Guía de migración a la SCA para Billing

Autenticación reforzada de clientes

La autenticación reforzada de clientes (SCA), una normativa que entró en vigor el 14 de septiembre de 2019 como parte de la Segunda Directiva sobre servicios de pago (PSD2) de Europa, obliga a hacer cambios en la forma en la que los clientes europeos autentican sus pagos en línea. Esta normativa se aplica a los pagos en línea cuando el banco del cliente y la empresa se encuentran en el Espacio Económico Europeo (EEE).

La SCA les exige a las empresas que usen dos elementos de autenticación independientes para verificar los pagos. En la práctica, esto significa que se agrega un nuevo paso al proceso en el que los clientes deben confirmar el pago con un método de autenticación, como una contraseña, un token de hardware o un dato biométrico. 3D Secure 2 es el método de autenticación principal utilizado a fin de cumplir con los requisitos de la SCA para pagos con tarjeta.

Las transacciones que no cumplan con estos requisitos de autenticación y que no puedan acogerse a una exención pueden ser rechazadas.

Cambios en Stripe Billing

Como resultado del incremento de las fricciones en los pagos provocada por la SCA, es esperable que se alarguen los tiempos de cobro y que las tarifas de conversión sean más bajas. Los cambios en Stripe Billing te permiten maximizar tus ingresos con estas restricciones. Estos cambios incluyen:

• Nuevos estados de suscripción para facilitar el pago inicial
• PaymentIntents that are now exposed on invoices as a mechanism for multi-state payments
• SetupIntents que pueden utilizarse para recopilar los datos de autenticación mientras los clientes están en sesión
• Un nuevo webhook que indica si la SCA es obligatoria para el pago
• Una página de facturas alojadas actualizada que les permita a los clientes completar el paso de autenticación requerido por la SCA
• Un nuevo conjunto de correos electrónicos de reclamación de pagos que ayudan con el cobro cuando se exige la SCA

Cómo la SCA repercute en Billing

La autenticación reforzada de clientes afecta a los cargos con tarjeta entre clientes y empresas del EEE. Esto cambia cómo se efectúan los pagos durante la sesión y fuera de la sesión.

Cómo usar los acuerdos de autenticación anteriores

Puedes usar los acuerdos de autenticación anteriores para todos los pagos fuera de sesión si se cumplen los siguientes criterios:

• Tarjetas de clientes de la Unión Europea guardadas antes del 31 de diciembre de 2020
• Tarjetas de clientes del Reino Unido guardadas antes del 14 de septiembre de 2021

Para los siguientes escenarios, esto significa que no tienes que volver a guardar las tarjetas ni reautenticar a los clientes. Si utilizas Stripe para pagos no recurrentes, consulta la guía sobre pagos fuera del alcance.

Cómo actualizar la integración de Billing para que sea compatible con SCA

Las actualizaciones que necesitas hacer en tu integración dependen de cómo usas Stripe Billing. Hay cuatro escenarios posibles que debes administrar para aceptar la SCA. Debes evaluar tu integración en función de estos escenarios para saber cuáles se aplican a tu caso.

• Escenario 1: cobro inicial a clientes durante la sesión
• Escenario 2: cobro inicial a clientes fuera de la sesión
• Escenario 3: gestión de cobros recurrentes después de que el cliente hace su primer pago
• Escenario 4: facturas puntuales

El primer escenario se aplica a tu caso si les cobras a los clientes inmediatamente después de que se suscriben. Esto significa que el primer pago del cliente se hace durante la sesión. El segundo escenario se aplica a tu caso si no les cobras a los clientes inmediatamente después de que se suscriben, y hacen el pago inicial fuera de la sesión.

El tercer escenario se aplica a la mayoría de los usuarios de Billing porque es para administrar pagos recurrentes, es decir, todos los pagos que se efectúan después del primero. El cuarto escenario solo se aplica a tu caso si utilizas facturas por compras puntuales.

Sin importar los escenarios que se apliquen a tu integración, cuando creas suscripciones, puedes expandir el atributo latest_invoice.payment_intent para determinar el resultado del pago. También puedes expandir pending_setup_intent cuando gestionas suscripciones sin un pago inicial, como se ve en el escenario 2.

