2016 Libro Blanco Medios Pago para Web PDF
2016 Libro Blanco Medios Pago para Web PDF
2016 Libro Blanco Medios Pago para Web PDF
BLANCO
DE INNOVACION
EN MEDIOS DE PAGO
PARA ECOMMERCE
LIBRO BLANCO
DE INNOVACIÓN
EN MEDIOS DE
PAGO PARA
ECOMMERCE
Prólogos 8
MEDIOS DE PAGO TRADICIONALES 13
1
#1. Tipologías: transferencia, contra reembolso, débito, crédito, PayPal 13
#2. Tarjetas, características, comisiones para eCommerce 17
#3. Medios de pago habituales en España 22
#4. Medios de pago internacionales 24
#5. Pasarelas de pago 28
PASARELAS DE PAGO EN ECOMMERCE 33
2
#1. Integración tecnológica de las pasarelas de pago 34
#2. Qué es el «ratio de abandono» y cómo disminuirlo 43
#3. Gestión del riesgo y control del fraude online 46
#4. La seguridad de los datos personales de la Industria de Tarjetas de Pago: PCI DSS 55
SEGURIDAD EN EL PAGO CON TARJETA 59
4
#1. PayPal en eCommerce 101
#2. Internacionalización 107
#3. Seguridad y control del fraude 111
#4. Pagos móviles y apps para móvil 114
#5. El reto offline de PayPal 117
MOBILE COMMERCE 121
5
#1. Carrier Billing 122
#2. Pagos con el móvil 127
#3. Pago mediante códigos de barras y QRS 129
#4. Pagos NFC con la SIM como elemento seguro 131
#5. Pagos NFC con Host Card Emulation 136
#6. Apple Pay 140
INNOVACIÓN Y NUEVAS TENDENCIAS EN MEDIOS DE PAGO 145
6
#1. Nuevos actores 145
#2. Pagos en entornos no bancarizados 148
#3. Monedas virtuales: Bitcoin 156
Publixed
E-mail: [email protected]
www.publixed.com www.libreriapublixed.com
Director editorial
Con la colaboración de
Ingenico
Oscar Martínez Tomé
Head of Sales Spain & Portugal
Joaquín Diaz de Terán
Sales Manager Spain & Portugal
ING Direct
Ana María Fernández-Polo García
Payments Strategy
David Manuel García Asín
Payments Strategy
Snap
Pablo Nebreda Cespedosa
Director de Marketing
PayPal
Raimundo Sala Albert
General Manager
Amuda Goueli,
CEO de Destinia
Destinia nació con Internet, convencidos de que la Red traería una nueva forma de
hacer y entender los negocios. Y así ha sido. Una revolución a la que ni la industria
financiera ha podido escapar: el dinero en metálico se va desvaneciendo y la innovación
llega a golpe de bit. Las monedas virtuales y los nuevos actores en escena como Google
o Apple están forzando una desintermediación inédita del sistema financiero. Si a estas
premisas sumamos nuestro innato espíritu provocativo, se entiende que decidiéramos
sumarnos al bitcoin. Una moneda virtual pensada para el comercio electrónico del siglo
XXI: sin fronteras, segura, sencilla, cómoda y sin comisiones. Es cierto que el bitcoin es
aún un mercado volátil, de nicho, y que despierta muchos interrogantes, pero en parte
lo es porque se le sigue juzgando con la mentalidad y los ojos del presente y no con una
visión de futuro. Y en el futuro los medios de pago serán diferentes. Se llamará bitcoin
o no, pero las monedas virtuales serán claros protagonistas, y nosotros queremos estar
preparados para cuando ese cambio ocurra.
