Guides
FAQs
Start typing to search…
  1. SEGURIDAD

3D Secure

Descubre cómo 3D Secure (3DS) mejora la seguridad en tus pagos en línea.

Sobre 3DS

3DS es un protocolo de autenticación para pagos online diseñado para gestionar y prevenir el fraude en el uso de tarjetas de crédito en transacciones card-not-present (CNP). La autenticación del pagador permite verificar que el cliente que realiza una compra en línea es el titular de la tarjeta de pago utilizada.

En ProntoPaga implementamos el estándar EMV 3-D Secure para autenticar a tus clientes en transacciones en línea. Este sistema de seguridad requiere pasos adicionales en la verificación de identidad durante el proceso de compras para reducir el fraude.

La mayoría de las transacciones pueden autenticarse en segundo plano, sin intervención del pagador, pero las transacciones de mayor riesgo pueden requerir el intercambio de contraseñas de un solo uso (one-time passwords - OTP), entre otras medidas.

El protocolo 3DS ejecuta dos formas de autenticación:

Autenticación sin fricción

Se analiza el riesgo en segundo plano y se aprueba la autenticación sin solicitar pasos adicionales al usuario.

Autenticación con challenge

La información disponible no es suficiente para validar la identidad del usuario. Se solicita un paso adicional de verificación.


Países disponibles

3DS está disponible para los siguientes métodos.

❗️

Ten en cuenta que

Para habilitar 3DS en tu comercio, ProntoPaga debe realizar una configuración adicional. Para solicitar su activación, contáctanos.


Marcas compatibles

Marcas de tarjetas soportadas con 3DS en Perú y Argentina.

VisaVisa
MastercardMastercard
American ExpressAmerican Express
Otras marcasOtras marcas

Versiones

En ProntoPaga utilizamos los protocolos EMV3-D Secure versión 2.1.0 y 2.2.0 para la autenticación de pagos con tarjeta en los flujos que requieren verificación adicional por parte del banco emisor.

Estas versiones introducen mejoras significativas:

  • Autenticación basada en riesgo (Risk-Based Authentication): Permite aprobar transacciones de bajo riesgo sin requerir interacción del usuario (flujo frictionless).
  • Menor fricción para el usuario: Reduce redirecciones completas a páginas externas, utilizando iFrames o integraciones embebidas más fluidas.
  • Intercambio ampliado de datos contextuales: Se envía mayor información del dispositivo, navegador y comportamiento del usuario para mejorar la evaluación del riesgo.
  • Soporte para múltiples canales: Compatible con navegador web, aplicaciones móviles y entornos híbridos.
  • Mejor experiencia en dispositivos móviles: Permite autenticaciones mediante push en app bancaria o biometría.
  • Mejor gestión de excepciones y timeouts: Maneja de forma más robusta cancelaciones, expiraciones y estados intermedios.

¿Cómo funciona?

Después de ingresar los datos de la tarjeta, el usuario es redirigido al sitio web de su banco para completar la verificación 3DS, para transacciones de bajo riesgo (flujo sin fricción), la información enviada al finalizar la compra es suficiente. De lo contrario, se solicitará al usuario que se autentique. Esta autenticación se denomina challenge.

¿Qué es un challenge?

Un challenge es un paso que el banco emisor le solicita al usuario para autenticarse y demostrar que es el titular de la tarjeta.

En la autenticación con challenge el sistema interpreta que la información almacenada no es suficiente para validar la identidad del usuario, por tanto, se requiere la validación mediante una contraseña de un solo uso o biometría. Dependiendo del sistema de validación, el cliente podría ser redirigido a la página del emisor de la tarjeta para ingresar la información requerida.

¿Cómo se ve un challenge?

Normalmente aparece como un iFrame, pop-up o pantalla redirigida donde el usuario debe completar algo como OTP (código por SMS o email).

Esto sucederá cuando el emisor (o el motor de riesgo) determine que necesita más seguridad, por ejemplo, monto alto, comportamiento raro, dispositivo nuevo, país distinto, etc.


Flujos

A continuación te mostramos los flujos de 3DS con y sin fricción.

3DS sin fricción

El usuario no realiza pasos adicionales. La verificación ocurre en segundo plano y el pago continúa normalmente.

  1. El usuario ingresa los datos de su tarjeta y paga.
  2. ProntoPaga ejecuta validaciones de riesgo con Decision Manager (DM). Si se aprueban, continúa con la autenticación.
  3. La autenticación 3DS ocurre en segundo plano.
  4. El pago continúa sin pantallas adicionales.

3DS con challenge

  1. El usuario ingresa los datos de su tarjeta y confirma el pago.
  2. ProntoPaga ejecuta validaciones de riesgo con Decision Manager (DM). Si se aprueban, continúa con la autenticación.
  3. Se muestra el challenge del banco. Autenticación del usuario mediante OTP, biometría u otro método (iFrame visible).
    • Si el challenge falla, el pago se rechaza.
    • Si el challenge es exitoso, continúa el proceso.
  4. Si el usuario lo completa bien el challenge, el sistema recibe un resultado con datos como ECI / CAVV / XID y manda la autorización al procesador. Si lo cancela o se vence el tiempo, suele terminar en fallido y el pago se rechaza, o se fuerza el reintento, según la lógica aplicada.
  5. El gateway envía la transacción al banco emisor, que puede responder con: approved/rejected/pending
  6. ProntoPaga actualiza el estado del pago y envía el resultado final a tu comercio.
🚧

Flujo sin 3DS

En este caso la transacción pasa directamente al proceso de autorización con el banco emisor, sin ejecutar el protocolo de autenticación EMV 3-D Secure.