Escenario 1: cobro inicial a clientes durante la sesión

Cuando se cobra de inmediato, el primer cargo del cliente por la suscripción requiere SCA. Esto implica que debes agregar un paso de autenticación al flujo de creación de la cuenta o de finalización de compra de tu aplicación. Cuando los clientes configuran su suscripción por primera vez, lo hacen durante la sesión. Esto significa que están en un navegador o una aplicación y que pueden reaccionar a tus pedidos.

Cuando se configura una suscripción que se factura de inmediato, Stripe intenta hacer un cargo en la tarjeta guardada para el cliente como parte de la llamada para crear la suscripción o crear el cliente que genera la suscripción.

Paso 1: cómo crear suscripciones

Las suscripciones tienen nuevos estados incompletos que debes usar para admitir la SCA. Sin embargo, tienes dos opciones para acceder a estos estados. La primera opción te permite seguir usando una versión anterior de la API, pero requiere que pases un indicador en alguna de tus llamadas API. La segunda opción consiste en actualizar la versión de la API. Las opciones se explican más adelante, pero los diagramas a continuación ofrecen una vista general del comportamiento de las suscripciones con estos estados.

Cuando un pago se efectúa correctamente, el estado de la suscripción pasa a active y no es necesario hacer nada más. Cuando un pago falla, el estado de la suscripción pasa a incomplete y el atributo latest_invoice.payment_intent.status pasa a requires_payment_method. En estas situaciones, deberás cobrar al cliente con otro método de pago usando el punto de conexión Paga una factura.

Cuando un pago requiere la SCA, el estado de la suscripción pasa a incomplete y el atributo latest_invoice.payment_intent.status se establece en requires_action. En estas situaciones, el cliente tiene que completar un flujo de autenticación con 3D Secure usando latest_invoice.payment_intent. En el siguiente paso, se explica cómo hacerlo.

Puedes usar las tarjetas de prueba reglamentarias para explorar este comportamiento en tu entorno de prueba. Para obtener instrucciones detalladas sobre cómo crear una integración de suscripciones completa, consulta la guía de integración.

Opción 1: uso del indicador de comportamiento de pago

Si no actualizas la versión de la API, pero especificas el nuevo indicador payment_behavior=allow_incomplete en las llamadas para crear y actualizar la suscripción, tus suscripciones usarán la nueva funcionalidad de estados incompletos. Esto te permite administrar los escenarios en los que se exija la SCA, según se explica en el siguiente paso. Mira la sección de preguntas frecuentes al final de este documento para encontrar una lista completa de los puntos de conexión a los que debes transmitir este indicador.

Si no actualizas la versión de la API y no especificas el indicador payment_behavior, fallarán los intentos de crear suscripciones con el requisito de SCA y se obtendrá un card_error. Esto corresponde a un comportamiento antiguo que bloquea la creación de la suscripción si falla el pago.

Opción 2: actualiza tu versión de API

Si actualizas a la versión de API 2019-03-14 o posterior, tus suscripciones automáticamente utilizarán la funcionalidad de estados incompletos. Después de actualizar la API, puedes pasar al siguiente paso.

Paso 2: gestión de la autenticación reforzada de clientes

Para completar el pago de un cargo que requiere la SCA, puedes usar Stripe.js o un flujo de redireccionamiento al navegador. Se recomienda Stripe.js porque la mayoría de los usuarios de Stripe ya lo usan y facilita la administración de la autenticación mediante 3D Secure. El uso de Stripe.js implica especificar latest_invoice.payment_intent.client_secret en el método confirmCardPayment, lo que abrirá un cuadro de diálogo en donde el cliente podrá autenticar el pago.

Como alternativa, si no quieres usar Stripe.js, puedes pasar una return_url al punto de conexión de confirmación del PaymentIntent e iniciar un flujo de redireccionamiento:

curl https://api.stripe.com/v1/payment_intents/{{PAYMENT_INTENT_ID}}/confirm \
  -u "
sk_test_BQokikJOvBiI2HlWgH4olfQ2
:" \
  --data-urlencode return_url="https://www.example.com/return_url"

Para obtener más información sobre el uso de la API Payment Intents para realizar la autenticación con 3D Secure de Billing, consulta la guía de resumen.