Hace ahora un año fuimos pioneros y abrimos una vía para el uso de una moneda
que es fácil de comprar y vender pero que entonces no era tan sencillo de gastar,
al menos en servicios de ocio y viaje. Y la acogida por la comunidad bitcoin ha
sido espectacular: tenemos clientes de casi 50 nacionalidades diferentes. Cuando
incorporamos la pasarela de pagos estimamos que tardaríamos 15 días en recibir
la primera operación en BTC, pero solo transcurrieron ¡4 horas! Un polaco compró
un paquete de vuelo+hotel por 2.197,3 miliBTC, esto es, 1.280 euros. Bitcoin ha
exigido adaptar nuestros sistemas pero también hemos recibido muchos consejos de
los usuarios para mejorar la experiencia de compra. Hoy, más del 80% de nuestra oferta
de vuelos se puede pagar con este sistema, así como hoteles, billetes de tren… Y
celebramos que la comunidad de comercios que aceptan bitcoin siga creciendo, con
nombres de la talla de Expedia, Microsoft o la propia PayPal.
El salto a bitcoin implica, sobre todo, un cambio de mentalidad. Como empresa estamos
abiertos al cambio aunque a veces lo desconocido genera miedo a la mayoría. El bitcoin
no es la primera moneda virtual ni tampoco será la última, pero ha conseguido poner
de los nervios a los sistemas centrales de países como Estados Unidos, Europa, Rusia
o China. Unos la regulan como propiedad, no como divisa, otros la prohíben.... ¡Tienen
miedo! Es cierto que como toda novedad disruptiva necesita una cierta regulación para
establecer unas garantías que redunden en una mayor confianza para el usuario. Pero
el bitcoin es, o mí me gusta creerlo así, el principio de un cambio en el que ya no hay
marcha atrás.
¡Bienvenidos!
Roberto Palencia
Director General
Foro de Economía Digital, Business School
Estamos ante uno de los momentos clave dentro de cualquier proceso basado en
negocio digital, la fase en la que todo el trabajo anterior que hemos estado preparando
junto al cliente final tiene que materializarse en una transacción económica que justifique
y sostenga el modelo de negocio que tenemos detrás, por eso es estratégico este
proceso ya que su organización será completamente diferente en función del producto o
servicio que estemos prestando, el país en el que opere el cliente online, las normativas
legales que afectan al pago y, sobre todo, a la capacidad de generación de confianza en
este momento de la compra.
Gracias a todos los profesionales y empresas que colaboran en esta edición del Libro
Blanco y que con sus experiencias cotidianas liderando la evolución de los medios de
pago nos permiten abrir este conocimiento a más comercios y clientes online cada día.
Contra reembolso
El comprador realiza el pago en el momento en el que recibe
la mercancía, lo que supone que se perciba como un método
de pago seguro para quienes no confían en las ventas por In-
ternet, ya que pueden comprobar la calidad del pedido antes
de proceder a su abono.
Tarjeta de débito/crédito
PayPal
Actualmente se presenta como una alternativa consolidada
en las formas de pago online a nivel internacional. El compra-
dor utiliza la plataforma como una cartera digital, considerán-
dolo un método seguro y sencillo, mientras que el vendedor
percibe como una ventaja la confianza que ha adquirido la
marca.
Tarjeta de crédito
Tarjeta prepago
Tarjeta virtual
Las tarjetas virtuales son un medio de pago que todavía no
se ha extendido entre los consumidores. Es muy similar a
las tarjetas prepago, ya que hay que cargarlas para poder
realizar compras, con la única diferencia que la tarjeta no es
física sino virtual, es decir, la numeración de la misma la ten-
dremos en la página web de nuestro banco donde realizamos
la operativa común.
• Sencillez de la integración.
• Soporte 24/7 en la fase de integración, puesta en
producción y despliegue. Control de los pagos desde el
Back Office, con el objetivo de tener el control total de las
transacciones pudiendo ejecutar operativas diarias de
devoluciones, cancelaciones, etc. Aceptación de diversos
tipos de transacción. Cada negocio exige diferentes
modelos de ingresos. El pago «diferido», por ejemplo,
bloquea los fondos en la tarjeta del cliente y procesa
el pago más tarde, cuando se ha hecho la entrega del
producto. El pago «pre-autorizado» permite verificar los
datos de la tarjeta en el momento de la compra, pero solo
procesa el pago cuando el importe final se ha comprobado
(muy frecuente si vendemos productos cuyo precio varía
según el peso, o hemos de comprobar los tipos de cambio
con otra moneda).
