerce
#2. Pagos con el móvil
Los smartphones han sido capaces de adaptar a lo largo de
los últimos años muchas funcionalidades añadidas a su función original, haciendo desaparecer agendas, GPS o cámaras (entre otras tecnologías) de nuestra vida cotidiana.
Según un reciente estudio de Google36, los smartphones han
llegado ya a más de la mitad de la población en España, y el
72% de ellos nunca sale de casa sin él. Entre otros aspectos,
han cambiado la forma en que los consumidores abordan las
compras: el 80% buscan los productos en su dispositivo, y el
25% ha comprado a través de su teléfono móvil.
Pero la realidad es que hasta el momento no hemos dejado
de lado nuestra cartera para pagar con el móvil. Seguimos
cargando con múltiples tarjetas bancarias, efectivo, tarjetas
de fidelización, cupones y demás elementos, pese a ser a
todas luces poco práctico continuar haciendo uso de estas
«tecnologías» tanto en comercios como por Internet.
No es por falta de alternativas, que existían incluso en la era
pre-smartphone. Sin ir mas lejos, en 2001 se lanzó en España el primer sistema de pago con el móvil, Mobipay, en el que
participaban todas las Operadoras de la época (Telefónica,
Airtel y Amena) y la mayoría de las Entidades Financieras
(BBVA, Santander, Caixa, Banesto, Bankinter…).
36 Google: Our Mobile World (España).
124
Mobipay posibilitaba pagar con el móvil en comercios,
transportes (autobuses o taxis), máquinas expendedoras
o por Internet. Y todo ello en tiempo real, de forma segura
y siendo prácticamente universal (puesto que funcionaba
sobre cualquier dispositivo, al estar basado en mensajería
SMS y USSD). Recordemos que en aquella época no
existía Android, ni iOS, ni había redes 4G o 3G (de hecho,
ni siquiera 2G).
El usuario tan solo debía darse de alta (lo que podía
hacerse desde el propio terminal) asociando alguna de sus
tarjetas financieras a su número de móvil y estableciendo
un PIN para validar las transacciones en tiempo real.
Cuando se realizaba una operación, el usuario recibía
una notificación en el móvil que debía autorizar con este
código para realizar el pago.
Sin embargo, pese a la aparente utilidad de dicho servicio,
Mobipay desapareció en 2009 sin llegar a obtener en
ningún momento un volumen de usuarios o comercios
relevante. Y, a pesar de los años transcurridos desde
entonces, el pago con el móvil sigue sin formar parte de
nuestras vidas.
Aunque existen otras alternativas, la mayoría de los
actores del mercado (marcas de tarjetas, entidades
financieras, operadores y fabricantes de terminales,
entre otros) basan su propuesta para popularizar
definitivamente el pago con el móvil en la tecnología
NFC, con distintos enfoques.
125
Mobile commerce
#3. Pago mediante códigos
de barras y QRS
Estados Unidos es el mercado por excelencia para la innovación tecnológica y no podía ser de otra forma en el caso del
pago con el móvil. Existen muchas alternativas desde hace
años con actores de la talla de Google, los operadores AT&T,
T-Mobile y Verizon (que forman el consorcio Softcard), o recientemente Apple, por mencionar solo algunos.
Sin embargo, el mayor caso de éxito hasta la fecha en el
pago con el móvil en Estados Unidos es Starbucks, donde su
CEO, Howard Schultz, acaba de confirmar37 que 13 millones
de clientes usan activamente su app para pagar, obteniendo
ya el 16% de las ventas desde el móvil, una media de 7 millones de transacciones a la semana.
Starbucks ha conseguido estos resultados gracias a un exitoso programa de fidelización y un sistema de pago sencillo,
que controla de extremo a extremo: los clientes descargan
su aplicación en el móvil para cargar dinero en una tarjeta
de Starbucks y luego presentan un código de barras 2D para
pagar, que se escanea en el TPV en el punto de venta.
A diferencia de otras alternativas, se trata de un sistema propietario, en el que no se requiere la integración de terceros
(marcas de tarjetas, entidades financieras, operadores, etc.),
37 Starbucks Earnings Report: Q1 2015 Conference Call Transcript
126
no depende de tecnologías (como NFC) y, sobre todo, no tiene el inconveniente del pago de comisiones por el procesamiento de las transacciones.
Este es el motivo por el que en Estados Unidos se creó el
consorcio MCX (Merchant Customer Exchange) en el que
participan algunos de los mayores merchants (7-Eleven, Best
Buy, Target o Walmart, entre otros muchos) y cuyo objetivo es
desarrollar un sistema de pago con el móvil independiente,
denominado CurrentC. La app de CurrentC tiene un enfoque
similar a la de Starbucks: utiliza códigos QR que se escanean
en el punto de venta, y permite utilizar tarjetas privadas, cupones, tarjetas regalo, integrar campañas de fidelización, etc.
En gran medida este método de pago está diseñado para
evitar las comisiones derivadas del uso de tarjetas, ya que
las transacciones generadas con CurrentC se cargan directamente en la cuenta del usuario, a través del sistema ACH
(Automate Clearing House).
Como contrapartida, los usuarios no tienen la misma cobertura en caso de fraude que con el uso de tarjetas. De hecho,
pocos días después del lanzamiento de Apple Pay en septiembre de 2014 se confirmó que CurrentC había sufrido un
ataque38 el que se obtuvieron datos de los usuarios registrados en el sistema.
38 Business Insider - Wal-Mart’s Answer To Apple Pay Has Already Been Hacked
127
Mobile commerce
Algunos de los retailers participantes en el consorcio MCX,
por otra parte, han tratado de limitar el impacto derivado del
lanzamiento de Apple Pay de una forma muy simple: deshabilitando la posibilidad de pagar mediante NFC en los terminales ubicados en sus comercios39, algo que no afecta a
CurrentC.
Y es que la guerra por el pago con el móvil está en el momento más caliente en la actualidad. Según un reciente estudio
de Cap Gemini40, durante 2015 se espera un crecimiento del
60,8%, hasta los 47 billones de transacciones, lo que incrementa el esfuerzo de todos los competidores por hacerse con
el mayor volumen de mercado posible.
#4. Pagos NFC con la SIM
como elemento seguro
NFC es un estandar definido por el NFC Forum41, un consorcio formado por operadores, marcas de tarjetas, entidades
financieras, proveedores tecnológicos, etc., cuya principal
característica frente a otros mecanismos de comunicación
existentes (RFID, infrarrojos o Bluetooth, entre otros) es la
corta distancia a la que opera.
39 Business Insider - There Are 48 Billion Reasons Why Retailers Are Going To War With Apple
40 Cap Gemini - World Payments Report 2014
41 NFC Forum Specifications
128
Para que dos elementos que disponen de conectividad NFC
puedan comunicarse se necesita que estén a una distancia
inferior a 10 cm, lo que hace a esta tecnología ideal para
realizar pagos contactless (sin contacto) minimizando el riesgo de que puedan obtenerse los datos de la transacción por
terceras partes no autorizadas.
En el caso del pago con el móvil con NFC, se requieren varios
elementos para poder hacer uso de dicha tecnología:
• Teléfonos móviles con NFC. La mayoría de los smartphones
•
•
•
de gama media y alta incorporan esta tecnología «de
serie», incluyendo desde finales de 2014 los terminales
de Apple (el último gran fabricante en adoptarla, con su
iPhone 6).
TPVs contactless. La tecnología NFC está ya ampliamente
extendida en los TPVs españoles (aproximadamente
la mitad ya lo soportan, especialmente en las grandes
ciudades), y a partir del 31 de Diciembre de 2015 todos
los que se implanten (o actualicen) deberán soportar esta
tecnología .
Aplicaciones denominadas wallets (monederos) que
gestionan el proceso de pago utilizando el terminal móvil.
Un elemento seguro donde se almacenan los datos de
tarjeta, para minimizar el riesgo de fraude.
Aunque existen distintas alternativas, la solución más
extendida como elemento seguro, dada su penetración,
es la SIM, presente en todos los móviles. Se trata en este
caso de una tarjeta especial, que dispone de un espacio de
129
Mobile commerce
almacenamiento seguro tanto para los datos de las tarjetas
financieras como para las aplicaciones que acceden a ellos,
y que debe pasar las certificaciones definidas por las marcas
de tarjetas (lo que equipara este sistema al uso de tarjetas
financieras, en cuanto a su seguridad).
Con esta solución, cuando pagamos con el móvil el wallet (la
aplicación instalada en el terminal) se encarga de gestionar
la comunicación con el TPV contactless, delegando en la aplicación cargada en la SIM la captura de los datos de tarjeta
(la app no puede nunca acceder a esta información, ni alterar
los datos de la transacción). Se asegura así que únicamente
las aplicaciones certificadas por las marcas de tarjetas, y almacenadas de forma segura en la SIM, tienen acceso a esta
información sensible.
