GH GambleHub

NFC y límites sin contacto

1) Conceptos básicos NFC/EMV

NFC (contactless) en POS es un pago de EMVCo por canal de radio (Visa payWave, Mastercard PayPass, etc.) con criptograma de un solo uso y CVM (Cardholder Verification Methologies hod).
CVM determina si se requiere la verificación del titular y cuál: No CVM, PIN Offline, PIN en línea, CDCVM (Consumer Device CVM - Dispositivo de biometría/pin en Apple/Google/Samsung Pay).
DPAN/Network Token: las billeteras (Apple/Google Pay) utilizan un token en lugar de un PAN.
Terminal risk-engine: límite de floor, reglas de riesgo fuera de línea, claves CAPK, TAC/IAC (Terminal/Application Action Codes).

2) De donde viene el «límite sin contacto sin PIN»

El ecosistema local establece el «umbral No CVM» (la cantidad a la que el terminal puede realizar una transacción sin PIN/firma) para acelerar las compras menores. En la práctica, el límite se compone de:

1. Esquema de mapas (Visa/MC/et al.): establece las reglas de CVM y la compatibilidad de los núcleos.

2. Regulador/mercado - puede limitar la cantidad de No-CVM (por ejemplo, en la UE, Reino Unido, etc. - sus umbrales).

3. Parámetros de terminal: configuración del núcleo (Límite de CVM, Límite de Floor, Velocity/Contadores Cumulativos).

4. Emisor/tarjeta: perfiles de riesgo, servicios fuera de línea, contadores (número de transacciones consecutivas sin SCA y/o umbral total).

Importante: el límite se refiere a las operaciones no CVM de la tarjeta física. Una vez aplicado el CDCVM, ya es «con una autenticación fuerte» y el umbral No-CVM no es relevante.

3) Por qué Apple/Google Pay a menudo «sin límite»

CDCVM = dispositivos de biometría/pin confirmados en el teléfono/reloj. Esto corresponde a SCA y se considera una verificación completa del titular.
Para las transacciones con CDCVM, el terminal recibe una señal de que el CVM se ha cumplido, por lo que no se aplican las restricciones de suma del No-CVM (el pago es posible por cualquier cantidad si el emisor aprueba).
Excepciones: terminal/núcleo no admite CDCVM, monedero apagado biometría, escenarios de tránsito/fuera de línea, reglas regulatorias locales.

4) Límites fuera de línea y contadores cumulativos

Floor limit es el umbral al que teóricamente un terminal puede permitir la autorización fuera de línea (en el no contacto es más probable que sea cero, pero la configuración depende).
Contadores cumulativos/Velocity es el número de operaciones consecutivas sin SCA o su valor total. Una vez agotado, el terminal/emisor requiere PIN/en línea.
Los PIN offline en contactless no admiten todas las tarjetas/terminales; es más común ir a una consulta en línea y PIN en línea.

5) Marco regulador (puntos de referencia)

PSD2/SCA (EEE): se permiten operaciones de contacto y sin contacto sin SCA con umbrales (por ejemplo, hasta ~ €50 a la vez y hasta un total de ~ €150/o N operaciones consecutivas - puntos de referencia; los valores exactos dependen de la aplicación local del banco/mercado). El exceso de → es requerido por SCA (PIN/CDCVM).
UK/otros mercados: sus propios límites No-CVM (históricamente en alza).
Transit/Open-loop (metro, autobuses): Configuración de transporte especial - No CVM permitido con alto throughput, mecanismos de riesgo fuera de línea y posterior post-autorización/agregación. Los estados «inusuales» y los denailes tardíos son posibles.

💡 Conclusión: las normas varían según los mercados y los bancos pueden aplicar umbrales aún más estrictos.

6) Tipos de casos de CVM

Tarjeta física, compra por debajo del umbral No-CVM: tap rápido, sin PIN.
Tarjeta física, por encima del umbral No-CVM: el terminal solicita un PIN/firma o lo traduce a contacto/en línea.
Apple/Google Pay (CDCVM): la biometría se ha cumplido - el límite está realmente «eliminado», pero el emisor todavía puede rechazar sus reglas/riesgo.
Wearables: generalmente CDCVM a través del PIN del dispositivo cuando se «desbloquea» y se usa constantemente; después de retirar el dispositivo, se requiere un PIN repetido.