• Proceso de checkout sin costuras, a través de la
customización de las páginas de pago.
• Selección y gestión permanente de las herramientas de
prevención del fraude desde el módulo de la plataforma de
eCommerce (CVV, 3D Secure, etc.).
• Opciones avanzadas de valor añadido, como el
almacenamiento de tarjetas, la tokenización para la
seguridad y la facilidad de compras sucesivas, etc.
• Selección de medios de pago alternativos, según el
mercado target: el cliente debe poder escoger entre
cualquiera de las tarjetas de crédito o débito más comunes
y otros medios de pago alternativos como monederos
digitales, pago por banca online u otros medios de pago
locales, etc.
Formulario de pago
Opción de ¿Mis páginas de pago se ¿Las páginas de pago ¿Cuáles son mis requisitos
integración alojan en mi PSP? son personalizables? para cumplir con PCI DSS?
Sí Sin auditoría.
Formulario
Esta es la opción de integración No Cuestionario de
de pago
más rápida y sencilla. autoevaluación online.
Sí Sin auditoría.
Control completo sobre el Análisis de riesgos realizado
inFrame Sí Branding y el formato de por la entidad adquirente.
la página, a excepción de
los campos necesarios Análisis de vulnerabilidades
para el pago. mensual o trimestral.
Sí
No
Se trata de un servicio de Debes cumplir con PCI DSS.
services Tu cliente nunca abandona marca blanca, de modo que
XML-API tu sitio web. Es necesario invertir en un
existe un control completo del
certificado digital propio.
Dispones de Back Office propio. aspecto. Tú provees toda la
parte visible por el cliente.
Formas de pago preferidas en España por los internautas que compran online
Fuente: Estudio sobre Comercio Electrónico B2C 2013 (Edición 2014) – ONTSI
Evolución trimestral del volumen de negocio del Comercio Electrónico y variación interanual
Fuente: CNMC - Informe sobre el Comercio Electrónico en España a través de Entidades de Medios de Pago
Beneficios:
Limitaciones:
3D Secure
Limitaciones:
Pago presencial
Banda Magnética
Contactless
Para facilitar el pago en los terminales TPV, hace pocos años
se desarrolló la tecnología Contactless3 , que permite el inter-
cambio de información entre la tarjeta y el TPV sin que exista
contacto físico, solo la proximidad (unos centímetros).
Pago no presencial
Esta categoría de métodos de pago incluye todas las transac-
ciones donde la tarjeta no se puede validar de manera pre-
sencial (físicamente), como pueden ser las compras o pagos
a través de comercios electrónicos (eCommerce), así como
los canales de venta por teléfono o correo electrónico (MOTO
- Mail Order/Telephone Order).
Protección de
Almacenamiento
Tipos de dato Dato datos según
permitido
Req. 3.4
PAN Sí Sí
Datos del titular de la Nombre del titular Sí No
tarjeta Código de Servicio Sí No
Caducidad Sí No
Banda magnética No N/A
Datos sensibles de
CVV2/CVC2/CAV2/CID No N/A
autenticación
PIN/PIN Block No N/A
Principio Requerimiento
Mantener una política de 12. Mantener una política que aborde la seguridad de la
seguridad de información información para todo el personal.
Segmentación de red
11. Internet Security Auditors – Usando la segmentación de red para reducir el alcance de PCI DSS
Además, se debe estudiar cada caso por separado, así como ase-
gurar que los elementos exteriores no puedan generar tráfico de
entrada a la burbuja PCI DSS que pueda modificar su nivel de se-
guridad. En el caso de que así fuera, dichos elementos exteriores se
deberían incluir también dentro de la burbuja, y así sucesivamente
con todos aquellos elementos que interactúen con el entorno de
cumplimiento.
Tokenización
No obstante, para que dicha técnica sea válida para lograr la re-
ducción del alcance de un entorno de cumplimiento, se deberán
cumplir ciertas premisas, como es el hecho de que el sistema en-
cargado de la tokenización debe estar ubicado en una red interna,
que el valor del token no pueda aportar ninguna información a
un atacante, etc. Dichas premisas, así como el resto de detalles
sobre esta técnica, pueden ser consultadas en el sitio oficial del
PCI SSC.
