Una mirada entre bastidores: cómo es la infraestructura de pagos y seguridad de Pleo

featured-image

No te pierdas ni un artículo

A todos nos encanta que las tarjetas Pleo se puedan usar de muchas formas. Gracias a nuestra solución, puedes contar con una tarjeta física y otra virtual que se pueden usar en Apple Pay y Google Pay, de manera que resulte de lo más cómodo.

Sin embargo, Pleo no solo es un sistema de pagos muy cómodo. También nos enorgullece que cerca del 99 % de nuestros clientes afirme que se sienten seguros cuando usan nuestra solución .

¿Qué es lo que hace de Pleo un sistema de pagos tan seguro? Se lo hemos preguntado a nuestro Director Sénior de Producto, Parth Parikh, que se encarga de todo lo relacionado con los pagos con Pleo, y nos ha contado cómo funciona una transacción de Pleo desde dentro.

¿Qué procesos se producen cuando se realiza un pago con la tarjeta Pleo?

Normalmente, hay dos tipos de transacciones que se pueden hacer con tarjeta: la que conocemos como “transacción con tarjeta presente” y la “transacción sin tarjeta presente”.

Veamos qué ocurre si pagamos un café con la tarjeta de forma presencial:

En esa transacción participa el comerciante, es decir, el lugar en el que usas la tarjeta Pleo para pagar. Después, tenemos al adquiriente, al que podemos llamar cafetería SumUp (quien proporciona el terminal de punto de venta o TPV) y a ti, que colocas la tarjeta sobre el dispositivo. Una vez hecho esto, la información de la tarjeta se traspasa al TPV. De ahí en adelante, el adquiriente debe procesar esta información y enviarla a la red. En el caso de Pleo, la red que usamos es la de Mastercard, que es la que se asigna a todas nuestras tarjetas. Después, la red identifica a qué emisor pertenece la tarjeta. Si tienes la suerte de tener una tarjeta Pleo, el emisor será Pleo. La red envía el mensaje, que el emisor de la tarjeta acabará recibiendo para decidir si se aprueba o no la compra que se está realizando con esa tarjeta.

Los diferentes actores involucrados en el proceso de pagos de Pleo

El auténtico reto es que Mastercard cuenta con una manera muy críptica de mandar este mensaje. Se trata de un formato ISO 20022 muy específico, que la mayoría de emisores no pueden leer. Deberíamos dedicar muchísimos recursos para hacerlo. Por tanto, pedimos a otra persona que simplifique este mensaje. Ese es el papel de Enfuce, el procesador de la tarjeta. Enfuce se encarga de procesar la transacción (consume el mensaje de Mastercard, lo simplifica y lo envía a Pleo). Hecho esto, Pleo puede leer la transacción y, después, decidir si queremos aprobarla. Esto es algo que la mayoría de emisores de tarjetas deciden hacer, solo los grandes bancos cuentan con sus propios procesadores de tarjetas. Para la mayoría de los emisores, es más eficiente pagar por los servicios de un tercero que asumir ese trabajo internamente.

¿En qué se diferencian las redes como Mastercard o Visa?

Normalmente, el emisor decide qué red utiliza. Pleo tiene un contrato con Mastercard. El adquiriente puede enviar señales a todas las redes, pero detecta aquella que el emisor ha asignado a la tarjeta.

Técnicamente, no hay diferencia entre las redes. Es como comprar en un supermercado o en otro: el resultado es el mismo.

Sin embargo, Mastercard es la red más extendida y aceptada en el mundo, aceptada por más de 30 millones de comerciantes, lo que convierte a Pleo en una solución de gastos de lo más práctico.

Que la tarjeta sea aceptada en el mayor número de establecimientos posible es muy importante a la hora de elegir una tarjeta de empresa. ¿Por qué motivos se podría rechazar una tarjeta?

Esto puede deberse a diferentes razones. Aquí tienes algunos ejemplos:

La primera razón posible es que el adquiriente del comerciante no trabaje con ciertas redes. En realidad, no es el comerciante quien decide (en la mayoría de los casos) si se acepta una tarjeta, sino el adquiriente que esté usando.

La segunda razón podría ser que el adquiriente trabaje con la red de la tarjeta utilizada, pero que los detalles de la tarjeta no sean correctos y activen una comprobación de riesgos. Esto podría darse si viajas a Aruba usando una tarjeta Mastercard coreana, por ejemplo. Estos casos son muy poco habituales e inesperados.

Una tercera razón posible sería que el adquiriente acepte la información de la tarjeta, la pase a la red, pero el emisor decida que esa transacción no se ajusta a sus normas estandarizadas de aceptación, posiblemente porque incumpla los parámetros configurados para las transacciones (como el límite de gasto diario, por ejemplo).