After the customer successfully completes the redirect or modal flow, the subscription status is active and the invoice status is paid. Be aware that the customer might quit their browser after authentication, but before being redirected. To provide more robust handling, Stripe recommends listening to invoice webhooks as described in the next step.

Paso 3: suministro y entrega

Los clientes pueden abandonar el navegador antes de que se ejecute la llamada de retorno confirmCardPayment o antes de que se haga el redireccionamiento a la return_url. En estos casos, es posible que en tu aplicación no se pueda ver que se ha completado el pago, y quizá no se suministre el producto asociado al cliente. Para evitar estas situaciones, puedes escuchar la notificación de evento invoice.paid y verificar que el estado de la factura sea paid y billing_reason=subscription_create. Esto significa que puedes darle al cliente acceso a la suscripción.

Escenario 2: cobro inicial a clientes fuera de la sesión

La creación de suscripciones con períodos de prueba gratis, cobro por uso o facturas con descuentos a través de cupones o la aplicación de saldos del cliente suele generar facturas que no exigen pago. Esto significa que al cliente no se le cobra inmediatamente después de crear la suscripción. En estas situaciones, debes guardar los datos de pago del cliente y autenticar su tarjeta mientras está en la sesión para poder cobrarle más tarde.

Para manejar situaciones como esta, Stripe creó la API Setup Intents, que te permite:

• Recopilar información de pago
• Autenticar la tarjeta del cliente
• Autorizar la tarjeta del cliente sin efectuar un cargo

La recopilación adelantada de la información de pago y la autenticación del método de pago le permiten a Stripe aplicar exenciones en tu nombre. Estas exenciones generalmente reducen la probabilidad de que se requiera 3D Secure cuando se le cobre al cliente fuera de la sesión.

Si la creación de la suscripción no requiere un pago inicial y si se recomienda la autenticación mientras el cliente está en sesión, Stripe Billing crea automáticamente un SetupIntent. Esto se expone en el objeto Subscription a través del atributo pending_setup_intent. Consulta la sección Cómo usar SetupIntents para obtener más información sobre SetupIntents y cómo usarlos con Billing. Para crear suscripciones y cobrar el pago inicial a los clientes fuera de la sesión, debes:

1. Usa CreatePaymentMethod para recopilar la información de pago.
2. Crear un cliente con la ID del PaymentMethod que creaste.
3. Crea la suscripción.
4. Configura la administración de errores con confirmCardSetup para errores de autenticación y confirmCardPayment para errores de autorización.

También puedes usar SetupIntents para cambiar el método de pago en un cliente o suscripción. En la sección Cómo guardar tarjetas sin hacer un pago, se explica cómo hacerlo a nivel del cliente. A nivel de la suscripción, Stripe actualiza automáticamente el campo pending_setup_intent en el objeto Subscription si se recomienda autenticar el nuevo método de pago predeterminado.

Escenario 3: administración de cargos recurrentes después de que el cliente efectúa el primer pago

Por lo general, los cargos recurrentes se hacen cuando el cliente está fuera de la sesión. Si no se aplican exenciones al cargo y se requiere la SCA, el usuario debe volver a iniciar sesión para poder hacer el pago. Para ello, puedes usar las herramientas prediseñadas de Stripe o crear tu propia herramienta. En el diagrama a continuación se explican estas opciones con mayor detalle.

Cuando llega la fecha de facturación o el umbral de una suscripción, se intenta cobrar la suscripción asociada. Si el cargo requiere SCA, el estado de la suscripción pasa a past_due. Con las herramientas de Stripe, puedes habilitar un conjunto de correos electrónicos específicos para 3D Secure que los clientes recibirán cuando se exija la SCA. Como alternativa, si deseas enviar tus propios correos electrónicos, pero no quieres construir tu propio flujo de autenticación, puedes utilizar nuestra página de facturas alojadas.

Si decides desarrollar tu propia herramienta, puedes escuchar el nuevo webhook invoice.payment_action_required o el webhook existente customer.subscription.updated para recibir notificaciones acerca de suscripciones cuyo estado haya pasado a past_due debido a requisitos de SCA. Si esto ocurre, necesitas que el cliente vuelva a iniciar sesión para completar un flujo de autenticación similar al que se explica en el primer escenario.

