Un año después de la psicosis con la ley GDPR ha llegado una nueva legislación importante para aquellos que operan en la UE / EEA y que está a punto de ver la luz por cortesía de la encantadora gente de Bruselas. Pero esta vez, se trata de una oleada de nuevas medidas de seguridad al mundo de los pagos online y al mismo tiempo alentar la competencia entre los proveedores (ambas cosas positivas para todos). Y, redoble de tambores: Lleva el nombre de otro acrónimo atractivo: PSD2.
Antes de empezar y ponernos al día, ¿cuál es la fecha límite?
14 Septiembre 2019
Recuérdelo. Escríbelo en una servilleta. Escríbelo en tu Asana. Pégalo en tu calendario. Hazte un tatuaje...
Índice de contenidos
¿Qué es PSD2?
El cambio afectará potencialmente a los hoteleros cada vez que cobren a los huéspedes sin que estén físicamente presentes (es decir, en reservas online, depósitos antes de la estancia, tarifas de cancelación, no presentación, etc.).
En pocas palabras: los vendedores en línea ahora requerirán autenticación forzada, o la autenticación reforzada del cliente (SCA) que requiere autenticación de dos factores (2FA) para ser confusamente precisa en la mayoría de los pagos de los clientes. La idea básica es que, a partir de septiembre, las personas que compren artículos deberán proporcionar dos formas de verificación al realizar transacciones online: por ejemplo, ingresar un código desde su teléfono móvil u otro dispositivo conectado como un dispositivo portátil; una exploración biométrica; o un PIN separado.
En la práctica, eso significa un paso adicional en la experiencia de reserva online para los huéspedes. Eso implica más fricción al pagar. Y en resumen, eso equivale a una posible caída en las conversiones de pago para su negocio si el invitado no se autentica.
¿Cuánto podría afectar esto a su negocio? Es difícil de decir, pero una consecuencia reciente fue cuando India introdujo la autenticación en 2014. Las empresas de comercio electrónico vieron una caída del 25% en los negocios online de la noche a la mañana. Es cierto que una reserva de viaje es una compra mucho más comprometida que un nuevo bikini para el verano, por lo que la caída debería ser menor. Además, las cosas volverán a la normalidad semanas o meses después del 14 de septiembre, como sucedió en la India. Sin embargo, habrá un cambio sustancial, por lo que todos debemos hablar más sobre ello.
Siguientes pasos para hoteleros
La principal preocupación, y válida, es perder negocios debido a la fricción adicional de los pasos añadidos que exige la autenticación. Después de todo, el 20 por ciento de todos los pagos en línea actualmente autenticados a través de la solución SCA más frecuente que ya existe: 3D Secure (esa caja extra familiar pero molesta de proveedores de tarjetas con la marca "MasterCard SecureCode", "VISA Secure", "American Express SafeKey" etc.) se pierden.
La buena noticia es que 3DS está alcanzando una actualización con nombre creativo. 3DS2. Esto debería facilitar las cosas nuevamente (Ver apéndice para más detalles).
La mala noticia es que todavía está muy lejos y nadie necesita 12-18 meses de incertidumbre. Así que aún tendremos que usar la versión anterior.
Aquí es donde entra Mews (En... redoble de tambores. 14 de Septiembre de 2019).
¿Cómo pensamos abordar PSD2 en Mews?
En resumen: vamos a enviar un correo electrónico de verificación a algunos (no a todos) de sus invitados para verificar los pagos. Francamente, esta es la única solución que existe. Hasta que el mercado se ponga al día.
¿Cuántas de sus reservas se verán afectadas con ese correo electrónico? Es difícil decirlo con certeza, pero para darle una idea, Stripe cree que solo el 44% de las empresas podrían estar listas para la fecha límite de septiembre y eso se aplicará a los canales que use.
Alejémonos un poco - hay dos métodos principales para que los pagos en línea lleguen a su propiedad:
- Tomar reservas directas: ya sea a través del motor de reservas Mews o de su propia solución de reserva directa, los datos de la tarjeta del huésped se almacenan de forma segura en el PMS.
- Tomar reservas a través de una OTA: pueden suceder dos cosas; la OTA pasa los detalles de la tarjeta del cliente, que luego se almacenan de forma segura en el PMS, o la OTA emite una tarjeta virtual sin enviar los detalles de la tarjeta del cliente.
