Utilizar los datos de la tarjeta de crédito/débito frente a pasar la tarjeta por un terminal de pago (tarjeta de crédito)

Question

Un vendedor me dio la opción de ir a su oficina y pasar mi tarjeta de crédito/débito allí en su terminal de pago .

Como el camino hasta su oficina es largo, le pregunté al vendedor si podía tomar los datos de mi tarjeta de crédito (número, fecha de caducidad, etc.) por teléfono y realizar la transacción él mismo. Se negó a hacerlo.

No le pregunté por qué porque es un hombre gruñón.

¿Cuáles pueden ser las razones de este rechazo, aparte de ser mezquino?

Si tiene esta máquina de terminal de pago, ¿no garantiza que pueda realizar la transacción simplemente teniendo los datos de mi tarjeta de crédito?

¿Es posible que realizar la transacción simplemente utilizando los datos de mi tarjeta le cueste más al vendedor que si simplemente paso mi tarjeta?

Answer 1

Veo tres posibles razones:

1. No tiene una forma segura (o ninguna) de introducir manualmente los datos de la tarjeta. La mayoría de los terminales de pago tienen un teclado y pueden admitir la introducción manual (o el PIN), pero todo lo demás en el ecosistema también tiene que hacerlo. Si no tiene una forma (o no sabe cómo) de hacer que el terminal solicite la entrada manual, entonces no es una opción.
2. PCI-DSS . Es posible que su ámbito de aplicación de la PCI (el grado de responsabilidad que tiene) se base en que nunca ha tenido el número de la tarjeta. Dárselo por teléfono violaría eso. Las violaciones de la PCI podrían llevar a las principales marcas de tarjetas a decir "Ya no se le permite aceptar tarjetas de crédito", lo que sería fatal para la mayoría de los negocios hoy en día. Las infracciones también le harían responsable de cualquier fraude que pueda ser rastreado hasta su tienda.
3. Tasas de intercambio . Es casi seguro que paga más por una tarjeta introducida manualmente que por una pasada, porque esta última es más segura. Si tiene una forma de introducir el chip, es aún mejor, además de que no se hace responsable del fraude si le roban la tarjeta (ya que las marcas de tarjetas se lo comerían). Así que al hacerte viajar para presentar físicamente tu tarjeta, se está ahorrando dinero.

Para poner el #3 de otra manera: Haciendo que te presentes en persona, hace que sea menos probable que estés usando un número de tarjeta robado (porque tendrás una tarjeta física) y más fácil para él probar que realmente autorizaste el pago (porque firmarás un recibo y/o serás captado por una cámara de seguridad). Eso hace que sea menos probable que se trate de una transacción fraudulenta, lo cual es por qué obtiene una tasa de intercambio más baja.

Answer 2

Utilizar la tarjeta física o no son dos escenarios diferentes, a saber, "Tarjeta presente" y "Tarjeta no presente" (también conocido como MOTO como en Mail Order / Telephone Order). Pueden implicar diferentes contratos, diferentes tarifas, diferentes riesgos y diferentes equipos.

Algunos contratos simplemente no permiten las transacciones con tarjeta no presente. Es necesario utilizar la tarjeta en el terminal, ya sea deslizándola o utilizando el chip (e idealmente el pin). Esto añade una capa adicional de verificación (sobre todo si se utiliza el chip y el pin, pero incluso la banda magnética tiene información que no está disponible mediante la lectura de la tarjeta), y la red y el emisor de la tarjeta saben si la tarjeta se ha utilizado realmente o no.

Asimismo, algunos terminales no le permitirán realizar una transacción con tarjeta no presente. Incluso si tiene un teclado, puede que simplemente no tenga ninguna función que permita la introducción manual de una tarjeta.

Dado que el comerciante no ve la tarjeta y no puede utilizar ninguno de los elementos de seguridad disponibles en un terminal de pago, existe también un riesgo adicional. Esto puede implicar mayores comisiones para el comerciante y/o un mayor riesgo de devolución de cargos. Por lo general, el riesgo recae en el banco si la transacción utiliza uno de los modos seguros (chip + pin, o 3D secure cuando se utiliza en línea), mientras que el riesgo recae en el comerciante en los demás casos.

