Directiva de Servicios de Pago (PSD2)
y Autenticación Reforzada del Cliente (SCA)

Información importante para los hoteles

Autenticación Reforzada del Cliente

El próximo 14 de septiembre de 2019 entrará en vigor en el EEE la autenticación reforzada de clientes (SCA por sus siglas en inglés) como parte de la segunda directiva sobre servicios de pago (PSD2). Deberás cumplir con la nueva directiva para poder procesar los pagos online de tus huéspedes.

¿Te parece complicado? A continuación te explicamos las novedades de esta ley y lo que conlleva para tu negocio y tus clientes.

la directiva PSD2

¿Cuál es el objetivo de la directiva PSD2?

La intención es que gracias a la PSD2 se reduzca el fraude en línea, se proteja mejor la seguridad de los consumidores y se garantice la igualdad de oportunidades para los proveedores de pagos alternativos. Esta directiva requerirá que los proveedores de servicios de pago (PSP) como bancos, emisores de tarjetas y productos tecnológicos realicen un número significativo de cambios en las operaciones ya existentes, además de afectar a todas las personas que pagan o reciben pagos por Internet, como las agencias de viaje online (OTA), los motores de reservas y los sistemas de gestión hotelera (PMS).


¿Qué es la SCA?

¿Qué es la SCA?

La autenticación reforzada del cliente (SCA) forma parte de la segunda directiva sobre servicios de pago (PSD2) y es un proceso más estricto de autenticación para validar los pagos en línea. Esta normativa se aplicará cuando tanto el banco emisor como el banco adquirente (la entidad a la que se transferirán los fondos) estén ubicados en el Espacio Económico Europeo.

Para cumplir con la PSD2 y aprobar casi todos los pagos en línea, los consumidores tendrán que completar la SCA a través de un proceso de autenticación de dos factores (2FA) que incluya uno de los siguientes datos:

  • Algo que solo conozca el huésped, como un código PIN o una contraseña.
  • Algo que solo posea el huésped, como una tarjeta de crédito física o un teléfono móvil.
  • Una característica única del huésped (datos biométricos) como el reconocimiento facial, las huellas dactilares o un escaneo del iris.


ALGO QUE SOLO
EL CLIENTE CONOCE

(p. ej.contraseña o código PIN)

ALGO QUE SOLO
EL CLIENTE POSEE

(p. ej. teléfono o dispositivo de autentificación)

UNA CARACTERÍSTICA
ÚNICA DELCLIENTE

(p. ej. huella dactilar o reconocimiento facial)



La SCA se aplica mediante un proceso llamado 3D Secure (3DS), y se trata de una serie de normas que mejoran la protección de comerciantes y clientes en los pagos en línea. 3DS se utiliza cuando el banco del titular de la tarjeta necesita confirmar que la persona ha iniciado legítimamente la transacción. Este proceso está siendo perfeccionado con el desarrollo del 3DS2.


SCA hoteleros

¿Cómo afecta la autenticación reforzada del cliente a huéspedes y hoteleros?

La nueva directiva sobre servicios de pago conllevará consecuencias en todo el sector de la distribución hotelera y de viajes, especialmente para las reservas de «hotel collect». Puesto que la SCA requiere dos pasos de autenticación, muchas transacciones hoteleras se verán afectadas, tanto durante el período anterior a la estancia (desde que los huéspedes reservan hasta que llegan al establecimiento) como durante el período posterior a su partida.

Antes de la llegada de la PSD2 bastaba con que una agencia de viajes en línea (OTA) o un motor de reservas por internet (IBE) guardase los datos de la tarjeta de crédito como garantía de la reserva, sin necesidad de realizar una autenticación para confirmar los datos de la tarjeta de la persona que los introducía.

Todo esto cambia con la llegada de la PSD2.