En la tarjeta SIM es posible cargar datos de distintas tarjetas
y entidades financieras, un proceso que se realiza en remoto,
según las especificaciones definidas por el estándar Global
Platform.
Las entidades financieras realizan la gestión de esta información (alta, baja, bloqueo, modificación, etc.), comunicando
con la SIM mediante unas plataformas denominadas TSM
(Trusted Service Manager) que conectan de forma segura el
entorno bancario con el entorno de los operadores móviles.
El pago con NFC tiene algunas características que lo distinguen del pago con una tarjeta tradicional (con banda magnética o chip) en cuanto a su uso:
130
• Para
•
importes inferiores a 20€ (y siempre que esté
configurada la modalidad de pago rápido en la aplicación)
no es necesario introducir el passcode en el móvil (el
equivalente al PIN de una tarjeta tradicional). Basta con
pasar la tarjeta por el TPV para realizar automáticamente
la compra. En este caso, si se produce algún fraude (por
ejemplo, si alguien roba nuestro teléfono y paga con él) lo
asume la entidad emisora.
Incluso con el teléfono apagado se pueden realizar pagos,
si está en modo automático y es un pago de bajo importe,
porque con NFC el propio sistema alimenta la SIM para
realizar la operación.
La primera experiencia real de pago móvil con NFC en Europa (utilizando la SIM como elemento seguro) se realizó en
Sitges en 2010, de la mano de La Caixa, Telefónica y VISA42.
Más de 1 500 usuarios y 500 comercios participaron en el piloto, que obtuvo una gran acogida, y demostró el interés tanto
de usuarios como de empresas en el uso de esta tecnología
para realizar pagos presenciales:
• El 90% de los clientes pagaron con el móvil (incrementando
•
un 30% sus transacciones vía electrónica)
El 80% de los comercios que participaron realizaron
transacciones con este sistema (aumentado un 23% las
compras medias por usuario con su tarjeta.)
42 La Caixa, Telefónica y Visa finalizan con éxito la primera experiencia de pago por móvil en España
131
Mobile commerce
En Marzo de 2011, Telefónica, Vodafone y Orange firman un
acuerdo para impulsar el pago con el móvil en España mediante esta tecnología (basándose en la SIM como elemento
seguro para almacenar la información de las tarjetas), con el
objetivo de lograr la máxima compatibilidad y homogeneidad
tanto en la experiencia de cliente como en la tecnología utilizada, para facilitar la adopción del pago con NFC por parte
de usuarios, empresas y proveedores de tecnología.
Durante los siguientes años se desarrollaron en España múltiples iniciativas de pago con NFC. Una de las más destacadas fue desarrollada por Telefónica en su complejo empresarial «Distrito C» desde Marzo de 2011.
Gracias a este proyecto, denominado «Distrito NFC» , miles
de empleados podían (y todavía pueden) pagar en tiendas y
restaurantes mediante su móvil, e incluso utilizarlo para entrar en los edificios (autenticándose con el móvil, que almacenaba en la SIM tanto su tarjeta bancaria como la de empleado, así como la tarjeta privada empleada en el restaurante
Autogrill ubicado en el complejo).
A finales de 2013, La Caixa inició el mayor lanzamiento comercial de Europa del pago con móvil mediante NFC (con
la SIM como elemento seguro), con Telefónica, Vodafone y
Orange .
Mientras esto sucedía en España, en el mercado estadounidense se concentraba la mayor competencia por el desarrollo
de la tecnología, enfrentando a Google (que lanzó Google
132
Wallet en Septiembre de 2011 ) con el consorcio ISIS (el
cual pasó a denominarse Softcard en 2014), que agrupaba
a los mayores operadores del país para el desarrollo del
pago con el móvil: AT&T, T-Mobile y Verizon.
Durante ese tiempo ambos competidores evolucionaron
sus soluciones, adoptando distintos enfoques para tratar
de conseguir una cuota de mercado relevante, aunque sus
esfuerzos no han conseguido recompensa hasta el momento.
#5. Pagos NFC con Host Card Emulation
Uno de los argumentos que han sostenido durante este tiempo algunos actores del sector para justificar el retraso en la
adopción del pago con el móvil era la complejidad y el coste
del sistema definido, basado en la utilización de un elemento
seguro en el terminal, imprescindible para almacenar las tarjetas y acceder a la información que contienen, con el objeto
de evitar fraude.
Esto implicaba la necesidad de establecer integraciones
entre distintos actores (entidades financieras, TSMs, operadores, etc.) y definir procedimientos para asegurar que la
gestión del ciclo de vida de la información de las tarjetas en
este elemento seguro (emisión, bloqueo, baja, entre otras) se
realizaba con todas las garantías de seguridad.
133
Mobile commerce
En febrero de 2014, VISA43 y Mastercard44 oficializaron una
nueva vía de desarrollo para soluciones de pago con el móvil denominada HCE (Host Card Emulation), cuya principal
característica era prescindir de un elemento seguro en el dispositivo, permaneciendo los datos de tarjeta «en la nube».
Esta solución se apoyaba en la reciente versión 4.4 «KitKat»
de Android lanzada por Google a finales de 2013, en la que
se introducía ya el soporte para la tecnología HCE45.
A diferencia del modelo basado en un elemento seguro en el
terminal, con HCE toda la información sensible se almacena
en la nube, requiriendo altos niveles de seguridad (como los
exigidos por la normativa PCI DSS). Por supuesto, la comunicación entre la app en el terminal y la nube debe estar cifrada,
y ambos extremos ser capaces de asegurar su autenticidad,
para evitar riesgo de fraude en el caso de que se interceptaran las comunicaciones (ataques man-in-the-middle, etc.).
El terminal dispone únicamente de unos tokens, reemplazando al número de tarjeta real, que se generan específicamente
para ese usuario y dispositivo. Dichos tokens están limitados
a un número de usos, y tienen caducidad temporal, de forma
que en caso de comprometerse la seguridad del smartphone el fraude que potencialmente pudiera cometerse sea muy
reducido.
43 VISA to enable Secure Cloud Based Mobile Payments
44 MasterCard to Use Host Card Emulation (HCE) for NFC-Based Mobile Payments
45 Host Card Emulation in Android 4.4
134
Las aplicaciones de pago que utilizan esta tecnología implementan también medidas de seguridad adicionales, como el
cifrado de la información, la «ofuscación» del código (para
hacer más difícil aplicar técnicas de ingeniería inversa que
permitan conocer cómo funciona), e incluso técnicas de fingerprint para identificar que las transacciones se generan
desde el terminal registrado.
Además, se realiza un análisis de riego en tiempo real (intercambiando información entre la app y la entidad financiera)
para detectar actividades sospechosas, y actuar proactivamente para evitar el uso no autorizado (por ejemplo, bloqueando la tarjeta).
Una de las desventajas del modelo HCE es la necesidad
de disponer de conexión para realizar los pagos, y gestionar la información que se intercambia con la nube (tokens,
etc.), algo que no era necesario con el modelo basado en
elemento seguro. Esto incrementa también los tiempos en
que tarda una transacción en realizarse, frente a alternativas que no requieren acceso a Internet para funcionar
(porque los datos de tarjeta están en el elemento seguro
del terminal).
Respecto a la penetración, si bien el volumen de terminales
Android es muy elevado (especialmente en España), a principios de 2015 algo menos del 40% disponen de la versión 4.4
KitKat, por lo que el 60% de terminales con Android no pueden utilizar en la actualidad aplicaciones de pago con tarjeta
basadas en HCE.
135
Mobile commerce
Distribución de versiones de Android en Enero 2015
Fuente: Google (accesos a Google Play)46
En España varias entidades financieras ofrecen en la actualidad el pago con NFC mediante HCE, algunos ejemplos son
los productos Tarjeta Virtual Móvil de Bankinter47 y BBVA
Wallet48. En ambos casos, los clientes de estas entidades
financieras que tengan un smartphone con la versión 4.4
de Android (o superior) pueden descargar la app y dar de
alta las tarjetas con las que operar con el móvil, pudiendo
utilizar su móvil para pagar en cualquier TPV que soporte la
tecnología NFC.
46 Android version – Google Play accesses
47 Tarjeta virtual móvil de Bankinter
48 BBVA Wallet
136
#6. Apple Pay
A lo largo de todos estos años se ha echado en falta una
empresa muy importante del sector en la lucha por el pago
con el móvil: Apple. El único que no incorporaba la tecnología
NFC en sus iPhone, ni ofrecía una app de pago (Passbook
permitía almacenar en el móvil tarjetas, cupones, entradas,
etc., pero no pagar con ellas).
Apple ha estado durante años al margen mientras los distintos actores (operadoras, bancos, marcas de tarjeta, Google,
etc.) definían estándares, realizaban pilotos, lanzaban comercialmente productos, e iteraban el proceso una y otra vez
en función de los resultados obtenidos y sus propios intereses, sin llegar a conseguir una penetración relevante.