Respuestas

A continuación, puedes ver respuestas exitosas de la autenticación con 3DS de acuerdo con el país donde operes. Podrás ver las respuestas en el Portal de servicios.

Argentina

Este es un ejemplo de respuesta exitosa que puedes recibir de la autenticación 3D Secure en Argentina:

{
  "approvalCode": "Y:412321:4638122257:PPXX:4564712771",
  "checkoutId": "17db835c-d7c5-42a9",
  "data": {
    "responseCode3dSecure": "6"
  },
  "eventType": "METHOD_COMPLETED",
  "ipgTransactionId": "84638122257",
  "merchantId": "00000012",
  "merchantTransactionId": "5923435601_17db835c-d7c5-42a9",
  "paymentMethod": {
    "bin": "123456",
    "brand": "MASTERCARD",
    "last4": "1234"
  },
  "timestamp": "2025-12-10T14:19:18.253Z",
  "transactionStatus": "APPROVED"
}

Perú

Este es un ejemplo de respuesta exitosa que puedes recibir de la autenticación 3D Secure en Perú:

{
  "clientReferenceInformation": {
    "code": "200"
  },
  "consumerAuthenticationInformation": {
    "acsTransactionId": "a440a9cd-712f-41cc-9389-73ace974cbb8",
    "authenticationResult": "0",
    "authenticationStatusMsg": "Success",
    "cavv": "AAIBBYNoEwAAACcKhAJkdQEEEAA=",
    "directoryServerTransactionId": "9e65e37d-9d4c-4e6a-aa55-b836be612ecd",
    "eci": "01",
    "eciRaw": "01",
    "indicator": "abc",
    "paresStatus": "A",
    "specificationVersion": "2.2.0",
    "strongAuthentication": {
      "OutageExemptionIndicator": "0"
    },
    "threeDSServerTransactionId": "2bce488f-23ba-46fd-b5bf-762c25b71b45",
    "token": "",
    "xid": "="
  },
  "id": "20250493824967684494789",
  "status": "AUTHENTICATION_SUCCESSFUL",
  "submitTimeUtc": "2025-11-17T18:42:18Z"
}

Estados

La siguiente tabla muestra los estados que pueden derivarse de la autenticación con 3DS.

Argentina

La siguiente tabla muestra los estados que pueden derivarse de la autenticación con 3DS en Argentina.

EstadoDescripciónAcción del sistema
WAITINGEsperando autenticación 3DSCuando se requiere ejecutar 3DS Method o Challenge
APPROVEDTransacción aprobadaDespués de una autenticación 3DS exitosa y autorización aprobada
DECLINEDTransacción rechazadaCuando la autenticación 3DS falla o el banco emisor rechaza la operación

Perú

La siguiente tabla muestra los estados que pueden derivarse de la autenticación con 3DS en Perú.

EstadoDescripciónAcción del sistema
"AUTHENTICATION_SUCCESSFUL"La autenticación 3DS fue completada exitosamente, ya sea de manera frictionless o tras un challenge aprobado.Continuar con la autorización del pago ante el procesador.
"PENDING_AUTHENTICATION"La transacción requiere autenticación adicional por parte del usuario (challenge).Mostrar iFrame o pop-up con el challenge del banco emisor y esperar resultado.
"AUTHENTICATION_FAILED"La autenticación 3DS no fue completada correctamente (cancelación, timeout o validación fallida).Rechazar inmediatamente la transacción y actualizar el estado en el sistema.

Manejo de errores

A continuación se listan los errores derivados de la autenticación con 3DS.

Argentina

En la siguiente tabla se listan los errores derivados de la autenticación con 3DS en Argentina.

CódigoMensaje
ENROLLMENT_CHECK_FAILEDUnable to verify card enrollment. Please try again.
AUTH_SETUP_FAILEDUnable to set up secure authentication. Please try again.
AUTH_VALIDATION_FAILEDAuthentication validation failed. Please try again.
PROVIDER_UNAVAILABLEPayment service temporarily unavailable. Please try again later.

Perú

En la siguiente tabla se listan los errores derivados de la autenticación con 3DS en Perú.

CódigoMensaje
ENROLLMENT_CHECK_FAILEDUnable to verify card enrollment. Please try again.
AUTH_SETUP_FAILEDUnable to set up secure authentication. Please try again.
AUTH_VALIDATION_FAILEDAuthentication validation failed. Please try again.
PROVIDER_UNAVAILABLEPayment service temporarily unavailable. Please try again later.
MISSING_CREDENTIALSPayment configuration error. Please contact support.

Datos de prueba

Revisa los datos de tarjetas para probar pagos con autenticación 3DS en Argentina.

Updated 2 days ago

What’s Next