Blog de Internet Security Auditors

Blog de Internet Security Auditors: Pagos recurrentes y pagos en un clic: ¿Qué son, qué beneficios aportan, qué riesgos implican y cómo se pueden gestionar de forma segura?

Escrito por Internet Security Auditors | Sep 12, 2017 4:00:00 AM
Uno de los principales retos a los que se enfrenta cualquier comercio que cuenta con presencia en internet es el de retener a nuevos clientes y fidelizar a aquellos que ya han hecho uso de sus servicios, tratando de minimizar los esfuerzos y optimizando las ganancias. De acuerdo con Adobe, los visitantes a un sitio web de comercio electrónico se pueden catalogar en tres grupos:
  • Compradores de primera vez o visitantes que no compran (“shoppers”)
  • Clientes que regresan: compradores que tienen una compra previa (“returning purchasers”)
  • Clientes que repiten: compradores que han realizado múltiples compras (“repeat purchasers”)
Los clientes que repiten generan entre tres y siete veces más ingresos por visita que los clientes que visitan por primera vez el sitio web.

Figura 1. Tasas de conversión por tipo de visitante (fuente: Adobe)
Es en este punto en donde generalmente los conceptos tradicionales de mercadotecnia son empleados para lograr la retención de compradores (uso de descuentos, entrega de obsequios, envíos gratuitos, programas de fidelidad, acceso a eventos exclusivos, notificaciones de promociones por adelantado, campañas por perfiles, etc.), aplicando las estrategias conocidas como “ Customer Retention Marketing” .

Sin embargo, en el mundo actual estas estrategias por sí solas ya no son suficientes. La información de productos y servicios proviene cada vez menos de medios tradicionales (periódicos, radio, revistas, etc.) y los clientes actuales se orientan hacia el comercio electrónico debido a la simplicidad en los pagos (pagos no presenciales - “ Card Not Present” o CNP), facilidades para acceder a realizar sus compras a través de múltiples dispositivos (teléfono móvil, tabletas, televisión y relojes inteligentes, billeteras electrónicas, consolas de videojuegos, ordenadores, etc.)  e inmediatez para la realización de sus pedidos.

Figura 2. Análisis del impacto del uso de dispositivos en compras online (Fuente: Google)
De acuerdo con MasterCard , los compradores también buscan seguridad y comodidad en sus compras como valores diferenciales al momento de escoger un comercio electrónico u otro.

Figura 3. Factores determinantes de la preferencia de pago de los consumidores en línea (Fuente: MasterCard)

Por otro lado, un diferencial importante es el análisis del comportamiento del cliente en términos de hábitos de compra. Esto le permite al comercio focalizar su estrategia de mercadotecnia, analizar los segmentos de compradores en comparación con diferentes variables (edad, cantidad de dinero gastado, tipos de productos adquiridos, etc.), efectuar análisis predictivo de inventarios y mantener un historial de compras. El cliente obtiene a su vez mejoras en los productos recomendados, focalización en sus gustos y segmentación de productos de acuerdo con sus preferencias en compras anteriores.

La pantalla de “checkout”: La decisión entre continuar o quedarse
Uno de los elementos más críticos en cualquier estrategia de mercadotecnia está en mantener el entusiasmo e interés del cliente igual que cuando llegó al sitio web y que no se diluya a lo largo del proceso de compra. Por lo general, el punto álgido de este flujo se presenta en la pantalla del pago final (“checkout“). De acuerdo con el Baymart Institute , la creación de cuentas, los procesos de pago engorrosos, la existencia de pocos métodos de pago aceptados y los problemas de pago con tarjetas se suman a temas como costes adicionales y demoras en los envíos dentro de las causas por las cuales la compra no se finaliza y el cliente opta por abandonar.

Figura 4. Razones por las cuales los clientes declinan finalizar una compra online (Fuente:Baymart Institute)

Una potencial solución: El uso de pagos recurrentes y pagos en un clic
Una estrategia que puede ayudar a una tienda de comercio electrónico para garantizar la retención de los clientes en el momento del pago y ampliar la cantidad de “clientes que regresan” y “clientes que repiten” es la aceptación de pagos recurrentes (“Recurring Payments” – RP) o pagos en un clic (“One-Click Payments”) para el pago de productos y/o servicios.