Y cuando ha considerado que el entorno estaba suficientemente maduro, en septiembre de 2014, lanza Apple Pay
para tratar de posicionarse en cabeza con una solución que
aprovecha toda esa experiencia acumulada, con un iPhone
6 que sí tiene NFC (confirmando así esta tecnología como el
estándar de facto), y una aplicación que no realizará pagos
con HCE almacenando las tarjetas en su nube, sino en un
elemento seguro en el terminal.
Sin embargo, pese a disponer de un elemento seguro de partida (en un chip específico, independiente de la SIM), Apple
Pay almacena tokens como en el caso de HCE. Es por tanto
una solución híbrida, que trata de aprovechar las ventajas (y
soslayar los inconvenientes) de sus competidores.
137
Mobile commerce
El iPhone incorpora también una medida de seguridad adicional en el proceso: el Touch ID, un lector de huellas dactilares
que permite asegurar la identidad en el momento del pago de
forma sencilla, sin necesidad de utilizar un PIN o passcode,
haciendo muy intuitivo el proceso.
Ninguna de estas tecnologías es nueva en realidad, pero
Apple ha sabido combinarlas para ofrecer una solución diferente, fácil de utilizar. Un ejemplo es la forma en que se registran nuevas tarjetas: basta con sacar una foto. Apple Pay
captura los datos de la tarjeta y envía una solicitud a la entidad emisora para confirmar el titular, sin necesidad de pasos
adicionales para el usuario. Aunque este mecanismo podría
convertirse en una vía para generar fraude que no existe en
otras alternativas (el difícil compromiso entre usabilidad y seguridad).
Otro de los aspectos relevantes de Apple Pay es la posibilidad de utilizar este método de pago directamente en las apps
(no únicamente para realizar pagos con un TPV) mediante
unas APIs que permiten integrar esta solución para realizar
cobros, devoluciones o gestionar pagos recurrentes, entre
otras funcionalidades, que así simplifican considerablemente el proceso de pago para el Mobile Commerce (frente a la
alternativa de introducir todos los datos de tarjeta en la app).
Apple cuenta de partida con sus más de 800 millones de
usuarios (con sus respectivas tarjetas ya registradas) y un
ecosistema que controla de extremo a extremo (iPhone +
iOS + Apple Store + iCloud + iTunes +…). Con un público
138
entregado, verdaderos fans, que llevan mucho tiempo
esperando a que alguien les haga ver cómo han podido vivir
tanto tiempo sin pagar con el móvil. Algo muy difícil de replicar
para sus competidores.
Y esto se nota en los resultados que ha obtenido desde el
lanzamiento: según el CEO de Apple, Tim Cook, durante las
primeras 72 horas se activaron más de un millón de tarjetas
en Apple Pay , superando así en número de usuarios activos
a todos sus rivales (Google, Softcard, etc.).
Y la tendencia continúa: en la presentación de resultados realizada a finales de enero de 2015 Apple confirmó que 750
bancos han firmado ya para ofrecer el servicio, y en los cuatro
meses posteriores a su lanzamiento Apple Pay ha gestionado
2 de cada 3 pagos con el móvil realizados en Estados Unidos. Bank of America , por ejemplo, ha comunicado que 800
000 usuarios de sus tarjetas están utilizando Apple Pay.
Por el momento Apple Pay solo está disponible en Estados
Unidos. Puesto que la cuota de mercado de Apple en España es limitada, y teniendo en cuenta que Apple Pay solo
funciona con el nuevo iPhone 6, el volumen de usuarios que
podrían utilizarlo en nuestro país es reducido.
Además, Apple Pay no dispone de licencia como Entidad de
Pago en Europa, lo que puede suponer una barrera legal
para la prestación del servicio tal y como está definido actualmente (puesto que en este sistema la entidad financiera no
valida el PIN, como requiere la ley).
Pero seguro que supondrá un revulsivo para la competencia
en el sector, que nos permita definitivamente poder pagar con
el móvil de forma habitual.
139
140
6
CAPÍTULO
141
INNOVACIÓN
Y NUEVAS
TENDENCIAS EN
MEDIOS DE PAGO
#1. Nuevos actores
El XV Informe de la Sociedad de la Información49 presentado
por Telefónica confirma el incremento en el uso de la mensajería móvil (que se consolida como el medio favorito de comunicación), así como el aumento en la utilización de las redes
sociales (67,1% de los usuarios).
Google confirma también en su estudio Our Mobile World50
el incremento en el uso de las redes sociales en España: el
86% de los usuarios de smartphones acceden a las redes
sociales desde el móvil, el 58% todos los días.
Facebook, Twitter o Google son algunas de las empresas que
dominan el mundo de la comunicación y las redes sociales,
y que están experimentando también con servicios relacionados típicamente con la banca (pagos con el móvil, tarjetas,
financiación, etc.) aprovechando su gran base de usuarios,
especialmente los denominados Millennials (jóvenes entre 20
y 35 años) que reclaman una nueva forma de relacionarse
con el sector financiero.Estas empresas no solo tienen un
gran volumen de usuarios (y pueden utilizar por tanto su Big
Data para conocer cuáles son sus preferencias), disponen
también de una caja considerable que durante el año 2014
les permitió realizar múltiples adquisiciones51 para invertir en
innovación.
49 Fundacion Telefónica - XV Informe de la Sociedad de la Información
50 Google - Our Mobile World (España)
51 Expansión - Facebook, Google, Apple y Amazon baten récord de compras en 2014
142
Google ha lanzado ya en Europa el sistema de pagos via
Gmail que estaba en funcionamiento en Estados Unidos52,
similar al sistema que utiliza Paypal, y que permite «anexar
dinero» en un correo electrónico, o solicitarlo.
El servicio está ligado a Google Wallet, pudiendo el usuario
realizar compras en Google Play (o en cualquier lugar que
acepte este medio de pago) con el dinero recibido, enviarlo mediante correo electrónico a otros usuarios (tengan o no
Gmail), o transferirlo a su cuenta del banco.
Facebook ha solicitado hace meses al regulador en Europa
convertirse en una entidad de e-money53 para lanzar un servicio de transferencias, y dispone ya de permiso para ciertos
tipos de envío de dinero en Estados Unidos (que permiten
pagos en aplicaciones).
Facebook ha lanzado también un «botón de compra»54 integrado en las páginas de esta red social permitiendo que los
usuarios puedan descubrir productos y comprarlos sin salir
de su entorno.
La misma idea ha tenido Twitter, lanzando su propio botón de
compra que permite recibir anuncios, ofertas y promociones
en la red social e interactuar directamente desde la app para
52 Google - Now available in the UK: Send and request money right from Gmail
53 The Guardian - Facebook prepares to launch e-money transfer service in Europe
54 Facebook - Testing a New Way for People to Discover and Buy Products on Facebook
143
Innovación y nuevas tendencias en Medios de Pago
realizar el pago. Twitter ha comprado también la compañía
de pagos CardSpring55 para añadir servicios de promociones,
descuentos y compras mediante un simple tuit.
Tanto en el caso de Facebook como Twitter, la empresa detrás del botón de compra es Stripe, una de las compañías ligadas al sector de los medios de pago que han surgido como
nuevos actores en los últimos tiempos. Stripe está permitiendo a estas empresas (y a otras como Apple o Alipay) ofrecer
algo nuevo en el sector del eCommerce para poner en valor
su ecosistema.
Stripe posibilita también la integración de un botón de Checkout56 para realizar pagos de forma rápida y sencilla en cualquier eCommerce y app, permitiendo llegar a potenciales clientes desde cualquier parte del mundo al ofrecer soporte para
más de 138 monedas57 (incluso están probando con Bitcoin).
Amazon, el gigante de la distribución, entra también a competir en este sector emulando la estrategia de su rival eBay
con Paypal, ofreciendo un nuevo servicio de pago Login and
Pay with Amazon58 que permite a cualquier eCommerce recibir pagos utilizando los datos de tarjetas de crédito almacenados en Amazon, e integrarlo con apps para realizar pagos
desde el móvil.
55 Twitter - Welcoming CardSpring to the Twitter team
56 Stripe – Checkout
57 Stripe – supported currencies
58 Amazon – Login and Pay
144
Incluso Line, la aplicación de mensajería, ha lanzado recientemente su servicio Line Pay que permite realizar compras
dentro de la aplicación, y en el futuro también en comercios.
#2. Pagos en entornos no bancarizados
El éxito de M-pesa
Pese a todo lo comentado hasta el momento, en la actualidad
los países que lideran el pago con el móvil por volumen de
usuarios activos y transacciones realizadas no están en Europa o Norteamérica, sino en África y Asia: Kenia, Uganda,
Tanzania, Indonesia, Filipinas…
Olvidemos por un momento nuestra realidad, y pongámonos
en el lugar de un habitante de estos países para entender
cuál es nuestro entorno y qué necesidades hay por cubrir.