Así que, a modo de resumen:

• puede que simplemente no pueda (el contrato o el terminal no lo permiten)
• puede costarle más (tasas más altas)
• puede implicar un mayor riesgo

O puede que simplemente esté malhumorado :-)

Answer 3

La razón que yo consideraría más probable es el "desplazamiento de la responsabilidad".

Cuando una transacción con tarjeta se marca como fraudulenta, el emisor comprobará si el comerciante que aceptó el pago cumplió las normas acordadas de:

• Seguridad: ¿el sistema de pago está debidamente aislado, el acceso a los datos de la tarjeta está estrictamente controlado, etc.?
• Autenticación: ¿el cliente aportó pruebas de que era el titular de la tarjeta?

Si estas normas son no Si se cumple, se cobra al comerciante por la transacción marcada, algo que obviamente quiere evitar.

Si entrabas en la oficina, podían hacerlo:

• Demostrar la seguridad mediante el uso de un dispositivo de hardware dedicado, y nunca ver su número de tarjeta
• Autentificarle mediante chip y PIN, o comprobando una firma (en los lugares donde aún se acepta)

Si se comprara algo por Internet, el equivalente sería:

• Aislar la página donde se introducen los datos de la tarjeta del resto del sistema y no registrar nunca los datos introducidos
• Autentificarle pidiéndole que complete una prueba 3-D Secure (Verified by Visa / MasterCard SecureCode, o la más reciente Visa Secure / MasterCard IdentityCheck)

Si se dan los datos por teléfono, se puede demostrar cierta seguridad, pero existe el riesgo de que el operador memorice los datos, y actualmente no hay un buen sistema de autentificación. Así que estos pagos "MOTO" suelen trasladar la responsabilidad al comerciante.

Answer 4

Suponiendo que su terminal esté incluso configurado para la entrada manual, voy a suponer que es una de dos cosas, es mucho más trabajo que no quiere hacer, o le preocupa que reclames un fraude más tarde y entonces se quede sin artículo y sin precio.

Answer 5

• Pagan mayores tasas comerciales para las transacciones sin tarjeta. Este es a menudo el caso de las tiendas que venden artículos de alto precio; no se preocupan por por transacción tarifas, pero regatea mucho para conseguir el mejor porcentaje de los honorarios. Esas mejores tarifas vienen con condiciones.
• Puede haber un alto nivel de estafas de estos artículos. Temen (razonablemente o no) que esa "voz en el teléfono" a la que nunca han conocido mantenga las distancias por algún motivo.
• Son responsables por las transacciones fraudulentas realizadas con "tarjetas con chip" que no se procesan mediante chip. Este "cambio de responsabilidad" es nuevo, y se hizo para motivar a los comerciantes a instalar máquinas con chip. Se trata simplemente de una medida de autopreservación por parte del comerciante; en un negocio de mercancías de alto precio, una transacción fraudulenta puede arruinar todo el mes.
• No están equipados para manejar sus datos de forma segura a través del ordenador. Sus sistemas tendrían que cumplir una "norma de oro" de seguridad informática llamada "PCI-DSS", que se aplica a todos los ordenadores de todas las redes con capacidad de llegar a esa red.* Esto es una carga enorme para una empresa de tamaño familiar; es sencillamente inviable que la cumplan.

Además, no hay que asumir la capacidad de hacer un cumplimiento perfecto de las buenas políticas. Habiendo trabajado en una tienda de venta de artículos de alto valor, puedo decirle que, muy a menudo, lo mejor que puede hacer son unos vendedores honestos y buenos que se preocupan por el cliente y respetan su negocio. Si amaran las cosas técnicas, no estarían trabajando aquí . Simplemente no pueden o no quieren cumplir con los sutiles detalles que se necesitan, y dada la complejidad no se les puede culpar. Es más sencillo prohibir la actividad por completo y dar un buen ejemplo al no hacerlo tampoco los propietarios.

---

* La excepción son cosas como la máquina "swiper" o un swiperfob "PayPal Here" que utilizan "Point to point encryption", es decir, un túnel VPN seguro, directamente desde el swiper a los servidores del banco.