Añada una autenticación PSD2 robusta a su aplicación

Con cada vez más compras realizadas en línea, aumentan los peligros de fraude y pagos no autorizados.

En respuesta a esta situación, se introdujo en Europa una nueva norma para autenticar los pagos en línea denominada "Autenticación segura de clientes", también conocida como PSD2 (Directiva de Servicios de Pago versión 2).

La PSD2 introduce un elemento de seguridad adicional en los pagos en línea. Si realiza transacciones en euros, puede utilizar nuestra Verify API para ayudarle a implementar este elemento adicional en sus aplicaciones.

Acerca de la autenticación segura de clientes

La autenticación segura de clientes significa asegurarse de que se utilizará más de un tipo de autenticación para los importes de transacción más importantes (la detalles técnicos y la letra pequeña también están disponibles). En resumen, las transacciones deben incluir dos de esta lista de tres elementos:

• Una contraseña o PIN (algo que el usuario conoce)

• Una huella dactilar o un escáner facial u ocular (algo que el usuario es)

• Información de un teléfono o token de hardware (algo que el cliente ha)

Utilizar la función PSD2 en Verify API es una forma sencilla de aplicar la tercera opción de la lista anterior.

Cómo funciona Verify API PSD2

Para autorizar un pago, la API envía un código al número de teléfono registrado en la cuenta del usuario.

La autorización puede hacerse por mensaje de texto, llamada telefónica o, por lo general, una combinación de ambos para llegar al mayor número posible de usuarios. El usuario recibe el pin junto con información sobre la transacción: a quién paga y el importe del pago.

A continuación, el usuario proporciona el pin que ha recibido, que se envía de vuelta a la Verify API para comprobar si el código pin es correcto. Si lo es, se confirma la solicitud y se puede proceder al pago.

Implantar Verify API PSD2

Tenemos ejemplos de diferentes tecnologías pero para mantener las cosas muy inclusivas, estos ejemplos utilizan cURL.

Vonage API Account

To complete this tutorial, you will need a Vonage API account. If you don’t have one already, you can sign up today and start building with free credit. Once you have an account, you can find your API Key and API Secret at the top of the Vonage API Dashboard.

Ready to start building?

Experience seamless connectivity, real-time messaging, and crystal-clear voice and video calls—all at your fingertips.

Enviar un código PIN para confirmar un pago

El primer paso es enviar un código al teléfono del cliente para confirmar el importe del pago y a quién va dirigido. Para asegurarse de que el mensaje les ha llegado, el mensaje incluye un código PIN.

La referencia de la API referencia API para enviar un código PSD2 está aquí para obtener una lista completa de detalles y todos los parámetros disponibles. En el caso más sencillo, la solicitud cURL tiene este aspecto:

curl -X POST "https://api.nexmo.com/verify/psd2/json" \
-d api_key=API_KEY -d api_secret=API_SECRET \
-d number=447700777000 -d payee="Acme, Inc" \
-d amount=12.34

Sustituya API_KEY y API_SECRET en el ejemplo anterior con sus credenciales, y también introduzca el número de teléfono al que se enviará el PIN; probablemente debería ser su número de teléfono mientras realiza las pruebas, y debería estar en formato internacional sin el símbolo inicial + inicial.

En este contexto, el PIN se enviará primero por SMS. Si el usuario no facilita el PIN correcto en unos minutos, se le hará una llamada automática para hablar de la información.

Contar con ambos enfoques ayuda a llegar a más usuarios con éxito, pero también puede elegir el flujo de trabajo que mejor se adapte a su caso de uso.

La solicitud devuelve un archivo request_id. Guárdelo, ya que lo necesitará en el siguiente paso.

Comprobar el código PIN

Cuando el usuario envía el código PIN que recibió, puedes confirmar que es correcto llamando al /check en la Verify API de Vonage.

Consulte la documentación de referencia de la API para el punto final de comprobación para más detalles. En hay ejemplos de código disponiblesy la solicitud cURL tiene el siguiente aspecto:

curl -X POST "https://api.nexmo.com/verify/check/json" \
-d api_key=API_KEY -d api_secret=API_SECRET \
-d request_id=abcdef0123456789abcdef0123456789 -d code=1234

De nuevo, sustituya API_KEY y API_SECRET por sus credenciales, y utilice el request_id devuelto en el paso anterior. El parámetro code debe ser el código pin enviado al usuario.

Si tiene éxito, la respuesta mostrará un status de cero, y puede estar seguro de que el usuario autorizó el pago.

Próximos pasos

En este post, cubrimos lo que implica la Autenticación Segura de Clientes y un ejemplo de cómo implementarla en sus aplicaciones. Aquí tienes algunos recursos que pueden resultarte útiles para el siguiente paso:

• En Verify API de nuestro portal para desarrolladores

• Documentación API para Verify API

• Nuestra colección de entradas de blog para Verify API puede tener algo que inspire su próximo proyecto

• Contacte con nosotros en Twitter o en nuestro Slack de la comunidad con cualquier idea, sugerencia o pregunta.