• Baja renta per cápita, importantes carencias en seguridad,
infraestructuras casi inexistentes, gobiernos inestables, etc.
• Limitada bancarización de la población.
• Alta
penetración de la telefonía móvil «tradicional»,
llamadas y SMS (acceso limitado a Internet y 3G).
• Terminales de gama baja (no smartphones), aunque la
tendencia va al alza.
145
Usuarios registrados y activos en servicios de pago con el móvil, por región (Junio 2013)
Fuente: GSMA – Mobile Money for the Unbanked
En estos países, usar el móvil como medio de pago permite
disponer de un mecanismo rápido y seguro para realizar transacciones, sin necesidad de llevar dinero en efectivo. Lo más
parecido a tener una cuenta en el banco y utilizar una tarjeta, e incluso acceder a servicios financieros básicos (seguro,
crédito, ahorro…).
146
El ejemplo más claro es M-pesa en Kenia (pesa significa dinero en swahili), que permite realizar pagos entre particulares,
comprar en comercios, retirar efectivo o pagar facturas, entre
otros servicios, mediante «saldo telefónico» que los usuarios
pueden cargar en cualquiera de los agentes existentes.
Tecnológicamente el sistema se basa en el uso de mensajería SMS y USSD (similares a los SMS, pero se gestionan en
tiempo real y permiten un cierto nivel de interacción a través
de menús). Este tipo de mensajería está disponible en cualquier teléfono móvil, lo que posibilita una enorme penetración
en países donde es imposible plantear soluciones basadas
en el uso del smartphone y donde no se dispone de acceso
3G.
Gracias a ello, el 68% de la población de Kenia utiliza habitualmente este sistema . A finales de 2014 M-pesa cuenta
con más de 12,2 millones de usuarios activos y 81 000 agentes . El dinero que se mueve con este medio de pago al mes
asciende a 101,3 billones de Kshs (unos 1,13 billones de dólares), una cifra que supera el 25% del PIB del país.
El éxito de M-pesa en Kenia se ha extendido a otros países de su alrededor donde las condiciones son semejantes
(Uganda, Ruanda o Tanzania tienen ya millones de usuarios),
si bien los intentos por expandirse a otros entornos (como
Sudáfrica o Rumanía) no han dado los mismos resultados.
147
El motivo del éxito en estas regiones se apoya en varios factores clave:
• Alta
•
•
•
•
penetración del móvil, que contrasta con la baja
«bancarización» de la población.
Disponibilidad universal, en cualquier terminal.
Funcionalidad simple, pero que permite cubrir las
necesidades financieras básicas.
Garantía de seguridad y no repudio de las transacciones,
utilizando el móvil para autenticar al usuario y autorizar las
transacciones (originadas en el comercio, o generadas en
el propio terminal), introduciendo un PIN de forma similar
a una tarjeta.
Existencia de facilidades regulatorias, que permitan ofrecer
servicios financieros a actores que no son bancos, con
requisitos mucho más limitados que los exigidos para el
procesamiento de transacciones con tarjetas, por ejemplo.
El incremento en el número de usuarios activos de soluciones
de pago con el móvil en los países en vías de desarrollo es un
hecho, y una tendencia que se mantendrá en el futuro.
148
Usuarios activos de soluciones de pago con el móvil por cada mil habitantes (2013)
Fuente: International Monetary Fund
149
Sistema de Dinero Electrónico de Ecuador
La situación en algunos países de América Latina es cercana
al enfoque de África y Asia, con una población muy poco bancarizada, infraestructuras limitadas, problemas de seguridad,
alta penetración del móvil, etc., por lo que son potenciales
usuarios de este tipo de soluciones.
El caso de Ecuador es especialmente interesante, al tratarse
de la primera experiencia nacional en el uso de dinero electrónico.
El gobierno de este país lanzaba a finales de 2014 la primera fase de implantación del Sistema de Dinero Electrónico
(SDE) , un esquema de pago con el móvil orientado especialmente a facilitar a la población no bancarizada el acceso a
medios de pago alternativos al efectivo.
El Banco Central de Ecuador es el responsable de emitir el
dinero electrónico, estableciendo el tipo de cambio con el dólar (como sucede en muchos países de Latinoamérica, existe
una economía dual, basada en la moneda local y en el dólar
estadounidense).
Los usuarios del SDE pueden utilizar su móvil para realizar
pagos entre particulares, compras presenciales y por Internet, pagar facturas o cobrar nóminas y subsidios, entre otras
operaciones.
150
Para hacer uso del dinero electrónico únicamente se necesita disponer de un teléfono móvil básico (la tecnología
utilizada se basa en mensajería SMS/USSD). Una vez registrado, el usuario puede cambiar dólares por dinero electrónico en los distintos agentes disponibles, utilizándolo
mediante el móvil en comercios, empresas o entidades, y
cambiarlo por dinero físico.
Desde el punto de vista de la seguridad, el sistema establece un PIN que el usuario debe introducir para utilizar su
dinero electrónico, garantizando así su identidad.
El gobierno fomenta el uso del SDE (Sistema de Dinero
Electrónico) como medio de pago voluntario, facilitando la
incorporación de operadores de telecomunicaciones, entidades financieras, instituciones públicas y empresas privadas.
El Banco Central de Ecuador establece el cambio aplicable, los límites en el uso de dinero electrónico (máximo
10 000 dólares al mes) y las comisiones por cada tipo de
operación:
• la
carga/descarga de dinero electrónico, así como
los pagos en comercios, servicios y transportes, son
gratuitos para el usuario (el comercio paga una comisión).
• los pagos P2P, transferencias o uso de cajeros, entre otras
operaciones, tienen una comisión para el usuario (entre 1
y 15 céntimos por operación, según los importes).
151
Esquema y Entidades del Sistema de Dinero Electrónico de Ecuador
Fuente: Banco Central de Ecuador
En la actualidad el Sistema de Dinero Electrónico se encuentra en una fase piloto en varias ciudades de Ecuador. La segunda etapa se ha iniciado en febrero de 2015, permitiendo las operaciones más básicas: carga/descarga de dinero
electrónico, retirada de efectivo, pagos P2P y en comercios,
así como transferencias. La tercera fase se prevé implantar
durante el segundo semestre del año.
152
#3. Monedas virtuales: Bitcoin
Según un estudio de Accenture , en 5 años la forma en que
utilizamos hoy los medios para pagar habitualmente (tarjetas
o efectivo) se verá reducida, incrementándose el uso de las
alternativas existentes actualmente (Paypal, prepago, tarjetas regalo) y surgiendo con fuerza nuevas opciones, como
las monedas virtuales.
Uso frecuente de medios de pago hoy vs. 2020
Fuente: Accenture
153
El interés en las monedas virtuales se constata claramente
por el incremento en el volumen de inversión en startups relacionadas con este tipo de tecnologías, que supera ya la
inversión existente en los inicios de Internet .
En España cabe destacar las inversiones realizadas por Bankinter en la startup española Coinffeine (el primer exchange
descentralizado de Bitcoin) y por BBVA en Coinbase (el mayor procesador de Bitcoin del mundo).
A lo largo de 2014 unos 82.000 comercios dieron el paso
de incorporar las monedas virtuales , especialmente bitcoin,
como alternativa a otros medios de pago en eCommerce.
Esta opción ofrece a los merchant varias ventajas respecto a
los medios de pago tradicionales:
• No
•
•
•
•
154
tiene coste (frente a las comisiones que pagan
tradicionalmente, y que superan el 2 o 3% en cada
transacción).
El comercio recibe los pagos en su moneda (euros,
dólares…) y se eliminan completamente la volatilidad,
incertidumbres regulatorias y complejidad de bitcoin.
La integración es muy simple, equivalente a la que tiene
que realizar con cualquier TPV virtual o con Paypal.
Permite recibir compras desde cualquier parte del mundo,
sin integraciones adicionales locales o adaptaciones a
distintas monedas.
No hay fraude, puesto que el usuario que paga con bitcoins
es el único que puede realizar la transacción desde su
wallet. Y por tanto, tampoco chargeback.
Es posible también pagar con bitcoin en comercios físicos,
como los ubicados en la «Calle Bitcoin» madrileña (Serrano). Más de veinte comercios aceptan el pago con esta
moneda virtual: bares y restaurantes (Do Eat, CheckIn, The
Geographic Club…), tiendas (Agatha Ruiz de la Prada, Scotta 1985…), e incluso existen dos cajeros donde comprar bitcoins en el centro comercial ABC Serrano y el hotel One Shot.
En el terreno legal , países como Estados Unidos, Reino Unido o Australia continúan regulando su uso y desarrollando
aspectos tan concretos como el pago de impuestos.
Incluso en España se ha avanzado mucho en los últimos
tiempos para clarificar el uso de Bitcoin . Un ejemplo es el
caso de la mencionada Coinffeine, que es la primera empresa en el mundo constituida íntegramente con capital social en
esta moneda virtual .
