Usar los datos de la tarjeta de crédito/débito frente a deslizar una tarjeta en un terminal de pago (tarjeta de crédito)

Veo tres posibles razones:

1. No tiene una forma segura (o ninguna forma) de ingresar manualmente los detalles de la tarjeta. La mayoría de las terminales de pago tienen un teclado y pueden admitir la entrada manual (o PIN), pero todo lo demás en el ecosistema también debe hacerlo. Si no tiene una forma (o no sabe cómo) de hacer que la terminal solicite una entrada manual, entonces esa no es una opción.
2. PCI-DSS . Es posible que su alcance de PCI (cuánta responsabilidad tiene) se base en que él mismo nunca tuvo el número de tarjeta. Dárselo por teléfono violaría eso. Las violaciones de PCI podrían llevar a las principales marcas de tarjetas a decir "Ya no se les permite aceptar tarjetas de crédito", lo que sería fatal para la mayoría de las empresas en estos días. Las violaciones también lo dejarían responsable de cualquier fraude que pueda rastrearse hasta su tienda.
3. Tipos de cambio . Es casi seguro que paga más por una tarjeta ingresada manualmente que por una pasada, porque esta última es más segura. Si él tiene una forma de que usted inserte su chip, eso es aún mejor, además de hacerlo no responsable por fraude si su tarjeta fue robada (ya que las marcas de tarjetas se la comerían). Entonces, al obligarlo a viajar para presentar físicamente su tarjeta, se está ahorrando dinero.

Para poner el #3 de otra manera: al hacer que usted se presente en persona, hace que sea menos probable que esté usando un número de tarjeta robado (porque tendrá una tarjeta física) y le resulta más fácil demostrar que usted realmente autorizó el pago (porque firmará un recibo y/o será captado por una cámara de seguridad). Eso hace que sea menos probable que se trate de una transacción fraudulenta, por lo que obtiene una tasa de intercambio más baja.

El uso o no de la tarjeta física son dos escenarios diferentes, a saber, "Tarjeta presente" y "Tarjeta no presente" (también conocido como MOTO en Pedido por correo / Pedido por teléfono). Pueden involucrar diferentes contratos, diferentes tarifas, diferentes riesgos y diferentes equipos.

Algunos contratos simplemente no permitirán transacciones con tarjeta no presente. Debe usar la tarjeta en la terminal, ya sea deslizándola o usando el chip (e idealmente pin). Esto agrega una capa adicional de verificación (principalmente si usa chip y pin, pero incluso la banda magnética tiene información que no está disponible al leer la tarjeta), y la red y el emisor de la tarjeta saben si la tarjeta se usó realmente o no.

Asimismo, algunos terminales no le permitirán realizar una transacción sin tarjeta presente. Incluso si tiene un teclado, es posible que simplemente no tenga ninguna característica que permita la entrada manual de una tarjeta.

Dado que el comerciante no ve la tarjeta y no se puede utilizar ninguna de las funciones de seguridad disponibles con un terminal de pago, también existe un riesgo adicional. Esto puede implicar tarifas más altas para el comerciante y/o un mayor riesgo de contracargo. Por lo general, el riesgo recae en el banco si la transacción utilizó uno de los modos seguros (chip + pin, o 3D seguro cuando se usa en línea), mientras que el riesgo recae en el comerciante en otros casos.

Entonces, como resumen:

• es posible que simplemente no pueda (el contrato o la terminal no lo permitirán)
• puede costarle más (tarifas más altas)
• puede implicar un mayor riesgo

O puede que solo esté gruñón :-)

La razón por la que consideraría más probable es "cambio de responsabilidad".

Cuando una transacción con tarjeta se marca como fraudulenta, el emisor verificará si el comerciante que aceptó el pago cumplió con los estándares acordados de:

• Seguridad: ¿el sistema de pago está debidamente aislado, el acceso a los datos de la tarjeta está estrictamente controlado, etc.?
• Autenticación: ¿el cliente proporcionó evidencia de que era el titular de la tarjeta?

Si no se cumplen estos estándares, se le cobra al comerciante por la transacción marcada; algo que obviamente quieren evitar.

Si entraras a la oficina, ellos podrían:

• Demuestre seguridad mediante el uso de un dispositivo de hardware dedicado y nunca vea su número de tarjeta
• Autenticarlo usando chip y PIN, o verificando una firma (en lugares donde todavía se acepta)

Si estuviera comprando algo en línea, el equivalente sería:

• Aislar la página donde ingresa los detalles de su tarjeta del resto del sistema y nunca registrar los detalles ingresados
• Autenticarlo al pedirle que complete un desafío 3-D Secure (Verified by Visa / MasterCard SecureCode, o el más nuevo Visa Secure / MasterCard IdentityCheck)

Si proporciona detalles por teléfono, se puede demostrar cierta seguridad, pero existe el riesgo de que el operador memorice sus datos, y actualmente no existe un buen sistema de autenticación. Por lo tanto, dichos pagos "MOTO" generalmente transfieren la responsabilidad al comerciante.

Suponiendo que su terminal esté incluso configurado para la entrada manual, supongo que es una de dos cosas, es mucho más trabajo que no quiere hacer, o le preocupa que usted reclame fraude más tarde y luego se vaya. artículo y precio.

• Pagan tarifas comerciales más altas por transacciones sin tarjeta presente. Este suele ser el caso de las tiendas que venden artículos de alto precio; no les importan las tarifas por transacción , pero regatean mucho para obtener la mejor tarifa porcentual . Esas mejores tarifas vienen con condiciones.
• Puede haber un alto nivel de estafas en estos artículos. Temen (razonablemente o no) que esta "voz en el teléfono" a la que nunca han conocido se mantenga a distancia por una razón.
• Son responsables de las transacciones fraudulentas realizadas con "tarjetas con chip" que no se procesan mediante chip. Este "cambio de responsabilidad" es nuevo y se hizo para motivar a los comerciantes a implementar máquinas de chips. Esto es simplemente autoconservación por parte del comerciante; en un negocio de mercancías de alto precio, una transacción fraudulenta puede arruinar todo el mes.
• No están equipados para manejar de forma segura sus datos a través de la computadora. Sus sistemas tendrían que cumplir con un "estándar de oro" de seguridad informática llamado "PCI-DSS" que se aplica a cada computadora en cada red capaz de llegar a esa red.* Esta es una gran carga para una empresa de tamaño familiar; es simplemente poco práctico para ellos cumplir.

Además, no asuma la capacidad de hacer un perfecto cumplimiento de las buenas políticas. Habiendo trabajado en una tienda minorista de artículos de alto valor, puedo decirle que muy a menudo, lo mejor que puede hacer es ser un buen vendedor honesto que se preocupe por el cliente y respete su negocio. Si les encantaran las cosas técnicas, no estarían trabajando aquí . Simplemente no pueden/no quieren cumplir con los detalles sutiles que se necesitan, y dada la complejidad, difícilmente se les puede culpar. Es más sencillo prohibir la actividad por completo y dar un buen ejemplo por parte de los propietarios que tampoco la realizan.

* La excepción son cosas como la máquina "swiper" o un swiperfob "PayPal Here" que usa "Cifrado punto a punto", también conocido como un túnel VPN seguro, directamente desde el swiper a los servidores del banco.