Prácticas recomendadas

Agregar compatibilidad con Google Pay puede parecer un proceso estándar, pero hay muchas decisiones que debes tomar y que afectan el éxito de tu proyecto de integración con Google Pay. Los atajos técnicos pueden imponerles una carga adicional a tus usuarios, por lo que es importante tener presente la experiencia del usuario cuando se planifica una integración. Si buscas oportunidades para optimizar la forma en que tus tarjetas se agregan y administran en la billetera del usuario, experimentarás tasas de éxito de tokenización más altas, una mayor participación de los clientes, bastante menos llamadas al servicio de atención al cliente, y podrás representar bien a tu marca por medio de Google Pay.

Integración con las APIs de Google Pay

Google Pay ofrece APIs que te permiten administrar con mayor precisión las forma en que tus clientes interactúan con la Billetera de Google. La API de aprovisionamiento push te permite agregar funciones de la Billetera de Google a tu propio sitio web o app de banca electrónica. Muchas entidades emisoras de todo el mundo eligieron realizar la integración con nuestra API de aprovisionamiento push para disminuir la complejidad operativa y ahorrar en los costos relacionados con la ejecución de su propia billetera de HCE.

Prácticas recomendadas de la API de Push Provisioning

Para que optimices tu integración con la API de aprovisionamiento push, Google te sugiere incorporar las siguientes prácticas recomendadas:

  1. Ruta verde: Si es posible, envía a ruta verde la asignación de token de aprovisionamiento push.

  2. Emisión instantánea: Alienta a los usuarios a agregar la tarjeta a la Billetera de Google mientras esperan a que les llegue la física.

  3. Destaca la función de aprovisionamiento push: Publica banners en tu app para promocionar el aprovisionamiento push y haz que el botón de aprovisionamiento sea de fácil acceso.

Para conocer más detalles, consulta Prácticas recomendadas para el aprovisionamiento push.

Prácticas recomendadas para la ID&V

Google admite una amplia variedad de métodos de ID&V. Los procesos de ID&V bien diseñados y con alto rendimiento producen tasas de activación de tokens de +90% en Google Pay (consulta la lista de métodos de ID&V en orden de tasas de activación. El propósito de la ID&V es evitar la actividad fraudulenta en el dispositivo, pero, en la práctica, también se pierden muchos usuarios legítimos en este paso. Los usuarios legítimos perdidos durante la ID&V no pueden usar tu tarjeta en Google Pay y se ven obligados a usar una tarjeta de otra entidad emisora en Google Pay o utilizar una tarjeta física. Hacer una pequeña inversión adicional anticipada para admitir un conjunto más diverso de opciones de ID&V proporciona beneficios significativos en términos de adopción y seguridad, y una menor cantidad de llamadas al equipo de asistencia.

1. Aprovecha al máximo los indicadores de riesgo

Google proporciona varios indicadores de riesgo y recomendaciones, incluidas, sin limitaciones, las puntuaciones de riesgo de cuenta y dispositivo, por medio de cada TSP. Los indicadores específicos dependen del TSP y de los datos que este te proporcione. Estos indicadores pueden disminuir significativamente el riesgo de fraudes sin requerir ninguna interacción adicional por parte del cliente. Estos datos junto con el motor de riesgos de la entidad emisora le permiten a la entidad emisora determinar el enfoque de ID&V correcto que se le debe ofrecer al usuario para cada solicitud de aprovisionamiento. Por ejemplo:

  • La mayoría de las entidades emisoras reservan la ruta roja para una calificación de riesgo inaceptable, lo que suele ser un porcentaje muy pequeño de los intentos.

  • La mayoría de las entidades emisoras envían los intentos de aprovisionamiento manual a la ruta amarilla, excepto cuando se trata de un dispositivo de confianza (p. ej., configurar un teléfono nuevo cuando el anterior ya tenía un token de dispositivo).

Comunícate con tu TSP para saber más detalles sobre los campos que puede proporcionar para optimizar tu evaluación de riesgos.