Qué es Bitcoin
Antes de empezar a abordar el uso de las monedas virtuales
en eCommerce, explicaremos brevemente en qué consisten.
Bitcoin surgió en 2008 con la publicación de un documento
en el que se establecían los fundamentos para un sistema
descentralizado de generación e intercambio de monedas
virtuales. Dicho sistema se sustentaba en la criptografía de
clave pública (PKI o Public Key Infrastructure) que usamos
de forma habitual, por ejemplo cuando navegamos a través
de un conexión segura (https).
155
Todo usuario que quiere utilizar bitcoins tiene asignado un
identificativo (dirección Bitcoin) que lleva asociada una clave
pública (que todo el mundo conocerá) y una clave privada (que
solo conoce el propio usuario). El intercambio de bitcoins (o
fracciones de bitcoin) se realiza directamente entre dos usuarios, sin intermediario alguno, gracias a las operaciones criptográficas de firma y hash que se realizan con estas claves.
Pero solo esto no basta para que el sistema sea seguro, falta
un aspecto clave del modelo: garantizar que A posee efectivamente el dinero que pretende transferir a B, en ese momento
del tiempo. Y a diferencia de las monedas que conocemos, no
hay una autoridad que lo haga (entidades financieras, bancos
centrales, etc.), sino que se realiza de forma distribuida.
Las transacciones que se han generado desde el primer bitcoin son públicas, se registran en lo que podríamos entender
como un gran «libro contable» a disposición de todos los usuarios conectados a la red de Bitcoin.
Este libro (que se denomina «cadena de transacciones» o
Blockchain) está compuesto de miles de páginas (bloques) y a
medida que se generan nuevas operaciones estas son validadas en tiempo real por el ecosistema, registrándose en nuevas
páginas del libro, garantizando así que no se incluyen transacciones fraudulentas ni se alteran las ya realizadas.
Una vez generada una nueva transacción, se envía a la red
con el objetivo de que se valide. El usuario que recoge esta
transacción para su procesamiento la incorpora en un bloque
156
de transacciones «en construcción». Este tipo de usuarios, que son capaces de escribir en el libro de transacciones, se conocen como «mineros».
Cada bloque está ligado a un bloque anterior y tiene
registrado un Timestamp (sello de tiempo) que permite
identificar en qué momento se ha generado. Por cada
transacción que se añade se genera un hash, un identificador único para cuyo cálculo se incluyen todas las transacciones incorporadas al bloque (y que permite verificar
su integridad; cualquier mínimo cambio sobre los datos
originales dará como resultado un hash completamente
distinto).
Este es el mecanismo que permite «ligar» unas transacciones con otras, agrupadas en bloques, como si fueran
los eslabones de una cadena. Sin necesidad de intervención de terceras partes que actúen como «notarios» del
proceso, se incorporan nuevas páginas del libro global de
transacciones garantizando que nadie puede alterar su
contenido una vez escrito en él.
Todo este proceso es muy costoso computacionalmente,
puesto que implica comprobar la criptografía de toda la
cadena para verificar que el Blockchain es correcto en
todo momento. Y a medida que se van generando más y
más transacciones, se hace más complejo.
Entonces, ¿por qué gastan tiempo y esfuerzo los usuarios de
Bitcoin validando las transacciones? ¿Qué ganan con ello?
157
Como cabe esperar, no es altruista… aquel que en un momento dado haya conseguido incluir en un bloque una nueva
transacción, obteniendo un hash con un número mínimo de
ceros al principio, consigue «cerrar» dicho bloque y obtiene
a cambio 25 bitcoins en la actualidad. Dicho de otra forma,
añade una nueva página al final del libro de transacciones
que incluye aquellas validadas por él, y se define una nueva
hoja en blanco en la que existe una transacción inicial de 25
bitcoins hacia este minero como recompensa.
Dicha recompensa decrece a la mitad cada cuatro años. En
2016 se reducirá a 12,50 bitcoins, y así sucesivamente hasta llegar a 0 cuando se alcance el límite predefinido de 21
millones de monedas generadas (el 99% se habrá generado
ya en torno al año 2040).
Conseguir esto es una verdadera lotería, ya que el resultado
obtenido al aplicar la función de hash es aleatorio. Por tanto,
quien quiera ganar este premio debe procesar un gran número de transacciones, hasta que encuentra por puro azar
una que cumple la condición definida. Compitiendo en el
proceso con los demás mineros por conseguir el premio (el
poder de cálculo global de la red de Bitcoin supera el de los
primeros 500 superordenadores del mundo).
Además, cada transacción puede incluir una comisión, que
ganará el minero que consiga incorporarla en un bloque,
para incentivar así el procesamiento. De hecho, esta recompensa será la única que consigan los mineros, una vez se
alcance el número máximo de monedas generadas.
158
Este proceso se conoce como «minería» de Bitcoin y es la
base que permite al sistema controlarse a sí mismo gracias
al esfuerzo de cada individuo (que obtiene a cambio una recompensa), sin necesidad de intermediarios.
Cómo se usan los bitcoins
Nuestra nómina, que cobramos en euros, es en la práctica
«dinero electrónico», apuntes contables que aparecen todos los meses en nuestra cuenta del banco. Llega a nuestra
cuenta corriente, identificada por un código IBAN (una ristra
de 24 letras y números) desde la cuenta de la empresa para
la que trabajamos.
Y en la mayoría de las ocasiones, para hacer uso de este
dinero realizamos transferencias a otras cuentas (para pagar facturas y recibos), o utilizamos nuestras tarjetas, que se
identifican por otra sucesión de 16 dígitos.
En el caso de Bitcoin la filosofía subyacente es básicamente
la misma. Las «monedas virtuales» se encuentran depositadas en «cuentas», las direcciones Bitcoin, que están formadas por una cadena de 27 a 34 caracteres (comenzando por
1 o por 3) como la siguiente:
1JoobiDXm9oogSrKQ5HrAWw5SLFmtRSizG
Usar bitcoins significa transferir monedas de una dirección a
otra, de forma similar a como haríamos una transferencia de
una cuenta bancaria a otra, pero en un proceso gestionado
159
sin intermediarios (las entidades financieras) gracias al modelo descentralizado ideado por Satoshi Nakamoto.
Siendo un entorno distribuido y no regulado, ¿quién y cómo
genera y asigna estas direcciones, y dónde se almacenan las
monedas virtuales?
La clave son los wallets, disponibles como app para smartphones y como aplicaciones para PC.
La elección más útil y sencilla para utilizar bitcoins pasa por la
descarga de un wallet para smartphone , existiendo múltiples
alternativas disponibles en Android, iOS, Windows Phone o
Blackberry. Nada más instalar la aplicación, ésta genera automáticamente una nueva dirección Bitcoin, con lo que podemos empezar a utilizarla sin más para recibir monedas. La
app muestra la dirección en formato alfanumérico, así como
un código QR (que se utiliza para recibir pagos desde otros
wallet).
También presenta el «saldo» en bitcoins que tenemos en
nuestra dirección, y su equivalente en euros en función del
tipo de cambio en tiempo real, así como las transacciones
que se han realizado (tanto de salida como de entrada).
Es posible también optar por alternativas como Blockchain
(con más de 2 750 000 usuarios registrados en la actualidad)
en las que además de disponer de la cartera en el móvil (tanto Android como iOS) los datos se almacenan «en la nube»,
pudiendo acceder también a través de un navegador.
160
Cómo se obtienen bitcoins
El proceso más habitual para obtener monedas virtuales pasa
por comprarlas en «casas de cambio», a un precio determinado por la demanda existente en cada momento. Algunas de las
principales casas de cambio por volumen en la actualidad son
Bitstamp (UK), Bitfinex (Hong Kong) o BTCChina (China).
Para ello es necesario realizar un proceso de registro similar al
existente en cualquier banco online, exigiendo para poder operar una copia del documento de identidad (DNI o pasaporte),
así como un recibo que permita verificar la residencia.
Conseguido pasar el trámite burocrático del alta y validación
de la cuenta, el funcionamiento de todas estas entidades es
similar: en primer lugar, el usuario debe realizar una transferencia (en moneda de curso legal) a una cuenta específica
identificada por la casa de cambio. Una vez disponibles estos fondos es posible comprar las monedas, y transferirlas
en pocos minutos desde la cuenta del usuario en la casa de
cambio a su wallet, para poder ser utilizadas.
Igualmente, es posible enviar bitcoins a una casa de cambio
para venderlos, y transferir este dinero de vuelta a nuestra
cuenta del banco (mediante transferencia). También se pueden obtener bitcoins mediante otros métodos:
• Compraventa
•
161
entre particulares (a través de mercados
como Localbitcoins ).
Mediante cajeros automáticos que permiten cambiar en el
momento billetes por monedas virtuales (existen varios en
España , tanto en Madrid como en Barcelona).