Una vez que se autentica y se completa el pago, se actualiza el estado de la suscripción a active y el estado de la factura a paid.

Escenario 4: facturas puntuales

Una factura puntual también puede estar sujeta a la SCA. Los cambios que necesites hacer para gestionar facturas puntuales dependen de cómo usas Billing. Si ya usas nuestra página de facturas alojadas, tu flujo es compatible con la SCA sin hacer ningún cambio. Si usas collection_method=charge_automatically, es posible que necesites que el cliente vuelva a iniciar sesión para completar la SCA. Puedes hacerlo usando nuestra página de facturas alojadas o a través de la gestión personalizado que se describe en el tercer escenario.

Si tu aplicación usa el punto de conexión Paga una factura, tendrás que empezar a usar nuestra página de facturas alojadas o diseñar una gestión personalizada porque este punto de conexión enviará un error HTTP 402 toda vez que se requiera la SCA. Si optas por diseñar una gestión personalizada, deberás usar el PaymentIntent de la factura para finalizar el pago. También tendrás que definir off_session al intentar pagar una factura con este punto de conexión.

Herramientas para cobrar pagos fuera de la sesión

Stripe Billing ofrece un conjunto de herramientas prediseñadas que sirven para gestionar los pagos que requieran la autenticación con 3D Secure automáticamente.

Puedes elegir que Stripe:

• Envíe un correo electrónico a tus clientes toda vez que un pago fuera de la sesión requiera la autenticación con 3D Secure
• Programe correos electrónicos de seguimiento para recordarles a los clientes que completen la autenticación
• Proporcione un enlace a una página de facturas alojadas donde los clientes puedan completar la autenticación

Puedes personalizar los correos electrónicos y la página de facturas alojadas en tu Configuración de imagen de marca.

En la siguiente tabla, se describen las distintas medidas que tú o Stripe pueden tomar para activar la SCA y cómo indicar de manera predeterminada si Stripe considerará la acción dentro o fuera de la sesión. Para las acciones fuera de la sesión, Stripe envía un enlace de autenticación si se ha habilitado la configuración de correos electrónicos para SCA.

Las acciones de la API para crear y actualizar suscripciones y para pagar facturas también tienen un atributo off_session que puedes definir manualmente. Si se define como true, se indica que el pago se hace fuera de sesión. Si se define como false, se indica que el pago se hace durante la sesión.

Correos electrónicos y reclamación de pagos

Puedes enviar un correo electrónico de reclamación de pagos a los clientes por pagos atrasados para aumentar las posibilidades de recuperación. Nuestro conjunto de correos electrónicos para clientes se ha actualizado para incluir notificaciones que indiquen si se requiere la autenticación con 3D Secure para pagos fuera de la sesión. Esto se agrega a la compatibilidad para enviar facturas, recibos y notificaciones de pagos fallidos.

Configuración de pagos con 3D Secure

Puedes programar cuándo enviar correos electrónicos relacionados con 3D Secure y determinar qué efecto tendrá la falta de pago en las suscripciones. Usa la configuración de Billing en el Dashboard de Stripe para configurar estos parámetros.

Solicitud de autenticación de pagos con la ayuda de los correos electrónicos relacionados con 3D Secure

Hay una plantilla de correo electrónico configurable que sirve para enviar un mensaje automático a los clientes para solicitarles la autenticación y completar el pago de su factura o suscripción.

Página de facturas alojadas

Stripe Billing proporciona una página de facturas alojadas que admite todas las facturas. Para aceptar los requisitos de la SCA, esta página ahora puede administrar la autenticación con 3D Secure.

Si un pago fuera de la sesión exige que el cliente complete la autenticación con 3D Secure, puedes enviarle un enlace a una página de facturas alojadas. Desde esa página, el cliente podrá confirmar el pago o, de ser necesario, agregar un nuevo método de pago. Después de la confirmación, el cliente podrá completar la autenticación ante su banco usando el cuadro de diálogo de 3D Secure 2 que se abre.

Exenciones para la SCA

La normativa SCA contiene un conjunto de exenciones. Estas exenciones implican que es posible que el cliente no necesite completar el paso adicional de autenticación para confirmar algunos pagos. El objetivo de Stripe es optimizar tu flujo de pago e intentar aplicar automáticamente todas las exenciones posibles para reducir la probabilidad de que los clientes deban hacer la autenticación.