7) Riesgos y antifraude

No-CVM pérdida/robo de la tarjeta: los emisores compensan, pero mantienen counters/velocity para limitar los daños.
Soluciones fuera de línea del terminal: aumentan el UX, pero conllevan el riesgo de una falla «tardía» en la posterior validación en línea.
El CDCVM reduce el riesgo (SCA), aumenta la tasa de approve, pero no excluye los bloqueos emisores/reguladores de MSC/geo/puntuación.

8) Patrones UX en la caja registradora

Muestre los estados: «Suba la tarjeta/teléfono», «Confirme en el dispositivo», «Escriba el PIN».
Si decline está por encima del umbral, sugiere: "Repetir con PIN" o'Pagar con billetera (Apple/Google Pay) ".
En tránsito, los textos claros son «Tap in/Tap out», «Card clash» (varias tarjetas/billeteras al mismo tiempo).

9) Lista de comprobación de la configuración terminal (ecuador/merchant)

1. Kernels: EMV actuales contactless kernels, CAPK, parámetros de esquema (Visa/MC/...); actualizaciones regulares.
2. CVM Limit/Floor Limit/Velocity: negociar con el banco y las regulaciones locales; habilitar la compatibilidad con CDCVM.
3. Online-preference: para high-risk - forzado online; para el tránsito - perfil de transporte.
4. Lógica de follback: cuando se supera el umbral, → la solicitud PIN/firma/contacto insert.
5. Logs/telemetría: causa de la solicitud PIN (No-CVM exceeded/counters), proporción de CDCVM, soluciones offline, approve rate.
6. UX: prompts comprensibles en la pantalla; para monederos - sugerencia «Confirmar en iPhone/reloj/Android».
7. Casos de prueba: cantidades por debajo/por encima del umbral, N tap consecutivo sin PIN (counters de activación), pago CDCVM, ventana offline, perfil de tránsito.

10) Características de las verticales

Tránsito/ticketing: velocidad prioritaria, IU cero/mínima; a menudo tarifas separadas/procedimientos de post-compensación.
Hoteles/alquileres: preautorizaciones y capuchas incrementales es mejor mantener contacto/en línea con SCA; el «tap-and-go» sin contacto sólo es apropiado en el cargo final.
iGaming/quasi caché: fuera de línea rara vez es relevante; con el riesgo MCC, los emisores pueden fallar selectivamente incluso con CDCVM.

11) KPI y métricas operativas

Approval rate por cortes: tarjeta vs monedero (CDCVM), abajo/arriba No-CVM, soluciones fuera de línea.
Participación de CDCVM y su contribución a la conversión.
La tasa PIN-prompts (cuántas operaciones requirió PIN) y el impacto en la velocidad del servicio.
Late declines (después de los permisos offline), chargeback rate para No-CVM.
Transit KPIs: throughput (taps/min), tap-on/tap-off match, revenue protection.

12) Respuestas rápidas para sapport/operaciones

«¿Por qué sin un PIN por una gran cantidad?» - CDCVM realizado en la cartera; es SCA.
«¿Por qué pidió un PIN por una cantidad menor?» - Los contadores funcionaron o la terminal requirió SCA según las reglas.
«¿Por qué el teléfono no funcionó?» - Terminal/kernel no admite CDCVM, monedero bloqueado, sin red en línea, conflicto de tarjetas (tarjeta clash).

13) Resumen/conclusiones prácticas

Un límite no-CVM es un umbral sólo para operaciones sin verificación del titular; en CDCVM no se aplica.
Configure terminales compatibles con CDCVM, actualice los núcleos y parámetros (CVM/Floor/Velocity).
Tenga en cuenta los umbrales reguladores locales y las reglas del esquema; mantenga diferentes perfiles (venta al por menor vs tránsito).
Monitoree el approve rate/CDCVM-share/PIN-prompts y reduzca los riesgos fuera de línea.
En comunicaciones e IU, haga transparentes las razones de las solicitudes PIN y ofrezca billeteras como una forma de pasar el SCA sin «límite».

Contact

Póngase en contacto

Escríbanos ante cualquier duda o necesidad de soporte.¡Siempre estamos listos para ayudarle!

Iniciar integración

El Email es obligatorio. Telegram o WhatsApp — opcionales.

Su nombre opcional
Email opcional
Asunto opcional
Mensaje opcional
Telegram opcional
@
Si indica Telegram, también le responderemos allí además del Email.
WhatsApp opcional
Formato: +código de país y número (por ejemplo, +34XXXXXXXXX).

Al hacer clic en el botón, usted acepta el tratamiento de sus datos.