A partir del 14 de septiembre de 2019, las OTA y los motores de reserva deberán realizar la SCA cuando guarden los datos de la tarjeta de los clientes, sin importar que paguen en el momento de la reserva o en otro momento (pagos por adelantado, cancelaciones o cargos por no presentarse).Para que la transacción con tarjeta pueda completarse durante una transacción iniciada por el comerciante (MIT), los datos de la tarjeta del cliente junto con una prueba de haber realizado la autenticación reforzada deben transferirse a través de la red de intermediarios compuesta por OTA, motores de reserva y pasarelas de pago. Esto significa que el pago por Internet corre el riesgo de no procesarse si los datos de la tarjeta se han guardado sin realizar la SCA y la prueba de haber realizado la SCA no está disponible en el momento de realizar el abono en la tarjeta.


¿Quieres saber cómo pueden prepararse los hoteles para cumplir con la SCA?

Aunque los proveedores de servicios de pago (PSP), como los bancos y las pasarelas de pago tengan que facilitar el proceso de autenticación para los consumidores que realicen pagos en línea, los hoteles reciben un volumen considerable de pagos y transacciones. Te recomendamos que evalúes los procesos de pago de tus huéspedes para evaluar el impacto de la SCA en tu negocio. A continuación encontrarás algunos ejemplos:

Pagos durante la reserva: pago total o parcial en el momento de reservar.
  • Asegúrate de que tus pasarelas de pago puedan autenticar de forma segura la tarjeta del huésped cuando este realiza un pago por Internet.
  • Las OTA pueden realizar la SCA para las reservas que entren a través de sus canales. Asegúrate de que tus agencias de viaje online envían la prueba de haber realizado la autenticación reforzada junto con los datos de la tarjeta y así evitarás frustraciones en las etapas siguientes de cobro.
  • Averigua si tus OTA te enviarán una tarjeta de crédito virtual para habilitar las transacciones, ya que estos pagos están exentos de la SCA.
Pagos por adelantado: (antes de la fecha de llegada, cargos por cancelación o por no presentarse).
  • Las transacciones iniciadas por el comerciante (MIT) que utilicen datos de tarjetas ya registradas están en teoría exentas de la SCA. Sin embargo, si la autentificación reforzada no se llevó a cabo en el momento de guardar los datos de la tarjeta y no se transmite una prueba de la SCA al proveedor del pago, podrías encontrarte con dificultades para cobrar más tarde cuando no dispongas de la tarjeta. Para asegurarte de poder procesarlos, te aconsejamos cobrar a los huéspedes en el momento de la reserva, incluyendo fianzas, cargos por cancelación y por no presentarse.
Liquidaciones de pago a la salida del huésped: gastos no abonados, consumiciones del minibar del servicio de habitaciones o cualquier tipo de incidente.
  • Liquida los pagos con la tarjeta bancaria del huésped de forma presencial con el uso del código PIN.
Pagos tras la salida del huésped: por abandonar el establecimiento sin pagar, gastos del minibar no abonados o cualquier daño que la propiedad pueda sufrir.
  • Corres el riesgo de no poder procesar estos pagos con una tarjeta ya registrada. Te recomendamos que cuando registres la entrada del huésped realices en su presencia una autorización previa de abono por el importe total de la estancia completa y una fianza por daños (p. ej. usando el código PIN). Así podrás cobrar el cargo en la tarjeta a posteriori si fuera necesario.

¿Te quieres preparar para la SCA pero no sabes por dónde empezar?

Mira este vídeo para conocer todos los detalles sobre la regulación SCA de la PSD2 y cómo afecta a tu hotel.

También puedes descargarte esta guía sobre la SCA elaborada por nuestros expertos para que siempre tengas la información a mano.

Descárgate nuestra guía

 

¿Qué hará SiteMinder para cumplir con la SCA?

Los pagos a través de nuestro motor de reservas (TheBookingButton) cumplen con la SCA para los pagos por Internet en el momento de la reserva en los mercados en los que está disponible nuestra solución de pagos integrada de SiteMinder. Tenemos previsto ampliar la cobertura de nuestra solución de procesamiento de pagos en el EEE en 2020.