Bitcoin en eCommerce
A lo largo de 2014 se han consolidado varios casos de éxito
que demuestran que Bitcoin no es simplemente una estrategia de marketing, sino que permite obtener ingresos reales y
reducir los costes de procesamiento.
Millennius, uno de los mayores retailers de Australia dedicado a la electrónica, comenzó a aceptar pagos con Bitcoin en
2013. Los resultados obtenidos han sido sorprendentes:
• Consigue
•
•
•
•
el 5% de sus ventas mediante bitcoins (por
encima de las transferencias bancarias que alcanzan el
3%).
No ha sufrido fraude con este medio de pago, frente a
tasas del 1,1% con Paypal, y del 2,7% con tarjeta.
Es el medio que mayor ingresos por venta registra: 831,71
dólares de media, 15% superior a las realizadas con tarjeta
y 60% a las realizadas con Paypal.
Ha permitido incrementar las ventas en el extranjero.
En el lado negativo, el abandono de la compra al pagar
con bitcoins es el más elevado (posiblemente provocado
por los curiosos, que luego no finalizan la transacción).
En Estados Unidos varias empresas han superado el millón
de dólares en ventas con Bitcoin:
• Overstock.com, uno de los 25 primeros comercios online
por ingresos, consiguió 130 000 dólares en ventas
mediante esta moneda virtual en el primer día. Según su
162
•
•
CEO, Patrick Byrne, han obtenido 3 millones de dólares
en 2014 .
Tigerdirect consiguió superar la marca establecida por
Overstock.com al obtener 250 000 dólares antes de las
primeras 24 horas y 500 000 dólares la primera semana.
Tan rentable le ha resultado esta alternativa de pago
que ha establecido descuentos de hasta un 20% para
compras realizadas con Bitcoin .
CheapAir, que empezó a vender billetes de avión con
bitcoins en Noviembre de 2013, ha superado también el
umbral de 1,5 millones de dólares .
En los últimos meses se han incorporado a este grupo de
empresas varios pesos pesados, que facturan billones de
dólares: Expedia , Dell o Microsoft son algunos de ellos.
Incluso Paypal ha confirmado sus planes de integración
con varios de los procesadores de Bitcoin más importantes
del mundo, con el objetivo de probar la tecnología.
En España el pionero ha sido Destinia, una de las agencias
de viajes online líderes en el mercado español, que permite el pago con bitcoins desde el mes de enero de 2014.
En las primeras horas que Destinia incorporó este medio
de pago se realizaron dos compras. Tal fue la sorpresa que
su fundador, Amuda Goueli, pensó que era una broma de
los informáticos. Pero nada de eso: un cliente polaco había
adquirido un paquete de vuelo más estancia de hotel en
163
Vietnam, y un cliente austriaco un billete de avión a Lisboa.
Como ha trasladado en sus resultados de 2014 , el cliente
que paga en Destinia con bitcoins gasta un 49% más que
los usuarios que utilizan tarjetas o Paypal. Y la duración de
las estancias son también superiores.
El mayor volumen de este tipo de pagos llega desde España, Arabia Saudita (uno de los destinos hacia los está
enfocando su expansión internacional) y Alemania, aunque
se reciben pagos con la moneda virtual desde 25 países.
Estos resultados han permitido a Destinia ofrecer promociones para la compra con bitcoins , que alcanzaban el
20% de descuento (durante la semana del Black Friday).
Pero dada la volatilidad en la cotización de bitcoin, ¿cómo
puede un comercio plantearse permitir pagos con esta moneda, asumiendo el riesgo de depreciación? ¿Cómo establecer los precios de sus productos? ¿Cómo adaptar sus
sistemas para aceptar bitcoins?
La respuesta es fácil. Que un comercio permita a sus
usuarios realizar pagos con la moneda virtual no implica
cobrar en esta moneda. Aunque parezca un contrasentido, la explicación es simple: únicamente se requiere integrarse con un procesador de pagos con bitcoin, de forma
similar a como se integra con un TPV virtual para el pago
con tarjetas.
164 Innovación en Medios de Pago para eCommerce
164
Procesadores de Bitcoin
Los procesadores más conocidos, Bitpay y Coinbase , tenían registrados a finales de 2014 más de 82 000 comercios
que gracias a sus servicios adquieren la posibilidad de recibir
pagos con bitcoin de forma rápida y sencilla, sin requerir conocimiento alguno de la moneda virtual.
Ofrecen unas comisiones considerablemente más reducidas que las existentes para el pago con tarjeta o Paypal (de
hecho, en la actualidad no aplican comisiones por procesamiento). Y asumen toda la complejidad derivada del pago con
bitcoins.
La integración en la web del comercio es equivalente a la que
se realiza con un TPV virtual o con Paypal: puede realizarse
mediante un iFrame, o utilizando alguno de los componentes
ya existentes para plataformas como Magento o Prestashop,
entre otras opciones.
En Destinia, por ejemplo, cuando el cliente finaliza su carrito
de la compra tiene disponible el precio en euros, y su equivalente en bitcoins, pudiendo realizar el pago con la moneda
virtual (en lugar de tarjeta o Paypal).
165
Pantalla de compra de un billete de AVE en Destinia, pagando con bitcoins
En el momento en que se realiza la compra con bitcoins se
deriva la sesión en el navegador al procesador, quien establece el cambio en bitcoins correspondiente al importe en la
moneda local y presenta al usuario la pantalla para la captura
del pago, con los datos de la compra.
166
Captura del pago con bitcoins en Bitpay (correspondiente al billete de AVE anterior)
Cabe destacar que, debido a la fluctuación en el precio del
bitcoin, el procesador establece un período de tiempo durante el que se puede realizar el pago (típicamente 15 minutos).
Pasado ese tiempo, se recalculará el equivalente en bitcoins
al precio de venta.
167
El usuario tiene entonces distintas opciones para realizar el
pago con bitcoins:
• Escanear el código QR presentado con su móvil.
• Realizar el pago desde su wallet, copiando la dirección
•
Bitcoin que se indica.
En EEUU es posible, además, pagar mediante Coinbase
(de forma similar a como se realiza el pago con Paypal,
introduciendo el usuario y contraseña en este servicio).
Realizado el pago, Destinia recibe la confirmación de la operación (como sucede en el caso de los pagos con tarjeta)
para que presente la información correspondiente al cliente.
Los merchant pueden elegir recibir los pagos en euros o dólares
(entre otras monedas) en lugar de bitcoins. O definir el porcentaje que determinen, con lo que a efectos prácticos los comercios
no tienen por qué sufrir la volatilidad de la moneda virtual.
El comercio recibe diariamente el pago de las transacciones
realizadas en su dirección Bitcoin, o bien el pago en euros,
dólares o la moneda de curso legal definida, mediante transferencia bancaria (en dos o tres días), sin posibilidad de retrotraer la transacción.
El coste de las integraciones con los procesadores puede suponer un ahorro considerable frente al equivalente para permitir pagos con tarjeta, según análisis de fuentes tan relevantes como Goldman Sachs . Simplemente porque se reduce el
número de intermediarios.
168
Configuración de cobros para el merchant (en la imagen, 90% en Euros y 10% en Bitcoins)
Fuente: Bitpay
Además, por definición, los pagos en bitcoins no tienen chargeback, que es uno de los aspectos más conflictivos para los
comercios que permiten el pago con tarjeta o Paypal. Una
vez realizada una transacción no puede retrotraerse la operación (porque es imposible eliminar un dato escrito en la cadena de bloques, una vez confirmado por la red).
169
Comparación del proceso de pago con tarjeta vs. pago con Bitcoin
Fuente: Goldman Sachs
En conclusión, aceptar el pago con bitcoins en un comercio
online permite ofrecer un medio de pago alternativo de forma
rápida, sencilla y reduciendo (o eliminando) los costes frente
a otras opciones de pago. El truco: integrar con un procesador, que es quien asume la complejidad en el uso de la
moneda virtual, así como los riesgos que pudieran derivarse
de la volatilidad bitcoin, o los aspectos legales que se están
desarrollando en la actualidad.
170
El futuro de las monedas virtuales
En su «Curva del Hype» de Tecnologías Emergentes, Gartner59 pronostica que las criptomonedas (como Bitcoin) se
encuentran adentrándose en el «abismo de la desilusión»,
no habiendo alcanzado las expectativas y debiendo esperar
todavía de 5 a 10 años para confirmar si llegan a triunfar (si
no desaparecen por el camino).
«Curva del Hype» de Tecnologías Emergentes
Fuente: Gartner
171
Pero detrás de la tecnología que sustenta estas monedas virtuales hay mucho más que su utilidad como medio de pago.
Empresas de la talla de IBM apuestan ya por revolucionar
con ella el «Internet de las cosas»60, e incluso entidades financieras como Fidor Bank61 han integrado Ripple (una solución alternativa a Bitcoin) para transformar la forma en que se
gestionan los flujos de dinero.