En Pleo contamos con un motor de riesgos que ejecuta reglas de transacción capaces de determinar si una transacción conlleva riesgos o si un comerciante no es seguro. Si es el caso, se comprueba la transacción y se podría llegar a congelar la tarjeta inmediatamente. Si vas a un país de alto riesgo a realizar pagos con Mastercard, es posible que la transacción pase el análisis del procesador de la tarjeta, pero Pleo no autorizará la compra hay riesgo debido a sanciones o a posibles blanqueamientos de dinero. Es muy sencillo: directamente rechazaremos la transacción.

La lista de reglas es personalizable e inteligente, lo que significa que el motor de riesgos aprende usando los datos anteriores. Si sigues usando la tarjeta con el mismo comerciante, el motor aprenderá que no pasa nada si se acepta esta transacción.

¿En qué momento el dinero abandona realmente tu cuenta de Pleo?

Si Pleo, como emisor, aprueba una transacción, ya se habrá completado la primera fase. Esta fase se conoce como “autorización de la tarjeta”, mientras que la segunda fase se llama “liquidar saldo”.

La primera fase implica que realmente no se ha movido el dinero aún, el emisor simplemente ha autorizado la transacción. Ahora, el comerciante puede acudir a Pleo más tarde para recoger el saldo pendiente. Este paso final en el que el dinero pasa de tu Cartera de Pleo al comerciante se conoce como “liquidar saldo”. Este proceso suele completarse dos días después de realizar la transacción.

Todo el mundo conoce el famoso depósito que se debe realizar cuando se alquila un coche. Con Pleo se aplica el mismo principio: el depósito de 500 € se autoriza y se bloquea en tu tarjeta, pero no se pierde (salvo que se dañe el vehículo).

Una vez liquidada una transacción, el usuario puede iniciar una disputa sobre una compra realizada con su tarjeta Pleo, argumentando que se realizó de manera fraudulenta o sin su conocimiento ni permiso y, así, comenzará una reclamación de devolución. Esta puede llevar varios días y está sujeta a la revisión del comerciante. Entre la autorización y la liquidación, el comerciante tiene la oportunidad de evitar que el dinero se transfiera o de organizar una liquidación parcial.

Nuestros clientes deben recargar sus Carteras de Pleo para usar sus tarjetas Pleo. ¿Dónde se almacena el dinero exactamente?

El dinero no nos llega directamente a nosotros.

Trabajamos con bancos asociados de confianza, que cuentan con una red de pagos interconectada global, como J.P. Morgan, Banking Circle y Danske Bank.

Para ser más específicos, cuando recargas tu Cartera, los fondos pasan primero por una cuenta protegida de J.P. Morgan (o de Danske Bank para nuestros clientes de Dinamarca y Suecia). Esto significa que ni nosotros, ni ninguna otra persona, tiene acceso directo a tu dinero.

Si se realiza una transacción y Mastercard busca los fondos para cubrirla, Pleo toma el dinero de J.P. Morgan (o Danske Bank) para pagar.

¿Es muy habitual que una empresa de soluciones de gastos empresariales como Pleo sea el emisor de las tarjetas que utilizan los clientes?

Si echamos un vistazo a nuestra competencia, en algunos casos ellos son también los emisores, igual que Pleo. Sin embargo, en otros casos nuestra competencia no es el emisor directo de las tarjetas. Esto implica que solamente se encargan de regular las tarjetas. Sin embargo, pueden supervisar las transacciones y establecer reglas de transacción para que esta pase al emisor.

¿Cuál es la diferencia al comprar con una tarjeta virtual?

Cuando hablamos de una tarjeta virtual, nos referimos a que su información no se almacena en una tarjeta física. Esa es la única diferencia entre ambos tipos. Puedes realizar una transacción con la tarjeta presente, ya sea con una tarjeta física o virtual. En ambos casos, tu tarjeta estará presente, lo que significa que puedes colocar la tarjeta virtual sobre el TPV (usando tu smartphone o smartwatch) de la misma manera que lo harías con una tarjeta física.

Este también es el motivo por el que, desde el punto de vista de los emisores, nos importa si se trata de una transacción de tarjeta presente o de tarjeta no presente . Una transacción de tarjeta no presente sería aquella en la que, por ejemplo, se realiza una compra en línea y se utilizan los detalles de tu tarjeta física o virtual para pagar.

¿Esto significa que las tarjetas virtuales conllevan los mismos riesgos que las tarjetas físicas?

Significa que una compra tiene mayor riesgo si la tarjeta no está presente, si no se almacena en un dispositivo personal que se utiliza para pagar o si no está presente en tu mano para colocarla o insertarla en un TPV.

En cuanto a la seguridad de los pagos, las tarjetas virtuales y físicas son igual de seguras.

Al final, las transacciones en línea o de tarjeta no presente tienen mayor riesgo que las transacciones tradicionales, simplemente porque el comerciante y el usuario de la tarjeta no están juntos en el mismo lugar.