El Channel Manager de SiteMinder estará totalmente adaptado a los nuevos procesos de pago de la SCA de la PSD2, incluyendo la posibilidad de utilizar tarjetas de crédito virtuales como hemos hecho hasta ahora. Además, nuestro channel manager ya está listo para recibir el registro de la SCA de los canales de reserva y lo enviará a un PMS conectado, junto con los datos de la tarjeta del huésped. Cuando nuestros socios de conectividad tengan la capacidad de enviar el registro de SCA, estaremos listos.

Contacto

Preguntas frecuentes

La directiva de servicios de pago II (PSD2) hace referencia a las nuevas regulaciones para adaptar los estándares de pago del EEE con el fin de mejorar la seguridad de los pagos tanto para comerciantes como para consumidores. La normativa está enfocada a controlar el aumento del fraude, especialmente cuando el titular de la tarjeta no se encuentra presente durante la transacción en presencia del comerciante (p. ej. un cliente que pague en línea).

La autenticación reforzada del cliente (SCA) es una parte fundamental de la segunda directiva sobre servicios de pago (PSD2) y entrará en vigor el 14 de septiembre de 2019.

La autenticación reforzada de clientes exige que se confirme que el cliente que inicia un pago en línea está legítimamente autorizado a proceder con la transacción. P. ej. un comerciante por Internet, como tú mismo, debe autentificar que un cliente que quiere hacer una reserva es el titular de la tarjeta de crédito. Esta autentificación suele estar integrada en un proceso de pago en línea y exige dos o más de los siguientes elementos:

  • Algo que solo la persona conoce (por ejemplo, un código de acceso)
  • Algo que solo la persona posee (por ejemplo, un teléfono)
  • Una característica que solo pueda ser de la persona (por ejemplo, una huella dactilar/escaneo de iris)
  • La SCA se aplica mediante un proceso llamado 3D Secure (3DS). 3DS se aplica para que el banco del titular de la tarjeta confirme que la persona puede poner en marcha una transacción (normalmente mediante el envío de un código al móvil del titular de la tarjeta). Este proceso ha sido perfeccionado con la introducción de 3DS2 que minimiza su efecto sobre la experiencia del huésped en línea.

Es importante entender cada uno de los pasos afectados en el proceso de pago para poder cumplir con la normativa. Los siguientes puntos te orientarán sobre las etapas que deben cumplir con la PSD2:

  • Pagos durante la reserva: ya sean totales o parciales, podrán necesitar la SCA en presencia del usuario conectado.
  • Pagos por adelantado: ya sean antes de la fecha de llegada, cargos por cancelación o por no presentarse.
  • Liquidaciones de pago a la salida del huésped: gastos no abonados, consumiciones del minibar del servicio de habitaciones o cualquier tipo de incidente.
  • Pagos tras la salida del huésped: por abandonar el establecimiento sin pagar, gastos del minibar no abonados o cualquier daño que la propiedad pueda sufrir.

Un desafío al que se enfrentan los hoteles es que cuando los huéspedes introduzcan los datos de su tarjeta por Internet al realizar una reserva, los datos se almacenen como tarjeta registrada para permitir al hotelero procesar el pago más adelante, p. ej. cuando el huésped no esté conectado. Esto provocará que el pago real de la fianza, los gastos no abonados, los extras, los cargos por cancelación o por no presentarse no puedan procesarse por no encontrarse presente el huésped para completar la SCA (las tarjetas registradas puedan ser rechazadas por el banco emisor por no haber completado la autenticación reforzada). Para evitar incidencias con estos pagos, asegúrate de almacenar los datos de la tarjeta de crédito del huésped por medio de un método que cumpla con la normativa y guarda una autorización previa del huésped declarando que se le pueda cobrar a posteriori.