La tecnología subyacente a las criptomonedas está aquí para
quedarse, con toda seguridad. En los próximos años comprobaremos lo que surge de ella.
59 Gartner’s 2014 Hype Cycle for Emerging Technologies
60 IBM – Device democracy, Saving the future of the Internet of Things
61 Fidor Bank AG: The First Bank to Use the Ripple Protocol
172
REFERENCIAS
*
FRS (Comportamiento Financiero de los Microempresarios España) - 2014
*
FRS (Comportamiento Financiero de los Microempresarios España) - 2014
*
Estudio sobre Comercio Electrónico B2C 2013 (Edición 2014) – ONTSI: http://www.
ontsi.red.es/ontsi/sites/default/files/estudio_sobre_comercio_electronico_b2c_2013_
edicion_2014.pdf
*
CNMC - Informe sobre el Comercio Electrónico en España a través de Entidades
de Medios de Pago http://www.cnmc.es/Portals/0/Notas%20de%20prensa/Comercio_
electronico_I_14.pdf
*
ONTSI-INTECO - Estudio sobre la Ciberseguridad y Confianza en los hogares españoles: http://www.ontsi.red.es/ontsi/sites/default/files/estudio_sobre_la_ciberseguridad_y_confianza_en_los_hogares_espanoles_octubre_14.pdf
*
Mastercard contactless http://www.mastercard.com/contactless/
*
Normativa PCI DSS v3.0 https://www.pcisecuritystandards.org/documents/PCI_
DSS_v3_05Nov13_Final_ES-LA.pdf
*
PCI SSC https://www.pcisecuritystandards.org
*
VISA https://www.visaeurope.es
*
Mastercard https://www.mastercard.com
*
American Express https://www.americanexpress.com
*
JCB http://www.jcbeurope.eu/
*
Discover https://www.discover.com/
*
Internet Security Auditors – Usando la segmentación de red para reducir el alcance
de PCI DSS http://www.isecauditors.com/sites/default/files//files/SIC-101_Segmentacion_de_red_para_reducir_alcance_PCI-DSS.pdf
*
PCI DSS Tokenization Guidelines https://www.pcisecuritystandards.org/documents/Tokenization_Guidelines_Info_Supplement.pdf
*
PCI SSC – Point-to-Point Encryption https://www.pcisecuritystandards.org/documents/P2PE_v1-1.pdf
*
VISA Account Information Security (AIS) https://www.visaeurope.com/ais
*
Mastercard Site Data Protection http://www.mastercard.com/us/company/en/whatwedo/site_data_protection.html
173
*
PCI SSC – Self Assessment Questionnaire https://www.pcisecuritystandards.org/
documents/pci_dss_SAQ_Instr_Guide_v2.1.pdf
*
VISA - Processing eCommerce payments. A guide to security and PCI DSS requirements http://www.visaeurope.com/media/pdf/processing%20e-commerce%20payments%20guide.pdf
*
VISA Europe Merchant Agents https://www.visamerchantagents.com/
*
Mastercard Service Provider Level and Validation Requirements http://www.mastercard.com/us/company/en/whatwedo/service_provider_level.html
*
American Express Data Security Operating Policy (DSOP) www.americanexpress.
com/datasecurity
*
JCB Data Security Program http://www.jcbeurope.eu/business_partners/security/
jcbprogram.html
*
Discover Information Security Compliance (DISC) http://www.discovernetwork.
com/disc
*
Mastercard Mobile Point of Sale Best Practices http://www.mastercard.com/us/
company/en/docs/MasterCard_Mobile_Point_Of_Sale_Best_Practices.pdf
*
PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users
https://www.pcisecuritystandards.org/documents/Mobile%20Payment%20Acceptance%20Security%20Guidelines%20for%20Merchants%20v1%201%20.pdf
*
[1]PCI Mobile Payment Acceptance Security Guidelines for Developers https://
www.pcisecuritystandards.org/documents/Mobile%20Payment%20Acceptance%20Security%20Guidelines%20for%20Developers%20v1%201%20.pdf
*
CaixaBank - pulsera Visa contactless http://prensa.lacaixa.es/caixabank/notas-de-prensa/caixabank-lanza-la-primera-pulsera-visa-contactless-que-permite-hacer-compras-tan-solo-acercando-la-muneca-al-datafono__1775-c-20401__.html
*
Apple Watch http://www.apple.com/watch/overview/
*
PayPal ayuda a la PYME española en su proceso de internacionalización https://
www.paypal-media.com/es/press-releases/paypal-ayuda-a-la-pyme-espa%C3%B1olaen-su-pr
*
ComScore study - State of consumer purchasing behaviour on mobiles (m-commerce) in the five main European markets (France, Germany, Italy, Spain and the United
Kingdom)
*
PayPal - Nota de Prensa One Touch https://www.paypal-media.com/es/press-releases/paypal-acelera-la-adopci%C3%B3n-de-pagos-m%C3%B3vi
*
eCommerce news – Privalia vende más en dispositivos móviles que en su web
http://ecommerce-news.es/actualidad/privalia-ya-vende-mas-en-dispositivos-movilesque-en-su-web-17298.html
174
*
Fundacion Telefónica: XV Informe de la Sociedad de la Información: http://www.fundaciontelefonica.com/arte_cultura/publicaciones-listado/pagina-item-publicaciones/?itempubli=317&_ga=1.206537363.1068542753.1420710157
*
Estudio de Forrester Consulting para Paypal sobre mCommerce (nota de prensa)
https://www.paypal-media.com/es/press-releases/ofrecer-paypal-como-medio-de-pagoen-m-c
*
ONTSI - Estudio sobre Comercio Electrónico B2C 2013 http://www.ontsi.red.es/
ontsi/es/estudios-informes/estudio-b2c-2013-edici%C3%B3n-2014
*
Gartner Says by 2017, Mobile Users Will Provide Personalized Data Streams
to More Than 100 Apps and Services Every Day http://www.gartner.com/newsroom/
id/2654115
*
Pagos Movistar: https://pagos.movistar.es/
*
Google
Carrier
Billing:
https://support.google.com/googleplay/
answer/2651410?hl=en&ref_topic=3365267
*
Blackberry: http://devblog.blackberry.com/2012/11/app-world-integrated-carrier-billing/
*
Windows
Phone:
https://msdn.microsoft.com/en-us/library/windows/apps/
jj215902%28v=vs.105%29.aspx
*
Firefox: https://hacks.mozilla.org/2013/11/implementing-in-app-payments-in-yourfirefox-os-app/
*
Facebook: https://developers.facebook.com/blog/post/2012/02/27/helping-improve-the-mobile-web/
*
Amazon: http://telecoms.com/284252/telefonica-partners-with-amazon-and-bango-for-carrier-billing-in-germany/
*
Samsung: http://developer.samsung.com/in-app-purchase
*
Sony PSN:: https://support.us.playstation.com/app/answers/detail/a_id/5016/~/mobile-billing-payment-option
*
Analysis Mason - Direct carrier billing has the greatest potential for success in
emerging markets http://www.analysysmason.com/About-Us/News/Insight/DCB-emerging-markets-Jun2014/Article/
*
Google: Our Mobile World (España). http://services.google.com/fh/files/misc/omp2013-es-local.pdf
*
Starbucks Earnings Report: Q1 2015 Conference Call Transcript http://www.thestreet.com/story/13021085/2/starbucks-sbux-earnings-report-q1-2015-conference-call-transcript.html
*
Business Insider - Wal-Mart’s Answer To Apple Pay Has Already Been Hacked:
http://www.businessinsider.com/currentc-hacked-2014-10
175
Referencias
*
Business Insider - There Are 48 Billion Reasons Why Retailers Are Going To War
With Apple: http://www.businessinsider.com/why-mcx-is-blocking-apple-pay-2014-10
*
Cap Gemini - World Payments Report 2014: https://www.worldpaymentsreport.com/
*
NFC Forum Specifications http://members.nfc-forum.org/specs/spec_list/
*
Contactless Payments Acceptance Mandate for Visa Europe: http://i.emlfiles8.com/
cmpdoc/4/9/6/9/8/files/263597_visa-europe-vendor-bulletin---contactless-payments-acceptance-mandate-fo---.pdf
*
Global Platform http://www.globalplatform.org/
*
La Caixa, Telefónica y Visa finalizan con éxito la primera experiencia de pago por
móvil en España http://saladeprensa.telefonica.com/documentos/nprensa/2010-12-20_
Resultados_finales_Sitges_castok.pdf
*
Telefónica - Distrito NFC: http://saladeprensa.telefonica.es/documentos/Anexo_
Partners_DistritoC.pdf
*
La Caixa – Lanzamiento comercial del pago con móvil NFC: http://prensa.lacaixa.
