Validação de CPFs nas compras com cartão de crédito

A validação de CPFs é uma atividade importante para facilitar a validação dos dados de compradores, uma parte importante de uma estratégia de segurança no processamento de vendas pela Internet usando cartões de crédito.

O gmxCheckout pode realizar a consulta de CPFs em base nacional Receita Federal (RF) sempre que uma nova venda ou uma nova recorrência for gerada. Para isso basta informar os campos venda.consumidor.cpf e venda.consumidor.dataNascimentoStr na requisição e solicitar a ativação da consulta de CPF para a equipe de suporte (para recorrências, substituir a palavra venda por recorrência nesses campos).

Vale lembrar que a consulta só é possível com o envio da data de nascimento. Os formatos aceitos são yyyy-MM-dd (ISO) ou dd/MM/yyyy, onde yyyy representa o ano com 4 dígitos, MM representa o mês com 2 dígitos e dd representa o dia com 2 dígitos. Todos numéricos.

As informações retornadas na resposta da requisição de venda ou recorrência seguem abaixo. Para recorrência basta mudar a palavra venda para recorrência.

venda.cliente.cpfConsultado.nome – Nome obtido pela consulta
venda.cliente.cpfConsultado.cpf – CPF obtido pela consulta, idêntico ao enviado
venda.cliente.cpfConsultado.dataNascimento – Data de Nascimento – Pode divergir um dia para mais ou para menos devido a problemas cadastrais do governo
venda.cliente.cpfConsultado.dataInscricao – Data de inscrição do CPF na base da RF
venda.cliente.cpfConsultado.regular – Campo booleano (true ou false) indicando se o CPF está regular na RF

Além da consulta de dados, é possível ativar a validação. O CPF é validado algoritmicamente para verificar se os dígitos verificadores estão corretos e é então consultado na base da RF. Caso o CPF não exista ou esteja em estado irregular, a transação será negada com o código LR GMX3 para ‘CPF não encontrado’ ou GMX4 para ‘CPF inativo’

Também existe a possibilidade de se ativar a validação da data de nascimento recebida junto com o CPF. Essa validação é cumulativa com a acima. Além de validar o número, existência e regularidade do CPF, o GMX irá comparar a data de nascimento recebida na requisição de venda com a data retornada da consulta. Se a data de nascimento for divergente, a transação será negada com o código LR GMX5 ‘Data de nascimento divergente’. Como a base do governo possui erros com datas de nascimento, geralmente 1 dia a mais ou a menos, o GMX considera essa variabilidade e se a diferença entre a data de nascimento informada e a data obtida na consulta divergir em mais ou menos 1 dia, ela será considerada como correta.

As informações obtidas ao consultar o CPF de um cliente também podem ser visualizadas ao entrar nos detalhes de uma venda na interface web.

Dados da consulta de CPFs

Dados da consulta de CPFs

As informações acima também se aplicam a CNPJs. O CNPJ deverá ser informado no lugar do CPF e a data de abertura da empresa deverá ser informada no lugar da data de nascimento.

Esta é uma maneira eficiente de automatizar a consulta de CPFs e oferece mais uma maneira de prevenir o processamento de transações com potencial de gerar contestações.

Outras medidas preventivas também podem ser adotadas, dentre elas a Lista de Bloqueios, bloqueio automático de clientes com várias tentativas com cartões de crédito diferentes, analise do histórico de compras de clientes, a captura posterior de transações (após validação de dados), a tokenização de cartões e o 3D Secure para a autenticação de transações, permitindo o liability shift, ou seja, passar a responsabilidade de lidar com o recebimento de clientes que tentam contestar transações para o arranjo de pagamentos via cartão de crédito, composto pela Adquirente (ex: Cielo, Rede, …), bandeira (Visa, Mastercard, …) e instituições emissoras dos cartões de crédito (ex: Bancos, Fintechs, …).

Temos outros posts explicando cada um dos mecanismos acima em detalhes.

Vale lembrar que a consulta de CPFs é uma opção interessante porém a validação pode gerar falsos-positivos devido a falta de atenção dos clientes em disponibilizar essas informações durante uma compra na internet mas, por outro lado, pode ser considerado uma atitude negligente de qualquer estratégia de segurança não implantar uma consulta de CPFs.

E assim como as outras, para que ela tenha uma melhor eficácia, seu uso não pode ser divulgado pois caso o cliente saiba que isso está sendo usado ele pode evitar ser identificado, usando guias anônimas nos navegadores, mudando de e-mail e de cartões de crédito.

Como já alertado em outros posts, vale observar que ao implantar técnicas automatizadas de prevenção de fraudes, é possível que tentativas de compra legítimas sejam consideradas como ilegítimas e tentativas ilegítimas sejam consideradas legítimas. O desafio é minimizar a taxa de erros de ambas.

Se você tiver se interessado e quiser maiores informações, continue nosso blog ou entre em contato conosco que teremos o maior prazer em sanar suas dúvidas e te mostrar como o gmxCheckout é uma boa opção para você e para os seus negócios.

Boas vendas!