Resumen de cambios de la API

La API contiene varias actualizaciones para ayudar a administrar los requisitos de la SCA y el flujo de autenticación.

Estados de las suscripciones

Se han agregado dos estados al recurso Subscriptions: incomplete e incomplete_expired. El estado de la suscripción pasa a incomplete solo cuando se intenta el primer cobro y este falla o exige la SCA. Todas las suscripciones cuyo estado sea incomplete y que no se paguen vencen en el término de 23 horas. Si esto sucede, el estado pasa automáticamente a incomplete_expired. Después de que el estado de la suscripción pasa a active, ya no puede volver a incomplete. Los futuros pagos que exijan SCA determinarán que el estado de la suscripción sea past_due.

Las suscripciones hacen referencia a su última factura

El campo latest_invoice de la suscripción hace referencia a la factura y afecta el estado de la suscripción. Este cambio se agrega a todas las versiones de la API.

Todas las facturas usan PaymentIntents para el pago

La API Payment Intents es la nueva API de pagos de Stripe que administra el ciclo de vida de un pago. Esto incluye un nuevo estado de pago requires_action y un atributo next_action. Estas nuevas incorporaciones indican cómo completar el pago que, por lo general, se efectúa a través de un redireccionamiento al banco del titular de la tarjeta para la autenticación o usando una URL integrada en la respuesta. El objeto Invoice ahora tiene un payment_intent que puedes usar para administrar el ciclo de vida del pago, además del atributo charge existente.

Este cambio se agrega a todas las versiones de la API y es compatible con versiones anteriores. Aun así, puedes usar el atributo charge para administrar pagos, pero si tu empresa necesita aceptar la SCA y desea compatibilidad para aceptar otros métodos de pago que requieran autenticación en el futuro, Stripe recomienda utilizar el atributo payment_intent.

Soporte de Stripe.js para la API Payment Intents

Las facturas para Stripe Billing son totalmente compatibles con la API Payment Intents, por lo que puedes aprovechar las funciones del asistente de Stripe.js que te ayudarán con tu flujo de pago. En especial, la función de JavaScript confirmCardPayment te ayudará con el cuadro de diálago de 3D Secure para recopilar la información de autenticación necesaria a fin de completar el pago. Este cambio solo es relevante si usas PaymentIntents.

Se envía un webhook invoice.payment_action_required si se requiere SCA

Cuando una factura requiere la intervención del cliente, Stripe envía un nuevo webhook invoice.payment_action_required con la factura asociada. Este webhook tiene la finalidad de complementar los webhooks existentes invoice.paid e invoice.payment_failed. Este cambio se agrega a todas las versiones de la API. Los actuales usuarios de Stripe Billing que no estén interesados en la SCA pueden ignorar este webhook.

Las suscripciones hacen referencia a SetupIntents para recopilar los datos de autenticación

Ahora, las suscripciones tienen un atributo pending_setup_intent que hace referencia a un SetupIntent. Este SetupIntent se puede usar para recopilar los datos de autenticación durante la sesión del cliente para optimizar los pagos fuera de la sesión. Este cambio se agrega a todas las versiones de la API.

Preguntas frecuentes

• ¿Se aplica la SCA a mi empresa?

  Las normas de la autenticación reforzada de clientes (SCA) se aplican a los pagos electrónicos si el banco del titular de la tarjeta y el proveedor de servicios de pago de la empresa están en el Espacio Económico Europeo (EEE). Obtén más información en el Resumen sobre la autenticación reforzada de clientes.

• ¿Qué métodos de pago requieren SCA?

  La autenticación reforzada de clientes se aplicará a los pagos electrónicos «iniciados por el cliente» dentro de Europa. Como resultado, la mayoría de los pagos con tarjeta y todas las transferencias bancarias requerirán la SCA. Los principales cambios de integración necesarios tienen que ver con las tarjetas, como se documenta en esta guía. Las transferencias bancarias no necesitarán un cambio de integración porque es el banco del cliente el que deberá autenticar las transferencias con su interfaz de banca electrónica.