Antes de continuar, a continuación, se describen las diferencias entre cada modelo:
Pago no presencial (CNP) tradicional:

Figura 5. Flujo transaccional de un pago no presencial tradicional

Pago no presencial (CNP) Tradicional
Definición El pago es iniciado por el titular de tarjeta y cada transacción es independiente
Uso Compras esporádicas
Ventajas No se almacena ningún dato de tarjeta de pago
Desventajas Cada vez que el cliente quiera pagar debe rellenar el formulario de pago con los datos de la tarjeta de pago
Datos de tarjeta almacenados Ninguno
Riesgo Bajo

Pago recurrente (RP):

Figura 6. Flujo transaccional de un pago recurrente

Pago recurrente (RP)
Definición El pago es iniciado directamente por el comercio con una pre-autorización del titular de la tarjeta y ejecutado de forma repetitiva en periodos de tiempo específicos.
Uso
  • Pago de facturas
  • Pago de servicios basados en suscripción
  • Pago de servicios por uso
Ventajas
  • No requiere que el usuario ingrese nuevamente los datos de la tarjeta en cada transacción
  • Automatización basada en eventos
Desventajas Requiere almacenamiento de datos de tarjetas por parte del comercio
Datos de tarjeta almacenados
  • PAN
  • Fecha de expiración
  • Nombre del titular
NOTA: El CVV2 solamente se pide en la primera transacción y no se almacena. En las transacciones subsiguientes con el mismo PAN y provenientes del mismo comercio, el CVV2 no suele solicitarse para permitir la automatización del proceso.
Riesgo Alto

Pago en un clic (OCP):
Primera compra:


Compras posteriores:

Figura 7. Flujo transaccional de un pago en un clic

Pago en un clic (OCP)
Definición El pago es iniciado por el titular de tarjeta empleando los datos de una tarjeta perteneciente a una compra anterior. Cada transacción es independiente.
Método patentado por Amazon en USA en 1999.
Uso Pagos en sitios en los que ya se ha realizado una compra previa.
Ventajas No requiere que el usuario ingrese nuevamente los datos de la tarjeta en cada transacción
Desventajas Requiere almacenamiento de datos de tarjetas por parte del comercio
Datos de tarjeta almacenados
  • PAN
  • Fecha de expiración
  • Nombre del titular
NOTA: El CVV2 solamente se pide en la primera transacción y no se almacena. En las transacciones subsiguientes con el mismo PAN y provenientes del mismo comercio, el CVV2 no suele solicitarse para permitir la automatización del proceso.
Riesgo Alto

El almacenamiento de datos de tarjeta, el principal problema de pagos recurrentes y en un solo clic
Como se puede observar, las transacciones vinculadas a procesos de recurrencia y de pago en un clic tienen un elemento en común: requieren que el comercio almacene los datos de las tarjetas de pago de sus clientes (PAN, fecha de expiración y nombre del titular). En términos de seguridad, el hecho de almacenar datos de tarjeta de pago implica que el comercio que implemente estos servicios requerirán del cumplimiento de todos los requerimientos del Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard) o PCI DSS.
Figura 8. Información de aplicabilidad de PCI DSS
El cumplimiento de este estándar requiere el despliegue de múltiples controles de seguridad lógica, física y procedimientos operativos en los activos que procesen, almacenen o transmitan datos de tarjetas de pago.

Figura 8. Información de aplicabilidad de PCI DSS
La implementación de estos requerimientos conlleva una inversión significativa en tiempo, dinero y personal, razón por la cual no suele ser una alternativa viable en términos de coste-beneficio para un comercio pequeño o mediano.

Tokenización: la alternativa al almacenamiento de datos de tarjeta para pagos recurrentes y en un solo clic
Sin embargo, no todo son malas noticias. Para evitar que el comercio que desee implementar estas funcionalidades en su sitio web tenga que almacenar los datos de las tarjetas de pago de sus clientes, la gran mayoría de proveedores de servicios de pago (“Payment Service Provider” – PSP) ofrecen servicios de tokenización. La tokenización permite que el dato de la tarjeta de pago del cliente sea remplazado por un dato no confidencial denominado “token” que, en términos operativos, ofrece exactamente las mismas funcionalidades de los datos de la tarjeta originales, sin el riesgo que conlleva su almacenamiento, procesamiento y transmisión.