Usando a Lista de Bloqueios para prevenir contestações

Contestações ou chargebacks são realizadas por portadores de cartões de crédito quando os mesmos não reconhecem alguma compra realizada. E isso só pode ser feito para compras via internet não autenticadas. Este é um mecanismo de segurança que visa permitir que consumidores tenham uma segurança maior caso os dados dos seus cartões de crédito sejam extraviados, prevenindo grandes perdas financeiras.

Mas infelizmente essas perdas podem recair sobre os estabelecimentos comerciais então medidas preventivas são necessárias.

Segundo a Cielo, seguem algumas medidas preventivas importantes https://developercielo.github.io/manual/prevencao-fraudes

Dentre essas medidas temos o estabelecimento de uma “Blacklist” contendo informações a respeito de fraudadores. O gmxCheckout também possui a verificação automática de CPF, regras para bloqueio automático de clientes com várias tentativas com cartões de crédito diferentes, permite a exploração do histórico de compras de clientes, assim como captura posterior de transações (após validação de dados), a tokenização de cartões e o 3D Secure para a autenticação de transações, permitindo o liability shift, ou seja, passar a responsabilidade de lidar com o recebimento de clientes que tentam contestar transações para o arranjo de pagamentos via cartão de crédito, composto pela Adquirente (ex: Cielo, Rede, …), bandeira (Visa, Mastercard, …) e instituições emissoras dos cartões de crédito (ex: Bancos, Fintechs, …).

Teremos outros posts explicando cada um dos mecanismos acima em detalhes. Hoje apresentaremos a Lista de Bloqueios do gmxCheckout.
A lista de bloqueios é um recurso que pode ser ativado ou desativado para seu estabelecimento e é o primeiro mecanismo para protegê-lo de fraudes. O seu propósito é permitir que perfis de clientes prejudiciais a empresa sejam detectados e não possam mais comprar. É uma boa prática que todo estabelecimento possua um controle dos clientes que já fizeram algum tipo de contestação ou que são classificados com o potencial de realizá-la novamente. O ideal é realizar a venda para esses clientes apenas através da transação autenticada (utilizando o 3D Secure) para poder fazer o liability shift para o arranjo de pagamentos, que está melhor equipado para lidar com esses casos.

Vale lembrar que a lista de bloqueios não é um mecanismo de grande assertividade mas não utilizá-lo, por outro lado, pode ser considerado uma atitude negligente de qualquer estratégia de segurança.

Para que ela tenha uma melhor eficácia, seu uso não pode ser divulgado pois caso o cliente saiba que isso está sendo usado ele pode evitar ser identificado, usando guias anônimas nos navegadores, mudando de e-mail e de cartões de crédito.

A lista de bloqueios armazena o nome, e-mail e hash do cartão de crédito utilizado.

Existem 2 formas de se adicionar um cliente e cartão de crédito à lista de bloqueios
1) Mudar o estado de um cartão de crédito para bloqueado. Isto também implicará a inclusão do e-mail e do nome do cliente que usou o cartão de crédito para a lista de bloqueios
2) Marcar uma venda como Chargeback. Haverá as mesmas implicações acima.

Ambas as operações podem ser realizadas através do front-end web quanto através da nossa API.

Marcar uma venda como contestada

Marcar uma venda como contestada

Bloquear Cartão de Crédito

Bloquear Cartão de Crédito

Além de manter uma lista dos clientes que contestaram compras junto aos bancos emissores, novas vendas que forem submetidas contendo o mesmo e-mail ou o mesmo cartão de crédito presentes na lista de bloqueios, serão rejeitadas imediatamente com o código LR GMX1 (e-mail na lista de bloqueios) ou GMX2 (cartão de crédito na lista de bloqueios). Observando apenas que para isso funcionar, as regras de segurança do uso da lista de bloqueios deverão estar ativadas. Solicite ativação através do nosso suporte

Também é possível ativar a inclusão automática de cartões e e-mails quando houver 3 (três) ou mais reprovações consecutivas (com cartões diferentes) para o mesmo e-mail.

Caso o cliente tente utilizar um novo cartão porém o e-mail utilizado já esteja na lista de bloqueios, a venda será rejeitada e novo cartão será automaticamente inserido na lista de bloqueios para aquele cliente. Caso seja utilizado um cartão bloqueado com um e-mail não bloqueado, a venda não será aprovada e o e-mail também será adicionado na lista de bloqueios automaticamente.

É possível desativar ou reativar registros da lista de bloqueios, permitindo assim que sejam realizadas compras por clientes que possam ter entrado na lista de bloqueios de forma automática.

Lista de Bloqueios

Lista de Bloqueios

Vale observar que ao implantar técnicas automatizadas de prevenção de fraudes, é possível que tentativas de compra legítimas sejam consideradas como ilegítimas e tentativas ilegítimas sejam consideradas legítimas. O desafio é minimizar a taxa de erros de ambas.

Se você tiver se interessado e quiser maiores informações, continue nosso blog ou entre em contato conosco que teremos o maior prazer em sanar suas dúvidas e te mostrar como o gmxCheckout é uma boa opção para você e para os seus negócios.

Boas vendas!