A continuación encontrarás las formas de pago que deberán cumplir con la PSD2:
  • Los productos tecnológicos como un motor de reservas o un PMS que cuentan con una pasarela de pago por Internet.
  • Transacciones a través de un terminal punto de venta (POS por sus siglas en inglés) con un código PIN que el usuario debe introducir junto con la tarjeta.
  • Pagos con Apple Pay, ya que exigen el teléfono móvil del usuario y su huella dactilar o reconocimiento facial.

Para reducir el fraude bancario se ha incrementado la presión para que los hoteles cambien la forma en la que reciben los pagos. Con la implementación de la autenticación reforzada del cliente, el mayor riesgo para tu negocio es que las transacciones que no cumplan con las exigencias sean rechazadas y te arriesgues a sufrir pérdidas en las conversiones de reservas, en la ocupación y en los ingresos. También existen posibles complicaciones a la hora de gestionar las cancelaciones o los que no se presentan, puesto que normalmente estas transacciones se cobraban con la tarjeta que estaba registrada de antemano y estos cobros ya no serán posibles.

El sector hotelero está trabajando sin descanso para cumplir con los requisitos de la SCA y SiteMinder trabaja mano a mano con socios comerciales como las agencias de viaje online (OTA), sistemas de gestión hotelera (PMS) y pasarelas de pago para que nuestros productos cumplan con todas las normativas.

La PSD2 y la SCA son beneficiosas para los consumidores, tus huéspedes y tu negocio. A pesar de que al principio puedas encontrarte con algunas repercusiones en las conversiones, las ventajas superarán con creces los inconvenientes que sufras a corto plazo.

Para superar estos obstáculos, hasta que el sector hotelero se haya puesto al día y cumpla con los requisitos, plantéate poner a disposición procesos de pago exentos de la autenticación reforzada o maneras de facilitarla y registrarla. Algunas opciones alternativas pueden ser:

  • Procesar los pagos en persona, cuando se pueda utilizar la tarjeta de crédito física con el código PIN
  • Cobrar los pagos por adelantado a través de tu motor de reservas, para minimizar el riesgo de que no se puedan cobrar las tarjetas registradas
  • Distribuir tu inventario a través de agencias de viaje online que emitan tarjetas virtuales, ya que están exentas de la normativa

Las principales transacciones exentas de la SCA son:

  • Transacciones de poco valor: cualquier transacción por debajo de 30 € puede estar exenta de la autenticación reforzada. Sin embargo hay un límite de 5 transacciones consecutivas o a un límite acumulativo de 100 €. Una vez que se hayan alcanzado estos límites, se requiere la autenticación en dos pasos.
  • Listas de confianza: una vez que la autenticación reforzada confirme la primera compra, un usuario puede incluir a un comerciante en su lista de confianza para que las siguientes transacciones no requieran la SCA. Para que esta funcionalidad se habilite los comerciantes deben implementar el 3DS2 (ver glosario).
  • Pagos corporativos y tarjetas de crédito virtuales: las tarjetas de crédito corporativas que no figuran a nombre del titular de la tarjeta y las tarjetas de crédito virtuales están exentas de la SCA.
  • Las transacciones iniciadas por el comerciante (MIT por sus siglas en inglés): los pagos abonados con tarjetas registradas cuando el cliente no está presente en el proceso de pago (si está desconectado o «fuera de sesión») se pueden considerar como iniciados por el comerciante. Estos pagos en teoría están exentos de cumplir con la SCA, pero en la práctica, un comerciante que inicia una transacción está solicitando una exención, y como cualquier exención, la entidad bancaria decidirá si se concede.

Transacciones de solicitud por correo y solicitud telefónica (MOTO por sus siglas en inglés): este tipo de transacciones están exentas porque en la actualidad es muy difícil usar la autenticación de dos factores por teléfono, fax o correo.

Las OTA pueden realizar la SCA al registrar las tarjetas durante el proceso de reserva.