• ¿Qué sucede si no actualizo mi integración o comienzo especificando el indicador payment_behavior?

  Las llamadas para crear o actualizar suscripciones que den como resultado cargos que exijan la SCA darán un error HTTP 402. Igualmente fallarán las llamadas al punto de conexión Paga una factura. En consecuencia, podrías sufrir un aumento general en los pagos fallidos.

• ¿Cómo puedo usar el nuevo comportamiento de suscripción sin actualizar la versión de la API?

  Si no tienes la opción de actualizar la versión de la API, debes utilizar el indicador payment_behavior=allow_incomplete. Dado que los pagos pueden iniciarse tanto durante la actualización de la suscripción como durante su creación, debes pasar este indicador a todas las llamadas de creación o actualización de subscription y subscription_item. A continuación, se muestra una lista de puntos de conexión a los que se aplica este indicador.

  • Crea un cliente
  • Actualiza un cliente
  • Crea una suscripción
  • Actualiza una suscripción
  • Actualiza el ítem de suscripción

  Solo se admite el indicador payment_behavior para la creación y actualización de clientes cuando se suscribe al cliente mediante una solicitud de la API. Ya no se documenta la creación y actualización de suscripciones mediante el uso de un objeto Customer, pero las API siguen siendo compatibles por motivos de herencia.

• ¿Con qué frecuencia se exigirá la SCA y cuándo podré basarme en exenciones?

  Para las suscripciones, Stripe está trabajando a fin de optimizar las exenciones alegadas en tu nombre. La SCA se aplicará sistemáticamente al primer cargo de una suscripción si tanto el comerciante como el cliente están situados en el EEE. Los cargos posteriores podrán estar sujetos a exenciones. En caso de facturas y cargos puntuales, Stripe solicitará exenciones en tu nombre toda vez que sea posible.

  Hay dos salvedades conocidas en relación con las exenciones de la SCA:

  • Algunos bancos emisores de tarjetas no admiten exenciones o no admiten algunas categorías de exenciones, aunque podrían hacerlo en el futuro.
  • El banco emisor de la tarjeta tiene el derecho incondicional de impugnar una solicitud de exención legítima. Se supone que esto sucede cuando el banco evalúa que una transacción es de alto riesgo.

  Cuando analices cómo actualizar tu integración, prevé siempre la posibilidad de la SCA.

• ¿Qué significa fuera de la sesión y por qué es importante?

  Un pago fuera de la sesión es un pago que se efectúa usando la información que se recopiló antes, sin la participación directa del cliente. Etiquetar las transacciones expresamente como fuera de la sesión le permite a Stripe solicitar exenciones en tu nombre. Por ejemplo, la exención en caso de una transacción iniciada por el comerciante (MIT) solo se aplica a pagos fuera de la sesión. Alegar esta exención disminuye la probabilidad de que se solicite la SCA, lo que reduce la fricción con el cliente.

• ¿Cuándo Stripe infiere automáticamente si el cliente está en sesión y fuera de la sesión en tu nombre?

  • Los pagos iniciados mediante la creación de la suscripción se toman como pagos efectuados durante la sesión.
  • Los pagos iniciados por sistemas automáticos de Stripe, como un pago por una suscripción recurrente, se consideran pagos efectuados fuera de la sesión.
  • Los pagos efectuados mediante el uso del punto de conexión Paga una factura deben marcarse expresamente como pagos fuera de la sesión usando el atributo off_session. Si no se define un valor, Stripe definirá true como valor predeterminado.

Registro de cambios de la guía de migración a la SCA

A continuación encontrarás una lista de las principales modificaciones introducidas en esta guía.

2019-07-15

• Se ha agregado contenido sobre qué son los SetupIntents y cuándo usarlos
• Se explica cuándo Stripe determina automáticamente si el pago se efectúa durante la sesión o fuera de la sesión
• Se explica cómo y cuándo establecer off_session en el punto de conexión Paga una factura.
• Se ha agregado un enlace a una nueva tarjeta para probar la SCA
• Se ha modificado el nombre del indicador enable_incomplete_payments a payment_behavior.
  • payment_behavior puede establecerse en allow_incomplete o error_if_incomplete

2019-04-15

• Publicación de contenido inicial