es/caixabank/notas-de-prensa/la-caixa-inicia-el-mayor-lanzamiento-comercial-de-europa-del-pago-con-movil-nfc-con-el-apoyo-de-telefonica-vodafone-orange-y-visa-europe__1775-c-19310__.html
*
CNET – This Day in Tech: Google Wallet launches http://www.cnet.com/news/thisday-in-tech-google-wallet-launches/
*
VISA to enable Secure Cloud Based Mobile Payments: http://investor.visa.com/
news/news-details/2014/Visa-to-Enable-Secure-Cloud-Based-Mobile-Payments/default.aspx
*
MasterCard to Use Host Card Emulation (HCE) for NFC-Based Mobile Payments
http://newsroom.mastercard.com/press-releases/mastercard-to-use-host-card-emulation-hce-for-nfc-based-mobile-payments/
*
Host Card Emulation in Android 4.4: https://developer.android.com/guide/topics/
connectivity/nfc/hce.html
*
Android version – Google Play accesses: http://developer.android.com/about/dashboards/index.html
*
Tarjeta virtual móvil de Bankinter: https://www.bankinter.com/www2/particulares/es/
tarjetas/tarjeta_virtual_movil
*
BBVA Wallet https://www.bbva.es/estaticos/micros/wallet/
*
Apple Pay http://www.apple.com/apple-pay/
*
Getting Started with Apple Pay https://developer.apple.com/apple-pay/Getting-Started-with-Apple-Pay.pdf
*
Apple CEO Tim Cook Happy With New Apple Pay Service http://www.wsj.com/articles/apple-ceo-tim-cook-happy-with-new-apple-pay-service-1414474181
176
*
The 6 things you need to know about Apple’s best quarter ever http://www.macworld.com/article/2876245/the-6-things-you-need-to-know-about-apples-best-quarterever.html
*
Bank of America Reports Fourth-quarter 2014 http://newsroom.bankofamerica.
com/press-releases/corporate-and-financial-news/bank-america-reports-fourth-quarter2014-net-income-31-b
*
Fundacion Telefónica - XV Informe de la Sociedad de la Información: http://www.
fundaciontelefonica.com/arte_cultura/publicaciones-listado/pagina-item-publicaciones/?itempubli=317&_ga=1.206537363.1068542753.1420710157
*
Google - Our Mobile World (España). http://services.google.com/fh/files/misc/omp2013-es-local.pdf
*
Expansión - Facebook, Google, Apple y Amazon baten récord de compras en 2014
http://www.expansion.com/2014/09/01/empresas/tecnologia/1409597680.html
*
Google - Now available in the UK: Send and request money right from Gmail http://
googlecommerce.blogspot.co.uk/2015/01/now-available-in-uk-send-and-request.html
*
The Guardian - Facebook prepares to launch e-money transfer service in Europe
http://www.theguardian.com/technology/2014/apr/14/facebook-e-money-transfer-service-europe
*
Facebook - Testing a New Way for People to Discover and Buy Products on Facebook https://www.facebook.com/business/news/Discover-and-Buy-Products-on-Facebook-Test
*
Twitter - Testing a way for you to make purchases on Twitter https://blog.twitter.
com/2014/testing-a-way-for-you-to-make-purchases-on-twitter
*
Twitter - Welcoming CardSpring to the Twitter team https://blog.twitter.com/2014/
welcoming-cardspring-to-the-twitter-team
*
Stripe – Checkout https://stripe.com/checkout
*
Stripe – supported currencies https://support.stripe.com/questions/which-currencies-does-stripe-support
*
Amazon – Login and Pay https://payments.amazon.com/home
*
Line Pay - http://line.me/es/pay
*
GSMA – State of the Industry 2013: Mobile Financial Services for the Unbanked:
http://www.gsma.com/mobilefordevelopment/wp-content/uploads/2014/07/SOTIR_2013_Spanish.pdf
*
FII Survey of Kenya, conducted September-October 2013: http://finclusion.org/
country-pages/kenya-country-page/
*
Safaricom 2014 annual report: http://www.safaricom.co.ke/images/Downloads/Resources_Downloads/annual_report-2014.pdf
177
Referencias
*
International
Monetary
Fund:
http://data.imf.org/?sk=beadea8c-42be-472e-8690-9af03ffc23d1
*
Banco Central de Ecuador – Sistema de Dinero Electrónico: http://www.scpm.gob.
ec/wp-content/uploads/2014/01/2.6-Fausto-Valencia-BCE-Sistema-de-dinero-electr%C3%B3nico.pdf
*
BCE – Regulación del Sistema de Dinero Electrónico http://contenido.bce.fin.ec/
documentos/PublicacionesNotas/Catalogo/Regulaciones/Regulacion17_2011.pdf
*
Accenture – 2014 North America Consumer Payments Survey http://www.accenture.com/SiteCollectionDocuments/accenture-2014-north-america-consumer-payments-survey.pdf
*
Coindesk:
State
of
Bitcoin
2015:
http://www.coindesk.com/state-bitcoin-2015-ecosystem-grows-despite-price-decline/
*
Bankinter invierte en Coinffeine: http://blog.bankinter.com/blogs/bankinter/archive/2014/11/17/bankinter-invierte-coinffeine-tecnologia-bitcoin.aspx
*
BBVA invierte en Coinbase: http://prensa.bbva.com/actualidad/notas-de-prensa/bbva-ventures-invierte-en-coinbase-la-plataforma-lider-de-bitcoin__9882-22-c-110255__.
html
*
Coindesk:
State
of
Bitcoin
2015:
http://www.coindesk.com/state-bitcoin-2015-ecosystem-grows-despite-price-decline/
*
Calle Bitcoin: http://callebitcoin.es/
*
Mapa legal de Bitcoin en el mundo http://bitlegal.io/
*
Abanlex – doce cosas que deberías saber antes de usar bitcoins: http://www.abanlex.com/2013/11/12-cosas-que-deberias-saber-antes-de-usar-bitcoins/
*
Abanlex – constituir una sociedad con bitcoins en su capital social: http://www.
abanlex.com/2014/06/como-constituir-una-sociedad-con-bitcoins-en-su-capital-social/
*
“Bitcoin: A Peer-to-Peer Electronic Cash System”: http://bitcoin.org/bitcoin.pdf
*
Monederos bitcoin: https://bitcoin.org/es/elige-tu-monedero
*
Blockchain: https://blockchain.info/wallet/
*
Bitstamp: https://bitstamp.net
*
Bitfinex: https://www.bitfinex.com
*
BTCChina: https://www.btcchina.com
*
Localbitcoins: https://localbitcoins.com/
*
Mapa de cajeros Bitcoin: http://www.coindesk.com/bitcoin-atm-map/
*
Millenius:
https://www.cryptocoinsnews.com/amazing-results-retailer-australia-started-accepting-bitcoin-6-months-ago/
*
Overstock: http://www.coindesk.com/overstocks-2014-bitcoin-sales-miss-projections-3-million/
178
*
Tigerdirect: http://www.coindesk.com/tigerdirect-offers-discount-bitcoin-shoppers/
*
CheapAir: http://blog.coinbase.com/post/92045466607/cheapair-com-tops-1-5-million-in-bitcoin-sales
*
Expedia:
http://blog.coinbase.com/post/88475694452/expedia-com-partners-with-coinbase-for-hotel
*
Dell: http://www.dell.com/learn/us/en/uscorp1/campaigns/bitcoin-marketing
*
Microsoft: https://commerce.microsoft.com/PaymentHub/Help/Right?helppagename=CSV_BitcoinHowTo.htm
*
Paypal:
https://www.paypal-community.com/t5/PayPal-Forward/PayPal-and-Virtual-Currency/ba-p/828230
*
Destinia: Dime con qué pagas y te diré cómo viajas http://blog.destinia.com/dimecon-que-pagas-y-te-dire-como-viajas
*
Promoción Destinia para pagos en bitcoins: http://blog.destinia.com/destinia-promociona-el-bitcoin-y-ofrece-los-vuelos-mas-baratos-del-mercado
*
Cotización de bitcoin en tiempo real: https://bitcoinwisdom.com/markets/bitfinex/
btcusd
*
Bitpay: https://bitpay.com/
*
Coinbase: https://www.coinbase.com/merchants
*
Goldman Sachs Global Investment Research: http://www.paymentlawadvisor.com/
files/2014/01/GoldmanSachs-Bit-Coin.pdf
*
Gartner’s 2014 Hype Cycle for Emerging Technologies http://www.gartner.com/
newsroom/id/2819918
*
IBM – Device democracy, Saving the future of the Internet of Things: http://public.
dhe.ibm.com/common/ssi/ecm/en/gbe03620usen/GBE03620USEN.PDF
*
Fidor Bank AG: The First Bank to Use the Ripple Protocol: https://ripple.com/blog/
fidor-bank-ag-the-first-bank-to-use-the-ripple-protocol/
179
Patrocinado por
Co-patrocinado por
Colaboran
© 2015 Foro de Economía Digital Business School

Libro Blanco de Medios de Pago en Internet

Transcripción

Documentos relacionados