SOLAMENTE actuamos sobre cualquier pago en el que los datos de la tarjeta del cliente se transmitan al PMS. En estos casos, cuando un cliente hace una reserva, y de acuerdo con las reglas de liquidación de la propiedad, intentamos cargar la tarjeta.
Esto activa instantáneamente el envío automático de una solicitud al banco emisor para que cargue la tarjeta. Si el banco emisor no admite 3DS, la tarjeta de crédito se carga como de costumbre.
Si recibimos una respuesta del banco de que se requiere 3DS, enviaremos automáticamente un correo electrónico de 3DS al cliente. Todo esto sucede al instante para que no tenga que preocuparse por eso. Solo queríamos explicárselo al detalle.
Correo electrónico para aprobar los pagos con tarjeta
Para aquellos que necesitan ser verificados, el cliente recibirá un correo electrónico de Mews y deberá aprobar los detalles de su tarjeta de crédito usando 3D Secure. Ejemplo del correo electrónico:
El cliente hace clic en el botón "Verificar pago" y será redirigido a la aplicación web Mews Navigator. Aquí, mostraremos información detallada sobre la reserva y el pago.
El botón "Verificar pago" activa 3D Secure. Una vez que se completa, almacenamos el identificador de este "acuerdo" y lo usamos para cualquier transacción posterior por parte del titular de la tarjeta en el futuro.
Apéndice
La segunda versión de la Directiva de servicios de pago de la Unión Europea (PSD2) cambia las reglas del juego en el panorama de los pagos europeos. Los bancos deberán abrir sus sistemas al mundo y permitir que terceros presten servicios financieros además de los datos y la infraestructura de los bancos. En la práctica, eso significa que los bancos ya no competirán solamente con otros bancos sino con cualquier persona que tenga una licencia para ofrecer servicios financieros. ¡Bienvenida competencia!
En términos generales, eso significa que Google y Facebook ahora podrían unirse a la fiesta de los pagos. Por tanto, en el futuro los clientes podrán usar Google o Facebook como canal principal para realizar y recibir pagos mientras tengan dinero depositado en sus cuentas bancarias.
Autenticación reforzada (SCA)
Uno de los requisitos de PSD2 es brindar más seguridad al mundo de los pagos en línea. Actualmente, los clientes simplemente proporcionan un número de tarjeta de crédito y un código de verificación de tarjeta (CVC) al comerciante en una página de pago e inician el pago.
En la era de PSD2, se requerirá más información y casi todos los pagos en línea deberán estar asegurados con Strong Customer Authentication (SCA).
SCA requiere la aplicación de al menos dos de tres factores para autenticar al cliente:
-
Algo que el cliente sabe (por ejemplo: contraseña, frase de contraseña, PIN, etc.).
-
Algo que el cliente posee físicamente (por ejemplo: teléfono móvil, dispositivo portátil, tarjeta inteligente, etc.).
-
Algo que es el cliente (por ejemplo: huella digital, rasgos faciales, patrones de voz, etc.).
The fall and rise of 3D Secure
Hay una variedad de herramientas de autenticación que cumplen con los requisitos de SCA y una de las más conocidas es 3D Secure. 3D Secure se introdujo en 2001 y está siendo utilizada por todas las principales tarjetas bajo sus propias marcas: "MasterCard SecureCode", "VISA Secure", "American Express SafeKey", etc.
En un ejemplo de flujo de pago 3D Secure, el titular de la tarjeta ingresa los detalles de su tarjeta y confirma un pago. Se desencadena una redirección a otra página y luego se requiere que el titular de la tarjeta apruebe el pago mediante un código único o cualquier otro tipo de contraseña. Estos valores solo los conoce el titular de la tarjeta y el banco emisor, lo que aumenta el nivel de seguridad. Una vez que el código o contraseña es validado por el banco del cliente, el pago está "fuertemente autenticado".
3D Secure también brinda beneficios para los comerciantes, siendo el más importante lo que se llama un cambio de responsabilidad. Si un pago se autenticó con 3D Secure, la responsabilidad por pagos fraudulentos se transfiere del comerciante al banco emisor.
Desafortunadamente, la experiencia del cliente 3D Secure claramente viene con mucha más fricción. Por lo tanto, para hacerlo más fluido, se ha introducido una versión actualizada de 3D Secure: 3D Secure 2. En pocas palabras, aporta más elementos de datos en el procesamiento de cada pago. El banco del titular de la tarjeta puede decidir con mayor eficacia si 3D Secure debe ser requerido o no en función de sus propios procedimientos de detección de riesgos.
