Última actualización: 29 de octubre de 2024.
El 15 de marzo de 2024 se revisó un conjunto de directrices del sector que describen las medidas de seguridad para las empresas que realizan pagos con tarjeta en Japón, las «Directrices sobre seguridad de las tarjetas de crédito» (Directrices sobre seguridad de las tarjetas de crédito versión 5.0).
Las Directrices sobre seguridad de las tarjetas de crédito establecen que los comerciantes que realicen ventas en línea (usuarios de Stripe) deberán habilitar 3D Secure antes de finales de marzo de 2025 para combatir el fraude.
La autenticación con 3D Secure (3DS) es un mecanismo que proporciona un nivel de autenticación más en los pagos con tarjeta de crédito y protege a las empresas de la responsabilidad de los pagos fraudulentos con tarjeta.
Stripe exigirá 3DS en todos los pagos aplicables a partir del 31 de marzo de 2025. En algunos casos, puedes decidir si quieres utilizar o no 3DS.
En enero de 2025, Stripe empezará a exigir el uso de 3DS en un pequeño porcentaje de pagos, y lo aumentará gradualmente hasta el 100 % de los pagos el 31 de marzo de 2025, sin incluir los pagos exentos del requisito de 3DS. Debes realizar los cambios necesarios en tu integración con Stripe antes de finales de 2024 para evitar errores en los pagos.
Si tus preparativos para 3DS se extienden más allá de diciembre de 2024, puedes solicitar que se te excluya del plazo de enero, pero Stripe seguirá exigiendo el uso de 3DS en todos los pagos aplicables a partir del 1 de abril de 2025.
A partir de abril de 2025, los pagos con tarjeta de crédito en API más antiguas que no admiten 3DS (API Charges y API Orders) empezarán a requerir 3DS y, por lo tanto, a fallar. Para el 30 de junio de 2025, no se admitirá ningún pago con tarjeta de crédito en estas API.
Hay casos en los que puedes decidir si quieres aplicar o no 3DS. Cuando los pagos se realizan sin 3DS utilizando una exención, no se aplica la transferencia de responsabilidad por pagos fraudulentos. Consulta nuestra documentación para ver cómo Stripe implementa las exenciones de 3DS.
Si ya utilizas Stripe, es posible que tengas que comprobar tu integración para asegurarte de que 3DS sea compatible.
Te recomendamos que utilices los números de tarjeta de prueba de Stripe para comprobar que tu integración funciona con 3DS. Puedes obtener más información sobre las pruebas en nuestra documentación.
Ni la API Charges ni la API Orders admiten 3D Secure 2. Por ello, si tu cuenta utiliza estas API heredadas, los pagos con tarjeta de crédito fallarán. Te recomendamos encarecidamente que migres a la API Payment Intents lo antes posible para evitar errores en los pagos.
Tendrás que asegurarte de que tu integración pueda gestionar el estado requires_action para pedir a tus clientes que autentiquen sus pagos. Es posible que tengas que actualizar tu integración para gestionar la autenticación de tarjetas.
Además, si finalizas los pagos en el servidor, debes tomar más medidas para mostrar el flujo de autenticación 3DS del lado del cliente. Consulta esta guía para obtener más información.
Tendrás que actualizar a la versión 2019-03-14 o a una versión posterior de la API, o bien utilizar el parámetro payment_behavior tal y como se describe en esta guía para asegurarte de que los pagos iniciales de las suscripciones de tus clientes estén autenticados.
Si utilizas Stripe a través de una integración de terceros o de una plataforma de terceros, tendrás que consultarlo directamente con ellos para saber si están preparados.
Prepárate para las preguntas de tus clientes sobre 3DS. Además, si es necesario, asegúrate de que cualquier contenido de soporte necesario para tus clientes describa el requisito de 3DS.
Stripe Radar ayuda a prevenir el fraude analizando los datos de pago de más de un millón de empresas de todo el mundo y detectando y bloqueando los pagos fraudulentos. Radar utiliza machine learning para realizar evaluaciones de riesgo basadas en cientos de señales, como el tipo de tarjeta, el país de uso, el dispositivo y el comportamiento. Stripe ofrece tres reglas de Radar predeterminadas que solicitan 3DS de forma dinámica. Al configurar estas reglas en el Dashboard, se puede solicitar otra autenticación a los clientes cuando su empresa de emisión de tarjetas requiera 3DS.
Con Radar for Fraud Teams, que permite la configuración de reglas personalizadas, las empresas pueden adaptar su propia configuración exclusiva de gestión de riesgos para 3DS. Las solicitudes de 3DS pueden realizarse en función de los niveles de riesgo o de metadatos específicos, lo que ayuda a evitar el bloqueo excesivo de pagos legítimos, reducir la tasa de rechazo de pagos y maximizar los ingresos.
El uso de Radar puede ayudar a mitigar la pérdida de conversión al tiempo que permite adoptar medidas antifraude basadas en el riesgo. Además, Radar puede utilizarse para realizar el análisis de riesgos necesario para los pagos iniciados por el cliente con tarjetas guardadas.
Las transacciones en las que se usa una tarjeta física en persona están fuera del ámbito de aplicación.
No se cobra una multa, pero puede abrirse una investigación al comerciante a través de Stripe o de la entidad adquirente, que puede ordenar al comerciante que adopte las medidas de seguridad necesarias si no ha tomado las medidas adecuadas para evitar el uso fraudulento y proteger los números de las tarjetas de crédito. Si, pese a estas instrucciones, el comerciante no adopta las medidas de seguridad, es posible que se cancele su onboarding como comerciante.
En la mayoría de los casos, no hay más comisiones por 3DS. Sin embargo, si tu cuenta tiene un plan de tarifas personalizado, es posible que incurras en comisiones por cada intento de 3DS.
Si utilizas Stripe a través de un plugin o integración de terceros, es posible que tengas que realizar cambios para cumplir con los nuevos requisitos de 3DS. Las medidas exactas dependerán de la implementación de tu proveedor externo. Te recomendamos que contactes con tu proveedor externo o plugin lo antes posible para confirmar que se estén preparando para estas normativas y para conocer cualquier actualización que debas realizar por tu parte.