¿Qué es un servidor de control de acceso (ACS)?

Un servidor de control de acceso (ACS) es el componente del lado del emisor del protocolo 3D Secure que autentica al titular de una tarjeta durante un pago con tarjeta en línea. Operado por el banco del titular o por un proveedor especializado en su nombre, recibe cada solicitud de autenticación 3DS, aplica las reglas de riesgo del emisor y aprueba la transacción sin fricción o activa un desafío — normalmente una notificación push en la aplicación bancaria, una verificación biométrica o un código de un solo uso por SMS. Sin un ACS en el flujo, no hay autenticación 3DS ni transferencia de responsabilidad.

El servidor de control de acceso — a veces llamado simplemente ACS de 3DS — es una de las tres piezas en movimiento que hacen funcionar 3D Secure. El Merchant Plug-In (MPI) del comercio inicia la solicitud de autenticación, el Directory Server de la red de tarjetas la enruta y el ACS del lado del emisor toma la decisión real. Es donde viven las reglas, donde se evalúa el riesgo y donde el cliente ve el aviso de "aprobar en su aplicación bancaria" si hace falta un desafío.

Una nota sobre el nombre

"Servidor de control de acceso" también es un término genérico de TI — puede referirse a cualquier servidor que controle el acceso a un sistema, desde control de acceso a la red hasta seguridad de edificios. En pagos, el término es específico: se refiere al ACS de 3D Secure y a nada más. Si lo ves usado de forma laxa en un contexto de pagos, casi siempre será el de 3DS. En esta entrada hablamos del ACS de 3DS.

Dónde se ubica el ACS en una transacción 3D Secure

Cuando un cliente introduce su tarjeta en el checkout de un comercio, el flujo de 3DS se parece a esto:

1. El MPI del comercio (integrado en la pasarela de pagos) envía una solicitud de autenticación que contiene el número de tarjeta, el importe de la transacción, la huella del dispositivo y unos cien puntos de datos adicionales.
2. El Directory Server de la red de tarjetas — el DS de Visa para una Visa, el de Mastercard para una Mastercard, y así sucesivamente — busca qué ACS gestiona la autenticación para ese rango de BIN y reenvía la solicitud.
3. El ACS evalúa la solicitud contra el modelo de riesgo del emisor. Si es de bajo riesgo, devuelve una respuesta autenticada directamente por la cadena — el cliente no ve nada. Este es el flujo sin fricción de 3DS2.
4. Si el ACS no está seguro, activa un desafío: una notificación push en la aplicación bancaria, un código por SMS o un aviso biométrico. El cliente se autentica, el ACS lo confirma y el resultado vuelve al comercio.

Todo el intercambio suele durar menos de dos segundos. El cliente normalmente ni siquiera sabe que existe el ACS.

¿Quién opera realmente un ACS?

Algunos grandes emisores operan su propia infraestructura ACS. La mayoría no — la subcontratan a un proveedor especializado que vende ACS como servicio a los bancos. Los nombres que se escuchan en este ámbito incluyen CardinalCommerce (ahora de Visa), Outseer (la antigua división de RSA), Modirum, GPayments y Netcetera. Estos proveedores gestionan la certificación con cada red de tarjetas, operan el motor de riesgo y alojan la interfaz de desafío que ven los clientes cuando se les pide autenticación.

Desde el punto de vista del comercio, todo esto es casi invisible. No eliges el ACS — lo elige el banco de tu cliente. Pero esto explica por qué la experiencia de autenticación varía tanto: una Amex emitida por un banco estadounidense pasa por un ACS completamente distinto al de una tarjeta de débito del Reino Unido, con reglas de riesgo distintas, interfaces de desafío distintas y tasas de éxito distintas. Algunas implementaciones de ACS son excelentes y rara vez desafían; otras siguen ancladas en 2018 y desafían casi todo.

ACS, SCA y la transferencia de responsabilidad

El ACS es el mecanismo técnico que entrega la autenticación reforzada de cliente para pagos con tarjeta en línea bajo la PSD2. Cuando el ACS aprueba una transacción — sin fricción o tras un desafío — el comercio obtiene la transferencia de responsabilidad de 3DS. Si el titular de la tarjeta más adelante disputa el pago como no autorizado, el emisor asume el contracargo, no el comercio.

Por eso a los comercios les importa el ACS aunque no operen uno. Una alta tasa de aprobación sin fricción por parte del ACS significa más conversiones y la transferencia de responsabilidad en cada transacción autenticada. Un ACS demasiado sensible que desafía todo significa carritos abandonados y clientes molestos.

Por qué esto importa para los pagos telefónicos

Los pagos telefónicos no tocan el ACS. Las transacciones MOTO están exentas de SCA, no hay paso 3DS y el comercio mantiene la responsabilidad por contracargos. Ese es un costo real — las tasas de fraude en MOTO son más altas que en e-commerce autenticado con 3DS, y no puedes apoyarte en el emisor para que asuma el golpe.

La solución que recomendamos cuando la responsabilidad importa es sencilla: enviar un enlace de pago seguro durante la llamada. El cliente paga desde su propio navegador en su propio dispositivo, la transacción pasa por los rieles habituales de 3DS, el ACS hace su trabajo y obtienes la transferencia de responsabilidad que nunca tendrías en un flujo de solo voz. Misma conversación, mismo agente, pero la parte del pago es ahora una transacción de e-commerce autenticada.