2. Relaciona las opciones de ID&V con el nivel de riesgo

Las entidades emisoras pueden adaptar los métodos de ID&V que les ofrecen a los usuarios en función de sus puntuaciones de riesgo de cuenta y dispositivo. Por ejemplo, para los intentos de alto riesgo, las entidades emisoras pueden elegir ofrecer los métodos que consideran que brindan la mejor seguridad. Para los intentos de bajo riesgo, ofrecer el paquete completo de métodos de ID&V estaría bien.

best-practice-match-idv-options-to-risk-level

3. Usa RCS para las OTP por SMS

Las entidades emisoras pueden garantizar que la OTP se envíe con los servicios de comunicación enriquecida (RCS). Los chats RCS pueden proporcionar una mejor experiencia de mensajería enriquecida que ofrezca mayor seguridad (es decir, los mensajes enviados entre el emisor y el usuario se encriptan, el ID de emisor y la insignia de verificación aparecen en el encabezado de la app). Los RCS también están disponibles por Wi-Fi y datos móviles.

best-practice-rcs-for-sms-otp

4. Usa las OTP por SMS para redireccionar al usuario a su app de banca electrónica

Aunque la verificación de app a app está disponible y supone menos inconvenientes, como alternativa, las entidades emisoras también pueden incluir un vínculo en la OTP por SMS para que el usuario acceda a su app de banca electrónica. Una vez que ingrese a la app, tiene la opción de completar la inscripción, o se muestra la OTP real (es decir, en notificaciones o mensajes). Luego, se usa esta OTP para completar el aprovisionamiento de la Billetera de Google.

best-practice-sms-redirect-banking-app

5. Prácticas recomendadas generales sobre mensajería para las OTP por SMS y por correo electrónico

  • Si usas OTP por SMS, adopta los RCS para ofrecer una experiencia de mensajería enriquecida.
  • Menciona claramente que este es un intento para agregar una tarjeta a la Billetera de Google.
  • Recuérdale al usuario que no debe compartir este número con nadie.
  • Envíale al usuario un SMS, correo electrónico o notificación de app de confirmación adicional cuando su tarjeta se agregue a la Billetera de Google. Incluye detalles sobre cómo el usuario puede marcar y derivar rápidamente un caso (es decir, si no aprovisionó la tarjeta por su cuenta).

best-practice-otp-general_messaging

6. Métodos alternativos de ID&V que les permitan a las entidades emisoras cumplir con la autenticación reforzada de clientes

La verificación de app a app y la autenticación segura basada en la Web que tu TSP aloja (consulta la siguiente ilustración) también son opciones para cumplir con la [autenticación reforzada de clientes].

best-practice-web-based-authentication

Vuelve a vincular los tokens cuando los números FPAN cambien

Cuando los números FPAN cambian, los token de dispositivo de esa tarjeta pueden actualizarse para vincularse al nuevo FPAN. La actualización mantiene el token activo y actualiza los últimos cuatro dígitos del número FPAN que se muestra en la UI de Google Pay. Esto también puede actualizar opcionalmente otros atributos de metadatos, como el diseño de la tarjeta. A menudo, esta función se ignora, aunque les brinda un gran beneficio a los clientes.

Por ejemplo, cuando la tarjeta de un cliente vence y se emite un reemplazo, el token que se crea con la tarjeta anterior puede actualizarse para vincularse al nuevo número FPAN. Esto significa que los usuarios no necesitan pasar por todo el proceso de volver a realizar la asignación de token de su tarjeta y, quizás, enfrentarse a un nuevo desafío de ID&V de ruta amarilla.

De forma similar, cuando se detecta un fraude en la cuenta, por lo general, no está relacionado con el token en el dispositivo del usuario, sino que suele concentrarse en la tarjeta física o en un solo token. Si el fraude se produjo en la tarjeta física, la cuenta anterior puede cancelarse y reemplazarse por una cuenta nueva. Aquí, también, puedes brindar una gran experiencia del cliente volviendo a vincular el token al nuevo número FPAN para que el usuario pueda usar el token mientras espera a que llegue la tarjeta de reemplazo por correo postal.

Si quieres obtener más información para implementar la revinculación de tokens, comunícate con tu TSP.