Comercios que procesen - Emplear un proveedor de servicios que cumpla con PCI DSS.
3 entre 20 000 y un millón de o
transacciones anuales de
tarjetas VISA. - Cuestionario de auto-evaluación anual (SAQ).
eCommerce que procesen - Emplear un proveedor de servicios que cumpla con PCI DSS.
menos de 20 000
transacciones anuales de o
tarjetas VISA. - Cuestionario de auto-evaluación anual (SAQ).
4
Comercios no electrónicos - Cuestionario de auto-evaluación anual (SAQ).
que procesen más de un - Declaración de cumplimiento (AoC).
millón de transacciones
anuales de tarjetas VISA. - Escaneo de vulnerabilidades trimestral externo, realizado por un ASV.
17. VISA - Processing eCommerce payments. A guide to security and PCI DSS requirements
SAQ Descripción
A Se aplica a entornos en los que la tarjeta de pago no esté presente de manera «física» (eCommerce, correo
electrónico o teléfono), y si además se tienen completamente externalizadas en proveedores que cumplan con PCI
DSS todas las funciones relativas a los datos de tarjetas de pago. No debe existir almacenamiento, transmisión
y procesamiento electrónico de datos de tarjetas en el entorno de cumplimiento del comercio afectado.
A-EP Se aplica a entornos de eCommerce, los cuales tengan externalizados todos los procesos relativos
a tarjetas de pago a proveedores externos que cumplan con la PCI DSS, y que además no
reciban directamente datos de tarjetas de pago. No debe existir almacenamiento, transmisión y
procesamiento electrónico de datos de tarjetas en el entorno de cumplimiento del comercio.
B Se aplica a entornos que solamente utilicen para tratar los datos de tarjetas una de los dos opciones siguientes:
B-IP Se aplica a entornos que utilicen únicamente puntos de interacción (POI - point-of-interaction)
aprobados por la normativa PCI PTS, conectados vía IP al procesador de pago.
C Se aplica a entornos con aplicaciones de pago conectadas a Internet, sin que exista
almacenamiento de datos de tarjeta en el entorno de cumplimiento de la entidad.
P2PE- Se aplica a entornos en los que se utilicen solamente terminales de punto de venta
HW a nivel de hardware (TPV), que cumplan con la normativa PCI P2PE, sin que exista
almacenamiento de datos de tarjeta en el entorno de cumplimiento de la entidad.
D SAQ D para comercios: se aplica a todos los entornos de comercios no incluidos en el resto de SAQ existentes.
Wearables
Otra innovación en el mundo de los pagos a través de datos
de tarjetas bancarias son los dispositivos wearables («vesti-
bles» o «llevables»). Dichos dispositivos son prendas inteli-
gentes que un usuario puede llevar encima de manera cómo-
da, como puede ser una pulsera26, un reloj27 o un llavero, y
que disponen de un chip o microprocesador incorporado que
proporciona la tecnología NFC.
24. PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users
25. PCI Mobile Payment Acceptance Security Guidelines for Developers
26. CaixaBank - pulsera Visa contactless
27. Apple Watch
#2. Internacionalización
Las apps ofrecen por tanto una nueva vía para acceder a los
servicios y productos que ya ofrecemos, y, además, una opor-
tunidad de capturar negocio directo mediante su monetización.
35 Analysis Mason - Direct carrier billing has the greatest potential for
success in emerging markets
38 Business Insider - Wal-Mart’s Answer To Apple Pay Has Already Been Hacked
39 Business Insider - There Are 48 Billion Reasons Why Retailers Are Going To War With Apple
40 Cap Gemini - World Payments Report 2014
41 NFC Forum Specifications
42 La Caixa, Telefónica y Visa finalizan con éxito la primera experiencia de pago por móvil en España
52 Google - Now available in the UK: Send and request money right from Gmail
53 The Guardian - Facebook prepares to launch e-money transfer service in Europe
54 Facebook - Testing a New Way for People to Discover and Buy Products on Facebook
El éxito de M-pesa
Usuarios registrados y activos en servicios de pago con el móvil, por región (Junio 2013)
Fuente: Accenture
Qué es Bitcoin
Antes de empezar a abordar el uso de las monedas virtuales
en eCommerce, explicaremos brevemente en qué consisten.