Para los pagos en línea, no hay ningún dispositivo adquiriente físico. Entonces, ¿cómo se procesa una transacción de este tipo?

Los comerciantes en línea suelen usar un adquiriente de terceros (como PayPal, en el que debes indicar los detalles de tu tarjeta). Los pasos siguientes son prácticamente los mismos de los pagos sin conexión. El adquiriente envía un mensaje a la red, la red envía un mensaje al procesador de la tarjeta y el emisor debe autorizar el pago.

Sin embargo, por motivos de seguridad, hay un paso adicional que los emisores deben completar, llamado Autenticación reforzada de clientes . Este proceso de autenticación en línea solo es necesario para las transacciones de tarjeta no presente. El emisor comprobará si el comerciante es un comerciante conocido y habitual. Si no lo es, enviarán una notificación a tu teléfono pidiéndote que apruebes la transacción.

Desde Pleo decidimos crear un motor inteligente en nuestro ecosistema que determina si un comerciante es un proveedor reconocido.

Cuando hablamos de Pleo, tenemos que hablar de los dos versiones de Pleo: Pleo Financial Services y Pleo Technologies. ¿Qué función desempeñan en las transacciones?

Enfuce y Pleo forman parte de Pleo Financial Services, una entidad financiera regulada por la FSA en Dinamarca. Solo una empresa con registro financiero puede emitir una tarjeta. Sin embargo, la tecnología que el servicio financiero utiliza se puede alojar en una entidad independiente. Esto se debe a que el servicio financiero puede comprar la tecnología para, por ejemplo, determinar qué comerciante es seguro y cuál no. En el caso de Pleo, Pleo Financial Services necesita adquirir esta tecnología de un tercero, que en este caso es Pleo Technologies, una empresa tecnológica de desarrollo de software. Nuestra aplicación, por ejemplo, fue diseñada por Pleo Technologies. Son dos empresas independientes.

Utilizar dos compañías independientes para ofrecer el producto final es una práctica habitual en las empresas de soluciones de gastos.

¿Hay alguna otra ventaja por emitir nuestras propias tarjetas dentro de Pleo Financial Services?

La existencia de Pleo Financial Services implica que podemos aplicar nuestras propias normas de cumplimiento y fraude, y mantener una relación cercana con el regulador financiero.

No dependemos de ninguna otra institución para cumplir las normativas y no estamos expuestos a los errores gubernamentales cometidos por terceros.

Tres personas controlando diferentes procesos a través de pantallas

¿Cómo podemos asegurar a nuestros clientes de que su dinero estará a buen recaudo con nosotros?

Todas las tarjetas Pleo son seguras, cuentan con servicios de protección y detección de fraudes. Las compras se supervisan usando algoritmos de detección de fraudes, que congelarán las tarjetas temporalmente si se detecta alguna actividad sospechosa.

Simplemente ofrecemos el mayor nivel de seguridad de pagos y de datos. Contamos con todas las certificaciones para proteger las transacciones y sus datos:

El certificado PSD2 indica que nuestro servicio es seguro desde el punto de vista de las transacciones de riesgo y seguras. Como hemos explicado anteriormente, hay un requisito básico para nuestro motor de riesgos. Sin embargo, a ese requisito se suman otras reglas que hemos configurado. Los juegos de azar y apuestas, por ejemplo, no están prohibidos por el regulador, pero nosotros hemos dado un paso más allá para que no se puedan usar esos servicios con las tarjetas Pleo. En estos casos se usa la Autenticación reforzada de clientes para aportar un nivel adicional de seguridad en los pagos y en la autenticación de los usuarios.

El certificado PCI DSS trata la privacidad y la seguridad de tus datos. Desde el momento en el que colocas la tarjeta sobre un TPV, tus datos pasan por un proceso de tokenización. Si alguien consiguiera acceder a estos datos, no les encontraría ningún sentido. Tus datos estarán cifrados por completo. Todos los datos se protegen usando los niveles de seguridad bancaria más altos.

La política de protección Zero Liability de Mastercard significa que los clientes de Pleo (así como todas las transacciones) cuentan con la protección de Mastercard. Si tu tarjeta se ha usado para actividades fraudulentas, se te reembolsarán los importes.

Pleo cumple con el RGPD en cuanto a los requisitos de privacidad y seguridad de los datos de la UE . No usaremos los datos de los clientes para ningún fin no permitido por la ley. No los compartiremos con agencias de marketing de sitios web ni los usaremos para boletines de noticias, etc. sin tu permiso.

Utilizamos algunas de las mejores tecnologías del sector para evitar actividades criminales con nuestras tarjetas.

No te pierdas ni un artículo

Inscríbete ahora para recibir artículos, guías e información sobre las últimas actualizaciones de Pleo.