Figura 9. Flujo transaccional de una operación de pago con tokens
En este escenario, el comercio NUNCA almacena los datos de la tarjeta de pago de sus clientes y se puede permitir la realización de transacciones de pago recurrentes y pagos con un clic, minimizando los riesgos y la necesidad de cumplimiento de todos los controles de PCI DSS. El almacenamiento de datos de tarjeta es derivado al PSP quien, en el momento de recibir el pago, está en la capacidad de obtener el PAN original y realizar la autorización de la transacción normalmente.

Para que la tokenización sea efectiva, se necesita el cumplimiento de una serie de variables:
  1. Que el PSP ofrezca servicios de tokenización, pagos con un clic y pagos recurrentes
  2. Que el cliente acepte los términos de los pagos con un clic y pagos recurrentes si desea hacer uso de estos servicios
  3. Que se realice una primera transacción exitosa que involucre la totalidad de los datos de tarjeta requeridos para un pago no presencial (PAN, fecha de expiración, nombre del titular y CVV2)
Desventajas de la tokenización
A pesar de las evidentes ventajas en la minimización del riesgo y el cumplimiento de PCI DSS por parte del comercio, una de las desventajas de la tokenización es que solamente el PSP que ha generado el token está en capacidad de obtener su PAN vinculado. Esta característica tácita del funcionamiento del modelo de tokenización (y en la que también radica su seguridad y las capacidades de minimización del entorno de riesgo) es a la vez uno de sus talones de Aquiles, debido a que el comercio que use este servicio estará vinculado de forma irrestricta a procesar todas las transacciones con tokens con el mismo PSP que los ha generado. Esto limita la capacidad que puede tener un comercio para enrutar sus pagos a diferentes PSP dependiendo de variables como los costes por transacción, el lugar geográfico de emisión de la tarjeta, etc.

En este caso, cabe la alternativa de que sea el propio comercio ejecute internamente sus procesos de tokenización. Si se opta por esta opción, se minimiza el entorno de cumplimiento de PCI DSS del comercio, haciendo que la totalidad de controles apliquen únicamente en el entorno en el cual se tokeniza/des-tokeniza y se guarda la referencia PAN/Token.  De esta manera, se puede trabajar con múltiples PSP sin ninguna dependencia a la hora de procesar la autorización de transacciones.

Conclusión
Conociendo que uno de los elementos diferenciales que permiten que un cliente se fidelice en un comercio electrónico es la facilidad en el momento de pagar, alternativas como los pagos recurrentes y los pagos con un clic se vislumbran como las claves en este proceso facilitador. No obstante, el principal problema al que se enfrentan los despliegues de estas técnicas es el almacenamiento de los datos de tarjeta de pago del cliente, que implican un mayor riesgo y, por ende, la necesidad de la implementación de controles de seguridad (PCI DSS).

Con la ayuda de la tokenización, el comercio (soportado en los servicios de su proveedor de servicios de pago (PSP) o con una implementación propia) puede minimizar este riesgo, mediante la conversión de los datos de la tarjeta de pago (datos confidenciales) en datos no confidenciales que ofrecen exactamente la misma operatividad, pero sin riesgo.

Referencias
1. Adobe: “The ROI from Marketing to Existing Online Customers” https://success.adobe.com/assets/en/downloads/whitepaper/13926.digital_index_loyal_shoppers_report.pdf
2. Ometria: “A Quick Guide to Customer Retention Marketing for Ecommerce” https://www.ometria.com/topic-guides/customer-retention
3. Google: “The New Multi-screen World: Understanding Cross-platform Consumer Behavior” https://services.google.com/fh/files/misc/multiscreenworld_final.pdf
4. MasterCard: “The New world of retail - New Challenges and Opportunities for the retail industry in the digital era” https://newsroom.mastercard.com/wp-content/uploads/2015/05/INNOV_025_White_Paper_Mastercard_4b.pdf
5. Baymart Institute: “37 Cart Abandonment Rate Statistics” https://baymard.com/lists/cart-abandonment-rate 
6. Payment Card Industry Data Security Standard https://www.pcisecuritystandards.org/

Autor: David Eduardo Acosta - CISSP Instructor, CISM, CISA, CRISC, CHFI Instructor, CEH, PCI QSA, OPST, BS25999 L. A. 
Departamento de Consultoría