Pero solo esto no basta para que el sistema sea seguro, falta
un aspecto clave del modelo: garantizar que A posee efectiva-
mente el dinero que pretende transferir a B, en ese momento
del tiempo. Y a diferencia de las monedas que conocemos, no
hay una autoridad que lo haga (entidades financieras, bancos
centrales, etc.), sino que se realiza de forma distribuida.
1JoobiDXm9oogSrKQ5HrAWw5SLFmtRSizG
Bitcoin en eCommerce
A lo largo de 2014 se han consolidado varios casos de éxito
que demuestran que Bitcoin no es simplemente una estrate-
gia de marketing, sino que permite obtener ingresos reales y
reducir los costes de procesamiento.
Fuente: Bitpay
Comparación del proceso de pago con tarjeta vs. pago con Bitcoin
Fuente: Gartner
* Business Insider - There Are 48 Billion Reasons Why Retailers Are Going To War
With Apple: http://www.businessinsider.com/why-mcx-is-blocking-apple-pay-2014-10
* Cap Gemini - World Payments Report 2014: https://www.worldpaymentsreport.com/
* NFC Forum Specifications http://members.nfc-forum.org/specs/spec_list/
* Contactless Payments Acceptance Mandate for Visa Europe: http://i.emlfiles8.com/
cmpdoc/4/9/6/9/8/files/263597_visa-europe-vendor-bulletin---contactless-payments-ac-
ceptance-mandate-fo---.pdf
* Global Platform http://www.globalplatform.org/
* La Caixa, Telefónica y Visa finalizan con éxito la primera experiencia de pago por
móvil en España http://saladeprensa.telefonica.com/documentos/nprensa/2010-12-20_
Resultados_finales_Sitges_castok.pdf
* Telefónica - Distrito NFC: http://saladeprensa.telefonica.es/documentos/Anexo_
Partners_DistritoC.pdf
* La Caixa – Lanzamiento comercial del pago con móvil NFC: http://prensa.lacaixa.
es/caixabank/notas-de-prensa/la-caixa-inicia-el-mayor-lanzamiento-comercial-de-eu-
ropa-del-pago-con-movil-nfc-con-el-apoyo-de-telefonica-vodafone-orange-y-visa-euro-
pe__1775-c-19310__.html
* CNET – This Day in Tech: Google Wallet launches http://www.cnet.com/news/this-
day-in-tech-google-wallet-launches/
* VISA to enable Secure Cloud Based Mobile Payments: http://investor.visa.com/
news/news-details/2014/Visa-to-Enable-Secure-Cloud-Based-Mobile-Payments/de-
fault.aspx
* MasterCard to Use Host Card Emulation (HCE) for NFC-Based Mobile Payments
http://newsroom.mastercard.com/press-releases/mastercard-to-use-host-card-emula-
tion-hce-for-nfc-based-mobile-payments/
* Host Card Emulation in Android 4.4: https://developer.android.com/guide/topics/
connectivity/nfc/hce.html
* Android version – Google Play accesses: http://developer.android.com/about/das-
hboards/index.html
* Tarjeta virtual móvil de Bankinter: https://www.bankinter.com/www2/particulares/es/
tarjetas/tarjeta_virtual_movil
* BBVA Wallet https://www.bbva.es/estaticos/micros/wallet/
* Apple Pay http://www.apple.com/apple-pay/
* Getting Started with Apple Pay https://developer.apple.com/apple-pay/Getting-Star-
ted-with-Apple-Pay.pdf
* Apple CEO Tim Cook Happy With New Apple Pay Service http://www.wsj.com/arti-
cles/apple-ceo-tim-cook-happy-with-new-apple-pay-service-1414474181
Co-patrocinado por
Colaboran