Suponemos que, de aquí al 14 de septiembre de 2019, las OTA comunicarán a sus clientes y socios cómo van a implementar la directiva PSD2. Prevemos que muchas agencias de viaje online dirigirán a sus socios del EEE a modelos de pago como «OTA collect» y proporcionarán una tarjeta de crédito virtual (VCC) en lugar de dar los datos de la tarjeta del cliente a los operadores de alojamientos. Las tarjetas de crédito virtuales están exentas de la SCA, por lo que puede ser una alternativa viable.

Te recomendamos que te pongas en contacto con tus agencias de viaje online asociadas para asegurarte de que están trabajando con los proveedores de pagos y que cumplirán con la normativa desde el 14 de septiembre.

La autoridad financiera del Reino Unido (Financial Conduct Authority en inglés) ha ratificado que habrá una fase de implementación de 18 meses de la SCA en el Reino Unido a partir del 14 de septiembre 2019. Esto significa que esta institución no tomará medidas de ejecución con los proveedores de pago en el Reino Unido si no cumplen con la autenticación reforzada a partir del 14 de septiembre de 2019. Sin embargo se supone que a partir del período de 18 meses se tendrá que cumplir con la SCA. Es más, es el banco emisor de la tarjeta el que decidirá si acepta o rechaza un cobro si el titular de la tarjeta no se encuentra en el Reino Unido, p. ej. un huésped que viaje a otro país de la UE, con lo que se corre el riesgo de que el cobro de estos huéspedes se rechace si no cumple con los requisitos de la SCA.

Solo estás sujeto a estas regulaciones si tu establecimiento se encuentra en uno de los países del Espacio Económico Europeo (EEE). La autenticación reforzada se aplicará solo cuando tanto el banco emisor como tu banco estén ubicados en el Espacio Económico Europeo.

Sin embargo se espera que se implementen otras directivas parecidas a la PSD2 en todo el mundo durante los próximos años.

Puedes encontrar más información sobre la PSD2 y la SCA en los siguientes enlaces (en inglés):

Ponte en contacto con tus proveedores de servicios de pago y pregúntales qué están haciendo para cumplir con la normativa a partir del 14 de septiembre.

Glosario

PSD2 la directiva sobre servicios de pago II se ha instaurado para unificar y crear un mercado único de pagos dentro de la UE.
SCA la autenticación reforzada del cliente forma parte de la segunda directiva sobre servicios de pago (PSD2) para mejorar la seguridad y reducir el fraude en los pagos en línea.
3DS (también llamado 3D Secure): el proceso de autentificación utilizado por el banco emisor de la tarjeta para confirmar que la persona ha iniciado legítimamente la transacción. Se suele enviar un código al teléfono móvil del cliente para confirmar la transacción antes de procesar de pago.
3DS2 la versión mejorada del proceso de 3DS que ofrece una experiencia más sencilla para el cliente. Es la nueva normativa para los que los proveedores cumplan con la PSD2.
UE Unión Europea, constituida por 28 estados miembros.
EEE Espacio Económico Europeo, compuesto por los países de la UE, Noruega, Islandia y Liechtenstein.
SEPA (Zona Única de Pagos en Euros): iniciativa de la autoridad bancaria europea que engloba un conjunto de normas, servicios e infraestructura de pagos en Europa.
MIT transacciones iniciadas por el comerciante (MIT por sus siglas en inglés) cuando el comerciante intenta cobrar el pago en nombre del cliente sin encontrarse este presente.
VCC (tarjetas de crédito virtuales): las tarjetas de crédito virtuales (VCC por sus siglas en inglés) son unos números de tarjetas de crédito (VCN) que se usan para comprar por Internet y en general son válidos para una sola transacción.
MOTO transacciones de solicitud por correo y solicitud telefónica, realizadas sin la presencia del titular de la tarjeta para procesar un pago (MOTO por sus siglas en inglés).
OLO (one leg-out en inglés): transacciones con un PSP fuera de la UE que se dan en los siguientes casos:
  • El emisor de la tarjeta está de fuera de la UE
  • El banco del cliente está fuera de la UE (p. ej. en transferencias bancarias)
  • El comerciante no se encuentra en la UE

Send this to a friend