Desde la perspectiva de la experiencia del cliente, también se agregarán nuevas opciones de autenticación. Por ejemplo, podrá usar su teléfono móvil y autenticar pagos con huella digital o reconocimiento facial. Tampoco habrá necesidad de una redirección a otra página; el marco 3D Secure se podrá incrustar directamente en el sitio web o la aplicación móvil del comerciante. Sin embargo, 3DS2 probablemente se implementará correctamente en 2020-2021, por lo que habrá que esperar.
¿Cuál será el impacto de PSD2 en la industria hotelera?
El escenario típico en la hostelería cuando se trata de pagos en línea es:
- El cliente crea una reserva utilizando el motor de reserva directa / OTA y proporciona detalles de la tarjeta de crédito.
- Los detalles de la tarjeta de crédito se almacenan de forma segura dentro del PMS.
- Según las reglas de liquidación de propiedad, el pago se activa en nombre del cliente (= Transacción iniciada por el comerciante - MIT)
En la mayoría de los casos, no se requiere ninguna autenticación por parte del titular de la tarjeta. Esto va a tener que cambiar para la era PSD2; de lo contrario, el banco del titular de la tarjeta rechazará estos pagos.
Espera… ¿Qué?
Primero, se debe establecer un acuerdo para futuros cargos entre el titular de la tarjeta y la propiedad. Dicho acuerdo debe obtenerse a través de un pago único autenticado por SCA. En segundo lugar, cualquier cargo en el futuro se procesará como MIT con la referencia a este acuerdo "autenticado por SCA".
¿Hay plazos para PSD2 en Europa?
La fecha límite es el 14 de septiembre de 2019. A partir de esta fecha, los bancos de la UE / EEE rechazarán los pagos que no cumplan con los requisitos de SCA (hipotéticamente).
¿Significa que todos los pagos sin SCA serán rechazados?
No. En ciertos casos, SCA puede no ser requerida debido a exenciones. Estas exenciones son:
-
Para una transacción de menos de 30€, hasta 100€ acumulados o hasta 5 transacciones desde la última SCA. Más allá de 100€ o más de 5 transacciones no autenticadas, se requiere un nuevo SCA.
-
Pagos recurrentes (por ejemplo, suscripción mensual al servicio).
-
Pago a un beneficiario confiable: el cliente marcó al comerciante como confiable.
-
Comerciantes de bajo riesgo: comerciantes con un nivel muy bajo de relación de devolución de cargo.
-
Transacción iniciada por el comerciante (MIT): la transacción se inicia en nombre del cliente sin la necesidad de ninguna autenticación adicional.
-
MO / TO: el titular de la tarjeta proporcionó los datos de la tarjeta de crédito por correo electrónico o por teléfono.
-
Pagos corporativos: pagos con tarjetas de crédito virtuales o cualquier otro tipo de tarjeta que tengan los agentes de viajes en línea.
Por favor, ten en cuenta que el máximo responsable de la toma de decisiones si se requiere SCA o no es el banco del titular de la tarjeta. Es posible que aún se requiera SCA aunque el pago esté calificado para cualquiera de estas exenciones mencionadas anteriormente.
¿Hay vida después de PSD2?
Se espera que PSD2 tenga un gran impacto en la industria de pagos. Las empresas en Europa deberán modificar la forma en que procesan dichos pagos para mantenerse en la cima en la era posterior a la PSD2.
Es importante destacar que también habrá un impacto en los clientes. Se introducirán flujos de pago modificados y los clientes deberán aprender a usarlos. Esperamos ver una caída en la tasa de éxito del pago durante los primeros meses pero a largo plazo, la industria se beneficiará de esta nueva regulación debido a los menores costes, mayor seguridad y mejor experiencia por parte del usuario, por nombrar solo algunas ventajas.
No temas, Mews está siguiendo TODAS las actualizaciones alrededor de SCA a diario para asegurarse de poder ofrecer el mejor servicio en su clase para nuestros clientes a partir del 14 de septiembre de 2019.
Autora
Mews
7 maneras de optimizar las operaciones de tu hotel independiente
Descargar ahora
Las últimas novedades del sector hotelero directamente en tu bandeja de entrada
Suscríbete a nuestro newsletter mensual para recibir información sobre el sector, novedades de nuestros productos, noticias de nuestros socios y mucho más.